Verbinden von Layer 3-VPNs mit Layer 2-VPNs
Verbindung von Layer 2 VPNs mit Layer 3 VPNs Übersicht
Mit der wachsenden Nachfrage nach MPLS-basierten Layer-2-Services ergeben sich neue Herausforderungen für Service Provider, die mit Layer-2- und Layer-3-Services zusammenarbeiten und ihren Kunden Mehrwertdienste bieten können. Junos OS verfügt über verschiedene Funktionen, um die Anforderungen von Service Providern zu erfüllen. Eine dieser Funktionen ist die Verwendung einer logischen Tunnelschnittstelle. Diese Junos OS-Funktionalität nutzt ein Tunnel-PIC, um Pakete von der Packet Forwarding Engine in einer Schleife auszuführen und das Layer-2-Netzwerk mit dem Layer-3-Netzwerk zu verbinden. Die Lösung wird durch die logischen Bandbreitenbeschränkungen des Tunnels begrenzt, die durch das Tunnel-PIC auferlegt werden.
Verbindung von Layer 2-VPNs mit Layer 3-VPNs Anwendungen
Die Verbindung eines Layer 2-VPN mit einem Layer 3-VPN bietet die folgenden Vorteile:
Eine einzige Zugangsleitung zur Bereitstellung mehrerer Services—Herkömmliche VPNs über Layer-2-Circuits erfordern die Bereitstellung und Wartung separater Netzwerke für IP- und VPN-Services. Im Gegensatz dazu ermöglichen Layer-2-VPNs die gemeinsame Nutzung der Core-Netzwerkinfrastruktur eines Anbieters zwischen IP- und Layer-2-VPN-Services, wodurch die Kosten für die Bereitstellung dieser Services gesenkt werden.
Flexibilität— Der Service Provider kann viele verschiedene Arten von Netzwerken unterstützen. Wenn alle Websites in einem VPN demselben Unternehmen gehören, handelt es sich um ein Intranet. Wenn verschiedene Websites im Besitz verschiedener Unternehmen sind, ist das VPN ein Extranet. Ein Standort kann sich in mehr als einem VPN befinden.
Große Auswahl an möglichen Richtlinien – Sie können jeder Website in einem VPN eine andere Route zu jeder anderen Website zuweisen, oder Sie können den Datenverkehr zwischen bestimmten Paaren von Websites erzwingen, der über einen dritten Standort geleitet wird, und so bestimmten Datenverkehr durch eine Firewall leiten.
Skalierbares Netzwerk: Dieses Design verbessert die Skalierbarkeit, da es die Notwendigkeit für PE-Router (Provider Edge Edge) zur Wartung aller VPN-Routen des Service Providers überflüssig macht. Jeder PE-Router verwaltet eine VRF-Tabelle für jeden seiner direkt verbundenen Standorte. Jede Kundenverbindung (z. B. ein Frame Relay-PVC, ein ATM-PVC oder ein VLAN) wird einer bestimmten VRF-Tabelle zugeordnet. Es handelt sich also um einen Port auf dem PE-Router und nicht um eine Site, die einer VRF-Tabelle zugeordnet ist. Mehrere Ports auf einem PE-Router können einer einzigen VRF-Tabelle zugeordnet werden. Es ist die Fähigkeit von PE-Routern, mehrere Weiterleitungstabellen zu verwalten, die die Trennung von Routing-Informationen pro VPN unterstützt.
Verwendung von Routenreflektoren: Edge-Router von Anbietern können IBGP-Sitzungen zu Routing-Reflektoren als Alternative zu einem vollständigen Mesh von IBGP-Sitzungen aufrechterhalten. Durch den Einsatz mehrerer Routenreflektoren wird die Skalierbarkeit des RFC 2547bis-Modells verbessert, da nicht mehr alle VPN-Routen durch eine einzelne Netzwerkkomponente verwaltet werden müssen.
Mehrere VPNs werden getrennt und voneinander getrennt aufbewahrt – die Edge-Router des Kunden betreiben kein Peering miteinander. Zwei Standorte haben eine IP-Konnektivität nur über das gemeinsame Backbone und auch nur dann, wenn es ein VPN gibt, das beide Standorte enthält. Diese Funktion sorgt dafür, dass die VPNs getrennt und voneinander unterschieden werden, selbst wenn zwei VPNs einen überlappenden Adressraum haben.
Einfache Nutzung für Kunden: Kunden können IP-Backbone-Services von einem Service Provider beziehen, müssen aber keine eigenen Backbones pflegen.
Beispiel: Verbinden eines Layer 2-VPN mit einem Layer 3-VPN
Dieses Beispiel enthält eine Schritt-für-Schritt-Anleitung und Befehle zum Verbinden und Überprüfen eines Layer 2-VPN mit einem Layer 3-VPN. Es enthält die folgenden Abschnitte:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.3 oder höher
Fünf Router der MX-Serie
Drei Router der M Series
Zwei Router der T-Serie
Übersicht und Topologie
Ein Layer-2-VPN ist eine Art virtuelles privates Netzwerk (VPN), das MPLS-Labels zum Übertragen von Daten verwendet. Die Kommunikation erfolgt zwischen den PE-Routern (Provider Edge).
Layer-2-VPNs verwenden BGP als Signalisierungsprotokoll und sind daher einfacher aufgebaut und erfordern weniger Bereitstellungsaufwand als herkömmliche VPNs über Layer-2-Leitungen. Die BGP-Signalisierung ermöglicht auch die automatische Erkennung von Layer 2-VPN-Peers. Layer-2-VPNs können entweder eine Full-Mesh- oder eine Hub-and-Spoke-Topologie haben. Der Tunneling-Mechanismus im Core-Netzwerk ist in der Regel MPLS. Layer-2-VPNs können jedoch auch andere Tunneling-Protokolle wie GRE verwenden.
Layer 3-VPNs basieren auf RFC 2547bis, BGP/MPLS IP-VPNs. RFC 2547bis definiert einen Mechanismus, mit dem Service Provider ihre IP-Backbones nutzen können, um ihren Kunden VPN-Services bereitzustellen. Ein Layer-3-VPN ist eine Gruppe von Standorten, die gemeinsame Routing-Informationen nutzen und deren Konnektivität durch eine Sammlung von Richtlinien gesteuert wird. Die Standorte, aus denen ein Layer-3-VPN besteht, sind über das bestehende öffentliche Internet-Backbone eines Anbieters verbunden. RFC 2547bis VPNs werden auch als BGP/MPLS-VPNs bezeichnet, da BGP zur Verteilung von VPN-Routing-Informationen über das Backbone des Anbieters und MPLS zur Weiterleitung von VPN-Datenverkehr über das Backbone an Remote-VPN-Standorte verwendet wird.
Da Kundennetzwerke privat sind, können entweder öffentliche Adressen oder private Adressen verwenden, wie in RFC 1918, Address Allocation for Private Internets, definiert. Wenn Kundennetzwerke, die private Adressen verwenden, eine Verbindung mit der öffentlichen Internetinfrastruktur herstellen, können sich die privaten Adressen mit denselben privaten Adressen überschneiden, die von anderen Netzwerkbenutzern verwendet werden. MPLS/BGP-VPNs lösen dieses Problem, indem sie einen Route Distinguisher hinzufügen. Ein Route Distinguisher ist ein VPN-Identifier-Präfix, das jeder Adresse von einem bestimmten VPN-Standort hinzugefügt wird, wodurch eine Adresse erstellt wird, die sowohl innerhalb des VPN als auch innerhalb des Internets eindeutig ist.
Darüber hinaus verfügt jedes VPN über eine eigene VPN-spezifische Routing-Tabelle, die nur die Routing-Informationen für dieses VPN enthält. Um die Routen eines VPNs von Routen im öffentlichen Internet oder in anderen VPNs zu trennen, erstellt der PE-Router für jedes VPN eine separate Routing-Tabelle, die als VPN-Routing- und Weiterleitungstabelle bezeichnet wird. Der PE-Router erstellt eine VRF-Tabelle für jedes VPN, das eine Verbindung zu einem Kunden-Edge-Router (CE) hat. Jeder Kunde oder Standort, der zum VPN gehört, kann nur auf die Routen in den VRF-Tabellen für dieses VPN zugreifen. Jeder VRF-Tabelle sind ein oder mehrere erweiterte Community-Attribute zugeordnet, die die Route als zu einer bestimmten Sammlung von Routern gehörend identifizieren. Eines davon, das Routenzielattribut , identifiziert eine Sammlung von Standorten (VRF-Tabellen), an die ein PE-Router Routen verteilt. Der PE-Router verwendet das Routenziel, um den Import von Remote-Routen in seine VRF-Tabellen einzuschränken.
Wenn ein Eingangs-PE-Router Routen empfängt, die von einem direkt verbundenen CE-Router angekündigt wurden, prüft er die empfangene Route anhand der VRF-Exportrichtlinie für dieses VPN.
Wenn sie übereinstimmt, wird die Route in das VPN-IPv4-Format konvertiert, d. h., die Routenunterscheidung wird der Route hinzugefügt. Der PE-Router meldet dann die Route im VPN-IPv4-Format an die entfernten PE-Router. Außerdem wird jeder Route, die von den direkt verbundenen Standorten gelernt wurde, ein Routenziel zugeordnet. Das an die Route angefügte Routenziel basiert auf dem Wert der konfigurierten Exportzielrichtlinie der VRF-Tabelle. Die Routen werden dann über IBGP-Sitzungen verteilt, die im Kernnetzwerk des Anbieters konfiguriert werden.
Wenn die Route vom CE-Router nicht übereinstimmt, wird sie nicht auf andere PE-Router exportiert, kann aber dennoch lokal für das Routing verwendet werden, z. B. wenn zwei CE-Router im selben VPN direkt mit demselben PE-Router verbunden sind.
Wenn ein PE-Ausgangsrouter eine Route empfängt, vergleicht er diese mit der Importrichtlinie für die IBGP-Sitzung zwischen den PE-Routern. Wenn sie akzeptiert wird, platziert der Router die Route in seiner Tabelle bgp.l3vpn.0. Gleichzeitig prüft der Router die Route anhand der VRF-Importrichtlinie für das VPN. Wenn sie übereinstimmt, wird die Route Distinguisher aus der Route entfernt, und die Route wird im IPv4-Format in die VRF-Tabelle (die routing-instance-name.inet.0-Tabelle) eingefügt.
Topologie
Abbildung 1 zeigt die physische Topologie einer Layer 2-VPN-zu-Layer 3-VPN-Verbindung.
übergeht
Die logische Topologie einer Layer 2-VPN-zu-Layer 3-VPN-Verbindung ist in Abbildung 2 dargestellt.
endet
Die folgenden Definitionen beschreiben die Bedeutung der in Abbildung 1 und Abbildung 2 verwendeten Geräteabkürzungen.
Kunden-Edge-Gerät (CE): Ein Gerät am Kundenstandort, das Zugriff auf das VPN des Service Providers über eine Datenverbindung zu einem oder mehreren Provider-Edge-Routern (PE) bietet.
In der Regel handelt es sich bei dem CE-Gerät um einen IP-Router, der eine Nachbarschaft zu seinen direkt angeschlossenen PE-Routern herstellt. Nachdem die Nachbarschaft hergestellt wurde, kündigt der CE-Router die lokalen VPN-Routen des Standorts an den PE-Router an und lernt Remote-VPN-Routen vom PE-Router.
Provider-Edge-Gerät (PE): Ein Gerät oder eine Gruppe von Geräten am Edge des Anbieternetzwerks, das die Ansicht des Anbieters des Kundenstandorts darstellt.
PE-Router tauschen Routing-Informationen mit CE-Routern aus. PE-Router kennen die VPNs, die über sie eine Verbindung herstellen, und PE-Router behalten den VPN-Status bei. Ein PE-Router ist nur erforderlich, um VPN-Routen für die VPNs zu verwalten, an die er direkt angeschlossen ist. Nachdem ein PE-Router lokale VPN-Routen von CE-Routern gelernt hat, tauscht er VPN-Routing-Informationen mit anderen PE-Routern über IBGP aus. Wenn Sie MPLS zur Weiterleitung von VPN-Datenverkehr über das Backbone des Anbieters verwenden, fungiert der Eingangs-PE-Router als Eingangs-Label-Switching-Router (LSR) und der Ausgangs-PE-Router als Ausgangs-LSR.
Provider-Gerät (P): Ein Gerät, das innerhalb des Core-Netzwerks des Providers betrieben wird und keine direkte Schnittstelle zu einem CE hat.
Obwohl das P-Gerät ein wichtiger Bestandteil der Implementierung von VPNs für die Kunden des Dienstanbieters ist und das Routing für viele vom Anbieter betriebene Tunnel bereitstellen kann, die zu verschiedenen VPNs gehören, ist es selbst nicht VPN-fähig und behält den VPN-Status nicht bei. Seine Hauptaufgabe besteht darin, dem Service Provider die Skalierung seiner VPN-Angebote zu ermöglichen, indem er beispielsweise als Aggregationspunkt für mehrere PE-Router fungiert.
P-Router fungieren beim Weiterleiten von VPN-Datenverkehr zwischen PE-Routern als MPLS-Transit-LSRs. P-Router sind nur erforderlich, um Routen zu den PE-Routern des Anbieters aufrechtzuerhalten. Sie müssen nicht für jeden Kundenstandort spezifische VPN-Routing-Informationen pflegen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um ein Layer 2-VPN mit einem Layer 3-VPN zu verbinden:
Konfigurieren der Basisprotokolle und -schnittstellen
Schritt-für-Schritt-Anleitung
Konfigurieren Sie auf jedem PE- und P-Router OSPF mit Traffic Engineering-Erweiterungen auf allen Schnittstellen. Deaktivieren Sie OSPF auf der fxp0.0-Schnittstelle.
[edit protocols] ospf { traffic-engineering; area 0.0.0.0 { interface all; interface fxp0.0 { disable; } } }Aktivieren Sie auf allen Core-Routern MPLS für alle Schnittstellen. Deaktivieren Sie MPLS auf der fxp0.0-Schnittstelle.
[edit protocols] mpls { interface all; interface fxp0.0 { disable; } }Erstellen Sie auf allen Coreroutern eine interne BGP-Peer-Gruppe, und geben Sie die Route Reflector-Adresse (192.0.2.7) als Nachbarn an. Ermöglichen Sie BGP außerdem die Übertragung von Layer 2-VPLS-NLRI-Nachrichten (Network Layer Reachability Information) für diese Peer-Gruppe, indem die
signalingAnweisung auf Hierarchieebene[edit protocols bgp group group-name family l2vpn]eingefügt wird.[edit protocols] bgp { group RR { type internal; local-address 192.0.2.2; family l2vpn { signaling; } neighbor 192.0.2.7; } }Erstellen Sie auf Router PE3 eine interne BGP-Peer-Gruppe, und geben Sie die IP-Adresse des Routenreflektors (192.0.2.7) als Nachbarn an. Aktivieren Sie BGP für die Übertragung von VPLS-NLRI-Nachrichten auf Layer 2 für diese Peer-Gruppe und aktivieren Sie die Verarbeitung von VPN-IPv4-Adressen, indem Sie die
unicastAnweisung auf der[edit protocols bgp group group-name family inet-vpn]Hierarchieebene einschließen.[edit protocols] bgp { group RR { type internal; local-address 192.0.2.3; family inet-vpn { unicast; } family l2vpn { signaling; } neighbor 192.0.2.7; } }Aktivieren Sie für die Layer 3-VPN-Domäne auf Router PE3 und Router PE5 RSVP auf allen Schnittstellen. Deaktivieren Sie RSVP auf der fxp0.0-Schnittstelle.
[edit protocols] rsvp { interface all; interface fxp0.0 { disable; } }Erstellen Sie auf Router PE3 und Router PE5 Label-Switched-Pfade (LSPs) zum Routenreflektor und zu den anderen PE-Routern. Das folgende Beispiel zeigt die Konfiguration auf Router PE5.
[edit protocols] mpls { label-switched-path to-RR { to 192.0.2.7; } label-switched-path to-PE2 { to 192.0.2.2; } label-switched-path to-PE3 { to 192.0.2.3; } label-switched-path to-PE4 { to 192.0.2.4; } label-switched-path to-PE1 { to 192.0.2.1; } }Konfigurieren Sie auf den Routern PE1, PE2, PE3 und PE5 die Core-Schnittstellen mit einer IPv4-Adresse und aktivieren Sie die MPLS-Adressfamilie. Das folgende Beispiel zeigt die Konfiguration der xe-0/1/0-Schnittstelle auf Router PE2.
[edit] interfaces { xe-0/1/0 { unit 0 { family inet { address 10.10.2.2/30; } family mpls; } } }Konfigurieren Sie auf Router PE2 und Router PE3 LDP für das Layer-2-VPN-MPLS-Signalisierungsprotokoll für alle Schnittstellen. Deaktivieren Sie LDP auf der fxp0.0-Schnittstelle. (RSVP kann ebenfalls verwendet werden.)
[edit protocols] ldp { interface all; interface fxp0.0 { disable; } }Erstellen Sie im Route Reflector eine interne BGP-Peer-Gruppe, und geben Sie die IP-Adressen der PE-Router als Nachbarn an.
[edit] protocols { bgp { group RR { type internal; local-address 192.0.2.7; family inet { unicast; } family inet-vpn { unicast; } family l2vpn { signaling; } cluster 192.0.2.7; neighbor 192.0.2.1; neighbor 192.0.2.2; neighbor 192.0.2.4; neighbor 192.0.2.5; neighbor 192.0.2.3; } } }Konfigurieren Sie im Route Reflector MPLS-LSPs für die Router PE3 und PE5, um die BGP-Next-Hops aus der Routing-Tabelle inet.3 aufzulösen.
[edit] protocols { mpls { label-switched-path to-pe3 { to 192.0.2.3; } label-switched-path to-pe5 { to 192.0.2.5; } interface all; } }
Konfigurieren der VPN-Schnittstellen
Schritt-für-Schritt-Anleitung
Router PE2 ist das eine Ende des Layer-2-VPN. Router PE3 führt das Layer-2-VPN-Stitching zwischen dem Layer-2-VPN und dem Layer-3-VPN durch. Router PE3 verwendet die logische Tunnelschnittstelle (lt-Schnittstelle), die mit verschiedenen logischen Schnittstelleneinheiten konfiguriert ist, die unter zwei verschiedenen Layer-2-VPN-Instanzen angewendet werden. Das Paket wird über die lt-Schnittstelle geleitet, die auf Router PE3 konfiguriert ist. Die Konfiguration des Routers PE5 enthält die PE-CE-Schnittstelle.
Konfigurieren Sie auf Router PE2 die Kapselung der ge-1/0/2-Schnittstelle. Schließen Sie die Kapselungsanweisung ein, und geben Sie die
ethernet-cccOption (vlan-cccKapselung wird ebenfalls unterstützt) auf der[edit interfaces ge-1/0/2]Hierarchieebene an. Die Kapselung sollte in einer ganzen Layer-2-VPN-Domäne (Router PE2 und PE3) gleich sein. Konfigurieren Sie außerdem die Schnittstelle lo0.[edit] interfaces { ge-1/0/2 { encapsulation ethernet-ccc; unit 0; } lo0 { unit 0 { family inet { address 192.0.2.2/24; } } } }Konfigurieren Sie auf Router PE2 die Routing-Instanz auf der Hierarchieebene [
edit routing-instances]. Konfigurieren Sie außerdem das Layer-2-VPN-Protokoll auf der Hierarchieebene [edit routing-instances routing-instances-name protocols]. Konfigurieren Sie die Remote-Standort-ID als 3. Standort-ID 3 steht für Router PE3 (Hub-PE). Das Layer-2-VPN verwendet LDP als Signalisierungsprotokoll. Beachten Sie, dass im folgenden Beispiel sowohl die Routinginstanz als auch das Protokoll benanntl2vpnwerden.[edit] routing-instances {l2vpn{ # routing instance instance-type l2vpn; interface ge-1/0/2.0; route-distinguisher 65000:2; vrf-target target:65000:2; protocols {l2vpn{ # protocol encapsulation-type ethernet; site CE2 { site-identifier 2; interface ge-1/0/2.0 { remote-site-id 3; } } } } } }Konfigurieren Sie am Router PE5 die Gigabit-Ethernet-Schnittstelle für die PE-CE-Verbindung
ge-2/0/0und konfigurieren Sie dielo0Schnittstelle.[edit interfaces] ge-2/0/0 { unit 0 { family inet { address 198.51.100.8/24; } } } lo0 { unit 0 { } }Konfigurieren Sie auf Router PE5 die Layer-3-VPN-Routinginstanz (
L3VPN) auf Hierarchieebene[edit routing-instances]. Konfigurieren Sie BGP auch auf Hierarchieebene[edit routing-instances L3VPN protocols].[edit] routing-instances { L3VPN { instance-type vrf; interface ge-2/0/0.0; route-distinguisher 65000:5; vrf-target target:65000:2; vrf-table-label; protocols { bgp { group ce5 { neighbor 198.51.100.2 { peer-as 200; } } } } } }In einem Router der MX-Serie, z. B. Router PE3, müssen Sie die Tunnelservices-Schnittstelle erstellen, die für Tunnelservices verwendet werden soll. Um die Tunneldienstschnittstelle zu erstellen, schließen Sie die
bandwidthAnweisung ein, und geben Sie die Bandbreite an, die für Tunneldienste in Gigabit pro Sekunde auf der[edit chassis fpc slot-number pic slot-number tunnel-services]Hierarchieebene reserviert werden soll.[edit] chassis { dump-on-panic; fpc 1 { pic 1 { tunnel-services { bandwidth 1g; } } } }Konfigurieren Sie auf Router PE3 die Gigabit-Ethernet-Schnittstelle.
Schließen Sie die
addressAnweisung auf der[edit interfaces ge-1/0/1.0 family inet]Hierarchieebene ein, und geben Sie sie als IP-Adresse an198.51.100.9/24.[edit] interfaces { ge-1/0/1 { unit 0 { family inet { address 198.51.100.9/24; } } } }Konfigurieren Sie auf Router PE3 die
lt-1/1/10.0logische Tunnelschnittstelle auf Hierarchieebene[edit interfaces lt-1/1/10 unit 0]. Router PE3 ist der Router, der das Layer-2-VPN über die logische Tunnelschnittstelle mit dem Layer-3-VPN verbindet . Die Konfiguration der Peer-Unit-Schnittstellen macht die Verbindung aus.Um die Schnittstelle zu konfigurieren, fügen Sie die
encapsulationAnweisung hinzu und geben Sie dieethernet-cccOption an. Schließen Sie diepeer-unitAnweisung ein, und geben Sie die logische Schnittstelleneinheit1als Peertunnelschnittstelle an. Schließen Sie diefamilyAnweisung ein, und geben Sie diecccOption an.[edit] interfaces { lt-1/1/10 { unit 0 { encapsulation ethernet-ccc; peer-unit 1; family ccc; } } }Konfigurieren Sie auf Router PE3 die
lt-1/1/10.1logische Tunnelschnittstelle auf Hierarchieebene[edit interfaces lt-1/1/10 unit 1].Um die Schnittstelle zu konfigurieren, fügen Sie die
encapsulationAnweisung hinzu und geben Sie dieethernetOption an. Schließen Sie diepeer-unitAnweisung ein, und geben Sie die logische Schnittstelleneinheit0als Peertunnelschnittstelle an. Schließen Sie diefamilyAnweisung ein, und geben Sie dieinetOption an. Schließen Sie dieaddressAnweisung auf der[edit interfaces lt-1/1/10 unit 0]Hierarchieebene ein, und geben Sie sie als IPv4-Adresse an198.51.100.7/24.[edit] interfaces { lt-1/1/10 { unit 1 { encapsulation ethernet; peer-unit 0; family inet { address 198.51.100.7/24; } } } }Fügen Sie auf Router PE3 die
ltSchnittstelleneinheit 1 zur Routing-Instanz auf der[edit routing-instances L3VPN]Hierarchieebene hinzu. Konfigurieren Sie den Instanztyp wievrfbeiltPeer-Unit 1 als PE-CE-Schnittstelle, um das Layer-2-VPN auf Router PE2 in das Layer-3-VPN auf Router PE3 zu beenden.[edit] routing-instances { L3VPN { instance-type vrf; interface ge-1/0/1.0; interface lt-1/1/10.1; route-distinguisher 65000:33; vrf-target target:65000:2; vrf-table-label; protocols { bgp { export direct; group ce3 { neighbor 198.51.100.10 { peer-as 100; } } } } } }Fügen Sie auf Router PE3 die
ltSchnittstelleneinheit 0 zur Routing-Instanz auf Hierarchieebene[edit routing-instances protocols l2vpn]hinzu. Konfigurieren Sie außerdem dasselbe VRF-Ziel für die Layer 2-VPN- und Layer 3-VPN-Routing-Instanzen, sodass die Routen zwischen den Instanzen offengelegt werden können. Die Beispielkonfiguration im vorherigen Schritt zeigt das vrf-Ziel für dieL3VPNRouting-Instanz. Das folgende Beispiel zeigt das vrf-Ziel für diel2vpnRoutinginstanz.[edit] routing-instances { l2vpn { instance-type l2vpn; interface lt-1/1/10.0; route-distinguisher 65000:3; vrf-target target:65000:2; protocols { l2vpn { encapsulation-type ethernet; site CE3 { site-identifier 3; interface lt-1/1/10.0 { remote-site-id 2; } } } } } }Konfigurieren Sie auf Router PE3 die
policy-statementAnweisung so, dass die von der direkt angeschlossenenltSchnittstelleneinheit 1 gelernten Routen bei Bedarf zu allen CE-Routern für die Konnektivität exportiert werden.[edit] policy-options { policy-statement direct { term 1 { from protocol direct; then accept; } } }
Befund
Die folgende Ausgabe zeigt die vollständige Konfiguration von Router PE2:
Router PE2
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.10.2.2/30;
}
family mpls;
}
}
xe-0/2/0 {
unit 0 {
family inet {
address 10.10.5.1/30;
}
family mpls;
}
}
xe-0/3/0 {
unit 0 {
family inet {
address 10.10.4.1/30;
}
family mpls;
}
}
ge-1/0/2 {
encapsulation ethernet-ccc;
unit 0;
}
fxp0 {
apply-groups [ re0 re1 ];
}
lo0 {
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
mpls {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group RR {
type internal;
local-address 192.0.2.2;
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
routing-instances {
l2vpn {
instance-type l2vpn;
interface ge-1/0/2.0;
route-distinguisher 65000:2;
vrf-target target:65000:2;
protocols {
l2vpn {
encapsulation-type ethernet;
site CE2 {
site-identifier 2;
interface ge-1/0/2.0 {
remote-site-id 3;
}
}
}
}
}
}
Die folgende Ausgabe zeigt die endgültige Konfiguration des Routers PE5:
Router PE5
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.10.4.2/30;
}
family mpls;
}
}
xe-0/1/0 {
unit 0 {
family inet {
address 10.10.6.2/30;
}
family mpls;
}
}
ge-1/0/0 {
unit 0 {
family inet {
address 10.10.9.1/30;
}
family mpls;
}
}
xe-1/1/0 {
unit 0 {
family inet {
address 10.10.3.2/30;
}
family mpls;
}
}
ge-2/0/0 {
unit 0 {
family inet {
address 198.51.100.8/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.5/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
rsvp {
interface all {
link-protection;
}
interface fxp0.0 {
disable;
}
}
mpls {
label-switched-path to-RR {
to 192.0.2.7;
}
label-switched-path to-PE2 {
to 192.0.2.2;
}
label-switched-path to-PE3 {
to 192.0.2.3;
}
label-switched-path to-PE4 {
to 192.0.2.4;
}
label-switched-path to-PE1 {
to 192.0.2.1;
}
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group to-rr {
type internal;
local-address 192.0.2.5;
family inet-vpn {
unicast;
}
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
routing-instances {
L3VPN {
instance-type vrf;
interface ge-2/0/0.0;
route-distinguisher 65000:5;
vrf-target target:65000:2;
vrf-table-label;
protocols {
bgp {
group ce5 {
neighbor 198.51.100.2 {
peer-as 200;
}
}
}
}
}
}
Die folgende Ausgabe zeigt die endgültige Konfiguration von Router PE3:
Router PE3
chassis {
dump-on-panic;
fpc 1 {
pic 1 {
tunnel-services {
bandwidth 1g;
}
}
}
network-services ip;
}
interfaces {
ge-1/0/1 {
unit 0 {
family inet {
address 198.51.100.9/24;
}
}
}
lt-1/1/10 {
unit 0 {
encapsulation ethernet-ccc;
peer-unit 1;
family ccc;
}
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 198.51.100.7/24;
}
}
}
xe-2/0/0 {
unit 0 {
family inet {
address 10.10.20.2/30;
}
family mpls;
}
}
xe-2/1/0 {
unit 0 {
family inet {
address 10.10.6.1/30;
}
family mpls;
}
}
xe-2/2/0 {
unit 0 {
family inet {
address 10.10.5.2/30;
}
family mpls;
}
}
xe-2/3/0 {
unit 0 {
family inet {
address 10.10.1.2/30;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.3/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
mpls {
label-switched-path to-RR {
to 192.0.2.7;
}
label-switched-path to-PE2 {
to 192.0.2.2;
}
label-switched-path to-PE5 {
to 192.0.2.5;
}
label-switched-path to-PE4 {
to 192.0.2.4;
}
label-switched-path to-PE1 {
to 192.0.2.1;
}
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group RR {
type internal;
local-address 192.0.2.3;
family inet-vpn {
unicast;
}
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
policy-options {
policy-statement direct {
term 1 {
from protocol direct;
then accept;
}
}
}
routing-instances {
L3VPN {
instance-type vrf;
interface ge-1/0/1.0;
interface lt-1/1/10.1;
route-distinguisher 65000:33;
vrf-target target:65000:2;
vrf-table-label;
protocols {
bgp {
export direct;
group ce3 {
neighbor 198.51.100.10 {
peer-as 100;
}
}
}
}
}
l2vpn {
instance-type l2vpn;
interface lt-1/1/10.0;
route-distinguisher 65000:3;
vrf-target target:65000:2;
protocols {
l2vpn {
encapsulation-type ethernet;
site CE3 {
site-identifier 3;
interface lt-1/1/10.0 {
remote-site-id 2;
}
}
}
}
}
}
Verifizierung
Überprüfen der Layer 2-VPN-zu-Layer 3-VPN-Verbindung:
- Verifizieren der PE2-VPN-Schnittstelle des Routers
- Verifizieren der PE3-VPN-Schnittstelle des Routers
- Überprüfen der End-to-End-Konnektivität von Router CE2 zu Router CE5 und Router CE3
Verifizieren der PE2-VPN-Schnittstelle des Routers
Zweck
Überprüfen Sie, ob das Layer-2-VPN an der PE2-Schnittstelle des Routers aktiviert ist und funktioniert und dass alle Routen vorhanden sind.
Aktion
Verwenden Sie den
show l2vpn connectionsBefehl, um zu überprüfen, ob die Verbindungsstandort-ID für Router PE3 3 und der Status lautetUp.user@PE2> show l2vpn connections Layer-2 VPN connections: Legend for connection status (St) EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS EM -- encapsulation mismatch WE -- interface and instance encaps not same VC-Dn -- Virtual circuit down NP -- interface hardware not present CM -- control-word mismatch -> -- only outbound connection is up CN -- circuit not provisioned <- -- only inbound connection is up OR -- out of range Up -- operational OL -- no outgoing label Dn -- down LD -- local site signaled down CF -- call admission control failure RD -- remote site signaled down SC -- local and remote site ID collision LN -- local site not designated LM -- local site ID not minimum designated RN -- remote site not designated RM -- remote site ID not minimum designated XX -- unknown connection status IL -- no incoming label MM -- MTU mismatch MI -- Mesh-Group ID not available BK -- Backup connection ST -- Standby connection PF -- Profile parse failure PB -- Profile busy RS -- remote site standby Legend for interface status Up -- operational Dn -- down Instance: l2vpn Local site: CE2 (2) connection-site Type St Time last up # Up trans 3 rmt Up Jan 7 14:14:37 2010 1 Remote PE: 192.0.2.3, Negotiated control-word: Yes (Null) Incoming label: 800000, Outgoing label: 800001 Local interface: ge-1/0/2.0, Status: Up, Encapsulation: ETHERNETVerwenden Sie den
show route tableBefehl, um zu überprüfen, ob die Layer-2-VPN-Route vorhanden ist und ob es einen nächsten Hop10.10.5.2über diexe-0/2/0.0Schnittstelle gibt. Mit der folgenden Ausgabe wird überprüft, ob die Layer 2-VPN-Routen in der Tabelle l2vpn.l2vpn.0 vorhanden sind. Eine ähnliche Ausgabe sollte für Router PE3 angezeigt werden.user@PE2> show route table l2vpn.l2vpn.0 l2vpn.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 65000:2:2:3/96 *[L2VPN/170/-101] 02:40:35, metric2 1 Indirect 65000:3:3:1/96 *[BGP/170] 02:40:35, localpref 100, from 192.0.2.7 AS path: I > to 10.10.5.2 via xe-0/2/0.0Stellen Sie sicher, dass Router PE2 über ein Layer-2-VPN-MPLS-Label verfügt, das in beide Richtungen (PUSH und POP) auf das LDP-Label zu Router PE3 verweist.
user@PE2> show route table mpls.0 mpls.0: 13 destinations, 13 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 1 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 2 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 300560 *[LDP/9] 19:45:53, metric 1 > to 10.10.2.1 via xe-0/1/0.0, Pop 300560(S=0) *[LDP/9] 19:45:53, metric 1 > to 10.10.2.1 via xe-0/1/0.0, Pop 301008 *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Swap 299856 301536 *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Pop 301536(S=0) *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Pop 301712 *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Swap 315184 301728 *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Pop 301728(S=0) *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Pop 800000 *[L2VPN/7] 02:40:35 > via ge-1/0/2.0, Pop Offset: 4 ge-1/0/2.0 *[L2VPN/7] 02:40:35, metric2 1 > to 10.10.5.2 via xe-0/2/0.0, Push 800001 Offset: -4
Bedeutung
Die l2vpn Routing-Instanz befindet sich an der Schnittstelle ge-1/0/2 , und die Layer-2-VPN-Route ist in der Tabelle l2vpn.l2vpn.0 dargestellt. Die Tabelle mpls.0 zeigt die Layer 2-VPN-Routen, die zum Weiterleiten des Datenverkehrs mithilfe eines LDP-Labels verwendet werden.
Verifizieren der PE3-VPN-Schnittstelle des Routers
Zweck
Überprüfen Sie, ob die Layer-2-VPN-Verbindung von Router PE2 und Router PE3 funktioniert Up und ist.
Aktion
Vergewissern Sie sich, dass die BGP-Sitzung mit dem Routenreflektor für die Familie
l2vpn-signalingund die Familieinet-vpneingerichtet ist.user@PE3> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending bgp.l2vpn.0 1 1 0 0 0 0 bgp.L3VPN.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active /Received/Accepted/Damped... 192.0.2.7 65000 2063 2084 0 1 15:35:16 Establ bgp.l2vpn.0: 1/1/1/0 bgp.L3VPN.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 l2vpn.l2vpn.0: 1/1/1/0
Mit der folgenden Ausgabe werden die Layer 2-VPN-Route und die damit verknüpfte Bezeichnung überprüft.
user@PE3> show route table l2vpn.l2vpn.0 detail l2vpn.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 65000:2:2:3/96 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 65000:2 Next hop type: Indirect Next-hop reference count: 4 Source: 192.0.2.7 Protocol next hop: 192.0.2.2 Indirect next hop: 2 no-forward State: <Secondary Active Int Ext> Local AS: 65000 Peer AS: 65000 Age: 2:45:52 Metric2: 1 Task: BGP_65000.192.0.2.7+60585 Announcement bits (1): 0-l2vpn-l2vpn AS path: I (Originator) Cluster list: 192.0.2.7 AS path: Originator ID: 192.0.2.2 Communities: target:65000:2 Layer2-info: encaps:ETHERNET, control flags:Control-Word, mtu: 0, site preference: 100 Accepted Label-base: 800000, range: 2, status-vector: 0x0 Localpref: 100 Router ID: 192.0.2.7 Primary Routing Table bgp.l2vpn.0Die folgende Ausgabe zeigt die L2VPN-MPLS.0-Route in der MPLS.0-Routing-Tabelle.
user@PE3> show route table mpls.0 mpls.0: 21 destinations, 21 routes (21 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 1 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 2 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 16 *[VPN/0] 15:59:24 to table L3VPN.inet.0, Pop 315184 *[LDP/9] 16:21:53, metric 1 > to 10.10.20.1 via xe-2/0/0.0, Pop 315184(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.20.1 via xe-2/0/0.0, Pop 315200 *[LDP/9] 01:13:44, metric 1 to 10.10.20.1 via xe-2/0/0.0, Swap 625297 > to 10.10.6.2 via xe-2/1/0.0, Swap 299856 315216 *[LDP/9] 16:21:53, metric 1 > to 10.10.6.2 via xe-2/1/0.0, Pop 315216(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.6.2 via xe-2/1/0.0, Pop 315232 *[LDP/9] 16:21:45, metric 1 > to 10.10.1.1 via xe-2/3/0.0, Pop 315232(S=0) *[LDP/9] 16:21:45, metric 1 > to 10.10.1.1 via xe-2/3/0.0, Pop 315248 *[LDP/9] 16:21:53, metric 1 > to 10.10.5.1 via xe-2/2/0.0, Pop 315248(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.5.1 via xe-2/2/0.0, Pop 315312 *[RSVP/7] 15:02:40, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path to-pe5 315312(S=0) *[RSVP/7] 15:02:40, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path to-pe5 315328 *[RSVP/7] 15:02:40, metric 1 > to 10.10.20.1 via xe-2/0/0.0, label-switched-path to-RR 315360 *[RSVP/7] 15:02:40, metric 1 > to 10.10.20.1 via xe-2/0/0.0, label-switched-path to-RR 316272 *[RSVP/7] 01:13:27, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path Bypass->10.10.9.1 316272(S=0) *[RSVP/7] 01:13:27, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path Bypass->10.10.9.1 800001 *[L2VPN/7] 02:47:33 > via lt-1/1/10.0, Pop Offset: 4 lt-1/1/10.0 *[L2VPN/7] 02:47:33, metric2 1 > to 10.10.5.1 via xe-2/2/0.0, Push 800000 Offset: -4Verwenden Sie den
show route table mpls.0Befehl mit derdetailOption, die BGP-Attribute der Route anzuzeigen, z. B. Next-Hop-Typ- und Label-Vorgänge.user@PE5> show route table mpls.0 detail lt-1/1/10.0 (1 entry, 1 announced) *L2VPN Preference: 7 Next hop type: Indirect Next-hop reference count: 2 Next hop type: Router, Next hop index: 607 Next hop: 10.10.5.1 via xe-2/2/0.0, selected Label operation: Push 800000 Offset: -4 Protocol next hop: 192.0.2.2 Push 800000 Offset: -4 Indirect next hop: 8cae0a0 1048574 State: <Active Int> Age: 2:46:34 Metric2: 1 Task: Common L2 VC Announcement bits (2): 0-KRT 2-Common L2 VC AS path: I Communities: target:65000:2 Layer2-info: encaps:ETHERNET, control flags:Control-Word, mtu: 0, site preference: 100
Überprüfen der End-to-End-Konnektivität von Router CE2 zu Router CE5 und Router CE3
Zweck
Überprüfen Sie die Konnektivität zwischen den Routern CE2, CE3 und CE5.
Aktion
Pingen Sie die IP-Adresse des Routers CE3 von Router CE2 an.
user@CE2> ping 198.51.100.10 # CE3 IP address PING 198.51.100.10 (198.51.100.10): 56 data bytes 64 bytes from 198.51.100.10: icmp_seq=0 ttl=63 time=0.708 ms 64 bytes from 198.51.100.10: icmp_seq=1 ttl=63 time=0.610 ms
Pingen Sie die IP-Adresse des Routers CE5 von Router CE2 an.
user@CE2> ping 198.51.100.2 # CE5 IP address PING 198.51.100.2 (198.51.100.2): 56 data bytes 64 bytes from 198.51.100.2: icmp_seq=0 ttl=62 time=0.995 ms 64 bytes from 198.51.100.2: icmp_seq=1 ttl=62 time=1.005 ms