Exemple : configuration d’un VPN de couche 3 basé sur le MPLS
Cet exemple montre comment configurer et valider un VPN de couche 3 basé sur le MPLS de base sur des routeurs ou des commutateurs exécutant Junos OS. L’exemple basé sur IPv4 utilise EBGP comme protocole de routage entre les appareils de périphérie du fournisseur et ceux du client.
Notre équipe de test de contenu a validé et mis à jour cet exemple.
Vous pouvez déployer un réseau privé virtuel (VPN) de couche 3 basé sur MPLS à l’aide de routeurs et de commutateurs exécutant Junos OS pour interconnecter les sites des clients grâce à une connectivité de couche 3. Bien que le routage statique soit pris en charge, les VPN de couche 3 permettent généralement aux appareils du client d’échanger des informations de routage avec le réseau du fournisseur et nécessitent la prise en charge de protocoles IP, c’est-à-dire IPv4 et/ou IPv6.
Contrairement à un VPN de couche 2, où les équipements du client peuvent ne pas être basés sur des protocoles IP et où le routage, le cas échéant, s’effectue entre les appareils de périphérie du client (CE). Contrairement à un VPN de couche 3 où l’appareil CE interagit (pairs) avec l’appareil de périphérie du fournisseur, dans un VPN de couche 2, le trafic client passe de manière transparente par le cœur du fournisseur, tous les protocoles de routage étant exécutés de bout en bout entre les appareils CE.
Les VPN basés sur le MPLS nécessitent une fonctionnalité MPLS de base dans le réseau du fournisseur. Une fois que le MPLS de base est opérationnel, vous pouvez configurer des VPN qui utilisent des chemins à commutation d’étiquettes (LSP) pour le transport sur le cœur du fournisseur.
L’ajout de services VPN n’affecte pas les opérations de commutation MPLS de base dans le réseau du fournisseur. En fait, les équipements du fournisseur (P) ne nécessitent qu’une configuration MPLS de base, car ils ne sont pas compatibles VPN. L’état VPN est conservé uniquement sur les équipements PE (Provider Edge). C’est l’une des principales raisons pour lesquelles les VPN basés sur le MPLS évoluent si bien.
Exigences
Cet exemple utilise les composants logiciels et matériels suivants :
Junos OS version 12.3 ou ultérieure pour les équipements de routage et de commutation
Revalidé sur Junos OS version 20.3R1
Deux appareils Provider Edge (PE)
Un appareil du fournisseur (P)
Deux appareils de périphérie client (CE)
L’exemple se concentre sur la façon d’ajouter un VPN de couche 3 à une base de référence MPLS préexistante. Une configuration MPLS de base est fournie au cas où le MPLS n’est pas déjà déployé sur votre réseau.
Pour prendre en charge les VPN basés sur le MPLS, la base de référence MPLS sous-jacente doit fournir les fonctionnalités suivantes :
Interfaces centrales et de bouclage opérationnelles avec prise en charge de la famille MPLS
Un protocole de passerelle intérieure tel qu’OSPF ou IS-IS pour assurer l’accessibilité entre les adresses de bouclage des périphériques du fournisseur (P et PE)
Un protocole de signalisation MPLS tel que LDP ou RSVP pour signaler les LSP
LSP établis entre les adresses de bouclage des équipements PE
Des LSP sont nécessaires entre chaque paire d’appareils PE qui participent à un VPN donné. C’est une bonne idée de construire des LSP entre tous les appareils PE pour s’adapter à la croissance future des VPN. Vous configurez les LSP au niveau de la [edit protocols mpls] hiérarchie. Contrairement à une configuration MPLS pour une connexion CCC (circuit cross connect), vous n’avez pas besoin d’associer manuellement le LSP à l’interface côté client (périphérie) de l’équipement PE. Au lieu de cela, les VPN de couche 3 utilisent la signalisation BGP pour annoncer l’accessibilité du site. Cette signalisation BGP automatise le mappage des sites VPN distants vers le transfert LSP vers les sauts suivants. Cela signifie qu’avec un VPN de couche 3, il n’est pas nécessaire de mapper explicitement un LSP à l’interface périphérique d’un équipement PE.
Vue d’ensemble et topologie
Les VPN de couche 3 permettent aux clients de tirer parti de l’expertise technique du fournisseur de services pour assurer un routage efficace de site à site. L’équipement de périphérie client (CE) utilise généralement un protocole de routage, tel que BGP ou OSPF, pour échanger des routes avec l’équipement de périphérie du fournisseur de services (PE). Le routage statique est pris en charge pour les VPN de couche 3, mais un protocole de routage dynamique est généralement préféré.
La définition d’un VPN implique uniquement des modifications des équipements PE locaux et distants. Aucune configuration supplémentaire n’est nécessaire sur les équipements du fournisseur (en supposant qu’ils disposent déjà d’une base de référence MPLS fonctionnelle), car ces équipements ne fournissent que des fonctions de commutation MPLS de base. Les équipements CE n’utilisent pas MPLS et ne nécessitent qu’une interface de base et une configuration de protocole de routage pour pouvoir interagir avec les équipements PE.
Dans un VPN de couche 3, vous configurez les appareils CE pour qu’ils s’appairent avec l’appareil PE local. Contrairement à un VPN de couche 2, où les appareils CE s’appairent les uns aux autres comme s’ils étaient sur une liaison partagée, bien qu’ils soient connectés via un réseau central de fournisseur basé sur le MPLS.
Une fois qu’une base de référence MPLS est en place, vous devez configurer les fonctionnalités suivantes sur les équipements PE pour établir votre VPN de couche 3 basé sur MPLS :
Un groupe BGP avec
family inet-vpn unicastassistanceUne instance de routage avec un type
vrfd’instance et une définition de protocole de routage compatibles avec le périphérique CE attachéLes interfaces côté client sur les équipements PE configurés avec
family inetune adresse IPv4 qui place l’interface sur le même sous-réseau que l’équipement CE connecté. Si vous le souhaitez, vous pouvez également configurer l’encapsulation du VLAN et l’ID de VLAN correspondant.
Pour une connectivité correcte de bout en bout, l’équipement CE doit être configuré avec un sous-réseau IP compatible et des paramètres de protocole de routage pour prendre en charge l’appairage avec l’équipement PE.
La figure 1 illustre la topologie utilisée dans cet exemple. La figure détaille les noms d’interface, l’adressage IP et les protocoles de routage utilisés dans les réseaux du fournisseur et du client. Elle met également en évidence la relation d’appairage entre les appareils CE et PE. Dans cet exemple, vous vous attendez à ce que chaque équipement CE forme une session d’appairage EBGP avec l’équipement PE local. Notez que le réseau du fournisseur et les deux sites du client ont un numéro de système autonome attribué pour prendre en charge le fonctionnement BGP. Dans cet exemple, une politique de routage est appliquée aux équipements CE pour qu’ils annoncent les routes directes pour leurs interfaces de contact avec le fournisseur et de bouclage.
de routage PE-CE
Configurations rapides
Utilisez les configurations de cette section pour mettre rapidement en marche votre VPN de couche 3 basé sur le MPLS. Les configurations incluent une base de référence MPLS fonctionnelle pour prendre en charge votre VPN de couche 3. Cet exemple se concentre sur les aspects VPN de la configuration. Pour plus d’informations sur la fonctionnalité MPLS de base utilisée dans cet exemple, reportez-vous aux liens suivants :
Configuration rapide de la CLI
Les configurations des appareils omettent l’interface de gestion, les routes statiques, la journalisation du système, les services système et les informations de connexion des utilisateurs. Ces éléments de la configuration varient selon l’emplacement et ne sont pas directement liés à la fonctionnalité MPLS ou VPN.
Modifiez les commandes suivantes en fonction des spécificités de votre environnement et collez-les dans la fenêtre du terminal de périphérique CE local (CE1) en mode de configuration au niveau de la [edit] hiérarchie :
La configuration complète de l’appareil CE1.
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
La configuration complète de l’appareil PE1.
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
La configuration complète de l’appareil P.
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
La configuration complète de l’appareil PE2.
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
La configuration complète de l’appareil CE2.
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
Assurez-vous de valider les modifications de configuration sur tous les appareils lorsque vous êtes satisfait de votre travail. Félicitations pour votre nouveau VPN de couche 3 basé sur le MPLS ! Reportez-vous à la section Vérification pour connaître les étapes nécessaires pour confirmer que votre VPN de couche 3 fonctionne comme prévu.
Configurer le périphérique PE1 local pour un VPN de couche 3 basé sur MPLS
Cette section couvre les étapes nécessaires pour configurer le périphérique PE1 pour cet exemple. L’accent est mis sur les équipements PE, car c’est là que la configuration VPN est hébergée. Reportez-vous à la section Configurations rapides pour connaître les configurations de périphérique CE et de périphérique P utilisées dans cet exemple.
Configurer la base de référence MPLS (si nécessaire)
Avant de configurer un VPN de couche 3, assurez-vous que l’équipement PE dispose d’une base de référence MPLS fonctionnelle. Si vous disposez déjà d’une base de référence MPLS, vous pouvez passer à la procédure étape par étape pour ajouter le VPN de couche 3 aux équipements PE.
Configurez le nom d’hôte.
[edit] user@pe1# set system host-name pe1
Configurez les interfaces centrales et de bouclage :
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
Bonne pratique :Bien qu’un VPN de couche 3 puisse effectuer une fragmentation au niveau du PE entrant, il est préférable de concevoir le réseau de manière à ce que le CE puisse envoyer une trame de taille maximale sans avoir besoin de fragmentation. Pour éviter toute fragmentation, le réseau du fournisseur doit prendre en charge la plus grande trame que les équipements CE peuvent générer une fois que les étiquettes MPLS et VRF (Virtual Routing and Forwarding) ont été ajoutées par le périphérique PE. Cet exemple laisse les périphériques CE à l’unité de transmission maximale (MTU) par défaut de 1500 octets, tout en configurant le cœur du fournisseur pour prendre en charge une MTU de 4 000 octets. Ainsi, les équipements CE ne peuvent pas dépasser la MTU du réseau du fournisseur, même avec la surcharge d’encapsulation MPLS et VRF.
Configurez les protocoles :
Remarque :L’ingénierie de trafic est prise en charge pour les LSP signalés par RSVP, mais n’est pas nécessaire pour la commutation MPLS de base ou le déploiement de VPN. La base de référence MPLS fournie utilise RSVP pour signaler les LSP et active l’ingénierie de trafic pour OSPF. Cependant, aucune contrainte de chemin n’est configurée, vous vous attendez donc à ce que les LSP soient acheminés sur le chemin le plus court du protocole de passerelle intérieure.
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
Définissez le LSP vers l’adresse de bouclage de l’équipement PE distant :
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
La ligne de base MPLS est maintenant configurée sur le périphérique PE1. Continuez à configurer le VPN de couche 3.
Procédure
Procédure étape par étape
Suivez ces étapes pour configurer l’appareil PE1 pour un VPN de couche 3.
Configurez l’interface orientée client :
Conseil :Vous pouvez configurer un VPN de couche 2 basé sur MPLS et un VPN de couche 3 basé sur MPLS sur le même équipement PE. Cependant, vous ne pouvez pas configurer la même interface de périphérie client pour prendre en charge à la fois un VPN de couche 2 et un VPN de couche 3.
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
Configurez un groupe BGP pour l’appairage entre les appareils PE locaux et distants. Utilisez l’adresse de bouclage de l’équipement PE comme adresse locale et activez la famille d’adresses pour qu’elle
inet-vpn unicastprenne en charge l’échange de routes VPN de couche 3. Une politique de routage pour BGP n’est pas nécessaire sur les équipements PE dans cet exemple. Par défaut, les équipements PE annoncent à nouveau dans IBGP les routes qu’ils apprennent via leur appairage EBGP vers l’équipement CE.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Conseil :Vous pouvez spécifier d’autres familles d’adresses si la session IBGP PE à PE doit prendre en charge l’échange de routes non VPN, telles que les routes IPv4 ou IPv6 standard utilisant les familles ou
inetinet6, respectivement.Configurez le type de groupe BGP comme interne.
[edit protocols bgp] user@pe1# set group ibgp type internal
Configurez l’adresse de bouclage de l’équipement PE distant en tant que voisin BGP.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
Configurez l’ID du routeur pour qu’il corresponde à son adresse de bouclage et définissez le numéro de système autonome BGP nécessaire pour l’appairage BGP.
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
Configurez l’instance de routage. Spécifiez le nom d’occurrence de CE1_L3vpn, et configurez l’un
instance-typedevrf.[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
Configurez l’interface client de l’équipement PE pour qu’elle appartienne à l’instance de routage.
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
Configurez le distinguateur de route de l’instance de routage. Ce paramètre est utilisé pour distinguer les routes envoyées à partir d’un VRF particulier sur un équipement PE particulier. Il doit être unique pour chaque instance de routage sur chaque équipement PE.
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
Configurez la cible de routage de la table VRF (virtual routing and forwarding) de l’instance. L’instruction
vrf-targetajoute la balise communautaire spécifiée à toutes les routes annoncées tout en faisant automatiquement correspondre la même valeur pour l’importation de route. La configuration de cibles de route correspondantes sur les équipements PE qui partagent un VPN donné est nécessaire pour un échange de route correct.[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
Remarque :Vous pouvez créer des stratégies plus complexes en configurant explicitement les stratégies d’importation et d’exportation VRF à l’aide des options d’importation et d’exportation. Voir vrf-import et vrf-export pour plus de détails.
Configurez l’instance de routage pour prendre en charge l’appairage EBGP vers l’équipement CE1. L’appairage direct de l’interface à l’extrémité CE1 de la liaison VRF est utilisé, et le numéro de système autonome de CE1 est correctement spécifié avec le
peer-asparamètre.[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
Validez vos modifications sur l’équipement PE1 et revenez en mode opérationnel CLI.
[edit] user@pe1# commit and-quit
Résultats
Affichez les résultats de la configuration sur le périphérique PE1. La sortie reflète uniquement la configuration fonctionnelle ajoutée dans cet exemple.
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
address 172.16.1.2/30;
}
}
}
xe-0/0/0:1 {
description "Link from PE1 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
Configurer le périphérique PE2 distant (PE2) pour un VPN de couche 3 basé sur MPLS
Cette section couvre les étapes nécessaires pour configurer le périphérique PE1 pour cet exemple. L’accent est mis sur les équipements PE, car c’est là que la configuration VPN est hébergée. Reportez-vous à la section Configurations rapides pour connaître les configurations de périphérique CE et de périphérique P utilisées dans cet exemple.
Configurer la base de référence MPLS (si nécessaire)
Avant de configurer un VPN de couche 3, assurez-vous que l’équipement PE dispose d’une base de référence MPLS fonctionnelle. Si vous disposez déjà d’une base de référence MPLS, vous pouvez passer à la procédure étape par étape pour ajouter le VPN de couche 3 aux équipements PE.
Configurez le nom d’hôte.
[edit] user@pe2# set system host-name pe2
Configurez les interfaces centrales et de bouclage :
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
Bonne pratique :Bien qu’un VPN de couche 3 puisse effectuer une fragmentation au niveau du PE entrant, il est préférable de concevoir le réseau de manière à ce que le CE puisse envoyer une trame de taille maximale sans avoir besoin de fragmentation. Pour éviter toute fragmentation, le réseau du fournisseur doit prendre en charge la plus grande trame que les équipements CE peuvent générer une fois que les étiquettes MPLS et VRF (Virtual Routing and Forwarding) ont été ajoutées par le périphérique PE. Cet exemple laisse les périphériques CE à l’unité de transmission maximale (MTU) par défaut de 1500 octets, tout en configurant le cœur du fournisseur pour prendre en charge une MTU de 4 000 octets. Ainsi, les équipements CE ne peuvent pas dépasser la MTU du réseau du fournisseur, même avec la surcharge d’encapsulation MPLS et VRF.
Configurez les protocoles :
Remarque :L’ingénierie de trafic est prise en charge pour les LSP signalés par RSVP, mais n’est pas nécessaire pour la commutation MPLS de base ou le déploiement de VPN. La base de référence MPLS fournie utilise RSVP pour signaler les LSP et active l’ingénierie de trafic pour OSPF. Cependant, aucune contrainte de chemin n’est configurée, vous vous attendez donc à ce que les LSP soient acheminés sur le chemin le plus court du protocole de passerelle intérieure.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
Définissez le LSP vers l’adresse de bouclage de l’équipement PE distant :
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
La ligne de base MPLS est maintenant configurée sur le périphérique PE1. Continuez à configurer le VPN de couche 3.
Procédure
Procédure étape par étape
Suivez ces étapes pour configurer l’appareil PE2 pour un VPN de couche 3.
Configurez l’interface orientée client :
Conseil :Vous pouvez configurer un VPN de couche 2 basé sur MPLS et un VPN de couche 3 basé sur MPLS sur le même équipement PE. Cependant, vous ne pouvez pas configurer la même interface de périphérie client pour prendre en charge à la fois un VPN de couche 2 et un VPN de couche 3.
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
Configurez un groupe BGP pour l’appairage entre les appareils PE locaux et distants. Utilisez l’adresse de bouclage de l’équipement PE comme adresse locale et activez la famille d’adresses pour qu’elle
inet-vpn unicastprenne en charge l’échange de routes VPN de couche 3.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
Conseil :Vous pouvez spécifier d’autres familles d’adresses si la session IBGP PE à PE doit prendre en charge l’échange de routes non VPN, telles que les routes IPv4 ou IPv6 standard utilisant les familles ou
inetinet6, respectivement.Configurez le type de groupe BGP comme interne.
[edit protocols bgp] user@pe2# set group ibgp type internal
Configurez l’adresse de bouclage de l’équipement PE1 en tant que voisin BGP.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
Configurez l’ID du routeur pour qu’il corresponde à son adresse de bouclage et définissez le numéro du système autonome BGP.
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
Configurez l’instance de routage. Spécifiez un nom d’occurrence de CE2_L3vpn, avec un
instance-typedevrf.[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
Configurez l’interface client de l’équipement PE pour qu’elle appartienne à l’instance de routage.
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
Configurez le distinguateur de route de l’instance de routage. Ce paramètre est utilisé pour distinguer les routes envoyées à partir d’un VRF particulier sur un équipement PE particulier. Il doit être unique pour chaque instance de routage sur chaque équipement PE.
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
Configurez la cible de routage de la table VRF (virtual routing and forwarding) de l’instance. L’instruction
vrf-targetajoute la balise communautaire spécifiée à toutes les routes annoncées tout en faisant automatiquement correspondre la même valeur pour l’importation de route. La configuration de cibles de route correspondantes sur les équipements PE qui partagent un VPN donné est nécessaire pour un échange de route correct.[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
Remarque :Vous pouvez créer des stratégies plus complexes en configurant explicitement les stratégies d’importation et d’exportation VRF à l’aide des options d’importation et d’exportation. Voir vrf-import et vrf-export pour plus de détails.
Configurez l’instance de routage pour prendre en charge l’appairage EBGP vers l’équipement CE2. L’appairage direct de l’interface à l’extrémité CE2 de la liaison VRF est utilisé, et le numéro de système autonome de CE2 est correctement spécifié avec le
peer-asparamètre.[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
Validez vos modifications sur l’équipement PE2 et revenez en mode opérationnel CLI.
[edit] user@pe2# commit and-quit
Résultats
Affichez les résultats de la configuration sur l’appareil PE2. La sortie reflète uniquement la configuration fonctionnelle ajoutée dans cet exemple.
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
Vérification
Effectuez ces tâches pour vérifier que le VPN de couche 3 basé sur le MPLS fonctionne correctement :
- Vérifier les contiguïtés OSPF des fournisseurs et l’échange de routes
- Vérifiez les paramètres d’interface MPLS et RSVP
- Vérifier les LSP signalés RSVP
- Vérification de l’état de la session BGP
- Vérifiez les routes VPN de couche 3 dans le tableau de routage
- Envoyez un ping au périphérique PE distant à l’aide d’une connexion VPN de couche 3
- Vérifiez le fonctionnement de bout en bout des appareils CE sur le VPN de couche 3
- Comportement du VPN de couche 3 MPLS spécifique à la plate-forme
Vérifier les contiguïtés OSPF des fournisseurs et l’échange de routes
Objet
Vérifiez que le protocole OSPF fonctionne correctement dans le réseau du fournisseur en vérifiant l’état d’adjacence et les routes apprises par l’OSPF vers les adresses de bouclage des périphériques du fournisseur distant. Le bon fonctionnement des systèmes IGP est essentiel à la réussite de la mise en place de LSP MPLS.
Mesures à prendre
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
Signification
Le résultat indique que le dispositif PE1 a établi une contiguïté OSPF au dispositif P (192.168.0.2). Elle montre également que les adresses de bouclage P et du périphérique PE distant (192.168.0.2) et (192.168.0.3) sont correctement apprises via OSPF au niveau du périphérique PE local.
Vérifiez les paramètres d’interface MPLS et RSVP
Objet
Vérifiez que les protocoles RSVP et MPLS sont configurés pour fonctionner sur l’interface centrale de l’équipement PE. Cette étape permet également de vérifier que family mpls la configuration est correcte au niveau de l’unité de l’interface centrale de l’équipement PE.
Mesures à prendre
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
Signification
Le résultat indique que MPLS et RSVP sont correctement configurés sur les interfaces centrales et de bouclage de l’équipement PE local.
Vérifier les LSP signalés RSVP
Objet
Vérifiez que les LSP entrants et sortants signalés par RSVP sont correctement établis entre les adresses de bouclage de l’équipement PE.
Mesures à prendre
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
Signification
Le résultat montre que les sessions RSVP entrantes et sortantes sont correctement établies entre les équipements PE. Une mise en place réussie d’un LSP indique que la base de référence MPLS est opérationnelle.
Vérification de l’état de la session BGP
Objet
Vérifiez que la session IBGP entre les équipements PE est correctement établie avec la prise en charge des informations d’accessibilité de la couche réseau (NLRI) du VPN de couche 3. Dans cette étape, vous confirmez également que la session EBGP PE-CE locale est établie et correctement configurée pour échanger des routes IPv4.
Mesures à prendre
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
Signification
La sortie indique que la session IBGP vers le périphérique PE distant (192.168.0.3) a été correctement établie (Establ), et via le Up/Dwn champ, combien de temps la session est restée dans l’état actuel (6:18). Le flaps champ confirme qu’aucune transition d’état ne s’est produite (0), ce qui indique que la session est stable. Notez également que les routes VPN de couche 3 (NLRI) ont été apprises à partir du PE distant, comme le montre la présence d’une bgp.l3vpn.0 table.
L’écran confirme également que la session EBGP vers le périphérique CE1 local (172.16.1.1) est établie et que les routes IPv4 ont été reçues du périphérique CE1 et installées dans l’instance de routage de périphérique CE1 (CE1_L3vpn.inet.0)
Cette sortie confirme que l’appairage BGP entre les équipements PE et l’équipement CE fonctionne correctement pour prendre en charge votre VPN de couche 3.
Vérifiez les routes VPN de couche 3 dans le tableau de routage
Objet
Vérifiez que la table de routage du périphérique PE1 est remplie avec des routes VPN de couche 3 annoncées par le PE distant. Ces routes sont utilisées pour transférer le trafic vers l’équipement CE distant.
Mesures à prendre
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
Signification
La show route table bgp.l3vpn.0 commande affiche les routes VPN de couche 3 qui ont été reçues du périphérique PE distant. La show route table CE1_L3vpn.inet.0 commande répertorie toutes les routes qui ont été importées dans l’instance de CE1_L3vpn routage. Ces entrées représentent les routes apprises lors de l’appairage EBGP local vers l’équipement CE1, en plus des routes reçues de l’équipement PE2 distant avec une cible de route correspondante.
Les deux tableaux montrent que les routes VPN de couche 3 distantes sont correctement associées au lsp_to_pe2 LSP en tant que saut suivant de transfert. Les sorties confirment que l’équipement PE local a appris les routes associées à l’emplacement CE2 distant à partir de l’équipement PE2. Elle indique également que le PE local transférera le trafic VPN de couche 3 vers le périphérique PE2 distant en utilisant le transport MPLS sur le réseau du fournisseur.
Envoyez un ping au périphérique PE distant à l’aide d’une connexion VPN de couche 3
Objet
Vérifiez la connectivité VPN de couche 3 entre les appareils PE locaux et distants à l’aide de ping. Cette commande vérifie l’opération de routage VPN de couche 3 et de transfert MPLS entre les équipements PE.
Mesures à prendre
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
Signification
La sortie confirme que les plans de contrôle et de transfert VPN de couche 3 fonctionnent correctement entre les équipements PE.
Vérifiez le fonctionnement de bout en bout des appareils CE sur le VPN de couche 3
Objet
Vérifiez la connectivité VPN de couche 3 entre les appareils CE. Cette étape confirme que les équipements CE disposent d’interfaces opérationnelles et sont correctement configurés pour une connectivité de couche 3 basée sur EBGP. Pour ce faire, vérifiez que l’équipement CE1 local a bien appris les itinéraires de l’équipement CE distant et que les appareils CE sont capables de transmettre le trafic de bout en bout entre leurs adresses de bouclage.
Mesures à prendre
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
Signification
Le résultat indique que la connectivité VPN de couche 3 fonctionne correctement entre les appareils CE. L’équipement CE local a appris l’interface VRF et les routes de bouclage de l’équipement CE distant via BGP. Le ping est généré à l’adresse de bouclage de l’équipement CE distant et provient de l’adresse de bouclage de l’équipement CE local à l’aide de l’argument source 172.16.255.1 . L’ajout des do-not-fragment commutateurs et size 1472 confirme que les équipements CE sont capables de transmettre des paquets IP de 1 500 octets sans évoquer de fragmentation dans l’équipement PE local.
L’argument size 1472 ajouté à la ping commande génère 1472 octets de données d’écho. Ajout de 8 octets supplémentaires d’ICMP (Internet Control Message Protocol) et de 20 octets d’en-tête IP pour porter la taille totale de la charge utile à 1 500 octets. L’ajout du do-not-fragment commutateur garantit que les appareils CE et PE locaux ne peuvent pas effectuer de fragmentation. Cette méthode ping confirme qu’aucune fragmentation n’est nécessaire lors de l’échange de trames Ethernet standard d’une longueur maximale de 1 500 octets entre les équipements CE.
Ces résultats confirment que le VPN de couche 3 basé sur le MPLS fonctionne correctement.
Comportement du VPN de couche 3 MPLS spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme.
| Plate-forme |
Différence |
|---|---|
| Routeurs ACX 7000 Series |
|