AUF DIESER SEITE
Grundlegendes zu virtuellen Routing- und Weiterleitungstabellen
Maximierung der VPN-Routen mit VRF-Lokalisierung für Layer-3-VPNs
Beispiel: Verbessern der Skalierbarkeit mithilfe von VRF-Lokalisierung für Layer 3-VPNs
Filtern von Paketen in Layer-3-VPNs auf der Grundlage von IP-Headern
Konfigurieren einer Richtlinie für die Zuweisung und Ersetzung von Bezeichnungen für VPNs
Erstellen eindeutiger VPN-Routen mithilfe von VRF-Tabellen
Grundlegendes zu virtuellen Routing- und Weiterleitungstabellen
Um die Routen eines VPNs von Routen im öffentlichen Internet oder in anderen VPNs zu trennen, erstellt der PE-Router für jedes VPN eine separate Routing-Tabelle, die als VPN-Routing- und Weiterleitungstabelle (VRF) bezeichnet wird. Der PE-Router erstellt eine VRF-Tabelle für jedes VPN, das eine Verbindung zu einem CE-Router hat. Jeder Kunde oder Standort, der zum VPN gehört, kann nur auf die Routen in den VRF-Tabellen für dieses VPN zugreifen.
Abbildung 1 veranschaulicht die VRF-Tabellen, die auf den PE-Routern erstellt werden. Die drei PE-Router haben Verbindungen zu CE-Routern, die sich in zwei verschiedenen VPNs befinden, sodass jeder PE-Router zwei VRF-Tabellen erstellt, eine für jedes VPN.
Jede VRF-Tabelle wird aus Routen aufgefüllt, die von direkt verbundenen CE-Standorten empfangen werden, die dieser VRF-Routing-Instanz zugeordnet sind, sowie aus Routen, die von anderen PE-Routern empfangen werden, die die BGP-Community-Filterung bestanden haben und sich im selben VPN befinden.
Jeder PE-Router verfügt außerdem über eine globale Routing-Tabelle (inet.0), um andere Router innerhalb und außerhalb des Kernnetzwerks des Anbieters zu erreichen.
Jede Kundenverbindung (d. h. jede logische Schnittstelle) ist einer VRF-Tabelle zugeordnet. Nur die VRF-Tabelle, die einem Kundenstandort zugeordnet ist, wird für Pakete von diesem Standort abgefragt.
Sie können den Router so konfigurieren, dass der Router, wenn ein nächster Hop zu einem Ziel nicht in der VRF-Tabelle gefunden wird, eine Suche in der globalen Routing-Tabelle durchführt, die für den Internetzugang verwendet wird.
Das Junos OS verwendet die folgenden Routing-Tabellen für VPNs:
-
bgp.l3vpn.0 – Speichert Routen, die von anderen PE-Routern gelernt wurden. Routen in der Routing-Tabelle bgp.l3vpn.0 werden in ein Layer-3-VRF kopiert, wenn im PE-Router eine übereinstimmende VRF-Importrichtlinie vorhanden ist. Diese Tabelle ist nur auf PE-Routern vorhanden und speichert keine Routen, die von direkt verbundenen CE-Routern empfangen werden.
Wenn ein PE-Router eine Route von einem anderen PE-Router empfängt, platziert er die Route in seiner Routing-Tabelle bgp.l3vpn.0 . Die Route wird anhand der Informationen in der Routing-Tabelle inet.3 aufgelöst. Die resultierende Route wird in das IPv4-Format konvertiert und an alle routing-instance-name.inet.0-Routingtabellen auf dem PE-Router verteilt, wenn sie mit der VRF-Importrichtlinie übereinstimmt.
Die Tabelle bgp.l3vpn.0 wird auch verwendet, um Routen über die MPLS-Tunnel aufzulösen, die die PE-Router verbinden. Diese Routen werden in der Routing-Tabelle inet.3 gespeichert. PE-zu-PE-Routerkonnektivität muss in inet.3 (nicht nur in inet.0) vorhanden sein, damit VPN-Routen ordnungsgemäß aufgelöst werden können.
Wenn ein Router nicht-lokale VPN-IPv4-Unicast-Routen ankündigt und der Router als Routenreflektor fungiert oder externes Peering durchführt, werden die VPN-IPv4-Unicast-Routen automatisch in die VPN-Routing-Tabelle (bgp.l3vpn.0) exportiert. Auf diese Weise kann der Router eine Pfadauswahl durchführen und über die Routing-Tabelle bgp.l3vpn.0 ankündigen.
Um zu bestimmen, ob der Routing-Tabelle bgp.l3vpn.0 eine Route hinzugefügt werden soll, prüft das Junos OS diese anhand der Importrichtlinien der VRF-Instanz für alle auf dem PE-Router konfigurierten VPNs. Wenn die VPN-IPv4-Route mit einer der Richtlinien übereinstimmt, wird sie der Routing-Tabelle bgp.l3vpn.0 hinzugefügt. Um die Routen in der Routing-Tabelle bgp.l3vpn.0 anzuzeigen, verwenden Sie den Befehl show route table bgp.l3vpn.0 .
-
routing-instance-name.inet.0: Speichert alle Unicast-IPv4-Routen, die von direkt verbundenen CE-Routern empfangen werden, in einer Routing-Instanz (d. h. in einem einzelnen VPN) und alle explizit konfigurierten statischen Routen in der Routing-Instanz. Dies ist die VRF-Tabelle, die nur auf PE-Routern vorhanden ist. Für eine Routinginstanz mit dem Namen VPN-A lautet die Routing-Tabelle für diese Instanz beispielsweise VPN-A.inet.0.
Wenn ein CE-Router einen PE-Router ankündigt, platziert der PE-Router die Route in der entsprechenden routing-instance-nameINET.0-Routing-Tabelle und kündigt die Route anderen PE-Routern an, wenn er eine VRF-Exportrichtlinie übergibt. Diese Richtlinie kennzeichnet die Route unter anderem mit dem Route Distinguisher (Route Target), der dem VPN-Standort entspricht, zu dem der CE gehört. Ein Label wird ebenfalls zugewiesen und mit der Route verteilt. Die Routing-Tabelle bgp.l3vpn.0 ist an diesem Prozess nicht beteiligt.
In der routing-instance-name.inet.0-Tabelle werden auch Routen gespeichert, die von einem Remote-PE-Router angekündigt werden und der VRF-Importrichtlinie für dieses VPN entsprechen. Der PE-Router hat diese Routen aus seiner Tabelle bgp.l3vpn.0 neu verteilt.
Routen werden nicht von der routing-instance-name.inet.0-Tabelle an die Tabelle bgp.l3vpn.0 umverteilt, sondern direkt an andere PE-Router weitergegeben.
Für jede routing-instance-name.inet.0-Routing-Tabelle wird eine Weiterleitungstabelle in der Packet Forwarding Engine des Routers verwaltet. Diese Tabelle wird zusätzlich zu den Weiterleitungstabellen verwaltet, die den Routing-Tabellen inet.0 und mpls.0 des Routers entsprechen. Wie bei den Routing-Tabellen inet.0 und mpls.0 werden die besten Routen aus der routing-instance-nameRouting-Tabelle .inet.0 in die Weiterleitungstabelle eingefügt.
Um die Routen in der routing-instance-name.inet.0-Tabelle anzuzeigen, verwenden Sie den Befehl show route table routing-instance-name.inet.0 .
-
inet.3 – Speichert alle MPLS-Routen, die durch LDP- und RSVP-Signalisierung für den VPN-Datenverkehr gelernt wurden. Die Routing-Tabelle speichert die MPLS-Routen nur, wenn die Option bgp-igp für Traffic-Engineering nicht aktiviert ist.
Damit VPN-Routen ordnungsgemäß aufgelöst werden können, muss die Tabelle inet.3 Routen zu allen PE-Routern im VPN enthalten.
Um die Routen in der Tabelle inet.3 anzuzeigen, verwenden Sie den Befehl show route table inet.3 .
-
inet.0 – Speichert Routen, die von den IBGP-Sitzungen zwischen den PE-Routern gelernt wurden. Um Internetzugriff auf die VPN-Sites bereitzustellen, konfigurieren Sie die routing-instance-nameRouting-Tabelle .inet.0 so, dass sie eine Standardroute zur Routing-Tabelle inet.0 enthält.
Um die Routen in der Tabelle inet.0 anzuzeigen, verwenden Sie den Befehl show route table inet.0 .
Die folgenden Routing-Richtlinien, die in VRF-Import- und Exportanweisungen definiert sind, sind spezifisch für VRF-Tabellen.
-
Importrichtlinie: Wird auf VPN-IPv4-Routen angewendet, die von einem anderen PE-Router gelernt wurden, um zu bestimmen, ob die Route der Routing-Tabelle bgp.l3vpn.0 des PE-Routers hinzugefügt werden soll. Jede Routing-Instanz auf einem PE-Router verfügt über eine VRF-Importrichtlinie.
-
Exportrichtlinie: Wird auf VPN-IPv4-Routen angewendet, die anderen PE-Routern angekündigt werden. Bei den VPN-IPv4-Routen handelt es sich um IPv4-Routen, die von lokal verbundenen CE-Routern angekündigt wurden.
Die VPN-Routenverarbeitung unterscheidet sich in einer Hinsicht von der normalen BGP-Routenverarbeitung. In BGP werden Routen akzeptiert, wenn sie nicht explizit durch die Importrichtlinie abgelehnt werden. Da jedoch viel mehr VPN-Routen erwartet werden, akzeptiert (und speichert) das Junos OS VPN-Routen nur, wenn die Route mit mindestens einer VRF-Importrichtlinie übereinstimmt. Wenn die Route von keiner VRF-Importrichtlinie explizit akzeptiert wird, wird sie verworfen und nicht einmal in der Tabelle bgp.l3vpn.0 gespeichert. Wenn eine VPN-Änderung auf einem PE-Router auftritt – z. B. das Hinzufügen einer neuen VRF-Tabelle oder das Ändern einer VRF-Importrichtlinie – sendet der PE-Router eine BGP-Routenaktualisierungsnachricht an die anderen PE-Router (oder an den Routenreflektor, wenn dies Teil der VPN-Topologie ist), um alle VPN-Routen abzurufen, damit sie neu ausgewertet werden können, um zu bestimmen, ob sie beibehalten oder verworfen werden sollen.
Siehe auch
Grundlegendes zur VRF-Lokalisierung in Layer 3-VPNs
Um in einem Layer 3-VPN die Routen eines VPNs von den Routen im öffentlichen Internet oder denen in anderen VPNs zu trennen, erstellt der PE-Router für jedes VPN eine separate Routing-Tabelle, die als Virtual Routing and Forwarding (VRF)-Tabelle bezeichnet wird. Jedes VRF verwendet einen Route Distinguisher und ein Routenziel, um andere VPNs zu unterscheiden, sodass jedes VRF ein VPN in einem öffentlichen Netzwerk erreicht. Der PE-Router erstellt eine VRF-Tabelle für jedes VPN, das eine Verbindung zu einem CE-Router hat. Jeder Kunde oder Standort, der zum VPN gehört, kann nur auf die Routen in den VRF-Tabellen für dieses VPN zugreifen.
Die PE-Router in einer Layer 3-VPN-Bereitstellung verfügen über zwei Arten von Linecards, die die folgenden Schnittstellen hosten:
CE-orientierte Schnittstellen
Core-orientierte Schnittstellen
Ein FPC kann entweder zum Kern oder zum Gehäuse ausgerichtet sein.
Die VRFs sind auf diesen Linecards vorhanden, und derzeit sind in Junos OS alle Routen aller VRFs auf allen Linecards vorhanden, zusammen mit verketteten zusammengesetzten Next Hops auf allen FPCs. Dadurch wird der Speicher in jeder Linecard verbraucht. Da der Datenverkehr von CE-seitigen Schnittstellen nur über die entsprechenden CE-seitigen FPCs hereinkommt, müssen nicht alle Routen und nächsten Hops auf allen Linecards vorhanden sein. Die VRF-Lokalisierung bietet einen Mechanismus zur Lokalisierung von VRF-Routen auf bestimmte Linecards, um die Anzahl der Routen zu maximieren, die ein Router verarbeiten kann. CE-seitige Schnittstellen lokalisieren alle Routen des Instanztyps VRF zu einer bestimmten Linecard. Wenn es sich bei CE-seitigen Schnittstellen um logische Schnittstellen wie AE, RLSQ oder IRB handelt, muss eine Linecard-Nummer konfiguriert werden, um Routen zu lokalisieren. Core-orientierte Linecards speichern alle VRF-Routen. Diese Karten müssen als Standard-VPN-Core-Karten oder nur VPN-Core-Karten konfiguriert werden. Core-Facing Linecards speichern Routen aller VRFs, und zwar von den folgenden Typen:
vpn-core-facing-default — Der Core-orientierte FPC installiert alle Routen und nächsten Hops der VRF-Routen.
vpn-core-facing-only — Die Core-orientierte FPC installiert alle Routen und speichert keine Next Hops der VRF-Routen.
Core-seitige FPCs können entweder als Core-Facing Default oder Core-Facing Only konfiguriert werden.
Maximierung der VPN-Routen mit VRF-Lokalisierung für Layer-3-VPNs
Die Lokalisierung von Virtual Routing and Forwarding (VRF) bietet einen Mechanismus zur Lokalisierung von VRF-Routen zu bestimmten Linecards, um die Anzahl der Routen zu maximieren, die ein Router verarbeiten kann. CE-seitige Schnittstellen lokalisieren alle Routen des Instanztyps VRF zu einer bestimmten Linecard. Wenn es sich bei den CE-seitigen Schnittstellen um logische Schnittstellen wie AE/RLSQ/IRB handelt, muss die Linecard für die Lokalisierung von Routen konfiguriert werden. Core-orientierte Linecards speichern alle VRF-Routen. Diese Karten müssen als "Nur VPN-Core-orientiert" oder "VPN-Core-Facing Standard" konfiguriert werden. Um die VRF-Lokalisierung zu konfigurieren, konfigurieren Sie die localized-fib Anweisung auf der [edit routing-instances instance-name routing-options] Hierarchieebene und die vpn-localization Anweisung auf der [edit chassis fpc fpc-slot] Hierarchieebene. Der show route vpn-localization Befehl zeigt die Lokalisierungsinformationen aller VRFs im System an.
Bevor Sie mit der Lokalisierung der VRF-Tabelle beginnen:
Konfigurieren Sie die Schnittstellen.
Konfigurieren Sie die Routing- und Signalisierungsprotokolle.
So konfigurieren Sie die VRF-Lokalisierung:
Beispiel: Verbessern der Skalierbarkeit mithilfe von VRF-Lokalisierung für Layer 3-VPNs
In diesem Beispiel wird gezeigt, wie die VRF-Lokalisierung auf Routern der MX-Serie konfiguriert wird, wodurch Sie die VPN-Skalierbarkeit auf Routern der MX-Serie verbessern können.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Fünf universelle Routing-Plattformen für 5G der MX-Serie
-
Junos OS Version 14.2 oder höher läuft auf allen Geräten
Bevor Sie beginnen:
-
Konfigurieren Sie die Geräteschnittstellen.
-
Konfigurieren Sie das BGP-Protokoll.
Überblick
Beginnend mit Junos OS Version 14.2 bietet die VRF-Lokalisierung einen Mechanismus zur Lokalisierung von VRF-Routen auf bestimmte Linecards, wodurch die Anzahl der Routen, die ein Router verarbeiten kann, maximiert wird. CE-seitige Schnittstellen lokalisieren alle Routen des Instanztyps VRF zu einer bestimmten Linecard. Wenn es sich bei den CE-Schnittstellen um logische Schnittstellen wie AE, RLSQ oder IRB handelt, muss die Linecard für die Lokalisierung von Routen konfiguriert werden. Core-orientierte Linecards speichern alle VRF-Routen. Diese Karten müssen als "Nur VPN-Core-orientiert" oder "VPN-Core-Facing Standard" konfiguriert werden. Um die VRF-Lokalisierung zu konfigurieren, konfigurieren Sie die localized-fib Konfigurationsanweisung auf Hierarchieebene [edit routing-instances instance-name routing-options] und konfigurieren vpn-localization Sie auf Hierarchieebene [edit chassis fpc fpc-slot] . Der show route vpn-localization Befehl zeigt die Lokalisierungsinformationen aller VRFs im System an.
Topologie
In der in Abbildung 2 dargestellten Topologie ist die VRF-Lokalisierung auf Gerät PE1 konfiguriert.
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der [edit] Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein commit .
CE1
set interfaces ge-4/0/0 unit 0 family inet address 192.0.2.2/24
set interfaces ge-4/0/0 unit 0 family inet6 address abcd:a:a:a:1::2/126
set protocols bgp group vpn1 type external
set protocols bgp group vpn1 export direct
set protocols bgp group vpn1 peer-as 10
set protocols bgp group vpn1 neighbor 192.0.2.1 family inet unicast
set protocols bgp group vpn1 neighbor abcd:a:a:a:1::1 family inet6 unicast
set policy-options policy-statement direct from protocol direct
set policy-options policy-statement direct then accept
set policy-options policy-statement load-balancing-policy then load-balance per-packet
set routing-options autonomous-system 100
set routing-options forwarding-table export load-balancing-policy
PE1-KARTON
set chassis redundancy graceful-switchover
set chassis aggregated-devices ethernet device-count 16
set chassis fpc 8 vpn-localization vpn-core-facing-only
set chassis network-services enhanced-ip
set interfaces ge-2/0/0 unit 0 family inet address 192.0.2.1/24
set interfaces ge-2/0/0 unit 0 family inet6 address abcd:a:a:a:1::1/126
set interfaces ge-8/1/0 gigether-options 802.3ad ae0
set interfaces ge-8/1/9 gigether-options 802.3ad ae0
set interfaces ae0 unit 0 family inet address 192.0.2.3/24
set interfaces ae0 unit 0 family iso
set interfaces ae0 unit 0 family mpls
set interfaces lo0 unit 1 family inet address 10.255.19.254/24
set interfaces lo0 unit 1 family inet6 address abcd::10:0:1:1/128
set policy-options policy-statement direct from protocol direct
set policy-options policy-statement direct then accept
set policy-options policy-statement load-balancing-policy then load-balance per-packet
set protocols rsvp interface ae0.0
set protocols mpls ipv6-tunneling
set protocols mpls icmp-tunneling
set protocols mpls label-switched-path pe1-pe2-p2mp-1 from 10.255.19.254
set protocols mpls label-switched-path pe1-pe2-p2mp-1 to 10.255.19.251
set protocols mpls label-switched-path pe1-pe2-p2mp-1 link-protection
set protocols mpls label-switched-path pe1-pe2-p2mp-1 p2mp vpn1-p2mp
set protocols mpls label-switched-path pe1-pe3-p2mp-1 from 10.255.19.254
set protocols mpls label-switched-path pe1-pe3-p2mp-1 to 10.255.19.203
set protocols mpls label-switched-path pe1-pe3-p2mp-1 link-protection
set protocols mpls label-switched-path pe1-pe3-p2mp-1 p2mp vpn1-p2mp
set protocols mpls interface ae0.0
set protocols bgp group mpbg type internal
set protocols bgp group mpbg local-address 10.255.19.254
set protocols bgp group mpbg family inet unicast
set protocols bgp group mpbg family inet-vpn unicast
set protocols bgp group mpbg family inet6 unicast
set protocols bgp group mpbg family inet6-vpn unicast
set protocols bgp group mpbg family inet-mvpn signaling
set protocols bgp group mpbg family inet6-mvpn signaling
set protocols bgp group mpbg neighbor 10.255.19.253
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface ae0.0
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ldp interface ae0.0
set routing-instances vpn1 instance-type vrf
set routing-instances vpn1 interface ge-2/0/0.0
set routing-instances vpn1 interface lo0.1
set routing-instances vpn1 route-distinguisher 1:1
set routing-instances vpn1 provider-tunnel rsvp-te static-lsp vpn1-p2mp
set routing-instances vpn1 vrf-target target:1:1
set routing-instances vpn1 vrf-table-label
set routing-instances vpn1 routing-options multipath
set routing-instances vpn1 routing-options localized-fib
set routing-instances vpn1 protocols bgp group grp1 type external
set routing-instances vpn1 protocols bgp group grp1 export direct
set routing-instances vpn1 protocols bgp group grp1 peer-as 100
set routing-instances vpn1 protocols bgp group grp1 neighbor 192.0.2.2 family inet unicast
set routing-instances vpn1 protocols bgp group grp1 neighbor abcd:a:a:a:1::2 family inet6 unicast
set routing-instances vpn1 protocols mvpn
set routing-options nonstop-routing
set routing-options autonomous-system 10
set routing-options forwarding-table export load-balancing-policy
set routing-options forwarding-table chained-composite-next-hop ingress l3vpn extended-space
P
set chassis aggregated-devices ethernet device-count 16
set interfaces ge-1/0/1 gigether-options 802.3ad ae0
set interfaces ge-1/0/3 gigether-options 802.3ad ae0
set interfaces ge-1/1/1 gigether-options 802.3ad ae1
set interfaces ae0 unit 0 family inet address 192.0.2.4/24
set interfaces ae0 unit 0 family iso
set interfaces ae0 unit 0 family mpls
set interfaces ae1 unit 0 family inet address 198.51.100.2/24
set interfaces ae1 unit 0 family iso
set interfaces ae1 unit 0 family mpls
set routing-options autonomous-system 10
set routing-options forwarding-table export load-balancing-policy
set protocols rsvp interface ae0.0
set protocols rsvp interface ae1.0
set protocols mpls ipv6-tunneling
set protocols mpls icmp-tunneling
set protocols mpls interface ae0.0
set protocols mpls interface ae1.0
set protocols bgp group mpbg type internal
set protocols bgp group mpbg local-address 10.255.19.253
set protocols bgp group mpbg family inet unicast
set protocols bgp group mpbg family inet-vpn unicast
set protocols bgp group mpbg family inet6 unicast
set protocols bgp group mpbg family inet6-vpn unicast
set protocols bgp group mpbg family inet-mvpn signaling
set protocols bgp group mpbg family inet6-mvpn signaling
set protocols bgp group mpbg cluster 10.255.19.253
set protocols bgp group mpbg neighbor 10.255.19.254
set protocols bgp group mpbg neighbor 10.255.19.251
set protocols bgp group mpbg neighbor 10.255.19.203
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface ae0.0
set protocols ospf area 0.0.0.0 interface ae1.0
set protocols ldp interface ae0.0
set protocols ldp interface ae1.0
set policy-options policy-statement load-balancing-policy then load-balance per-packet
PE2-KARTON
set chassis redundancy graceful-switchover
set chassis aggregated-devices ethernet device-count 16
set interfaces ge-4/2/1 gigether-options 802.3ad ae1
set interfaces ge-4/2/5 unit 0 family inet address 198.51.100.3/24
set interfaces ge-4/2/5 unit 0 family inet6 address abcd:a:a:a:2::1/126
set interfaces ae1 unit 0 family inet address 198.51.100.1/24
set interfaces ae1 unit 0 family iso
set interfaces ae1 unit 0 family mpls
set interfaces lo0 unit 2 family inet address 10.255.19.251/24
set interfaces lo0 unit 2 family inet6 address abcd::203:0:113:2/128
set policy-options policy-statement direct from protocol direct
set policy-options policy-statement direct then accept
set policy-options policy-statement load-balancing-policy then load-balance per-packet
set protocols rsvp interface ae1.0
set protocols mpls ipv6-tunneling
set protocols mpls icmp-tunneling
set protocols mpls label-switched-path pe2-pe1-p2mp-1 from 10.255.19.251
set protocols mpls label-switched-path pe2-pe1-p2mp-1 to 10.255.19.254
set protocols mpls label-switched-path pe2-pe1-p2mp-1 link-protection
set protocols mpls label-switched-path pe2-pe1-p2mp-1 p2mp vpn1-p2mp
set protocols mpls label-switched-path pe2-pe3-p2mp-1 from 10.255.19.251
set protocols mpls label-switched-path pe2-pe3-p2mp-1 to 10.255.19.203
set protocols mpls label-switched-path pe2-pe3-p2mp-1 link-protection
set protocols mpls label-switched-path pe2-pe3-p2mp-1 p2mp vpn1-p2mp
set protocols mpls interface ae1.0
set protocols bgp group mpbg type internal
set protocols bgp group mpbg local-address 10.255.19.251
set protocols bgp group mpbg family inet unicast
set protocols bgp group mpbg family inet-vpn unicast per-prefix-label
set protocols bgp group mpbg family inet6 unicast
set protocols bgp group mpbg family inet6-vpn unicast per-prefix-label
set protocols bgp group mpbg family inet-mvpn signaling
set protocols bgp group mpbg family inet6-mvpn signaling
set protocols bgp group mpbg neighbor 10.255.19.253
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface ae1.0
set protocols ldp interface ae1.0
set routing-instances vpn1 instance-type vrf
set routing-instances vpn1 interface ge-4/2/5.0
set routing-instances vpn1 route-distinguisher 1:1
set routing-instances vpn1 provider-tunnel rsvp-te static-lsp vpn1-p2mp
set routing-instances vpn1 vrf-target target:1:1
set routing-instances vpn1 vrf-table-label
set routing-instances vpn1 routing-options multipath
set routing-instances vpn1 protocols bgp group grp1 type external
set routing-instances vpn1 protocols bgp group grp1 export direct
set routing-instances vpn1 protocols bgp group grp1 peer-as 200
set routing-instances vpn1 protocols bgp group grp1 neighbor 198.51.100.4 family inet unicast
set routing-instances vpn1 protocols bgp group grp1 neighbor abcd:a:a:a:2::2 family inet6 unicast
set routing-instances vpn1 protocols mvpn
set routing-options nonstop-routing
set routing-options autonomous-system 10
set routing-options forwarding-table export load-balancing-policy
CE2
set interfaces ge-0/0/5 unit 0 family inet address 198.51.100.4/24
set interfaces ge-0/0/5 unit 0 family inet6 address abcd:a:a:a:2::2/126
set protocols bgp group vpn1 type external
set protocols bgp group vpn1 export direct
set protocols bgp group vpn1 export vpn1
set protocols bgp group vpn1 peer-as 10
set protocols bgp group vpn1 neighbor 198.51.100.3 family inet unicast
set protocols bgp group vpn1 neighbor abcd:a:a:a:2::1 family inet6 unicast
set policy-options policy-statement direct from protocol direct
set policy-options policy-statement direct then accept
set policy-options policy-statement load-balancing-policy then load-balance per-packet
set routing-options autonomous-system 200
set routing-options forwarding-table export load-balancing-policy
Konfigurieren von Gerät PE1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Gerät PE1:
-
Geben Sie die Anzahl der zu erstellenden aggregierten Ethernet-Schnittstellen an, konfigurieren Sie die FPCs nur mit VPN-Core-Ausrichtung und aktivieren Sie erweiterte IP-Netzwerkservices.
[edit chassis] user@PE1# set redundancy graceful-switchover user@PE1# set aggregated-devices ethernet device-count 16 user@PE1# set fpc 8 vpn-localization vpn-core-facing-only user@PE1# set network-services enhanced-ip -
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@PE1# set ge-2/0/0 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-2/0/0 unit 0 family inet6 address abcd:a:a:a:1::1/126 user@PE1# set ge-8/1/0 gigether-options 802.3ad ae0 user@PE1# set ge-8/1/9 gigether-options 802.3ad ae0 user@PE1# set ae0 unit 0 family inet address 192.0.2.3/24 user@PE1# set ae0 unit 0 family iso user@PE1# set ae0 unit 0 family mpls user@PE1# set lo0 unit 1 family inet address 10.255.19.254/24 user@PE1# set lo0 unit 1 family inet6 address abcd::10:0:1:1/128 -
Konfigurieren Sie Richtlinienoptionen für den Lastenausgleich der Pakete.
[edit policy-options policy-statement] user@PE1# set direct from protocol direct user@PE1# set direct then accept user@PE1# set load-balancing-policy then load-balance per-packet -
Konfigurieren Sie das RSVP-Protokoll auf der Schnittstelle.
[edit protocols rsvp] user@PE1# set interface ae0.0 -
Konfigurieren Sie das MPLS-Protokoll.
[edit protocols mpls] user@PE1# set ipv6-tunneling user@PE1# set icmp-tunneling user@PE1# set label-switched-path pe1-pe2-p2mp-1 from 10.255.19.254 user@PE1# set label-switched-path pe1-pe2-p2mp-1 to 10.255.19.251 user@PE1# set label-switched-path pe1-pe2-p2mp-1 link-protection user@PE1# set label-switched-path pe1-pe2-p2mp-1 p2mp vpn1-p2mp user@PE1# set label-switched-path pe1-pe3-p2mp-1 from 10.255.19.254 user@PE1# set label-switched-path pe1-pe3-p2mp-1 to 10.255.19.203 user@PE1# set label-switched-path pe1-pe3-p2mp-1 link-protection user@PE1# set label-switched-path pe1-pe3-p2mp-1 p2mp vpn1-p2mp user@PE1# set interface ae0.0 -
Konfigurieren Sie das BGP-Protokoll für die mpbg-Gruppe.
[edit protocols bgp group mpbg] user@PE1# set type internal user@PE1# set local-address 10.255.19.254 user@PE1# set family inet unicast user@PE1# set family inet-vpn unicast user@PE1# set family inet6 unicast user@PE1# set family inet6-vpn unicast user@PE1# set family inet-mvpn signaling user@PE1# set family inet6-mvpn signaling user@PE1# set neighbor 10.255.19.253 -
Konfigurieren Sie das OSPF-Protokoll.
[edit protocols ospf] user@PE1# set traffic-engineering user@PE1# set area 0.0.0.0 interface ae0.0 user@PE1# set area 0.0.0.0 interface lo0.0 passive -
Konfigurieren Sie das LDP-Protokoll auf der Schnittstelle.
[edit protocols] user@PE1# set ldp interface ae0.0 -
Erstellen Sie einen Instanztyp und konfigurieren Sie die Routing-Instanzen auf der Schnittstelle.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set interface ge-2/0/0.0 user@PE1# set interface lo0.1 -
Konfigurieren Sie die Routenunterscheidung, und konfigurieren Sie den statischen LSP für den RSVP-TE des Anbietertunnels.
[edit routing-instances vpn1] user@PE1# set route-distinguisher 1:1 user@PE1# set provider-tunnel rsvp-te static-lsp vpn1-p2mp -
Konfigurieren Sie das VRF-Ziel und die VRF-Zielbezeichnung für die Routing-Instanz.
[edit routing-instances vpn1] user@PE1# set vrf-target target:1:1 user@PE1# set vrf-table-label -
Konfigurieren Sie die Multipath-Routing-Option für eine Routing-Instanz und die lokalisierte FIB-Routing-Option für die Routing-Instanz.
[edit routing-instances vpn1 routing-options] user@PE1# set multipath user@PE1# set localized-fib -
Konfigurieren Sie die Gruppe der BGP-Protokolle für eine Routing-Instanz.
[edit routing-instances vpn1 protocols bgp group grp1] user@PE1# set type external user@PE1# set export direct user@PE1# set peer-as 100 user@PE1# set neighbor 192.0.2.2 family inet unicast user@PE1# set neighbor abcd:a:a:a:1::2 family inet6 unicast -
Konfigurieren Sie die MVPN-Protokolle.
[edit routing-instances vpn1] user@PE1# set protocols mvpn -
Konfigurieren Sie das unterbrechungsfreie aktive Routing und die autonome Systemnummer für eine Routing-Option.
[edit routing-options] user@PE1# set nonstop-routing user@PE1# set autonomous-system 10 -
Konfigurieren Sie die Lastausgleichsrichtlinie für die Weiterleitungstabelle und den erweiterten Speicherplatz für den verketteten zusammengesetzten nächsten Hop für das L3VPN der Weiterleitungstabelle.
[edit routing-options] user@PE1# set forwarding-table export load-balancing-policy user@PE1# set forwarding-table chained-composite-next-hop ingress l3vpn extended-space
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show chassisBefehle , show interfaces, show policy-options, show protocolsshow routing-instances, und show routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@PE1# show chassis
redundancy {
graceful-switchover;
}
aggregated-devices {
ethernet {
device-count 16;
}
}
fpc 8 {
vpn-localization vpn-core-facing-only;
}
network-services enhanced-ip;
user@PE1# show interfaces
ge-2/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family inet6 {
address abcd:a:a:a:1::1/126;
}
}
}
ge-8/1/0 {
gigether-options {
802.3ad ae0;
}
}
ge-8/1/9 {
gigether-options {
802.3ad ae0;
}
}
ae0 {
unit 0 {
family inet {
address 192.0.2.3/24;
}
family iso;
family mpls;
}
}
lo0 {
unit 1 {
family inet {
address 10.255.19.254/24;
}
family inet6 {
address abcd::10:0:1:1/128;
}
}
}
user@PE1# show policy-options
policy-statement direct {
from protocol direct;
then accept;
}
policy-statement load-balancing-policy {
then {
load-balance per-packet;
}
}
user@PE1# show routing-options
nonstop-routing;
autonomous-system 10;
forwarding-table {
export load-balancing-policy;
chained-composite-next-hop {
ingress {
l3vpn extended-space;
}
}
}
user@PE1# show routing-instances
vpn1 {
instance-type vrf;
interface ge-2/0/0.0;
interface lo0.1;
route-distinguisher 1:1;
provider-tunnel {
rsvp-te {
static-lsp vpn1-p2mp;
}
}
vrf-target target:1:1;
vrf-table-label;
routing-options {
multipath;
localized-fib;
}
protocols {
bgp {
group grp1 {
type external;
export direct;
peer-as 100;
neighbor 192.0.2.2 {
family inet {
unicast;
}
}
neighbor abcd:a:a:a:1::2 {
family inet6 {
unicast;
}
}
}
}
mvpn;
}
}
user@PE1# show protocols
rsvp {
interface ae0.0;
}
mpls {
ipv6-tunneling;
icmp-tunneling;
label-switched-path pe1-pe2-p2mp-1 {
from 10.255.19.254;
to 10.255.19.251;
link-protection;
p2mp vpn1-p2mp;
}
label-switched-path pe1-pe3-p2mp-1 {
from 10.255.19.254;
to 10.255.19.203;
link-protection;
p2mp vpn1-p2mp;
}
interface ae0.0;
}
bgp {
group mpbg {
type internal;
local-address 10.255.19.254;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
family inet6 {
unicast;
}
family inet6-vpn {
unicast;
}
family inet-mvpn {
signaling;
}
family inet6-mvpn {
signaling;
}
neighbor 10.255.19.253;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface ae0.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ae0.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der VRF-Lokalisierung
Zweck
Überprüfen Sie die Lokalisierung von VRF in einem Layer 3-VPN.
Aktion
Führen Sie im Betriebsmodus den show route vpn-localization Befehl für Gerät PE1 aus.
user@PE1> show route vpn-localization
Routing table: vpn1.inet, Localized
Index: 7, Address Family: inet, Localization status: Complete
Local FPC's: 2 8
Routing table: vpn1.inet6, Localized
Index: 7, Address Family: inet6, Localization status: Complete
Local FPC's: 2 8
Routing table: vpn2.inet, Non-localized
Index: 8, Address Family: inet, Localization status: Complete
Local FPC's: All
Routing table: vpn2.inet6, Non-localized
Index: 8, Address Family: inet6, Localization status: Complete
Local FPC's: All
Bedeutung
Die Ausgabe zeigt die Lokalisierungsinformationen aller VRFs.
Überprüfen der VRF-Lokalisierung für ein VPN
Zweck
Überprüfen Sie die VRF-Lokalisierung für ein VPN.
Aktion
Führen Sie den show route vpn-localization vpn-name vpn-name Befehl im Betriebsmodus aus.
user@PE1> show route vpn-localization vpn-name vpn1
Routing table: vpn1.inet, Localized
Index: 7, Address Family: inet, Localization status: Complete
Local FPC's: 2 8
Routing table: vpn1.inet6, Localized
Index: 7, Address Family: inet6, Localization status: Complete
Local FPC's: 2 8
Bedeutung
Die Ausgabe zeigt die VPN-Lokalisierung eines VPNs.
Filtern von Paketen in Layer-3-VPNs auf der Grundlage von IP-Headern
Das Einbeziehen der vrf-table-label Anweisung in die Konfiguration für eine Routing-Instanz ermöglicht es, das innere Label einer bestimmten VRF-Routing-Tabelle zuzuordnen; eine solche Zuordnung ermöglicht die Untersuchung des eingekapselten IP-Headers an einem ausgehenden VPN-Router. Sie können diese Funktion aktivieren, damit Sie eine der folgenden Aktionen ausführen können:
Weiterleiten des Datenverkehrs über eine PE-Router-zu-CE-Geräteschnittstelle in einem gemeinsam genutzten Medium, bei dem das CE-Gerät ein Layer-2-Switch ohne IP-Funktionen ist (z. B. ein Metro-Ethernet-Switch).
Die erste Suche erfolgt auf der VPN-Bezeichnung, um zu bestimmen, auf welche VRF-Tabelle verwiesen werden soll, und die zweite Suche erfolgt im IP-Header, um zu bestimmen, wie Pakete an die richtigen Endhosts auf dem freigegebenen Medium weitergeleitet werden sollen.
Führen Sie eine Ausgangsfilterung am Ausgangs-PE-Router durch.
Die erste Suche in der VPN-Bezeichnung wird durchgeführt, um zu bestimmen, auf welche VRF-Routing-Tabelle verwiesen werden soll, und die zweite Suche wird im IP-Header durchgeführt, um zu bestimmen, wie Pakete gefiltert und weitergeleitet werden sollen. Sie können diese Funktionalität aktivieren, indem Sie Ausgabefilter auf den VRF-Schnittstellen konfigurieren.
Wenn Sie die
vrf-table-labelAnweisung in die Konfiguration eines VRF-Routing-Tabelle aufnehmen, wird eine logische Schnittstellenbezeichnung für eine beschriftete geschaltete Schnittstelle (LSI) erstellt und der VRF-Routing-Tabelle zugeordnet. Alle Routen in einer solchen VRF-Routing-Tabelle werden mit der logischen LSI-Schnittstellenbezeichnung angekündigt, die der VRF-Routing-Tabelle zugewiesen ist. Wenn Pakete für dieses VPN auf einer Core-Schnittstelle ankommen, werden sie so behandelt, als ob das eingeschlossene IP-Paket auf der LSI-Schnittstelle angekommen wäre, und werden dann weitergeleitet und basierend auf der richtigen Tabelle gefiltert.
Um Datenverkehr basierend auf dem IP-Header zu filtern, fügen Sie die vrf-table-label folgende Anweisung ein:
vrf-table-label { source-class-usage; }
Sie können die Anweisung auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Sie können die vrf-table-label Anweisung sowohl für IPv4- als auch für IPv6-Layer 3-VPNs einschließen. Wenn Sie die Anweisung für eine Dual-Stack-VRF-Routing-Tabelle (in der sowohl IPv4- als auch IPv6-Routen unterstützt werden) einschließen, gilt die Anweisung sowohl für die IPv4- als auch für die IPv6-Routen, und für beide Routensätze wird dieselbe Bezeichnung angekündigt.
Sie können die SCU-Accounting auch für Layer 3-VPNs konfigurieren, die mit der vrf-table-label Anweisung konfiguriert wurden, indem Sie auch die source-class-usage Option einschließen. Schließen Sie die source-class-usage Anweisung auf der [edit routing-instances routing-instance-name vrf-table-label] Hierarchieebene ein. Die source-class-usage Anweisung auf dieser Hierarchieebene wird nur für den vrf Instanztyp (Layer-3-VPNs) unterstützt. DCU wird für die vrf-table-label Anweisung nicht unterstützt. Weitere Informationen finden Sie unter Aktivieren der Verwendung von Quell- und Zielklassen.
In den folgenden Abschnitten finden Sie weitere Informationen zur Datenverkehrsfilterung basierend auf dem IP-Header:
- Filteroptionen für ausgehenden Datenverkehr
- Unterstützung für aggregierte und VLAN-Schnittstellen für IP-basierte Filterung
- Unterstützung für ATM- und Frame-Relay-Schnittstellen für IP-basierte Filterung
- Unterstützung von Ethernet-, SONET/SDH- und T1/T3/E3-Schnittstellen für IP-basierte Filterung
- Unterstützung für SONET/SDH und DS3/E3 Kanalisierte, erweiterte intelligente Warteschlangenschnittstellen für IP-basierte Filterung
- Unterstützung von Multilink-PPP- und Multilink-Frame-Relay-Schnittstellen für IP-basierte Filterung
- Unterstützung für IP-basiertes Filtern von Paketen mit Null-Top-Labels
- Allgemeine Einschränkungen bei der IP-basierten Filterung
Filteroptionen für ausgehenden Datenverkehr
Sie können die Ausgangsfilterung aktivieren (die es ausgehenden Layer 3-VPN-PE-Routern ermöglicht, gleichzeitig Suchvorgänge in der VPN-Bezeichnung und im IP-Header durchzuführen), indem Sie die vrf-table-label Anweisung auf der [edit routing-instances instance-name] Hierarchieebene einschließen. Es gibt keine Einschränkung für das Einfügen dieser Anweisung für CE-Router-zu-PE-Router-Schnittstellen, aber es gibt mehrere Einschränkungen für andere Schnittstellentypen, wie in den nachfolgenden Abschnitten dieses Themas beschrieben.
Sie können die Ausgangsfilterung auch aktivieren, indem Sie eine VPN-Tunnelschnittstelle (VT) auf Routing-Plattformen konfigurieren, die mit einer physischen Schnittstellenkarte (PIC) für Tunnelservices ausgestattet sind. Wenn Sie die Ausgangsfilterung auf diese Weise aktivieren, gibt es keine Einschränkung hinsichtlich des Typs der verwendeten Core-Schnittstelle. Es gibt auch keine Einschränkung hinsichtlich der Art der verwendeten CE-Router-zu-PE-Router-Schnittstelle.
Unterstützung für aggregierte und VLAN-Schnittstellen für IP-basierte Filterung
Unterstützung für die vrf-table-label Anweisung über aggregierte und VLAN-Schnittstellen ist auf den in Tabelle 1 zusammengefassten Routern verfügbar.
Schnittstellen |
Router der M Series ohne erweiterte FPC |
Router der M Series mit erweiterter FPC |
M320-Router |
Router der T-Serie |
|---|---|---|---|---|
Aggregiert |
Nein |
Ja |
Ja |
Ja |
VLAN |
Nein |
Ja |
Ja |
Ja |
Die vrf-table-label Anweisung wird für aggregierte Gigabit-Ethernet-, 10-Gigabit-Ethernet- und VLAN-physische Schnittstellen auf M120-Routern nicht unterstützt.
Unterstützung für ATM- und Frame-Relay-Schnittstellen für IP-basierte Filterung
Unterstützung für die vrf-table-label Anweisung über ATM- (Asynchronous Transfer Mode) und Frame Relay-Schnittstellen ist auf den in Tabelle 2 zusammengefassten Routern verfügbar.
Schnittstellen |
Router der M Series ohne erweiterte FPC |
Router der M Series mit erweiterter FPC |
M320-Router |
Router der T-Serie |
|---|---|---|---|---|
Geldautomat 1 |
Nein |
Nein |
Nein |
Nein |
ATM2 intelligente Warteschlangen (IQ) |
Nein |
Ja |
Ja |
Ja |
Rahmen-Relais |
Nein |
Ja |
Ja |
Ja |
Kanalisiert |
Nein |
Nein |
Nein |
Nein |
Beachten Sie beim Einfügen der vrf-table-label Anweisung die folgenden Einschränkungen bei ATM- oder Frame Relay-Schnittstellen:
Die
vrf-table-labelAnweisung wird auf ATM-Schnittstellen unterstützt, jedoch mit den folgenden Einschränkungen:ATM-Schnittstellen können auf dem M320-Router und den Routern der T-Serie sowie auf Routern der M-Serie mit einem erweiterten FPC konfiguriert werden.
Bei der Schnittstelle kann es sich nur um eine PE-Routerschnittstelle handeln, die Datenverkehr von einem P-Router empfängt.
Der Router muss über ein ATM2 IQ PIC verfügen.
Die
vrf-table-labelAnweisung wird auch auf Frame Relay-gekapselten Schnittstellen unterstützt, jedoch mit den folgenden Einschränkungen:Frame Relay-Schnittstellen können auf dem M320-Router und den Routern der T-Serie sowie auf Routern der M-Serie mit einem erweiterten FPC konfiguriert werden.
Bei der Schnittstelle kann es sich nur um eine PE-Routerschnittstelle handeln, die Datenverkehr von einem P-Router empfängt.
Unterstützung von Ethernet-, SONET/SDH- und T1/T3/E3-Schnittstellen für IP-basierte Filterung
Unterstützung für die vrf-table-label Anweisung über Ethernet-, SONET/SDH- und T1/T3/E3-Schnittstellen ist auf den in Tabelle 3 zusammengefassten Routern verfügbar.
Schnittstellen |
Router der M Series ohne erweiterte FPC |
Router der M Series mit erweiterter FPC |
M320-Router |
Router der T-Serie |
|---|---|---|---|---|
Ethernet |
Ja |
Ja |
Ja |
Ja |
SONET/SDH |
Ja |
Ja |
Ja |
Ja |
T1/T3/E3 |
Ja |
Ja |
Ja |
Ja |
Nur die folgenden Ethernet-PICs unterstützen diese vrf-table-label Aussage auf Routern der M Serie ohne Enhanced FPC:
Gigabit-Ethernet mit 1 Port
Gigabit-Ethernet mit 2 Ports
Fast Ethernet mit 4 Ports
Unterstützung für SONET/SDH und DS3/E3 Kanalisierte, erweiterte intelligente Warteschlangenschnittstellen für IP-basierte Filterung
Die Unterstützung für die vrf-table-label Anweisung für die angegebenen kanalisierten IQE-Schnittstellen ist nur auf M120- und M320-Routern mit Enhanced III FPCs verfügbar, wie in Tabelle 4 zusammengefasst.
Schnittstellen |
M120-Router mit Enhanced III FPCs |
M320-Router mit Enhanced III FPCs |
|---|---|---|
OC12-KARTON |
Ja |
Ja |
STM4-KARTON |
Ja |
Ja |
OC3-KARTON |
Ja |
Ja |
STM1-KARTON |
Ja |
Ja |
DS3-KARTON |
Ja |
Ja |
E3 |
Ja |
Ja |
Die folgenden IQE-Typ-1-PICs werden unterstützt:
OC12/STM4 IQE mit 1 Port mit SFP
OC3/STM1 IQE mit 4 Ports und SFP
DS3/E3 IQE mit 4 Anschlüssen und BNC
Kanalisiertes OC3/STM1 IQE mit 2 Ports und SFP, ohne SONET-Partitionen
Kanalisierter OC12/STM4 IQE mit 1 Port mit SFP, ohne SONET-Partitionen
Die folgenden Einschränkungen gelten in Bezug auf eine Routerkonfiguration, die logische Systeme verwendet:
Einschränkungen bei Multiport-IQE-PICs, wie z. B. dem kanalisierten OC3/STM1 IQE mit 2 Ports und SFP, wenn die Port 1-Schnittstelle als ein logisches System mit eigener Routing-Instanz und die Port 2-Schnittstelle als ein anderes logisches System mit eigenen Routing-Instanzen konfiguriert ist, sodass sowohl Port 1 als auch Port 2 für den Core gerichtete logische Schnittstellen vorhanden sind, Dann können Sie die
vrf-table-labelAnweisung on routing-instance nicht in beiden logischen Systemen konfigurieren. Es wird nur ein Satz von LSI-Bezeichnungen unterstützt. Für die letzte Routinginstanz, für die dievrf-table-labelAnweisung konfiguriert ist, wird ein Commit ausgeführt.Frame-Relay-Kapselung und logische Schnittstellen über logische Systemeinschränkungen hinweg: Ähnlich wie beim Multiport-PIC mit logischen Systemen funktioniert die Konfiguration nicht für alle
vrf-table-labelkonfigurierten Anweisungsinstanzen, wenn Sie versuchen, eine logische Schnittstelle eines IQE-PIC mit Frame-Relay-Kapselung in einem logischen System und eine andere logische Schnittstelle auf demselben IQE-PIC im zweiten logischen System zu konfigurieren. Es funktioniert nur für die Instanzen, die in einem der logischen Systeme konfiguriert sind.
Die beiden oben genannten Einschränkungen treten auf, weil die Routerkonfiguration eine LSI-Struktur in der Packet Forwarding Engine pro logischem System verwaltet, die für alle Streams üblich ist. Die Suche in der Streamkanaltabelle wird dann so angepasst, dass sie auf die LSI-Struktur verweist. Im Fall von Multiport-Typ-1-IQE-PICs teilen sich alle physischen Schnittstellen denselben Stream. Daher teilen sich die logischen Schnittstellen (Multiport oder nicht) offensichtlich den gleichen Stream. Folglich befindet sich die LSI-Bindung auf der Datenstromebene. Daher wird die Bereitstellung logischer Schnittstellen unter demselben Datenstrom, der für Core-orientiert bereitgestellt wurde und einen anderen Satz von Routing-Instanzen mit der vrf-table-label Anweisung unterstützt, nicht unterstützt.
Unterstützung von Multilink-PPP- und Multilink-Frame-Relay-Schnittstellen für IP-basierte Filterung
Unterstützung für die vrf-table-label Anweisung über MLPPP- (Multilink Point-to-Point Protocol) und MLFR-Schnittstellen (Multilink Frame Relay) ist auf den in Tabelle 5 zusammengefassten Routern verfügbar.
Schnittstellen |
Router der M Series ohne erweiterte FPC |
Router der M Series mit erweiterter FPC |
M320-KARTON |
Router der T-Serie |
Router der MX-Serie |
|---|---|---|---|---|---|
MLPPP |
Nein |
Ja |
Nein |
Nein |
Nein |
End-to-End MLFR (FRF.15) |
Nein |
Ja |
Nein |
Nein |
Nein |
UNI/NNI MLFR (FRF.16) |
Nein |
Nein |
Nein |
Nein |
Nein |
Router der M Series müssen über ein AS-PIC verfügen, um die vrf-table-label Anweisung über MLPPP- und MLFR-Schnittstellen zu unterstützen. Die vrf-table-label Anweisung über MLPPP-Schnittstellen wird auf M120-Routern nicht unterstützt.
Unterstützung für IP-basiertes Filtern von Paketen mit Null-Top-Labels
Sie können die vrf-table-label Anweisung in die Konfiguration für Core-seitige Schnittstellen aufnehmen, die MPLS-Pakete mit einem NULL-Top-Label empfangen, die von Geräten einiger Hersteller übertragen werden können. Diese Pakete können nur auf dem M320-Router, dem M10i-Router und Core-Routern der T-Serie mit einem der folgenden PICs empfangen werden:
Gigabit-Ethernet mit 1 Port und SFP
Gigabit-Ethernet mit 2 Ports und SFP
Gigabit-Ethernet mit 4 Ports und SFP
Gigabit-Ethernet mit 10 Ports und SFP
SONET STM4 mit 1 Port
SONET STM4 mit 4 Ports
SONET STM16 mit 1 Port
SONET STM16 (ohne SFP) mit 1 Port
SONET STM16 mit 4 Anschlüssen
SONET STM64 mit 1 Port
Die folgenden PICs können Pakete mit Null-Top-Labels empfangen, jedoch nur, wenn sie in einem M120-Router oder einem M320-Router mit einem Enhanced III FPC installiert sind:
10-Gigabit-Ethernet mit 1 Port
10-Gigabit-Ethernet IQ2 mit 1 Port
Allgemeine Einschränkungen bei der IP-basierten Filterung
Die folgenden Einschränkungen gelten, wenn Sie die vrf-table-label Anweisung einschließen:
Firewallfilter können nicht auf Schnittstellen angewendet werden, die in einer Routing-Instanz enthalten sind, auf der Sie die
vrf-table-labelAnweisung konfiguriert haben.Der Time-to-Live-Wert (TTL) im MPLS-Header wird nicht zurück in den IP-Header von Paketen kopiert, die vom PE-Router an den CE-Router gesendet werden.
Sie können die Anweisung nicht in eine Routing-Instanzkonfiguration aufnehmen, die
vrf-table-labelauch eine virtuelle Loopback-Tunnelschnittstelle enthält; der Commit-Vorgang schlägt in diesem Fall fehl.Wenn Sie die Anweisung einschließen, werden MPLS-Pakete mit LSI-Labels (Label-Switched Interface), die auf Core-Schnittstellen eintreffen, auf der Ebene der logischen Schnittstelle nicht gezählt, wenn es sich bei der Core-Schnittstelle um eine der folgenden ist:
GELDAUTOMAT
Rahmen-Relais
Ethernet konfiguriert mit VLANs
Aggregiertes Ethernet mit VLANs konfiguriert
Bei LMNR-, Stoli- und I-Chip-basierten Paketweiterleitungs-Engines können Sie die Anweisung nicht in die Konfiguration einer VRF-Routinginstanz aufnehmen, wenn es sich bei der PE-Router-zu-P-Router-Schnittstelle um eine der folgenden Schnittstellen handelt:
Anmerkung:Die
vrf-table-labelAnweisung wird unterstützt, wenn es sich bei der PE-Router-zu-P-Router-Schnittstelle um eine Tunnelschnittstelle auf einer Junos Trio-basierten Packet Forwarding Engine handelt, sodass keine Einschränkung gilt.Aggregierte SONET/SDH-Schnittstelle
Kanalisierte Schnittstelle
Tunnelschnittstelle (z. B. generische Routing-Kapselung [GRE] oder IP-Sicherheit [IPsec])
Circuit Cross-Connect (CCC) oder Translational Cross-Connect (TCC) gekapselte Schnittstelle
Logische Tunnelschnittstelle
Gekapselte Schnittstelle des Virtual Private LAN Service (VPLS)
Anmerkung:Alle CE-Router-to-PE-Router und PE-Router-to-CE-Router-Schnittstellen werden unterstützt.
Sie können die
vrf-table-labelAnweisung nicht in die Konfiguration einer VRF-Routinginstanz aufnehmen, wenn es sich bei dem PE-Router-zu-P-Router-PIC um eines der folgenden PICs handelt:10-Port E1
Fast Ethernet mit 8 Ports
Fast Ethernet mit 12 Ports
Fast Ethernet mit 48 Ports
andere ATM-PIC als ATM2 IQ
LSI-Datenverkehrsstatistiken (Label-Switched Interface) werden für Intelligent Queuing 2 (IQ2), Enhanced IQ (IQE) und Enhanced IQ2 (IQ2E) PICs auf Routern der M Series nicht unterstützt.
Siehe auch
Konfigurieren einer Richtlinie für die Zuweisung und Ersetzung von Bezeichnungen für VPNs
Sie können Label-Advertisements auf MPLS-Eingangs- und ASBRs (AS Border Routers) steuern. Labels können pro Next-Hop (standardmäßig) oder pro Tabelle (durch Konfigurieren der vrf-table-label-Anweisung ) zugewiesen werden. Diese Auswahl wirkt sich auf alle Routen einer bestimmten Routing-Instanz aus. Sie können eine Richtlinie auch so konfigurieren, dass Bezeichnungen pro Route generiert werden, indem Sie eine Richtlinie für die Zuweisung von Bezeichnungen angeben.
Um eine Label-Zuordnungsrichtlinie für die Routing-Instanz anzugeben, konfigurieren Sie die Anweisung label und geben Sie eine Label-Zuordnungsrichtlinie mit der Zuordnungsoption an:
label { allocation label-allocation-policy; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:
[edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
Die Hierarchieebene [edit logical-systems] gilt nicht für Router der ACX-Serie.
Um die Bezeichnungszuordnungsrichtlinie zu konfigurieren, schließen Sie die label-allocation Anweisung auf Hierarchieebene [edit policy-options policy-statement policy-statement-name term term-name then] ein. Sie können den Bezeichnungszuordnungsmodus entweder pro Nexthop oder pro Tabelle konfigurieren.
Bei einer VPN-Option B ASBR werden Labels für Transitrouten durch ein lokales virtuelles Tunnel-Label oder vrf-table-label-Label ersetzt. Wenn eine VRF-Tabelle auf dem ASBR konfiguriert ist (diese Art der Konfiguration ist für das Modell der Option B ungewöhnlich), generiert das ASBR keinen MPLS-Swap- oder Swap-and-Push-Status für Transitrouten. Stattdessen kündigt der ASBR ein lokales Label für einen virtuellen Tunnel oder eine vrf-Tabellenbezeichnung erneut an und leitet diesen Transitdatenverkehr basierend auf IP-Weiterleitungstabellen weiter. Die Substitution von Bezeichnungen trägt dazu bei, die Bezeichnungen auf Routern von Juniper Networks zu erhalten.
Diese Art der Labelersetzung unterbricht jedoch effektiv den MPLS-Weiterleitungspfad, was bei Verwendung eines MPLS-OAM-Befehls wie LSP-Ping sichtbar wird. Sie können die Art und Weise konfigurieren, in der Bezeichnungen pro Route ersetzt werden, indem Sie eine Richtlinie für die Bezeichnungsersetzung angeben.
Um eine Bezeichnungsersetzungsrichtlinie für die Routinginstanz anzugeben, konfigurieren Sie die Anweisung label und geben Sie eine Bezeichnungsersetzungsrichtlinie mit der Ersetzungsoption an:
label { substitution label-substitution-policy; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:
[edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
Die Hierarchieebene [edit logical-systems] gilt nicht für Router der ACX-Serie.
Die Richtlinie zum Ersetzen von Bezeichnungen wird verwendet, um zu bestimmen, ob eine Bezeichnung auf einem ASBR-Router ersetzt werden soll oder nicht. Die Ergebnisse des Richtlinienvorgangs lauten entweder "Akzeptieren " (Ersetzen von Bezeichnungen wird durchgeführt) oder "Ablehnen " (Ersetzen von Bezeichnungen wird nicht durchgeführt). Das Standardverhalten ist "Akzeptieren". Das folgende Beispiel für den Befehl set veranschaulicht, wie Sie eine Richtlinie zum Ersetzen von Bezeichnungen ablehnen konfigurieren können: set policy-options policy-statement no-label-substitution term default then reject.