Übersicht
Arten von VPNs
Ein virtuelles privates Netzwerk (VPN) besteht aus zwei topologischen Bereichen: dem Netzwerk des Anbieters und dem Netzwerk des Kunden. Das Netzwerk des Kunden befindet sich üblicherweise an mehreren physischen Standorten und ist auch privat (nicht in das Internet). Ein Kundenstandort würde in der Regel aus einer Gruppe von Routern oder anderen Netzwerkgeräten bestehen, die sich an einem einzigen physischen Standort befinden. Das Netzwerk des Anbieters, das über die öffentliche Internetinfrastruktur läuft, besteht aus Routern, die VPN-Services für das Netzwerk eines Kunden bereitstellen, sowie Routern, die andere Services bereitstellen. Das Netzwerk des Anbieters verbindet die verschiedenen Kundenstandorte in einem, was für den Kunden und den Provider als ein privates Netzwerk erscheint.
Um sicherzustellen, dass VPNs privat bleiben und von anderen VPNs und dem öffentlichen Internet isoliert sind, verwaltet das Netzwerk des Anbieters Richtlinien, die Routing-Informationen von verschiedenen VPNs getrennt halten. Ein Provider kann mehrere VPNs bedienen, solange seine Richtlinien die Routen von verschiedenen VPNs getrennt halten. Ebenso kann ein Kundenstandort zu mehreren VPNs gehören, solange die Routen von den verschiedenen VPNs getrennt sind.
Das Junos-Betriebssystem® (Junos OS) bietet mehrere Arten von VPNs; können Sie die beste Lösung für Ihre Netzwerkumgebung wählen. Jedes der folgenden VPNs verfügt über unterschiedliche Funktionen und erfordert unterschiedliche Konfigurationstypen:
Layer 2-VPNs
Die Implementierung eines Layer-2-VPN auf einem Router ist ähnlich wie die Implementierung eines VPN mit einer Layer-2-Technologie wie ATM oder Frame Relay. Bei einem Layer-2-VPN auf einem Router wird der Datenverkehr jedoch im Layer-2-Format an den Router weitergeleitet. Es wird von MPLS über das Netzwerk des ServiceAnbieters übertragen und dann am Empfangsstandort wieder in das Layer-2-Format konvertiert. Sie können verschiedene Layer-2-Formate an den Sende- und Empfangsstandorten konfigurieren. Die Sicherheit und der Datenschutz eines MPLS Layer 2 VPN entsprechen denen eines ATM oder Frame Relay VPN.
Auf einem Layer-2-VPN erfolgt das Routing auf den Routern des Kunden, typischerweise auf dem CE-Router. Der CE-Router, der mit einem Service Provider auf einem Layer-2-VPN verbunden ist, muss die entsprechende Verbindung auswählen, auf der Datenverkehr gesendet werden soll. Der PE-Router, der den Datenverkehr empfängt, sendet ihn über das Netzwerk des Service Providers an den PE-Router, der mit dem Empfangsstandort verbunden ist. Die PE-Router müssen die Routen des Kunden nicht speichern oder verarbeiten. sie müssen nur so konfiguriert werden, dass Sie Daten an den entsprechenden Tunnel senden.
Für ein Layer-2-VPN müssen Kunden ihre eigenen Router so konfigurieren, dass sie den gesamten Layer-3-Datenverkehr übertragen. Der Service Provider muss nur wissen, wie viel Datenverkehr das Layer-2-VPN transportieren muss. Die Router des Service Providers übertragen den Datenverkehr zwischen den Standorten des Kunden über Layer-2-VPN-Schnittstellen . Die VPN-Topologie wird durch richtlinien bestimmt, die auf den PE-Routern konfiguriert sind.
Layer 3-VPNs
In einem Layer-3-VPN erfolgt das Routing auf den Routern des Service Providers. Daher erfordern Layer-3-VPNs mehr Konfiguration seitens des ServiceAnbieters, da die PE-Router des Service Providers die Routen des Kunden speichern und verarbeiten müssen.
In Junos OS basieren Layer-3-VPNs auf RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs). Dieser RFC definiert einen Mechanismus, mit dem Service Provider ihre IP-Backbones nutzen können, um ihren Kunden Layer-3-VPN-Services bereitzustellen. Die Standorte, aus denen ein Layer-3-VPN besteht, sind über das vorhandene öffentliche Internet-Backbone eines Anbieters verbunden.
VPNs basierend auf RFC 4364 werden auch als BGP/MPLS-VPNs bezeichnet, da BGP verwendet wird, um VPN-Routing-Informationen über den Backbone des Anbieters zu verteilen, und MPLS wird verwendet, um VPN-Datenverkehr über das Backbone an entfernte VPN-Standorte weiterzuleiten.
Kundennetzwerke können, da sie privat sind, entweder öffentliche oder private Adressen verwenden, wie in RFC 1918 , Address Allocation for Private Internets definiert. Wenn Kundennetzwerke, die private Adressen verwenden, mit der öffentlichen Internetinfrastruktur verbunden sind, können sich die privaten Adressen mit den privaten Adressen überschneiden, die von anderen Netzwerkbenutzern verwendet werden. BGP/MPLS-VPNs lösen dieses Problem, indem sie jeder Adresse einer bestimmten VPN-Site einen VPN-Bezeichner voranstellen, wodurch eine Adresse erstellt wird, die sowohl innerhalb des VPN als auch innerhalb des öffentlichen Internets eindeutig ist. Darüber hinaus verfügt jedes VPN über eine eigene VPN-spezifische Routing-Tabelle, die nur die Routing-Informationen für dieses VPN enthält.
VPLS
Der virtuelle private LAN-Service (VPLS) ermöglicht es Ihnen, geografisch verteilte Kundenstandorte so zu verbinden, als ob diese mit demselben LAN verbunden wären. In vielerlei Hinsicht funktioniert es wie ein Layer-2-VPN . VPLS und Layer 2 VPNs verwenden dieselbe Netzwerktopologie und funktionieren ähnlich. Ein Paket, das aus dem Netzwerk eines Kunden stammt, wird zuerst an ein CE-Gerät gesendet. Sie wird dann an einen PE-Router innerhalb des Netzwerks des Service Providers gesendet. Das Paket durchquert das Netzwerk des Service Providers über einen MPLS-LSP. Er kommt am Ausgangs-PE-Router an, der den Datenverkehr dann an das CE-Gerät am Zielkundenstandort weiterleitet.
Der entscheidende Unterschied bei VPLS besteht darin, dass Pakete das Netzwerk des ServiceAnbieters Punkt-zu-Multipoint-Weise durchqueren können, was bedeutet, dass ein Paket, das von einem CE-Gerät stammt, an PE-Router in der VPLS übertragen werden kann. Im Gegensatz dazu leitet ein Layer-2-VPN Pakete nur Punkt-zu-Punkt-Weise weiter. Das Ziel eines Pakets, das von einem CE-Gerät von einem PE-Router empfangen wird, muss bekannt sein, damit das Layer-2-VPN ordnungsgemäß funktioniert.
Nur in einem Layer-3-Netzwerk können Sie den virtuellen privaten LAN-Service (VPLS) so konfigurieren, dass geografisch verteilte Ethernet Local Area Networks (LAN)-Standorte über ein MPLS-Backbone miteinander verbunden werden. Für ISP-Kunden, die VPLS implementieren, scheinen sich alle Standorte im selben Ethernet-LAN zu befinden, obwohl der Datenverkehr über das Netzwerk des ServiceAnbieters geleitet wird. VPLS wurde entwickelt, um Ethernet-Datenverkehr über ein MPLS-fähiges Service Provider-Netzwerk zu übertragen. Auf bestimmte Weise ahmt VPLS das Verhalten eines Ethernet-Netzwerks nach. Wenn ein PE-Router, der mit einer VPLS-Routing-Instanz konfiguriert ist, ein Paket von einem CE-Gerät empfängt, überprüft er zunächst die entsprechende Routing-Tabelle für das Ziel des VPLS-Pakets. Wenn der Router das Ziel hat, leitet er es an den entsprechenden PE-Router weiter. Wenn es das Ziel nicht hat, sendet es das Paket an alle anderen PE-Router, die Mitglieder derselben VPLS-Routing-Instanz sind. Die PE-Router leiten das Paket an ihre CE-Geräte weiter. Das CE-Gerät, das der beabsichtigte Empfänger des Pakets ist, leitet es an sein endgültiges Ziel weiter. Die anderen CE-Geräte verwerfen sie.
Routing-Instanzen für virtuelle Router
Eine Routing-Instanz mit virtuellem Router, z. B. eine VPN-Routing- und Weiterleitungsinstanz (VRF), verwaltet für jede Instanz separate Routing- und Weiterleitungstabellen. Viele Konfigurationsschritte für VRF-Routing-Instanzen sind für routing-Instanzen mit virtuellen Routern jedoch nicht erforderlich. Insbesondere müssen Sie keinen Routenscheider, eine Routingtabellenrichtlinie (die vrf-export, vrf-importund route-distinguisher Anweisungen) oder MPLS zwischen den P-Routern konfigurieren.
Sie müssen jedoch separate logische Schnittstellen zwischen den einzelnen Service Provider-Routern konfigurieren, die an einer Routing-Instanz des virtuellen Routers teilnehmen. Außerdem müssen Sie separate logische Schnittstellen zwischen den Service Provider-Routern und den Kundenroutern konfigurieren, die an jeder Routing-Instanz teilnehmen. Jede virtuelle Router-Instanz erfordert einen eigenen Satz logischer Schnittstellen zu allen beteiligten Routern.
Abbildung 1 zeigt, wie das funktioniert. Die Service Provider-Router G und H sind für virtuelle Router-Routing-Instanzen Rot und Grün konfiguriert. Jeder Service Provider-Router ist direkt mit zwei lokalen Kundenroutern verbunden, einer in jeder Routing-Instanz. Die Router des ServiceAnbieters sind auch über das Service Provider-Netzwerk miteinander verbunden. Diese Router benötigen vier logische Schnittstellen: eine logische Schnittstelle zu jedem der lokal verbundenen Kundenrouter und eine logische Schnittstelle, um den Datenverkehr zwischen den beiden Service Provider-Routern für jede virtuelle Router-Instanz zu übertragen.
Layer 3-VPNs haben diese Konfigurationsanforderung nicht. Wenn Sie mehrere Layer 3-VPN-Routing-Instanzen auf einem PE-Router konfigurieren, können alle Instanzen dieselbe logische Schnittstelle verwenden, um einen anderen PE-Router zu erreichen. Dies ist möglich, weil Layer-3-VPNs MPLS (VPN)-Label verwenden, die datenverkehrsweise an und von verschiedenen Routing-Instanzen unterscheiden. Ohne MPLS- und VPN-Label, wie in einer Routing-Instanz eines virtuellen Routers, benötigen Sie separate logische Schnittstellen, um den Datenverkehr von verschiedenen Instanzen zu trennen.
Eine Methode zur Bereitstellung dieser logischen Schnittstelle zwischen den Service Provider-Routern ist die Konfiguration von Tunneln zwischen ihnen. Sie können IP-Sicherheit (IPsec), generic Routing Encapsulation (GRE) oder IP-IP-Tunnel zwischen den Service Provider-Routern konfigurieren und die Tunnel in der virtuellen Router-Instanz beenden.
VPNs und logische Systeme
Sie können einen einzelnen physischen Router in mehrere logische Systeme partitionieren, die unabhängige Routing-Aufgaben ausführen. Da logische Systeme einen Teil der Aufgaben ausführen, die einmal vom physischen Router gehandhabt wurden, bieten logische Systeme eine effektive Möglichkeit, die Nutzung einer einzigen Routing-Plattform zu maximieren.
Logische Systeme führen einen Teil der Aktionen eines physischen Routers aus und verfügen über eigene, eindeutige Routing-Tabellen, Schnittstellen, Richtlinien und Routing-Instanzen. Ein Satz logischer Systeme innerhalb eines einzigen Routers kann die Funktionen übernehmen, die zuvor von mehreren kleinen Routern ausgeführt wurden.
Logische Systeme unterstützen Layer-2-VPNs , Layer-3-VPNs , VPLS und Layer-2-Circuits . Weitere Informationen zu logischen Systemen finden Sie im Benutzerhandbuch für logische Systeme für Router und Switches.
Ab Junos OS Version 17.4R1 wurde die Ethernet VPN (EVPN)-Unterstützung auch auf logische Systeme erweitert, die auf MX-Geräten ausgeführt werden. Die gleichen EVPN-Optionen und -Leistung sind verfügbar und können in der [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] Hierarchie konfiguriert werden.
Grundlegendes zu Layer 3-VPNs
Virtuelle private Netzwerke (VPNs) sind private Netzwerke, die ein öffentliches Netzwerk verwenden, um zwei oder mehr Remote-Standorte zu verbinden. Anstelle dedizierter Verbindungen zwischen Netzwerken verwenden VPNs virtuelle Verbindungen, die durch öffentliche Netzwerke geroutet (tunneled) werden, die in der Regel Service Provider-Netzwerke sind.
Layer-3-VPN funktioniert auf Layer-3-Ebene des OSI-Modells, der Netzwerkebene. Ein Layer-3-VPN besteht aus einer Reihe von Kundenstandorten, die über das vorhandene öffentliche Internet-Backbone eines Service Providers verbunden sind. Für die Verbindung zu den Kundenstandorten wird ein Peer-to-Peer-Modell verwendet, bei dem die Service Provider die Kundenrouten beim Peering mit den Kunden kennen. Die gemeinsamen Routing-Informationen werden über den Backbone des Anbieters mithilfe von Multiprotocol-BGP geteilt, und der VPN-Datenverkehr wird über MPLS an die Standorte des Kunden weitergeleitet.
Junos OS unterstützt Layer-3-VPNs basierend auf RFC 4364. Der RFC beschreibt VPNs, die MPLS-Tunnel für die Konnektivität verwenden, BGP zur Verteilung der Erreichbarkeitsinformationen und ein IP-Backbone für den Transport. Service Provider nutzen ihre IP-Backbones, um eine Reihe von Kundenstandorten zu verbinden, die zu demselben VPN gehören.
Komponenten eines Layer 3-VPN
Es gibt drei primäre Arten von MPLS-VPNs: Layer-2-VPNs, Layer-2-Circuits und Layer-3-VPNs. Alle Arten von MPLS-VPNs teilen bestimmte Komponenten:
CE-Geräte – Customer Edge (CE)-Geräte am Kundenstandort, die eine Verbindung zum Netzwerk des Anbieters herstellen. Einige Modelle nennen diese CPE-Geräte (Customer Premises Equipment).
Kundennetzwerk – Kundenstandorte mit CE-Geräten, die zum VPN gehören.
Provider-Netzwerk – Das Service Provider-Backbone-Netzwerk, in dem das MPLS-Backbone ausgeführt wird.
P-Geräte – Provider -Geräte (P) innerhalb des Kerns des Netzwerks des Anbieters. Anbietergeräte sind an keinem Gerät an einem Kundenstandort verbunden und Teil des Tunnels zwischen PE-Gerätepaaren. Provider-Geräte unterstützen als Teil der Tunnelunterstützung Funktionen für Label-Switched Path (LSP), unterstützen jedoch keine VPN-Funktionalität.
PE-Geräte – Provider Edge -Geräte (PE) innerhalb eines Core-Netzwerks für Service Provider, die sich direkt mit einem CE-Gerät am Standort des Kunden verbinden.
MP-BGP— PE-Geräte verwenden MP-BGP, um Kundenrouten über das MPLS-Backbone an die richtigen PE-Geräte zu verteilen.
Layer 3-VPN-Terminologie
VPNs verwenden eine eigene Terminologie, um Komponenten des Netzwerks zu identifizieren:
IP-Routing-Tabelle (auch als globale Routing-Tabelle bezeichnet): Diese Tabelle enthält Service Provider-Routen, die nicht in einer VRF enthalten sind. Provider-Geräte benötigen diese Tabelle, um miteinander zu erreichen, während die VRF-Tabelle benötigt wird, um alle Kundengeräte über ein bestimmtes VPN zu erreichen. Ein PE-Router mit Interface A zu einem CE-Router und Interface B zu einem Backbone-P-Router platziert die Schnittstellen-A-Adressen in der VRF und die Schnittstellen B-Adressen in der globalen IP-Routing-Tabelle.
Route Distinguisher: Ein 64-Bit-Wert, der einer IP-Adresse voraus ist. Dieses eindeutige Tag hilft bei der Identifizierung der Routen der verschiedenen Kunden, wenn Pakete über denselben Service Provider-Tunnel fließen.
Da ein typisches Transitnetzwerk für mehr als ein VPN konfiguriert ist, sind auf den Provider-Routern wahrscheinlich mehrere VRF-Instanzen konfiguriert. Infolgedessen können die BGP-Routing-Tabellen je nach Ursprung des Datenverkehrs und etwaigen Filterregeln, die auf den Datenverkehr angewendet werden, mehrere Routen für eine bestimmte Zieladresse enthalten. Da BGP erfordert, dass genau eine BGP-Route pro Ziel in die Weiterleitungstabelle importiert werden muss, muss BGP eine Möglichkeit haben, zwischen potenziell identischen NLRI-Nachrichten (Network Layer Reachability Information) zu unterscheiden, die von verschiedenen VPNs empfangen werden.
Ein Route Distinguisher ist eine lokal eindeutige Nummer, die alle Routeninformationen für ein bestimmtes VPN identifiziert. Mit eindeutigen numerischen Bezeichnern kann BGP zwischen anderen Routen unterscheiden.
Jede Routing-Instanz, die Sie auf einem PE-Router konfigurieren, muss über einen eindeutigen Routenscheider verfügen. Es gibt zwei mögliche Formate:
as-number:number— Wobei, as-number ist eine autonome Systemnummer (AS) (ein 2-Byte-Wert) im Bereich von 1 bis 65.535 und number ein beliebiger 4-Byte-Wert. Wir empfehlen, eine von der Internet Assigned Numbers Authority (IANA) zugewiesene, nichtprivate AS-Nummer zu verwenden, vorzugsweise den ISP oder die Kunden-AS-Nummer.
ip-address:number– Wobei, ip-address ist eine IP-Adresse (ein 4-Byte-Wert) und number ein beliebiger 2-Byte-Wert. Die IP-Adresse kann eine beliebige global eindeutige Unicast-Adresse sein. Wir empfehlen, die Adresse zu verwenden, die Sie in der router-id-Anweisung konfigurieren, bei der es sich um eine öffentliche IP-Adresse im zugewiesenen Präfixbereich handelt.
Route Target (RT): Ein 64-Bit-Wert, der zur Identifizierung des endgültigen Ausgangs-PE-Geräts für Kundenrouten in einer bestimmten VRF verwendet wird, um komplexe gemeinsame Routen zu ermöglichen. Das Routenziel definiert, welche Route Teil eines VPN ist. Ein einzigartiges Routenziel hilft bei der Unterscheidung zwischen verschiedenen VPN-Services auf demselben Router. Jedes VPN verfügt außerdem über eine Richtlinie, die definiert, wie Routen in die VRF-Tabelle auf dem Router importiert werden. Ein Layer-2-VPN wird mit Import- und Exportrichtlinien konfiguriert. Ein Layer-3-VPN verwendet ein eindeutiges Routenziel, um zwischen VPN-Routen zu unterscheiden. So ermöglicht der RT beispielsweise die gemeinsame Nutzung von Routen in einem gemeinsam genutzten Servicenetzwerk für mehrere Kunden. Jede VPN-Route kann ein oder mehrere RTs haben. Ein PE-Gerät verarbeitet RTs als erweiterte BGP-Community-Werte und nutzt die RTs zur Installation von Kundenrouten.
VPN-IPv4-Routen: Eine Route, die aus einer 96-Bit-Sequenz besteht, die aus einem 64-Bit-RD-Tag besteht, dem eine 32-Bit-IPv4-Adresse voraus ist. Die PE-Geräte exportieren die VPN-IPv4-Routen in IBGP-Sitzungen auf die Geräte des anderen Anbieters. Diese Routen werden über den MPLS-Backbone mit iBGP ausgetauscht. Wenn das ausgehende PE-Gerät die Route empfängt, entfernt es den Routenscheider und kündigt die Route an die angeschlossenen CE-Geräte an, typischerweise durch Standard-BGP-IPv4-Routenanzeigen.
VRF: Die Virtuelle Routing- und Weiterleitungstabelle (VRF) unterscheidet die Routen für verschiedene Kunden sowie die Kundenrouten von Provider-Routen auf dem PE-Gerät. Diese Routen können überlappende private Netzwerkadressräume, kundenspezifische öffentliche Routen und Provider-Routen auf einem PE-Gerät enthalten, die für den Kunden nützlich sind.
Eine VRF-Instanz besteht aus einer oder mehreren Routing-Tabellen, einer abgeleiteten Weiterleitungstabelle, den Schnittstellen, die die Weiterleitungstabelle verwenden, und den Richtlinien und Routing-Protokollen, die festlegen, was in die Weiterleitungstabelle fließt. Da jede Instanz für ein bestimmtes VPN konfiguriert ist, verfügt jedes VPN über separate Tabellen, Regeln und Richtlinien, die den Betrieb steuern.
Für jedes VPN, das eine Verbindung zu einem CE-Router hat, wird eine separate VRF-Tabelle erstellt. Die VRF-Tabelle ist mit Routen gefüllt, die von direkt verbundenen CE-Standorten empfangen werden, die mit der VRF-Instanz verbunden sind, und mit Routen, die von anderen PE-Routern in demselben VPN empfangen werden.
Layer-3-VPN-Architektur
Ein Layer-3-VPN verbindet Kunden-Edge-Router (CE-Router) mit Routern am Edge des Service Provider-Netzwerks (PE-Router). Ein Layer-3-VPN verwendet ein Peer-Routing-Modell zwischen lokalen PE- und CE-Routern, die direkt verbunden sind. Das heißt, ohne dass mehrere Hops auf dem Provider-Backbone erforderlich sind, um PE- und CE-Routerpaare zu verbinden. Die PE-Router verteilen Die Routing-Informationen an alle CE-Router, die zu demselben VPN gehören, basierend auf dem BGP Route Distinguisher, lokal und über das Provider-Netzwerk. Jedes VPN hat seine eigene Routing-Tabelle für dieses VPN, die mit den Routing-Tabellen in den CE- und PE-Peer-Routern koordiniert ist. Die CE- und PE-Router verfügen über unterschiedliche VRF-Tabellen. Jeder CE-Router hat nur eine einzige VRF-Tabelle, da die anderen VPNs für den CE unsichtbar sind. Ein PE-Router kann mit mehr als einem CE-Router verbunden werden, sodass der PE-Router eine allgemeine IP-Routing-Tabelle und eine VRF-Tabelle für jeden angeschlossenen CE mit einem VPN hat.
Abbildung 2 zeigt die allgemeine Architektur eines Layer-3-VPN.
Der PE-Router weiß, welche VRF-Tabelle für Pakete von Remote-VPN-Standorten verwendet werden soll, da jede VRF-Tabelle ein oder mehrere erweiterte Community-Attribute im Zusammenhang mit hit aufweist. Die Community-Attribute geben an, dass die Route zu einer bestimmten Sammlung von Routern gehört. Das Routenziel-Community-Attribut identifiziert eine Sammlung von Websites (genauer gesagt die Sammlung ihrer VRF-Tabellen), an die ein PE-Router Routen verteilt. Der PE-Router verwendet das Routenziel, um die richtigen Remote-VPN-Routen in seine VRF-Tabellen zu importieren.
Der Import und Export von VPN-Routen zwischen VPN-Standorten erfolgt nicht automatisch. Dieser Prozess wird von BPG-Routing-Policen gesteuert. Die Routing-Richtlinien legen die Regeln für den Austausch von Routing-Informationen im MPLS-Netzwerk des Service Providers fest und müssen korrekt konfiguriert und gepflegt werden, wenn sich die Netzwerktopologie ändert.
Der PE-Router klassifiziert IPv4-Routen, die von einem Peer-CE-Router angekündigt und vom PE-Router als VPN-IPv4-Routen empfangen werden. Wenn ein eingehender PE-Router Routen empfängt, die von einem direkt verbundenen Peer CE-Router angekündigt wurden, überprüft der EINGANGS-PE-Router die empfangene Route mit der VRF-Exportrichtlinie für dieses VPN. Das heißt, der eingehende PE-Router entscheidet, welche Remote-PE-Router die angekündigten Routen kennen müssen. Dies ist ein zweistufiger Prozess:
Wenn die festgelegte Exportrichtlinie die Route akzeptiert, konvertiert der PE-Router die Informationen in das VPN-IPv4-Format, indem er der IPv4-Adresse den Routenscheider hinzufügt. Der PE-Router kündigt dann die VPN-IPv4-Route zu den entfernten PE-Routern an. Die konfigurierte Exportzielrichtlinie der VRF-Tabelle bestimmt den Wert des angehängten Routenziels. IBGP-Sitzungen verteilen die VNP-IPv4-Routen über das Core-Netzwerk des ServiceAnbieters.
Wenn die festgelegte Exportrichtlinie die Route nicht akzeptiert, exportiert der PE-Router die Route nicht an andere PE-Router, aber der PE-Router verwendet die Route lokal. Dies geschieht beispielsweise, wenn zwei CE-Router im selben VPN direkt mit demselben PE-Router verbunden sind, sodass der allgemeine Datenverkehr von einem CE-Standort zum anderen fließen kann.
Wenn ein Ausgangs-PE-Router auf der anderen Seite des Service Provider-Netzwerks eine Route empfängt, überprüft der PE-Ausgangs-Router die Route mit der IBGP-Importrichtlinie zwischen den PE-Routern. Wenn der AUSGANGS-PE-Router die Route akzeptiert, fügt der AUSGANGS-PE-Router die Route zur Routingtabelle bgp.l3VPN.0 hinzu. Der Router überprüft auch die Route mit der VRF-Importrichtlinie für das VPN. Wenn die Route akzeptiert wird, entfernt der Ausgangs-PE-Router den Routenscheider und platziert die Route in die richtige VRF-Tabelle. Die VRF-Tabellen verwenden die Routing-Instanzname.inet.0-Namenskonvention, daher konfiguriert "VPN A" die Tabelle normalerweise als vpna.inet.0).
Unterstützte Layer 3-VPN-Standards
Junos OS unterstützt im Wesentlichen die folgenden RFCs, die Standards für virtuelle private Layer-3-Netzwerke (VPNs) definieren.
RFC 2283, Multiprotocol-Erweiterungen für BGP-4
RFC 2685, Virtual Private Networks Identifier
RFC 2858, Multiprotocol-Erweiterungen für BGP-4
RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs)
RFC 4379, Erkennung von MPLS-Ausfällen (Multi Protocol Label Switched)
Die Traceroute-Funktionalität wird nur auf Transitroutern unterstützt.
RFC 4576, Using a Link State Advertisement (LSA) Options Bit to Prevent Looping in BGP/MPLS IP Virtual Private Networks (VPNs)
RFC 4577, OSPF als Provider/Customer Edge Protocol für BGP/MPLS IP Virtual Private Networks (VPNs)
RFC 4659, BGP-MPLS IP Virtual Private Network (VPN)-Erweiterung für IPv6 VPN
RFC 4684, Eingeschränkte Routenverteilung für Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs)
Die folgenden RFCs definieren keinen Standard, liefern aber Informationen über technologiebezogene Layer-3-VPNs . Die IETF stuft sie als "Best Current Practice" oder "Informational" ein.
RFC 1918, Adressenzuweisung für private Internets
RFC 2917, Eine Core-MPLS-IP-VPN-Architektur
Siehe auch
Verständnis der Layer-3-VPN-Weiterleitung durch den Core
Die PE-Router im Core-Netzwerk des Anbieters sind die einzigen Router, die so konfiguriert sind, dass sie VPNs unterstützen, und sind daher die einzigen Router, die Informationen zu den VPNs haben. Aus Sicht der VPN-Funktionalität sind die Provider (P) Router im Core – jene P-Router, die nicht direkt mit CE-Routern verbunden sind – lediglich Router entlang des Tunnels zwischen den ein- und ausgehenden PE-Routern.
Die Tunnel können entweder LDP oder MPLS sein. Alle P-Router entlang des Tunnels müssen das für den Tunnel verwendete Protokoll unterstützen, entweder LDP oder MPLS.
Wenn die PE-Router-zu-PE-Routerweiterleitung über MPLS Label-Switched Paths (LSPs) getunnelt wird, haben die MPLS-Pakete einen zweistufigen LabelStack (siehe Abbildung 3):
Äußeres Label– Label, das der Adresse des BGP next Hop vom IGP next Hop zugewiesen wurde
Internes Label: Label, das dem BGP-nächsten Hop für die Zieladresse des Pakets zugewiesen wurde
Abbildung 4 zeigt, wie die Label zugewiesen und entfernt werden:
Wenn CE-Router X ein Paket mit einem Ziel des CE-Routers Y an Router PE1 weiterleitet, identifiziert die PE-Route den BGP-nächsten Hop an Router Y und weist ein Label zu, das dem BGP next Hop entspricht, und identifiziert den ZIEL-CE-Router . Dieses Label ist das innere Label.
Router PE1 identifiziert dann die IGP-Route zum BGP next Hop und weist ein zweites Label zu, das dem LSP des BGP-nächsten Hops entspricht. Dieses Label ist das äußere Label.
Das innere Label bleibt dasselbe wie das Paket, das den LSP-Tunnel passiert. Das äußere Label wird an jedem Hop entlang des LSP ausgetauscht und dann vom vorletzten Hop-Router (dem dritten P-Router) geknallt.
Router PE2 oppt das innere Label aus der Route und leitet das Paket an Router Y weiter.
Grundlegendes zu Layer 3-VPN-Attributen
Die Routenverteilung innerhalb eines VPN wird über BGP erweiterte Community-Attribute gesteuert. RFC 4364 definiert die folgenden drei Attribute, die von VPNs verwendet werden:
Ziel-VPN: Identifiziert eine Reihe von Standorten innerhalb eines VPN, an die ein Provider Edge (PE)-Router Routen verteilt. Dieses Attribut wird auch als Routenziel bezeichnet. Das Routenziel wird vom ausgangs-PE-Router verwendet, um zu bestimmen, ob eine empfangene Route für ein VPN bestimmt ist, das der Router bedient.
Abbildung 5 veranschaulicht die Funktion des Routenziels. PE-Router PE1 fügt das Routenziel "VPN B" zu Routen hinzu, die vom Kunden-Edge -Router (CE) an Standort 1 in VPN B empfangen werden. Wenn er die Route empfängt, untersucht der Ausgangsrouter PE2 das Routenziel, stellt fest, dass die Route für ein VPN ist, das es unterstützt, und akzeptiert die Route. Wenn der Ausgangsrouter PE3 dieselbe Route empfängt, akzeptiert er die Route nicht, da er keine CE-Router in VPN B bedient.
URSPRUNGS-VPN: Identifiziert eine Reihe von Websites und die entsprechende Route, die von einer der Sites in diesem Satz stammt.
Ursprungsort: Identifiziert eindeutig die Routen, die ein PE-Router von einem bestimmten Standort gelernt hat. Dieses Attribut stellt sicher, dass eine Route, die von einem bestimmten Standort über eine bestimmte PE-CE-Verbindung gelernt wurde, nicht über eine andere PE-CE-Verbindung an den Standort zurückverteilt wird. Dies ist besonders nützlich, wenn Sie BGP als Routing-Protokoll zwischen den PE- und CE-Routern verwenden und wenn verschiedenen Standorten im VPN die gleichen Nummern für das autonome System (AS) zugewiesen wurden.
Router in einem VPN
Abbildung 6 zeigt, wie die PROVIDER-Edge -Router (PE) die VPN-Funktionalität bieten; die Provider- und Customer Edge (CE)-Router haben keine besonderen Konfigurationsanforderungen für VPNs.
Einführung in die Konfiguration von Layer-3-VPNs
Um die Vpn-Funktionalität (Virtual Private Network) auf Layer 3 zu konfigurieren, müssen Sie die VPN-Unterstützung auf dem Provider Edge (PE)-Router aktivieren. Sie müssen auch alle Provider (P)-Router konfigurieren, die das VPN bedienen, und Sie müssen die Kunden-Edge (CE)-Router so konfigurieren, dass ihre Routen in das VPN verteilt werden.
Zur Konfiguration von Layer-3-VPNs fügen Sie die folgenden Anweisungen ein:
description text; instance-type vrf; interface interface-name; protocols { bgp { group group-name { peer-as as-number; neighbor ip-address; } multihop ttl-value; } (ospf | ospf3) { area area { interface interface-name; } domain-id domain-id; domain-vpn-tag number; sham-link { local address; } sham-link-remote address <metric number>; } rip { rip-configuration; } } route-distinguisher (as-number:id | ip-address:id); router-id address; routing-options { autonomous-system autonomous-system { independent-domain; loops number; } forwarding-table { export [ policy-names ]; } interface-routes { rib-group group-name; } martians { destination-prefix match-type <allow>; } maximum-paths { path-limit; log-interval interval; log-only; threshold percentage; } maximum-prefixes { prefix-limit; log-interval interval; log-only; threshold percentage; } multipath { vpn-unequal-cost; } options { syslog (level level | upto level); } rib routing-table-name { martians { destination-prefix match-type <allow>; } multipath { vpn-unequal-cost; } static { defaults { static-options; } route destination-prefix { next-hop [next-hops]; static-options; } } } } static { defaults { static-options; } route destination-prefix { policy [ policy-names ]; static-options; } } vrf-advertise-selective { family { inet-mvpn; inet6-mvpn; } } vrf-export [ policy-names ]; vrf-import [ policy-names ]; vrf-target (community | export community-name | import community-name); vrf-table-label;
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Die [edit logical-systems] Hierarchieebene gilt nicht für Router der ACX-Serie.
Der sham-link, und sham-link-remotedie vrf-advertise-selective Anweisungen sind in Routern der ACX-Serie nicht anwendbar.
Für Layer 3-VPNs sind nur einige der Anweisungen in der [edit routing-instances] Hierarchie gültig. Eine vollständige Hierarchie finden Sie unter Junos OS Routing Protocols Library.
Zusätzlich zu diesen Anweisungen müssen Sie ein Signalisierungsprotokoll, IBGP-Sitzungen zwischen den PE-Routern und ein Interior Gateway Protocol (IGP) auf den PE- und P-Routern aktivieren.
Standardmäßig sind Layer 3-VPNs deaktiviert.
Viele der Konfigurationsverfahren für Layer-3-VPNs sind allen ARTEN von VPNs gemeinsam.
[edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] Hierarchie konfiguriert werden.