Routing-Instanzen in Layer 3-VPNs
In diesem Thema wird das Konfigurieren von Routing-Instanzen in Layer 3-VPNs erläutert
Routing-Instanzen in Layer 3-VPNs
Eine Routing-Instanz ist eine Sammlung von Routing-Tabellen, Schnittstellen und Routing-Protokollparametern. Die Gruppe der Schnittstellen gehört zu den Routing-Tabellen, und die Routing-Protokollparameter steuern die Informationen in den Routing-Tabellen. Jede Routinginstanz hat einen eindeutigen Namen und eine entsprechende IP-Unicasttabelle.
Um Layer-3-VPNs in der JUNOS-Software zu implementieren, konfigurieren Sie für jedes VPN eine Routing-Instanz. Sie konfigurieren die Routing-Instanzen nur auf PE-Routern. Jede VPN-Routing-Instanz besteht aus den folgenden Komponenten:
VRF-Tabelle: Auf jedem PE-Router konfigurieren Sie eine VRF-Tabelle für jedes VPN.
Eine Reihe von Schnittstellen, die die VRF-Tabelle verwenden: Die logische Schnittstelle zu jedem direkt verbundenen CE-Router muss einer VRF-Tabelle zugeordnet werden. Sie können mehr als eine Schnittstelle mit derselben VRF-Tabelle verknüpfen, wenn mehr als ein CE-Router in einem VPN direkt mit dem PE-Router verbunden ist.
Richtlinienregeln: Diese steuern den Import von Routen in die VRF-Tabelle und den Export von Routen aus der VRF-Tabelle.
Ein oder mehrere Routing-Protokolle, die Routen von CE-Routern in die VRF-Tabelle installieren: Sie können die BGP-, OSPF- und RIP-Routing-Protokolle sowie statische Routen verwenden.
Konfigurieren logischer Einheiten auf der Loopback-Schnittstelle für Routing-Instanzen in Layer-3-VPNs
Für Layer 3-VPNs (VRF-Routing-Instanzen) können Sie eine logische Einheit auf der Loopback-Schnittstelle in jede VRF-Routing-Instanz konfigurieren, die Sie auf dem Router konfiguriert haben. Wenn Sie eine VRF-Routing-Instanz mit einer logischen Einheit auf der Loopback-Schnittstelle verknüpfen, können Sie die VRF-Routing-Instanz leicht identifizieren.
Dies ist nützlich für die Fehlerbehebung:
-
Es ermöglicht Ihnen, einen Remote-CE-Router von einem lokalen PE-Router in einem Layer-3-VPN aus anzupingen. Weitere Informationen finden Sie unter Beispiel: Fehlerbehebung bei Layer 3-VPNs.
-
Sie stellt sicher, dass eine MTU-Prüfung (Path Maximum Transmission Unit) für Datenverkehr, der von einer VRF- oder virtuellen Router-Routing-Instanz stammt, ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Konfigurieren von Pfad-MTU-Prüfungen für VPN-Routing-Instanzen.
Sie können auch einen Firewall-Filter für die logische Einheit auf der Loopback-Schnittstelle konfigurieren. Mit dieser Konfiguration können Sie den Datenverkehr für die zugeordnete VRF-Routing-Instanz filtern.
Auf EX-Serie-Switches (außer Switches der EX9200-Serie) und Switches der QFX5000-Serie wird die Loopback-Filterung pro VRF nicht unterstützt. Auch wenn wir für jede IFL auf Loopback unterschiedliche Filter konfigurieren, gelten diese für die Loopback-Schnittstelle als Ganzes und nicht separat pro VRF.
Im Folgenden wird beschrieben, wie sich Firewallfilter auf die VRF-Routinginstanz auswirken, je nachdem, ob sie auf der Standard-Loopbackschnittstelle, der VRF-Routinginstanz oder einer Kombination aus beiden konfiguriert sind. Die "Standard-Loopback-Schnittstelle" bezieht sich auf lo0.0 (die der Standard-Routing-Tabelle zugeordnet ist) und die "VRF-Loopback-Schnittstelle" bezieht sich auf lo0.n, die in der VRF-Routing-Instanz konfiguriert ist.
-
Wenn Sie Filter A auf der Standard-Loopbackschnittstelle und Filter B auf der VRF-Loopbackschnittstelle konfigurieren, verwendet die VRF-Routing-Instanz Filter B.
-
Wenn Sie Filter A auf der Standard-Loopbackschnittstelle konfigurieren, aber keinen Filter auf der VRF-Loopbackschnittstelle, verwendet die VRF-Routinginstanz keinen Filter.
-
Wenn Sie Filter A auf der Standard-Loopbackschnittstelle konfigurieren, aber keine VRF-Loopbackschnittstelle, verwendet die VRF-Routinginstanz Filter A. Bei MX80-Geräten ist das Verhalten etwas anders: Wenn Sie Filter auf der Standard-Loopback-Schnittstelle konfigurieren, aber keine VRF-Loopback-Schnittstelle, verwendet die VRF-Routing-Instanz nur die Eingabefilter, die dem Standard-Loopback zugewiesen sind (sie verwendet keine Ausgabefilter aus dem Standard-Loopback).
Bei einigen ACX-Serie Universal Metro Router (ACX1000, ACX2000, ACX4000 und ACX5000) muss sich die Standard-Loopback-Filter in derselben Routing- oder VRF-Instanz (Virtual Routing and Forwarding) befinden wie der eingehende Datenverkehr, den sie filtert. Das heißt, auf diesen Geräten kann der Standard-Loopback-Filter nicht für Datenverkehr verwendet werden, der eine Schnittstelle durchläuft, die zu einer anderen Routing-Instanz gehört.
Um eine logische Einheit auf der Loopback-Schnittstelle zu konfigurieren, fügen Sie die unit Anweisung ein:
unit number {
family inet {
address address;
}
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
-
[edit interfaces lo0] -
[edit logical-systems logical-system-name interfaces lo0]
Um einen Firewall-Filter mit der logischen Einheit auf der Loopback-Schnittstelle zu verknüpfen, fügen Sie die filter folgende Anweisung ein:
filter {
input filter-name;
}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
-
[edit interfaces lo0 unit unit-number family inet] -
[edit logical-systems logical-system-name interfaces lo0 unit unit-number family inet]
Um die lo0.n Schnittstelle (wobei n die logische Einheit angibt) in die Konfiguration für die VRF-Routinginstanz aufzunehmen, fügen Sie die folgende Anweisung ein:
interface lo0.n;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
-
[edit routing-instances routing-instance-name] -
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren von Routing-Instanzen auf PE-Routern in VPNs
Sie müssen eine Routinginstanz für jedes VPN auf jedem der PE-Router konfigurieren, die am VPN teilnehmen. Die in diesem Abschnitt beschriebenen Konfigurationsverfahren gelten für Layer 2-VPNs, Layer 3-VPNs und VPLS. Die Konfigurationsverfahren, die für jeden VPN-Typ spezifisch sind, werden in den entsprechenden Abschnitten in den anderen Konfigurationskapiteln beschrieben.
Um Routinginstanzen für VPNs zu konfigurieren, fügen Sie die folgenden Anweisungen ein:
description text; instance-type type; interface interface-name; route-distinguisher (as-number:number | ip-address:number); vrf-import [ policy-names ]; vrf-export [ policy-names ]; vrf-target { export community-name; import community-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Um VPN-Routinginstanzen zu konfigurieren, führen Sie die Schritte in den folgenden Abschnitten aus:
- Konfigurieren des Routing-Instanznamens für ein VPN
- Konfigurieren der Beschreibung
- Konfigurieren des Instance-Typs
- Konfigurieren von Schnittstellen für VPN-Routing
- Konfigurieren der Routenunterscheidung
- Konfigurieren von automatischen Routenunterscheidungen
Konfigurieren des Routing-Instanznamens für ein VPN
Der Name der Routing-Instanz für ein VPN darf maximal 128 Zeichen lang sein und Buchstaben, Zahlen und Bindestriche enthalten. In Junos OS Version 9.0 und höher können Sie den Namen der Routing-Instanz nicht mehr angeben default . Sie dürfen auch keine Sonderzeichen (! @ # $ % ^ & * , +< > : ;) innerhalb des Namens einer Routing-Instanz.
In Junos OS Version 9.6 und höher können Sie nur dann einen Schrägstrich (/) in einen Routinginstanznamen einfügen, wenn kein logisches System konfiguriert ist. Das heißt, Sie können den Schrägstrich nicht in den Namen einer Routinginstanz aufnehmen, wenn explizit ein anderes logisches System als das Standardsystem konfiguriert ist.
Geben Sie den Namen der Routing-Instanz mit der folgenden routing-instance Anweisung an:
routing-instance routing-instance-name {...}
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit][edit logical-systems logical-system-name]
Konfigurieren der Beschreibung
Wenn Sie eine Textbeschreibung für die Routinginstanz bereitstellen möchten, fügen Sie die description Anweisung ein. Wenn der Text ein oder mehrere Leerzeichen enthält, schließen Sie diese in Anführungszeichen (" ") ein. Beschreibender Text, den Sie einfügen, wird in der show route instance detail Ausgabe des Befehls angezeigt und hat keine Auswirkungen auf den Betrieb der Routing-Instanz.
Um eine Textbeschreibung zu konfigurieren, fügen Sie die description folgende Anweisung ein:
description text;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren des Instance-Typs
Der Instance-Typ, den Sie konfigurieren, hängt davon ab, ob Sie Layer-2-VPNs, Layer-3-VPNs, VPLS oder virtuelle Router konfigurieren. Geben Sie den Instanztyp an, indem Sie die instance-type folgende Anweisung einfügen:
Um das Layer-2-VPN-Routing auf einem PE-Router zu aktivieren, fügen Sie die
instance-typeAnweisung ein, und geben Sie den Wertl2vpnan:instance-type l2vpn;
Um das VPLS-Routing auf einem PE-Router zu aktivieren, fügen Sie die
instance-typeAnweisung hinzu und geben Sie den Wertvplsan:instance-type vpls;
Layer 3-VPNs erfordern, dass jeder PE-Router über eine VPN-Routing- und Weiterleitungstabelle (VRF) für die Verteilung von Routen innerhalb des VPN verfügt. Um die VRF-Tabelle auf dem PE-Router zu erstellen, fügen Sie die
instance-typeAnweisung hinzu und geben Sie den Wertvrfan:instance-type vrf;
Anmerkung:Die auf der Routing-Engine basierende Stichprobenerstellung wird auf VRF-Routinginstanzen nicht unterstützt.
Um die Routing-Instanz des virtuellen Routers zu aktivieren, fügen Sie die
instance-typeAnweisung ein, und geben Sie den Wertvirtual-routeran:instance-type virtual-router;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren von Schnittstellen für VPN-Routing
Auf jedem PE-Router müssen Sie eine Schnittstelle konfigurieren, über die der VPN-Datenverkehr zwischen dem PE- und dem CE-Router übertragen wird.
In den folgenden Abschnitten wird beschrieben, wie Schnittstellen für VPNs konfiguriert werden:
- Allgemeine Konfiguration für VPN-Routing
- Konfigurieren von Schnittstellen für Layer 3-VPNs
- Konfigurieren von Schnittstellen für Carrier-of-Carriers-VPNs
- Konfigurieren von Unicast RPF auf VPN-Schnittstellen
Allgemeine Konfiguration für VPN-Routing
Die in diesem Abschnitt beschriebene Konfiguration gilt für alle Arten von VPNs. Schließen Sie für Layer 3-VPNs und Carrier-of-Carriers-VPNs die in diesem Abschnitt beschriebene Konfiguration ab, bevor Sie mit den Abschnitten zur Schnittstellenkonfiguration fortfahren, die für diese Themen spezifisch sind.
Um Schnittstellen für das VPN-Routing zu konfigurieren, fügen Sie die interface folgende Anweisung ein:
interface interface-name;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Geben Sie sowohl den physischen als auch den logischen Teil des Schnittstellennamens im folgenden Format an:
physical.logical
In ist z. B. in at-1/2/1.2at-1/2/1 der physische Teil des Schnittstellennamens und 2 der logische Teil. Wenn Sie den logischen Teil des Schnittstellennamens nicht angeben, wird der Wert 0 standardmäßig festgelegt.
Eine logische Schnittstelle kann nur einer Routing-Instanz zugeordnet werden. Wenn Sie ein Routingprotokoll auf allen Instanzen aktivieren, indem Sie dies bei der Konfiguration der Masterinstanz des Protokolls auf der [edit protocols] Hierarchieebene angebeninterfaces all, und wenn Sie eine bestimmte Schnittstelle für das VPN-Routing auf der [edit routing-instances routing-instance-name] Hierarchieebene oder auf der [edit logical-systems logical-system-name routing-instances routing-instance-name] Hierarchieebene konfigurieren, hat die letztere Schnittstellenanweisung Vorrang und die Schnittstelle wird ausschließlich für das VPN verwendet.
Wenn Sie explizit denselben Schnittstellennamen auf der [edit protocols] Hierarchieebene und auf der [edit routing-instances routing-instance-name] Hierarchieebene oder [edit logical-systems logical-system-name routing-instances routing-instance-name] konfigurieren, schlägt der Versuch, die Konfiguration zu übernehmen, fehl.
Konfigurieren von Schnittstellen für Layer 3-VPNs
Wenn Sie die Layer-3-VPN-Schnittstellen auf der [edit interfaces] Hierarchieebene konfigurieren, müssen Sie auch bei der Konfiguration der logischen Schnittstelle Folgendes konfigurieren family inet :
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
}
}
Konfigurieren von Schnittstellen für Carrier-of-Carriers-VPNs
Wenn Sie Carrier-of-Carriers-VPNs konfigurieren, müssen Sie die family mpls Anweisung zusätzlich zu der family inet Anweisung für die Schnittstellen zwischen den PE- und CE-Routern konfigurieren. Konfigurieren Sie für Carrier-of-Carriers-VPNs die logische Schnittstelle wie folgt:
[edit interfaces]
interface-name {
unit logical-unit-number {
family inet;
family mpls;
}
}
Wenn Sie auf der logischen Schnittstelle konfigurieren family mpls und diese Schnittstelle dann für eine Routing-Instanz konfigurieren, die nicht Carrier-of-Carriers ist, wird die family mpls Anweisung automatisch aus der Konfiguration für die logische Schnittstelle entfernt, da sie nicht benötigt wird.
Konfigurieren von Unicast RPF auf VPN-Schnittstellen
Für VPN-Schnittstellen, die Datenverkehr der IP-Version 4 oder Version 6 (IPv4 oder IPv6) übertragen, können Sie die Auswirkungen von Denial-of-Service-Angriffen (DoS) reduzieren, indem Sie Unicast Reverse Path Forwarding (RPF) konfigurieren. Unicast RPF hilft bei der Bestimmung der Quelle von Angriffen und lehnt Pakete von unerwarteten Quelladressen auf Schnittstellen ab, auf denen Unicast-RPF aktiviert ist.
Sie können Unicast-RPF auf einer VPN-Schnittstelle konfigurieren, indem Sie Unicast-RPF auf der Schnittstelle aktivieren und die interface Anweisung auf Hierarchieebene [edit routing-instances routing-instance-name] einschließen.
Sie können Unicast-RPF nicht auf den Core-Schnittstellen konfigurieren. Sie können Unicast-RPF nur auf den CE-Router-zu-PE-Routerschnittstellen auf dem PE-Router konfigurieren. Für Routinginstanzen virtueller Router wird Unicast-RPF jedoch auf allen Schnittstellen unterstützt, die Sie in der Routinginstanz angeben.
Informationen zum Konfigurieren von Unicast-RPF auf VPN-Schnittstellen finden Sie unter Grundlegendes zu Unicast-RPF (Router).
Konfigurieren der Routenunterscheidung
Jeder Routing-Instanz, die Sie auf einem PE-Router konfigurieren, muss ein eindeutiger Routenunterscheidungsmerkmal zugeordnet sein. VPN-Routing-Instanzen benötigen eine Routenunterscheidung, die BGP dabei hilft, zwischen potenziell identischen NLRI-Nachrichten (Network Layer Reachability Information) zu unterscheiden, die von verschiedenen VPNs empfangen werden. Wenn Sie verschiedene VPN-Routinginstanzen mit demselben Routenunterscheidungsmerkmal konfigurieren, schlägt der Commit fehl.
Wenn Sie die Anweisung für Layer 2-VPNs und VPLS konfiguriert haben, müssen Sie für jeden PE-Router, der l2vpn-use-bgp-rules an einer bestimmten Routing-Instanz beteiligt ist, eine eindeutige Routenunterscheidung konfigurieren.
Für andere Arten von VPNs empfehlen wir, für jeden PE-Router, der an der Routing-Instanz beteiligt ist, eine eindeutige Routenunterscheidung zu verwenden. Sie können zwar auf allen PE-Routern für dieselbe VPN-Routing-Instanz dieselbe Routenunterscheidung verwenden (mit Ausnahme von Layer 2-VPNs und VPLS), aber wenn Sie eine eindeutige Routenunterscheidung verwenden, können Sie den CE-Router bestimmen, von dem eine Route innerhalb des VPN stammt.
Um eine Routenunterscheidung auf einem PE-Router zu konfigurieren, fügen Sie die route-distinguisher folgende Anweisung ein:
route-distinguisher (as-number:number | ip-address:number);
Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.
Die Routenunterscheidung ist ein 6-Byte-Wert, den Sie in einem der folgenden Formate angeben können:
as-number:number, wobeias-numbereine AS-Nummer (autonomes System) (ein 2-Byte-Wert) undnumberein beliebiger 4-Byte-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Wir empfehlen, dass Sie eine von der Internet Assigned Numbers Authority (IANA) zugewiesene, nicht private AS-Nummer verwenden, vorzugsweise die eigene AS-Nummer des Internet Service Providers (ISP) oder die des Kunden selbst.ip-address:number, wobeiip-addresseine IP-Adresse (ein 4-Byte-Wert) undnumberein beliebiger 2-Byte-Wert ist. Bei der IP-Adresse kann es sich um eine beliebige global eindeutige Unicastadresse handeln. Es wird empfohlen, die Adresse zu verwenden, die Sie in derrouter-idAnweisung konfigurieren, bei der es sich um eine nicht private Adresse im zugewiesenen Präfixbereich handelt.
Konfigurieren von automatischen Routenunterscheidungen
Wenn Sie die Anweisung route-distinguisher-id auf Hierarchieebene [edit routing-options] konfigurieren, wird der Routing-Instanz automatisch ein Routenunterscheidungsmerkmal zugewiesen. Wenn Sie die route-distinguisher Anweisung zusätzlich zur route-distinguisher-id Anweisung konfigurieren, hat der für konfigurierte route-distinguisher Wert Vorrang vor dem von generierten route-distinguisher-idWert.
Um eine Routenunterscheidung automatisch zuzuweisen, fügen Sie die route-distinguisher-id folgende Anweisung ein:
route-distinguisher-id ip-address;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-options][edit logical-systems logical-system-name routing-options]
Ein Routenunterscheider vom Typ 1 wird der Routing-Instanz automatisch im Format ip-address:numberzugewiesen. Die IP-Adresse wird durch die route-distinguisher-id Anweisung angegeben, und die Nummer ist für die Routinginstanz eindeutig.
Konfigurieren von virtuellen Router-Routing-Instanzen in VPNs
Eine Routing-Instanz mit virtuellem Router verwaltet wie eine VRF-Routing-Instanz separate Routing- und Weiterleitungstabellen für jede Instanz. Viele der Konfigurationsschritte, die für VRF-Routinginstanzen erforderlich sind, sind jedoch nicht für Routinginstanzen mit virtuellem Router erforderlich. Insbesondere müssen Sie keinen Route Distinguisher, eine Routing-Tabelle-Richtlinie (, vrf-exportvrf-importund route-distinguisher Anweisungen) oder MPLS zwischen den Service Provider-Routern konfigurieren.
Konfigurieren Sie eine Routinginstanz für virtuelle Router, indem Sie die folgenden Anweisungen einfügen:
description text; instance-type virtual-router; interface interface-name; protocols { ... }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
In den folgenden Abschnitten wird erläutert, wie eine Routinginstanz für virtuelle Router konfiguriert wird:
- Konfigurieren eines Routing-Protokolls zwischen den Routern des Service Providers
- Konfiguration logischer Schnittstellen zwischen teilnehmenden Routern
Konfigurieren eines Routing-Protokolls zwischen den Routern des Service Providers
Die Router der Service Provider müssen in der Lage sein, Routing-Informationen auszutauschen. Sie können die folgenden Protokolle für die Konfiguration der Routinginstanzanweisung protocols für virtuelle Router auf Hierarchieebene [edit routing-instances routing-instance-name] konfigurieren:
BGP
IS-IS
LDP
OSPF
Protokollunabhängiges Multicast (PIM)
ZERREIßEN
Sie können auch statische Routen konfigurieren.
IBGP-Routenreflektion wird für Routing-Instanzen mit virtuellen Routern nicht unterstützt.
Wenn Sie LDP unter einer virtuellen Routerinstanz konfigurieren, werden LDP-Routen standardmäßig in den Routingtabellen inet.0 und inet.3 der Routinginstanz platziert (z. B. sample.inet.0 und sample.inet.3). Um LDP-Routen auf die inet.3-Tabelle der Routing-Instanz zu beschränken, fügen Sie die no-forwarding folgende Anweisung ein:
no-forwarding;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name protocols ldp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp]
Wenn Sie die LDP-Routen auf die Routing-Tabelle inet.3 beschränken, kann die entsprechende IGP-Route in der Routing-Tabelle inet.0 umverteilt und in andere Routing-Protokolle angekündigt werden.
Weitere Informationen zu Routing-Tabellen finden Sie unter Grundlegendes zu Junos OS-Routing-Tabellen.
Konfiguration logischer Schnittstellen zwischen teilnehmenden Routern
Sie müssen eine Schnittstelle zu jedem Kundenrouter konfigurieren, der an der Routing-Instanz teilnimmt, und zu jedem P-Router, der an der Routing-Instanz teilnimmt. Jede Routing-Instanz eines virtuellen Routers erfordert ihre eigenen logischen Schnittstellen zu allen P-Routern, die an der Instanz teilnehmen. Um Schnittstellen für virtuelle Routerinstanzen zu konfigurieren, fügen Sie die interface folgende Anweisung ein:
interface interface-name;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Geben Sie sowohl den physischen als auch den logischen Teil des Schnittstellennamens im folgenden Format an:
physical.logical
In ist z. B. in at-1/2/1.2at-1/2/1 der physische Teil des Schnittstellennamens und 2 der logische Teil. Wenn Sie den logischen Teil des Schnittstellennamens nicht angeben, 0 wird standardmäßig festgelegt.
Außerdem müssen Sie die Schnittstellen auf Hierarchieebene [edit interfaces] konfigurieren.
Eine Methode, diese logische Schnittstelle zwischen den Provider-Routern bereitzustellen, ist die Konfiguration von Tunneln zwischen ihnen. Sie können IP-Sicherheit (IPsec), generische Routing-Kapselung (GRE) oder IP-IP-Tunnel zwischen den Anbieterroutern konfigurieren und die Tunnel auf der Instanz des virtuellen Routers beenden.
Informationen zum Konfigurieren von Tunneln und Schnittstellen finden Sie in der Junos OS Services Interfaces Library for Routing Devices.
Konfiguration von Pfad-MTU-Prüfungen für VPN-Routing-Instanzen
Standardmäßig ist die MTU-Prüfung (Maximum Transmission Unit) für VPN-Routing-Instanzen auf Routern der M Series (mit Ausnahme des M320-Routers) deaktiviert und für den M320-Router aktiviert. Auf Routern der M Series können Sie Pfad-MTU-Prüfungen für die ausgehenden Schnittstellen für Unicast-Datenverkehr konfigurieren, der auf VRF-Routing-Instanzen und auf Routing-Instanzen virtueller Router geroutet wird.
Wenn Sie eine MTU-Prüfung aktivieren, sendet die Routing-Plattform eine ICMP-Nachricht (Internet Control Message Protocol), wenn ein Paket, das die Routing-Instanz durchläuft, die MTU-Größe überschreitet und das do-not-fragment Bit gesetzt ist. Die ICMP-Nachricht verwendet die lokale VRF-Adresse als Quelladresse.
Damit eine MTU-Prüfung in einer Routing-Instanz funktioniert, müssen Sie sowohl die vrf-mtu-check Anweisung auf Hierarchieebene [edit chassis] einbinden als auch der Routing-Instanz mindestens eine Schnittstelle mit einer IP-Adresse zuweisen.
Weitere Informationen zur Pfad-MTU-Prüfung finden Sie in der Junos OS Administration Library for Routing Devices.
Um die MTU-Überprüfungen für Pfade zu konfigurieren, führen Sie die in den folgenden Abschnitten beschriebenen Aufgaben aus:
- Aktivieren von Pfad-MTU-Prüfungen für eine VPN-Routing-Instanz
- Zuweisen einer IP-Adresse zur VPN-Routing-Instanz
Aktivieren von Pfad-MTU-Prüfungen für eine VPN-Routing-Instanz
Um Pfadüberprüfungen auf der ausgehenden Schnittstelle für Unicastdatenverkehr zu aktivieren, der auf einer VRF- oder virtuellen Router-Routinginstanz weitergeleitet wird, fügen Sie die vrf-mtu-check Anweisung auf der [edit chassis] Hierarchieebene ein:
[edit chassis] vrf-mtu-check;
Zuweisen einer IP-Adresse zur VPN-Routing-Instanz
Um sicherzustellen, dass die Pfad-MTU-Prüfung ordnungsgemäß funktioniert, muss jeder VRF- oder virtuellen Router-Routing-Instanz mindestens eine IP-Adresse zugeordnet werden. Wenn der Routing-Instanz keine IP-Adresse zugeordnet ist, können keine ICMP-Antwortnachrichten gesendet werden.
In der Regel wird die IP-Adresse der VRF- oder virtuellen Router-Routing-Instanz aus den IP-Adressen gezogen, die Schnittstellen zugeordnet sind, die für diese Routing-Instanz konfiguriert sind. Wenn keine der Schnittstellen, die einer VRF- oder virtuellen Router-Routing-Instanz zugeordnet sind, mit einer IP-Adresse konfiguriert ist, müssen Sie explizit eine logische Loopback-Schnittstelle mit einer IP-Adresse konfigurieren. Diese Schnittstelle muss dann der Routing-Instanz zugeordnet werden. Weitere Informationen finden Sie unter Konfigurieren logischer Einheiten auf der Loopback-Schnittstelle für Routing-Instanzen in Layer 3-VPNs .