AUF DIESER SEITE
Beispiel: Konfigurieren von MPLS über GRE mit IPsec-Fragmentierung und -Reassemblierung
Dieses Beispiel basiert auf der Notwendigkeit, eine standardmäßige 1.500-Byte-MTU für VPN-Clients (Virtual Private Network) zu unterstützen, die von GRE über IPsec-Tunnel unterstützt werden, wenn der WAN-Anbieter keine Jumbo-MTU-Option anbietet. Der Datenverkehr, der über die 1500-Byte-WAN-Verbindung weitergeleitet wird, kann verworfen werden, da der Overhead der Protokollkapselung (Layer 2, MPLS, GRE und IPsec) zu einem Frame führt, der die MTU der WAN-Verbindung überschreitet.
MTU-bedingte Ausfälle sind meist ein Problem für Datenverkehr, der nicht fragmentiert werden kann. Zum Beispiel IP-Datenverkehr, der als "Nicht fragmentiert" markiert ist, oder Layer-2-VPN/VPLS-Datenverkehr, der naturgemäß nicht fragmentiert werden kann. Aus Leistungsgründen blockieren viele IPsec-Konfigurationen die Fragmentierung nach der Verschlüsselung, was zu Paketverlusten führt.
Dieses Dokument bietet eine Lösung für dieses Problem, indem es Ihnen zeigt, wie Sie einen IPsec-Tunnel konfigurieren, um eine Postfragmentierung für Datenverkehr durchzuführen, der andernfalls nicht fragmentiert werden kann. In diesem Fall tauschen Sie die Verschlüsselungsleistung, indem Sie die Postfragmentierung erzwingen, gegen die Notwendigkeit, die MTU Ihrer VPN-Clients zu reduzieren, um MTU-bedingte Einbrüche zu verhindern.
In diesem Beispiel wird gezeigt, wie der Modus für selektive Paketdienste mithilfe einer einzelnen Routinginstanz (der Standardinstanz) konfiguriert wird, um VPN-Datenverkehr in den Paketmodus zu verarbeiten. Im Paketmodus werden Sicherheitszonen umgangen. Dies bedeutet, dass die Layer-2- und Layer-3-VRF-Schnittstellen nicht in einer Sicherheitszone platziert werden und keine Richtlinie erforderlich ist, um ihnen die Kommunikation über die Internetzone zu ermöglichen.
Mit den Schritten in diesem Beispiel können Sie eine IPsec-gekapselte Paketfragmentierung auf der ausgehenden physischen Schnittstelle des sendenden Geräts und eine erneute Assemblierung auf dem empfangenden Gerät vor der IPsec-Entschlüsselung durchführen.
Das Wiederzusammensetzen fragmentierter Pakete beansprucht viele Geräteressourcen, und die Leistung des Geräts ist langsamer als bei nicht fragmentiertem Datenverkehr. Wenn möglich, sollten Sie eine Jumbo-MTU auf der WAN-Schnittstelle konfigurieren, um eine Fragmentierung zu vermeiden. In diesem Beispiel wird gezeigt, wie Sie eine standardmäßige 1.500-Byte-MTU für Clientgeräte bereitstellen, die die Fragmentierung blockieren, wenn IPsec über eine WAN-Verbindung verwendet wird, die keine Jumbo-Unterstützung bietet.
Das Thema umfasst die folgenden Abschnitte:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei Services Gateways der SRX-Serie
Junos OS Version 11.4 oder höher
Dieses Beispiel wurde unter Junos OS Version 20.3R1 erneut validiert
Damit dieses Beispiel wie dokumentiert funktioniert, müssen Sie sicherstellen, dass Ihre SRX-Konfiguration über keine aktivierten Schnittstellen family ethernet-switching verfügt. Mit wird family ethernet-switching das SRX-Gerät in den gemischten Modus versetzt. Dieses Beispiel basiert auf der Betriebsart der Route. Weitere Informationen zu Routen und gemischten Betriebsmodi finden Sie unter Grundlegendes zu Layer-2-Schnittstellen auf Sicherheitsgeräten. Zusätzlich haben wir dieses Beispiel mit den werkseitigen Standardeinstellungen für die Hierarchie edit protocols l2-learning getestet.
Übersicht und Topologie
Dieses Beispiel umfasst die folgenden Konfigurationen:
Konfigurieren Sie Schnittstellen für die entsprechende Protokollkapselung und den MTU-Wert (Maximum Transmission Unit).
Wenden Sie den Firewall-Filter auf der ge-0/0/0.10-Schnittstelle an, um den Paketmodus festzulegen. Konfigurieren Sie die WAN-Schnittstelle ge-0/0/1.0 mit einer MTU von 1.524 Byte.
Legen Sie einen großen MTU-Wert auf logische GRE- und IPsec-Schnittstellen fest, um eine IPsec-Fragmentierung an logischen Schnittstellen zu vermeiden. Der in GRE gekapselte Datenverkehr wird innerhalb von IPsec getunnelt.
Fügen Sie der GRE-Schnittstelle gr-0/0/0 die MPLS-Familie hinzu, und wenden Sie Firewallfilter an, um den Paketmodus zu aktivieren.
Konfigurieren Sie einen IPsec-Tunnel auf dem Gerät mit der Option in der IPsec-VPN-Konfiguration, um die Fragmentierung übergroßer IPsec-Pakete auf der
df-bit clearausgehenden ge-0/0/1.0-Schnittstelle zu ermöglichen. Mit dieser Einstellung kann das SRX-Gerät nach der IPsec-Verschlüsselung eine Fragmentierung für VPN-Clientdatenverkehr durchführen, der mit dem DNF-Bit (Do Not Fragment) gekennzeichnet ist. VPN-Client-Datenverkehr, der nicht als DNF markiert ist, wird vor der IPsec-Verschlüsselung fragmentiert, um die Leistung zu verbessern.Konfigurieren Sie alle nicht kundenseitigen Schnittstellen wie ge-0/0/1.0, gr-0/0/0.0, lo0.0 und st0.0 in einer einzigen Sicherheitszone namens "Internet". In diesem Beispiel wird eine einzelne Sicherheitszone verwendet, um den Fokus auf Fragmentierungsprobleme mit MPLS über GRE über IPSec zu legen. Die Sicherheit kann erhöht werden, indem das Gerät in den Flow-Modus für MPLS versetzt wird und dann die kundenseitigen Schnittstellen in einer Zone platziert werden. Sobald Sie sich in einer Zone befinden, können Sicherheitsrichtlinien die Kommunikation steuern und erweiterte Funktionen wie IDP und Anwendungserkennung aufrufen. Weitere Informationen finden Sie unter Sicherheitszonen.
Konfigurieren Sie eine Richtlinie so, dass der gesamte (zoneninterne) Datenverkehr zugelassen wird.
Konfigurieren Sie OSPF für die lo0.0-Adressverteilung, LDP für die Labelverteilung/MPLS-Transport und IBGP mit den
inet-vpnl2vpnund -Familien zur Unterstützung der VPN-Clients.Konfigurieren Sie zwei Routing-Instanzen, eine für ein Layer-3-VPN und eine für einen Layer-2-VPLS-Service.
Abbildung 1 zeigt die Topologie für dieses Beispiel.
Dieses Beispiel konzentriert sich auf VPLS und ein Layer-3-VPN über einen IPsec-Tunnel. Layer-2-Schaltungen werden ebenfalls unterstützt. Für eine Layer-2-Verbindung müssen Sie sowohl einen Familien-MPLS-Filter als auch einen Familien-CCC-Filter konfigurieren. Die Filter werden verwendet, um die Verarbeitung im Paketmodus aufzurufen, um die Fragmentierung über IPsec zu unterstützen.
Topologie
Tabelle 1 enthält eine Zusammenfassung der Parameter, die in dieser Topologie für das PE1-Gerät verwendet werden. Sie können die Parameter für das PE2-Gerät anpassen oder die unten bereitgestellte PE2-Schnellkonfiguration verwenden.
Komponenten |
Beschreibung |
|---|---|
PE1 |
Firewall der PE1 SRX-Serie: GE-0/0/0.10:
|
GE-0/0/2.11:
|
|
GE-0/0/1.0:
|
|
gr-0/0/0:
|
|
lo0:
|
|
ST0.0:
|
|
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Die Konfiguration für das Gerät SRX1 (PE1):
set system host-name SRX1 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" set security ike gateway srx-2 ike-policy standard set security ike gateway srx-2 address 172.16.23.1 set security ike gateway srx-2 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-2 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.0.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.2 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.1/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.1/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.1/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.1:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 1 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 1 site-identifier 1 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.1:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.1 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.2 family inet any set protocols bgp group IBGP neighbor 10.255.255.2 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.23.0/30 next-hop 172.16.13.2 set routing-options router-id 10.255.255.1
Die Konfiguration für das SRX2 (PE2)-Gerät:
set system host-name SRX2 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$Ahg6tORhclvMXREdb2gJZ" set security ike gateway srx-1 ike-policy standard set security ike gateway srx-1 address 172.16.13.1 set security ike gateway srx-1 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-1 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.1.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.2 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.1 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.2/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.2/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.2/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.2:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 2 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 2 site-identifier 2 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.2:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.2 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.1 family inet any set protocols bgp group IBGP neighbor 10.255.255.1 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.1 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.13.0/30 next-hop 172.16.23.2 set routing-options router-id 10.255.255.2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch für Junos OS.
So fragmentieren Sie den MPLS-Frame und setzen das Paket wieder zusammen:
Konfigurieren Sie die physischen Schnittstellen.
[edit interfaces] user@SRX1# set ge-0/0/0 description L3VPN user@SRX1# set ge-0/0/0 mtu 4000 user@SRX1# set ge-0/0/0 unit 10 vlan-id 10 user@SRX1# set ge-0/0/0 unit 10 family inet filter input packet-mode-inet user@SRX1# set ge-0/0/0 unit 10 family inet address 192.168.0.1/24 user@SRX1# set ge-0/0/1 description Internet user@SRX1# set ge-0/0/1 mtu 1514 user@SRX1# set ge-0/0/1 unit 0 family inet address 172.16.13.1/30 user@SRX1# set ge-0/0/2 description VPLS user@SRX1# set ge-0/0/2 flexible-vlan-tagging user@SRX1# set ge-0/0/2 mtu 1522 user@SRX1# set ge-0/0/2 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 vlan-id 512
Konfigurieren Sie die logischen Schnittstellen.
[edit interfaces] user@SRX1# set gr-0/0/0 unit 0 description "MPLS core facing interface" user@SRX1# set gr-0/0/0 unit 0 tunnel source 172.16.0.1 user@SRX1# set gr-0/0/0 unit 0 tunnel destination 172.16.0.2 user@SRX1# set gr-0/0/0 unit 0 family inet mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family inet address 172.16.255.1/30 user@SRX1# set gr-0/0/0 unit 0 family mpls mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family mpls filter input packet-mode user@SRX1# set lo0 unit 0 family inet address 10.255.255.1/32 user@SRX1# set st0 unit 0 family inet mtu 9178 user@SRX1# set st0 unit 0 family inet address 172.16.0.1/30
Konfigurieren Sie die Firewallfilter, mit denen Schnittstellen für die Arbeit im Paketmodus konfiguriert werden.
[edit firewall] user@SRX1# set family inet filter packet-mode-inet term all-traffic then packet-mode user@SRX1# set family inet filter packet-mode-inet term all-traffic then accept user@SRX1# set family mpls filter packet-mode term all-traffic then packet-mode user@SRX1# set family mpls filter packet-mode term all-traffic then accept
Hinweis:Wenn Sie einen Layer-2-Circuit konfigurieren, müssen Sie auch einen Filter hinzufügen, um den Paketmodus auf der CE-Schnittstelle unter der Familie CCC aufzurufen:
set firewall family ccc filter packet-mode-ccc term all-traffic then packet-mode set firewall family ccc filter packet-mode-ccc term all-traffic then accept
Konfigurieren Sie die IKE- und IPsec-Richtlinien.
[edit security] user@SRX1# set ike policy standard mode main user@SRX1# set ike policy standard proposal-set standard user@SRX1# set ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" user@SRX1# set ike gateway srx-2 ike-policy standard user@SRX1# set ike gateway srx-2 address 172.16.23.1 user@SRX1# set ike gateway srx-2 external-interface ge-0/0/1.0 user@SRX1# set ipsec policy standard proposal-set standard user@SRX1# set ipsec vpn ipsec-vpn-1 bind-interface st0.0 user@SRX1# set ipsec vpn ipsec-vpn-1 df-bit clear user@SRX1# set ipsec vpn ipsec-vpn-1 ike gateway srx-2 user@SRX1# set ipsec vpn ipsec-vpn-1 ike ipsec-policy standard user@SRX1# set ipsec vpn ipsec-vpn-1 establish-tunnels immediately
Hinweis:Um den Fokus auf die Fragmentierung über IPsec zu legen, verwenden wir in diesem Beispiel die Standard-Chiffre (3DES-CBC). Für mehr Leistung und Sicherheit sollten Sie die Verwendung einer neueren Verschlüsselung wie AES-GCM-256 in Betracht ziehen. siehe Verschlüsselungsalgorithmus (Security IKE)
Konfigurieren Sie alle nicht kundenseitigen Schnittstellen in einer einzigen Sicherheitszone und einer Richtlinie, die den gesamten (innerzoneninternen) Datenverkehr zulässt.
[edit security policies from-zone Internet to-zone Internet] user@SRX1# set policy Internet match source-address any user@SRX1# set policy Internet match destination-address any user@SRX1# set policy Internet match application any user@SRX1# set policy Internet then permit [edit security zones security-zone Internet] user@SRX1# set host-inbound-traffic system-services all user@SRX1# set host-inbound-traffic protocols all user@SRX1# set interfaces ge-0/0/1.0 user@SRX1# set interfaces gr-0/0/0.0 user@SRX1# set interfaces lo0.0 user@SRX1# set interfaces st0.0
Konfigurieren Sie das OSPF-Protokoll für die lo0.0-Adressverteilung, konfigurieren Sie IBGP mit den Familien inet-vpn und l2vpn. Konfigurieren Sie außerdem MPLS- und LDP-Signale.
[edit protocols] user@SRX1# set bgp tcp-mss 1200 user@SRX1# set bgp group IBGP type internal user@SRX1# set bgp group IBGP local-address 10.255.255.1 user@SRX1# set bgp group IBGP local-as 65100 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet-vpn any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling user@SRX1# set ospf traffic-engineering user@SRX1# set ospf area 0.0.0.0 interface lo0.0 user@SRX1# set ospf area 0.0.0.0 interface lo0.0 passive user@SRX1# set ospf area 0.0.0.0 interface gr-0/0/0.0 user@SRX1# set mpls interface gr-0/0/0.0 user@SRX1# set ldp interface gr-0/0/0.0 user@SRX1# set ldp interface lo0.0
Konfigurieren Sie die Router-ID und eine statische Route zum Remote-Ende der WAN-Verbindung.
[edit routing-option] user@SRX1# set static route 172.16.23.0/30 next-hop 172.16.13.2 user@SRX1# set router-id 10.255.255.1
Konfigurieren Sie zwei Routing-Instanzen, eine für Layer 3-VPN und die andere für die VPLS-Anwendung.
[edit routing-instances] user@SRX1# set L3VPN instance-type vrf user@SRX1# set L3VPN route-distinguisher 10.255.255.1:1000 user@SRX1# set L3VPN interface ge-0/0/0.10 user@SRX1# set L3VPN vrf-target target:65100:1000 user@SRX1# set L3VPN vrf-target import target:65100:1000 user@SRX1# set L3VPN vrf-target export target:65100:1000 user@SRX1# set L3VPN vrf-table-label user@SRX1# set L3VPN routing-options auto-export user@SRX1# set VPLS instance-type vpls user@SRX1# set VPLS interface ge-0/0/2.11 user@SRX1# set VPLS route-distinguisher 10.255.255.1:1001 user@SRX1# set VPLS vrf-target target:65100:1001 user@SRX1# set VPLS protocols vpls no-tunnel-services user@SRX1# set VPLS protocols vpls site 1 site-identifier 1 user@SRX1# set VPLS protocols vpls site 1 interface ge-0/0/2.11 user@SRX1# set VPLS protocols vpls mac-tlv-receive user@SRX1# set VPLS protocols vpls mac-tlv-send
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@SRX1> show configuration
security {
ike {
policy standard {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"; ## SECRET-DATA
}
gateway srx-2 {
ike-policy standard;
address 172.16.23.1;
external-interface ge-0/0/1.0;
}
}
ipsec {
policy standard {
proposal-set standard;
}
vpn ipsec-vpn-1 {
bind-interface st0.0;
df-bit clear;
ike {
gateway srx-2;
ipsec-policy standard;
}
establish-tunnels immediately;
}
}
policies {
from-zone Internet to-zone Internet {
policy Internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Internet {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
gr-0/0/0.0;
lo0.0;
st0.0;
}
}
}
}
interfaces {
ge-0/0/0 {
vlan-tagging;
mtu 4000;
unit 10 {
description L3VPN;
vlan-id 10;
family inet {
filter {
input packet-mode-inet;
}
address 192.168.0.1/24;
}
}
}
gr-0/0/0 {
unit 0 {
description "MPLS core facing interface";
tunnel {
source 172.16.0.1;
destination 172.16.0.2;
}
family inet {
mtu 9000;
address 172.16.255.1/30;
}
family mpls {
mtu 9000;
filter {
input packet-mode;
}
}
}
}
ge-0/0/1 {
description Internet;
mtu 1514;
unit 0 {
family inet {
address 172.16.13.1/30;
}
}
}
ge-0/0/2 {
flexible-vlan-tagging;
mtu 1522;
encapsulation vlan-vpls;
unit 11 {
description VPLS;
encapsulation vlan-vpls;
vlan-id 512;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.255.1/32;
}
}
}
st0 {
unit 0 {
family inet {
mtu 9178;
address 172.16.0.1/30;
}
}
}
}
firewall {
family inet {
filter packet-mode-inet {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
family mpls {
filter packet-mode {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
}
routing-instances {
L3VPN {
routing-options {
auto-export;
}
interface ge-0/0/0.10;
instance-type vrf;
route-distinguisher 10.255.255.1:1000;
vrf-target {
target:65100:1000;
import target:65100:1000;
export target:65100:1000;
}
vrf-table-label;
}
VPLS {
protocols {
vpls {
site 1 {
interface ge-0/0/2.11;
site-identifier 1;
}
no-tunnel-services;
mac-tlv-receive;
mac-tlv-send;
}
}
interface ge-0/0/2.11;
instance-type vpls;
route-distinguisher 10.255.255.1:1001;
vrf-target target:65100:1001;
}
}
protocols {
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface gr-0/0/0.0;
}
}
bgp {
group IBGP {
type internal;
local-address 10.255.255.1;
local-as 65100;
neighbor 10.255.255.2 {
family inet {
any;
}
family inet-vpn {
any;
}
family l2vpn {
signaling;
}
}
}
tcp-mss 1200;
}
ldp {
interface gr-0/0/0.0;
interface lo0.0;
}
mpls {
interface gr-0/0/0.0;
}
}
routing-options {
static {
route 172.16.23.0/30 next-hop 172.16.13.2;
}
router-id 10.255.255.1;
}
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob die physischen und logischen Schnittstellen aktiv sind
- Überprüfen von IPsec-Sicherheitszuordnungen
- Verifizieren von OSPF und BGP
- Überprüfen des LDP-Betriebs
- Verifizieren der VPLS-Verbindung
- Überprüfen der End-to-End-VPLS-Konnektivität für große Pakete mit festgelegtem DNF
- Überprüfen der IP-Fragmentierung auf der ausgehenden Schnittstelle
- Verifizieren des L3VPN
Überprüfen, ob die physischen und logischen Schnittstellen aktiv sind
Zweck
Stellen Sie sicher, dass die physischen und logischen Schnittstellen auf dem Gerät aktiv sind.
Aktion
Geben Sie im Betriebsmodus des Services Gateways der SRX-Serie den show interfaces terse Befehl ein.
user@SRX1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.10 up up inet 192.168.0.1/24
ge-0/0/0.32767 up up
gr-0/0/0 up up
gr-0/0/0.0 up up inet 172.16.255.1/30
mpls
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.13.1/30
ge-0/0/2 up up
ge-0/0/2.11 up up vpls
ge-0/0/2.32767 up up
dsc up up
fti0 up up
fxp0 up up
fxp0.0 up up inet 10.54.5.56/19
gre up up
ipip up up
irb up up
lo0 up up
lo0.0 up up inet 10.255.255.1 --> 0/0
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 10.0.0.1 --> 0/0
10.0.0.16 --> 0/0
128.0.0.1 --> 0/0
128.0.0.4 --> 0/0
128.0.1.16 --> 0/0
lo0.32768 up up
lsi up up
lsi.0 up up inet
iso
inet6
lsi.1048576 up up vpls
. . .
<some output removed for brevity>
Bedeutung
Die Ausgabe des Befehls zeigt, dass alle physischen und logischen Schnittstellen, die show interfaces terse in dieser Konfiguration verwendet werden, betriebsbereit sind.
Überprüfen von IPsec-Sicherheitszuordnungen
Zweck
Stellen Sie sicher, dass die IKE- und IPsec-Sicherheitszuordnungen auf dem Gerät aktiv sind.
Aktion
Geben Sie im Betriebsmodus des Services Gateways der SRX-Serie die show security ike security-association Befehle und show security ipsec security-association ein.
user@SRX1>show security ike security-associationsIndex State Initiator cookie Responder cookie Mode Remote Address 6699112 UP 2a5d1a37e5bd0cd1 09880f53cdbb35bb Main 172.16.23.1 user@SRX1>show security ipsec security-associationsTotal active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 f1396d7e 1868/ unlim - root 500 172.16.23.1 >131073 ESP:3des/sha1 ff799c04 1868/ unlim - root 500 172.16.23.1
Bedeutung
Die Ausgabe zeigt den erwarteten Up-Status für die IKE-Sitzung und dass ein IPsec-Tunnel erfolgreich eingerichtet wurde.
Verifizieren von OSPF und BGP
Zweck
Stellen Sie sicher, dass OSPF und BGP über den GRE-Tunnel ordnungsgemäß funktionieren. Denken Sie daran, dass der GRE-Tunnel wiederum über den IPsec-Tunnel geroutet wird, der im vorherigen Schritt überprüft wurde. Der ordnungsgemäße OSPF/BGP-Betrieb in diesem Beispiel überprüft indirekt, ob der Datenverkehr den GRE-Tunnel (und dann den IPsec-Tunnel) passieren kann. Falls gewünscht, können Sie den GRE-Endpunkt für eine zusätzliche Überprüfung anpingen.
Aktion
Geben Sie im Betriebsmodus des Services Gateways der SRX-Serie die show ospf neighbor Befehle und show bgp summary ein.
user@SRX1>show ospf neighborAddress Interface State ID Pri Dead 172.16.255.2 gr-0/0/0.0 Full 10.255.255.2 128 33 user@SRX1>show bgp summaryThreading mode: BGP I/O Default eBGP mode: advertise - accept, receive - accept Groups: 1 Peers: 1 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 0 0 0 0 0 0 inet.2 0 0 0 0 0 0 bgp.l3vpn.0 1 1 0 0 0 0 bgp.l3vpn.2 0 0 0 0 0 0 bgp.l2vpn.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.255.255.2 65100 988 988 0 1 7:21:03 Establ inet.0: 0/0/0/0 inet.2: 0/0/0/0 bgp.l3vpn.0: 1/1/1/0 bgp.l3vpn.2: 0/0/0/0 bgp.l2vpn.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 VPLS.l2vpn.0: 1/1/1/0
Bedeutung
Die Ausgabe bestätigt den erwarteten OSPF-Nachbarstatus von full. Dieser OSPF-Nachbar wird über die GRE-Schnittstelle verwaltet. Da OSPF betriebsbereit ist, erwarten Sie, dass der lokale SRX die Route zur Loopback-Adresse des Remote-SRX gelernt hat. Diese Route ermöglicht den Aufbau der Loopback-basierten IBGP-Peering-Sitzung (über den GRE-Tunnel). Die Ausgabe des show bgp summary Befehls bestätigt, dass sich die BGP-Sitzung im eingerichteten Zustand befindet und sowohl L3VPN- als auch L2VPN-Routen austauscht.
Überprüfen des LDP-Betriebs
Zweck
Stellen Sie sicher, dass LDP über den GRE-Tunnel ordnungsgemäß funktioniert. LDP fungiert in diesem Beispiel als MPLS-Signalprotokoll.
Aktion
Geben Sie im Betriebsmodus des Services Gateways der SRX-Serie die show ldp neighbor Befehle und show ldp session ein.
user@SRX1>show ldp neighborAddress Interface Label space ID Hold time 172.16.255.2 gr-0/0/0.0 10.255.255.2:0 12 user@SRX1>show ldp sessionAddress State Connection Hold time Adv. Mode 10.255.255.2 Operational Open 28 DU
Bedeutung
Die Ausgabe bestätigt die erwartete LDP-Nachbarbeziehung über die GRE-Schnittstelle. Die Ausgabe des Befehls bestätigt den show ldp session erfolgreichen Sitzungsaufbau an die Loopback-Adresse des Remote-SRX-Geräts. Auf diese Weise kann LDP Transportlabels austauschen, die wiederum die MPLS-Weiterleitung für die VPN-Clients unterstützen.
Verifizieren der VPLS-Verbindung
Zweck
Stellen Sie sicher, dass die VPLS-Verbindung in Betrieb ist.
Aktion
Geben Sie im Betriebsmodus des Services Gateways der SRX-Serie den show vpls connections Befehl ein.
user@SRX1> show vpls connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: VPLS
Edge protection: Not-Primary
Local site: 1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Aug 25 07:52:38 2021 1
Remote PE: 10.255.255.2, Negotiated control-word: No
Incoming label: 262146, Outgoing label: 262145
Local interface: lsi.1048578, Status: Up, Encapsulation: VPLS
Description: Intf - vpls VPLS local site 1 remote site 2
Flow Label Transmit: No, Flow Label Receive: No
Bedeutung
Die Ausgabe zeigt den erwarteten Up Status für die VPLS-Verbindung an. Wenn die Verbindung betriebsbereit ist, sollten die VPN-Client-Geräte in der Lage sein, Datenverkehr weiterzuleiten.
Überprüfen der End-to-End-VPLS-Konnektivität für große Pakete mit festgelegtem DNF
Zweck
Stellen Sie sicher, dass die Layer-2-VPLS-Client-Geräte in der Lage sind, 1500-Byte-Frames mit gesetztem DNF-Bit zu senden. Da es sich um einen Layer-2-Service handelt, ist eine Fragmentierung nicht möglich. Infolgedessen arbeitet das DNF-Bit Ende-zu-Ende. Denken Sie daran, dass eine solche Einstellung bei der Konfiguration in diesem Beispiel dazu führt, dass das Eingangs-SRX-Gerät das IPsec-Paket fragmentiert, nachdem der Datenverkehr verschlüsselt wurde (Post-Fragmentierung). Die Postfragmentierung erfolgt, wenn der Datenverkehr die WAN-zugewandte ge-0/0/1-Schnittstelle verlässt.
Die Nachfragmentierung zwingt das Remote-SRX-Gerät, das Paket erneut zusammenzusetzen, bevor es eine Entschlüsselung durchführen kann, was sich auf die Weiterleitungsleistung für verschlüsselten Datenverkehr auswirken kann. Dies ist das erwartete Verhalten, wenn die df-bit clear Option verwendet wird. Die Demonstration dieses Verhaltens ist der Grund für diese NCE. Die anderen df-bit Optionen, nämlich df-bit copy und , führen zur Paketverwerfung und df-bit setGenerierung einer ICMP-Fehlermeldung für VPN-Pakete, die die WAN-MTU überschreiten, wenn das DNF-Bit vom VPN-Client gesetzt wird.
Aktion
Pingen Sie VPLS Host2 aus dem Betriebsmodus auf VPLS Host1 so an, dass ein 1500-Byte-IP-Paket mit gesetztem DNF-Bit generiert wird. Wenn diesem Datenverkehr MPLS-, GRE- und IPsec-Overhead hinzugefügt werden, überschreitet er die MTU der ausgehenden WAN-Schnittstelle. Da die Vorfragmentierung dadurch blockiert wird, dass es sich um einen Layer-2-Dienst handelt (oder im Fall des L3VPN-Clients durch das Setzen des DNF-Bits), erzwingt ein solches Paket die Nachfragmentierung basierend auf der Einstellung der df-bit clear Option
Die Konfiguration und der Betrieb der VPN-Clientgeräte liegen außerhalb des Rahmens dieses Beispiels. Zu Testzwecken wird ein MX-Router als VPN-Client verwendet. Daher basiert der demonstrierte Ping-Befehl auf der Junos CLI.
user@vpls-host1> ping 192.168.2.102 size 1472 do-not-fragment count 2
PING 192.168.2.102 (192.168.2.102): 1472 data bytes
1480 bytes from 192.168.2.102: icmp_seq=0 ttl=64 time=23.045 ms
1480 bytes from 192.168.2.102: icmp_seq=1 ttl=64 time=5.342 ms
--- 192.168.2.102 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.342/14.194/23.045/8.852 ms
Bedeutung
Die Ausgabe zeigt, dass die Pings erfolgreich waren. Die 1480 Byte Echo-Datenverkehr führen zu einem 1500-Byte-IP-Paket, wenn der 20-Byte-IP-Header hinzugefügt wird. Somit bestätigen die Ergebnisse, dass das VPLS-Client-Gerät trotz des Kapselungs-Overheads 1.500-Byte-Pakete über eine WAN-Verbindung mit einer 1.500-Byte-MTU austauschen kann. Denken Sie daran, dass eine Fragmentierung nicht möglich ist, da es sich um einen Layer-2-Service handelt, und das DNF-Bit Ende-zu-Ende arbeitet. Die Verwendung des DNF-Bits ist beim Testen des L3VPN-Clients jedoch von Bedeutung, da das PE-Gerät in der Lage ist, den IP-Datenverkehr zu fragmentieren.
Überprüfen der IP-Fragmentierung auf der ausgehenden Schnittstelle
Zweck
Stellen Sie sicher, dass der VPLS-Client-Datenverkehr, der die WAN-MTU überschreitet, auf der ausgehenden ge-0/0/1.0-Schnittstelle fragmentiert ist. Das Timing ist in diesem Schritt wichtig, da der OSPF-, LDP- und BGP-Datenverkehr im Hintergrund dazu führt, dass die ge-0/0/0.0-Schnittstellenzähler inkrementiert werden. Ziel ist es, 100 1.500-Byte-Pakete vom VPLS-Host zu generieren und dann schnell die IPsec- und Schnittstellenstatistiken zu vergleichen, um zu bestätigen, dass auf der ausgehenden WAN-Schnittstelle etwa doppelt so viele Pakete zu sehen sind wie die Anzahl im IPsec-Tunnel.
Aktion
Löschen Sie im Betriebsmodus des Services Gateways der SRX-Serie sowohl die IPsec- als auch die Schnittstellenstatistik mit den clear interfaces statistics all Befehlen und clear security ipsec statistics . Generieren Sie dann 100 schnelle Pings mit einer Paketgröße von 1.500 Byte zwischen den VPLS-Endpunkten. Wenn die Pings abgeschlossen sind, zeigen Sie die Paketanzahl für den IPsec-Tunnel und die ge-0/0/1-Schnittstelle mit den show interfaces ge-0/0/1 detail Befehlen und show security ipsec statistics an.
user@SRX1>clear interfaces statistics alluser@SRX1>clear interfaces statistics all
Generieren Sie 100 schnelle Pings mit einer Paketgröße von 1.500 Byte zwischen den VPLS-Endpunkten. Dies wird nicht der Kürze halber angezeigt. Beziehen Sie sich auf den Befehl im vorherigen Schritt. Der Kürze halber hier nicht gezeigt.
user@SRX1>show interfaces ge-0/0/1 detailPhysical interface: ge-0/0/1, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 509, Generation: 139 Description: Internet Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Link-mode: Full-duplex, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 56:04:19:00:3a:7b, Hardware address: 56:04:19:00:3a:7b Last flapped : 2021-08-27 12:17:01 PDT (01:27:43 ago) Statistics last cleared: 2021-08-27 13:44:28 PDT (00:00:16 ago) Traffic statistics: Input bytes : 163440 0 bps Output bytes : 162000 0 bps Input packets: 210 0 pps Output packets: 200 0 pps Egress queues: 8 supported, 4 in use . . . user@SRX1>show security ipsec statisticsESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 155722 Encrypted packets: 113 Decrypted packets: 112 . . .
Bedeutung
Die Ausgabe des show interfaces ge-0/0/1.0 detail Befehls zeigt, dass über 200 Pakete gesendet und empfangen wurden. Im Gegensatz dazu bestätigen die IPsec-Statistiken eine Zählung von rund 100 Paketen. Dies bestätigt, dass jedes vom VPLS-Client gesendete Paket auf der WAN-seitigen ge-0/0/1.0-Schnittstelle fragmentiert war.
Verifizieren des L3VPN
Zweck
Überprüfen Sie den L3VPN-Betrieb.
Aktion
Zeigen Sie im Betriebsmodus auf dem Services Gateway der SRX-Serie mit dem show route Befehl die Route zum Remote-L3VPN-Subnetz an. Generieren Sie dann Pings an den Remote-L3VPN-Endpunkt, um die Konnektivität zu überprüfen.
user@SRX1> show route 192.168.1.0/24
L3VPN.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.1.0/24 *[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.255.255.2:1000:192.168.1.0/24
*[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
Testen Sie die Konnektivität von der lokalen SRX zum Remote-VPN-Endpunkt:
user@SRX1> ping 192.168.1.101 routing-instance L3VPN count 2
PING 192.168.1.101 (192.168.1.101): 56 data bytes
64 bytes from 192.168.1.101: icmp_seq=0 ttl=63 time=3.485 ms
64 bytes from 192.168.1.101: icmp_seq=1 ttl=63 time=3.412 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.412/3.449/3.485/0.036 ms
In dieser Konfiguration gelingt ein Ping von der lokalen SRX zum lokalen L3VPN-Client nicht. Dies hängt mit der Verwendung des Paketmodus und dem Fehlen von Sicherheitszonen für die VPN-Schnittstellen zusammen. Wie oben gezeigt, können Sie von der lokalen SRX zu den entfernten L3VPN-Zielen pingen. Obwohl nicht angezeigt, wird erwartet, dass ein Ping, der vom lokalen L3VPN-Client an die lokale PE-VRF-Schnittstelle generiert wird, erfolgreich ist.
Testen Sie die End-to-End-Konnektivität für das L3VPN. Generieren Sie Jumbo-Pings zwischen L3VPN-Client-Endpunkten. Denken Sie daran, dass der L3VPN-Client in diesem Beispiel mit einer 4k-MTU konfiguriert ist. Auch hier verwenden wir einen MX-Router, um den L3VPN-Client auszufüllen, daher wird die Junos-Ping-Syntax verwendet:
user@l3vpn1> ping 192.168.1.101 size 3000 do-not-fragment count 2
PING 192.168.1.101 (192.168.1.101): 3000 data bytes
3008 bytes from 192.168.1.101: icmp_seq=0 ttl=62 time=5.354 ms
3008 bytes from 192.168.1.101: icmp_seq=1 ttl=62 time=5.607 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.354/5.481/5.607/0.126 ms
Bedeutung
Die Ausgabe zeigt, dass die Route zum Remote-L3VPN-Client korrekt über BGP gelernt wurde und dass sie mit einem MPLS-Label-Vorgang auf die GRE-Schnittstelle verweist. Die Ergebnisse des Ping-Tests bestätigen die erwartete Konnektivität für das L3VPN, selbst wenn 3.000 + Byte Pings mit gesetztem DNF-Bit gesendet werden.