例:MPLS ベースのレイヤー 2 VPN の設定
この例では、Junos OS を実行するルーターまたはスイッチで MPLS ベースのレイヤー 2 VPN を構成および検証する方法を示します。
当社のコンテンツテストチームは、この例を検証し、更新しました。
Mpls ベースのレイヤー 2 仮想プライベート ネットワークを導入するには、Junos OS を実行するルーターとスイッチを使用して、顧客サイトをレイヤー 2 接続で相互接続します。レイヤー 2 VPN では、お客様が選択したトランスポート プロトコルとルーティング プロトコルを完全に制御できます。
MPLSベースのVPNには、プロバイダネットワークのベースラインMPLS機能が必要です。基本的な MPLS が動作すると、プロバイダのコア上のトランスポートにラベルスイッチ パス(LSP)を使用する VPN を設定できます。
VPN サービスを追加しても、プロバイダ ネットワークにおける基本的な MPLS スイッチング操作には影響しません。実際、プロバイダ(P)デバイスはVPNを認識していないため、ベースラインMPLS設定のみを必要とします。VPN 状態は PE デバイスでのみ維持されます。これが、MPLSベースのVPNが拡張性に優れている主な理由です。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OS リリース 15.1 以降
Junos OS リリース 20.1R1 で再検証
2 つの PE(プロバイダ エッジ)デバイス
1 つのプロバイダ(P)デバイス
2 台のカスタマー エッジ(CE)デバイス
この例では、既存の MPLS ベースラインにレイヤー 2 VPN を追加する方法に焦点を当てています。ネットワークにMPLSがまだ導入されていない場合に備え、基本的なMPLS設定が提供されます。
MPLS ベース VPN をサポートするには、基盤となる MPLS ベースラインが以下の機能を提供する必要があります。
MPLS ファミリーサポートで動作するコアに面したインターフェイスとループバック インターフェイス
プロバイダ(PとPE)デバイスのループバックアドレス間の到達可能性を提供するOSPFやIS-ISなどの内部ゲートウェイプロトコル
LSPに信号を送るLDPやRSVPなどのMPLSシグナリングプロトコル
PE デバイス ループバック アドレス間で確立された LSP
特定の VPN に参加する PE デバイスの各ペア間には LSP が必要です。将来の VPN の成長に対応するために、すべての PE デバイス間に LSP を構築することをお勧めします。LSP は 階層レベルで設定します [edit protocols mpls] 。回線クロスコネクト(CCC)のMPLS設定とは異なり、LSPをPEデバイスの顧客対応(エッジ)インターフェイスに手動で関連付ける必要はありません。代わりに、レイヤー 2 VPN は BGP シグナリングを使用してレイヤー 2 サイトの到達可能性を伝えます。この BGP シグナリングは、リモートレイヤー 2 VPN サイトから LSP 転送ネクスト ホップへのマッピングを自動化します。これは、LSP のレイヤー 2 VPN の PE デバイスのエッジに面したインターフェイスへの明示的なマッピングは必要ないことを意味します。
CCCの詳細については、 レイヤー2回線を使用したMPLSベースVLAN CCCの設定を参照してください。
概要とトポロジー
レイヤー 2 VPN は、プロバイダ ネットワークと顧客ネットワークを完全に分離します。レイヤー 2 VPN のメリットには、非標準トランスポート プロトコルのサポート、顧客ネットワークとプロバイダ ネットワーク間のリンク アドレッシングおよびルーティング プロトコル操作の分離があります。
VPN の定義には、ローカルおよびリモートの PE デバイスのみに変更が必要です。これらのデバイスは基本的なMPLSスイッチング機能のみを提供するため、プロバイダーデバイス(ベースラインMPLSサポートを除く)に追加の設定は必要ありません。CEデバイスはMPLSを使用しません。基本的なインターフェイスのみが必要で、必要に応じてプロトコル設定を行い、レイヤー 2 VPN 上で動作します。レイヤー2 VPNでは、CEデバイスが共有リンクに接続されているかのように設定します。
MPLS ベースラインが設定されたら、MPLS ベースのレイヤー 2 VPN を確立するために、PE デバイスで以下の機能を設定する必要があります。
を持つBGPグループ
family l2vpn signalingインスタンスタイプを持つルーティングインスタンス
l2vpnPE デバイス上の顧客向けインターフェイスは、以下のように設定する必要があります。
VLANタグが使用中かどうかに応じて、物理層のカプセル化を指定
ethernet-cccしますvlan-ccc。ルーティングインスタンス設定で一致するカプセル化タイプを設定します。
でレイヤー 2 VPN
family cccに使用する論理インターフェイス(ユニット)を設定します。
図 1 は、この MPLS ベースのレイヤー 2 VPN の例のトポロジーを示しています。この図では、プロバイダ ネットワークで使用されるインターフェイス名、IP アドレッシング、プロトコルについて詳しく説明しています。また、CE デバイス アドレッシングとプロトコル スタック運用のエンドツーエンドの性質も強調しています。レイヤー 3 VPN とは異なり、CE デバイスの操作はレイヤー 2 VPN 内のプロバイダ ネットワークに不透明です。CEデバイスとプロバイダーネットワークの間にピアリング関係はありません。その結果、CE デバイスがプロバイダ ネットワークではなく、プロバイダ ネットワーク 全体で OSPF 隣接関係を形成 することを想定しています。
迅速な構成
このセクションの設定を使用して、MPLS ベースのレイヤー 2 VPN を迅速に稼働させます。この設定には、レイヤー 2 VPN をサポートする機能 MPLS ベースラインが含まれています。この例では、設定のVPN面に焦点を当てています。この例で使用するベースライン MPLS 機能の詳細については、以下のリンクを参照してください。
CLI クイックコンフィギュレーション
デバイス設定は、管理インターフェイス、静的ルート、システムロギング、システムサービス、ユーザーログイン情報を省略します。設定のこれらの部分は場所によって異なり、MPLS や VPN 機能に直接関連していません。
使用環境の詳細に応じて以下のコマンドを編集し、ローカルCE(CE1)デバイス端末ウィンドウに貼り付けます。
CE1デバイスの完全な設定。
set system host-name ce1 set interfaces ge-0/0/0 description "Link from CE1 to PE1" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
環境の詳細に必要に応じて以下のコマンドを編集し、ローカル PE(PE1)デバイス端末ウィンドウに貼り付けます。
PE1 デバイスの完全な設定。
set system host-name pe1 set interfaces ge-0/0/0 description "Link from PE1 to CE1" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE1 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE1 AND CE1" set routing-instances l2vpn1 protocols l2vpn site CE-1 interface ge-0/0/0.0 remote-site-id 2 set routing-instances l2vpn1 protocols l2vpn site CE-1 site-identifier 1 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.1:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
P デバイスの完全な設定。
set system host-name p set interfaces ge-0/0/0 description "Link from P-router to PE1" set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 unit 0 family inet address 10.1.23.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description "Link from P-router to PE2" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0
PE2 デバイスの完全な設定。
set system host-name pe2 set interfaces ge-0/0/0 description "Link from PE2 to CE2" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE2 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE2 AND CE2" set routing-instances l2vpn1 protocols l2vpn site CE-2 interface ge-0/0/0.0 remote-site-id 1 set routing-instances l2vpn1 protocols l2vpn site CE-2 site-identifier 2 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.3:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
CE2デバイスの完全な設定。
set system host-name ce2 set interfaces ge-0/0/0 description "Link from CE2 to PE2" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.2/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
作業に問題がなければ、すべてのデバイスで設定変更をコミットしてください。MPLS ベースの新しいレイヤー 2 VPN がおめでとうございます。VPNが想定通りに動作していることを確認するために必要な手順については、「 検証 」セクションを参照してください。
MPLS ベースのレイヤー 2 VPN のローカル PE(PE1)デバイスの設定
このセクションでは、この例の PE1 デバイスを設定するために必要な手順について説明します。この例で使用する CE デバイスと P デバイスの設定については、「 例: MPLS ベースのレイヤー 2 VPN を設定する 」セクションを参照してください。
MPLS ベースラインの設定(必要な場合)
レイヤー 2 VPN を設定する前に、PE デバイスに動作する MPLS ベースラインがあることを確認してください。すでに MPLS ベースラインがある場合は、手順を省略して、レイヤー 2 VPN をローカル PE デバイスに追加できます。
-
ホスト名を設定します。
[edit] user@pe1# set system host-name pe1
-
インターフェイスを設定します。
[edit] user@pe1# set interfaces ge-0/0/1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
注意:レイヤー 2 VPN は、プロバイダ ネットワークにおけるフラグメント化をサポートしていません。プロバイダ ネットワークは、MPLS および VRF(仮想ルーティングおよび転送)ラベルが PE デバイスによって追加された 後 に CE デバイスが生成できる最大のフレームをサポートすることが重要です。この例では、CEデバイスをデフォルトの1500バイト最大送信単位MTU(MTU)に残し、4,000バイトMTUをサポートするようにプロバイダーコアを設定します。この設定は、CEデバイスがプロバイダーのネットワークのMTUを超えないようにすることで、破棄を回避します。
-
プロトコルを設定します。
メモ:トラフィックエンジニアリングは、RSVP信号化されたLSPでサポートされていますが、基本的なMPLSスイッチングやVPNの導入には必要ありません。提供された MPLS ベースラインは、RSVP を使用して LSP に信号を送り、OSPF のトラフィック エンジニアリングを可能にします。ただし、パス制約が設定されていないので、LSPが内部ゲートウェイプロトコルの最短パスを介してルーティングされることを期待しています。
[edit ]user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe1# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface ge-0/0/1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface ge-0/0/1.0
-
リモート PE デバイスのループバック アドレスへの LSP を定義します。
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
手順
手順
以下の手順に従って、レイヤー 2 VPN 用の PE1 デバイスを設定します。
エッジに面したインターフェイスを設定します。ユニット 0 で の物理カプセル化タイプを
ethernet-cccfamily ccc指定します。これは、タグなしイーサネットインターフェイスの唯一の有効なユニット番号です。VLANタグを使用してカプセル化を指定vlan-cccし、CCCファミリーを目的のユニットに追加する場合。ヒント:同じ PE デバイスで、MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の両方を設定できます。ただし、同じカスタマー エッジに面したインターフェイスを設定して、レイヤー 2 VPN とレイヤー 3 VPN の両方をサポートすることはできません。
[edit]user@pe1# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe1# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE1 to CE1"
メモ:レイヤー2 VPNでは、PEデバイスのエッジに面したインターフェイスを、物理デバイスレベルでCCCカプセル化で設定し、CCCファミリーをユニットレベルで設定する必要があります。CCC、MPLS ベースのレイヤー 2 VPN、MPLS ベースのレイヤー 3 VPN のいずれを導入する場合でも、プロバイダ デバイスは同じ方法で設定されます。これは、エッジに面したインターフェイスやVPN認識がないからです。
ローカルとリモートのPEデバイス間のピアリングにBGPグループを設定します。PEデバイスのループバックアドレスをローカルアドレスとして使用し、 を有効にします
family l2vpn signaling。[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 family l2vpn signaling
BGPグループタイプを内部として設定します。
[edit protocols bgp] user@pe1# set group ibgp type internal
リモートPEデバイスのループバックアドレスをBGPネイバーとして設定します。
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
BGP 自律システム番号を設定します。
[edit routing-options] user@pe1# set autonomous-system 65412
ルーティングインスタンスを設定します。まず、 でインスタンス名l2vpn1
instance-typel2vpnを 指定します。[edit routing-instances] user@pe1# set l2vpn1 instance-type l2vpn
PE デバイスの顧客対応インターフェイスがルーティング インスタンスに属するように設定します。
[edit routing-instances] user@pe1# set l2vpn1 interface ge-0/0/0
ルーティングインスタンスのルート区別を設定します。この設定は、特定の PE デバイス上の特定の VRF から送信されたルートを区別するために使用されます。これは、各 PE デバイスのルーティング インスタンスごとに一意にする必要があります。
[edit routing-instances] user@pe1# set l2vpn1 route-distinguisher 192.168.0.1:12
インスタンスの仮想ルーティングおよび転送(VRF)テーブルルートターゲットを設定します。ステートメントは
vrf-target、指定されたコミュニティタグをすべてのアドバタイズされたルートに追加しながら、ルートインポートに同じ値に自動的に一致させます。適切なルート交換には、特定の VPN を共有する PE デバイス上で一致するルート ターゲットを設定する必要があります。[edit routing-instances] user@pe1# set l2vpn1 vrf-target target:65412:12
メモ:インポートとエクスポートオプションを使用してVRFインポートとエクスポートポリシーを明示的に設定することで、より複雑なポリシーを作成できます。詳細については 、 vrf-import と vrf-export を参照してください。
インスタンスでプロトコルを
l2vpn設定し、エッジに面したリンクで使用されるカプセル化を指定します。エッジ インターフェイスに VLAN タグが付いた場合は、必ず を指定してくださいethernet-vlan。[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn encapsulation-type ethernet
インスタンス
l2vpnのスタンザの下に、エッジに面したインターフェイスと説明を追加します。[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE1 and CE1"
レイヤー 2 VPN サイト情報を設定し、エッジに面したインターフェイスをローカルカスタマーサイトに関連付けます。
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-1 site-identifier 1 interface ge-0/0/0.0 remote-site-id 2
メモ:この例では、PE1 デバイスのサイト ID は 1 で、PE2 デバイスのサイト ID は 2 です。ローカル PE デバイス(PE1)の場合、リモート サイトは値 2 で
remote-site-id正しく設定されています。PE1 デバイスで変更をコミットし、CLI 動作モードに戻ります。
[edit] user@pe1# commit and-quit
結果
PE1 デバイス上の設定の結果を表示します。出力には、この例で追加された機能設定のみが反映されます。
user@pe1> show configuration
interfaces {
ge-0/0/0 {
description "Link from PE1 to CE1";
encapsulation ethernet-ccc;
unit 0 {
family ccc;
}
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
l2vpn1 {
protocols {
l2vpn {
interface ge-0/0/0.0 {
description "L2vpn Link Between PE1 and CE1" ;
}
site CE-1 {
interface ge-0/0/0.0 {
remote-site-id 2;
}
site-identifier 1;
}
encapsulation-type ethernet;
}
}
instance-type l2vpn;
interface ge-0/0/0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family l2vpn {
signaling;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
}
MPLS ベースのレイヤー 2 VPN のリモート PE(PE2)デバイスの設定
このセクションでは、この例の PE2 デバイスを設定するために必要な手順について説明します。この例で使用する CE デバイスと P デバイスの設定については、「 例: MPLS ベースのレイヤー 2 VPN を設定する 」セクションを参照してください。
MPLS ベースラインの設定(必要な場合)
レイヤー 2 VPN を設定する前に、PE デバイスに動作する MPLS ベースラインがあることを確認してください。すでに MPLS ベースラインがある場合は、手順を省略して、レイヤー 2 VPN をローカル PE デバイスに追加できます。
-
ホスト名を設定します。
[edit] user@pe2# set system host-name pe2
-
インターフェイスを設定します。
[edit] user@pe2# set interfaces ge-0/0/1 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
注意:レイヤー 2 VPN は、プロバイダ ネットワークにおけるフラグメント化をサポートしていません。プロバイダ ネットワークは、MPLS および VRF(仮想ルーティングおよび転送)ラベルが PE デバイスによって追加された 後 に CE デバイスが生成できる最大のフレームをサポートすることが重要です。この例では、CEデバイスをデフォルトの1500バイト最大送信単位MTU(MTU)に残し、4,000バイトMTUをサポートするようにプロバイダーコアを設定します。この設定は、CEデバイスがプロバイダーのネットワークのMTUを超えないようにすることで、破棄を回避します。
-
プロトコルを設定します。
メモ:トラフィックエンジニアリングは、RSVP信号化されたLSPでサポートされていますが、基本的なMPLSスイッチングやVPNの導入には必要ありません。提供された MPLS ベースラインは、RSVP を使用して LSP に信号を送り、OSPF のトラフィック エンジニアリングを可能にします。ただし、パス制約が設定されていないので、LSPが内部ゲートウェイプロトコルの最短パスを介してルーティングされることを期待しています。
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe2# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface ge-0/0/1.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface ge-0/0/1.0
-
リモート PE デバイスのループバック アドレスへの LSP を定義します。
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
手順
手順
以下の手順に従って、レイヤー 2 VPN の PE2 デバイスを設定します。
エッジに面したインターフェイスのカプセル化とファミリーを設定します。これはタグなしインターフェイスであるため、ユニット0のみがファミリーに有効であることを思い
ccc出してください。[edit]user@pe2# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe2# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE2 to CE2"
BGP グループを設定します。PEデバイスのループバックアドレスをローカルアドレスとして指定し、 を有効にします
family l2vpn signaling。[edit protocols bgp] user@pe2# set group ibgp local-address 192.168.0.3 family l2vpn signaling
BGPグループタイプを内部として設定します。
[edit protocols bgp] user@pe2# set group ibgp type internal
PE1デバイスをBGPネイバーとして設定します。BGP ネイバーとして PE1 のループバック アドレスを指定してください。
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
BGP 自律システム番号を設定します。
[edit routing-options] user@pe2# set autonomous-system 65412
ルーティングインスタンスを設定します。まず、 でインスタンス名l2vpn1を
instance-typel2vpn指定します。[edit routing-instances] user@pe2# set l2vpn1 instance-type l2vpn
PE デバイスのカスタマー エッジに面したインターフェイスがルーティング インスタンスに属するように設定します。
[edit routing-instances] user@pe2# set l2vpn1 interface ge-0/0/0
インスタンスのルート区別を設定します。
[edit routing-instances] user@pe2# set l2vpn1 route-distinguisher 192.168.0.3:12
インスタンスのVPN仮想ルーティングおよび転送(VRF)テーブルルートターゲットを設定します。割り当てられたターゲットは、PE1 デバイスで設定されたものと一致する必要があります。
[edit routing-instances] user@pe2# set l2vpn1 vrf-target target:65412:12
プロトコルのインスタンスを
l2vpn設定し、エッジに面したリンクで使用されるカプセル化を指定します。[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn encapsulation-type ethernet
インスタンス
l2vpnの階層の下に、PE デバイスのエッジに面したインターフェイスと説明を追加します。[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE2 and CE2"
インスタンスのレイヤー2 VPNサイト情報を設定し、ローカルサイトの下にあるPEデバイスのエッジに面したインターフェイスを一覧表示します。PE2 デバイスに設定されたローカル サイト ID は、PE1 デバイスで設定したリモート サイト ID と一致する必要があり、その逆も同様です。
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-2 site-identifier 2 interface ge-0/0/0.0 remote-site-id 1
メモ:この例では、PE2 デバイスのサイト ID は 2 で、PE1 デバイスのサイト ID は 1 です。PE2 デバイスの場合、リモート サイトは値 1 で
remote-site-id正しく設定されています。PE2 デバイスで変更をコミットし、CLI 動作モードに戻ります。
[edit] user@pe1# commit and-quit
結果
PE2 デバイス上の設定の結果を表示します。
user@pe2# show
interfaces {
ge-0/0/0 {
description "Link from PE2 to CE2";
encapsulation ethernet-ccc;
unit 0 {
family ccc;
}
}
ge-0/0/1 {
description "Link from PE2 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
l2vpn1 {
protocols {
l2vpn {
interface ge-0/0/0.0 {
description "L2vpn Link Between PE2 and CE2" ;
}
site CE-2 {
interface ge-0/0/0.0 {
remote-site-id 1;
}
site-identifier 2;
}
encapsulation-type ethernet;
}
}
instance-type l2vpn;
interface ge-0/0/0.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family l2vpn {
signaling;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface ge-0/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0;
interface ge-0/0/1.0;
}
}
rsvp {
interface lo0.0;
interface ge-0/0/1.0;
}
}
検証
これらのタスクを実行して、MPLS ベースのレイヤー 2 VPN が正しく動作することを確認します。
- プロバイダOSPF隣接関係とルート交換の確認
- MPLSおよびRSVPインターフェイス設定の確認
- RSVP シグナル化 LSP の検証
- BGPセッションステータスの確認
- ルーティング テーブルでのレイヤー 2 VPN ルートの検証
- レイヤー 2 VPN 接続ステータスの確認
- レイヤー 2 VPN 接続を使用したリモート PE デバイスの Ping
- レイヤー 2 VPN を介した CE デバイスのエンドツーエンド運用の検証
プロバイダOSPF隣接関係とルート交換の確認
目的
隣接関係ステータスとリモート プロバイダ デバイスのループバック アドレスへの OSPF 学習ルートを検証することで、プロバイダ ネットワークで OSPF プロトコルが正しく機能していることを確認します。MPLS LSP の確立を成功に導くには、適切な IGP 操作が不可欠です。
アクション
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 ge-0/0/1.0 Full 192.168.0.2 128 38
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w5d 20:48:59, metric 1 192.168.0.3/32 *[OSPF/10] 2w0d 00:08:30, metric 2
意味
出力は、PE1 デバイスが P デバイス(192.168.0.2)に OSPF 隣接関係を確立したことを示しています。また、P およびリモート PE デバイス ループバック アドレス()と(192.168.0.2192.168.0.3)がローカル PE デバイスで OSPF を介して学習されていることも示しています。
MPLSおよびRSVPインターフェイス設定の確認
目的
RSVP および MPLS プロトコルが PE デバイスのコアに面したインターフェースで動作するように設定されていることを確認します。また、このステップでは、コアに family mpls 面したインターフェイスのユニットレベルで正しく設定されていることを確認します。
アクション
user@pe1> show mpls interface Interface State Administrative groups (x: extended) ge-0/0/1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
ge-0/0/1.0 Up 1 100% 1000Mbps 1000Mbps 0bps 0bps
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
意味
出力は、MPLS と RSVP がローカル PE デバイスのコアに面したループバック インターフェイスで正しく設定されていることを示しています。
RSVP シグナル化 LSP の検証
目的
PE デバイス間で RSVP セッション(イングレスおよびエグレス)が正しく確立されていることを確認します。
アクション
user@pe1> show rsvp session To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 299888 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
意味
出力は、イングレスおよびエグレス RSVP セッションの両方が PE デバイス間で正しく確立されていることを示しています。LSP の確立が成功すると、MPLS ベースラインが動作していることを示します。
BGPセッションステータスの確認
目的
レイヤー 2 VPN ネットワーク層到達可能性情報(NLRI)のサポートにより、PE デバイス間の BGP セッションが正しく確立されていることを確認します。
アクション
user@pe1> show bgp summary
Threading mode: BGP I/O
Groups: 1 Peers: 1 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l2vpn.0
1 1 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.0.3 65412 6 5 0 0 1:34 Establ
bgp.l2vpn.0: 1/1/1/0
l2vpn1.l2vpn.0: 1/1/1/0
意味
出力は、リモートPEデバイスへのBGPセッション()が正しく確立されており(192.168.0.3Establ)、フィールドをUp/Dwn介してセッションが現在の状態()にある時間を1:34示しています。また、リモートPEデバイスに送信()およびリモート5PEデバイスから受信したBGP6パケットの数も表示します。フィールドはflaps、状態遷移が起こらなかった(0)ことを確認し、セッションが安定していることを示します。また、レイヤー 2 VPN NLRI は PE デバイス間で正しく交換されていることに注意してください。この出力は、PE デバイス間の BGP ピアリングがレイヤー 2 VPN をサポートする準備ができているか確認します。
ルーティング テーブルでのレイヤー 2 VPN ルートの検証
目的
PE1 デバイス上のルーティング テーブルに、CE デバイス間のトラフィック転送に使用されるレイヤー 2 VPN ルートが設定されていることを確認します。
アクション
user@pe1> show route table bgp.l2vpn.0
bgp.l2vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:2:1/96
*[BGP/170] 00:51:36, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
user@pe1> show route table l2vpn1.l2vpn.0
l2vpn1.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.1:12:1:1/96
*[L2VPN/170/-101] 01:48:30, metric2 1
Indirect
192.168.0.3:12:2:1/96
*[BGP/170] 00:51:57, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
意味
コマンド show route table bgp.l2vpn.0 は、PE デバイスで受信したすべてのレイヤー 2 VPN ルートを表示します。コマンド show route table l2vpn1.l2vpn.0 は、一致するルート ターゲットの結果としてルーティング インスタンスに l2vpn1 インポートされたレイヤー 2 VPN ルートを示しています。この l2vpn1.l2vpn.0 表には、ローカルPEデバイスのレイヤー2 VPNルートと、リモートPEデバイスへのBGPピアリングを介して学習したリモートルートの両方が含まれています。どちらの表も、リモートレイヤー2 VPNルートが、転送ネクストホップとしてLSPに lsp_to_pe2 正しく関連付けられていることを示しています。出力は、ローカル PE デバイスが PE2 デバイスからリモートカスタマーサイトについて学習したことを確認します。また、プロバイダ ネットワーク上で MPLS トランスポートを使用して、レイヤー 2 VPN トラフィックを PE2 デバイスに転送できることを示しています。
レイヤー 2 VPN 接続ステータスの確認
目的
レイヤー 2 VPN 接続のステータスを確認します。
アクション
user@pe1> show l2vpn connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: l2vpn1
Edge protection: Not-Primary
Local site: CE-1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Jul 28 10:47:18 2020 1
Remote PE: 192.168.0.3, Negotiated control-word: Yes (Null)
Incoming label: 800009, Outgoing label: 800006
Local interface: ge-0/0/0.0, Status: Up, Encapsulation: ETHERNET
Flow Label Transmit: No, Flow Label Receive: No
意味
出力のフィールドはSt、 へのレイヤー 2 VPN 接続connection-site 2 Remote PE 192.168.0.3が であることをUp示しています。また、出力は PE デバイスのエッジに面したインターフェイス名ge-0/0/0.0と動作ステータスを としてup確認します。また、PE デバイスの顧客向けインターフェイスでイーサネット カプセル化が設定されていることを確認します。これは、この例で使用するタグなしイーサネットインターフェイスに対する正しいカプセル化です。これまでのところ実行された検証手順は、レイヤー 2 VPN の制御プレーンが動作していることを示しています。以下の手順で、レイヤー 2 VPN のデータ プレーンを検証します。
レイヤー 2 VPN 接続を使用したリモート PE デバイスの Ping
目的
ローカルおよびリモート PE デバイス間のレイヤー 2 VPN 接続を検証します。コマンドの ping mpls l2vpn 2 つの形式が表示されます。両方のテストレイヤー2 VPNルーティングとPEデバイス間のMPLS転送。1 つ目のコマンドでは、単一のリモート サイトを想定し、2 番目のコマンドではローカル サイトとリモート サイトの識別子を指定します。これは、マルチサイトのレイヤー 2 VPN をテストする場合に便利です。これは、リモート サイト ID を使用して、目的のリモート PE デバイスをターゲットにできるからです。
コマンドは ping mpls l2vpn 、PE デバイス間のレイヤー 2 VPN ルート交換と MPLS 転送を検証します。これは、ローカル PE のレイヤー 2 VPN ルーティング インスタンスからリモート PE デバイスの 127.0.0.1 ループバック アドレスへのトラフィックを生成することで行われます。このコマンドは、CEデバイスインターフェイスまたはその設定の動作を検証しません。これは、CE デバイスの動作が、レイヤー 2 VPN のプロバイダ ネットワークに不透明であるためです。
アクション
user@pe1> ping mpls l2vpn interface ge-0/0/0.0 reply-mode ip-udp !!!!! --- lsping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss
user@pe1> ping mpls l2vpn instance l2vpn1 remote-site-id 2 local-site-id 1 detail
Request for seq 1, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 1, return code: Egress-ok, time: 593.784 ms
Local transmit time: 2020-07-13 16:15:55 UTC 241.357 ms
Remote receive time: 2020-07-13 16:15:55 UTC 835.141 ms
Request for seq 2, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 2, return code: Egress-ok, time: 591.700 ms
Local transmit time: 2020-07-13 16:15:56 UTC 241.405 ms
Remote receive time: 2020-07-13 16:15:56 UTC 833.105 ms
Request for seq 3, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 3, return code: Egress-ok, time: 626.084 ms
Local transmit time: 2020-07-13 16:15:57 UTC 241.407 ms
Remote receive time: 2020-07-13 16:15:57 UTC 867.491 ms
Request for seq 4, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 4, return code: Egress-ok, time: 593.061 ms
Local transmit time: 2020-07-13 16:15:58 UTC 241.613 ms
Remote receive time: 2020-07-13 16:15:58 UTC 834.674 ms
Request for seq 5, to interface 334, labels <800002, 299840>, packet size 88
Reply for seq 5, return code: Egress-ok, time: 594.192 ms
Local transmit time: 2020-07-13 16:15:59 UTC 241.357 ms
Remote receive time: 2020-07-13 16:15:59 UTC 835.549 ms
--- lsping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
意味
出力は、PE デバイス間でレイヤー 2 VPN 転送プレーンが正しく動作していることを確認します。
レイヤー 2 VPN を介した CE デバイスのエンドツーエンド運用の検証
目的
CE デバイス間のレイヤー 2 VPN 接続を検証します。このステップでは、CEデバイスに運用インターフェイスがあり、レイヤー2接続用に正しく設定されていることを確認します。これは、CEデバイスがOSPF隣接関係を確立し、ループバックアドレス間でトラフィックをエンドツーエンドで渡すことができることを確認することで行われます。
アクション
user@ce1> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.2 ge-0/0/0.0 Full 172.16.255.2 128 32
user@ce1> show ospf route | match 172
172.16.255.2/32 *[OSPF/10] 01:34:50, metric 1
> to 172.16.1.2 via ge-0/0/0.0
user@ce1> ping 172.16.255.2 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=64 time=4.404 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=64 time=5.807 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.404/5.106/5.807/0.702 ms
意味
出力は、CE デバイス間でレイヤー 2 VPN 接続が正しく動作していることを示しています。ローカルCEデバイスがプロバイダーコアからリモートCEデバイスへのOSPF隣接関係を確立していること、およびローカルCEデバイス 172.16.1.2がOSPFを介してリモートCEデバイスのループバックアドレス 172.16.255.2 へのルートを学習したことを確認します。また、CEデバイスは、ローカルフラグメント化を呼び出すことなく、1500バイトIPパケットを渡すことができることも出力されています。また、pingの成功により、フレームがプロバイダーのネットワークでサポートされているMTUを超えないことを確認します。
コマンドに追加されたping引数はsize、1,472 バイトのエコー データを生成します。さらに 8 バイトの ICMP(インターネット制御メッセージ プロトコル)と 20 バイトの IP ヘッダーが追加され、合計パケット サイズが 1500 バイトになります。スイッチをdo-not-fragment追加することで、CEデバイスはローカルMTUに基づいてフラグメント化を実行できません。この方法は、CE デバイス間で標準長イーサネット フレームを送信する際に、フラグメント化が起きる(必要はない)ことを確認します。