예: MPLS 기반 레이어 2 VPN 구성
이 예는 Junos OS 실행하는 라우터 또는 스위치에서 MPLS 기반 레이어 2 VPN을 구성하고 검증하는 방법을 보여줍니다.
주니퍼의 콘텐츠 테스트 팀은 이 예제를 검증하고 업데이트했습니다.
Junos OS 실행하는 라우터와 스위치를 사용하여 MPLS 기반 레이어 2 가상 프라이빗 네트워크를 구축하여 고객 사이트를 레이어 2 연결과 상호 연결할 수 있습니다. 레이어 2 VPN은 고객이 선택한 전송 및 라우팅 프로토콜을 완전히 제어할 수 있도록 해줍니다.
MPLS 기반 VPN에는 프로바이더 네트워크에서 기본 MPLS 기능이 필요합니다. 기본 MPLS 작동되면 공급자의 코어를 통해 전송하기 위해 LSP(Label Switched Path)를 사용하는 VPN을 구성할 수 있습니다.
VPN 서비스의 추가는 프로바이더 네트워크의 기본 MPLS 스위칭 작업에 영향을 미치지 않습니다. 실제로 공급자(P) 디바이스는 VPN을 인식하지 못하기 때문에 기준 MPLS 구성만 필요로 합니다. VPN 상태는 PE 디바이스에서만 유지됩니다. 이것이 바로 MPLS 기반 VPN의 확장성이 뛰어난 주요 이유입니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
Junos OS 릴리스 15.1 이상
Junos OS 릴리스 20.1R1에서 재검증
PE(Provider Edge) 디바이스 2개
하나의 프로바이더는 (P) 디바이스
두 개의 고객 에지(CE) 디바이스
이 예에서는 레이어 2 VPN을 기존 MPLS 베이스라인에 추가하는 방법에 초점을 맞춥니다. 네트워크에 MPLS 구축되지 않은 경우 기본 MPLS 구성이 제공됩니다.
MPLS 기반 VPN을 지원하려면 기본 MPLS 기준선은 다음 기능을 제공해야 합니다.
코어 대면 및 루프백 인터페이스를 MPLS 패밀리 지원으로 작동
OSPF 또는 IS-IS와 같은 내부 게이트웨이 프로토콜로 프로바이더(P 및 PE) 디바이스의 루프백 주소 간 연결성을 제공합니다.
LDP 또는 RSVP와 같은 MPLS 신호 전송 프로토콜로 LSP에 신호를 전송
PE 디바이스 루프백 주소 간에 설정된 LSP
LSP는 주어진 VPN에 참여하는 각 PE 디바이스 쌍 간에 필요합니다. 모든 PE 디바이스 간에 LSP를 구축하여 향후 VPN 성장을 수용하는 것이 좋습니다. 계층 수준에서 LSP를 [edit protocols mpls]
구성합니다. CCC(circuit cross-connect)를 위한 MPLS 구성과 달리, LSP를 PE 디바이스의 고객 대면(에지) 인터페이스와 수동으로 연결할 필요는 없습니다. 대신 레이어 2 VPN은 BGP 신호를 사용하여 레이어 2 사이트 연결성을 전달합니다. 이 BGP 신호 전송은 원격 레이어 2 VPN 사이트를 LSP 포워딩 다음 홉에 매핑하는 작업을 자동화합니다. 즉, PE 디바이스의 에지 대면 인터페이스에 대한 LSP의 레이어 2 VPN 명시적 매핑이 필요하지 않습니다.
CCC에 대한 자세한 내용은 레이어 2 서킷을 사용하여 MPLS 기반 VLAN CCC 구성을 참조하십시오.
개요 및 토폴로지
레이어 2 VPN은 프로바이더와 고객 네트워크 간의 완전한 분리를 제공합니다. 레이어 2 VPN의 이점에는 비표준 전송 프로토콜에 대한 지원 및 고객과 프로바이더 네트워크 간의 링크 주소 지정 및 라우팅 프로토콜 작업의 격리 등이 있습니다.
VPN의 정의에는 로컬 및 원격 PE 디바이스에 대한 변경만 포함됩니다. 이러한 디바이스는 기본 MPLS 스위칭 기능만 제공하기 때문에 공급자 디바이스(기본 MPLS 지원 외)에는 추가 구성이 필요하지 않습니다. CE 디바이스는 MPLS 사용하지 않습니다. 레이어 2 VPN을 통해 작동하려면 기본 인터페이스만 필요하고 원하는 경우 프로토콜 구성만 필요합니다. 레이어 2 VPN의 경우 CE 디바이스가 공유 링크에 연결된 것처럼 구성합니다.
MPLS 기준선이 설정되면 PE 디바이스에서 다음 기능을 구성하여 MPLS 기반 레이어 2 VPN을 구축해야 합니다.
BGP 그룹이
family l2vpn signaling
인스턴스 유형이 있는 라우팅 인스턴스
l2vpn
PE 디바이스의 고객 대면 인터페이스는 다음과 같이 구성되어야 합니다.
VLAN 태깅 사용 여부에 따라 물리적 레이어 캡슐화를 지정
ethernet-ccc
하거나vlan-ccc
지정합니다.라우팅 인스턴스 구성에서 일치하는 캡슐화 유형을 구성합니다.
을(를) 사용하여 레이어 2 VPN
family ccc
에 사용되는 논리적 인터페이스(단위)를 구성합니다.
그림 1 은 이 MPLS 기반 레이어 2 VPN 예제의 토폴로지 를 제공합니다. 이 그림에서는 프로바이더 네트워크에서 사용되는 인터페이스 이름, IP 주소 지정 및 프로토콜에 대해 자세히 설명합니다. 또한 CE 디바이스 주소 지정 및 프로토콜 스택 작업의 엔드 투 엔드 특성을 강조 표시합니다. 레이어 3 VPN과 달리 CE 디바이스 작업은 레이어 2 VPN의 프로바이더 네트워크에는 불투명합니다. CE 디바이스와 공급자 네트워크 사이에는 피어링 관계가 없습니다. 결과적으로 CE 디바이스가 공급자 네트워크가 아닌 에 걸쳐 OSPF 인접성을 형성 할 것으로 예상합니다.
빠른 구성
이 섹션 구성을 사용하여 MPLS 기반 레이어 2 VPN을 빠르게 가동할 수 있습니다. 구성에는 레이어 2 VPN을 지원하기 위한 기능 MPLS 기준이 포함됩니다. 이 예는 구성의 VPN 측면에 초점을 맞춥니다. 이 예에서 사용되는 기본 MPLS 기능에 대한 추가 정보는 다음 링크를 참조하십시오.
CLI 빠른 구성
디바이스 구성은 관리 인터페이스, 정적 경로, 시스템 로깅, 시스템 서비스 및 사용자 로그인 정보를 생략합니다. 이러한 구성 부분은 위치에 따라 다르며 MPLS 또는 VPN 기능과 직접 관련이 없습니다.
환경의 세부 사항에 대해 필요에 따라 다음 명령을 편집하고 로컬 CE(CE1) 디바이스 터미널 창에 붙여 넣습니다.
CE1 디바이스에 대한 전체 구성.
set system host-name ce1 set interfaces ge-0/0/0 description "Link from CE1 to PE1" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
환경의 세부 사항에 대해 필요에 따라 다음 명령을 편집하고 로컬 PE(PE1) 디바이스 터미널 창에 붙여 넣습니다.
PE1 디바이스에 대한 전체 구성.
set system host-name pe1 set interfaces ge-0/0/0 description "Link from PE1 to CE1" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE1 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE1 AND CE1" set routing-instances l2vpn1 protocols l2vpn site CE-1 interface ge-0/0/0.0 remote-site-id 2 set routing-instances l2vpn1 protocols l2vpn site CE-1 site-identifier 1 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.1:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
P 디바이스에 대한 전체 구성.
set system host-name p set interfaces ge-0/0/0 description "Link from P-router to PE1" set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 unit 0 family inet address 10.1.23.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 description "Link from P-router to PE2" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface ge-0/0/0.0 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/0.0 set protocols rsvp interface ge-0/0/1.0
PE2 디바이스에 대한 전체 구성.
set system host-name pe2 set interfaces ge-0/0/0 description "Link from PE2 to CE2" set interfaces ge-0/0/0 encapsulation ethernet-ccc set interfaces ge-0/0/0 unit 0 family ccc set interfaces ge-0/0/1 description "Link from PE2 to P-router" set interfaces ge-0/0/1 mtu 4000 set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "EDGE LINK BETWEEN PE2 AND CE2" set routing-instances l2vpn1 protocols l2vpn site CE-2 interface ge-0/0/0.0 remote-site-id 1 set routing-instances l2vpn1 protocols l2vpn site CE-2 site-identifier 2 set routing-instances l2vpn1 protocols l2vpn encapsulation-type ethernet set routing-instances l2vpn1 instance-type l2vpn set routing-instances l2vpn1 interface ge-0/0/0.0 set routing-instances l2vpn1 route-distinguisher 192.168.0.3:12 set routing-instances l2vpn1 vrf-target target:65412:12 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family l2vpn signaling set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface ge-0/0/1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0
CE2 디바이스에 대한 전체 구성.
set system host-name ce2 set interfaces ge-0/0/0 description "Link from CE2 to PE2" set interfaces ge-0/0/0 unit 0 family inet address 172.16.1.2/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
작업에 만족할 때 모든 디바이스에서 구성 변경 사항을 커밋해야 합니다. 새로운 MPLS 기반 레이어 2 VPN을 축하합니다! VPN이 예상대로 작동하는지 확인하는 데 필요한 단계는 검증 섹션을 참조하십시오.
MPLS 기반 레이어 2 VPN에 대한 로컬 PE(PE1) 디바이스 구성
이 섹션에서는 이 예에 대한 PE1 디바이스를 구성하는 데 필요한 단계를 다룹니다. 예: 이 예에서 사용되는 CE 디바이스 및 P 디바이스 구성에 대한 MPLS 기반 레이어 2 VPN 섹션을 구성합니다.
MPLS 베이스라인 구성(필요한 경우)
레이어 2 VPN을 구성하기 전에 PE 디바이스에 작동 MPLS 기준이 있는지 확인합니다. 이미 MPLS 기준선이 있는 경우 단계별 절차로 건너뛰고 로컬 PE 디바이스에 레이어 2 VPN을 추가할 수 있습니다.
-
호스트 이름을 구성합니다.
[edit] user@pe1# set system host-name pe1
-
인터페이스를 구성합니다.
[edit] user@pe1# set interfaces ge-0/0/1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
주의:레이어 2 VPN은 프로바이더 네트워크에서 단편화를 지원하지 않습니다. 프로바이더 네트워크는 MPLS 가상 라우팅 및 포워딩(VRF) 레이블이 PE 디바이스에 의해 추가된 후 CE 디바이스가 생성할 수 있는 가장 큰 프레임을 지원하는 것이 중요합니다. 이 예는 공급자 코어가 4000바이트 MTU를 지원하도록 구성하는 동안 CE 디바이스를 기본 1500바이트 최대 전송 단위(MTU)로 둡니다. 이 구성은 CE 디바이스가 공급자 네트워크의 MTU를 초과할 수 없도록 함으로써 폐기되는 것을 방지합니다.
-
프로토콜을 구성합니다.
참고:트래픽 엔지니어링은 RSVP 신호 LSP에 지원되지만 기본 MPLS 스위칭 또는 VPN 구축에는 필요하지 않습니다. 제공된 MPLS 기준선은 RSVP를 사용하여 LSP에 신호를 전송하고 최단 경로 우선(OSPF)에 대한 트래픽 엔지니어링을 활성화합니다. 그러나 LSP가 내부 게이트웨이 프로토콜의 최단 경로를 통해 라우팅될 것으로 예상하므로 경로 제약이 구성되지 않습니다.
[edit ]user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe1# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface ge-0/0/1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface ge-0/0/1.0
-
원격 PE 디바이스의 루프백 주소에 LSP를 정의합니다.
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
절차
단계별 절차
레이어 2 VPN에 대한 PE1 디바이스를 구성하려면 다음 단계를 따르십시오.
에지 대면 인터페이스를 구성합니다. 유닛 0에서 의
ethernet-ccc
family ccc
물리적 캡슐화 유형을 지정합니다. 태그가 지정되지 않은 이더넷 인터페이스에 대한 유일한 유효한 장치 번호입니다. VLAN 태깅을 사용하는 경우 캡슐화를 지정vlan-ccc
하고 CCC 패밀리를 원하는 장치에 추가합니다.팁:동일한 PE 디바이스에서 MPLS 기반 레이어 2 VPN과 MPLS 기반 레이어 3 VPN을 모두 구성할 수 있습니다. 그러나 동일한 고객 에지 대면 인터페이스를 구성하여 레이어 2 VPN과 레이어 3 VPN을 모두 지원할 수는 없습니다.
[edit]user@pe1# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe1# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE1 to CE1"
참고:레이어 2 VPN은 PE 디바이스의 에지 대면 인터페이스를 디바이스 수준에서 CCC 패밀리가 구성된 물리적 디바이스 수준에서 CCC 캡슐화로 구성해야 합니다. 공급자 디바이스는 CCC, MPLS 기반 레이어 2 VPN 또는 MPLS 기반 레이어 3 VPN 구축 시와 동일한 방식으로 구성됩니다. 에지 대면 인터페이스나 VPN 인식이 없기 때문입니다.
로컬 및 원격 PE 디바이스 간의 피어링을 위한 BGP 그룹을 구성합니다. PE 디바이스의 루프백 주소를 로컬 주소로 사용하고 을(를) 활성화합니다
family l2vpn signaling
.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 family l2vpn signaling
BGP 그룹 유형을 내부 유형으로 구성합니다.
[edit protocols bgp] user@pe1# set group ibgp type internal
원격 PE 디바이스의 루프백 주소를 BGP neighbor로 구성합니다.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
BGP AS(Autonomous System) 번호를 구성합니다.
[edit routing-options] user@pe1# set autonomous-system 65412
라우팅 인스턴스를 구성합니다. 을(를) 으로 인스턴스 이름을 l2vpn1지정하는 것으로
instance-type
l2vpn
시작합니다.[edit routing-instances] user@pe1# set l2vpn1 instance-type l2vpn
라우팅 인스턴스에 속하도록 PE 디바이스의 고객 대면 인터페이스를 구성합니다.
[edit routing-instances] user@pe1# set l2vpn1 interface ge-0/0/0
라우팅 인스턴스의 경로 식별자를 구성합니다. 이 설정은 특정 PE 디바이스의 특정 VRF에서 전송된 경로를 구별하는 데 사용됩니다. 각 PE 디바이스의 각 라우팅 인스턴스에 대해 고유해야 합니다.
[edit routing-instances] user@pe1# set l2vpn1 route-distinguisher 192.168.0.1:12
인스턴스의 가상 라우팅 및 포워딩(VRF) 테이블 경로 대상을 구성합니다. 문은
vrf-target
모든 보급 경로에 지정된 커뮤니티 태그를 추가하는 동시에 경로 가져오기에 대해 동일한 값을 자동으로 일치합니다. 적절한 경로 교환을 위해 주어진 VPN을 공유하는 PE 디바이스에서 일치하는 경로 대상을 구성해야 합니다.[edit routing-instances] user@pe1# set l2vpn1 vrf-target target:65412:12
참고:가져오기 및 내보내기 옵션을 사용하여 VRF 가져오기 및 내보내기 정책을 명시적으로 구성하여 보다 복잡한 정책을 만들 수 있습니다. 자세한 내용은 vrf-import 및 vrf-export 을 참조하십시오.
인스턴스에서
l2vpn
프로토콜을 구성하고 에지 대면 링크에서 사용되는 캡슐화를 지정합니다. 에지 인터페이스에 VLAN 태그가 지정되면 을(를) 지정ethernet-vlan
해야 합니다.[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn encapsulation-type ethernet
인스턴스의
l2vpn
스탠자 아래에 설명과 함께 에지 대면 인터페이스를 추가합니다.[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE1 and CE1"
레이어 2 VPN 사이트 정보를 구성하고 에지 대면 인터페이스를 로컬 고객 사이트와 연결합니다.
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-1 site-identifier 1 interface ge-0/0/0.0 remote-site-id 2
참고:이 예에서 PE1 디바이스의 사이트 ID는 1 이고 PE2 디바이스의 사이트 ID는 2입니다. 로컬 PE 디바이스(PE1)의 경우 원격 사이트가 2 값으로
remote-site-id
올바르게 구성됩니다.PE1 디바이스에서 변경 사항을 커밋하고 CLI 운영 모드로 돌아갑니다.
[edit] user@pe1# commit and-quit
결과
PE1 디바이스에 구성 결과를 표시합니다. 출력은 이 예에 추가된 기능 구성만 반영합니다.
user@pe1> show configuration interfaces { ge-0/0/0 { description "Link from PE1 to CE1"; encapsulation ethernet-ccc; unit 0 { family ccc; } } ge-0/0/1 { description "Link from PE1 to P-router"; mtu 4000; unit 0 { family inet { address 10.1.23.1/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.168.0.1/32; } } } } routing-instances { l2vpn1 { protocols { l2vpn { interface ge-0/0/0.0 { description "L2vpn Link Between PE1 and CE1" ; } site CE-1 { interface ge-0/0/0.0 { remote-site-id 2; } site-identifier 1; } encapsulation-type ethernet; } } instance-type l2vpn; interface ge-0/0/0.0; route-distinguisher 192.168.0.1:12; vrf-target target:65412:12; } } routing-options { autonomous-system 65412; } protocols { bgp { group ibgp { type internal; local-address 192.168.0.1; family l2vpn { signaling; } neighbor 192.168.0.3; } } mpls { label-switched-path lsp_to_pe2 { to 192.168.0.3; } interface ge-0/0/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface ge-0/0/1.0; } } rsvp { interface lo0.0; interface ge-0/0/1.0; } }
MPLS 기반 레이어 2 VPN에 대한 원격 PE(PE2) 디바이스 구성
이 섹션에서는 이 예에 대한 PE2 디바이스를 구성하는 데 필요한 단계를 다룹니다. 예: 이 예에서 사용되는 CE 디바이스 및 P 디바이스 구성에 대한 MPLS 기반 레이어 2 VPN 섹션을 구성합니다.
MPLS 베이스라인 구성(필요한 경우)
레이어 2 VPN을 구성하기 전에 PE 디바이스에 작동 MPLS 기준이 있는지 확인합니다. 이미 MPLS 기준선이 있는 경우 단계별 절차로 건너뛰고 로컬 PE 디바이스에 레이어 2 VPN을 추가할 수 있습니다.
-
호스트 이름을 구성합니다.
[edit] user@pe2# set system host-name pe2
-
인터페이스를 구성합니다.
[edit] user@pe2# set interfaces ge-0/0/1 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces ge-0/0/1 mtu 4000 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces ge-0/0/1 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
주의:레이어 2 VPN은 프로바이더 네트워크에서 단편화를 지원하지 않습니다. 프로바이더 네트워크는 MPLS 가상 라우팅 및 포워딩(VRF) 레이블이 PE 디바이스에 의해 추가된 후 CE 디바이스가 생성할 수 있는 가장 큰 프레임을 지원하는 것이 중요합니다. 이 예는 공급자 코어가 4000바이트 MTU를 지원하도록 구성하는 동안 CE 디바이스를 기본 1500바이트 최대 전송 단위(MTU)로 둡니다. 이 구성은 CE 디바이스가 공급자 네트워크의 MTU를 초과할 수 없도록 함으로써 폐기되는 것을 방지합니다.
-
프로토콜을 구성합니다.
참고:트래픽 엔지니어링은 RSVP 신호 LSP에 지원되지만 기본 MPLS 스위칭 또는 VPN 구축에는 필요하지 않습니다. 제공된 MPLS 기준선은 RSVP를 사용하여 LSP에 신호를 전송하고 최단 경로 우선(OSPF)에 대한 트래픽 엔지니어링을 활성화합니다. 그러나 LSP가 내부 게이트웨이 프로토콜의 최단 경로를 통해 라우팅될 것으로 예상하므로 경로 제약이 구성되지 않습니다.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 [edit] user@pe2# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface ge-0/0/1.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface ge-0/0/1.0
-
원격 PE 디바이스의 루프백 주소에 LSP를 정의합니다.
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
절차
단계별 절차
레이어 2 VPN에 대한 PE2 디바이스를 구성하려면 다음 단계를 따르십시오.
에지 대면 인터페이스 캡슐화 및 체계를 구성합니다. 태그가 지정되지 않은 인터페이스이므로 제품군에 대해 유닛 0만 유효
ccc
합니다.[edit]user@pe2# set interfaces ge-0/0/0 encapsulation ethernet-ccc [edit] user@pe2# set interfaces ge-0/0/0 unit 0 family ccc [edit] user@pe1# set interfaces ge-0/0/0 description "Link from PE2 to CE2"
BGP 그룹을 구성합니다. PE 디바이스의 루프백 주소를 로컬 주소로 지정하고 을(를) 활성화합니다
family l2vpn signaling
.[edit protocols bgp] user@pe2# set group ibgp local-address 192.168.0.3 family l2vpn signaling
BGP 그룹 유형을 내부 유형으로 구성합니다.
[edit protocols bgp] user@pe2# set group ibgp type internal
PE1 디바이스를 BGP neighbor로 구성합니다. PE1의 루프백 주소를 BGP neighbor로 지정해야 합니다.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
BGP AS(Autonomous System) 번호를 구성합니다.
[edit routing-options] user@pe2# set autonomous-system 65412
라우팅 인스턴스를 구성합니다. 을(를) 으로 인스턴스 이름을 l2vpn1 지정하는 것으로
l2vpn
instance-type
시작합니다.[edit routing-instances] user@pe2# set l2vpn1 instance-type l2vpn
라우팅 인스턴스에 속하도록 PE 디바이스의 고객 에지 대면 인터페이스를 구성합니다.
[edit routing-instances] user@pe2# set l2vpn1 interface ge-0/0/0
인스턴스의 경로 식별자를 구성합니다.
[edit routing-instances] user@pe2# set l2vpn1 route-distinguisher 192.168.0.3:12
인스턴스의 VPN 가상 라우팅 및 포워딩(VRF) 테이블 경로 대상을 구성합니다. 할당된 대상은 PE1 디바이스에서 구성된 대상과 일치해야 합니다.
[edit routing-instances] user@pe2# set l2vpn1 vrf-target target:65412:12
프로토콜의 인스턴스를
l2vpn
구성하고 에지 대면 링크에 사용되는 캡슐화를 지정합니다.[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn encapsulation-type ethernet
설명과 함께 인스턴스의 계층 아래에 PE 디바이스의
l2vpn
에지 대면 인터페이스를 추가합니다.[edit routing-instances] user@pe2# set l2vpn1 protocols l2vpn interface ge-0/0/0.0 description "L2vpn Link Between PE2 and CE2"
인스턴스의 레이어 2 VPN 사이트 정보를 구성하고 PE 디바이스의 에지 대면 인터페이스를 로컬 사이트 아래에 나열합니다. PE2 디바이스에 구성된 로컬 사이트 ID는 PE1 디바이스에서 구성한 원격 사이트 ID와 일치해야 하며, 그 반대의 경우도 마찬가지입니다.
[edit routing-instances] user@pe1# set l2vpn1 protocols l2vpn site CE-2 site-identifier 2 interface ge-0/0/0.0 remote-site-id 1
참고:이 예에서 PE2 디바이스의 사이트 ID는 2 이고 PE1 디바이스의 사이트 ID는 1입니다. PE2 디바이스의 경우 원격 사이트가 1 값으로
remote-site-id
올바르게 구성됩니다.PE2 디바이스에서 변경 사항을 커밋하고 CLI 운영 모드로 돌아갑니다.
[edit] user@pe1# commit and-quit
결과
PE2 디바이스에 구성 결과를 표시합니다.
user@pe2# show
interfaces { ge-0/0/0 { description "Link from PE2 to CE2"; encapsulation ethernet-ccc; unit 0 { family ccc; } } ge-0/0/1 { description "Link from PE2 to P-router"; mtu 4000; unit 0 { family inet { address 10.1.34.2/24; } family mpls; } } lo0 { unit 0 { family inet { address 192.168.0.3/32; } } } } routing-instances { l2vpn1 { protocols { l2vpn { interface ge-0/0/0.0 { description "L2vpn Link Between PE2 and CE2" ; } site CE-2 { interface ge-0/0/0.0 { remote-site-id 1; } site-identifier 2; } encapsulation-type ethernet; } } instance-type l2vpn; interface ge-0/0/0.0; route-distinguisher 192.168.0.3:12; vrf-target target:65412:12; } } routing-options { autonomous-system 65412; } protocols { bgp { group ibgp { type internal; local-address 192.168.0.3; family l2vpn { signaling; } neighbor 192.168.0.1; } } mpls { label-switched-path lsp_to_pe1 { to 192.168.0.1; } interface ge-0/0/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface ge-0/0/1.0; } } rsvp { interface lo0.0; interface ge-0/0/1.0; } }
확인
MPLS 기반 레이어 2 VPN이 제대로 작동하는지 확인하기 위해 다음 작업을 수행합니다.
- 공급자 OSPF 인접성 및 경로 교환 확인
- MPLS 및 RSVP 인터페이스 설정 확인
- RSVP 신호 LSP 확인
- BGP 세션 상태 확인
- 라우팅 테이블에서 레이어 2 VPN 경로 확인
- 레이어 2 VPN 연결 상태 확인
- 레이어 2 VPN 연결을 사용하여 원격 PE 디바이스 Ping
- 레이어 2 VPN을 통해 CE 디바이스의 엔드투엔드 작동 확인
공급자 OSPF 인접성 및 경로 교환 확인
목적
인접 상태와 원격 프로바이더 디바이스의 루프백 주소에 대한 OSPF 학습 경로를 확인하여 OSPF 프로토콜이 공급자 네트워크에서 제대로 작동하는지 확인합니다. 적절한 IGP 작업은 MPLS LSP를 성공적으로 설정하기 위해 매우 중요합니다.
작업
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 ge-0/0/1.0 Full 192.168.0.2 128 38
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w5d 20:48:59, metric 1 192.168.0.3/32 *[OSPF/10] 2w0d 00:08:30, metric 2
의미
출력은 PE1 디바이스가 P 디바이스(192.168.0.2
)에 대한 OSPF 인접성을 설정했음을 보여줍니다. 또한 P 및 원격 PE 디바이스 루프백 주소() 및 (192.168.0.2
192.168.0.3
)가 로컬 PE 디바이스에서 OSPF를 통해 학습된다는 것을 보여줍니다.
MPLS 및 RSVP 인터페이스 설정 확인
목적
RSVP 및 MPLS 프로토콜이 PE 디바이스의 코어 대면 인터페이스에서 작동하도록 구성되었는지 확인합니다. 또한 이 단계는 코어 대면 인터페이스의 단위 수준에서 올바르게 구성되었는지 확인 family mpls
합니다.
작업
user@pe1> show mpls interface Interface State Administrative groups (x: extended) ge-0/0/1.0 Up <none>
user@pe1> show rsvp interface RSVP interface: 2 active Active Subscr- Static Available Reserved Highwater Interface State resv iption BW BW BW mark ge-0/0/1.0 Up 1 100% 1000Mbps 1000Mbps 0bps 0bps lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
의미
출력은 MPLS 및 RSVP가 로컬 PE 디바이스의 코어 대면 및 루프백 인터페이스에서 올바르게 구성되어 있음을 보여줍니다.
RSVP 신호 LSP 확인
목적
PE 디바이스 간에 RSVP 세션(수신 및 송신)이 올바르게 설정되었는지 확인합니다.
작업
user@pe1> show rsvp session To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 299888 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
의미
출력은 수신 및 송신 RSVP 세션이 모두 PE 디바이스 간에 올바르게 설정됨을 보여줍니다. 성공적인 LSP 설정은 MPLS 기준선이 작동 중임을 나타냅니다.
BGP 세션 상태 확인
목적
PE 디바이스 간의 BGP 세션이 레이어 2 VPN NLRI(Network Layer Reachability Information)에 대한 지원으로 올바르게 설정되었는지 확인합니다.
작업
user@pe1> show bgp summary Threading mode: BGP I/O Groups: 1 Peers: 1 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending bgp.l2vpn.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 192.168.0.3 65412 6 5 0 0 1:34 Establ bgp.l2vpn.0: 1/1/1/0 l2vpn1.l2vpn.0: 1/1/1/0
의미
출력은 원격 PE 디바이스()에 대한 BGP 세션이 올바르게 설정되었는지(192.168.0.3
Establ
) 및 필드를 통해 Up/Dwn
세션이 현재 상태(1:34
)에 얼마나 있었는지 보여줍니다. 또한 원격 PE 디바이스에서 (5
)로 전송 및 수신된 BGP 패킷 수를6
보여줍니다. flaps
필드는 세션이 안정적임을 나타내는 상태 전환이 발생하지 않았음을 확인합니다(0
). 또한 레이어 2 VPN NLRI가 PE 디바이스 간에 올바르게 교환된다는 점에 유의하십시오. 이 출력은 PE 디바이스 간의 BGP 피어링이 레이어 2 VPN을 지원할 준비가 됐 있음을 확인합니다.
라우팅 테이블에서 레이어 2 VPN 경로 확인
목적
PE1 디바이스의 라우팅 테이블 CE 디바이스 간의 트래픽을 전달하는 데 사용되는 레이어 2 VPN 경로로 채워져 있는지 확인합니다.
작업
user@pe1> show route table bgp.l2vpn.0 bgp.l2vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.0.3:12:2:1/96 *[BGP/170] 00:51:36, localpref 100, from 192.168.0.3 AS path: I, validation-state: unverified > to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
user@pe1> show route table l2vpn1.l2vpn.0 l2vpn1.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 192.168.0.1:12:1:1/96 *[L2VPN/170/-101] 01:48:30, metric2 1 Indirect 192.168.0.3:12:2:1/96 *[BGP/170] 00:51:57, localpref 100, from 192.168.0.3 AS path: I, validation-state: unverified > to 10.1.23.2 via ge-0/0/1.0, label-switched-path lsp_to_pe2
의미
명령은 show route table bgp.l2vpn.0
PE 디바이스에서 수신된 모든 레이어 2 VPN 경로를 표시합니다. 명령은 show route table l2vpn1.l2vpn.0
일치하는 경로 대상의 결과로 라우팅 인스턴스로 l2vpn1
가져온 레이어 2 VPN 경로를 보여줍니다. 테이블에는 l2vpn1.l2vpn.0
로컬 PE 디바이스의 레이어 2 VPN 경로와 원격 PE 디바이스에 대한 BGP 피어링을 통해 학습된 원격 경로가 모두 포함됩니다. 두 테이블 모두 원격 레이어 2 VPN 경로가 포워딩 다음 홉으로 LSP와 lsp_to_pe2
올바르게 연결되어 있음을 보여줍니다. 출력은 로컬 PE 디바이스가 PE2 디바이스에서 원격 고객 사이트에 대해 학습했음을 확인합니다. 또한 공급자 네트워크를 통해 MPLS 전송을 사용하여 레이어 2 VPN 트래픽을 PE2 디바이스로 전달할 수 있음을 보여줍니다.
레이어 2 VPN 연결 상태 확인
목적
레이어 2 VPN 연결의 상태를 확인합니다.
작업
user@pe1> show l2vpn connections Layer-2 VPN connections: Legend for connection status (St) EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS EM -- encapsulation mismatch WE -- interface and instance encaps not same VC-Dn -- Virtual circuit down NP -- interface hardware not present CM -- control-word mismatch -> -- only outbound connection is up CN -- circuit not provisioned <- -- only inbound connection is up OR -- out of range Up -- operational OL -- no outgoing label Dn -- down LD -- local site signaled down CF -- call admission control failure RD -- remote site signaled down SC -- local and remote site ID collision LN -- local site not designated LM -- local site ID not minimum designated RN -- remote site not designated RM -- remote site ID not minimum designated XX -- unknown connection status IL -- no incoming label MM -- MTU mismatch MI -- Mesh-Group ID not available BK -- Backup connection ST -- Standby connection PF -- Profile parse failure PB -- Profile busy RS -- remote site standby SN -- Static Neighbor LB -- Local site not best-site RB -- Remote site not best-site VM -- VLAN ID mismatch HS -- Hot-standby Connection Legend for interface status Up -- operational Dn -- down Instance: l2vpn1 Edge protection: Not-Primary Local site: CE-1 (1) connection-site Type St Time last up # Up trans 2 rmt Up Jul 28 10:47:18 2020 1 Remote PE: 192.168.0.3, Negotiated control-word: Yes (Null) Incoming label: 800009, Outgoing label: 800006 Local interface: ge-0/0/0.0, Status: Up, Encapsulation: ETHERNET Flow Label Transmit: No, Flow Label Receive: No
의미
St
출력의 필드는 에 대한 레이어 2 VPN 연결 connection-site
2
Remote PE
192.168.0.3
이 입니다.Up
또한 출력은 PE 디바이스의 에지 대면 인터페이스 이름과 ge-0/0/0.0
을(를) 으로 up
운영 상태를 확인합니다. 또한 이더넷 캡슐화가 PE 디바이스의 고객 대면 인터페이스에 구성되었는지 확인합니다. 이 예에서 사용되는 태그 없는 이더넷 인터페이스에 대한 올바른 캡슐화입니다. 지금까지 수행된 검증 단계는 레이어 2 VPN의 컨트롤 플레인이 작동 중임을 나타냅니다. 다음 단계에서 레이어 2 VPN의 데이터 플레인을 확인합니다.
레이어 2 VPN 연결을 사용하여 원격 PE 디바이스 Ping
목적
로컬 및 원격 PE 디바이스 간의 레이어 2 VPN 연결을 확인합니다. 명령의 두 가지 형태가 ping mpls l2vpn
표시됩니다. 레이어 2 VPN 라우팅을 테스트하고 PE 디바이스 간 MPLS 전달합니다. 첫 번째 명령은 단일 원격 사이트를 가정하고 두 번째는 로컬 및 원격 사이트 식별자를 지정합니다. 이는 다중 사이트 레이어 2 VPN을 테스트할 때 유용합니다. 이는 원격 사이트 ID를 사용하여 원하는 원격 PE 디바이스를 대상으로 사용할 수 있기 때문입니다.
명령은 ping mpls l2vpn
PE 디바이스 간 레이어 2 VPN 경로 교환 및 MPLS 포워딩을 검증합니다. 이는 로컬 PE의 레이어 2 VPN 라우팅 인스턴스에서 원격 PE 디바이스의 127.0.0.1 루프백 주소로 트래픽을 생성하여 수행됩니다. 이 명령은 CE 디바이스 인터페이스 또는 해당 구성의 작동을 검증하지 않습니다. CE 디바이스 운영이 레이어 2 VPN의 프로바이더 네트워크에 불투명하기 때문입니다.
작업
user@pe1> ping mpls l2vpn interface ge-0/0/0.0 reply-mode ip-udp !!!!! --- lsping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss
user@pe1> ping mpls l2vpn instance l2vpn1 remote-site-id 2 local-site-id 1 detail Request for seq 1, to interface 334, labels <800002, 299840>, packet size 88 Reply for seq 1, return code: Egress-ok, time: 593.784 ms Local transmit time: 2020-07-13 16:15:55 UTC 241.357 ms Remote receive time: 2020-07-13 16:15:55 UTC 835.141 ms Request for seq 2, to interface 334, labels <800002, 299840>, packet size 88 Reply for seq 2, return code: Egress-ok, time: 591.700 ms Local transmit time: 2020-07-13 16:15:56 UTC 241.405 ms Remote receive time: 2020-07-13 16:15:56 UTC 833.105 ms Request for seq 3, to interface 334, labels <800002, 299840>, packet size 88 Reply for seq 3, return code: Egress-ok, time: 626.084 ms Local transmit time: 2020-07-13 16:15:57 UTC 241.407 ms Remote receive time: 2020-07-13 16:15:57 UTC 867.491 ms Request for seq 4, to interface 334, labels <800002, 299840>, packet size 88 Reply for seq 4, return code: Egress-ok, time: 593.061 ms Local transmit time: 2020-07-13 16:15:58 UTC 241.613 ms Remote receive time: 2020-07-13 16:15:58 UTC 834.674 ms Request for seq 5, to interface 334, labels <800002, 299840>, packet size 88 Reply for seq 5, return code: Egress-ok, time: 594.192 ms Local transmit time: 2020-07-13 16:15:59 UTC 241.357 ms Remote receive time: 2020-07-13 16:15:59 UTC 835.549 ms --- lsping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss
의미
출력은 레이어 2 VPN 포워딩 플레인이 PE 디바이스 간에 올바르게 작동하고 있음을 확인합니다.
레이어 2 VPN을 통해 CE 디바이스의 엔드투엔드 작동 확인
목적
CE 디바이스 간의 레이어 2 VPN 연결을 확인합니다. 이 단계는 CE 디바이스에 운영 인터페이스가 있고 레이어 2 연결을 위해 올바르게 구성되었는지 확인합니다. 이는 CE 디바이스가 OSPF 인접성을 설정하고 루프백 주소 간에 트래픽을 엔드 투 엔드로 전달할 수 있는지 확인하여 수행됩니다.
작업
user@ce1> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.2 ge-0/0/0.0 Full 172.16.255.2 128 32
user@ce1> show ospf route | match 172 172.16.255.2/32 *[OSPF/10] 01:34:50, metric 1 > to 172.16.1.2 via ge-0/0/0.0
user@ce1> ping 172.16.255.2 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=64 time=4.404 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=64 time=5.807 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.404/5.106/5.807/0.702 ms
의미
출력 결과, CE 디바이스 간에 레이어 2 VPN 연결이 올바르게 작동하고 있음을 보여줍니다. 로컬 CE 디바이스가 프로바이더 코어를 통해 원격 CE 디바이스에 OSPF 인접성을 설정하고 로컬 CE 디바이스 172.16.1.2
가 OSPF를 통해 원격 CE 디바이스의 루프백 주소 172.16.255.2
로 가는 경로를 학습했음을 확인합니다. 또한 출력은 CE 디바이스가 로컬 단편화를 유발하지 않고 1500바이트 IP 패킷을 전달할 수 있음을 보여줍니다. 또한 성공적인 핑은 프레임이 공급자의 네트워크에서 지원하는 MTU를 초과하지 않았는지 확인합니다.
명령에 추가된 ping
인수는 size
1472바이트의 에코 데이터를 생성합니다. 총 패킷 크기를 1500바이트까지 가져오려면 8바이트의 ICMP(Internet Control Message Protocol) 및 20바이트의 IP 헤더가 추가됩니다. 스위치를 do-not-fragment
추가하면 CE 디바이스가 로컬 MTU를 기반으로 단편화를 수행할 수 없습니다. 이 방법은 CE 디바이스 간에 표준 길이 이더넷 프레임을 전송할 때 단편화가 가능하거나 필요하지 않음을 확인합니다.