Verbinden von Layer-3-VPNs mit Layer-2-VPNs
Verknüpfung von Layer-2-VPNs mit Layer-3-VPNs Übersicht
Mit der steigenden Nachfrage nach MPLS-basierten Layer-2-Services ergeben sich neue Herausforderungen für Service Provider, wenn es darum geht, mit Layer-2- und Layer-3-Services zu interagieren und ihren Kunden Mehrwertdienste zu bieten. Junos OS verfügt über verschiedene Funktionen, um die Anforderungen von Service Providern zu erfüllen. Eine dieser Funktionen ist die Verwendung einer logischen Tunnelschnittstelle. Diese Junos OS-Funktionalität verwendet einen Tunnel-PIC, um Pakete von der Packet Forwarding Engine hin und her zu schleifen, um das Layer-2-Netzwerk mit dem Layer-3-Netzwerk zu verbinden. Die Lösung wird durch die logischen Bandbreitenbeschränkungen des Tunnels eingeschränkt, die durch das Tunnel-PIC auferlegt werden.
Verknüpfung von Layer-2-VPNs mit Layer-3-VPNs Anwendungen
Die Verbindung eines Layer-2-VPN mit einem Layer-3-VPN bietet die folgenden Vorteile:
Eine einzige Zugangsleitung zur Bereitstellung mehrerer Services: Herkömmliche VPNs über Layer-2-Leitungen erfordern die Bereitstellung und Wartung separater Netzwerke für IP- und VPN-Services. Im Gegensatz dazu ermöglichen Layer-2-VPNs die gemeinsame Nutzung der Core-Netzwerkinfrastruktur eines Anbieters zwischen IP- und Layer-2-VPN-Diensten, wodurch die Kosten für die Bereitstellung dieser Dienste gesenkt werden.
Flexibilität: Der Service Provider kann viele verschiedene Arten von Netzwerken unterstützen. Wenn alle Standorte in einem VPN demselben Unternehmen gehören, handelt es sich um ein Intranet. Wenn verschiedene Websites im Besitz verschiedener Unternehmen sind, ist das VPN ein Extranet. Ein Standort kann sich in mehr als einem VPN befinden.
Große Auswahl an möglichen Richtlinien – Sie können jeder Website in einem VPN eine andere Route zu jeder anderen Website zuweisen, oder Sie können Datenverkehr zwischen bestimmten Paaren von Websites erzwingen, die über einen dritten Standort geleitet werden, und so einen bestimmten Datenverkehr durch eine Firewall leiten.
Skalierbares Netzwerk: Dieses Design verbessert die Skalierbarkeit, da keine Provider-Edge-Router (PE) mehr erforderlich sind, um alle VPN-Routen des Service Providers zu verwalten. Jeder PE-Router unterhält eine VRF-Tabelle für jeden seiner direkt verbundenen Standorte. Jede Kundenverbindung (z. B. ein Frame Relay PVC, ein ATM PVC oder ein VLAN) wird einer bestimmten VRF-Tabelle zugeordnet. Es handelt sich also um einen Port auf dem PE-Router und nicht um einen Standort, der einer VRF-Tabelle zugeordnet ist. Mehrere Ports auf einem PE-Router können einer einzelnen VRF-Tabelle zugeordnet werden. Es ist die Fähigkeit von PE-Routern, mehrere Weiterleitungstabellen zu verwalten, die die Trennung von Routing-Informationen pro VPN unterstützt.
Verwendung von Routenreflektoren: Edge-Router von Anbietern können IBGP-Sitzungen verwalten, um Reflektoren als Alternative zu einem vollständigen Netz von IBGP-Sitzungen zu routen. Die Bereitstellung mehrerer Routenreflektoren verbessert die Skalierbarkeit des RFC-2547bis-Modells, da keine einzelne Netzwerkkomponente zur Verwaltung aller VPN-Routen erforderlich ist.
Mehrere VPNs werden getrennt voneinander gehalten – die Edge-Router des Kunden peeren nicht miteinander. Zwei Standorte verfügen nur über IP-Konnektivität über das gemeinsame Backbone, und auch nur, wenn ein VPN vorhanden ist, das beide Standorte enthält. Diese Funktion sorgt dafür, dass die VPNs voneinander getrennt sind, selbst wenn zwei VPNs einen überlappenden Adressraum haben.
Einfache Nutzung für Kunden: Kunden können IP-Backbone-Services von einem Service Provider beziehen und müssen keine eigenen Backbones warten.
Beispiel: Verbindung eines Layer-2-VPN mit einem Layer-3-VPN
Dieses Beispiel enthält eine Schritt-für-Schritt-Anleitung und Befehle zum Verbinden und Verifizieren eines Layer-2-VPN mit einem Layer-3-VPN. Es enthält die folgenden Abschnitte:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.3 oder höher
Fünf Router der MX-Serie
Drei Router der M-Serie
Zwei Router der T-Serie
Übersicht und Topologie
Ein Layer-2-VPN ist eine Art virtuelles privates Netzwerk (VPN), das MPLS-Labels für den Datenübertragungstransport verwendet. Die Kommunikation erfolgt zwischen den Provider-Edge-Routern (PE).
Layer-2-VPNs verwenden BGP als Signalisierungsprotokoll und haben daher ein einfacheres Design und erfordern weniger Bereitstellungsaufwand als herkömmliche VPNs über Layer-2-Leitungen. BGP-Signale ermöglichen auch die automatische Erkennung von Layer-2-VPN-Peers. Layer-2-VPNs können entweder eine Full-Mesh- oder eine Hub-and-Spoke-Topologie haben. Der Tunneling-Mechanismus im Kernnetz ist in der Regel MPLS. Layer-2-VPNs können jedoch auch andere Tunneling-Protokolle wie GRE verwenden.
Layer-3-VPNs basieren auf RFC 2547bis, BGP/MPLS IP-VPNs. RFC 2547bis definiert einen Mechanismus, mit dem Service Provider ihre IP-Backbones nutzen können, um ihren Kunden VPN-Dienste bereitzustellen. Bei einem Layer-3-VPN handelt es sich um eine Gruppe von Standorten, die gemeinsame Routing-Informationen nutzen und deren Konnektivität durch eine Reihe von Richtlinien gesteuert wird. Die Standorte, aus denen sich ein Layer-3-VPN zusammensetzt, sind über das vorhandene öffentliche Internet-Backbone eines Anbieters verbunden. RFC 2547bis-VPNs werden auch als BGP/MPLS-VPNs bezeichnet, da BGP verwendet wird, um VPN-Routing-Informationen über das Backbone des Anbieters zu verteilen, und MPLS verwendet wird, um VPN-Datenverkehr über das Backbone an Remote-VPN-Standorte weiterzuleiten.
Da Kundennetzwerke privat sind, können sie entweder öffentliche Adressen oder private Adressen verwenden, wie in RFC 1918, Address Allocation for Private Internets (Adresszuweisung für private Internets) definiert. Wenn Kundennetzwerke, die private Adressen verwenden, eine Verbindung mit der öffentlichen Internetinfrastruktur herstellen, können sich die privaten Adressen mit denselben privaten Adressen überschneiden, die von anderen Netzwerkbenutzern verwendet werden. MPLS/BGP-VPNs lösen dieses Problem, indem sie eine Routenunterscheidung hinzufügen. Ein Routenunterscheidungsmerkmal ist ein VPN-Kennungspräfix, das jeder Adresse von einer bestimmten VPN-Site hinzugefügt wird, wodurch eine Adresse erstellt wird, die sowohl innerhalb des VPN als auch innerhalb des Internets eindeutig ist.
Darüber hinaus verfügt jedes VPN über eine eigene VPN-spezifische Routing-Tabelle, die nur die Routing-Informationen für dieses VPN enthält. Um die Routen eines VPNs von Routen im öffentlichen Internet oder denen in anderen VPNs zu trennen, erstellt der PE-Router für jedes VPN eine separate Routing-Tabelle, die als VPN-Routing- und Weiterleitungstabelle (VRF) bezeichnet wird. Der PE-Router erstellt eine VRF-Tabelle für jedes VPN, das über eine Verbindung zu einem Kunden-Edge-Router (CE) verfügt. Jeder Kunde oder Standort, der zum VPN gehört, kann nur auf die Routen in den VRF-Tabellen für dieses VPN zugreifen. Jeder VRF-Tabelle sind ein oder mehrere erweiterte Community-Attribute zugeordnet, die die Route als zu einer bestimmten Sammlung von Routern gehörend identifizieren. Eines davon, das Routenzielattribut , identifiziert eine Sammlung von Sites (VRF-Tabellen), an die ein PE-Router Routen verteilt. Der PE-Router verwendet das Routenziel, um den Import von Remote-Routen in seine VRF-Tabellen einzuschränken.
Wenn ein eingehender PE-Router Routen empfängt, die von einem direkt verbundenen CE-Router angekündigt wurden, prüft er die empfangene Route anhand der VRF-Exportrichtlinie für dieses VPN.
Wenn sie übereinstimmt, wird die Route in das VPN-IPv4-Format konvertiert, d. h., das Routenunterscheidungsmerkmal wird der Route hinzugefügt. Der PE-Router kündigt dann die Route im VPN-IPv4-Format an die Remote-PE-Router an. Außerdem wird jeder Route, die von den direkt verbundenen Standorten gelernt wurde, ein Routenziel zugeordnet. Das Routenziel, das an die Route angehängt ist, basiert auf dem Wert der konfigurierten Exportzielrichtlinie der VRF-Tabelle. Die Routen werden dann über IBGP-Sitzungen verteilt, die im Kernnetzwerk des Anbieters konfiguriert werden.
Wenn die Route vom CE-Router nicht übereinstimmt, wird sie nicht in andere PE-Router exportiert, kann aber dennoch lokal für das Routing verwendet werden, z. B. wenn zwei CE-Router im selben VPN direkt mit demselben PE-Router verbunden sind.
Wenn ein ausgehender PE-Router eine Route empfängt, prüft er diese anhand der Importrichtlinie für die IBGP-Sitzung zwischen den PE-Routern. Wenn sie akzeptiert wird, platziert der Router die Route in der Tabelle bgp.l3vpn.0. Gleichzeitig prüft der Router die Route anhand der VRF-Importrichtlinie für das VPN. Wenn sie übereinstimmt, wird der Routenunterscheidungsmerkmal aus der Route entfernt, und die Route wird im IPv4-Format in die VRF-Tabelle (die routing-instance-nameTabelle .inet.0) eingefügt.
Topologie
Abbildung 1 zeigt die physische Topologie einer Layer-2-VPN-zu-Layer-3-VPN-Verbindung.
endet
Die logische Topologie einer Layer-2-VPN-zu-Layer-3-VPN-Verbindung ist in Abbildung 2 dargestellt.
Die folgenden Definitionen beschreiben die Bedeutung der in Abbildung 1 und Abbildung 2 verwendeten Geräteabkürzungen.
CE-Gerät (Customer Edge): Ein Gerät am Standort des Kunden, das den Zugriff auf das VPN des Service Providers über eine Datenverbindung zu einem oder mehreren Provider-Edge-Routern (PE) ermöglicht.
In der Regel handelt es sich bei dem CE-Gerät um einen IP-Router, der mit seinen direkt angeschlossenen PE-Routern eine Nachbarschaft herstellt. Nachdem die Nachbarschaft festgelegt wurde, kündigt der CE-Router die lokalen VPN-Routen des Standorts an den PE-Router an und lernt Remote-VPN-Routen vom PE-Router.
Provider Edge (PE)-Gerät: Ein Gerät oder eine Gruppe von Geräten am Edge des Provider-Netzwerks, das die Ansicht des Anbieters auf den Kundenstandort darstellt.
PE-Router tauschen Routing-Informationen mit CE-Routern aus. PE-Router kennen die VPNs, die über sie eine Verbindung herstellen, und PE-Router behalten den VPN-Status bei. Ein PE-Router ist nur erforderlich, um VPN-Routen für die VPNs zu verwalten, mit denen er direkt verbunden ist. Nach dem Erlernen lokaler VPN-Routen von CE-Routern tauscht ein PE-Router VPN-Routing-Informationen mit anderen PE-Routern über IBGP aus. Bei der Verwendung von MPLS zur Weiterleitung von VPN-Datenverkehr über das Backbone des Anbieters fungiert der eingehende PE-Router als Eingangs-Label-Switching-Router (LSR) und der ausgehende PE-Router als Ausgangs-LSR.
Provider-Gerät (P): Ein Gerät, das innerhalb des Core-Netzwerks des Providers betrieben wird und keine direkte Schnittstelle zu einem CE hat.
Obwohl das P-Gerät ein wichtiger Bestandteil der Implementierung von VPNs für die Kunden des Service Providers ist und Routing für viele vom Provider betriebene Tunnel bereitstellen kann, die zu verschiedenen VPNs gehören, ist es selbst nicht VPN-fähig und behält den VPN-Status nicht bei. Seine Hauptaufgabe besteht darin, dem Dienstanbieter die Skalierung seiner VPN-Angebote zu ermöglichen, indem er beispielsweise als Aggregationspunkt für mehrere PE-Router fungiert.
P-Router fungieren als MPLS-Transit-LSRs bei der Weiterleitung von VPN-Datenverkehr zwischen PE-Routern. P-Router sind nur erforderlich, um Routen zu den PE-Routern des Anbieters zu verwalten. Sie sind nicht verpflichtet, spezifische VPN-Routing-Informationen für jeden Kundenstandort zu pflegen.
Konfiguration
Um ein Layer-2-VPN mit einem Layer-3-VPN zu verbinden, führen Sie die folgenden Aufgaben aus:
Konfigurieren der Basisprotokolle und Schnittstellen
Schritt-für-Schritt-Anleitung
Konfigurieren Sie auf jedem PE- und P-Router OSPF mit Traffic-Engineering-Erweiterungen auf allen Schnittstellen. Deaktivieren Sie OSPF auf der fxp0.0-Schnittstelle.
[edit protocols] ospf { traffic-engineering; area 0.0.0.0 { interface all; interface fxp0.0 { disable; } } }Aktivieren Sie auf allen Core-Routern MPLS auf allen Schnittstellen. Deaktivieren Sie MPLS auf der fxp0.0-Schnittstelle.
[edit protocols] mpls { interface all; interface fxp0.0 { disable; } }Erstellen Sie auf allen Core-Routern eine interne BGP-Peer-Gruppe, und geben Sie die Route Reflector-Adresse (192.0.2.7) als Nachbarn an. Aktivieren Sie BGP außerdem, um Layer-2-VPLS-NLRI-Nachrichten (Network Layer Reachability Information) für diese Peergruppe zu übertragen, indem Sie die
signalingAnweisung auf Hierarchieebene[edit protocols bgp group group-name family l2vpn]einfügen.[edit protocols] bgp { group RR { type internal; local-address 192.0.2.2; family l2vpn { signaling; } neighbor 192.0.2.7; } }Erstellen Sie auf Router PE3 eine interne BGP-Peergruppe, und geben Sie die IP-Adresse des Routenreflektors (192.0.2.7) als Nachbarn an. Aktivieren Sie BGP für die Übertragung von Layer-2-VPLS-NLRI-Nachrichten für diese Peergruppe und aktivieren Sie die Verarbeitung von VPN-IPv4-Adressen, indem Sie die
unicastAnweisung auf Hierarchieebene[edit protocols bgp group group-name family inet-vpn]einfügen.[edit protocols] bgp { group RR { type internal; local-address 192.0.2.3; family inet-vpn { unicast; } family l2vpn { signaling; } neighbor 192.0.2.7; } }Aktivieren Sie für die Layer-3-VPN-Domäne auf Router PE3 und Router PE5 RSVP auf allen Schnittstellen. Deaktivieren Sie RSVP auf der fxp0.0-Schnittstelle.
[edit protocols] rsvp { interface all; interface fxp0.0 { disable; } }Erstellen Sie auf Router PE3 und Router PE5 Label-Switched-Pfade (LSPs) zum Routenreflektor und den anderen PE-Routern. Das folgende Beispiel zeigt die Konfiguration auf Router PE5.
[edit protocols] mpls { label-switched-path to-RR { to 192.0.2.7; } label-switched-path to-PE2 { to 192.0.2.2; } label-switched-path to-PE3 { to 192.0.2.3; } label-switched-path to-PE4 { to 192.0.2.4; } label-switched-path to-PE1 { to 192.0.2.1; } }Konfigurieren Sie auf den Routern PE1, PE2, PE3 und PE5 die Core-Schnittstellen mit einer IPv4-Adresse, und aktivieren Sie die MPLS-Adressfamilie. Das folgende Beispiel zeigt die Konfiguration der xe-0/1/0-Schnittstelle auf Router PE2.
[edit] interfaces { xe-0/1/0 { unit 0 { family inet { address 10.10.2.2/30; } family mpls; } } }Konfigurieren Sie auf Router PE2 und Router PE3 LDP für das Layer-2-VPN-MPLS-Signalisierungsprotokoll für alle Schnittstellen. Deaktivieren Sie LDP auf der fxp0.0-Schnittstelle. (RSVP kann auch verwendet werden.)
[edit protocols] ldp { interface all; interface fxp0.0 { disable; } }Erstellen Sie im Routenreflektor eine interne BGP-Peergruppe, und geben Sie die IP-Adressen des PE-Routers als Nachbarn an.
[edit] protocols { bgp { group RR { type internal; local-address 192.0.2.7; family inet { unicast; } family inet-vpn { unicast; } family l2vpn { signaling; } cluster 192.0.2.7; neighbor 192.0.2.1; neighbor 192.0.2.2; neighbor 192.0.2.4; neighbor 192.0.2.5; neighbor 192.0.2.3; } } }Konfigurieren Sie auf dem Routenreflektor MPLS-LSPs in Richtung der Router PE3 und PE5, um die nächsten BGP-Hops aus der inet.3-Routing-Tabelle aufzulösen.
[edit] protocols { mpls { label-switched-path to-pe3 { to 192.0.2.3; } label-switched-path to-pe5 { to 192.0.2.5; } interface all; } }
Konfigurieren der VPN-Schnittstellen
Schritt-für-Schritt-Anleitung
Router PE2 ist ein Ende des Layer-2-VPNs. Router PE3 führt das Layer-2-VPN-Stitching zwischen dem Layer-2-VPN und dem Layer-3-VPN durch. Router PE3 verwendet die logische Tunnelschnittstelle (lt-Schnittstelle), die mit verschiedenen logischen Schnittstelleneinheiten konfiguriert ist, die unter zwei verschiedenen Layer-2-VPN-Instanzen angewendet werden. Das Paket wird durch die auf Router PE3 konfigurierte lt-Schnittstelle geleitet. Die Konfiguration des Routers PE5 enthält die PE-CE-Schnittstelle.
Konfigurieren Sie auf Router PE2 die ge-1/0/2-Schnittstellenkapselung. Schließen Sie die encapsulation-Anweisung ein, und geben Sie die
ethernet-cccOption (vlan-cccencapsulation wird ebenfalls unterstützt) auf Hierarchieebene[edit interfaces ge-1/0/2]an. Die Kapselung sollte in einer ganzen Layer-2-VPN-Domäne (Router PE2 und PE3) gleich sein. Konfigurieren Sie außerdem die Schnittstelle lo0.[edit] interfaces { ge-1/0/2 { encapsulation ethernet-ccc; unit 0; } lo0 { unit 0 { family inet { address 192.0.2.2/24; } } } }Konfigurieren Sie auf Router PE2 die Routing-Instanz auf der Hierarchieebene [
edit routing-instances]. Konfigurieren Sie außerdem das Layer-2-VPN-Protokoll auf der Hierarchieebene [edit routing-instances routing-instances-name protocols]. Konfigurieren Sie die Remote-Site-ID als 3. Standort-ID 3 steht für Router PE3 (Hub-PE). Das Layer-2-VPN verwendet LDP als Signalisierungsprotokoll. Beachten Sie, dass im folgenden Beispiel sowohl die Routinginstanz als auch das Protokoll den Namen .l2vpn[edit] routing-instances {l2vpn{ # routing instance instance-type l2vpn; interface ge-1/0/2.0; route-distinguisher 65000:2; vrf-target target:65000:2; protocols {l2vpn{ # protocol encapsulation-type ethernet; site CE2 { site-identifier 2; interface ge-1/0/2.0 { remote-site-id 3; } } } } } }Konfigurieren Sie auf Router PE5 die Gigabit-Ethernet-Schnittstelle für die PE-CE-Verbindung
ge-2/0/0und konfigurieren Sie dielo0Schnittstelle.[edit interfaces] ge-2/0/0 { unit 0 { family inet { address 198.51.100.8/24; } } } lo0 { unit 0 { } }Konfigurieren Sie auf Router PE5 die Layer-3-VPN-Routinginstanz (
L3VPN) auf Hierarchieebene[edit routing-instances]. Konfigurieren Sie BGP auch auf Hierarchieebene[edit routing-instances L3VPN protocols].[edit] routing-instances { L3VPN { instance-type vrf; interface ge-2/0/0.0; route-distinguisher 65000:5; vrf-target target:65000:2; vrf-table-label; protocols { bgp { group ce5 { neighbor 198.51.100.2 { peer-as 200; } } } } } }In einem Router der MX-Serie, z. B. Router PE3, müssen Sie die Tunnel-Services-Schnittstelle erstellen, die für Tunnel-Services verwendet werden soll. Um die Tunneldienstschnittstelle zu erstellen, fügen Sie die Anweisung ein, und geben Sie die Bandbreite, die
bandwidthfür Tunneldienste reserviert werden soll, in Gigabit pro Sekunde auf Hierarchieebene[edit chassis fpc slot-number pic slot-number tunnel-services]an.[edit] chassis { dump-on-panic; fpc 1 { pic 1 { tunnel-services { bandwidth 1g; } } } }Konfigurieren Sie auf Router PE3 die Gigabit-Ethernet-Schnittstelle.
Fügen Sie die
addressAnweisung auf Hierarchieebene[edit interfaces ge-1/0/1.0 family inet]ein, und geben Sie sie als IP-Adresse an198.51.100.9/24.[edit] interfaces { ge-1/0/1 { unit 0 { family inet { address 198.51.100.9/24; } } } }Konfigurieren Sie auf Router PE3 die
lt-1/1/10.0logische Tunnelschnittstelle auf Hierarchieebene[edit interfaces lt-1/1/10 unit 0]. Router PE3 ist der Router, der das Layer-2-VPN über die logische Tunnelschnittstelle mit dem Layer-3-VPN verbindet . Die Konfiguration der Schnittstellen der Peer-Einheit macht die Verbindung aus.Um die Schnittstelle zu konfigurieren, fügen Sie die Anweisung ein, und geben Sie die
encapsulationethernet-cccOption an. Fügen Sie die Anweisung ein, und geben Sie diepeer-unitlogische Schnittstelleneinheit1als Peertunnelschnittstelle an. Fügen Sie die Anweisung ein, und geben Sie diefamilycccOption an.[edit] interfaces { lt-1/1/10 { unit 0 { encapsulation ethernet-ccc; peer-unit 1; family ccc; } } }Konfigurieren Sie auf Router PE3 die
lt-1/1/10.1logische Tunnelschnittstelle auf Hierarchieebene[edit interfaces lt-1/1/10 unit 1].Um die Schnittstelle zu konfigurieren, fügen Sie die Anweisung ein, und geben Sie die
encapsulationethernetOption an. Fügen Sie die Anweisung ein, und geben Sie diepeer-unitlogische Schnittstelleneinheit0als Peertunnelschnittstelle an. Fügen Sie die Anweisung ein, und geben Sie diefamilyinetOption an. Fügen Sie dieaddressAnweisung auf Hierarchieebene[edit interfaces lt-1/1/10 unit 0]ein und geben Sie sie als IPv4-Adresse an198.51.100.7/24.[edit] interfaces { lt-1/1/10 { unit 1 { encapsulation ethernet; peer-unit 0; family inet { address 198.51.100.7/24; } } } }Fügen Sie auf Router PE3 die
ltSchnittstelleneinheit 1 zur Routinginstanz auf Hierarchieebene[edit routing-instances L3VPN]hinzu. Konfigurieren Sie den Instance-Typ wievrfbeiltPeer-Unit 1 als PE-CE-Schnittstelle, um das Layer-2-VPN auf Router PE2 in das Layer-3-VPN auf Router PE3 zu beenden.[edit] routing-instances { L3VPN { instance-type vrf; interface ge-1/0/1.0; interface lt-1/1/10.1; route-distinguisher 65000:33; vrf-target target:65000:2; vrf-table-label; protocols { bgp { export direct; group ce3 { neighbor 198.51.100.10 { peer-as 100; } } } } } }Fügen Sie auf Router PE3 die
ltSchnittstelleneinheit 0 zur Routinginstanz auf Hierarchieebene[edit routing-instances protocols l2vpn]hinzu. Konfigurieren Sie außerdem dasselbe VRF-Ziel für die Layer-2-VPN- und Layer-3-VPN-Routing-Instanzen, damit die Routen zwischen den Instanzen durchsickern können. Die Beispielkonfiguration im vorherigen Schritt zeigt das VRF-Ziel für dieL3VPNRouting-Instanz. Das folgende Beispiel zeigt das vrf-Ziel für diel2vpnRoutinginstanz.[edit] routing-instances { l2vpn { instance-type l2vpn; interface lt-1/1/10.0; route-distinguisher 65000:3; vrf-target target:65000:2; protocols { l2vpn { encapsulation-type ethernet; site CE3 { site-identifier 3; interface lt-1/1/10.0 { remote-site-id 2; } } } } } }Konfigurieren Sie die Anweisung auf Router PE3 so, dass die
policy-statementvon der direkt angeschlossenenltSchnittstelleneinheit 1 gelernten Routen bei Bedarf an alle CE-Router exportiert werden, um eine Verbindung herzustellen.[edit] policy-options { policy-statement direct { term 1 { from protocol direct; then accept; } } }
Ergebnisse
Die folgende Ausgabe zeigt die vollständige Konfiguration des Routers PE2:
Router PE2
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.10.2.2/30;
}
family mpls;
}
}
xe-0/2/0 {
unit 0 {
family inet {
address 10.10.5.1/30;
}
family mpls;
}
}
xe-0/3/0 {
unit 0 {
family inet {
address 10.10.4.1/30;
}
family mpls;
}
}
ge-1/0/2 {
encapsulation ethernet-ccc;
unit 0;
}
fxp0 {
apply-groups [ re0 re1 ];
}
lo0 {
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
mpls {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group RR {
type internal;
local-address 192.0.2.2;
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
routing-instances {
l2vpn {
instance-type l2vpn;
interface ge-1/0/2.0;
route-distinguisher 65000:2;
vrf-target target:65000:2;
protocols {
l2vpn {
encapsulation-type ethernet;
site CE2 {
site-identifier 2;
interface ge-1/0/2.0 {
remote-site-id 3;
}
}
}
}
}
}
Die folgende Ausgabe zeigt die endgültige Konfiguration des Routers PE5:
Router PE5
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.10.4.2/30;
}
family mpls;
}
}
xe-0/1/0 {
unit 0 {
family inet {
address 10.10.6.2/30;
}
family mpls;
}
}
ge-1/0/0 {
unit 0 {
family inet {
address 10.10.9.1/30;
}
family mpls;
}
}
xe-1/1/0 {
unit 0 {
family inet {
address 10.10.3.2/30;
}
family mpls;
}
}
ge-2/0/0 {
unit 0 {
family inet {
address 198.51.100.8/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.5/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
rsvp {
interface all {
link-protection;
}
interface fxp0.0 {
disable;
}
}
mpls {
label-switched-path to-RR {
to 192.0.2.7;
}
label-switched-path to-PE2 {
to 192.0.2.2;
}
label-switched-path to-PE3 {
to 192.0.2.3;
}
label-switched-path to-PE4 {
to 192.0.2.4;
}
label-switched-path to-PE1 {
to 192.0.2.1;
}
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group to-rr {
type internal;
local-address 192.0.2.5;
family inet-vpn {
unicast;
}
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
routing-instances {
L3VPN {
instance-type vrf;
interface ge-2/0/0.0;
route-distinguisher 65000:5;
vrf-target target:65000:2;
vrf-table-label;
protocols {
bgp {
group ce5 {
neighbor 198.51.100.2 {
peer-as 200;
}
}
}
}
}
}
Die folgende Ausgabe zeigt die endgültige Konfiguration des Routers PE3:
Router PE3
chassis {
dump-on-panic;
fpc 1 {
pic 1 {
tunnel-services {
bandwidth 1g;
}
}
}
network-services ip;
}
interfaces {
ge-1/0/1 {
unit 0 {
family inet {
address 198.51.100.9/24;
}
}
}
lt-1/1/10 {
unit 0 {
encapsulation ethernet-ccc;
peer-unit 1;
family ccc;
}
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 198.51.100.7/24;
}
}
}
xe-2/0/0 {
unit 0 {
family inet {
address 10.10.20.2/30;
}
family mpls;
}
}
xe-2/1/0 {
unit 0 {
family inet {
address 10.10.6.1/30;
}
family mpls;
}
}
xe-2/2/0 {
unit 0 {
family inet {
address 10.10.5.2/30;
}
family mpls;
}
}
xe-2/3/0 {
unit 0 {
family inet {
address 10.10.1.2/30;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.3/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
mpls {
label-switched-path to-RR {
to 192.0.2.7;
}
label-switched-path to-PE2 {
to 192.0.2.2;
}
label-switched-path to-PE5 {
to 192.0.2.5;
}
label-switched-path to-PE4 {
to 192.0.2.4;
}
label-switched-path to-PE1 {
to 192.0.2.1;
}
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group RR {
type internal;
local-address 192.0.2.3;
family inet-vpn {
unicast;
}
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
policy-options {
policy-statement direct {
term 1 {
from protocol direct;
then accept;
}
}
}
routing-instances {
L3VPN {
instance-type vrf;
interface ge-1/0/1.0;
interface lt-1/1/10.1;
route-distinguisher 65000:33;
vrf-target target:65000:2;
vrf-table-label;
protocols {
bgp {
export direct;
group ce3 {
neighbor 198.51.100.10 {
peer-as 100;
}
}
}
}
}
l2vpn {
instance-type l2vpn;
interface lt-1/1/10.0;
route-distinguisher 65000:3;
vrf-target target:65000:2;
protocols {
l2vpn {
encapsulation-type ethernet;
site CE3 {
site-identifier 3;
interface lt-1/1/10.0 {
remote-site-id 2;
}
}
}
}
}
}
Überprüfung
Überprüfen Sie die Layer-2-VPN-zu-Layer-3-VPN-Verbindung:
- Überprüfen der Router PE2 VPN-Schnittstelle
- Überprüfen der PE3-VPN-Schnittstelle des Routers
- Überprüfen der End-to-End-Konnektivität von Router CE2 zu Router CE5 und Router CE3
Überprüfen der Router PE2 VPN-Schnittstelle
Zweck
Überprüfen Sie, ob das Layer-2-VPN an der PE2-Schnittstelle des Routers aktiv ist und funktioniert und ob alle Routen vorhanden sind.
Aktion
Verwenden Sie den
show l2vpn connectionsBefehl, um zu überprüfen, ob die Verbindungsstandort-ID für Router PE3 3 ist und ob der Status .Upuser@PE2> show l2vpn connections Layer-2 VPN connections: Legend for connection status (St) EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS EM -- encapsulation mismatch WE -- interface and instance encaps not same VC-Dn -- Virtual circuit down NP -- interface hardware not present CM -- control-word mismatch -> -- only outbound connection is up CN -- circuit not provisioned <- -- only inbound connection is up OR -- out of range Up -- operational OL -- no outgoing label Dn -- down LD -- local site signaled down CF -- call admission control failure RD -- remote site signaled down SC -- local and remote site ID collision LN -- local site not designated LM -- local site ID not minimum designated RN -- remote site not designated RM -- remote site ID not minimum designated XX -- unknown connection status IL -- no incoming label MM -- MTU mismatch MI -- Mesh-Group ID not available BK -- Backup connection ST -- Standby connection PF -- Profile parse failure PB -- Profile busy RS -- remote site standby Legend for interface status Up -- operational Dn -- down Instance: l2vpn Local site: CE2 (2) connection-site Type St Time last up # Up trans 3 rmt Up Jan 7 14:14:37 2010 1 Remote PE: 192.0.2.3, Negotiated control-word: Yes (Null) Incoming label: 800000, Outgoing label: 800001 Local interface: ge-1/0/2.0, Status: Up, Encapsulation: ETHERNETVerwenden Sie den
show route tableBefehl, um zu überprüfen, ob die Layer-2-VPN-Route vorhanden ist und ob ein nächster Hop10.10.5.2über diexe-0/2/0.0Schnittstelle vorhanden ist. Mit der folgenden Ausgabe wird überprüft, ob die Layer-2-VPN-Routen in der Tabelle l2vpn.l2vpn.0 vorhanden sind. Eine ähnliche Ausgabe sollte für Router PE3 angezeigt werden.user@PE2> show route table l2vpn.l2vpn.0 l2vpn.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 65000:2:2:3/96 *[L2VPN/170/-101] 02:40:35, metric2 1 Indirect 65000:3:3:1/96 *[BGP/170] 02:40:35, localpref 100, from 192.0.2.7 AS path: I > to 10.10.5.2 via xe-0/2/0.0Stellen Sie sicher, dass Router PE2 über ein Layer-2-VPN-MPLS-Label verfügt, das in beide Richtungen (PUSH und POP) auf das LDP-Label zu Router PE3 verweist.
user@PE2> show route table mpls.0 mpls.0: 13 destinations, 13 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 1 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 2 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 300560 *[LDP/9] 19:45:53, metric 1 > to 10.10.2.1 via xe-0/1/0.0, Pop 300560(S=0) *[LDP/9] 19:45:53, metric 1 > to 10.10.2.1 via xe-0/1/0.0, Pop 301008 *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Swap 299856 301536 *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Pop 301536(S=0) *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Pop 301712 *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Swap 315184 301728 *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Pop 301728(S=0) *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Pop 800000 *[L2VPN/7] 02:40:35 > via ge-1/0/2.0, Pop Offset: 4 ge-1/0/2.0 *[L2VPN/7] 02:40:35, metric2 1 > to 10.10.5.2 via xe-0/2/0.0, Push 800001 Offset: -4
Bedeutung
Die l2vpn Routing-Instanz befindet sich an der Schnittstelle und die Layer-2-VPN-Route wird in der ge-1/0/2 Tabelle l2vpn.l2vpn.0 angezeigt. Die Tabelle mpls.0 zeigt die Layer-2-VPN-Routen, die zur Weiterleitung des Datenverkehrs mithilfe eines LDP-Labels verwendet werden.
Überprüfen der PE3-VPN-Schnittstelle des Routers
Zweck
Überprüfen Sie, ob die Layer-2-VPN-Verbindung von Router PE2 und Router PE3 funktioniert Up und funktioniert.
Aktion
Vergewissern Sie sich, dass die BGP-Sitzung mit dem Routenreflektor für die Familie und die Familie
l2vpn-signalinginet-vpneingerichtet ist.user@PE3> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending bgp.l2vpn.0 1 1 0 0 0 0 bgp.L3VPN.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active /Received/Accepted/Damped... 192.0.2.7 65000 2063 2084 0 1 15:35:16 Establ bgp.l2vpn.0: 1/1/1/0 bgp.L3VPN.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 l2vpn.l2vpn.0: 1/1/1/0
Die folgende Ausgabe überprüft die Layer-2-VPN-Route und die ihr zugeordnete Bezeichnung.
user@PE3> show route table l2vpn.l2vpn.0 detail l2vpn.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 65000:2:2:3/96 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 65000:2 Next hop type: Indirect Next-hop reference count: 4 Source: 192.0.2.7 Protocol next hop: 192.0.2.2 Indirect next hop: 2 no-forward State: <Secondary Active Int Ext> Local AS: 65000 Peer AS: 65000 Age: 2:45:52 Metric2: 1 Task: BGP_65000.192.0.2.7+60585 Announcement bits (1): 0-l2vpn-l2vpn AS path: I (Originator) Cluster list: 192.0.2.7 AS path: Originator ID: 192.0.2.2 Communities: target:65000:2 Layer2-info: encaps:ETHERNET, control flags:Control-Word, mtu: 0, site preference: 100 Accepted Label-base: 800000, range: 2, status-vector: 0x0 Localpref: 100 Router ID: 192.0.2.7 Primary Routing Table bgp.l2vpn.0Die folgende Ausgabe zeigt die L2VPN MPLS.0-Route in der mpls.0-Routing-Tabelle.
user@PE3> show route table mpls.0 mpls.0: 21 destinations, 21 routes (21 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 1 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 2 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 16 *[VPN/0] 15:59:24 to table L3VPN.inet.0, Pop 315184 *[LDP/9] 16:21:53, metric 1 > to 10.10.20.1 via xe-2/0/0.0, Pop 315184(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.20.1 via xe-2/0/0.0, Pop 315200 *[LDP/9] 01:13:44, metric 1 to 10.10.20.1 via xe-2/0/0.0, Swap 625297 > to 10.10.6.2 via xe-2/1/0.0, Swap 299856 315216 *[LDP/9] 16:21:53, metric 1 > to 10.10.6.2 via xe-2/1/0.0, Pop 315216(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.6.2 via xe-2/1/0.0, Pop 315232 *[LDP/9] 16:21:45, metric 1 > to 10.10.1.1 via xe-2/3/0.0, Pop 315232(S=0) *[LDP/9] 16:21:45, metric 1 > to 10.10.1.1 via xe-2/3/0.0, Pop 315248 *[LDP/9] 16:21:53, metric 1 > to 10.10.5.1 via xe-2/2/0.0, Pop 315248(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.5.1 via xe-2/2/0.0, Pop 315312 *[RSVP/7] 15:02:40, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path to-pe5 315312(S=0) *[RSVP/7] 15:02:40, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path to-pe5 315328 *[RSVP/7] 15:02:40, metric 1 > to 10.10.20.1 via xe-2/0/0.0, label-switched-path to-RR 315360 *[RSVP/7] 15:02:40, metric 1 > to 10.10.20.1 via xe-2/0/0.0, label-switched-path to-RR 316272 *[RSVP/7] 01:13:27, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path Bypass->10.10.9.1 316272(S=0) *[RSVP/7] 01:13:27, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path Bypass->10.10.9.1 800001 *[L2VPN/7] 02:47:33 > via lt-1/1/10.0, Pop Offset: 4 lt-1/1/10.0 *[L2VPN/7] 02:47:33, metric2 1 > to 10.10.5.1 via xe-2/2/0.0, Push 800000 Offset: -4Verwenden Sie den Befehl mit der
detailOption, die BGP-Attribute der Route anzuzeigen, z. B. denshow route table mpls.0Typ des nächsten Hops und Bezeichnungsvorgänge.user@PE5> show route table mpls.0 detail lt-1/1/10.0 (1 entry, 1 announced) *L2VPN Preference: 7 Next hop type: Indirect Next-hop reference count: 2 Next hop type: Router, Next hop index: 607 Next hop: 10.10.5.1 via xe-2/2/0.0, selected Label operation: Push 800000 Offset: -4 Protocol next hop: 192.0.2.2 Push 800000 Offset: -4 Indirect next hop: 8cae0a0 1048574 State: <Active Int> Age: 2:46:34 Metric2: 1 Task: Common L2 VC Announcement bits (2): 0-KRT 2-Common L2 VC AS path: I Communities: target:65000:2 Layer2-info: encaps:ETHERNET, control flags:Control-Word, mtu: 0, site preference: 100
Überprüfen der End-to-End-Konnektivität von Router CE2 zu Router CE5 und Router CE3
Zweck
Überprüfen Sie die Konnektivität zwischen den Routern CE2, CE3 und CE5.
Aktion
Pingen Sie die IP-Adresse des Routers CE3 vom Router CE2 an.
user@CE2> ping 198.51.100.10 # CE3 IP address PING 198.51.100.10 (198.51.100.10): 56 data bytes 64 bytes from 198.51.100.10: icmp_seq=0 ttl=63 time=0.708 ms 64 bytes from 198.51.100.10: icmp_seq=1 ttl=63 time=0.610 ms
Pingen Sie die IP-Adresse des Routers CE5 von Router CE2 an.
user@CE2> ping 198.51.100.2 # CE5 IP address PING 198.51.100.2 (198.51.100.2): 56 data bytes 64 bytes from 198.51.100.2: icmp_seq=0 ttl=62 time=0.995 ms 64 bytes from 198.51.100.2: icmp_seq=1 ttl=62 time=1.005 ms