IPv4-Datenverkehr über Layer-3-VPNs
Grundlegendes zur IPv4-Routenverteilung in einem Layer 3-VPN
Innerhalb eines VPN erfolgt die Verteilung der VPN-IPv4-Routen zwischen den PE- und CE-Routern sowie zwischen den PE-Routern (siehe Abbildung 1).
In diesem Abschnitt werden die folgenden Themen behandelt:
- Verteilung der Routen von CE- zu PE-Routern
- Verteilung der Routen zwischen PE-Routern
- Verteilung der Routen von PE- zu CE-Routern
Verteilung der Routen von CE- zu PE-Routern
Ein CE-Router meldet seine Routen an den direkt angeschlossenen PE-Router an. Die angekündigten Routen liegen im IPv4-Format vor. Der PE-Router platziert die Routen in der VRF-Tabelle für das VPN. Im Junos OS ist dies die routing-instance-nameRouting-Tabelle .inet.0, in routing-instance-name der der Name des VPNs konfiguriert ist.
Die Verbindung zwischen dem CE- und dem PE-Router kann eine Remote-Verbindung (eine WAN-Verbindung) oder eine direkte Verbindung (z. B. eine Frame Relay- oder Ethernet-Verbindung) sein.
CE-Router können mit PE-Routern über eine der folgenden Methoden kommunizieren:
-
OSPF
-
ZERREIßEN
-
BGP
-
Statische Route
Abbildung 2 zeigt, wie Routen von CE-Routern auf PE-Router verteilt werden. Router PE1 ist mit zwei CE-Routern verbunden, die sich in unterschiedlichen VPNs befinden. Daher werden zwei VRF-Tabellen erstellt, eine für jedes VPN. Die CE-Router kündigen IPv4-Routen an. Der PE-Router installiert diese Routen in zwei verschiedenen VRF-Tabellen, eine für jedes VPN. Auf ähnliche Weise erstellt Router PE2 zwei VRF-Tabellen, in die Routen von den beiden direkt verbundenen CE-Routern installiert werden. Router PE3 erstellt eine VRF-Tabelle, da er nur mit einem VPN direkt verbunden ist.
Verteilung der Routen zwischen PE-Routern
Wenn ein PE-Router Routen empfängt, die von einem direkt verbundenen CE-Router angekündigt wurden, prüft er die empfangene Route anhand der VRF-Exportrichtlinie für dieses VPN. Wenn sie übereinstimmt, wird die Route in das VPN-IPv4-Format konvertiert, d. h., der 8-Byte-Routenunterscheidungsunterschied wird dem 4-Byte-VPN-Präfix vorangestellt, um eine 12-Byte-VPN-IPv4-Adresse zu bilden. Die Route wird dann mit einer Routenziel-Community markiert. Der PE-Router kündigt die Route im VPN-IPv4-Format zu den Remote-PE-Routern zur Verwendung durch VRF-Importrichtlinien an. Die Routen werden über IBGP-Sitzungen verteilt, die im Kernnetzwerk des Anbieters konfiguriert werden. Stimmt die Route nicht überein, wird sie nicht auf andere PE-Router exportiert, kann aber dennoch lokal für das Routing verwendet werden, z. B. wenn zwei CE-Router im selben VPN direkt mit demselben PE-Router verbunden sind.
Der Remote-PE-Router platziert die Route in seiner Tabelle bgp.l3vpn.0, wenn die Route die Importrichtlinie für die IBGP-Sitzung zwischen den PE-Routern passiert. Gleichzeitig wird die Route anhand der VRF-Importrichtlinie für das VPN überprüft. Wenn sie übereinstimmt, wird die Route Distinguisher aus der Route entfernt, und sie wird im IPv4-Format in der VRF-Tabelle (der routing-instance-name.inet.0-Tabelle) abgelegt.
Abbildung 3 zeigt, wie Router PE1 Routen zu den anderen PE-Routern im Kernnetzwerk des Anbieters verteilt. Router PE2 und Router PE3 verfügen jeweils über VRF-Importrichtlinien, mit denen sie bestimmen, ob über die IBGP-Sitzungen empfangene Routen akzeptiert und in ihren VRF-Tabellen installiert werden sollen.
Wenn ein PE-Router Routen empfängt, die von einem direkt verbundenen CE-Router (Router PE1 in Abbildung 3) angekündigt werden, verwendet er das folgende Verfahren, um die Route zu untersuchen, in eine VPN-Route umzuwandeln und an die Remote-PE-Router zu verteilen:
-
Der PE-Router überprüft die empfangene Route mithilfe der VRF-Exportrichtlinie für dieses VPN.
-
Wenn die empfangene Route mit der Exportrichtlinie übereinstimmt, wird die Route wie folgt verarbeitet:
-
Die Route wird in das VPN-IPv4-Format konvertiert, d. h., der 8-Byte-Routenunterscheidungsmerkmal wird dem 4-Byte-VPN-Präfix vorangestellt, um die 12-Byte-VPN-IPv4-Adresse zu bilden.
-
Der Route wird eine Routenziel-Community hinzugefügt.
-
Der PE-Router kündigt die Route im VPN-IPv4-Format an die Remote-PE-Router an. Die Routen werden über IBGP-Sitzungen verteilt, die im Kernnetzwerk des Anbieters konfiguriert werden.
-
-
Wenn die Route nicht mit der Exportrichtlinie übereinstimmt, wird sie nicht an die Remote-PE-Router exportiert, kann aber dennoch lokal für das Routing verwendet werden, z. B. wenn zwei CE-Router im selben VPN direkt mit demselben PE-Router verbunden sind.
Wenn der Remote-PE-Router Routen empfängt, die von einem anderen PE-Router (Router PE2 und PE3 in Abbildung 3) angekündigt werden, verwendet er das folgende Verfahren, um die Route zu verarbeiten:
-
Wenn die Route von der Importrichtlinie für die IBGP-Sitzung zwischen den PE-Routern akzeptiert wird, platziert der Remote-PE-Router die Route in seiner Tabelle bgp.l3vpn.0.
-
Der Remote-PE-Router prüft die Routenziel-Community der Route anhand der VRF-Importrichtlinie für das VPN.
-
Wenn sie übereinstimmt, wird die Route Distinguisher aus der Route entfernt, und sie wird im IPv4-Format in der VRF-Tabelle (der routing-instance-name.inet.0-Tabelle) abgelegt.
Verteilung der Routen von PE- zu CE-Routern
Der Remote-PE-Router meldet die Routen in seinen VRF-Tabellen im IPv4-Format zu seinen direkt verbundenen CE-Routern.
PE-Router können mit CE-Routern über eines der folgenden Routing-Protokolle kommunizieren:
-
OSPF
-
ZERREIßEN
-
BGP
-
Statische Route
Abbildung 4 zeigt, wie die drei PE-Router ihre Routen zu ihren verbundenen CE-Routern ankündigen.
Grundlegendes zu VPN-IPv4-Adressen und Routenunterscheidern
Da Layer-3-VPNs private Netzwerke über die öffentliche Internetinfrastruktur verbinden, die entweder öffentliche Adressen oder private Adressen verwenden können, wie in RFC 1918 (Address Allocation for Private Internets) definiert, können sich die Adressen mit den Adressen eines anderen privaten Netzwerks überschneiden, wenn die privaten Netzwerke private Adressen verwenden.
Abbildung 5 zeigt, wie sich private Adressen verschiedener privater Netzwerke überschneiden können. Hier verwenden Websites in VPN A und VPN B die Adressräume 10.1.0.0/16, 10.2.0.0/16 und 10.3.0.0/16 für ihre privaten Netzwerke.
Um Überschneidungen mit privaten Adressen zu vermeiden, können Sie die Netzwerkgeräte so konfigurieren, dass sie öffentliche Adressen anstelle von privaten Adressen verwenden. Dies ist jedoch ein großes und komplexes Unterfangen. Die in RFC 4364 bereitgestellte Lösung verwendet die vorhandenen privaten Netzwerknummern, um eine neue Adresse zu erstellen, die eindeutig ist. Die neue Adresse ist Teil der VPN-IPv4-Adressfamilie, bei der es sich um eine BGP-Adressfamilie handelt, die als Erweiterung des BGP-Protokolls hinzugefügt wurde. In VPN-IPv4-Adressen wird der privaten IPv4-Adresse ein Wert zur Identifizierung des VPN, der als Route Distinguisher bezeichnet wird, vorangestellt, wodurch eine Adresse bereitgestellt wird, die eine private IPv4-Adresse eindeutig identifiziert.
Nur die PE-Router müssen die VPN-IPv4-Adresserweiterung für BGP unterstützen. Wenn ein PE-Eingangsrouter eine IPv4-Route von einem Gerät innerhalb eines VPN empfängt, wandelt er diese in eine VPN-IPv4-Route um, indem er der Route das Präfix route distinguisher hinzufügt. Die VPN-IPv4-Adressen werden nur für Routen verwendet, die zwischen PE-Routern ausgetauscht werden. Wenn ein PE-Router mit ausgehendem Ausgang eine VPN-IPv4-Route empfängt, konvertiert er die VPN-IPv4-Route wieder in eine IPv4-Route, indem er die Routenunterscheidung entfernt, bevor er die Route seinen verbundenen CE-Routern ankündigt.
VPN-IPv4-Adressen haben das folgende Format:
-
Die Routenunterscheidung ist ein 6-Byte-Wert, den Sie in einem der folgenden Formate angeben können:
-
as-number:number, wobeias-numbereine AS-Zahl (ein 2-Byte-Wert) undnumberein beliebiger 4-Byte-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Wir empfehlen, dass Sie eine von der Internet Assigned Numbers Authority (IANA) zugewiesene, nicht private AS-Nummer verwenden, vorzugsweise die eigene AS-Nummer des Internet Service Providers (ISP) oder die des Kunden selbst. -
ip-address:number, wobeiip-addresseine IP-Adresse (ein 4-Byte-Wert) undnumberein beliebiger 2-Byte-Wert ist. Bei der IP-Adresse kann es sich um eine beliebige global eindeutige Unicastadresse handeln. Es wird empfohlen, die Adresse zu verwenden, die Sie in derrouter-idAnweisung konfigurieren, bei der es sich um eine nicht private Adresse im zugewiesenen Präfixbereich handelt.
-
-
IPv4-Adresse: 4-Byte-Adresse eines Geräts innerhalb des VPNs.
Abbildung 5 zeigt, wie die AS-Nummer in der Routenunterscheidung verwendet werden kann. Angenommen, VPN A befindet sich in AS 65535 und VPN B in AS 666 (beide AS-Nummern gehören dem ISP), und nehmen wir an, dass die Routenunterscheidung für Standort 2 in VPN A 65535:02 und die Routenunterscheidung für Standort 2 in VPN B 666:02 ist. Wenn Router PE2 eine Route vom CE-Router in VPN A empfängt, konvertiert er diese von seiner IP-Adresse 10.2.0.0 in eine VPN-IPv4-Adresse 65535:02:10.2.0.0. Wenn der PE-Router eine Route von VPN B empfängt, die denselben Adressraum wie VPN A verwendet, konvertiert er sie in eine VPN-IPv4-Adresse mit der Nummer 666:02:10.2.0.0.
Wenn die IP-Adresse in der Routenunterscheidung verwendet wird, nehmen wir an, dass die IP-Adresse von Router PE2 172.168.0.1 lautet. Wenn der PE-Router eine Route von VPN A empfängt, konvertiert er sie in eine VPN-IPv4-Adresse von 172.168.0.1:0:10.2.0.0/16 und konvertiert eine Route von VPN B in 172.168.0.0:1:10.2.0.0/16.
Route Distinguisher werden nur zwischen PE-Routern zu IPv4-Adressen von verschiedenen VPNs verwendet. Der Eingangs-PE-Router erstellt eine Routenunterscheidung und wandelt IPv4-Routen, die von CE-Routern empfangen werden, in VPN-IPv4-Adressen um. Die ausgehenden PE-Router wandeln VPN-IPv4-Routen in IPv4-Routen um, bevor sie sie dem CE-Router mitteilen.
Da es sich bei VPN-IPv4-Adressen um eine Art BGP-Adresse handelt, müssen Sie IBGP-Sitzungen zwischen PE-Routerpaaren so konfigurieren, dass die PE-Router VPN-IPv4-Routen innerhalb des Kernnetzwerks des Anbieters verteilen können. (Es wird davon ausgegangen, dass sich alle PE-Router innerhalb desselben AS befinden.)
Sie definieren BGP-Communities, um die Verteilung der Routen zwischen den PE-Routern einzuschränken. Bei der Definition von BGP-Communities wird nicht zwischen IPv4-Adressen unterschieden.
Abbildung 6 zeigt, wie Router PE1 den Routenunterscheidungsmerkmal 10458:22:10.1/16 zu Routen hinzufügt, die vom CE-Router an Standort 1 in VPN A empfangen werden, und diese Routen an die beiden anderen PE-Router weiterleitet. In ähnlicher Weise fügt Router PE1 den Routenunterscheidungsmerkmal 10458:23:10.2/16 zu Routen hinzu, die vom CE-Router an Standort 1 in VPN B empfangen werden, und leitet diese Routen an die anderen PE-Router weiter.
Konfigurieren der IPv4-Paketweiterleitung für Layer 3-VPNs
Sie können den Router so konfigurieren, dass er die Paketweiterleitung für IPv4-Datenverkehr in Layer-2- und Layer-3-VPNs unterstützt. Die Paketweiterleitung wird je nach Typ des konfigurierten Hilfsdienstes auf eine der folgenden Arten gehandhabt:
BOOTP-Dienst: Clients senden BOOTP-Anforderungen (Bootstrap Protocol) über den Router, der mit dem BOOTP-Dienst konfiguriert ist, an einen Server in der angegebenen Routing-Instanz. Der Server erkennt die Clientadresse und sendet eine Antwort an den Router zurück, der mit dem BOOTP-Dienst konfiguriert ist. Dieser Router leitet die Antwort an die richtige Clientadresse in der angegebenen Routing-Instanz weiter.
Andere Services: Clients senden Anforderungen über den mit dem Service konfigurierten Router an einen Server in der angegebenen Routing-Instanz. Der Server erkennt die Clientadresse und sendet eine Antwort an die richtige Clientadresse in der angegebenen Routinginstanz.
Um die Paketweiterleitung für VPNs zu aktivieren, fügen Sie die helpers folgende Anweisung ein:
helpers {
service {
description description-of-service;
server {
address address {
routing-instance routing-instance-names;
}
}
interface interface-name {
description description-of-interface;
no-listen;
server {
address address {
routing-instance routing-instance-names;
}
}
}
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit forwarding-options][edit logical-systems logical-system-name forwarding-options][edit routing-instances routing-instance-name forwarding-options]Anmerkung:Sie können die Paketweiterleitung für mehrere VPNs aktivieren. Der Client und der Server müssen sich jedoch im selben VPN befinden. Alle Juniper Networks Routing-Plattformen, bei denen die Paketweiterleitung entlang des Pfads zwischen Client und Server aktiviert ist, müssen sich ebenfalls im selben VPN befinden.
Die Adresse und die Routing-Instanz bilden zusammen einen eindeutigen Server. Dies hat Auswirkungen auf Router, die mit dem BOOTP-Dienst konfiguriert sind, der mehrere Server akzeptieren kann.
Ein BOOTP-Dienst kann z. B. wie folgt konfiguriert werden:
[edit forwarding-options helpers bootp] server address 10.2.3.4 routing-instance [instance-A instance-B];
Auch wenn die Adressen identisch sind, unterscheiden sich die Routinginstanzen. Ein Paket, das für den BOOTP-Dienst eingehtinstance-A, wird an die instance-A Routing-Instanz weitergeleitet10.2.3.4, während ein Paket, das eingehtinstance-B, in der instance-B Routing-Instanz weitergeleitet wird. Andere Dienste können nur einen einzigen Server akzeptieren, sodass diese Konfiguration in diesen Fällen nicht gilt.
Beispiel: Konfigurieren eines einfachen MPLS-basierten Layer 3-VPN
Dieses Beispiel zeigt, wie ein einfaches MPLS-basiertes Layer-3-VPN auf Routern oder Switches mit Junos OS konfiguriert und validiert wird. Im IPv4-basierten Beispiel wird EBGP als Routing-Protokoll zwischen dem Anbieter und den Edge-Geräten des Kunden verwendet.
Unser Content-Testing-Team hat dieses Beispiel validiert und aktualisiert.
Sie können ein MPLS-basiertes virtuelles privates Layer-3-Netzwerk (VPN) mithilfe von Routern und Switches bereitstellen, auf denen Junos OS ausgeführt wird, um Kundenstandorte mit Layer-3-Konnektivität zu verbinden. Während statisches Routing unterstützt wird, müssen bei Layer-3-VPNs in der Regel die Kundengeräte Routing-Informationen mit dem Provider-Netzwerk austauschen und Unterstützung für IP-Protokolle wie IPv4 und/oder IPv6 erfordern.
Dies steht im Gegensatz zu einem Layer-2-VPN, bei dem die Kundengeräte möglicherweise nicht auf IP-Protokollen basieren und bei dem gegebenenfalls Routing zwischen den Kunden-Edge-Geräten (CE) stattfindet. Im Gegensatz zu einem Layer-3-VPN, bei dem das CE-Gerät mit dem Provider-Edge-Gerät interagiert (Peers), wird bei einem Layer-2-VPN der Kundendatenverkehr transparent durch den Provider-Core geleitet, wobei alle Routing-Protokolle End-to-End zwischen den CE-Geräten ausgeführt werden.
MPLS-basierte VPNs erfordern eine grundlegende MPLS-Funktionalität im Provider-Netzwerk. Sobald das grundlegende MPLS in Betrieb ist, können Sie VPNs konfigurieren, die Label-Switched-Pfade (LSPs) für den Transport über den Provider-Core verwenden.
Das Hinzufügen von VPN-Services wirkt sich nicht auf die grundlegenden MPLS-Switching-Vorgänge im Provider-Netzwerk aus. Tatsächlich erfordern die Geräte des Anbieters (P) nur eine grundlegende MPLS-Konfiguration, da sie nicht VPN-fähig sind. Der VPN-Status wird nur auf PE-Geräten (Provider Edge) beibehalten. Dies ist einer der Hauptgründe, warum MPLS-basierte VPNs so gut skaliert werden.
- Anforderungen
- Übersicht und Topologie
- Schnelle Konfigurationen
- Konfigurieren des lokalen PE-Geräts (PE1) für ein MPLS-basiertes Layer-3-VPN
- Konfigurieren des Remote-PE-Geräts (PE2) für ein MPLS-basiertes Layer-3-VPN
- Verifizierung
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 12.3 oder höher für Routing- und Switching-Geräte
Erneut validiert mit Junos OS Version 20.3R1
Zwei Provider-Edge-Geräte (PE)
Ein Provider-Gerät (P)
Zwei Kunden-Edge-Geräte (CE)
Das Beispiel konzentriert sich darauf, wie ein Layer-3-VPN zu einer bereits bestehenden MPLS-Baseline hinzugefügt wird. Eine grundlegende MPLS-Konfiguration wird bereitgestellt, falls in Ihrem Netzwerk noch kein MPLS bereitgestellt ist.
Um MPLS-basierte VPNs zu unterstützen, muss die zugrunde liegende MPLS-Baseline die folgenden Funktionen bieten:
Core- und Loopback-Schnittstellen, die mit Unterstützung der MPLS-Familie betrieben werden
Ein internes Gateway-Protokoll wie OSPF oder IS-IS, um die Erreichbarkeit zwischen den Loopback-Adressen der Provider-Geräte (P und PE) zu gewährleisten
Ein MPLS-Signalisierungsprotokoll wie LDP oder RSVP zur Signalisierung von LSPs
LSPs, die zwischen Loopback-Adressen für PE-Geräte eingerichtet wurden
LSPs werden zwischen jedem Paar von PE-Geräten benötigt, die an einem bestimmten VPN teilnehmen. Es ist eine gute Idee, LSPs zwischen allen PE-Geräten zu erstellen, um dem zukünftigen VPN-Wachstum Rechnung zu tragen. LSPs werden auf Hierarchieebene [edit protocols mpls] konfiguriert. Im Gegensatz zu einer MPLS-Konfiguration für eine Circuit Cross-Connect (CCC)-Verbindung müssen Sie den LSP nicht manuell mit der kundenorientierten (Edge-)Schnittstelle des PE-Geräts verknüpfen. Stattdessen verwenden Layer-3-VPNs BGP-Signale, um die Erreichbarkeit von Websites zu bewerben. Diese BGP-Signalisierung automatisiert die Zuordnung von Remote-VPN-Standorten zu LSP-Weiterleitungs-Next Hops. Das bedeutet, dass bei einem Layer-3-VPN keine explizite Zuordnung eines LSP zur Edge-Schnittstelle eines PE-Geräts erforderlich ist.
Übersicht und Topologie
Layer-3-VPNs ermöglichen es Kunden, das technische Know-how des Service Providers zu nutzen, um ein effizientes Routing von Standort zu Standort zu gewährleisten. Das Kunden-Edge-Gerät (CE) verwendet in der Regel ein Routing-Protokoll wie BGP oder OSPF, um Routen mit dem Service Provider Edge (PE)-Gerät auszutauschen. Statisches Routing wird für Layer 3-VPNs unterstützt, im Allgemeinen wird jedoch ein dynamisches Routing-Protokoll bevorzugt.
Die Definition eines VPN umfasst nur Änderungen an den lokalen und Remote-PE-Geräten. Auf den Provider-Geräten ist keine zusätzliche Konfiguration erforderlich (vorausgesetzt, sie verfügen bereits über eine funktionierende MPLS-Baseline), da diese Geräte nur grundlegende MPLS-Switching-Funktionen bereitstellen. Die CE-Geräte verwenden kein MPLS und benötigen nur eine grundlegende Schnittstellen- und Routing-Protokollkonfiguration, damit sie mit den PE-Geräten interagieren können.
In einem Layer 3-VPN konfigurieren Sie die CE-Geräte so, dass sie mit dem lokalen PE-Gerät peeren. Dies steht im Gegensatz zu einem Layer-2-VPN, bei dem die CE-Geräte miteinander peeren, als befänden sie sich auf einer gemeinsam genutzten Verbindung, obwohl sie über einen MPLS-basierten Provider-Core verbunden sind.
Sobald eine MPLS-Baseline eingerichtet ist, müssen Sie die folgenden Funktionen auf den PE-Geräten konfigurieren, um Ihr MPLS-basiertes Layer-3-VPN einzurichten:
Eine BGP-Gruppe mit
family inet-vpn unicastSupportEine Routing-Instanz mit Instanztyp
vrfund einer Routing-Protokolldefinition, die mit dem angeschlossenen CE-Gerät kompatibel istDie kundenseitigen Schnittstellen auf den PE-Geräten sind mit
family ineteiner IPv4-Adresse konfiguriert, die die Schnittstelle im selben Subnetz wie das angeschlossene CE-Gerät platziert. Falls gewünscht, kann auch eine VLAN-Kapselung und eine entsprechende VLAN-ID konfiguriert werden.
Für eine ordnungsgemäße End-to-End-Konnektivität muss das CE-Gerät mit einem kompatiblen IP-Subnetz und Routing-Protokollparametern konfiguriert werden, um das Peering mit dem PE-Gerät zu unterstützen.
Abbildung 7 zeigt die in diesem Beispiel verwendete Topologie. Die Abbildung zeigt die Schnittstellennamen, IP-Adressen und Routing-Protokolle, die in den Netzwerken des Anbieters und der Kunden verwendet werden. Außerdem wird die Peering-Beziehung zwischen den CE- und PE-Geräten hervorgehoben. In diesem Beispiel erwarten Sie, dass jedes CE-Gerät eine EBGP-Peering-Sitzung mit dem lokalen PE-Gerät bildet. Beachten Sie, dass dem Provider-Netzwerk und beiden Kundenstandorten eine autonome Systemnummer zugewiesen ist, um den BGP-Betrieb zu unterstützen. In diesem Beispiel wird eine Routing-Richtlinie auf die CE-Geräte angewendet, damit diese die direkten Routen für ihre Provider- und Loopback-Schnittstellen ankündigen.
Schnelle Konfigurationen
Verwenden Sie die Konfigurationen in diesem Abschnitt, um Ihr MPLS-basiertes Layer-3-VPN schnell zum Laufen zu bringen. Die Konfigurationen beinhalten eine funktionale MPLS-Baseline zur Unterstützung Ihres Layer-3-VPN. Dieses Beispiel konzentriert sich auf die VPN-Aspekte der Konfiguration. Unter den folgenden Links finden Sie weitere Informationen zur grundlegenden MPLS-Funktionalität, die in diesem Beispiel verwendet wird:
CLI Schnellkonfiguration
Die Gerätekonfigurationen lassen die Verwaltungsschnittstelle, statische Routen, die Systemprotokollierung, die Systemdienste und die Benutzeranmeldeinformationen aus. Diese Teile der Konfiguration variieren je nach Standort und stehen nicht in direktem Zusammenhang mit der MPLS- oder VPN-Funktionalität.
Bearbeiten Sie die folgenden Befehle nach Bedarf für die Besonderheiten Ihrer Umgebung, und fügen Sie sie in das lokale CE (CE1)-Geräteterminalfenster ein, wenn Sie sich im Konfigurationsmodus in der [edit] Hierarchie befinden:
Die komplette Konfiguration für das CE1-Gerät.
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
Die komplette Konfiguration für das PE1-Gerät.
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
Die komplette Konfiguration für das P-Gerät.
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
Die komplette Konfiguration für das PE2-Gerät.
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
Die komplette Konfiguration für das CE2-Gerät.
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
Stellen Sie sicher, dass Sie die Konfigurationsänderungen auf allen Geräten übernehmen, wenn Sie mit Ihrer Arbeit zufrieden sind. Herzlichen Glückwunsch zu Ihrem neuen MPLS-basierten Layer 3 VPN! Im Abschnitt Verifizierung finden Sie die Schritte, die erforderlich sind, um zu bestätigen, dass Ihr Layer-3-VPN wie erwartet funktioniert.
Konfigurieren des lokalen PE-Geräts (PE1) für ein MPLS-basiertes Layer-3-VPN
In diesem Abschnitt werden die Schritte beschrieben, die zum Konfigurieren des PE1-Geräts für dieses Beispiel erforderlich sind. Der Fokus liegt auf den PE-Geräten, da dort die VPN-Konfiguration untergebracht ist. Im Abschnitt Schnellkonfigurationen finden Sie die in diesem Beispiel verwendeten CE-Geräte- und P-Gerätekonfigurationen.
Konfigurieren der MPLS-Baseline (falls erforderlich)
Bevor Sie ein Layer 3-VPN konfigurieren, stellen Sie sicher, dass das PE-Gerät über eine funktionierende MPLS-Baseline verfügt. Wenn Sie bereits über eine MPLS-Baseline verfügen, können Sie mit der Schritt-für-Schritt-Anleitung zum Hinzufügen des Layer-3-VPN zu den PE-Geräten fortfahren.
Konfigurieren Sie den Hostnamen.
[edit] user@pe1# set system host-name pe1
Konfigurieren Sie die Core- und Loopback-Schnittstellen:
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
Beste Praxis:Während ein Layer-3-VPN eine Fragmentierung am Eingangs-PE durchführen kann, empfiehlt es sich, das Netzwerk so zu gestalten, dass der CE einen Frame mit maximaler Größe senden kann, ohne dass eine Fragmentierung erforderlich ist. Um sicherzustellen, dass es nicht zu einer Fragmentierung kommt, sollte das Provider-Netzwerk den größten Frame unterstützen, den die CE-Geräte generieren können, nachdem die MPLS- und VRF-Etiketten (Virtual Routing and Forwarding) vom PE-Gerät hinzugefügt wurden. In diesem Beispiel wird für die CE-Geräte die standardmäßige MTU (Maximum Transmission Unit) von 1500 Byte beibehalten, während der Provider-Core für die Unterstützung einer MTU mit 4000 Byte konfiguriert wird. Dadurch wird sichergestellt, dass die CE-Geräte die MTU im Netzwerk des Anbieters auch bei MPLS- und VRF-Kapselungs-Overhead nicht überschreiten können.
Konfigurieren Sie die Protokolle:
Anmerkung:Traffic Engineering wird für RSVP-signalisierte LSPs unterstützt, ist aber nicht für grundlegendes MPLS-Switching oder die VPN-Bereitstellung erforderlich. Die bereitgestellte MPLS-Baseline nutzt RSVP, um LSPs zu signalisieren, und ermöglicht Traffic-Engineering für OSPF. Da jedoch keine Pfadeinschränkungen konfiguriert sind, gehen Sie davon aus, dass die LSPs über den kürzesten Pfad des Interior Gateway-Protokolls geleitet werden.
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
Definieren Sie den LSP für die Loopback-Adresse des Remote-PE-Geräts:
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
Die MPLS-Baseline ist jetzt auf dem PE1-Gerät konfiguriert. Fahren Sie mit der Konfiguration des Layer-3-VPN fort.
Verfahren
Schritt-für-Schritt-Anleitung
Führen Sie die folgenden Schritte aus, um das PE1-Gerät für ein Layer-3-VPN zu konfigurieren.
Konfigurieren Sie die kundenorientierte Schnittstelle:
Trinkgeld:Sie können auf demselben PE-Gerät sowohl ein MPLS-basiertes Layer-2-VPN als auch ein MPLS-basiertes Layer-3-VPN konfigurieren. Es ist jedoch nicht möglich, dieselbe Kundenschnittstelle so zu konfigurieren, dass sie sowohl ein Layer-2-VPN als auch ein Layer-3-VPN unterstützt.
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
Konfigurieren Sie eine BGP-Gruppe für das Peering zwischen den lokalen und Remote-PE-Geräten. Verwenden Sie die Loopback-Adresse des PE-Geräts als lokale Adresse, und aktivieren Sie die Adressfamilie für die
inet-vpn unicastUnterstützung des Layer 3-VPN-Routenaustauschs. Eine Routing-Richtlinie für BGP ist auf den PE-Geräten in diesem Beispiel nicht erforderlich. Standardmäßig kündigen die PE-Geräte die Routen, die sie über ihr EBGP-Peering zum CE-Gerät gelernt haben, erneut in IBGP an.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Trinkgeld:Sie können andere Adressfamilien angeben, wenn die PE-zu-PE-IBGP-Sitzung den Nicht-VPN-Routenaustausch unterstützen muss, z. B. reguläre IPv4- oder IPv6-Routen mit den
inetinet6bzw. Familien.Konfigurieren Sie den BGP-Gruppentyp als intern.
[edit protocols bgp] user@pe1# set group ibgp type internal
Konfigurieren Sie die Loopback-Adresse des Remote-PE-Geräts als BGP-Nachbar.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
Konfigurieren Sie die Router-ID so, dass sie mit der Loopback-Adresse übereinstimmt, und definieren Sie die Nummer des autonomen BGP-Systems, die für das BGP-Peering benötigt wird.
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
Konfigurieren Sie die Routing-Instanz. Geben Sie den Instanznamen von CE1_L3vpnan, und konfigurieren Sie einen
instance-typevonvrf.[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
Konfigurieren Sie die kundenseitige Schnittstelle des PE-Geräts so, dass sie zur Routinginstanz gehört.
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
Konfigurieren Sie die Routenunterscheidung der Routing-Instanz. Diese Einstellung wird verwendet, um die Routen zu unterscheiden, die von einem bestimmten VRF auf einem bestimmten PE-Gerät gesendet werden. Sie sollte für jede Routing-Instanz auf jedem PE-Gerät eindeutig sein.
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
Konfigurieren Sie das Routenziel der VRF-Tabelle (Virtual Routing and Forwarding) der Instanz. Die
vrf-targetAnweisung fügt das angegebene Community-Tag allen angekündigten Routen hinzu und gleicht automatisch denselben Wert für den Routenimport ab. Die Konfiguration übereinstimmender Routenziele auf den PE-Geräten, die sich ein bestimmtes VPN teilen, ist für einen ordnungsgemäßen Routenaustausch erforderlich.[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
Anmerkung:Sie können komplexere Richtlinien erstellen, indem Sie VRF-Import- und Exportrichtlinien mithilfe der Import- und Exportoptionen explizit konfigurieren. Weitere Informationen finden Sie unter vrf-import und vrf-export .
Konfigurieren Sie die Routing-Instanz so, dass sie EBGP-Peering zum CE1-Gerät unterstützt. Es wird direktes Schnittstellen-Peering zum CE1-Ende der VRF-Verbindung verwendet, und die autonome Systemnummer von CE1 wird korrekt mit dem
peer-asParameter angegeben.[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
Übernehmen Sie die Änderungen auf dem PE1-Gerät, und kehren Sie zum CLI-Betriebsmodus zurück.
[edit] user@pe1# commit and-quit
Befund
Zeigen Sie die Ergebnisse der Konfiguration auf dem PE1-Gerät an. Die Ausgabe spiegelt nur die funktionale Konfiguration wider, die in diesem Beispiel hinzugefügt wurde.
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
}
}
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
Konfigurieren des Remote-PE-Geräts (PE2) für ein MPLS-basiertes Layer-3-VPN
In diesem Abschnitt werden die Schritte beschrieben, die zum Konfigurieren des PE1-Geräts für dieses Beispiel erforderlich sind. Der Fokus liegt auf den PE-Geräten, da dort die VPN-Konfiguration untergebracht ist. Im Abschnitt Schnellkonfigurationen finden Sie die in diesem Beispiel verwendeten CE-Geräte- und P-Gerätekonfigurationen.
Konfigurieren der MPLS-Baseline (falls erforderlich)
Bevor Sie ein Layer 3-VPN konfigurieren, stellen Sie sicher, dass das PE-Gerät über eine funktionierende MPLS-Baseline verfügt. Wenn Sie bereits über eine MPLS-Baseline verfügen, können Sie mit der Schritt-für-Schritt-Anleitung zum Hinzufügen des Layer-3-VPN zu den PE-Geräten fortfahren.
Konfigurieren Sie den Hostnamen.
[edit] user@pe2# set system host-name pe2
Konfigurieren Sie die Core- und Loopback-Schnittstellen:
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
Beste Praxis:Während ein Layer-3-VPN eine Fragmentierung am Eingangs-PE durchführen kann, empfiehlt es sich, das Netzwerk so zu gestalten, dass der CE einen Frame mit maximaler Größe senden kann, ohne dass eine Fragmentierung erforderlich ist. Um sicherzustellen, dass es nicht zu einer Fragmentierung kommt, sollte das Provider-Netzwerk den größten Frame unterstützen, den die CE-Geräte generieren können, nachdem die MPLS- und VRF-Etiketten (Virtual Routing and Forwarding) vom PE-Gerät hinzugefügt wurden. In diesem Beispiel wird für die CE-Geräte die standardmäßige MTU (Maximum Transmission Unit) von 1500 Byte beibehalten, während der Provider-Core für die Unterstützung einer MTU mit 4000 Byte konfiguriert wird. Dadurch wird sichergestellt, dass die CE-Geräte die MTU im Netzwerk des Anbieters auch bei MPLS- und VRF-Kapselungs-Overhead nicht überschreiten können.
Konfigurieren Sie die Protokolle:
Anmerkung:Traffic Engineering wird für RSVP-signalisierte LSPs unterstützt, ist aber nicht für grundlegendes MPLS-Switching oder die VPN-Bereitstellung erforderlich. Die bereitgestellte MPLS-Baseline nutzt RSVP, um LSPs zu signalisieren, und ermöglicht Traffic-Engineering für OSPF. Da jedoch keine Pfadeinschränkungen konfiguriert sind, gehen Sie davon aus, dass die LSPs über den kürzesten Pfad des Interior Gateway-Protokolls geleitet werden.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
Definieren Sie den LSP für die Loopback-Adresse des Remote-PE-Geräts:
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
Die MPLS-Baseline ist jetzt auf dem PE1-Gerät konfiguriert. Fahren Sie mit der Konfiguration des Layer-3-VPN fort.
Verfahren
Schritt-für-Schritt-Anleitung
Führen Sie die folgenden Schritte aus, um das PE2-Gerät für ein Layer-3-VPN zu konfigurieren.
Konfigurieren Sie die kundenorientierte Schnittstelle:
Trinkgeld:Sie können auf demselben PE-Gerät sowohl ein MPLS-basiertes Layer-2-VPN als auch ein MPLS-basiertes Layer-3-VPN konfigurieren. Es ist jedoch nicht möglich, dieselbe Kundenschnittstelle so zu konfigurieren, dass sie sowohl ein Layer-2-VPN als auch ein Layer-3-VPN unterstützt.
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
Konfigurieren Sie eine BGP-Gruppe für das Peering zwischen den lokalen und Remote-PE-Geräten. Verwenden Sie die Loopback-Adresse des PE-Geräts als lokale Adresse, und aktivieren Sie die Adressfamilie für die
inet-vpn unicastUnterstützung des Layer 3-VPN-Routenaustauschs.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Trinkgeld:Sie können andere Adressfamilien angeben, wenn die PE-zu-PE-IBGP-Sitzung den Nicht-VPN-Routenaustausch unterstützen muss, z. B. reguläre IPv4- oder IPv6-Routen mit den
inetinet6bzw. Familien.Konfigurieren Sie den BGP-Gruppentyp als intern.
[edit protocols bgp] user@pe2# set group ibgp type internal
Konfigurieren Sie die Loopback-Adresse des PE1-Geräts als BGP-Nachbar.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
Konfigurieren Sie die Router-ID so, dass sie mit der Loopback-Adresse übereinstimmt, und definieren Sie die Nummer des autonomen BGP-Systems.
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
Konfigurieren Sie die Routing-Instanz. Geben Sie den Instanznamen von CE2_L3vpn, mit einem
instance-typevonvrfan.[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
Konfigurieren Sie die kundenseitige Schnittstelle des PE-Geräts so, dass sie zur Routinginstanz gehört.
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
Konfigurieren Sie die Routenunterscheidung der Routing-Instanz. Diese Einstellung wird verwendet, um die Routen zu unterscheiden, die von einem bestimmten VRF auf einem bestimmten PE-Gerät gesendet werden. Sie sollte für jede Routing-Instanz auf jedem PE-Gerät eindeutig sein.
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
Konfigurieren Sie das Routenziel der VRF-Tabelle (Virtual Routing and Forwarding) der Instanz. Die
vrf-targetAnweisung fügt das angegebene Community-Tag allen angekündigten Routen hinzu und gleicht automatisch denselben Wert für den Routenimport ab. Die Konfiguration übereinstimmender Routenziele auf den PE-Geräten, die sich ein bestimmtes VPN teilen, ist für einen ordnungsgemäßen Routenaustausch erforderlich.[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
Anmerkung:Sie können komplexere Richtlinien erstellen, indem Sie VRF-Import- und Exportrichtlinien mithilfe der Import- und Exportoptionen explizit konfigurieren. Weitere Informationen finden Sie unter vrf-import und vrf-export .
Konfigurieren Sie die Routing-Instanz so, dass sie EBGP-Peering zum CE2-Gerät unterstützt. Es wird direktes Schnittstellen-Peering zum CE2-Ende der VRF-Verbindung verwendet, und die autonome Systemnummer von CE2 wird korrekt mit dem
peer-asParameter angegeben.[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
Übernehmen Sie die Änderungen am PE2-Gerät, und kehren Sie zum CLI-Betriebsmodus zurück.
[edit] user@pe2# commit and-quit
Befund
Zeigen Sie die Ergebnisse der Konfiguration auf dem PE2-Gerät an. Die Ausgabe spiegelt nur die funktionale Konfiguration wider, die in diesem Beispiel hinzugefügt wurde.
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
Verifizierung
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das MPLS-basierte Layer-3-VPN ordnungsgemäß funktioniert:
- Überprüfen der OSPF-Nachbarschaften von Anbietern und des Routenaustauschs
- Überprüfen der MPLS- und RSVP-Schnittstelleneinstellungen
- Überprüfen Sie RSVP-signalisierte LSPs
- Überprüfen des BGP-Sitzungsstatus
- Überprüfen der Layer 3-VPN-Routen in der Routing-Tabelle
- Pingen Sie das Remote-PE-Gerät über die Layer-3-VPN-Verbindung an
- Überprüfen Sie den End-to-End-Betrieb der CE-Geräte über das Layer-3-VPN
- Plattformspezifisches MPLS-Layer-3-VPN-Verhalten
Überprüfen der OSPF-Nachbarschaften von Anbietern und des Routenaustauschs
Zweck
Vergewissern Sie sich, dass das OSPF-Protokoll im Provider-Netzwerk ordnungsgemäß funktioniert, indem Sie den Nachbarschaftsstatus und die erlernten OSPF-Routen zu den Loopback-Adressen der Remote-Provider-Geräte überprüfen. Ein ordnungsgemäßer IGP-Betrieb ist entscheidend für die erfolgreiche Einrichtung von MPLS LSPs.
Aktion
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
Bedeutung
Die Ausgabe zeigt, dass das PE1-Gerät eine OSPF-Nachbarschaft zum P-Gerät hergestellt hat (192.168.0.2). Es zeigt auch, dass die Loopback-Adressen (192.168.0.2) und192.168.0.3 () des P- und Remote-PE-Geräts korrekt über OSPF am lokalen PE-Gerät gelernt werden.
Überprüfen der MPLS- und RSVP-Schnittstelleneinstellungen
Zweck
Stellen Sie sicher, dass die RSVP- und MPLS-Protokolle für die Ausführung auf der Core-Schnittstelle des PE-Geräts konfiguriert sind. In diesem Schritt wird auch überprüft, ob family mpls die Konfiguration auf Geräteebene der Core-Schnittstelle des PE-Geräts korrekt konfiguriert ist.
Aktion
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
Bedeutung
Die Ausgabe zeigt, dass MPLS und RSVP auf den Core- und Loopback-Schnittstellen des lokalen PE-Geräts korrekt konfiguriert sind.
Überprüfen Sie RSVP-signalisierte LSPs
Zweck
Stellen Sie sicher, dass die RSVP-signalisierten Eingangs- und Ausgangs-LSPs zwischen den Loopback-Adressen des PE-Geräts korrekt eingerichtet sind.
Aktion
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
Bedeutung
Die Ausgabe zeigt, dass sowohl die Eingangs- als auch die Ausgangs-RSVP-Sitzungen zwischen den PE-Geräten korrekt eingerichtet wurden. Eine erfolgreiche LSP-Einrichtung zeigt an, dass die MPLS-Baseline funktionsfähig ist.
Überprüfen des BGP-Sitzungsstatus
Zweck
Stellen Sie sicher, dass die IBGP-Sitzung zwischen den PE-Geräten korrekt eingerichtet ist und Layer 3 VPN Network Layer Reachability Information (NLRI) unterstützt. In diesem Schritt bestätigen Sie auch, dass die lokale PE-zu-CE-EBGP-Sitzung eingerichtet und ordnungsgemäß für den Austausch von IPv4-Routen konfiguriert ist.
Aktion
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
Bedeutung
Die Ausgabe zeigt an, dass die IBGP-Sitzung zum Remote-PE-Gerät (192.168.0.3) korrekt eingerichtet wurde (Establ) und durch das Up/Dwn Feld, wie lange sich die Sitzung im aktuellen Zustand6:18 () befunden hat. Das flaps Feld bestätigt, dass keine Zustandsübergänge aufgetreten sind (0), was darauf hinweist, dass die Sitzung stabil ist. Beachten Sie auch, dass Layer-3-VPN-Routen (NLRI) aus der Remote-PE gelernt wurden, wie durch das Vorhandensein einer bgp.l3vpn.0 Tabelle angezeigt.
Die Anzeige bestätigt außerdem, dass die EBGP-Sitzung zum lokalen CE1-Gerät (172.16.1.1) eingerichtet wurde und dass IPv4-Routen vom CE1-Gerät empfangen und in der CE1-Geräterouting-Instanz installiert wurden (CE1_L3vpn.inet.0)
Diese Ausgabe bestätigt, dass das BGP-Peering zwischen den PE-Geräten und zum CE-Gerät ordnungsgemäß funktioniert, um Ihr Layer 3-VPN zu unterstützen.
Überprüfen der Layer 3-VPN-Routen in der Routing-Tabelle
Zweck
Vergewissern Sie sich, dass die Routing-Tabelle auf dem PE1-Gerät mit Layer-3-VPN-Routen aufgefüllt ist, die von der Remote-PE angekündigt werden. Diese Routen werden verwendet, um Datenverkehr an das Remote-CE-Gerät weiterzuleiten.
Aktion
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
Bedeutung
Der show route table bgp.l3vpn.0 Befehl zeigt die Layer 3-VPN-Routen an, die vom Remote-PE-Gerät empfangen wurden. Der show route table CE1_L3vpn.inet.0 Befehl listet alle Routen auf, die in die CE1_L3vpn Routing-Instanz importiert wurden. Diese Einträge stellen die Routen dar, die vom lokalen EBGP-Peering zum CE1-Gerät gelernt wurden, zusätzlich zu den Routen, die vom Remote-PE2-Gerät mit einem übereinstimmenden Routenziel empfangen wurden.
Beide Tabellen zeigen, dass die Remote-Layer 3-VPN-Routen dem lsp_to_pe2 LSP als Weiterleitungs-Next Hop korrekt zugeordnet sind. Die Ausgänge bestätigen, dass das lokale PE-Gerät die Routen, die mit dem Remote-CE2-Standort verknüpft sind, vom PE2-Gerät gelernt hat. Außerdem wird angezeigt, dass die lokale PE den Layer-3-VPN-Datenverkehr mithilfe von MPLS-Transport über das Provider-Netzwerk an das Remote-PE2-Gerät weiterleitet.
Pingen Sie das Remote-PE-Gerät über die Layer-3-VPN-Verbindung an
Zweck
Überprüfen Sie die Layer-3-VPN-Konnektivität zwischen den lokalen und Remote-PE-Geräten mithilfe von ping. Mit diesem Befehl werden das Layer-3-VPN-Routing und der MPLS-Weiterleitungsvorgang zwischen den PE-Geräten überprüft.
Aktion
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
Bedeutung
Die Ausgabe bestätigt, dass die Layer 3-VPN-Steuerungs- und Weiterleitungsebenen zwischen den PE-Geräten ordnungsgemäß funktionieren.
Überprüfen Sie den End-to-End-Betrieb der CE-Geräte über das Layer-3-VPN
Zweck
Überprüfen Sie die Layer-3-VPN-Konnektivität zwischen den CE-Geräten. Dieser Schritt bestätigt, dass die CE-Geräte über Betriebsschnittstellen verfügen und ordnungsgemäß für EBGP-basierte Layer-3-Konnektivität konfiguriert sind. Dies geschieht, indem überprüft wird, ob das lokale CE1-Gerät die Routen des Remote-CE-Geräts gelernt hat, und indem bestätigt wird, dass die CE-Geräte in der Lage sind, Datenverkehr End-to-End zwischen ihren Loopback-Adressen weiterzuleiten.
Aktion
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
Bedeutung
Die Ausgabe zeigt, dass die Layer-3-VPN-basierte Konnektivität zwischen den CE-Geräten ordnungsgemäß funktioniert. Das lokale CE-Gerät hat die VRF-Schnittstelle und die Loopback-Routen des Remote-CE-Geräts über BGP gelernt. Der Ping wird an die Loopback-Adresse des Remote-CE-Geräts generiert und mithilfe des source 172.16.255.1 Arguments von der Loopback-Adresse des lokalen CE-Geräts bezogen. Durch das Hinzufügen der do-not-fragment size 1472 und Switches wird bestätigt, dass die CE-Geräte in der Lage sind, IP-Pakete mit 1500 Byte zu übergeben, ohne dass es zu einer Fragmentierung im lokalen PE-Gerät kommt.
Das size 1472 Argument, das dem ping Befehl hinzugefügt wird, generiert 1472 Byte an Echodaten. Weitere 8 Byte Internet Control Message Protocol (ICMP) und 20 Byte IP-Header werden hinzugefügt, um die Gesamtnutzlastgröße auf 1500 Byte zu erhöhen. Durch das Hinzufügen des do-not-fragment Switches wird sichergestellt, dass die lokalen CE- und PE-Geräte keine Fragmentierung durchführen können. Diese Ping-Methode bestätigt, dass beim Austausch von Standard-Ethernet-Frames mit einer maximalen Länge von 1500 Byte zwischen den CE-Geräten keine Fragmentierung erforderlich ist.
Diese Ergebnisse bestätigen, dass das MPLS-basierte Layer-3-VPN ordnungsgemäß funktioniert.
Plattformspezifisches MPLS-Layer-3-VPN-Verhalten
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen.
| Bahnsteig |
Unterschied |
|---|---|
| Router der ACX 7000-Serie |
|