Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configurer des VPN de couche 2 basés sur MPLS

Cet exemple montre comment configurer et valider un VPN de couche 2 BASÉ SUR MPLS sur des routeurs ou commutateurs exécutant Junos OS.

Note:

Notre équipe de test de contenu a validé et mis à jour cet exemple.

Vous pouvez déployer un réseau privé virtuel de couche 2 basé sur MPLS à l’aide de routeurs et de commutateurs exécutant Junos OS afin d’interconnecter les sites des clients avec la connectivité de couche 2. Les VPN de couche 2 offrent aux clients un contrôle total sur leur choix de protocoles de transport et de routage.

Les VPN basés sur MPLS nécessitent une fonctionnalité MPLS de base dans le réseau du fournisseur. Une fois le MPLS de base opérationnel, vous êtes en mesure de configurer des VPN qui utilisent des chemins de commutation d’étiquettes (LSP) pour le transport sur le cœur du fournisseur.

L’ajout de services VPN n’affecte pas les opérations de commutation MPLS de base sur le réseau du fournisseur. En fait, les équipements du fournisseur (P) ne nécessitent qu’une configuration MPLS de base, car ils ne sont pas conscients du VPN. L’état VPN est maintenu uniquement sur les équipements PE. C’est une raison clé pour laquelle les VPN basés sur MPLS sont si évolutifs.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS version 15.1 ou ultérieure

    • Revalidé sur Junos OS version 20.1R1

  • Deux équipements de périphérie fournisseur (PE)

  • Un équipement de fournisseur (P)

  • Deux équipements de périphérie client (CE)

L’exemple montre comment ajouter un VPN de couche 2 à une ligne de référence MPLS préexistante. Une configuration MPLS de base est fournie si votre réseau n’a pas déjà déployé MPLS.

Pour prendre en charge les VPN basés sur MPLS, la base de référence MPLS sous-jacente doit fournir les fonctionnalités suivantes :

  • Interfaces de bouclage et de cœur opérationnelles avec prise en charge de la gamme MPLS

  • Un protocole de passerelle intérieure tel qu’OSPF ou IS-IS pour fournir l’accessibilité entre les adresses de bouclage des équipements du fournisseur (P et PE)

  • Un protocole de signalisation MPLS tel que LDP ou RSVP pour signaler les LSP

  • LSP établis entre les adresses de bouclage des équipements PE

Les LSP sont nécessaires entre chaque paire d’équipements PE participant à un VPN donné. Il s’agit d’une bonne idée de créer des LSP entre tous les équipements PE afin de s’adapter à la croissance future du VPN. Vous configurez les LSP au niveau de la [edit protocols mpls] hiérarchie. Contrairement à une configuration MPLS pour la connexion croisée sur circuit (CCC), il n’est pas nécessaire d’associer manuellement le LSP à l’interface de périphérie de l’équipement PE. Les VPN de couche 2 utilisent plutôt une signalisation BGP pour signaler l’accessibilité des sites de couche 2. Cette signalisation BGP automatise le mappage des sites VPN de couche 2 distants vers le transfert LSP des sauts suivants. En d’autres termes, il n’est pas nécessaire d’utiliser un VPN de couche 2 pour mapper explicitement un LSP à l’interface périphérique d’un équipement PE.

Pour plus de détails sur le CCC, reportez-vous à Configuring an MPLS-Based VLAN CCC Using a Layer 2 Circuit.

Présentation et topologie

Un VPN de couche 2 assure une séparation complète entre les réseaux du fournisseur et des clients. Les avantages d’un VPN de couche 2 incluent la prise en charge de protocoles de transport non standard et l’isolement de l’adressage de liaison et du fonctionnement des protocoles de routage entre les réseaux du client et du fournisseur.

La définition d’un VPN implique une modification des équipements PE locaux et distants uniquement. Aucune configuration supplémentaire n’est nécessaire sur les équipements du fournisseur (en plus de la prise en charge MPLS de base), car ces équipements fournissent uniquement des fonctions de commutation MPLS de base. Les équipements CE n’utilisent pas le MPLS. Ils nécessitent uniquement une interface de base et, si vous le souhaitez, une configuration de protocole, pour fonctionner sur le VPN de couche 2. Pour un VPN de couche 2, vous configurez les équipements CE comme s’ils étaient reliés à une liaison partagée.

Une fois qu’une base de référence MPLS est en place, vous devez configurer la fonctionnalité suivante sur les équipements PE afin d’établir un VPN de couche 2 basé sur MPLS :

  • Un groupe BGP avec family l2vpn signaling

  • Instance de routage avec type d’instance l2vpn

  • Les interfaces client sur les équipements PE doivent être configurées comme suit :

    • Indiquez ethernet-ccc ou vlan-ccc encapsulation physique de la couche selon que le balisage VLAN est utilisé.

    • Configurez un type d’encapsulation correspondant dans la configuration de l’instance de routage.

    • Configurez l’interface logique (unité) utilisée pour le VPN de couche 2 avec family ccc.

La figure 1 fournit la topologie de cet exemple de VPN de couche 2 basé sur MPLS. La figure détaille les noms d’interface, l’adressage IP et les protocoles utilisés dans le réseau du fournisseur. Il met également en évidence la nature de bout en bout de l’adressage des équipements CE et du fonctionnement de la pile de protocoles. Contrairement à un VPN de couche 3, le fonctionnement des équipements CE est opaque pour le réseau du fournisseur dans un VPN de couche 2. Il n’existe aucune relation d’appairage entre les équipements CE et le réseau du fournisseur. En conséquence, vous vous attendez à ce que les équipements CE forment une proximité OSPF entre, et non pas, le réseau du fournisseur.

Figure 1 : VPN An MPLS-Based Layer 2 VPN de couche 2 basé sur MPLS

Configurations rapides

Utilisez les configurations de cette section pour mettre rapidement en œuvre votre VPN de couche 2 MPLS. Les configurations incluent une base MPLS fonctionnelle pour prendre en charge votre VPN de couche 2. Cet exemple se concentre sur les aspects VPN de la configuration. Reportez-vous aux liens suivants pour plus d’informations sur la fonctionnalité MPLS de base utilisée dans cet exemple :

Configuration rapide CLI

Note:

Les configurations de l’équipement omett l’interface de gestion, les routes statiques, la journalisation système, les services système et les informations de connexion utilisateur. Ces parties de la configuration varient en fonction de l’emplacement et ne sont pas directement liées aux fonctionnalités MPLS ou VPN.

Modifiez les commandes suivantes selon les besoins en fonction des spécificités de votre environnement et collez-les dans la fenêtre de terminal de l’équipement CE (CE1) locale :

Configuration complète de l’équipement CE1.

Modifiez les commandes suivantes en fonction des spécificités de votre environnement et collez-les dans la fenêtre de terminal d’équipement PE1 locale :

La configuration complète de l’équipement PE1.

Configuration complète de l’unité P.

Configuration complète de l’équipement PE2.

Configuration complète de l’équipement CE2.

Assurez-vous de valider les modifications de configuration sur tous les équipements lorsque vous êtes satisfait de votre travail. Félicitations pour votre nouveau VPN de couche 2 BASÉ SUR MPLS ! Reportez-vous à la section Vérification pour connaître les étapes à suivre pour confirmer que votre VPN fonctionne comme prévu.

Configurer l’équipement PE1 local pour un VPN de couche 2 BASÉ SUR MPLS

Cette section aborde les étapes à suivre pour configurer l’équipement PE1 dans cet exemple. Reportez-vous à l’exemple : section Configurer des VPN de couche 2 basés sur MPLS pour les configurations des équipements CE et P utilisées dans cet exemple.

Configurer la base de référence MPLS (si nécessaire)

Avant de configurer le VPN de couche 2, assurez-vous que l’équipement PE dispose d’une base de référence MPLS. Si vous disposez déjà d’une base MPLS, vous pouvez passez à la procédure étape par étape pour ajouter le VPN de couche 2 à l’équipement PE local.

  • Configurez le nom de l’hôte.

  • Configurez les interfaces.

    ATTENTION:

    Les VPN de couche 2 ne prennent pas en charge la fragmentation du réseau du fournisseur. Il est essentiel que le réseau du fournisseur prenne en charge la trame la plus importante que les équipements CE puissent générer après l’ajout des étiquettes MPLS et VRF (Virtual Routing and Forwarding) par les équipements PE. Cet exemple montre comment laisser les équipements CE au niveau de l’unité de transmission maximale (MTU) de 1 500 octets par défaut, tout en configurant le cœur du fournisseur pour prendre en charge un MTU de 4 000 octets. Cette configuration évite les rejets en veillant à ce que les équipements CE ne puissent pas dépasser le MTU du réseau du fournisseur.

  • Configurez les protocoles.

    Note:

    Les aspects techniques du trafic sont pris en charge pour les LSP à signalisation RSVP, mais ne sont pas nécessaires pour la commutation MPLS de base ou le déploiement VPN. La base MPLS fournie utilise RSVP pour signaler les LSP et active les aspects techniques du trafic pour OSPF. Cependant, aucune contrainte de chemin n’est configurée. Vous vous attendez donc à ce que les LSP soient routés sur le chemin le plus court du protocole de passerelle intérieure.

  • Définissez le LSP sur l’adresse de bouclage de l’équipement PE distant.

Procédure

Procédure étape par étape

Suivez ces étapes pour configurer l’équipement PE1 pour un VPN de couche 2.

  1. Configurez l’interface en périphérie. Indiquez un type d’encapsulation physique avec family ccc l’unité ethernet-ccc 0. Il s’agit du seul numéro d’unité valide pour une interface Ethernet non validée. Si vous utilisez un balisage VLAN, spécifiez vlan-ccc l’encapsulation et ajoutez la famille CCC à l’unité(s) souhaitée(s).

    Pointe:

    Vous pouvez configurer à la fois un VPN de couche 2 basé sur MPLS et un VPN de couche 3 MPLS sur le même équipement PE. Toutefois, vous ne pouvez pas configurer la même interface côté périphérie client pour prendre en charge à la fois un VPN de couche 2 et un VPN de couche 3.

    Note:

    Un VPN de couche 2 nécessite que les interfaces périphériques de l’équipement PE soient configurées avec l’encapsulation CCC au niveau de l’équipement physique, avec la famille CCC configurée au niveau de l’unité. Les équipements du fournisseur sont configurés de la même manière, que vous déployiez CCC, un VPN de couche 2 MPLS ou un VPN de couche 3 BASÉ SUR MPLS. C’est parce qu’ils n’ont pas d’interfaces de périphérie ou de reconnaissance VPN.

  2. Configurez un groupe BGP pour l’appairage entre les équipements PE locaux et distants. Utilisez l’adresse de bouclage de l’équipement PE comme adresse locale et activez family l2vpn signaling.

  3. Configurez le type de groupe BGP en tant qu’interne.

  4. Configurez l’adresse de bouclage de l’équipement PE distant en tant que voisin BGP.

  5. Configurez le numéro du système autonome BGP.

  6. Configurez l’instance de routage. Commencez par spécifier le nom l2vpn1de l’instance , avec une adresse instance-type de l2vpn.

  7. Configurez l’interface client de l’équipement PE pour qu’elle appartienne à l’instance de routage.

  8. Configurez le différentateur de route de l’instance de routage. Ce paramètre permet de distinguer les routes envoyées d’un VRF particulier sur un équipement PE particulier. Il doit être unique pour chaque instance de routage sur chaque équipement PE.

  9. Configurez la cible de routage et de transfert virtuel (VRF) de l’instance. L’instruction vrf-target ajoute la balise de communauté spécifiée à toutes les routes annoncées, tout en correspondant automatiquement à la même valeur pour l’importation de route. La configuration de cibles de routage équivalentes sur les équipements PE qui partagent un VPN donné est requise pour un échange de routage approprié.

    Note:

    Vous pouvez créer des stratégies plus complexes en configurant explicitement les stratégies d’importation et d’exportation VRF à l’aide des options d’importation et d’exportation. Voir vrf-import et vrf-export pour plus de détails.

  10. Configurez le l2vpn protocole dans l’instance et spécifiez l’encapsulation utilisée sur la liaison de périphérie. Si l’interface de périphérie est balisées sur le VLAN, n’oubliez pas de préciser ethernet-vlan.

  11. Ajoutez l’interface de périphérie sous l’aubaine de l2vpn l’instance avec une description.

  12. Configurez les informations sur le site VPN de couche 2 et associez l’interface périphérique au site client local.

    Note:

    Dans cet exemple, l’ID de site pour l’équipement PE1 est 1 et l’ID de site pour l’équipement PE2 est 2. Pour l’équipement PE local (PE1), le site distant est correctement configuré avec la remote-site-id valeur 2.

  13. Validez vos modifications sur l’équipement PE1 et revenez en mode opérationnel CLI.

Résultats

Affichez les résultats de la configuration sur l’équipement PE1. La sortie reflète uniquement la configuration fonctionnelle ajoutée dans cet exemple.

Configurer l’équipement PE (PE2) distant pour un VPN de couche 2 basé sur MPLS

Cette section aborde les étapes requises pour configurer l’équipement PE2 dans cet exemple. Reportez-vous à l’exemple : section Configurer des VPN de couche 2 basés sur MPLS pour les configurations des équipements CE et P utilisées dans cet exemple.

Configurer la base de référence MPLS (si nécessaire)

Avant de configurer le VPN de couche 2, assurez-vous que l’équipement PE dispose d’une base de référence MPLS. Si vous disposez déjà d’une base MPLS, vous pouvez passez à la procédure étape par étape pour ajouter le VPN de couche 2 à l’équipement PE local.

  • Configurez le nom de l’hôte.

  • Configurez les interfaces.

    ATTENTION:

    Les VPN de couche 2 ne prennent pas en charge la fragmentation du réseau du fournisseur. Il est essentiel que le réseau du fournisseur prenne en charge la trame la plus importante que les équipements CE puissent générer après l’ajout des étiquettes MPLS et VRF (Virtual Routing and Forwarding) par les équipements PE. Cet exemple montre comment laisser les équipements CE au niveau de l’unité de transmission maximale (MTU) de 1 500 octets par défaut, tout en configurant le cœur du fournisseur pour prendre en charge un MTU de 4 000 octets. Cette configuration évite les rejets en veillant à ce que les équipements CE ne puissent pas dépasser le MTU du réseau du fournisseur.

  • Configurez les protocoles.

    Note:

    Les aspects techniques du trafic sont pris en charge pour les LSP à signalisation RSVP, mais ne sont pas nécessaires pour la commutation MPLS de base ou le déploiement VPN. La base MPLS fournie utilise RSVP pour signaler les LSP et active les aspects techniques du trafic pour OSPF. Cependant, aucune contrainte de chemin n’est configurée. Vous vous attendez donc à ce que les LSP soient routés sur le chemin le plus court du protocole de passerelle intérieure.

  • Définissez le LSP sur l’adresse de bouclage de l’équipement PE distant.

Procédure

Procédure étape par étape

Suivez ces étapes pour configurer l’équipement PE2 pour un VPN de couche 2.

  1. Configurez la famille et l’encapsulation de l’interface en périphérie. Rappelez-vous qu’il s’agit d’une interface intagged, par conséquent seule l’unité 0 est valable pour la ccc famille.

  2. Configurez un groupe BGP. Indiquez l’adresse de bouclage de l’équipement PE comme adresse locale et activez family l2vpn signaling.

  3. Configurez le type de groupe BGP en tant qu’interne.

  4. Configurez l’équipement PE1 en tant que voisin BGP. Assurez-vous de spécifier l’adresse de bouclage de PE1 comme voisin BGP.

  5. Configurez le numéro du système autonome BGP.

  6. Configurez l’instance de routage. Commencez par spécifier le nom l2vpn1 de l’instance avec une instance-type adresse de l2vpn.

  7. Configurez l’interface de périphérie client de l’équipement PE pour qu’elle appartienne à l’instance de routage.

  8. Configurez le différentateur de route de l’instance.

  9. Configurez la cible de routage et de transfert virtuel (VRF) VPN de l’instance. La cible attribuée doit correspondre à celle configurée sur l’équipement PE1.

  10. Configurez l’instance du l2vpn protocole et spécifiez l’encapsulation utilisée sur la liaison de périphérie.

  11. Ajoutez l’interface périphérique de l’équipement PE dans la hiérarchie de l2vpn l’instance, ainsi qu’une description .

  12. Configurez les informations sur le site VPN de couche 2 de l'instance et énumérez l'interface périphérique de l'équipement PE dans le site local. L’ID de site local configuré sur l’équipement PE2 doit correspondre à celui que vous avez configuré sur l’équipement PE1, et vice versa.

    Note:

    Dans cet exemple, l’ID de site pour l’équipement PE2 est 2 et l’ID de site pour l’équipement PE1 est 1. Pour l’équipement PE2, le site distant est correctement configuré avec la remote-site-id valeur 1.

  13. Validez vos modifications sur l’équipement PE2 et revenez en mode opérationnel CLI.

Résultats

Affichez les résultats de la configuration sur l’équipement PE2.

Vérification

Effectuez ces tâches pour vérifier que le VPN de couche 2 basé sur MPLS fonctionne correctement :

Vérifier les proximités OSPF du fournisseur et l’échange de routes

But

Vérifiez que le protocole OSPF fonctionne correctement sur le réseau du fournisseur en vérifiant l’état d’adjacence et les routes apprises osPF vers les adresses de bouclage des équipements du fournisseur distant. Un bon fonctionnement du protocole IGP est essentiel pour la mise en place réussie de LSP MPLS.

Action

Sens

La sortie montre que l’équipement PE1 a établi une proximité OSPF avec l’équipement P (192.168.0.2). Il indique également que les adresses de bouclage des équipements P et PE distants (192.168.0.2) et (192.168.0.3) sont apprises via OSPF au niveau de l’équipement PE local.

Vérifier les paramètres d’interface MPLS et RSVP

But

Vérifiez que les protocoles RSVP et MPLS sont configurés pour fonctionner sur les interfaces centrales de l’équipement PE. Cette étape vérifie également qu’elle family mpls est correctement configurée au niveau de l’unité des interfaces centrales.

Action

Sens

La sortie indique que MPLS et RSVP sont correctement configurés sur les interfaces de cœur et de bouclage de l’équipement PE local.

Vérifier les LSP signalés par RSVP

But

Vérifiez que les sessions RSVP (entrantes et sortantes) sont correctement établies entre les équipements PE.

Action

Sens

La sortie indique que les sessions RSVP entrantes et sortantes sont correctement établies entre les équipements PE. L’établissement LSP réussi indique que la base MPLS est opérationnelle.

Vérifier l’état de la session BGP

But

Vérifiez que la session BGP entre les équipements PE est correctement établie avec la prise en charge des informations d’accessibilité de la couche réseau VPN de couche 2 (NLRI).

Action

Sens

La sortie affiche la session BGP sur l’équipement PE distant (192.168.0.3) a été correctement établie (Establ), et, via le Up/Dwn champ, la durée de la session dans l’état actuel (1:34). Il affiche également le nombre de paquets BGP envoyés à (5) et reçus de (6) l’équipement PE distant. Le flaps champ confirme qu’aucune transition d’état n’a eu lieu (0), indiquant que la session est stable. Notez également que le NLRI VPN de couche 2 est correctement échangé entre les équipements PE. Cette sortie confirme l’appairage BGP entre les équipements PE est prêt à prendre en charge un VPN de couche 2.

Vérifier les routes VPN de couche 2 dans la table de routage

But

Vérifiez que la table de routage sur l’équipement PE1 contient les routes VPN de couche 2 utilisées pour transférer le trafic entre les équipements CE.

Action

Sens

La commande show route table bgp.l2vpn.0 affiche toutes les routes VPN de couche 2 reçues sur l’équipement PE. La commande show route table l2vpn1.l2vpn.0 affiche les routes VPN de couche 2 qui ont été importées dans l’instance de routage à la l2vpn1 suite d’une cible de routage équivalente. Le l2vpn1.l2vpn.0 tableau contient à la fois le routage VPN de couche 2 de l’équipement PE local, ainsi qu’un routage distant appris via l’appairage BGP à l’équipement PE distant. Les deux tableaux indiquent que le routage VPN de couche 2 distant est correctement associé au lsp_to_pe2 LSP en tant que saut suivant de transfert. Les sorties confirment que l’équipement PE local a appris sur le site client distant à partir de l’équipement PE2. Il montre également qu’il peut transférer le trafic VPN de couche 2 vers l’équipement PE2 à l’aide du transport MPLS sur le réseau du fournisseur.

Vérifier l’état de la connexion VPN de couche 2

But

Vérifier l’état de la connexion VPN de couche 2.

Action

Sens

Le St champ de la sortie indique que la connexion VPN de couche 2 à Remote PE 192.168.0.3 l’adresse connection-site 2 Up. La sortie confirme également le nom ge-0/0/0.0 de l’interface périphérique et le statut opérationnel de l’équipement PE sous up. Vous vérifiez également que l’encapsulation Ethernet est configurée sur l’interface client de l’équipement PE. Il s’agit de la bonne encapsulation pour les interfaces Ethernet non corrigées utilisées dans cet exemple. Les étapes de vérification effectuées jusqu’à présent indiquent que le plan de contrôle du VPN de couche 2 est opérationnel. Vous vérifiez le plan de données du VPN de couche 2 selon les étapes suivantes.

Ping sur l’équipement PE distant à l’aide de la connexion VPN de couche 2

But

Vérifiez la connectivité VPN de couche 2 entre les équipements PE locaux et distants. Deux formes de commande ping mpls l2vpn sont affichées. Testez le routage VPN de couche 2 et le transfert MPLS entre les équipements PE. La première commande suppose un seul site distant, tandis que la seconde spécifie les identifiants de site local et distant, ce qui est utile lors du test d’un VPN de couche 2 multisite. En effet, l’ID de site distant peut être utilisé pour cibler l’équipement PE distant souhaité.

Note:

La ping mpls l2vpn commande valide l’échange de route VPN de couche 2 et le transfert MPLS entre les équipements PE. Ceci est fait en générant du trafic depuis l’instance de routage VPN de couche 2 du pe local vers l’adresse de bouclage 127.0.0.1 de l’équipement PE distant. Cette commande ne valide pas le fonctionnement des interfaces de l’équipement CE ni leur configuration. En effet, le fonctionnement des équipements CE est opaque pour le réseau du fournisseur dans un VPN de couche 2.

Action

Sens

La sortie confirme que le plan de transfert VPN de couche 2 fonctionne correctement entre les équipements PE.

Vérifier le fonctionnement de bout en bout des équipements CE sur le VPN de couche 2

But

Vérifiez la connectivité VPN de couche 2 entre les équipements CE. Cette étape confirme que les équipements CE disposent d’interfaces opérationnelles et qu’ils sont correctement configurés pour la connectivité de couche 2. Pour ce faire, les équipements CE ont établi une adjacence OSPF et sont capables de transférer le trafic de bout en bout entre leurs adresses de bouclage.

Action

Sens

La sortie indique que la connectivité VPN de couche 2 fonctionne correctement entre les équipements CE. Il confirme que l'équipement CE local a établi une adjacence OSPF sur le cœur du fournisseur vers l'équipement 172.16.1.2CE distant , et que l'équipement CE local a appris un routage vers l'adresse de bouclage de l'équipement 172.16.255.2 CE distant via OSPF. La sortie montre également que les équipements CE sont capables de passer des paquets IP de 1 500 octets sans évoquer la fragmentation locale. Les pings réussis vérifient également que les trames ne dépassent pas le MTU pris en charge par le réseau du fournisseur.

Note:

L’argument size ajouté à la ping commande génère 1 472 octets de données d’écho. 8 octets supplémentaires d’ICMP (Internet Control Message Protocol) et 20 octets d’en-tête IP sont ajoutés pour porter la taille totale des paquets à 1 500 octets. L’ajout du do-not-fragment commutateur garantit que l’équipement CE ne peut pas procéder à la fragmentation en fonction de son MTU local. Cette méthode confirme qu’aucune fragmentation n’est possible ou nécessaire lors de l’envoi d’trames Ethernet de longueur standard entre les équipements CE.