Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Überblick

Arten von VPNs

Ein Virtual Private Network (VPN) besteht aus zwei topologischen Bereichen: dem Netzwerk des Anbieters und dem Netzwerk des Kunden. Das Netzwerk des Kunden befindet sich üblicherweise an mehreren physischen Standorten und ist ebenfalls privat (kein Internet). Ein Kundenstandort besteht in der Regel aus einer Gruppe von Routern oder anderen Netzwerkgeräten, die sich an einem einzigen physischen Standort befinden. Das Netzwerk des Anbieters, das über die öffentliche Internetinfrastruktur läuft, besteht aus Routern, die VPN-Dienste für das Netzwerk eines Kunden bereitstellen, sowie Routern, die andere Dienste bereitstellen. Das Netzwerk des Anbieters verbindet die verschiedenen Kundenstandorte in einem Netzwerk, das für den Kunden und den Anbieter wie ein privates Netzwerk erscheint.

Um sicherzustellen, dass VPNs privat und isoliert von anderen VPNs und vom öffentlichen Internet bleiben, unterhält das Netzwerk des Anbieters Richtlinien, die Routing-Informationen von verschiedenen VPNs getrennt halten. Ein Anbieter kann mehrere VPNs bedienen, solange seine Richtlinien die Routen von verschiedenen VPNs getrennt halten. In ähnlicher Weise kann ein Kundenstandort mehreren VPNs angehören, solange die Routen von den verschiedenen VPNs getrennt sind.

Das Junos-Betriebssystem® (Junos OS) bietet mehrere Arten von VPNs. Sie können die beste Lösung für Ihre Netzwerkumgebung auswählen. Jedes der folgenden VPNs hat unterschiedliche Funktionen und erfordert unterschiedliche Arten von Konfigurationen:

Layer 2-VPNs

Die Implementierung eines Layer-2-VPNs auf einem Router ähnelt der Implementierung eines VPNs mit einer Layer-2-Technologie wie ATM oder Frame Relay. Bei einem Layer-2-VPN auf einem Router wird der Datenverkehr jedoch im Layer-2-Format an den Router weitergeleitet. Sie werden per MPLS über das Netzwerk des Service Providers übertragen und dann am Empfangsstandort wieder in das Layer-2-Format konvertiert. Sie können verschiedene Layer-2-Formate am Sende- und am Empfangsstandort konfigurieren. Die Sicherheit und der Datenschutz eines MPLS-Layer-2-VPN sind denen eines ATM- oder Frame Relay-VPN gleichwertig.

Bei einem Layer-2-VPN erfolgt das Routing auf den Routern des Kunden, in der Regel auf dem CE-Router. Der CE-Router, der über ein Layer-2-VPN mit einem Service Provider verbunden ist, muss die geeignete Verbindung auswählen, über die der Datenverkehr gesendet werden soll. Der PE-Router, der den Datenverkehr empfängt, sendet ihn über das Netzwerk des Service Providers an den PE-Router, der mit dem empfangenden Standort verbunden ist. Die PE-Router müssen die Routen des Kunden nicht speichern oder verarbeiten. Sie müssen nur so konfiguriert werden, dass sie Daten an den entsprechenden Tunnel senden.

Für ein Layer-2-VPN müssen Kunden ihre eigenen Router so konfigurieren, dass sie den gesamten Layer-3-Datenverkehr übertragen. Der Service Provider muss nur wissen, wie viel Datenverkehr das Layer-2-VPN übertragen muss. Die Router des Service Providers leiten den Datenverkehr zwischen den Standorten des Kunden über Layer-2-VPN-Schnittstellen. Die VPN-Topologie wird durch Richtlinien bestimmt, die auf den PE-Routern konfiguriert sind.

Layer 3-VPNs

In einem Layer-3-VPN erfolgt das Routing auf den Routern des Service Providers. Daher erfordern Layer-3-VPNs mehr Konfiguration seitens des Service Providers, da die PE-Router des Service Providers die Routen des Kunden speichern und verarbeiten müssen.

Im Junos OS basieren Layer 3-VPNs auf RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs). Dieser RFC definiert einen Mechanismus, mit dem Service Provider ihre IP-Backbones nutzen können, um ihren Kunden Layer 3-VPN-Services bereitzustellen. Die Standorte, aus denen ein Layer-3-VPN besteht, sind über das bestehende öffentliche Internet-Backbone eines Anbieters verbunden.

VPNs, die auf RFC 4364 basieren, werden auch als BGP/MPLS-VPNs bezeichnet, da BGP zur Verteilung von VPN-Routing-Informationen über das Backbone des Anbieters und MPLS zur Weiterleitung von VPN-Datenverkehr über das Backbone an Remote-VPN-Standorte verwendet wird.

Da Kundennetzwerke privat sind, können entweder öffentliche Adressen oder private Adressen verwenden, wie in RFC 1918, Address Allocation for Private Internets, definiert. Wenn Kundennetzwerke, die private Adressen verwenden, eine Verbindung mit der öffentlichen Internetinfrastruktur herstellen, können sich die privaten Adressen mit den privaten Adressen überschneiden, die von anderen Netzwerkbenutzern verwendet werden. BGP/MPLS-VPNs lösen dieses Problem, indem sie jeder Adresse einer bestimmten VPN-Site eine VPN-Kennung voranstellen und dadurch eine Adresse erstellen, die sowohl innerhalb des VPN als auch im öffentlichen Internet eindeutig ist. Darüber hinaus verfügt jedes VPN über eine eigene VPN-spezifische Routing-Tabelle, die nur die Routing-Informationen für dieses VPN enthält.

VPLS

Mit dem VPLS (Virtual Private LAN Service) können Sie geografisch verteilte Kundenstandorte so verbinden, als ob sie mit demselben LAN verbunden wären. In vielerlei Hinsicht funktioniert es wie ein Layer-2-VPN. VPLS- und Layer-2-VPNs nutzen dieselbe Netzwerktopologie und funktionieren ähnlich. Ein Paket, das aus dem Netzwerk eines Kunden stammt, wird zuerst an ein CE-Gerät gesendet. Anschließend wird es an einen PE-Router im Netzwerk des Service Providers gesendet. Das Paket durchläuft das Netzwerk des Service Providers über einen MPLS-LSP. Er kommt am Ausgangs-PE-Router an, der den Datenverkehr dann an das CE-Gerät am Standort des Zielkunden weiterleitet.

Der Hauptunterschied von VPLS besteht darin, dass Pakete das Netzwerk des Service Providers in einer Punkt-zu-Multipoint-Methode durchlaufen können, was bedeutet, dass ein Paket, das von einem CE-Gerät stammt, an PE-Router im VPLS gesendet werden kann. Im Gegensatz dazu leitet ein Layer-2-VPN Pakete nur Punkt-zu-Punkt-Weise weiter. Das Ziel eines Pakets, das von einem CE-Gerät von einem PE-Router empfangen wird, muss bekannt sein, damit das Layer-2-VPN ordnungsgemäß funktioniert.

Nur in einem Layer-3-Netzwerk können Sie VPLS (Virtual Private LAN Service) konfigurieren, um geografisch verteilte Ethernet-LAN-Standorte (Local Area Networks) über ein MPLS-Backbone miteinander zu verbinden. Für ISP-Kunden, die VPLS implementieren, scheinen sich alle Standorte im selben Ethernet-LAN zu befinden, obwohl der Datenverkehr durch das Netzwerk des Service Providers geleitet wird. VPLS ist für die Übertragung von Ethernet-Datenverkehr über ein MPLS-fähiges Service Provider-Netzwerk ausgelegt. In gewisser Weise ahmt VPLS das Verhalten eines Ethernet-Netzwerks nach. Wenn ein PE-Router, der mit einer VPLS-Routing-Instanz konfiguriert ist, ein Paket von einem CE-Gerät empfängt, prüft er zunächst die entsprechende Routing-Tabelle für das Ziel des VPLS-Pakets. Wenn der Router das Ziel hat, leitet er es an den entsprechenden PE-Router weiter. Wenn er das Ziel nicht hat, sendet er das Paket an alle anderen PE-Router, die Mitglieder derselben VPLS-Routing-Instanz sind. Die PE-Router leiten das Paket an ihre CE-Geräte weiter. Das CE-Gerät, das der beabsichtigte Empfänger des Pakets ist, leitet es an sein endgültiges Ziel weiter. Die anderen CE-Geräte verwerfen es.

Routing-Instanzen für virtuelle Router

Eine Routing-Instanz mit virtuellem Router verwaltet wie eine VPN-Routing- und Weiterleitungsinstanz (VRF) separate Routing- und Weiterleitungstabellen für jede Instanz. Viele Konfigurationsschritte, die für VRF-Routinginstanzen erforderlich sind, sind jedoch nicht für Routinginstanzen mit virtuellem Router erforderlich. Insbesondere müssen Sie keine Routenunterscheidung, eine Routing-Tabelle-Richtlinie (die vrf-exportvrf-import, und route-distinguisher Anweisungen) oder MPLS zwischen den P-Routern konfigurieren.

Sie müssen jedoch separate logische Schnittstellen zwischen den einzelnen Service Provider-Routern konfigurieren, die an einer Routing-Instanz für virtuelle Router beteiligt sind. Außerdem müssen Sie separate logische Schnittstellen zwischen den Routern des Service Providers und den Kundenroutern konfigurieren, die an jeder Routing-Instanz teilnehmen. Jede Instanz eines virtuellen Routers benötigt ihre eigenen logischen Schnittstellen zu allen teilnehmenden Routern.

Abbildung 1 zeigt, wie das funktioniert. Die Service Provider-Router G und H sind für die Routing-Instanzen Rot und Grün virtueller Router konfiguriert. Jeder Service Provider-Router ist direkt mit zwei lokalen Kundenroutern verbunden, einen in jeder Routing-Instanz. Die Router der Service Provider sind auch über das Netzwerk der Service Provider miteinander verbunden. Diese Router benötigen vier logische Schnittstellen: eine logische Schnittstelle zu jedem der lokal verbundenen Kundenrouter und eine logische Schnittstelle für den Datenverkehr zwischen den beiden Service Provider-Routern für jede Instanz eines virtuellen Routers.

Abbildung 1: Logische Schnittstelle pro Router in einer Routinginstanz mit virtuellem Router Logical Interface per Router in a Virtual-Router Routing Instance

Für Layer-3-VPNs ist diese Konfigurationsanforderung nicht erforderlich. Wenn Sie mehrere Layer 3-VPN-Routing-Instanzen auf einem PE-Router konfigurieren, können alle Instanzen dieselbe logische Schnittstelle verwenden, um einen anderen PE-Router zu erreichen. Dies ist möglich, weil Layer-3-VPNs MPLS (VPN)-Labels verwenden, die den Datenverkehr von und zu verschiedenen Routing-Instanzen unterscheiden. Ohne MPLS- und VPN-Labels, wie in einer virtuellen Router-Routing-Instanz, benötigen Sie separate logische Schnittstellen, um den Datenverkehr von verschiedenen Instanzen zu trennen.

Eine Methode zur Bereitstellung dieser logischen Schnittstelle zwischen den Routern des Service Providers ist die Konfiguration von Tunneln zwischen den Routern. Sie können IP-Sicherheit (IPsec), generische Routing-Kapselung (GRE) oder IP-IP-Tunnel zwischen den Routern des Service Providers konfigurieren und die Tunnel auf der Instanz des virtuellen Routers beenden.

VPNs und logische Systeme

Sie können einen einzelnen physischen Router in mehrere logische Systeme partitionieren, die unabhängige Routing-Aufgaben ausführen. Da logische Systeme einen Teil der Aufgaben ausführen, die früher vom physischen Router erledigt wurden, bieten logische Systeme eine effektive Möglichkeit, die Nutzung einer einzelnen Routing-Plattform zu maximieren.

Logische Systeme führen eine Teilmenge der Aktionen eines physischen Routers aus und verfügen über ihre eigenen Routing-Tabellen, Schnittstellen, Richtlinien und Routing-Instanzen. Eine Reihe logischer Systeme in einem einzigen Router kann die Funktionen übernehmen, die zuvor von mehreren kleinen Routern ausgeführt wurden.

Logische Systeme unterstützen Layer-2-VPNs, Layer-3-VPNs, VPLS und Layer-2-Circuits. Weitere Informationen zu logischen Systemen finden Sie im Benutzerhandbuch für logische Systeme für Router und Switches.

Ab Junos OS-Version 17.4R1 wurde die Unterstützung von Ethernet-VPN (EVPN) auch auf logische Systeme auf MX-Geräten ausgeweitet. Es stehen die gleichen EVPN-Optionen und die gleiche Leistung zur Verfügung und können unter der [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] Hierarchie konfiguriert werden.

Grundlegendes zu Layer-3-VPNs

Virtual Private Networks (VPNs) sind private Netzwerke, die ein öffentliches Netzwerk nutzen, um zwei oder mehr Remote-Standorte miteinander zu verbinden. Anstelle von dedizierten Verbindungen zwischen Netzwerken verwenden VPNs virtuelle Verbindungen, die durch öffentliche Netzwerke geroutet (getunnelt) werden, bei denen es sich in der Regel um Service-Provider-Netzwerke handelt.

Layer-3-VPN arbeitet auf der Layer-3-Ebene des OSI-Modells, der Netzwerkschicht. Ein Layer-3-VPN besteht aus einer Reihe von Kundenstandorten, die über das bestehende öffentliche Internet-Backbone eines Service Providers verbunden sind. Ein Peer-to-Peer-Modell wird für die Verbindung zu den Kundenstandorten verwendet, wo die Service Provider die Kundenrouten beim Peering mit den Kunden kennenlernen. Die gemeinsamen Routing-Informationen werden über das Backbone des Anbieters mittels Multiprotokoll-BGP ausgetauscht, und der VPN-Datenverkehr wird über MPLS an die Kundenstandorte weitergeleitet.

Junos OS unterstützt Layer-3-VPNs basierend auf RFC 4364. Der RFC beschreibt VPNs, die MPLS-Tunnel für die Konnektivität, BGP zur Verteilung von Erreichbarkeitsinformationen und ein IP-Backbone für den Transport verwenden. Service Provider verwenden ihre IP-Backbones, um eine Reihe von Kundenseiten zu verknüpfen, die zum selben VPN gehören.

Komponenten eines Layer 3-VPN

Es gibt drei Haupttypen von MPLS-VPNs: Layer-2-VPNs, Layer-2-Circuits und Layer-3-VPNs. Alle Arten von MPLS-VPNs haben bestimmte Komponenten gemeinsam:

  • CE-Geräte: Kunden-Edge-Geräte (Customer Edge, CE) am Standort des Kunden, die eine Verbindung zum Netzwerk des Anbieters herstellen. Einige Modelle nennen sie CPE-Geräte (Customer Premises Equipment).

  • Kundennetzwerk: Kundenstandorte mit CE-Geräten, die zum VPN gehören.

  • Provider-Netzwerk: Das Service Provider-Backbone-Netzwerk, auf dem das MPLS-Backbone ausgeführt wird.

  • P-Geräte: Provider-Geräte (P) innerhalb des Core-Netzwerks des Providers. Provider-Geräte sind mit keinem Gerät an einem Kundenstandort verbunden und sind Teil des Tunnels zwischen Paaren von PE-Geräten. Provider-Geräte unterstützen die LSP-Funktionalität (Label Switched Path) als Teil der Tunnelunterstützung, jedoch keine VPN-Funktionalität.

  • PE-Geräte: Provider-Edge-Geräte (PE-Geräte) innerhalb eines Service Provider-Core-Netzwerks, die eine direkte Verbindung zu einem CE-Gerät am Standort des Kunden herstellen.

  • MP-BGP— PE-Geräte verwenden MP-BGP, um Kundenrouten an die richtigen PE-Geräte über das MPLS-Backbone zu verteilen.

Layer 3-VPN-Terminologie

VPNs verwenden eine bestimmte Terminologie, um die Komponenten des Netzwerks zu identifizieren:

  • IP-Routing-Tabelle (auch globale Routing-Tabelle genannt): Diese Tabelle enthält Dienstanbieter-Routen, die nicht in einem VRF enthalten sind. Provider-Geräte benötigen diese Tabelle, um sich gegenseitig erreichen zu können, während die VRF-Tabelle benötigt wird, um alle Kundengeräte in einem bestimmten VPN zu erreichen. Beispiel: Ein PE-Router mit Schnittstelle A zu einem CE-Router und Schnittstelle B zu einem Backbone-P-Router platziert die Schnittstelle-A-Adressen im VRF und die Schnittstelle-B-Adressen in der globalen IP-Routing-Tabelle.

  • Route Distinguisher: Ein 64-Bit-Wert, der einer IP-Adresse vorangestellt wird. Dieses eindeutige Tag hilft dabei, die Routen der verschiedenen Kunden zu identifizieren, wenn Pakete über denselben Service Provider-Tunnel fließen.

    Da ein typisches Transitnetzwerk für die Verarbeitung von mehr als einem VPN konfiguriert ist, sind auf den Provider-Routern wahrscheinlich mehrere VRF-Instanzen konfiguriert. Daher können die BGP-Routingtabellen abhängig vom Ursprung des Datenverkehrs und den auf den Datenverkehr angewendeten Filterregeln mehrere Routen für eine bestimmte Zieladresse enthalten. Da BGP erfordert, dass genau eine BGP-Route pro Ziel in die Weiterleitungstabelle importiert wird, muss BGP in der Lage sein, zwischen potenziell identischen NLRI-Nachrichten (Network Layer Reachability Information) zu unterscheiden, die von verschiedenen VPNs empfangen werden.

    Ein Route Distinguisher ist eine lokal eindeutige Nummer, die alle Routeninformationen für ein bestimmtes VPN identifiziert. Mithilfe eindeutiger numerischer Bezeichner kann BGP zwischen Routen unterscheiden, die ansonsten identisch sind.

    Jede Routinginstanz, die Sie auf einem PE-Router konfigurieren, muss über eine eindeutige Routenunterscheidung verfügen. Es gibt zwei mögliche Formate:

    • as-number:number– Dabei handelt es sich um eine AS-Nummer (autonomes System) as-number (einen 2-Byte-Wert) im Bereich von 1 bis 65.535 und number einen beliebigen 4-Byte-Wert. Es wird empfohlen, eine von der Internet Assigned Numbers Authority (IANA) zugewiesene, nicht private AS-Nummer zu verwenden, vorzugsweise die ISP- oder die Kunden-AS-Nummer.

    • ip-address:number– Dabei handelt es sich um eine IP-Adresse (einen 4-Byte-Wert) und number einen beliebigen 2-Byte-Wertip-address. Bei der IP-Adresse kann es sich um eine beliebige global eindeutige Unicastadresse handeln. Es wird empfohlen, die Adresse zu verwenden, die Sie in der router-id-Anweisung konfigurieren, bei der es sich um eine öffentliche IP-Adresse in dem Ihnen zugewiesenen Präfixbereich handelt.

  • Route Target (RT): Ein 64-Bit-Wert, der verwendet wird, um das letzte Ausgangs-PE-Gerät für Kundenrouten in einem bestimmten VRF zu identifizieren, um eine komplexe gemeinsame Nutzung von Routen zu ermöglichen. Das Routenziel definiert, welche Route Teil eines VPN ist. Ein eindeutiges Routenziel hilft bei der Unterscheidung zwischen verschiedenen VPN-Diensten auf demselben Router. Jedes VPN verfügt außerdem über eine Richtlinie, die definiert, wie Routen in die VRF-Tabelle auf dem Router importiert werden. Ein Layer-2-VPN ist mit Import- und Exportrichtlinien konfiguriert. Ein Layer-3-VPN verwendet ein eindeutiges Routenziel, um zwischen VPN-Routen zu unterscheiden. Der RT ermöglicht beispielsweise die gemeinsame Nutzung von Routen in einem Shared-Service-Netzwerk für mehrere Kunden. Jede VPN-Route kann eine oder mehrere RTs haben. Ein PE-Gerät verarbeitet RTs als erweiterte BGP-Community-Werte und verwendet die RTs zum Installieren von Kundenrouten.

  • VPN-IPv4-Routen: Eine Route, die aus einer 96-Bit-Sequenz besteht, die aus einem 64-Bit-RD-Tag besteht, dem eine 32-Bit-IPv4-Adresse vorangestellt ist. Die PE-Geräte exportieren die VPN-IPv4-Routen in IBGP-Sitzungen zu den Geräten des anderen Anbieters. Diese Routen werden über das MPLS-Backbone mittels iBGP ausgetauscht. Wenn das ausgehende PE-Gerät die Route empfängt, entfernt es den Route Distinguisher und kündigt die Route den angeschlossenen CE-Geräten an, in der Regel über standardmäßige BGP-IPv4-Routenankündigungen.

  • VRF: In der Tabelle Virtual Routing and Forwarding (VRF) werden die Routen für verschiedene Kunden sowie Kundenrouten von Provider-Routen auf dem PE-Gerät unterschieden. Diese Routen können überlappende Adressräume für private Netzwerke, kundenspezifische öffentliche Routen und Providerrouten auf einem PE-Gerät umfassen, die für den Kunden nützlich sind.

    Eine VRF-Instanz besteht aus einer oder mehreren Routingtabellen, einer abgeleiteten Weiterleitungstabelle, den Schnittstellen, die die Weiterleitungstabelle verwenden, sowie den Richtlinien und Routingprotokollen, die bestimmen, was in die Weiterleitungstabelle aufgenommen wird. Da jede Instanz für ein bestimmtes VPN konfiguriert ist, verfügt jedes VPN über separate Tabellen, Regeln und Richtlinien, die den Betrieb steuern.

    Für jedes VPN, das eine Verbindung zu einem CE-Router hat, wird eine separate VRF-Tabelle erstellt. Die VRF-Tabelle wird mit Routen aufgefüllt, die von direkt verbundenen CE-Standorten empfangen werden, die mit der VRF-Instanz verknüpft sind, und mit Routen, die von anderen PE-Routern im selben VPN empfangen werden.

Layer 3-VPN-Architektur

Ein Layer-3-VPN verbindet Kunden-Edge-Router (CE-Router) mit Routern am Edge des Service Provider-Netzwerks (PE-Router). Ein Layer-3-VPN verwendet ein Peer-Routing-Modell zwischen lokalen PE- und CE-Routern, die eine direkte Verbindung herstellen. Das heißt, ohne dass mehrere Hops auf dem Provider-Backbone erforderlich sind, um PE- und CE-Routerpaare zu verbinden. Die PE-Router verteilen Routing-Informationen an alle CE-Router, die zu demselben VPN gehören, basierend auf dem BGP-Routenunterscheidungsmerkmal, lokal und über das Provider-Netzwerk. Jedes VPN verfügt über eine eigene Routing-Tabelle für dieses VPN, die mit den Routing-Tabellen in den CE- und PE-Peer-Routern koordiniert ist. Die CE- und PE-Router verfügen über unterschiedliche VRF-Tabellen. Jeder CE-Router hat nur eine einzige VRF-Tabelle, da die anderen VPNs für den CE unsichtbar sind. Ein PE-Router kann mit mehr als einem CE-Router verbunden werden, sodass der PE-Router über eine allgemeine IP-Routing-Tabelle und eine VRF-Tabelle für jeden angeschlossenen CE mit einem VPN verfügt.

Abbildung 2 zeigt die allgemeine Architektur eines Layer 3-VPN.

Abbildung 2: Allgemeine Layer 3-VPN-Architektur. MPLS network diagram showing VPN A and VPN B connected via tunnels and labels. CE, PE, and P routers manage traffic routing.

Der PE-Router weiß, welche VRF-Tabelle für Pakete verwendet werden soll, die von Remote-VPN-Standorten eingehen, da jede VRF-Tabelle über ein oder mehrere erweiterte Community-Attribute verfügt, die mit einem Treffer verknüpft sind. Die Community-Attribute identifizieren die Route als zu einer bestimmten Sammlung von Routern gehörend. Das Community-Attribut für das Routenziel identifiziert eine Sammlung von Standorten (genauer gesagt die Sammlung ihrer VRF-Tabellen), an die ein PE-Router Routen verteilt. Der PE-Router verwendet das Routenziel, um die korrekten Remote-VPN-Routen in seine VRF-Tabellen zu importieren.

Der Import und Export von VPN-Routen zwischen VPN-Standorten erfolgt nicht automatisch. Dieser Prozess wird durch die BPG-Routing-Richtlinien gesteuert. Die Routing-Richtlinien legen die Regeln für den Austausch von Routing-Informationen im MPLS-Netzwerk des Service Providers fest und müssen korrekt konfiguriert und beibehalten werden, wenn sich die Netzwerktopologie ändert.

Der PE-Router klassifiziert IPv4-Routen, die von einem Peer-CE-Router angekündigt und vom PE-Router empfangen werden, als VPN-IPv4-Routen. Wenn ein Eingangs-PE-Router Routen empfängt, die von einem direkt verbundenen Peer-CE-Router angekündigt wurden, überprüft der Eingangs-PE-Router die empfangene Route anhand der VRF-Exportrichtlinie für dieses VPN. Das heißt, der Eingangs-PE-Router entscheidet, welche Remote-PE-Router über die angekündigten Routen Bescheid wissen müssen. Dies ist ein zweistufiger Prozess:

  • Wenn die festgelegte Exportrichtlinie die Route akzeptiert, konvertiert der PE-Router die Informationen in das VPN-IPv4-Format, indem er der IPv4-Adresse den Route Distinguisher hinzufügt. Der PE-Router meldet dann die VPN-IPv4-Route an die Remote-PE-Router. Die konfigurierte Exportzielrichtlinie der VRF-Tabelle bestimmt den Wert des angehängten Routenziels. IBGP-Sitzungen verteilen die VNP-IPv4-Routen über das Kernnetzwerk des Service Providers.

  • Wenn die festgelegte Exportrichtlinie die Route nicht akzeptiert, exportiert der PE-Router die Route nicht an andere PE-Router, sondern der PE-Router verwendet die Route lokal. Dies geschieht beispielsweise, wenn zwei CE-Router im selben VPN eine direkte Verbindung mit demselben PE-Router herstellen, sodass allgemeiner Datenverkehr von einem CE-Standort zum anderen fließen kann.

Wenn ein PE-Ausgangsrouter auf der anderen Seite des Service Provider-Netzwerks eine Route empfängt, überprüft der Ausgangs-PE-Router die Route anhand der IBGP-Importrichtlinie, die zwischen den PE-Routern vorhanden ist. Wenn der ausgehende PE-Router die Route akzeptiert, fügt der ausgehende PE-Router die Route der Routing-Tabelle bgp.l3vpn.0 hinzu. Der Router prüft die Route auch anhand der VRF-Importrichtlinie für das VPN. Wenn die Route akzeptiert wird, entfernt der Ausgangs-PE-Router die Routenunterscheidung und platziert die Route in der richtigen VRF-Tabelle. Die VRF-Tabellen verwenden die Namenskonvention routing-instance-name.inet.0, sodass "VPN A" die Tabelle normalerweise als vpna.inet.0 konfiguriert.

Unterstützte Layer-3-VPN-Standards

Junos OS unterstützt im Wesentlichen die folgenden RFCs, die Standards für virtuelle private Layer-3-Netzwerke (VPNs) definieren.

  • RFC 2283, Multiprotokoll-Erweiterungen für BGP-4

  • RFC 2685, Virtual Private Networks Identifier (Kennung für virtuelle private Netzwerke)

  • RFC 2858, Multiprotokoll-Erweiterungen für BGP-4

  • RFC 4364, BGP/MPLS IP Virtual Private Networks (VPNs)

  • RFC 4379, Erkennen von MPLS-Data-Plane-Fehlern (Multiprotocol Label Switched)

    Die Traceroute-Funktion wird nur auf Transitroutern unterstützt.

  • RFC 4576, Verwenden eines Link State Advertisement (LSA)-Optionsbits zur Verhinderung von Schleifen in BGP/MPLS-IP Virtual Private Networks (VPNs)

  • RFC 4577, OSPF als Provider/Customer Edge Protocol für BGP/MPLS-IP Virtual Private Networks (VPNs)

  • RFC 4659, BGP-MPLS IP Virtual Private Network (VPN)-Erweiterung für IPv6-VPN

  • RFC 4684, Eingeschränkte Routenverteilung für Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS), Internet Protocol (IP) Virtual Private Networks (VPNs)

Die folgenden RFCs definieren keinen Standard, sondern liefern Informationen über Technologien im Zusammenhang mit Layer 3-VPNs. Die IETF klassifiziert sie als "Best Current Practice" oder "Informational".

  • RFC 1918, Adresszuweisung für private Internets

  • RFC 2917, A Core MPLS IP VPN-Architektur

Siehe auch

Grundlegendes zur Layer-3-VPN-Weiterleitung durch den Core

Die PE-Router im Core-Netzwerk des Anbieters sind die einzigen Router, die für die Unterstützung von VPNs konfiguriert sind, und daher die einzigen Router, die Informationen über die VPNs haben. Aus Sicht der VPN-Funktionalität sind die Provider-Router (P-Router) im Core – also die P-Router, die nicht direkt mit CE-Routern verbunden sind – lediglich Router entlang des Tunnels zwischen den Eingangs- und Ausgangs-PE-Routern.

Bei den Tunneln kann es sich entweder um LDP- oder MPLS-Tunnel handeln. Alle P-Router entlang des Tunnels müssen das für den Tunnel verwendete Protokoll unterstützen, entweder LDP oder MPLS.

Wenn die PE-Router-zu-PE-Routerweiterleitung über MPLS-Label-Switched-Pfade (LSPs) getunnelt wird, haben die MPLS-Pakete einen zweistufigen Label-Stack (siehe Abbildung 3):

  • Äußeres Label: Label, das der Adresse des BGP-Next-Hops vom IGP-Next-Hop zugewiesen wurde

  • Inneres Label: Label, das der nächste BGP der Zieladresse des Pakets zugewiesen hat

Abbildung 3: Verwenden von MPLS-LSPs zum Tunneln zwischen PE-Routern Diagram of MPLS VPN architecture showing Customer Edge and Provider Edge routers, MPLS Cloud, and MPLS labels for routing packets.

Abbildung 4 zeigt, wie die Bezeichnungen zugewiesen und entfernt werden:

  1. Wenn CE-Router X ein Paket an Router PE1 mit dem Ziel CE-Router Y weiterleitet, identifiziert die PE-Route den nächsten BGP-Hop an Router Y und weist eine Bezeichnung zu, die dem nächsten BGP-Hop entspricht und den Ziel-CE-Router identifiziert. Diese Beschriftung ist die innere Beschriftung.

  2. Router PE1 identifiziert dann die IGP-Route zum BGP-Next-Hop und weist ein zweites Label zu, das dem LSP des BGP-Next-Hops entspricht. Dieses Etikett ist das äußere Etikett.

  3. Die innere Bezeichnung bleibt gleich, wenn das Paket den LSP-Tunnel durchläuft. Das äußere Label wird bei jedem Hop entlang des LSP ausgetauscht und dann vom vorletzten Hop-Router (dem dritten P-Router) gepoppt.

  4. Router PE2 entfernt das innere Label aus der Route und leitet das Paket an Router Y weiter.

Abbildung 4: Etikettenstapel Network topology diagram showing data flow in an MPLS network between CE Router X, PE1, LSP path, PE2, and CE Router Y.

Grundlegendes zu Layer-3-VPN-Attributen

Die Routenverteilung innerhalb eines VPN wird durch erweiterte BGP-Community-Attribute gesteuert. RFC 4364 definiert die folgenden drei Attribute, die von VPNs verwendet werden:

  • Ziel-VPN: Identifiziert eine Gruppe von Standorten innerhalb eines VPNs, an die ein Provider-Edge-Router (PE) Routen verteilt. Dieses Attribut wird auch als Routenziel bezeichnet. Das Routenziel wird vom Ausgangs-PE-Router verwendet, um zu bestimmen, ob eine empfangene Route für ein VPN bestimmt ist, das vom Router bedient wird.

    Abbildung 5 veranschaulicht die Funktion des Routenziels. PE-Router PE1 fügt den Routen, die vom Kunden-Edge-Router (CE) an Standort 1 in VPN B empfangen werden, das Routenziel "VPN B" hinzu. Beim Empfang der Route untersucht der Egress Router PE2 das Routenziel, stellt fest, dass die Route für ein VPN bestimmt ist, das er bedient, und akzeptiert die Route. Wenn der Egress Router PE3 dieselbe Route empfängt, akzeptiert er die Route nicht, da er keine CE-Router in VPN B bedient.

  • Ursprungs-VPN: Identifiziert eine Gruppe von Standorten und die entsprechende Route als von einem der Standorte in dieser Gruppe stammend.

  • Ursprungsstandort: Identifiziert eindeutig die Routen, die ein PE-Router von einem bestimmten Standort gelernt hat. Dieses Attribut stellt sicher, dass eine Route, die von einem bestimmten Standort über eine bestimmte PE-CE-Verbindung gelernt wurde, nicht über eine andere PE-CE-Verbindung zurück an den Standort verteilt wird. Dies ist besonders nützlich, wenn Sie BGP als Routing-Protokoll zwischen dem PE- und dem CE-Router verwenden und wenn verschiedenen Standorten im VPN dieselben AS-Nummern (Autonomous System) zugewiesen wurden.

Abbildung 5: VPN-Attribute und Routenverteilung VPN setup diagram with VPN A and B sites, CE and PE routers, P routers, and route target communities for filtering.

Router in einem VPN

Abbildung 6 zeigt, wie die VPN-Funktionalität von den PE-Routern (Provider Edge) bereitgestellt wird. Für Provider- und Customer Edge (CE)-Router gelten keine besonderen Konfigurationsanforderungen für VPNs.

Abbildung 6: Router in einem VPN Routers in a VPN

Einführung in die Konfiguration von Layer 3-VPNs

Um die VPN-Funktionalität (Virtual Private Network) des Layer 3 zu konfigurieren, müssen Sie die VPN-Unterstützung auf dem PE-Router (Provider Edge) aktivieren. Sie müssen auch alle Provider-Router (P-Router) konfigurieren, die das VPN bedienen, und Sie müssen die Kunden-Edge-Router (CE) so konfigurieren, dass ihre Routen in das VPN verteilt werden.

Um Layer 3-VPNs zu konfigurieren, fügen Sie die folgenden Anweisungen hinzu:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Anmerkung:

Die Hierarchieebene [edit logical-systems] gilt nicht für Router der ACX-Serie.

Die sham-linkAnweisungen , und vrf-advertise-selective und gelten nicht für Router der ACX-Seriesham-link-remote.

Für Layer 3-VPNs sind nur einige der Anweisungen in der [edit routing-instances] Hierarchie gültig. Die vollständige Hierarchie finden Sie unter Junos OS Routing Protocols Library.

Zusätzlich zu diesen Anweisungen müssen Sie ein Signalisierungsprotokoll, IBGP-Sitzungen zwischen den PE-Routern und ein Interior Gateway Protocol (IGP) auf den PE- und P-Routern aktivieren.

Standardmäßig sind Layer-3-VPNs deaktiviert.

Viele der Konfigurationsverfahren für Layer-3-VPNs sind für alle Arten von VPNs gleich.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
17.4
Ab Junos OS-Version 17.4R1 wurde die Unterstützung von Ethernet-VPN (EVPN) auch auf logische Systeme auf MX-Geräten ausgeweitet. Es stehen die gleichen EVPN-Optionen und die gleiche Leistung zur Verfügung und können unter der [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] Hierarchie konfiguriert werden.