Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : configurer des VPN de couche 2 basés sur MPLS

Cet exemple montre comment configurer et valider un VPN de couche 2 basé sur MPLS sur des routeurs ou des commutateurs exécutant Junos OS.

Note:

Notre équipe de test de contenu a validé et mis à jour cet exemple.

Vous pouvez déployer un réseau privé virtuel de couche 2 basé sur MPLS à l’aide de routeurs et de commutateurs exécutant Junos OS pour interconnecter les sites clients avec une connectivité de couche 2. Les VPN de couche 2 offrent aux clients un contrôle total sur leurs protocoles de transport et de routage.

Les VPN basés sur MPLS nécessitent une fonctionnalité MPLS de base sur le réseau du fournisseur. Une fois que le MPLS de base est opérationnel, vous pouvez configurer des VPN qui utilisent des chemins de commutation d’étiquettes (LSP) pour le transport sur le cœur du fournisseur.

L’ajout de services VPN n’affecte pas les opérations de commutation MPLS de base sur le réseau du fournisseur. En fait, les équipements du fournisseur (P) n’ont besoin que d’une configuration MPLS de base, car ils ne sont pas conscients du VPN. L’état VPN est maintenu uniquement sur les équipements PE. C’est l’une des principales raisons pour lesquelles les VPN basés sur MPLS sont si évolutifs.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS Version 15.1 ou ultérieure

    • Revalidé sur Junos OS version 20.1R1

  • Deux équipements pe (Provider Edge)

  • Un équipement fournisseur (P)

  • Deux équipements de périphérie client (CE)

L’exemple montre comment ajouter un VPN de couche 2 à une base MPLS préexistante. Une configuration MPLS de base est fournie au cas où votre réseau n’aurait pas déjà déployé MPLS.

Pour prendre en charge les VPN basés sur MPLS, la base de référence MPLS sous-jacente doit fournir les fonctionnalités suivantes :

  • Interfaces de bouclage et de cœur opérationnelles avec la prise en charge de la famille MPLS

  • Un protocole de passerelle interne comme OSPF ou IS-IS pour assurer l’accessibilité entre les adresses de bouclage des équipements du fournisseur (P et PE)

  • Un protocole de signalisation MPLS tel que LDP ou RSVP pour signaler les LSP

  • LSP établis entre les adresses de bouclage des équipements PE

Les LSP sont nécessaires entre chaque paire d’équipements PE qui participent à un VPN donné. C’est une bonne idée de créer des LSP entre tous les équipements PE pour répondre à la croissance future du VPN. Vous configurez les LSP au niveau de la [edit protocols mpls] hiérarchie. Contrairement à une configuration MPLS pour connexion croisée de circuit (CCC), vous n’avez pas besoin d’associer manuellement le LSP à l’interface client (edge) de l’équipement PE. Au lieu de cela, les VPN de couche 2 utilisent la signalisation BGP pour transmettre l’accessibilité du site de couche 2. Cette signalisation BGP automatise le mappage des sites VPN de couche 2 distants vers les sauts suivants de transfert LSP. Cela signifie qu’avec un VPN de couche 2, il n’est pas nécessaire de mapper explicitement un LSP avec l’interface de périphérie d’un équipement PE.

Pour plus d’informations sur ccc, reportez-vous à la section Configuration d’un ccc VLAN basé sur MPLS à l’aide d’un circuit de couche 2.

Présentation et topologie

Un VPN de couche 2 assure une séparation complète entre les réseaux du fournisseur et du client. Les avantages d’un VPN de couche 2 comprennent la prise en charge de protocoles de transport non standard et l’isolement de l’adressage de liaison et du fonctionnement du protocole de routage entre les réseaux du client et du fournisseur.

La définition d’un VPN implique uniquement des modifications aux équipements PE locaux et distants. Aucune configuration supplémentaire n’est nécessaire sur les équipements du fournisseur (à part la prise en charge MPLS de base), car ces équipements ne fournissent que des fonctions de commutation MPLS de base. Les équipements CE n’utilisent pas MPLS. Ils ne nécessitent qu’une interface de base et, si vous le souhaitez, une configuration de protocole, pour fonctionner sur le VPN de couche 2. Pour un VPN de couche 2, vous configurez les équipements CE comme s’ils étaient attachés à une liaison partagée.

Une fois qu’une base MPLS est en place, vous devez configurer les fonctionnalités suivantes sur les équipements PE pour établir un VPN de couche 2 basé sur MPLS :

  • Un groupe BGP avec family l2vpn signaling

  • Instance de routage avec type d’instance l2vpn

  • Les interfaces client sur les équipements PE doivent être configurées comme suit :

    • Spécifiez ethernet-ccc ou vlan-ccc physiquement l’encapsulation de la couche selon que le balisage VLAN est en cours d’utilisation.

    • Configurez un type d’encapsulation correspondant dans la configuration de l’instance de routage.

    • Configurez l’interface logique (unité) utilisée pour le VPN de couche 2 avec family ccc.

La figure 1 fournit la topologie de cet exemple VPN de couche 2 basé sur MPLS. La figure détaille les noms d’interface, l’adressage IP et les protocoles utilisés dans le réseau du fournisseur. Il met également en évidence la nature de bout en bout de l’adressage des équipements CE et du fonctionnement de la pile de protocoles. Contrairement à un VPN de couche 3, le fonctionnement de l’équipement CE est opaque pour le réseau du fournisseur dans un VPN de couche 2. Il n’y a pas de relation d’appairage entre les équipements CE et le réseau du fournisseur. En conséquence, vous vous attendez à ce que les équipements CE forment une adjacence OSPF sur le réseau du fournisseur.

Figure 1 : VPN An MPLS-Based Layer 2 VPN de couche 2 basé sur MPLS

Configurations rapides

Utilisez les configurations de cette section pour mettre rapidement en service votre VPN de couche 2 basé sur MPLS. Les configurations comprennent une base MPLS fonctionnelle pour prendre en charge votre VPN de couche 2. Cet exemple se concentre sur les aspects VPN de la configuration. Reportez-vous aux liens suivants pour plus d’informations sur la fonctionnalité MPLS de base utilisée dans cet exemple :

Configuration rapide cli

Note:

Les configurations des équipements omettent l’interface de gestion, les routes statiques, la journalisation du système, les services système et les informations de connexion utilisateur. Ces parties de la configuration varient en fonction de l’emplacement et ne sont pas directement liées aux fonctionnalités MPLS ou VPN.

Modifiez les commandes suivantes en fonction des spécificités de votre environnement et collez-les dans la fenêtre de terminal ce local (CE1) :

La configuration complète de l’équipement CE1.

Modifiez les commandes suivantes en fonction des spécificités de votre environnement et collez-les dans la fenêtre de terminal PE1 local :

Configuration complète de l’équipement PE1.

Configuration complète de l’équipement P.

La configuration complète de l’équipement PE2.

La configuration complète de l’équipement CE2.

Assurez-vous de valider les modifications de configuration sur tous les équipements lorsque vous êtes satisfait de votre travail. Félicitations pour votre nouveau VPN de couche 2 basé sur MPLS ! Reportez-vous à la section Vérification pour connaître les étapes nécessaires pour confirmer que votre VPN fonctionne comme prévu.

Configurer l’équipement PE local (PE1) pour un VPN de couche 2 basé sur MPLS

Cette section décrit les étapes nécessaires pour configurer l’équipement PE1 pour cet exemple. Reportez-vous à la section Exemple : Configurer les VPN de couche 2 basés sur MPLS pour les configurations des équipements CE et P utilisées dans cet exemple.

Configurez la base de référence MPLS (si nécessaire)

Avant de configurer le VPN de couche 2, assurez-vous que l’équipement PE dispose d’une base MPLS. Si vous disposez déjà d’une base MPLS, vous pouvez passer à la procédure étape par étape pour ajouter le VPN de couche 2 à l’équipement PE local.

  • Configurez le nom d’hôte.

  • Configurez les interfaces.

    ATTENTION:

    Les VPN de couche 2 ne prennent pas en charge la fragmentation du réseau du fournisseur. Il est essentiel que le réseau du fournisseur prend en charge la plus grande trame que les équipements CE peuvent générer une fois que les équipements PE ont ajouté les étiquettes MPLS et virtual routing and forwarding (VRF). Cet exemple montre comment laisser les équipements CE à l’unité de transmission maximale (MTU) de 1 500 octets par défaut, tandis que le cœur du fournisseur est configuré pour prendre en charge un MTU de 4 000 octets. Cette configuration évite les rejets en s’assurant que les équipements CE ne peuvent pas dépasser le MTU du réseau du fournisseur.

  • Configurez les protocoles.

    Note:

    L’ingénierie du trafic est prise en charge pour les LSP signalés par RSVP, mais elle n’est pas nécessaire pour la commutation MPLS de base ou le déploiement VPN. La base de référence MPLS fournie utilise le RSVP pour signaler les LSP et permet l’ingénierie du trafic pour OSPF. Toutefois, aucune contrainte de chemin n’est configurée, vous vous attendez donc à ce que les LSP soient acheminés sur le chemin le plus court du protocole de passerelle intérieure.

  • Définissez le LSP à l’adresse de bouclage de l’équipement PE distant.

Procédure

Procédure étape par étape

Suivez ces étapes pour configurer l’équipement PE1 pour un VPN de couche 2.

  1. Configurez l’interface de périphérie. Spécifiez un type d’encapsulation physique de l’unité ethernet-ccc family ccc 0. Il s’agit du seul numéro d’unité valide pour une interface Ethernet non-mise en place. Si vous utilisez le balisage VLAN, spécifiez vlan-ccc l’encapsulation et ajoutez la famille CCC à l’unité(s) souhaitée(s).

    Pointe:

    Vous pouvez configurer un VPN de couche 2 basé sur MPLS et un VPN de couche 3 basé sur MPLS sur le même équipement PE. Toutefois, vous ne pouvez pas configurer la même interface de périphérie client pour prendre en charge à la fois un VPN de couche 2 et un VPN de couche 3.

    Note:

    Un VPN de couche 2 nécessite que les interfaces de périphérie de l’équipement PE soient configurées avec l’encapsulation CCC au niveau de l’équipement physique, la famille CCC étant configurée au niveau de l’unité. Les équipements du fournisseur sont configurés de la même manière, que vous déployiez CCC, un VPN de couche 2 basé sur MPLS ou un VPN de couche 3 basé sur MPLS. En effet, ils n’ont pas d’interfaces de périphérie ou de connaissance VPN.

  2. Configurez un groupe BGP pour l’appairage entre les équipements PE locaux et distants. Utilisez l’adresse de bouclage de l’équipement PE comme adresse locale et activez family l2vpn signaling.

  3. Configurez le type de groupe BGP en tant qu’interne.

  4. Configurez l’adresse de bouclage de l’équipement PE distant en tant que voisin BGP.

  5. Configurez le numéro du système autonome BGP.

  6. Configurez l’instance de routage. Commencez par spécifier le nom l2vpn1de l’instance , avec un de instance-type l2vpn.

  7. Configurez l’interface client de l’équipement PE pour qu’elle appartienne à l’instance de routage.

  8. Configurez le dissociateur de route de l’instance de routage. Ce paramètre permet de distinguer les routes envoyées d’une VRF particulière sur un équipement PE particulier. Il doit être unique pour chaque instance de routage sur chaque équipement PE.

  9. Configurez la cible de routage de table VRF (Virtual Routing and Forwarding) de l’instance. L’instruction vrf-target ajoute la balise de communauté spécifiée à toutes les routes annoncées tout en correspondant automatiquement à la même valeur pour l’importation de route. Pour un échange de routage approprié, il est nécessaire de configurer des cibles de routage correspondantes sur les équipements PE qui partagent un VPN donné.

    Note:

    Vous pouvez créer des stratégies plus complexes en configurant explicitement les stratégies d’importation et d’exportation VRF à l’aide des options d’importation et d’exportation. Voir vrf-import et vrf-export pour plus de détails.

  10. Configurez le l2vpn protocole dans l’instance et spécifiez l’encapsulation utilisée sur la liaison de périphérie. Si l’interface de périphérie est balisée VLAN, n’oubliez pas de spécifier ethernet-vlan.

  11. Ajoutez l’interface de périphérie sous la strophe de l2vpn l’instance avec une description.

  12. Configurez les informations sur le site VPN de couche 2 et associez l’interface de périphérie au site client local.

    Note:

    Dans cet exemple, l’ID de site de l’équipement PE1 est 1 et l’ID de site de l’équipement PE2 est 2. Pour l’équipement PE local (PE1), le site distant est correctement configuré avec une remote-site-id valeur 2.

  13. Validez vos modifications sur l’équipement PE1 et revenez en mode opérationnel CLI.

Résultats

Affichez les résultats de la configuration sur l’équipement PE1. Le résultat reflète uniquement la configuration fonctionnelle ajoutée dans cet exemple.

Configurer l’équipement PE2 (Remote PE2) pour un VPN de couche 2 basé sur MPLS

Cette section décrit les étapes nécessaires à la configuration de l’équipement PE2 pour cet exemple. Reportez-vous à la section Exemple : Configurer les VPN de couche 2 basés sur MPLS pour les configurations des équipements CE et P utilisées dans cet exemple.

Configurez la base de référence MPLS (si nécessaire)

Avant de configurer le VPN de couche 2, assurez-vous que l’équipement PE dispose d’une base MPLS. Si vous disposez déjà d’une base MPLS, vous pouvez passer à la procédure étape par étape pour ajouter le VPN de couche 2 à l’équipement PE local.

  • Configurez le nom d’hôte.

  • Configurez les interfaces.

    ATTENTION:

    Les VPN de couche 2 ne prennent pas en charge la fragmentation du réseau du fournisseur. Il est essentiel que le réseau du fournisseur prend en charge la plus grande trame que les équipements CE peuvent générer une fois que les équipements PE ont ajouté les étiquettes MPLS et virtual routing and forwarding (VRF). Cet exemple montre comment laisser les équipements CE à l’unité de transmission maximale (MTU) de 1 500 octets par défaut, tandis que le cœur du fournisseur est configuré pour prendre en charge un MTU de 4 000 octets. Cette configuration évite les rejets en s’assurant que les équipements CE ne peuvent pas dépasser le MTU du réseau du fournisseur.

  • Configurez les protocoles.

    Note:

    L’ingénierie du trafic est prise en charge pour les LSP signalés par RSVP, mais elle n’est pas nécessaire pour la commutation MPLS de base ou le déploiement VPN. La base de référence MPLS fournie utilise le RSVP pour signaler les LSP et permet l’ingénierie du trafic pour OSPF. Toutefois, aucune contrainte de chemin n’est configurée, vous vous attendez donc à ce que les LSP soient acheminés sur le chemin le plus court du protocole de passerelle intérieure.

  • Définissez le LSP à l’adresse de bouclage de l’équipement PE distant.

Procédure

Procédure étape par étape

Suivez ces étapes pour configurer l’équipement PE2 pour un VPN de couche 2.

  1. Configurez l’encapsulation et la famille d’interface de périphérie. Rappelons qu’il s’agit d’une interface non mise en place, seule l’unité 0 est donc valable pour la ccc famille.

  2. Configurez un groupe BGP. Spécifiez l’adresse de bouclage de l’équipement PE comme adresse locale et activez family l2vpn signaling.

  3. Configurez le type de groupe BGP en tant qu’interne.

  4. Configurez l’équipement PE1 en tant que voisin BGP. Assurez-vous de spécifier l’adresse de bouclage de PE1 comme voisin BGP.

  5. Configurez le numéro du système autonome BGP.

  6. Configurez l’instance de routage. Commencez par spécifier le nom l2vpn1 de l’instance avec un de instance-type l2vpn.

  7. Configurez l’interface de périphérie client de l’équipement PE pour qu’elle appartienne à l’instance de routage.

  8. Configurez le pare-route de l’instance.

  9. Configurez la cible de routage virtuel et de routage virtuel (VRF) de l’instance. La cible affectée doit correspondre à celle configurée sur l’équipement PE1.

  10. Configurez l’instance pour le l2vpn protocole et spécifiez l’encapsulation utilisée sur la liaison de périphérie.

  11. Ajoutez l’interface de périphérie de l’équipement PE dans la hiérarchie de l2vpn l’instance avec une description .

  12. Configurez les informations sur le site VPN de couche 2 de l'instance et répertoriez l'interface de périphérie de l'équipement PE sous le site local. L’ID de site local configuré sur l’équipement PE2 doit correspondre à l’ID de site distant que vous avez configuré sur l’équipement PE1, et vice versa.

    Note:

    Dans cet exemple, l’ID de site de l’équipement PE2 est 2 et l’ID de site pour l’équipement PE1 est 1. Pour l’équipement PE2, le site distant est correctement configuré avec une remote-site-id valeur de 1.

  13. Validez vos modifications sur l’équipement PE2 et revenez en mode opérationnel CLI.

Résultats

Affichez les résultats de la configuration sur l’équipement PE2.

Vérification

Effectuez ces tâches pour vérifier que le VPN de couche 2 basé sur MPLS fonctionne correctement :

Vérifier les adjacenances OSPF du fournisseur et l’échange de routes

But

Vérifiez que le protocole OSPF fonctionne correctement sur le réseau du fournisseur en vérifiant l’état d’adjacence et les routes apprises OSPF vers les adresses de bouclage des équipements du fournisseur distant. Un bon fonctionnement IGP est essentiel pour la mise en place réussie des LSP MPLS.

Action

Sens

La sortie montre que l’équipement PE1 a établi une adjacence OSPF envers l’équipement P (192.168.0.2). Il montre également que les adresses de bouclage P et PE distantes (192.168.0.2) et (192.168.0.3) sont apprises via OSPF au niveau de l’équipement PE local.

Vérifier les paramètres de l’interface MPLS et RSVP

But

Vérifiez que les protocoles RSVP et MPLS sont configurés pour fonctionner sur les interfaces centrales de l’équipement PE. Cette étape vérifie également qu’elle family mpls est correctement configurée au niveau de l’unité des interfaces centrales.

Action

Sens

Le résultat montre que MPLS et RSVP sont correctement configurés sur les interfaces de bouclage et de bouclage de l’équipement PE local.

Vérifier les LSP signalés par RSVP

But

Vérifiez que les sessions RSVP (entrantes et sortantes) sont correctement établies entre les équipements PE.

Action

Sens

Le résultat montre que les sessions RSVP entrantes et sortantes sont correctement établies entre les équipements PE. Un établissement LSP réussi indique que la base MPLS est opérationnelle.

Vérifier l’état de la session BGP

But

Vérifiez que la session BGP entre les équipements PE est correctement établie avec la prise en charge des informations d’accessibilité de la couche réseau VPN de couche 2 (NLRI).

Action

Sens

Le résultat indique que la session BGP à l’équipement PE distant (192.168.0.3) a été correctement établie (Establ), et à travers le Up/Dwn terrain, la durée de la session est dans l’état actuel (1:34). Il indique également le nombre de paquets BGP envoyés à (5) et reçus de (6) l’équipement PE distant. Le flaps champ confirme qu’aucune transition d’état n’a eu lieu (0), indiquant que la session est stable. Notez également que le NLRI VPN de couche 2 est correctement échangé entre les équipements PE. Cette sortie confirme que l’appairage BGP entre les équipements PE est prêt à prendre en charge un VPN de couche 2.

Vérifier les routes VPN de couche 2 dans la table de routage

But

Vérifiez que la table de routage de l’équipement PE1 est remplie des routes VPN de couche 2 utilisées pour transférer le trafic entre les équipements CE.

Action

Sens

La commande show route table bgp.l2vpn.0 affiche tous les routes VPN de couche 2 reçues sur l’équipement PE. La commande show route table l2vpn1.l2vpn.0 affiche les routes VPN de couche 2 qui ont été importées dans l’instance de routage à la l2vpn1 suite d’une cible de routage correspondante. Le l2vpn1.l2vpn.0 tableau contient à la fois le routage VPN de couche 2 de l’équipement PE local ainsi qu’un routage à distance appris via l’appairage BGP vers l’équipement PE distant. Les deux tables indiquent que le routage VPN de couche 2 distant est correctement associé au lsp_to_pe2 LSP en tant que saut suivant de transfert. Les résultats confirment que l’équipement PE local a appris sur le site distant du client à partir de l’équipement PE2. Il montre également qu’il peut transférer le trafic VPN de couche 2 vers l’équipement PE2 à l’aide du transport MPLS sur le réseau du fournisseur.

Vérifier l’état de la connexion VPN de couche 2

But

Vérifiez l’état de la connexion VPN de couche 2.

Action

Sens

Le St champ dans la sortie montre que la connexion VPN de couche 2 à Remote PE 192.168.0.3 at connection-site 2 est Up. La sortie confirme également le nom ge-0/0/0.0 de l’interface de périphérie et l’état opérationnel de l’équipement PE en tant que up. Vous vérifiez également que l’encapsulation Ethernet est configurée sur l’interface client de l’équipement PE. Il s’agit de l’encapsulation correcte pour les interfaces Ethernet non-pas utilisées dans cet exemple. Les étapes de vérification effectuées jusqu’à présent indiquent que le plan de contrôle du VPN de couche 2 est opérationnel. Vous vérifiez le plan de données du VPN de couche 2 dans les étapes suivantes.

Ping sur l’équipement PE distant à l’aide de la connexion VPN de couche 2

But

Vérifiez la connectivité VPN de couche 2 entre les équipements PE locaux et distants. Deux formes de la ping mpls l2vpn commande sont affichées. Les deux testent le routage VPN de couche 2 et le transfert MPLS entre les équipements PE. La première commande suppose un seul site distant tandis que la seconde spécifie les identifiants de site local et distant, ce qui est utile lors du test d’un VPN de couche 2 multi-sites. En effet, l’ID du site distant peut être utilisé pour cibler l’équipement PE distant souhaité.

Note:

La ping mpls l2vpn commande valide l’échange de routes VPN de couche 2 et le transfert MPLS entre les équipements PE. Pour ce faire, le trafic est généré depuis l’instance de routage VPN de couche 2 du PE local vers l’adresse de bouclage 127.0.0.1 de l’équipement PE distant. Cette commande ne valide ni le fonctionnement des interfaces ce ni leur configuration. En effet, le fonctionnement de l’équipement CE est opaque pour le réseau du fournisseur dans un VPN de couche 2.

Action

Sens

La sortie confirme que le plan de transfert VPN de couche 2 fonctionne correctement entre les équipements PE.

Vérifier le fonctionnement de bout en bout des équipements CE sur le VPN de couche 2

But

Vérifiez la connectivité VPN de couche 2 entre les équipements CE. Cette étape confirme que les équipements CE disposent d’interfaces opérationnelles et sont correctement configurés pour la connectivité de couche 2. Pour ce faire, les équipements CE ont établi une adjacence OSPF et sont capables de passer le trafic de bout en bout entre leurs adresses de bouclage.

Action

Sens

La sortie montre que la connectivité VPN de couche 2 fonctionne correctement entre les équipements CE. Il confirme que l'équipement CE local a établi une adjacence OSPF entre le cœur du fournisseur et l'équipement 172.16.1.2CE distant, et que l'équipement CE local a appris un chemin vers l'adresse 172.16.255.2 de bouclage de l'équipement CE distant via OSPF. La sortie montre également que les équipements CE sont capables de passer des paquets IP de 1 500 octets sans évoquer la fragmentation locale. Les pings réussis vérifient également que les trames n’ont pas dépassé le MTU pris en charge par le réseau du fournisseur.

Note:

L’argument size ajouté à la ping commande génère 1 472 octets de données d’écho. 8 octets supplémentaires d’ICMP (Internet Control Message Protocol) et 20 octets d’en-tête IP sont ajoutés pour porter la taille totale du paquet à 1 500 octets. L’ajout du do-not-fragment commutateur garantit que l’équipement CE ne peut pas effectuer de fragmentation en fonction de son MTU local. Cette méthode confirme qu’aucune fragmentation n’est possible ou nécessaire lors de l’envoi de trames Ethernet de longueur standard entre les équipements CE.