Exemple : configuration de VPN de couche 2 basés sur le MPLS
Cet exemple montre comment configurer et valider un VPN de couche 2 basé sur le MPLS sur des routeurs ou des commutateurs exécutant Junos OS.
Notre équipe de test de contenu a validé et mis à jour cet exemple.
Vous pouvez déployer un réseau privé virtuel de couche 2 basé sur MPLS à l’aide de routeurs et de commutateurs exécutant Junos OS pour interconnecter les sites des clients avec une connectivité de couche 2. Les VPN de couche 2 donnent aux clients un contrôle total sur leur choix de protocoles de transport et de routage.
Les VPN basés sur le MPLS nécessitent une fonctionnalité MPLS de base dans le réseau du fournisseur. Une fois que le MPLS de base est opérationnel, vous pouvez configurer des VPN qui utilisent des chemins à commutation d’étiquettes (LSP) pour le transport sur le cœur du fournisseur.
L’ajout de services VPN n’affecte pas les opérations de commutation MPLS de base dans le réseau du fournisseur. En fait, les équipements du fournisseur (P) ne nécessitent qu’une configuration MPLS de base, car ils ne sont pas compatibles VPN. L’état VPN est conservé uniquement sur les équipements PE. C’est l’une des principales raisons pour lesquelles les VPN basés sur le MPLS sont si évolutifs.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 15.1 ou ultérieure
Revalidé sur Junos OS version 20.1R1
Deux appareils Provider Edge (PE)
Un appareil du fournisseur (P)
Deux appareils de périphérie client (CE)
L’exemple montre comment ajouter un VPN de couche 2 à une base de référence MPLS préexistante. Une configuration MPLS de base est fournie au cas où le MPLS n’est pas déjà déployé sur votre réseau.
Pour prendre en charge les VPN basés sur le MPLS, la base de référence MPLS sous-jacente doit fournir les fonctionnalités suivantes :
Interfaces centrales et de bouclage opérationnelles avec prise en charge de la famille MPLS
Un protocole de passerelle intérieure tel qu’OSPF ou IS-IS pour assurer l’accessibilité entre les adresses de bouclage des périphériques du fournisseur (P et PE)
Un protocole de signalisation MPLS tel que LDP ou RSVP pour signaler les LSP
LSP établis entre les adresses de bouclage des équipements PE
Des LSP sont nécessaires entre chaque paire d’appareils PE qui participent à un VPN donné. C’est une bonne idée de construire des LSP entre tous les appareils PE pour s’adapter à la croissance future des VPN. Vous configurez les LSP au niveau de la [edit protocols mpls] hiérarchie. Contrairement à une configuration MPLS pour la connexion croisée de circuit (CCC), vous n’avez pas besoin d’associer manuellement le LSP à l’interface orientée client (périphérie) de l’équipement PE. Au lieu de cela, les VPN de couche 2 utilisent la signalisation BGP pour transmettre l’accessibilité du site de couche 2. Cette signalisation BGP automatise le mappage des sites VPN de couche 2 distants vers le transfert LSP vers les sauts suivants. Cela signifie qu’avec un VPN de couche 2, il n’est pas nécessaire de mapper explicitement un LSP à l’interface périphérique d’un équipement PE.
Pour plus de détails sur CCC, reportez-vous à Configuration d’un VLAN basé sur MPLS CCC à l’aide d’un circuit de couche 2.
Vue d’ensemble et topologie
Un VPN de couche 2 sépare complètement les réseaux du fournisseur et du client. Les avantages d’un VPN de couche 2 incluent la prise en charge de protocoles de transport non standard et l’isolation du fonctionnement des protocoles d’adressage et de routage entre les réseaux du client et du fournisseur.
La définition d’un VPN implique uniquement des modifications des équipements PE locaux et distants. Aucune configuration supplémentaire n’est nécessaire sur les appareils du fournisseur (à l’exception de la prise en charge de base du MPLS), car ces équipements ne fournissent que des fonctions de commutation MPLS de base. Les équipements CE n’utilisent pas le protocole MPLS. Ils ne nécessitent qu’une interface de base et, si vous le souhaitez, une configuration de protocole, pour fonctionner sur le VPN de couche 2. Pour un VPN de couche 2, configurez les périphériques CE comme s’ils étaient connectés à un lien partagé.
Une fois qu’une base de référence MPLS est en place, vous devez configurer les fonctionnalités suivantes sur les équipements PE pour établir un VPN de couche 2 basé sur le MPLS :
Un groupe BGP avec
family l2vpn signalingUne instance de routage avec un type d’instance
l2vpnLes interfaces côté client sur les équipements PE doivent être configurées comme suit :
Spécifiez
ethernet-cccl’encapsulation devlan-cccla couche physique selon que le balisage VLAN est utilisé ou non.Configurez un type d’encapsulation correspondant dans la configuration de l’instance de routage.
Configurez l’interface logique (unité) utilisée pour le VPN de couche 2 avec
family ccc.
La figure 1 présente la topologie de cet exemple de VPN de couche 2 basé sur le MPLS. La figure détaille les noms d’interface, l’adressage IP et les protocoles utilisés dans le réseau du fournisseur. Elle met également en évidence la nature de bout en bout du fonctionnement de l’adressage des appareils CE et de la pile de protocoles. Contrairement à un VPN de couche 3, le fonctionnement des appareils CE est opaque pour le réseau du fournisseur dans un VPN de couche 2. Il n’existe aucune relation d’appairage entre les appareils CE et le réseau du fournisseur. En conséquence, vous vous attendez à ce que les dispositifs CE forment une contiguïté OSPF sur le réseau du fournisseur et non avec lui.
basé sur le MPLS
Configurations rapides
Utilisez les configurations de cette section pour mettre rapidement en marche votre VPN de couche 2 basé sur le MPLS. Les configurations incluent une base de référence MPLS fonctionnelle pour prendre en charge votre VPN de couche 2. Cet exemple se concentre sur les aspects VPN de la configuration. Pour plus d’informations sur la fonctionnalité MPLS de base utilisée dans cet exemple, reportez-vous aux liens suivants :
Configuration rapide de la CLI
Les configurations des appareils omettent l’interface de gestion, les routes statiques, la journalisation du système, les services système et les informations de connexion des utilisateurs. Ces éléments de la configuration varient selon l’emplacement et ne sont pas directement liés à la fonctionnalité MPLS ou VPN.
Modifiez les commandes suivantes en fonction des spécificités de votre environnement et collez-les dans la fenêtre du terminal de périphérique CE (CE1) local :
La configuration complète de l’appareil CE1.
set system host-name ce1 set interfaces ge-0/0/0 description "Link from CE1 to PE1" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
Modifiez les commandes suivantes en fonction des spécificités de votre environnement et collez-les dans la fenêtre du terminal du périphérique PE local (PE1) :
La configuration complète de l’appareil PE1.
set system host-name pe1 set interfaces ge-0/0/0 description "Link from PE1 to CE1" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE1 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE1 AND CE1" set routing-instances l2vpn1 protocols l2vpn site CE-1 interface ge-0/0/0.0 remote-site-id 2 set routing-instances l2vpn1 protocols l2vpn site CE-1 site-identifier 1 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.1:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
La configuration complète de l’appareil P.
set system host-name p set interfaces ge-0/0/0 description "Link from P-router to PE1" set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 unit 0 family inet address 10.1.23.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description "Link from P-router to PE2" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0
La configuration complète de l’appareil PE2.
set system host-name pe2 set interfaces ge-0/0/0 description "Link from PE2 to CE2" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE2 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE2 AND CE2" set routing-instances l2vpn1 protocols l2vpn site CE-2 interface ge-0/0/0.0 remote-site-id 1 set routing-instances l2vpn1 protocols l2vpn site CE-2 site-identifier 2 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.3:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
La configuration complète de l’appareil CE2.
set system host-name ce2 set interfaces ge-0/0/0 description "Link from CE2 to PE2" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.2/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
Assurez-vous de valider les modifications de configuration sur tous les appareils lorsque vous êtes satisfait de votre travail. Félicitations pour votre nouveau VPN de couche 2 basé sur le MPLS ! Reportez-vous à la section Vérification pour connaître les étapes nécessaires pour confirmer que votre VPN fonctionne comme prévu.
Configurer le périphérique PE local (PE1) pour un VPN de couche 2 basé sur le MPLS
Cette section couvre les étapes nécessaires pour configurer le périphérique PE1 pour cet exemple. Reportez-vous à la section Exemple : Configurer des VPN de couche 2 basés sur MPLS pour les configurations de périphérique CE et de périphérique P utilisées dans cet exemple.
Configurer la base de référence MPLS (si nécessaire)
Avant de configurer le VPN de couche 2, assurez-vous que l’équipement PE dispose d’une base de référence MPLS fonctionnelle. Si vous disposez déjà d’une base de référence MPLS, vous pouvez passer à la procédure étape par étape pour ajouter le VPN de couche 2 au périphérique PE local.
-
Configurez le nom d’hôte.
[edit] user@pe1# set system host-name pe1
-
Configurez les interfaces.
[edit] user@pe1# set interfaces ge-0/0/1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
MISE EN GARDE :Les VPN de couche 2 ne prennent pas en charge la fragmentation dans le réseau du fournisseur. Il est essentiel que le réseau du fournisseur prenne en charge la plus grande trame que les équipements CE peuvent générer une fois que les étiquettes MPLS et VRF (Virtual Routing and Forwarding) ont été ajoutées par les équipements PE. Cet exemple laisse les périphériques CE à l’unité de transmission maximale (MTU) par défaut de 1500 octets, tout en configurant le cœur du fournisseur pour prendre en charge une MTU de 4 000 octets. Cette configuration évite les rejets en garantissant que les équipements CE ne peuvent pas dépasser la MTU du réseau du fournisseur.
-
Configurez les protocoles.
Remarque :L’ingénierie de trafic est prise en charge pour les LSP signalés par RSVP, mais n’est pas nécessaire pour la commutation MPLS de base ou le déploiement de VPN. La base de référence MPLS fournie utilise RSVP pour signaler les LSP et active l’ingénierie de trafic pour OSPF. Cependant, aucune contrainte de chemin n’est configurée, vous vous attendez donc à ce que les LSP soient acheminés sur le chemin le plus court du protocole de passerelle intérieure.
[edit ]user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe1# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface ge-0/0/1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface ge-0/0/1.0
-
Définissez le LSP à l’adresse de bouclage de l’équipement PE distant.
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
Procédure
Procédure étape par étape
Suivez ces étapes pour configurer l’appareil PE1 pour un VPN de couche 2.
Configurez l’interface en périphérie. Spécifiez le type d’encapsulation physique with
family cccsur l’unitéethernet-ccc0. Il s’agit du seul numéro d’unité valide pour une interface Ethernet non balisée. Si vous utilisez le balisage VLAN, spécifiezvlan-cccl’encapsulation et ajoutez la famille CCC à la ou aux unités souhaitées.Conseil :Vous pouvez configurer un VPN de couche 2 basé sur MPLS et un VPN de couche 3 basé sur MPLS sur le même équipement PE. Cependant, vous ne pouvez pas configurer la même interface de périphérie client pour prendre en charge à la fois un VPN de couche 2 et un VPN de couche 3.
[edit]user@pe1# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe1# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE1 to CE1"
Remarque :Un VPN de couche 2 nécessite que les interfaces périphériques de l’équipement PE soient configurées avec une encapsulation CCC au niveau de l’équipement physique et que la famille CCC soit configurée au niveau de l’unité. Les équipements des fournisseurs sont configurés de la même manière, que vous déployiez CCC, un VPN de couche 2 basé sur MPLS ou un VPN de couche 3 basé sur MPLS. En effet, ils ne disposent pas d’interfaces en périphérie ni de connaissances VPN.
Configurez un groupe BGP pour l’appairage entre les appareils PE locaux et distants. Utilisez l’adresse de bouclage de l’équipement PE comme adresse locale et activez
family l2vpn signaling.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 family l2vpn signaling
Configurez le type de groupe BGP comme interne.
[edit protocols bgp] user@pe1# set group ibgp type internal
Configurez l’adresse de bouclage de l’équipement PE distant en tant que voisin BGP.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
Configurez le numéro du système autonome BGP.
[edit routing-options] user@pe1# set autonomous-system 65412
Configurez l’instance de routage. Commencez par spécifier le nom l2vpn1de l’instance , avec un
instance-typedel2vpn.[edit routing-instances] user@pe1# set l2vpn1 instance-type l2vpn
Configurez l’interface client de l’équipement PE pour qu’elle appartienne à l’instance de routage.
[edit routing-instances] user@pe1# set l2vpn1 interface ge-0/0/0
Configurez le distinguateur de route de l’instance de routage. Ce paramètre est utilisé pour distinguer les routes envoyées à partir d’un VRF particulier sur un équipement PE particulier. Il doit être unique pour chaque instance de routage sur chaque équipement PE.
[edit routing-instances] user@pe1# set l2vpn1 route-distinguisher 192.168.0.1:12
Configurez la cible de routage de la table VRF (virtual routing and forwarding) de l’instance. L’instruction
vrf-targetajoute la balise communautaire spécifiée à toutes les routes annoncées tout en faisant automatiquement correspondre la même valeur pour l’importation de route. La configuration de cibles de route correspondantes sur les équipements PE qui partagent un VPN donné est nécessaire pour un échange de route correct.[edit routing-instances] user@pe1# set l2vpn1 vrf-target target:65412:12
Remarque :Vous pouvez créer des stratégies plus complexes en configurant explicitement les stratégies d’importation et d’exportation VRF à l’aide des options d’importation et d’exportation. Voir vrf-import et vrf-export pour plus de détails.
Configurez le
l2vpnprotocole dans l’instance et spécifiez l’encapsulation utilisée sur la liaison orientée vers la périphérie. Si l’interface de périphérie est balisée par VLAN, veillez à spécifierethernet-vlan.[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn encapsulation-type ethernet
Ajoutez l’interface en périphérie sous la strophe
l2vpnde l’instance avec une description.[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE1 and CE1"
Configurez les informations du site VPN de couche 2 et associez l’interface périphérique au site client local.
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-1 site-identifier 1 interface ge-0/0/0.0 remote-site-id 2
Remarque :Dans cet exemple, l’ID de site de l’appareil PE1 est 1 et l’ID de site de l’appareil PE2 est 2. Pour l’équipement PE local (PE1), le site distant est correctement configuré avec une
remote-site-idvaleur de 2.Validez vos modifications sur l’équipement PE1 et revenez en mode opérationnel CLI.
[edit] user@pe1# commit and-quit
Résultats
Affichez les résultats de la configuration sur le périphérique PE1. La sortie reflète uniquement la configuration fonctionnelle ajoutée dans cet exemple.
user@pe1> show configuration
interfaces {
ge-0/0/0 {
description "Link from PE1 to CE1";
encapsulation ethernet-ccc;
unit 0 {
family ccc;
}
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
l2vpn1 {
protocols {
l2vpn {
interface ge-0/0/0.0 {
description "L2vpn Link Between PE1 and CE1" ;
}
site CE-1 {
interface ge-0/0/0.0 {
remote-site-id 2;
}
site-identifier 1;
}
encapsulation-type ethernet;
}
}
instance-type l2vpn;
interface ge-0/0/0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family l2vpn {
signaling;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
}
Configurer le périphérique PE2 distant (PE2) pour un VPN de couche 2 basé sur le MPLS
Cette section décrit les étapes nécessaires à la configuration de l’appareil PE2 pour cet exemple. Reportez-vous à la section Exemple : Configurer des VPN de couche 2 basés sur MPLS pour les configurations de périphérique CE et de périphérique P utilisées dans cet exemple.
Configurer la base de référence MPLS (si nécessaire)
Avant de configurer le VPN de couche 2, assurez-vous que l’équipement PE dispose d’une base de référence MPLS fonctionnelle. Si vous disposez déjà d’une base de référence MPLS, vous pouvez passer à la procédure étape par étape pour ajouter le VPN de couche 2 au périphérique PE local.
-
Configurez le nom d’hôte.
[edit] user@pe2# set system host-name pe2
-
Configurez les interfaces.
[edit] user@pe2# set interfaces ge-0/0/1 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
MISE EN GARDE :Les VPN de couche 2 ne prennent pas en charge la fragmentation dans le réseau du fournisseur. Il est essentiel que le réseau du fournisseur prenne en charge la plus grande trame que les équipements CE peuvent générer une fois que les étiquettes MPLS et VRF (Virtual Routing and Forwarding) ont été ajoutées par les équipements PE. Cet exemple laisse les périphériques CE à l’unité de transmission maximale (MTU) par défaut de 1500 octets, tout en configurant le cœur du fournisseur pour prendre en charge une MTU de 4 000 octets. Cette configuration évite les rejets en garantissant que les équipements CE ne peuvent pas dépasser la MTU du réseau du fournisseur.
-
Configurez les protocoles.
Remarque :L’ingénierie de trafic est prise en charge pour les LSP signalés par RSVP, mais n’est pas nécessaire pour la commutation MPLS de base ou le déploiement de VPN. La base de référence MPLS fournie utilise RSVP pour signaler les LSP et active l’ingénierie de trafic pour OSPF. Cependant, aucune contrainte de chemin n’est configurée, vous vous attendez donc à ce que les LSP soient acheminés sur le chemin le plus court du protocole de passerelle intérieure.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe2# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface ge-0/0/1.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface ge-0/0/1.0
-
Définissez le LSP à l’adresse de bouclage de l’équipement PE distant.
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
Procédure
Procédure étape par étape
Suivez ces étapes pour configurer l’appareil PE2 pour un VPN de couche 2.
Configurez l’interface, l’encapsulation et la famille en périphérie. Rappelez-vous qu’il s’agit d’une interface non balisée, donc seule l’unité 0 est valide pour la
cccfamille.[edit]user@pe2# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe2# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE2 to CE2"
Configurez un groupe BGP. Spécifiez l’adresse de bouclage de l’équipement PE comme adresse locale et activez
family l2vpn signaling.[edit protocols bgp] user@pe2# set group ibgp local-address 192.168.0.3 family l2vpn signaling
Configurez le type de groupe BGP comme interne.
[edit protocols bgp] user@pe2# set group ibgp type internal
Configurez l’équipement PE1 en tant que voisin BGP. Veillez à spécifier l’adresse de bouclage de PE1 comme voisin BGP.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
Configurez le numéro du système autonome BGP.
[edit routing-options] user@pe2# set autonomous-system 65412
Configurez l’instance de routage. Commencez par spécifier le nom l2vpn1 de l’instance avec un
instance-typedel2vpn.[edit routing-instances] user@pe2# set l2vpn1 instance-type l2vpn
Configurez l’interface côté périphérie client de l’équipement PE pour qu’elle appartienne à l’instance de routage.
[edit routing-instances] user@pe2# set l2vpn1 interface ge-0/0/0
Configurez le distingueur de route de l’instance.
[edit routing-instances] user@pe2# set l2vpn1 route-distinguisher 192.168.0.3:12
Configurez la cible de routage de la table VRF (VPN virtual routing and forwarding) de l’instance. La cible affectée doit correspondre à celle configurée sur le périphérique PE1.
[edit routing-instances] user@pe2# set l2vpn1 vrf-target target:65412:12
Configurez l’instance pour le
l2vpnprotocole et spécifiez l’encapsulation utilisée sur la liaison orientée vers la périphérie.[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn encapsulation-type ethernet
Ajoutez l’interface périphérique de l’équipement PE sous la hiérarchie de
l2vpnl’instance avec une description .[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE2 and CE2"
Configurez les informations du site VPN de couche 2 de l'instance et répertoriez l'interface périphérique de l'équipement PE sous le site local. L’ID de site local configuré sur l’équipement PE2 doit correspondre à l’ID de site distant que vous avez configuré sur l’équipement PE1, et vice versa.
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-2 site-identifier 2 interface ge-0/0/0.0 remote-site-id 1
Remarque :Dans cet exemple, l’ID de site de l’équipement PE2 est 2 et l’ID de site de l’équipement PE1 est 1. Pour l’équipement PE2, le site distant est correctement configuré avec une
remote-site-idvaleur de 1.Validez vos modifications sur l’équipement PE2 et revenez en mode opérationnel CLI.
[edit] user@pe1# commit and-quit
Résultats
Affichez les résultats de la configuration sur l’appareil PE2.
user@pe2# show
interfaces {
ge-0/0/0 {
description "Link from PE2 to CE2";
encapsulation ethernet-ccc;
unit 0 {
family ccc;
}
}
ge-0/0/1 {
description "Link from PE2 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
l2vpn1 {
protocols {
l2vpn {
interface ge-0/0/0.0 {
description "L2vpn Link Between PE2 and CE2" ;
}
site CE-2 {
interface ge-0/0/0.0 {
remote-site-id 1;
}
site-identifier 2;
}
encapsulation-type ethernet;
}
}
instance-type l2vpn;
interface ge-0/0/0.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family l2vpn {
signaling;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
}
Vérification
Effectuez ces tâches pour vérifier que le VPN de couche 2 basé sur MPLS fonctionne correctement :
- Vérifier les contiguïtés OSPF des fournisseurs et l’échange de routes
- Vérifiez les paramètres d’interface MPLS et RSVP
- Vérifier les LSP signalés RSVP
- Vérification de l’état de la session BGP
- Vérifiez les routes VPN de couche 2 dans le tableau de routage
- Vérifier l’état de la connexion VPN de couche 2
- Envoyez un ping à l’équipement PE distant à l’aide d’une connexion VPN de couche 2
- Vérifiez le fonctionnement de bout en bout des équipements CE sur le VPN de couche 2
Vérifier les contiguïtés OSPF des fournisseurs et l’échange de routes
Objet
Vérifiez que le protocole OSPF fonctionne correctement dans le réseau du fournisseur en vérifiant l’état d’adjacence et les routes apprises par l’OSPF vers les adresses de bouclage des périphériques du fournisseur distant. Le bon fonctionnement des systèmes IGP est essentiel à la réussite de la mise en place de LSP MPLS.
Mesures à prendre
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 ge-0/0/1.0 Full 192.168.0.2 128 38
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w5d 20:48:59, metric 1 192.168.0.3/32 *[OSPF/10] 2w0d 00:08:30, metric 2
Signification
Le résultat indique que le dispositif PE1 a établi une contiguïté OSPF au dispositif P (192.168.0.2). Elle montre également que les adresses de bouclage P et du périphérique PE distant (192.168.0.2) et (192.168.0.3) sont apprises via OSPF au niveau du périphérique PE local.
Vérifiez les paramètres d’interface MPLS et RSVP
Objet
Vérifiez que les protocoles RSVP et MPLS sont configurés pour fonctionner sur les interfaces centrales de l’équipement PE. Cette étape permet également de vérifier qu’elle family mpls est correctement configurée au niveau de l’unité des interfaces centrales.
Mesures à prendre
user@pe1> show mpls interface Interface State Administrative groups (x: extended) ge-0/0/1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
ge-0/0/1.0 Up 1 100% 1000Mbps 1000Mbps 0bps 0bps
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
Signification
Le résultat indique que MPLS et RSVP sont correctement configurés sur les interfaces centrales et de bouclage de l’équipement PE local.
Vérifier les LSP signalés RSVP
Objet
Vérifiez que les sessions RSVP (entrantes et sortantes) sont correctement établies entre les équipements PE.
Mesures à prendre
user@pe1> show rsvp session To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 299888 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
Signification
Le résultat montre que les sessions RSVP entrantes et sortantes sont correctement établies entre les équipements PE. Une mise en place réussie d’un LSP indique que la base de référence MPLS est opérationnelle.
Vérification de l’état de la session BGP
Objet
Vérifiez que la session BGP entre les équipements PE est correctement établie grâce à la prise en charge des informations d’accessibilité de la couche réseau (NLRI) du VPN de couche 2.
Mesures à prendre
user@pe1> show bgp summary
Threading mode: BGP I/O
Groups: 1 Peers: 1 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l2vpn.0
1 1 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.0.3 65412 6 5 0 0 1:34 Establ
bgp.l2vpn.0: 1/1/1/0
l2vpn1.l2vpn.0: 1/1/1/0
Signification
La sortie indique que la session BGP vers le périphérique PE distant (192.168.0.3) a été correctement établie (Establ) et via le Up/Dwn champ, combien de temps la session est restée à l’état actuel (1:34). Il indique également le nombre de paquets BGP envoyés à (5) et reçus de (6) l’équipement PE distant. Le flaps champ confirme qu’aucune transition d’état ne s’est produite (0), ce qui indique que la session est stable. Notez également que le NLRI VPN de couche 2 est correctement échangé entre les appareils PE. Cette sortie confirme que l’appairage BGP entre les équipements PE est prêt à prendre en charge un VPN de couche 2.
Vérifiez les routes VPN de couche 2 dans le tableau de routage
Objet
Vérifiez que la table de routage de l’équipement PE1 est remplie avec les routes VPN de couche 2 utilisées pour transférer le trafic entre les appareils CE.
Mesures à prendre
user@pe1> show route table bgp.l2vpn.0
bgp.l2vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:2:1/96
*[BGP/170] 00:51:36, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
user@pe1> show route table l2vpn1.l2vpn.0
l2vpn1.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.1:12:1:1/96
*[L2VPN/170/-101] 01:48:30, metric2 1
Indirect
192.168.0.3:12:2:1/96
*[BGP/170] 00:51:57, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
Signification
La commande show route table bgp.l2vpn.0 affiche toutes les routes VPN de couche 2 qui ont été reçues sur l’équipement PE. La commande show route table l2vpn1.l2vpn.0 affiche les routes VPN de couche 2 qui ont été importées dans l’instance de routage à la l2vpn1 suite d’une cible de route correspondante. Le l2vpn1.l2vpn.0 tableau contient à la fois la route VPN de couche 2 de l’équipement PE local ainsi qu’une route distante apprise via l’appairage BGP vers l’équipement PE distant. Les deux tableaux montrent que la route VPN de couche 2 distante est correctement associée au lsp_to_pe2 LSP en tant que saut suivant de transfert. Les sorties confirment que l’équipement PE local a appris l’existence du site client distant à partir de l’équipement PE2. Il indique également qu’il peut transférer du trafic VPN de couche 2 vers l’équipement PE2 en utilisant le transport MPLS sur le réseau du fournisseur.
Vérifier l’état de la connexion VPN de couche 2
Objet
Vérifiez l’état de la connexion VPN de couche 2.
Mesures à prendre
user@pe1> show l2vpn connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: l2vpn1
Edge protection: Not-Primary
Local site: CE-1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Jul 28 10:47:18 2020 1
Remote PE: 192.168.0.3, Negotiated control-word: Yes (Null)
Incoming label: 800009, Outgoing label: 800006
Local interface: ge-0/0/0.0, Status: Up, Encapsulation: ETHERNET
Flow Label Transmit: No, Flow Label Receive: No
Signification
Le St champ de la sortie indique que la connexion VPN de couche 2 à Remote PE 192.168.0.3 at est Up.connection-site 2 La sortie confirme également le nom ge-0/0/0.0 de l’interface périphérique et l’état opérationnel de l’équipement PE comme up. Vous pouvez également vérifier que l’encapsulation Ethernet est configurée sur l’interface client de l’équipement PE. Il s’agit de l’encapsulation correcte pour les interfaces Ethernet non balisées utilisées dans cet exemple. Les étapes de vérification effectuées jusqu’à présent indiquent que le plan de contrôle du VPN de couche 2 est opérationnel. Vérifiez le plan de données du VPN de couche 2 dans les étapes suivantes.
Envoyez un ping à l’équipement PE distant à l’aide d’une connexion VPN de couche 2
Objet
Vérifiez la connectivité VPN de couche 2 entre les équipements PE locaux et distants. Deux formes de la ping mpls l2vpn commande sont affichées. Les deux testent le routage VPN de couche 2 et le transfert MPLS entre les équipements PE. La première commande suppose un seul site distant tandis que la seconde spécifie les identifiants des sites locaux et distants, ce qui est utile lors du test d’un VPN de couche 2 multisites. En effet, l’ID de site distant peut être utilisé pour cibler l’équipement PE distant souhaité.
La ping mpls l2vpn commande valide l’échange de routes VPN de couche 2 et le transfert MPLS entre les équipements PE. Pour ce faire, il génère du trafic à partir de l’instance de routage VPN de couche 2 du PE local vers l’adresse de bouclage 127.0.0.1 de l’équipement PE distant. Cette commande ne valide pas le fonctionnement des interfaces des appareils CE ni leur configuration. En effet, le fonctionnement de l’appareil CE est opaque pour le réseau du fournisseur dans un VPN de couche 2.
Mesures à prendre
user@pe1> ping mpls l2vpn interface ge-0/0/0.0 reply-mode ip-udp !!!!! --- lsping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss
user@pe1> ping mpls l2vpn instance l2vpn1 remote-site-id 2 local-site-id 1 detail
Request for seq 1, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 1, return code: Egress-ok, time: 593.784 ms
Local transmit time: 2020-07-13 16:15:55 UTC 241.357 ms
Remote receive time: 2020-07-13 16:15:55 UTC 835.141 ms
Request for seq 2, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 2, return code: Egress-ok, time: 591.700 ms
Local transmit time: 2020-07-13 16:15:56 UTC 241.405 ms
Remote receive time: 2020-07-13 16:15:56 UTC 833.105 ms
Request for seq 3, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 3, return code: Egress-ok, time: 626.084 ms
Local transmit time: 2020-07-13 16:15:57 UTC 241.407 ms
Remote receive time: 2020-07-13 16:15:57 UTC 867.491 ms
Request for seq 4, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 4, return code: Egress-ok, time: 593.061 ms
Local transmit time: 2020-07-13 16:15:58 UTC 241.613 ms
Remote receive time: 2020-07-13 16:15:58 UTC 834.674 ms
Request for seq 5, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 5, return code: Egress-ok, time: 594.192 ms
Local transmit time: 2020-07-13 16:15:59 UTC 241.357 ms
Remote receive time: 2020-07-13 16:15:59 UTC 835.549 ms
--- lsping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
Signification
La sortie confirme que le plan de transfert VPN de couche 2 fonctionne correctement entre les équipements PE.
Vérifiez le fonctionnement de bout en bout des équipements CE sur le VPN de couche 2
Objet
Vérifiez la connectivité VPN de couche 2 entre les appareils CE. Cette étape confirme que les équipements CE disposent d’interfaces opérationnelles et sont correctement configurés pour la connectivité de couche 2. Pour ce faire, il faut vérifier que les équipements CE ont établi une adjacence OSPF et sont capables de faire passer le trafic de bout en bout entre leurs adresses de bouclage.
Mesures à prendre
user@ce1> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.2 ge-0/0/0.0 Full 172.16.255.2 128 32
user@ce1> show ospf route | match 172
172.16.255.2/32 *[OSPF/10] 01:34:50, metric 1
> to 172.16.1.2 via ge-0/0/0.0
user@ce1> ping 172.16.255.2 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=64 time=4.404 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=64 time=5.807 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.404/5.106/5.807/0.702 ms
Signification
Le résultat indique que la connectivité VPN de couche 2 fonctionne correctement entre les appareils CE. Elle confirme que l'équipement CE local a établi une adjacence OSPF entre le cœur du fournisseur et l'équipement 172.16.1.2CE distant et que l'équipement CE local a appris un chemin vers l'adresse 172.16.255.2 de bouclage de l'équipement CE distant via OSPF. Le résultat montre également que les équipements CE sont capables de transmettre des paquets IP de 1 500 octets sans évoquer de fragmentation locale. Les pings réussis vérifient également que les trames n’ont pas dépassé la MTU prise en charge par le réseau du fournisseur.
L’argument size ajouté à la ping commande génère 1472 octets de données d’écho. Ajout de 8 octets supplémentaires d’ICMP (Internet Control Message Protocol) et de 20 octets d’en-tête IP pour porter la taille totale des paquets à 1 500 octets. L’ajout du commutateur garantit que do-not-fragment l’équipement CE ne peut pas effectuer de fragmentation en fonction de sa MTU locale. Cette méthode confirme qu’aucune fragmentation n’est possible, ni nécessaire, lors de l’envoi de trames Ethernet de longueur standard entre les équipements CE.