IPv4-Datenverkehr über Layer-3-VPNs
Verstehen der IPv4-Routenverteilung in einem Layer-3-VPN
Innerhalb eines VPN erfolgt die Verteilung von VPN-IPv4-Routen zwischen den PE- und CE-Routern und zwischen den PE-Routern (siehe Abbildung 1).
In diesem Abschnitt werden die folgenden Themen behandelt:
- Verteilung von Routen von CE zu PE-Routern
- Verteilung von Routen zwischen PE-Routern
- Verteilung von Routen von PE zu CE-Routern
Verteilung von Routen von CE zu PE-Routern
Ein CE-Router gibt seine Routen zum direkt angeschlossenen PE-Router bekannt. Die angekündigten Routen sind im IPv4-Format verfügbar. Der PE-Router legt die Routen in die VRF-Tabelle für das VPN. In Junos OS ist dies die routing-instance-nameRoutingtabelle .inet.0, wobei routing-instance-name der konfigurierte Name des VPN angegeben ist.
Die Verbindung zwischen ce- und PE-Routern kann eine Remoteverbindung (WAN-Verbindung) oder eine direkte Verbindung (z. B. Frame-Relay- oder Ethernet-Verbindung) sein.
CE-Router können mit PE-Routern über einen der folgenden Komponenten kommunizieren:
OSPF
Rip
Bgp
Statische Route
Abbildung 2 zeigt, wie Routen von CE-Routern zu PE-Routern verteilt werden. Der Router PE1 ist mit zwei CE-Routern in verschiedenen VPNs verbunden. Daher erstellt es zwei VRF-Tabellen, eine für jedes VPN. Die CE-Router kündigen IPv4-Routen an. Der PE-Router installiert diese Routen in zwei verschiedene VRF-Tabellen, eine für jedes VPN. In ähnlicher Weise erstellt Router PE2 zwei VRF-Tabellen, in die Routen von den beiden direkt angeschlossenen CE-Routern installiert werden. Der Router PE3 erstellt eine VRF-Tabelle, da sie direkt mit nur einem VPN verbunden ist.
Verteilung von Routen zwischen PE-Routern
Wenn ein PE-Router Routen empfängt, die von einem direkt angeschlossenen CE-Router angekündigt werden, überprüft er die empfangene Route mit der VRF-Exportrichtlinie für dieses VPN. Wenn sie übereinstimmt, wird die Route in das VPN-IPv4-Format konvertiert, d. h. der 8-Byte-Routenunterscheider wird zum 4-Byte-VPN-Präfix präpendiert, um eine 12-Byte-VPN-IPv4-Adresse zu bilden. Die Route wird dann mit einer Routenziel-Community verschlagwortet. Der PE-Router kündigt die Route im VPN-IPv4-Format zu den Remote-PE-Routern für die Verwendung durch VRF-Importrichtlinien an. Die Routen werden über IBGP-Sitzungen verteilt, die im Core-Netzwerk des Anbieters konfiguriert sind. Wenn die Route nicht übereinstimmt, wird sie nicht an andere PE-Router exportiert, kann aber dennoch lokal für das Routing verwendet werden, z. B. wenn zwei CE-Router im selben VPN direkt mit dem gleichen PE-Router verbunden sind.
Der Remote-PE-Router platziert die Route in seine bgp.l3vpn.0-Tabelle, wenn die Route die Importrichtlinie an der IBGP-Sitzung zwischen den PE-Routern weitergibt. Gleichzeitig überprüft es die Route mit der VRF-Importrichtlinie für das VPN. Wenn er übereinstimmt, wird der Routenunterscheider aus der Route entfernt und im IPv4-Format in die VRF-Tabelle (die routing-instance-name.inet.0-Tabelle) eingefügt.
Abbildung 3 zeigt, wie Router PE1 Routen an die anderen PE-Router im Core-Netzwerk des Anbieters verteilt. Router PE2 und Router PE3 verfügen jeweils über VRF-Importrichtlinien, die sie verwenden, um zu bestimmen, ob über die IBGP-Sitzungen empfangene Routen akzeptiert und in ihren VRF-Tabellen installiert werden sollen.
Wenn ein PE-Router Routen empfängt, die von einem direkt angeschlossenen CE-Router (Router PE1 in Abbildung 3) angekündigt werden, verwendet er die folgende Vorgehensweise, um die Route zu untersuchen, in eine VPN-Route umzuwandeln und an die Remote-PE-Router zu verteilen:
Der PE-Router überprüft die empfangene Route mithilfe der VRF-Exportrichtlinie für dieses VPN.
Wenn die empfangene Route mit der Exportrichtlinie übereinstimmt, wird die Route wie folgt verarbeitet:
Die Route wird in das VPN-IPv4-Format konvertiert, d. h. der 8-Byte-Routenunterscheider wird zum 4-Byte-VPN-Präfix bereitgestellt, um die 12-Byte-VPN-IPv4-Adresse zu bilden.
Der Route wird eine Route-Ziel-Community hinzugefügt.
Der PE-Router gibt die Route im VPN-IPv4-Format an die Remote-PE-Router an. Die Routen werden über IBGP-Sitzungen verteilt, die im Core-Netzwerk des Anbieters konfiguriert sind.
Wenn die Route nicht mit der Exportrichtlinie übereinstimmt, wird sie nicht an die Remote-PE-Router exportiert, sondern kann dennoch lokal für das Routing verwendet werden – z. B. wenn zwei CE-Router im selben VPN direkt mit dem gleichen PE-Router verbunden sind.
Wenn der Remote-PE-Router Routen empfängt, die von einem anderen PE-Router (Router PE2 und PE3 in Abbildung 3) angekündigt werden, verarbeitet er die Route wie folgt:
Wenn die Route von der Importrichtlinie auf der IBGP-Sitzung zwischen den PE-Routern akzeptiert wird, legt der Remote-PE-Router die Route in seine bgp.l3vpn.0-Tabelle.
Der Pe-Remote-Router überprüft die Route Target Community mit der VRF-Importrichtlinie für das VPN.
Wenn er übereinstimmt, wird der Routenunterscheider aus der Route entfernt und im IPv4-Format in die VRF-Tabelle (die routing-instance-name.inet.0-Tabelle) eingefügt.
Verteilung von Routen von PE zu CE-Routern
Der Remote-PE-Router kündigt die Routen in seinen VRF-Tabellen im IPv4-Format zu seinen direkt angeschlossenen CE-Routern an.
PE-Router können mit CE-Routern über eines der folgenden Routing-Protokolle kommunizieren:
OSPF
Rip
Bgp
Statische Route
Abbildung 4 zeigt, wie die drei PE-Router ihre Routen zu ihren angeschlossenen CE-Routern ankündigen.
Verstehen von VPN-IPv4-Adressen und Routenunterscheidern
Da Layer 3-VPNs private Netzwerke, die entweder öffentliche Adressen oder private Adressen wie in RFC 1918 (Address Allocation for Private Internets) verwenden können, über die öffentliche Internetinfrastruktur verbinden, überschneiden sich die Adressen möglicherweise mit den Adressen eines anderen privaten Netzwerks, wenn die privaten Netzwerke private Adressen verwenden.
Abbildung 5 zeigt, wie sich private Adressen verschiedener privater Netzwerke überschneiden können. Hier verwenden Websites innerhalb von VPN A und VPN B die Adressräume 10.1.0.0/16, 10.2.0.0/16 und 10.3.0.0/16 für ihre privaten Netzwerke.
Um überlappende private Adressen zu vermeiden, können Sie die Netzwerkgeräte so konfigurieren, dass statt privater Adressen öffentliche Adressen verwendet werden. Dies ist jedoch ein großes und komplexes Unterfangen. Die in RFC 4364 bereitgestellte Lösung verwendet die vorhandenen privaten Netzwerknummern, um eine neue Adresse zu erstellen, die eindeutig ist. Die neue Adresse ist Teil der VPN-IPv4-Adressfamilie, bei der es sich um eine BGP-Adressfamilie handelt, die als Erweiterung zum BGP-Protokoll hinzugefügt wurde. Bei VPN-IPv4-Adressen wird der privaten IPv4-Adresse ein Wert vorangestellt, der das VPN identifiziert, das als Routenunterscheider bezeichnet wird und eine Adresse bereitstellt, die eindeutig eine private IPv4-Adresse identifiziert.
Nur die PE-Router müssen die VPN-IPv4-Adresserweiterung zu BGP unterstützen. Wenn ein Ingress-PE-Router eine IPv4-Route von einem Gerät innerhalb eines VPN empfängt, wandelt er sie in eine VPN-IPv4-Route um, indem er der Route das Route Distinguisher-Präfix hinzufügt. Die VPN-IPv4-Adressen werden nur für Routen verwendet, die zwischen PE-Routern ausgetauscht werden. Wenn ein Egress-PE-Router eine VPN-IPv4-Route empfängt, wandelt er die VPN-IPv4-Route in eine IPv4-Route zurück, indem er den Routenunterscheider entfernt, bevor er die Route zu seinen verbundenen CE-Routern ankündigt.
VPN-IPv4-Adressen haben das folgende Format:
Route Distinguisher ist ein 6-Byte-Wert, den Sie in einem der folgenden Formate angeben können:
as-number:number, wobeias-numbereine AS-Nummer (ein 2-Byte-Wert) undnumberein beliebiger 4-Byte-Wert ist. Die AS-Nummer kann im Bereich 1 bis 65.535 liegen. Wir empfehlen Ihnen, eine von der Internet Assigned Numbers Authority (IANA) zugewiesene, nichtprivate AS-Nummer zu verwenden, vorzugsweise die eigene oder die eigene AS-Nummer des Internet service Providers (ISP).ip-address:number, wobeiip-addresseine IP-Adresse (ein 4-Byte-Wert) undnumberein beliebiger 2-Byte-Wert ist. Die IP-Adresse kann jede global eindeutige Unicastadresse sein. Wir empfehlen, dass Sie die Adresse verwenden, die Sie in derrouter-idAnweisung konfigurieren, d. h. eine nicht-private Adresse im zugewiesenen Prefix-Bereich.
IPv4-Adresse – 4-Byte-Adresse eines Geräts innerhalb des VPN.
Abbildung 5 zeigt, wie die AS-Nummer im Routenunterscheider verwendet werden kann. Angenommen, VPN A befindet sich in AS 65535 und VPN B in AS 666 (beide AS-Nummern gehören zum ISP) und nehmen sie an, dass der Routenunterscheider für Standort 2 in VPN A 65535:02 ist und dass der Routenunterscheider für Site 2 in VPN B 666:02 ist. Wenn Router PE2 eine Route vom CE-Router in VPN A empfängt, konvertiert sie sie von ihrer IP-Adresse 10.2.0.0 in eine VPN-IPv4-Adresse von 65535:02:10.2.0.0. Wenn der PE-Router eine Route von VPN B empfängt, die den gleichen Adressraum wie VPN A verwendet, konvertiert er ihn in eine VPN-IPv4-Adresse von 666:02:10.2.0.0.
Wenn die IP-Adresse im Routenunterscheider verwendet wird, nehmen wir an, die IP-Adresse des Routers PE2 lautet 172.168.0.1. Wenn der PE-Router eine Route von VPN A empfängt, konvertiert er sie in eine VPN-IPv4-Adresse von 172.168.0.1:0:10.2.0.0/16 und konvertiert eine Route von VPN B in 172.168.0.0:1:10.2.0.0/16.
Route Distinguisher werden nur zwischen PE-Routern zu IPv4-Adressen von verschiedenen VPNs verwendet. Der Ingress-PE-Router erstellt einen Routenunterscheider und konvertiert IPv4-Routen, die von CE-Routern empfangen wurden, in VPN-IPv4-Adressen. Die Egress-PE-Router konvertieren VPN-IPv4-Routen in IPv4-Routen, bevor sie sie dem CE-Router kündigen.
Da VPN-IPv4-Adressen eine Art BGP-Adresse sind, müssen Sie IBGP-Sitzungen zwischen Pe-Routerpaaren konfigurieren, damit die PE-Router VPN-IPv4-Routen innerhalb des Core-Netzwerks des Anbieters verteilen können. (Alle PE-Router werden als innerhalb derselben AS angenommen.)
Sie definieren BGP-Communities, um die Verteilung der Routen zwischen den PE-Routern zu beschränken. Die Definition von BGP-Communitys unterscheidet IPv4-Adressen nicht von sich aus.
Abbildung 6 zeigt, wie Router PE1 den Route Distinguisher 10458:22:10.1/16 zu Routen hinzufügt, die vom CE-Router an Standort 1 in VPN A empfangen wurden, und diese Routen an die anderen beiden PE-Router weiterleiten. In ähnlicher Weise fügt Router PE1 den Route Distinguisher 10458:23:10.2/16 zu Routen hinzu, die vom CE-Router an Standort 1 in VPN B empfangen werden, und leitet diese Routen an die anderen PE-Router weiter.
Konfigurieren der IPv4-Paketweiterleitung für Layer-3-VPNs
Sie können den Router so konfigurieren, dass er die Paketweiterleitung für IPv4-Datenverkehr in Layer-2- und Layer-3-VPNs unterstützt. Die Paketweiterleitung wird je nach konfigurierter Art des Helper-Services auf eine der folgenden Arten gehandhabt:
BOOTP-Service: Clients senden Bootstrap Protocol (BOOTP)-Anforderungen über den mit BOOTP-Service konfigurierten Router an einen Server in der angegebenen Routinginstanz. Der Server erkennt die Clientadresse und sendet eine Antwort zurück an den mit BOOTP-Service konfigurierten Router. Dieser Router leitet die Antwort an die richtige Clientadresse in der angegebenen Routinginstanz weiter.
Andere Dienste: Clients senden Anfragen über den mit dem Dienst konfigurierten Router an einen Server in der angegebenen Routinginstanz. Der Server erkennt die Clientadresse und sendet eine Antwort an die richtige Clientadresse in der angegebenen Routinginstanz.
Um die Paketweiterleitung für VPNs zu aktivieren, fügen Sie die helpers Anweisung ein:
helpers {
service {
description description-of-service;
server {
address address {
routing-instance routing-instance-names;
}
}
interface interface-name {
description description-of-interface;
no-listen;
server {
address address {
routing-instance routing-instance-names;
}
}
}
}
}
Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:
[edit forwarding-options][edit logical-systems logical-system-name forwarding-options][edit routing-instances routing-instance-name forwarding-options]Hinweis:Sie können die Paketweiterleitung für mehrere VPNs aktivieren. Client und Server müssen sich jedoch innerhalb desselben VPN befinden. Alle Routingplattformen von Juniper Networks mit aktivierter Paketweiterleitung auf dem Pfad zwischen Client und Server müssen sich ebenfalls im selben VPN befinden.
Die Adressen- und Routinginstanz bilden zusammen einen eindeutigen Server. Dies hat Auswirkungen auf Router, die mit BOOTP-Service konfiguriert sind und mehrere Server akzeptieren können.
Beispielsweise kann ein BOOTP-Service wie folgt konfiguriert werden:
[edit forwarding-options helpers bootp] server address 10.2.3.4 routing-instance [instance-A instance-B];
Obwohl die Adressen identisch sind, sind die Routing-Instanzen unterschiedlich. Ein für BOOTP-Service instance-A eingehendes Paket wird an die instance-A Routinginstanz weitergeleitet10.2.3.4, während ein eingehendes instance-B Paket in der instance-B Routinginstanz weitergeleitet wird. Andere Dienste können nur einen einzelnen Server akzeptieren, daher gilt diese Konfiguration in diesen Fällen nicht.
Beispiel: Konfigurieren Sie ein grundlegendes MPLS-basiertes Layer 3-VPN
Dieses Beispiel zeigt, wie Sie ein grundlegendes MPLS-basiertes Layer 3-VPN auf Routern oder Switches mit Junos OS konfigurieren und validieren. Das IPv4-basierte Beispiel verwendet EBGP als Routingprotokoll zwischen Provider- und Kunden-Edge-Geräten.
Unser Content-Testing-Team hat dieses Beispiel validiert und aktualisiert.
Sie können ein MPLS-basiertes Layer 3 Virtual Private Network (VPN) mithilfe von Routern und Switches mit Junos OS bereitstellen, um Kundenstandorte mit Layer 3-Konnektivität zu verbinden. Während statisches Routing unterstützt wird, verfügen Layer-3-VPNs in der Regel über die Kundengeräte, die Routing-Informationen mit dem Provider-Netzwerk austauschen und benötigen Unterstützung für IP-Protokolle, d. h. IPv4 und/oder IPv6.
Dies steht im Gegensatz zu einem Layer-2-VPN, bei dem die Kundengeräte möglicherweise nicht auf IP-Protokollen basieren und bei bedarfsbezogenem Routing zwischen den Kunden-Edge-Geräten (CE) erfolgt. Im Gegensatz zu einem Layer-3-VPN, bei dem das CE-Gerät mit dem Provider-Edge-Gerät interagiert (Peers), führt der Kundendatenverkehr in einem Layer-2-VPN transparent durch den Provider-Core mit allen Routingprotokollen, die End-to-End zwischen den CE-Geräten laufen.
MPLS-basierte VPNs erfordern grundlegende MPLS-Funktionen im Provider-Netzwerk. Sobald grundlegendes MPLS betriebsbereit ist, können Sie VPNs konfigurieren, die Label-Switched Paths (LSPs) für den Transport über den Provider-Core verwenden.
Das Hinzufügen von VPN-Services wirkt sich nicht auf die grundlegenden MPLS-Switching-Vorgänge im Provider-Netzwerk aus. Tatsächlich benötigen Die Provider-Geräte (P) nur eine Basis-MPLS-Konfiguration, da sie nicht VPN-fähig sind. Der VPN-Status wird nur auf den Provider Edge (PE)-Geräten verwaltet. Dies ist ein wichtiger Grund, warum MPLS-basierte VPNs so gut skalieren.
- Anforderungen
- Überblick und Topologie
- Schnelle Konfigurationen
- Konfigurieren Sie das lokale PE(PE1)-Gerät für ein MPLS-basiertes Layer 3-VPN
- Konfigurieren Sie das PE2-Gerät (Remote PE2) für ein MPLS-basiertes Layer 3-VPN
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 12.3 oder höher für Routing- und Switching-Geräte
Neuvalidiert auf Junos OS Version 20.3R1
Zwei Provider-Edge-Geräte (PE)
Ein Provider-Gerät (P)
Zwei Kunden-Edge-Geräte (CE)
In diesem Beispiel geht es um das Hinzufügen eines Layer-3-VPN zu einer bereits vorhandenen MPLS-Baseline. Es wird eine grundlegende MPLS-Konfiguration bereitgestellt, falls ihr Netzwerk nicht bereits MPLS bereitgestellt hat.
Zur Unterstützung von MPLS-basierten VPNs muss die zugrunde liegende MPLS-Baseline folgende Funktionen bieten:
Core-orientierte und Loopback-Schnittstellen mit Unterstützung der MPLS-Familie
Ein Interior Gateway-Protokoll wie OSPF oder IS-IS zur Bereitstellung der Erreichbarkeit zwischen den Loopback-Adressen der Provider-Geräte (P und PE)
Ein MPLS-Signalübertragungsprotokoll wie LDP oder RSVP zur Signalübertragung von LSPs
Zwischen PE-Geräte-Loopback-Adressen eingerichtete LSPs
Zwischen jedem Paar PE-Geräten, die an einem bestimmten VPN teilnehmen, werden LSPs benötigt. Es ist eine gute Idee, LSPs zwischen allen PE-Geräten aufzubauen, um zukünftiges VPN-Wachstum zu bewältigen. Sie konfigurieren LSPs auf Hierarchieebene [edit protocols mpls] . Im Gegensatz zu einer MPLS-Konfiguration für eine Circuit Cross-Connect (CCC)-Verbindung müssen Sie den LSP nicht manuell mit der kundenorientierten (Edge)-Schnittstelle des PE-Geräts zuordnen. Stattdessen verwenden Layer-3-VPNs BGP-Signalübertragung, um die Erreichbarkeit der Website zu werben. Diese BGP-Signalübertragung automatisiert die Zuordnung von Remote-VPN-Standorten zu LSP-Weiterleitungs-Next-Hops. Das bedeutet, dass eine explizite Zuordnung eines LSP zu einer Edge-Schnittstelle eines PE-Geräts mit Layer 3-VPN nicht erforderlich ist.
Überblick und Topologie
Mit Layer-3-VPNs können Kunden das technische Know-how des Service Providers nutzen, um ein effizientes Standort-zu-Standort-Routing zu gewährleisten. Das Kunden-Edge-Gerät (CE) verwendet in der Regel ein Routingprotokoll wie BGP oder OSPF, um Routen mit dem Service Provider Edge (PE)-Gerät auszutauschen. Statisches Routing wird für Layer-3-VPNs unterstützt, aber ein dynamisches Routing-Protokoll wird im Allgemeinen bevorzugt.
Die Definition eines VPN umfasst nur Änderungen an den lokalen und Remote-PE-Geräten. Auf den Provider-Geräten ist keine zusätzliche Konfiguration erforderlich (vorausgesetzt, sie verfügen bereits über eine funktionierende MPLS-Baseline), da diese Geräte nur grundlegende MPLS-Switching-Funktionen bieten. Die CE-Geräte verwenden kein MPLS und benötigen nur eine grundlegende Schnittstellen- und Routingprotokollkonfiguration, damit sie mit den PE-Geräten interagieren können.
In einem Layer-3-VPN konfigurieren Sie die CE-Geräte, um mit dem lokalen PE-Gerät zu peeren. Dies ist im Gegensatz zu einem Layer-2-VPN, bei dem die CE-Geräte miteinander peeren, als wären sie auf einer gemeinsamen Verbindung, obwohl sie über einen MPLS-basierten Provider-Core verbunden sind.
Sobald eine MPLS-Baseline eingerichtet ist, müssen Sie die folgenden Funktionen auf den PE-Geräten konfigurieren, um Ihr MPLS-basiertes Layer 3-VPN einzurichten:
Eine BGP-Gruppe mit
family inet-vpn unicastUnterstützungEine Routinginstanz mit Instanztyp
vrfund einer Routingprotokolldefinition, die mit dem angeschlossenen CE-Gerät kompatibel istDie kundenorientierten Schnittstellen auf den PE-Geräten, die mit einer IPv4-Adresse konfiguriert sind
family inet, die die Schnittstelle im selben Subnetz wie das angeschlossene CE-Gerät platziert. Bei Bedarf kann auch eine VLAN-Einkapselung und eine entsprechende VLAN-ID konfiguriert werden.
Für eine korrekte End-to-End-Konnektivität muss das CE-Gerät mit einem kompatiblen IP-Subnetz und Routingprotokollparametern konfiguriert werden, um Peering mit dem PE-Gerät zu unterstützen.
Abbildung 7 zeigt die in diesem Beispiel verwendete Topologie. Die Abbildung beschreibt die Schnittstellennamen, IP-Adressierung und Routingprotokolle, die in Provider- und Kundennetzwerken verwendet werden. Außerdem wird die Peering-Beziehung zwischen CE- und PE-Geräten hervorgehoben. In diesem Beispiel erwarten Sie, dass jedes CE-Gerät eine EBGP-Peering-Sitzung zum lokalen PE-Gerät bildet. Beachten Sie, dass das Provider-Netzwerk und beide Kundenstandorte über eine autonome Systemnummer verfügen, die den BGP-Betrieb unterstützt. In diesem Beispiel wird die Routing-Richtlinie auf die CE-Geräte angewendet, damit sie die direkten Routen für ihre Provider-Schnittstellen und Loopback-Schnittstellen anzeigen lassen.
Schnelle Konfigurationen
Verwenden Sie die Konfigurationen in diesem Abschnitt, um Ihr MPLS-basiertes Layer 3-VPN schnell einsatzbereit zu machen. Die Konfigurationen umfassen eine funktionelle MPLS-Basis zur Unterstützung Ihres Layer-3-VPN. Dieses Beispiel konzentriert sich auf die VPN-Aspekte der Konfiguration. Weitere Informationen zu den in diesem Beispiel verwendeten Basis-MPLS-Funktionen finden Sie unter den folgenden Links:
Konfigurieren von MPLS auf Provider Edge EX8200- und EX4500-Switches mit Circuit Cross-Connect
Konfigurieren von MPLS auf EX8200- und EX4500-Provider-Switches
CLI-Schnellkonfiguration
Die Gerätekonfigurationen unterlassen die Verwaltungsschnittstelle, statische Routen, Systemprotokollierung, Systemservices und Benutzeranmeldungsinformationen. Diese Teile der Konfiguration variieren je nach Standort und stehen nicht in direktem Zusammenhang mit MPLS- oder VPN-Funktionen.
Bearbeiten Sie die folgenden Befehle je nach Bedarf für die Besonderheiten Ihrer Umgebung, und fügen Sie sie im Konfigurationsmodus in der [edit] Hierarchie in das ce1-Geräteterminalfenster (local CE) ein:
Die vollständige Konfiguration für das CE1-Gerät.
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
Die vollständige Konfiguration für PE1-Gerät.
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
Die vollständige Konfiguration für das P-Gerät.
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
Die vollständige Konfiguration für das PE2-Gerät.
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
Die vollständige Konfiguration für das CE2-Gerät.
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
Bestätigen Sie die Konfigurationsänderungen auf allen Geräten, wenn Sie mit Ihrer Arbeit zufrieden sind. Herzlichen Glückwunsch zu Ihrem neuen MPLS-basierten Layer 3 VPN! Im Abschnitt Überprüfung finden Sie die erforderlichen Schritte, um zu bestätigen, dass Ihr Layer-3-VPN wie erwartet funktioniert.
Konfigurieren Sie das lokale PE(PE1)-Gerät für ein MPLS-basiertes Layer 3-VPN
In diesem Abschnitt werden die Schritte beschrieben, die zum Konfigurieren des PE1-Geräts für dieses Beispiel erforderlich sind. Der Schwerpunkt liegt auf den PE-Geräten, da dort die VPN-Konfiguration untergebracht ist. Im Abschnitt Schnellkonfigurationen finden Sie die in diesem Beispiel verwendeten CE-Geräte- und P-Gerätekonfigurationen.
Konfiguration der MPLS-Baseline (falls erforderlich)
Stellen Sie vor der Konfiguration eines Layer-3-VPN sicher, dass das PE-Gerät über eine funktionierende MPLS-Baseline verfügt. Wenn Sie bereits über eine MPLS-Baseline verfügen, können Sie schritt für Schritt die Prozedur überspringen, um den PE-Geräten das Layer-3-VPN hinzuzufügen.
Konfigurieren Sie den Hostnamen.
[edit] user@pe1# set system host-name pe1
Konfiguration der Core- und Loopback-Schnittstellen:
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
Best Practice:Während ein Layer-3-VPN eine Fragmentierung am Ingress-PE durchführen kann, ist es bewährte Vorgehensweise, das Netzwerk so zu gestalten, dass das CE einen Frame mit maximaler Größe senden kann, ohne dass eine Fragmentierung erforderlich ist. Um sicherzustellen, dass keine Fragmentierung auftritt, sollte das Provider-Netzwerk den größten Frame unterstützen, den die CE-Geräte generieren können, nachdem die MPLS- und virtuellen Routing- und Weiterleitungsetiketten (VRF) vom PE-Gerät hinzugefügt werden. In diesem Beispiel werden die CE-Geräte an der Standardmäßigen MTU (Maximum Transmission Unit) mit 1500 Byte belassen, während der Provider-Core so konfiguriert wird, dass er eine 4000-Byte-MTU unterstützt. Dies stellt sicher, dass die CE-Geräte selbst bei MPLS- und VRF-Einkapselungs-Overhead die MTU im Provider-Netzwerk nicht überschreiten können.
Konfigurieren Sie die Protokolle:
Hinweis:Traffic Engineering wird für RSVP-signalisierte LSPs unterstützt, ist aber für grundlegende MPLS-Switching- oder VPN-Bereitstellungen nicht erforderlich. Die bereitgestellte MPLS-Baseline verwendet RSVP zum Signalisieren von LSPs und ermöglicht Traffic-Engineering für OSPF. Es sind jedoch keine Pfadbeschränkungen konfiguriert, sodass Sie erwarten, dass die LSPs über den kürzesten Pfad des Interior Gateway Protocol geroutet werden.
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
Beschreiben Sie den LSP für die Loopback-Adresse des Remote-PE-Geräts:
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
Die MPLS-Baseline ist jetzt auf dem PE1-Gerät konfiguriert. Konfigurieren Sie weiterhin das Layer-3-VPN.
Verfahren
Schritt-für-Schritt-Verfahren
Führen Sie diese Schritte aus, um das PE1-Gerät für ein Layer-3-VPN zu konfigurieren.
Konfigurieren Sie die Kundenschnittstelle:
Tipp:Sie können sowohl ein MPLS-basiertes Layer-2-VPN als auch ein MPLS-basiertes Layer 3-VPN auf demselben PE-Gerät konfigurieren. Sie können jedoch nicht dieselbe Kunden-Edge-Schnittstelle konfigurieren, die sowohl ein Layer-2-VPN als auch ein Layer-3-VPN unterstützt.
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
Konfigurieren Sie eine BGP-Gruppe für das Peering zwischen den lokalen und Remote-PE-Geräten. Verwenden Sie die Loopback-Adresse des PE-Geräts als lokale Adresse, und aktivieren Sie die Adressfamilie, um den
inet-vpn unicastLayer 3-VPN-Routenaustausch zu unterstützen. Eine Routing-Richtlinie für BGP ist auf den PE-Geräten in diesem Beispiel nicht erforderlich. Die PE-Geräte werden standardmäßig in IBGP zurückgesetzt, die Routen, die sie über ihr EBGP-Peering zum CE-Gerät lernen.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Tipp:Sie können andere Adressfamilien angeben, wenn die PE-zu-PE-IBGP-Sitzung den Austausch von Nicht-VPN-Routen unterstützen muss, z. B. reguläre IPv4- oder IPv6-Routen mithilfe der
inetbzwinet6. Familien.Konfigurieren Sie den BGP-Gruppentyp als intern.
[edit protocols bgp] user@pe1# set group ibgp type internal
Konfigurieren Sie die Loopback-Adresse des PE-Remotegeräts als BGP-Nachbar.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
Konfigurieren Sie die Router-ID entsprechend ihrer Loopback-Adresse, und definieren Sie die für BGP-Peering erforderliche autonome BGP-Systemnummer.
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
Konfigurieren Sie die Routing-Instanz. Geben Sie einen Instanznamen von CE1_L3vpnan, und konfigurieren Sie einen
instance-typevonvrf.[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
Konfigurieren Sie die kundenorientierte Schnittstelle des PE-Geräts für die Routing-Instanz.
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
Konfigurieren Sie den Route Distinguisher der Routing-Instanz. Diese Einstellung wird verwendet, um die Routen zu unterscheiden, die von einer bestimmten VRF auf einem bestimmten PE-Gerät gesendet werden. Es sollte für jede Routing-Instanz auf jedem PE-Gerät eindeutig sein.
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
Konfigurieren Sie das virtuelle Routing- und Weiterleitungstabellenziel (VRF) der Instanz. Die
vrf-targetAnweisung fügt das angegebene Community-Tag allen angekündigten Routen hinzu und entspricht gleichzeitig automatisch dem gleichen Wert für den Routenimport. Für den richtigen Routenaustausch ist die Konfiguration übereinstimmende Routenziele auf den PE-Geräten erforderlich, die ein bestimmtes VPN teilen.[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
Hinweis:Sie können komplexere Richtlinien erstellen, indem Sie VRF-Import- und Exportrichtlinien mit den Import- und Exportoptionen explizit konfigurieren. Weitere Informationen finden Sie unter vrf-import und vrf-export .
Konfigurieren Sie die Routing-Instanz, um EBGP-Peering mit dem CE1-Gerät zu unterstützen. Es wird direktes Schnittstellen-Peering zum CE1-Ende des VRF-Links verwendet, und die autonome Systemnummer von CE1 wird mit dem
peer-asParameter korrekt angegeben.[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
Bestätigen Sie Ihre Änderungen auf dem PE1-Gerät, und kehren Sie zum CLI-Betriebsmodus zurück.
[edit] user@pe1# commit and-quit
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration auf dem PE1-Gerät an. Die Ausgabe gibt nur die in diesem Beispiel hinzugefügte funktionsbasierte Konfiguration an.
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
}
}
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
Konfigurieren Sie das PE2-Gerät (Remote PE2) für ein MPLS-basiertes Layer 3-VPN
In diesem Abschnitt werden die Schritte beschrieben, die zum Konfigurieren des PE1-Geräts für dieses Beispiel erforderlich sind. Der Schwerpunkt liegt auf den PE-Geräten, da dort die VPN-Konfiguration untergebracht ist. Im Abschnitt Schnellkonfigurationen finden Sie die in diesem Beispiel verwendeten CE-Geräte- und P-Gerätekonfigurationen.
Konfiguration der MPLS-Baseline (falls erforderlich)
Stellen Sie vor der Konfiguration eines Layer-3-VPN sicher, dass das PE-Gerät über eine funktionierende MPLS-Baseline verfügt. Wenn Sie bereits über eine MPLS-Baseline verfügen, können Sie schritt für Schritt die Prozedur überspringen, um den PE-Geräten das Layer-3-VPN hinzuzufügen.
Konfigurieren Sie den Hostnamen.
[edit] user@pe2# set system host-name pe2
Konfiguration der Core- und Loopback-Schnittstellen:
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
Best Practice:Während ein Layer-3-VPN eine Fragmentierung am Ingress-PE durchführen kann, ist es bewährte Vorgehensweise, das Netzwerk so zu gestalten, dass das CE einen Frame mit maximaler Größe senden kann, ohne dass eine Fragmentierung erforderlich ist. Um sicherzustellen, dass keine Fragmentierung auftritt, sollte das Provider-Netzwerk den größten Frame unterstützen, den die CE-Geräte generieren können, nachdem die MPLS- und virtuellen Routing- und Weiterleitungsetiketten (VRF) vom PE-Gerät hinzugefügt werden. In diesem Beispiel werden die CE-Geräte an der Standardmäßigen MTU (Maximum Transmission Unit) mit 1500 Byte belassen, während der Provider-Core so konfiguriert wird, dass er eine 4000-Byte-MTU unterstützt. Dies stellt sicher, dass die CE-Geräte selbst bei MPLS- und VRF-Einkapselungs-Overhead die MTU im Provider-Netzwerk nicht überschreiten können.
Konfigurieren Sie die Protokolle:
Hinweis:Traffic Engineering wird für RSVP-signalisierte LSPs unterstützt, ist aber für grundlegende MPLS-Switching- oder VPN-Bereitstellungen nicht erforderlich. Die bereitgestellte MPLS-Baseline verwendet RSVP zum Signalisieren von LSPs und ermöglicht Traffic-Engineering für OSPF. Es sind jedoch keine Pfadbeschränkungen konfiguriert, sodass Sie erwarten, dass die LSPs über den kürzesten Pfad des Interior Gateway Protocol geroutet werden.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
Beschreiben Sie den LSP für die Loopback-Adresse des Remote-PE-Geräts:
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
Die MPLS-Baseline ist jetzt auf dem PE1-Gerät konfiguriert. Konfigurieren Sie weiterhin das Layer-3-VPN.
Verfahren
Schritt-für-Schritt-Verfahren
Führen Sie diese Schritte aus, um das PE2-Gerät für ein Layer-3-VPN zu konfigurieren.
Konfigurieren Sie die Kundenschnittstelle:
Tipp:Sie können sowohl ein MPLS-basiertes Layer-2-VPN als auch ein MPLS-basiertes Layer 3-VPN auf demselben PE-Gerät konfigurieren. Sie können jedoch nicht dieselbe Kunden-Edge-Schnittstelle konfigurieren, die sowohl ein Layer-2-VPN als auch ein Layer-3-VPN unterstützt.
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
Konfigurieren Sie eine BGP-Gruppe für das Peering zwischen den lokalen und Remote-PE-Geräten. Verwenden Sie die Loopback-Adresse des PE-Geräts als lokale Adresse, und aktivieren Sie die Adressfamilie, um den
inet-vpn unicastLayer 3-VPN-Routenaustausch zu unterstützen.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Tipp:Sie können andere Adressfamilien angeben, wenn die PE-zu-PE-IBGP-Sitzung den Austausch von Nicht-VPN-Routen unterstützen muss, z. B. reguläre IPv4- oder IPv6-Routen mithilfe der
inetbzwinet6. Familien.Konfigurieren Sie den BGP-Gruppentyp als intern.
[edit protocols bgp] user@pe2# set group ibgp type internal
Konfigurieren Sie die Loopback-Adresse des PE1-Geräts als BGP-Nachbar.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
Konfigurieren Sie die Router-ID entsprechend ihrer Loopback-Adresse, und definieren Sie die autonome BGP-Systemnummer.
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
Konfigurieren Sie die Routing-Instanz. Geben Sie einen Instanznamen von CE2_L3vpnmit einer von
vrfaninstance-type.[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
Konfigurieren Sie die kundenorientierte Schnittstelle des PE-Geräts für die Routing-Instanz.
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
Konfigurieren Sie den Route Distinguisher der Routing-Instanz. Diese Einstellung wird verwendet, um die Routen zu unterscheiden, die von einer bestimmten VRF auf einem bestimmten PE-Gerät gesendet werden. Es sollte für jede Routing-Instanz auf jedem PE-Gerät eindeutig sein.
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
Konfigurieren Sie das virtuelle Routing- und Weiterleitungstabellenziel (VRF) der Instanz. Die
vrf-targetAnweisung fügt das angegebene Community-Tag allen angekündigten Routen hinzu und entspricht gleichzeitig automatisch dem gleichen Wert für den Routenimport. Für den richtigen Routenaustausch ist die Konfiguration übereinstimmende Routenziele auf den PE-Geräten erforderlich, die ein bestimmtes VPN teilen.[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
Hinweis:Sie können komplexere Richtlinien erstellen, indem Sie VRF-Import- und Exportrichtlinien mit den Import- und Exportoptionen explizit konfigurieren. Weitere Informationen finden Sie unter vrf-import und vrf-export .
Konfigurieren Sie die Routing-Instanz, um EBGP-Peering mit dem CE2-Gerät zu unterstützen. Es wird direktes Schnittstellen-Peering zum CE2-Ende der VRF-Verbindung verwendet, und die autonome Systemnummer von CE2 wird mit dem
peer-asParameter korrekt angegeben.[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
Bestätigen Sie Ihre Änderungen auf dem PE2-Gerät, und kehren Sie zum CLI-Betriebsmodus zurück.
[edit] user@pe2# commit and-quit
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration auf dem PE2-Gerät an. Die Ausgabe gibt nur die in diesem Beispiel hinzugefügte funktionsbasierte Konfiguration an.
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
Überprüfung
Führen Sie diese Aufgaben aus, um zu überprüfen, ob das MPLS-basierte Layer 3-VPN ordnungsgemäß funktioniert:
- Überprüfung der OSPF-Nachbarschaften von Providern und Routenaustausch
- Überprüfen der MPLS- und RSVP-Schnittstelleneinstellungen
- Überprüfen von LSPs mit RSVP-Signalen
- Überprüfen des BGP-Sitzungsstatus
- Überprüfen von Layer-3-VPN-Routen in der Routing-Tabelle
- Ping des Pe-Remotegeräts über die Layer 3-VPN-Verbindung
- Verifizierung des End-to-End-Betriebs der CE-Geräte über das Layer-3-VPN
Überprüfung der OSPF-Nachbarschaften von Providern und Routenaustausch
Zweck
Bestätigen Sie, dass das OSPF-Protokoll im Provider-Netzwerk ordnungsgemäß funktioniert, indem Sie den Nachbarschaftsstatus und die von OSPF erlernten Routen zu den Loopback-Adressen der Remote-Provider-Geräte überprüfen. Ein ordnungsgemäßer IGP-Betrieb ist für die erfolgreiche Einrichtung von MPLS-LSPs von entscheidender Bedeutung.
Aktion
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
Bedeutung
Die Ausgabe zeigt an, dass das PE1-Gerät eine OSPF-Nachbarschaft zum P-Gerät eingerichtet hat (192.168.0.2). Es zeigt auch, dass die P- und Remote-PE-Geräte-Loopback-Adressen () und (192.168.0.2192.168.0.3) über OSPF am lokalen PE-Gerät korrekt erlernt werden.
Überprüfen der MPLS- und RSVP-Schnittstelleneinstellungen
Zweck
Überprüfen Sie, ob die RSVP- und MPLS-Protokolle für den Betrieb auf der Core-Schnittstelle des PE-Geräts konfiguriert sind. Mit diesem Schritt wird auch die family mpls korrekte Konfiguration auf Geräteebene der Core-Schnittstelle des PE-Geräts überprüft.
Aktion
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
Bedeutung
Die Ausgabe zeigt, dass MPLS und RSVP auf den Core- und Loopback-Schnittstellen des lokalen PE-Geräts korrekt konfiguriert sind.
Überprüfen von LSPs mit RSVP-Signalen
Zweck
Überprüfen Sie, ob die eingehenden und ausgehenden RSVP-LSPs zwischen den Loopback-Adressen des PE-Geräts korrekt eingerichtet wurden.
Aktion
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
Bedeutung
Die Ausgabe zeigt, dass sowohl die Ingress- als auch die Egress-RSVP-Sitzungen zwischen den PE-Geräten korrekt eingerichtet werden. Erfolgreiche LSP-Einrichtung gibt an, dass die MPLS-Basis betriebsbereit ist.
Überprüfen des BGP-Sitzungsstatus
Zweck
Überprüfen Sie, ob die IBGP-Sitzung zwischen den PE-Geräten ordnungsgemäß eingerichtet wurde, und unterstützen Sie NLRI (Layer 3 VPN Network Layer Reachability Information). In diesem Schritt bestätigen Sie auch, dass die lokale PE-zu-CE EBGP-Sitzung eingerichtet und richtig für den Austausch von IPv4-Routen konfiguriert ist.
Aktion
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
Bedeutung
Die Ausgabe zeigt an, dass die IBGP-Sitzung dem Remote-PE-Gerät () korrekt eingerichtet wurde (192.168.0.3Establund wie Up/Dwn lange die Sitzung im aktuellen Zustand war).6:18 Das flaps Feld bestätigt, dass keine Zustandsübergänge aufgetreten sind (0), was darauf hinweist, dass die Sitzung stabil ist. Beachten Sie auch, dass Layer-3-VPN-Routen (NLRI) aus dem Remote-PE gelernt wurden, wie durch das Vorhandensein einer bgp.l3vpn.0 Tabelle dargestellt.
Das Display bestätigt auch, dass die EBGP-Sitzung zum lokalen CE1-Gerät eingerichtet172.16.1.1 wurde und dass IPv4-Routen vom CE1-Gerät empfangen und in der CE1-Geräteroutinginstanz installiert wurden (CE1_L3vpn.inet.0)
Diese Ausgabe bestätigt, dass das BGP-Peering zwischen den PE-Geräten und dem CE-Gerät ordnungsgemäß funktioniert, um Ihr Layer-3-VPN zu unterstützen.
Überprüfen von Layer-3-VPN-Routen in der Routing-Tabelle
Zweck
Bestätigen Sie, dass in der Routingtabelle auf dem PE1-Gerät Layer-3-VPN-Routen enthalten sind, die von der Remote-PE angekündigt werden. Diese Routen werden zur Weiterleitung des Datenverkehrs an das CE-Remotegerät verwendet.
Aktion
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
Bedeutung
Der show route table bgp.l3vpn.0 Befehl zeigt die Layer-3-VPN-Routen an, die vom Remote-PE-Gerät empfangen wurden. Der show route table CE1_L3vpn.inet.0 Befehl listet alle Routen auf, die in die CE1_L3vpn Routinginstanz importiert wurden. Diese Einträge stellen die vom lokalen EBGP-Peering zum CE1-Gerät gelernten Routen dar, zusätzlich zu den Routen, die vom Remote-PE2-Gerät mit einem übereinstimmenden Routenziel empfangen wurden.
Beide Tabellen zeigen, dass die Remote-Layer-3-VPN-Routen dem LSP als weiterleitungsorientierter Next Hop korrekt zugeordnet lsp_to_pe2 werden. Die Ausgänge bestätigen, dass das lokale PE-Gerät von dem PE2-Gerät aus die Routen gelernt hat, die mit dem Remote-CE2-Standort verbunden sind. Es zeigt auch, dass das lokale PE layer 3-VPN-Datenverkehr über mpLS-Transport über das Provider-Netzwerk an das Pe2-Remotegerät weiterleite.
Ping des Pe-Remotegeräts über die Layer 3-VPN-Verbindung
Zweck
Überprüfen Sie die Layer-3-VPN-Konnektivität zwischen lokalen und Remote-PE-Geräten mithilfe von Ping. Mit diesem Befehl wird das Layer-3-VPN-Routing und der MPLS-Weiterleitungsvorgang zwischen den PE-Geräten überprüft.
Aktion
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
Bedeutung
Die Ausgabe bestätigt, dass die Layer-3-VPN-Steuerungs- und Weiterleitungsebenen zwischen den PE-Geräten ordnungsgemäß funktionieren.
Verifizierung des End-to-End-Betriebs der CE-Geräte über das Layer-3-VPN
Zweck
Überprüfen Sie die Layer-3-VPN-Konnektivität zwischen den CE-Geräten. Dieser Schritt bestätigt, dass die CE-Geräte über Betriebsschnittstellen verfügen und ordnungsgemäß für EBGP-basierte Layer 3-Konnektivität konfiguriert sind. Dies geschieht durch die Überprüfung, ob das lokale CE1-Gerät die Routen des CE-Remotegeräts erlernt hat, und indem bestätigt wird, dass die CE-Geräte in der Lage sind, den Datenverkehr end-to-End zwischen ihren Loopback-Adressen weiterzugeben.
Aktion
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
Bedeutung
Die Ausgabe zeigt, dass die Layer-3-VPN-basierte Konnektivität zwischen den CE-Geräten ordnungsgemäß funktioniert. Das lokale CE-Gerät hat die VRF-Schnittstelle und Loopback-Routen des CE-Remotegeräts über BGP gelernt. Der Ping wird an die Loopback-Adresse des CE-Remotegeräts generiert und mit dem source 172.16.255.1 Argument von der Loopback-Adresse des lokalen CE-Geräts bezogen. Durch Hinzufügen der do-not-fragment Switches wird size 1472 bestätigt, dass die CE-Geräte 1500-Byte-IP-Pakete ohne Fragmentierung des lokalen PE-Geräts weiterleiten können.
Das size 1472 dem ping Befehl hinzugefügte Argument generiert 1472 Bytes Echo-Daten. Zusätzlich werden 8 Byte Internet Control Message Protocol (ICMP) und 20 Bytes IP-Header hinzugefügt, um die Gesamtnutzlastgröße auf 1500 Bytes zu bringen. Das Hinzufügen des do-not-fragment Switches stellt sicher, dass die lokalen CE- und PE-Geräte keine Fragmentierung durchführen können. Diese Ping-Methode bestätigt, dass beim Austausch von Standard-1500-Byte-Ethernet-Frames mit maximaler Länge zwischen den CE-Geräten keine Fragmentierung erforderlich ist.
Diese Ergebnisse bestätigen, dass das MPLS-basierte Layer 3-VPN ordnungsgemäß funktioniert.