예: 기본 MPLS 기반 레이어 3 VPN 구성
이 예에서는 Junos OS를 실행하는 라우터 또는 스위치에서 기본 MPLS 기반 레이어 3 VPN을 구성하고 검증하는 방법을 보여줍니다. IPv4 기반의 예는 EBGP를 프로바이더는 물론, 고객 에지 디바이스 간의 라우팅 프로토콜로 사용합니다.
컨텐트 테스트 팀은 이 예제를 검증하고 업데이트했습니다.
Junos OS를 실행하는 라우터와 스위치를 사용하여 MPLS 기반 레이어 3 VPN(Virtual Private Network)을 구축하여 고객 사이트를 레이어 3 연결과 상호 연결할 수 있습니다. 정적 라우팅이 지원되는 동안 Layer 3 VPN은 일반적으로 고객 디바이스가 프로바이더 네트워크와 라우팅 정보를 교환하도록 하며 IP 프로토콜(예: IPv4 및/또는 IPv6)에 대한 지원이 필요합니다.
이는 고객 디바이스가 IP 프로토콜을 기반으로 하지 않을 수 있고, 고객 에지(CE) 디바이스 간에 라우팅이 발생하는 레이어 2 VPN과는 대조적입니다. CE 디바이스가 프로바이더 에지 디바이스와 상호 작용(피어)하는 레이어 3 VPN과 달리 Layer 2 VPN에서 고객 트래픽은 CE 디바이스 간에 엔드투엔드 실행 중인 모든 라우팅 프로토콜을 통해 프로바이더 코어를 투명하게 통과합니다.
MPLS 기반 VPN은 프로바이더는 기본 MPLS 기능을 필요로 합니다. 기본 MPLS가 운영되면 프로바이더는 코어를 통해 전송하기 위해 LSP(Label-Switched Path)를 사용하는 VPN을 구성할 수 있습니다.
VPN 서비스의 추가는 사업자 네트워크의 기본 MPLS 스위칭 운영에 영향을 미치지 않습니다. 실제로 프로바이더(P) 디바이스는 VPN을 인식하지 못하기 때문에 기준 MPLS 구성만을 요구합니다. VPN 상태는 PE(Provider Edge) 디바이스에서만 유지됩니다. 이것이 바로 MPLS 기반 VPN이 뛰어난 확장성을 제공하는 중요한 이유입니다.
요구 사항
이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.
라우팅 및 스위칭 디바이스용 Junos OS 릴리스 12.3 이상
Junos OS 릴리스 20.3R1에서 다시 검증
PE(Provider Edge) 디바이스 2개
1개의 프로바이더는 (P) 디바이스
2개의 CE(Customer Edge) 디바이스
이 예에서는 기존 MPLS 기준선에 Layer 3 VPN을 추가하는 방법에 초점을 맞춥니다. 네트워크에 MPLS를 구축하지 않은 경우 기본 MPLS 구성이 제공됩니다.
MPLS 기반 VPN을 지원하려면 기본 MPLS 기준이 다음 기능을 제공해야 합니다.
MPLS 제품군 지원을 통해 운영되는 코어 대면 및 루프백 인터페이스
OSPF 또는 IS-IS와 같은 내부 게이트웨이 프로토콜로 프로바이더는 P 및 PE(loopback) 디바이스 간의 연결 가능성을 제공합니다.
LDP 또는 RSVP와 같은 MPLS 신호 전송 프로토콜로 LSP 신호 전송
PE 디바이스 루프백 주소 간에 설정된 LSP
LSP는 해당 VPN에 참여하는 각 PE 장치 쌍 간에 필요합니다. 향후 VPN 성장을 수용할 수 있도록 모든 PE 장치 간에 LSP를 구축하는 것이 좋습니다. 계층 수준에서 LSP를 [edit protocols mpls] 구성합니다. CCC(Circuit Cross-Connect) 연결을 위한 MPLS 구성과 달리 LSP를 PE 디바이스의 고객 대면(에지) 인터페이스와 수동으로 연결할 필요가 없습니다. 대신 레이어 3 VPN은 BGP 시그널링을 사용하여 사이트 도달 가능성을 광고합니다. 이 BGP 시그널링으로 원격 VPN 사이트의 다음 홉 포워딩에 대한 매핑을 자동화합니다. 즉, LSP를 PE 디바이스의 에지 대면 인터페이스에 대한 Layer 3 VPN 명시적 매핑이 필요하지 않습니다.
개요 및 토폴로지
Layer 3 VPN을 통해 고객들은 서비스 제공업체의 기술 전문성을 활용하여 효율적인 사이트 투 사이트 라우팅을 보장할 수 있습니다. CE(Customer Edge) 디바이스는 일반적으로 BGP 또는 OSPF와 같은 라우팅 프로토콜을 사용하여 서비스 프로바이더 에지(PE) 디바이스와 경로를 교환합니다. 정적 라우팅은 Layer 3 VPN에서 지원되지만 동적 라우팅 프로토콜이 일반적으로 선호됩니다.
VPN의 정의에는 로컬 및 원격 PE 장치만 변경해야 합니다. 이들 장치는 기본 MPLS 스위칭 기능만을 제공하기 때문에 프로바이더 디바이스에 추가 구성이 필요하지 않습니다(이미 MPLS 기본 설정이 적용된 것으로 가정). CE 장치는 MPLS를 사용하지 않으며 PE 디바이스와 상호 작용할 수 있도록 기본 인터페이스 및 라우팅 프로토콜 구성만을 요구합니다.
Layer 3 VPN에서는 로컬 PE 디바이스와 피어하도록 CE 디바이스를 구성합니다. 이는 MPLS 기반 프로바이더 코어를 통해 연결되고 있음에도 불구하고 CE 디바이스가 공유 링크에 있는 것처럼 서로 피어되는 레이어 2 VPN과는 대조적입니다.
MPLS 기준이 설정되면, MPLS 기반 Layer 3 VPN을 설정하려면 PE 장비에서 다음 기능을 구성해야 합니다.
지원이 있는
family inet-vpn unicastBGP 그룹인스턴스 유형
vrf과 연결된 CE 장비와 호환되는 라우팅 프로토콜 정의를 포함하는 라우팅 인스턴스IPv4 주소와 함께 구성된 PE 장비의 고객 대면 인터페이스는 연결된 CE 장비와
family inet동일한 서브넷에 인터페이스를 배치합니다. 원하는 VLAN 캡슐화 및 해당 VLAN ID도 구성할 수 있습니다.
적절한 엔드 투 엔드 연결을 위해 CE 장비는 PE 장비와의 피어링을 지원하기 위해 호환 가능한 IP 서브넷 및 라우팅 프로토콜 매개 변수로 구성되어야 합니다.
그림 1 은 이 예에서 사용된 토폴로지입니다. 이 그림에서는 제공업체 및 고객 네트워크에서 사용되는 인터페이스 이름, IP 주소 지정 및 라우팅 프로토콜에 대해 자세히 설명합니다. 또한 CE와 PE 장치 간의 피어링 관계를 강조합니다. 이 예에서는 각 CE 디바이스가 로컬 PE 디바이스에 대한 EBGP 피어링 세션을 형성 할 것으로 예상합니다. 프로바이더는 네트워크와 고객 사이트 모두 BGP 운영을 지원하는 자율 시스템 번호가 할당되어 있습니다. 이 예에서 라우팅 정책은 CE 디바이스에 적용되어 프로바이더는 대면 인터페이스 및 루프백 인터페이스에 대한 직접 경로를 광고하도록 합니다.
빠른 구성
이 섹션의 구성을 사용하여 MPLS 기반 레이어 3 VPN을 신속하게 가동하고 실행할 수 있습니다. 컨피규레이션에는 Layer 3 VPN을 지원하는 기능적 MPLS 기준이 포함됩니다. 이 예에서는 구성의 VPN 측면에 초점을 맞춥니다. 이 예에서 사용되는 기본 MPLS 기능에 대한 추가 정보는 다음 링크를 참조하십시오.
CLI 빠른 구성
디바이스 구성은 관리 인터페이스, 정적 경로, 시스템 로깅, 시스템 서비스 및 사용자 로그인 정보를 생략합니다. 이러한 구성 부분은 위치에 따라 다르며 MPLS 또는 VPN 기능과 직접적인 관련이 없습니다.
환경 세부 사항에 대해 필요에 따라 다음 명령을 편집하고 계층에서 구성 모드인 경우 로컬 CE(CE1) 디바이스 터미널 창에 [edit] 붙여넣습니다.
CE1 디바이스에 대한 전체 구성입니다.
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
PE1 디바이스에 대한 전체 구성입니다.
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
P 장비에 대한 전체 구성입니다.
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
PE2 디바이스에 대한 전체 구성입니다.
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
CE2 디바이스에 대한 전체 구성
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
작업에 만족할 때 모든 디바이스에서 구성 변경을 커밋해야 합니다. 새로운 MPLS 기반 Layer 3 VPN을 축하합니다! Layer 3 VPN이 예상대로 작동하는지 확인하는 데 필요한 단계는 검증 섹션을 참조하십시오.
MPLS 기반 레이어 3 VPN에 대한 PE1(Local PE) 장비 구성
이 섹션에서는 이 예제에서 PE1 디바이스를 구성하는 데 필요한 단계를 다룹니다. 이는 VPN 구성이 수용되는 곳이기 때문에 PE 장비에 초점을 맞추고 있습니다. 이 예에서 사용되는 CE 장비 및 P 장비 구성은 Quick Configurations 섹션을 참조하십시오.
MPLS 기본 설정(필요한 경우)
Layer 3 VPN을 구성하기 전에 PE 디바이스에 MPLS 기준이 작동하는지 확인합니다. MPLS 기준이 이미 있는 경우 단계별 절차를 건너뛰어 PE 디바이스에 Layer 3 VPN을 추가할 수 있습니다.
호스트 이름을 구성합니다.
[edit] user@pe1# set system host-name pe1
코어 및 루프백 인터페이스 구성:
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
모범 사례:Layer 3 VPN은 ingress PE에서 단편화를 수행할 수 있지만, CE가 단편화 없이 최대 크기의 프레임을 보낼 수 있도록 네트워크를 설계하는 것이 가장 좋습니다. 단편화가 발생하지 않도록 하기 위해 프로바이더는 MPLS 및 VRF(Virtual Routing and Forwarding) 레이블이 PE 장비에 의해 추가된 후 CE 디바이스가 생성할 수 있는 최대 프레임을 지원해야 합니다. 이 예에서는 CE 디바이스를 기본 1500바이트 최대 전송 장치(MTU)로 남겨두고 프로바이더 코어를 4000바이트 MTU를 지원하도록 구성합니다. 이를 통해 CE 디바이스는 MPLS 및 VRF 캡슐화 오버헤드가 있어도 프로바이더는 네트워크에서 MTU를 초과할 수 없습니다.
프로토콜 구성:
메모:트래픽 엔지니어링은 RSVP 신호 LSP를 위해 지원되지만 기본 MPLS 스위칭 또는 VPN 구축에는 필요하지 않습니다. 제공되는 MPLS 기준선은 RSVP를 사용하여 LSP에 신호를 전송하고 OSPF의 트래픽 엔지니어링을 지원합니다. 그러나 경로 제약 조건이 구성되지 않으므로 LSP가 내부 게이트웨이 프로토콜의 최단 경로를 통해 라우팅될 것으로 예상합니다.
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
원격 PE 디바이스의 루프백 주소로 LSP를 정의합니다.
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
이제 MPLS 기준선이 PE1 디바이스에서 구성됩니다. Layer 3 VPN을 계속 구성합니다.
절차
단계별 절차
다음 단계에 따라 레이어 3 VPN에 대한 PE1 디바이스를 구성합니다.
고객 대면 인터페이스 구성:
팁:동일한 PE 디바이스에서 MPLS 기반 Layer 2 VPN과 MPLS 기반 Layer 3 VPN을 모두 구성할 수 있습니다. 그러나 동일한 고객 에지 대면 인터페이스를 구성하여 Layer 2 VPN과 Layer 3 VPN을 모두 지원할 수는 없습니다.
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
로컬 및 원격 PE 디바이스 간의 피어링을 위해 BGP 그룹을 구성합니다. PE 디바이스의 루프백 주소를 로컬 주소로 사용하고 주소 제품군이
inet-vpn unicastLayer 3 VPN 경로 교환을 지원하도록 지원합니다. 이 예에서는 PE 디바이스에서 BGP에 대한 라우팅 정책이 필요하지 않습니다. 기본적으로 PE 장치는 IBGP로 다시 전환하여 EBGP에서 CE 디바이스로 피어링하는 경로를 학습합니다.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
팁:PE to PE IBGP 세션이 각각 또는 제품군을 사용하는
inet일반 IPv4 또는inet6IPv6 경로와 같은 비 VPN 경로 교환을 지원해야 하는 경우 다른 주소 제품군을 지정할 수 있습니다.BGP 그룹 유형을 내부 유형으로 구성합니다.
[edit protocols bgp] user@pe1# set group ibgp type internal
원격 PE 디바이스의 루프백 주소를 BGP neighbor로 구성합니다.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
루프백 주소와 일치하도록 라우터 ID를 구성하고 BGP 피어링에 필요한 BGP 자율 시스템 번호를 정의합니다.
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
라우팅 인스턴스를 구성합니다. 의 인스턴스 이름을 CE1_L3vpn지정하고 를
vrf구성합니다instance-type.[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
라우팅 인스턴스에 속하도록 PE 장비의 고객 대면 인터페이스를 구성합니다.
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
라우팅 인스턴스의 라우트 구분기를 구성합니다. 이 설정은 특정 PE 디바이스의 특정 VRF에서 전송되는 경로를 구별하는 데 사용됩니다. 각 PE 디바이스의 각 라우팅 인스턴스에 대해 고유해야 합니다.
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
인스턴스의 가상 라우팅 및 포워딩(VRF) 테이블 라우트 대상을 구성합니다. 이 성명서는
vrf-target지정된 커뮤니티 태그를 모든 광고된 경로에 추가하는 동시에 라우트 임포트에 대해 동일한 값을 자동으로 매칭합니다. 적절한 경로 교환을 위해 주어진 VPN을 공유하는 PE 장비에서 일치하는 경로 대상을 구성해야 합니다.[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
메모:임포트 및 익스포트 옵션을 사용하여 VRF 임포트 및 내보내기 정책을 명시적으로 구성하여 보다 복잡한 정책을 생성할 수 있습니다. 자세한 내용은 vrf-import 및 vrf-export 을 참조하십시오.
CE1 디바이스에 대한 EBGP 피어링을 지원하도록 라우팅 인스턴스를 구성합니다. VRF 링크의 CE1 끝에 대한 직접 인터페이스 피어링이 사용되며 CE1의 자율 시스템 번호가 매개 변수로
peer-as올바르게 지정됩니다.[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
PE1 디바이스에서 변경을 커밋하고 CLI 운영 모드로 돌아갑니다.
[edit] user@pe1# commit and-quit
결과
PE1 디바이스에서 구성 결과를 표시합니다. 출력은 이 예제에 추가된 기능 구성만 반영합니다.
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
}
}
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
MPLS 기반 레이어 3 VPN을 위한 PE2(Remote PE) 장비 구성
이 섹션에서는 이 예제에서 PE1 디바이스를 구성하는 데 필요한 단계를 다룹니다. 이는 VPN 구성이 수용되는 곳이기 때문에 PE 장비에 초점을 맞추고 있습니다. 이 예에서 사용되는 CE 장비 및 P 장비 구성은 Quick Configurations 섹션을 참조하십시오.
MPLS 기본 설정(필요한 경우)
Layer 3 VPN을 구성하기 전에 PE 디바이스에 MPLS 기준이 작동하는지 확인합니다. MPLS 기준이 이미 있는 경우 단계별 절차를 건너뛰어 PE 디바이스에 Layer 3 VPN을 추가할 수 있습니다.
호스트 이름을 구성합니다.
[edit] user@pe2# set system host-name pe2
코어 및 루프백 인터페이스 구성:
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
모범 사례:Layer 3 VPN은 ingress PE에서 단편화를 수행할 수 있지만, CE가 단편화 없이 최대 크기의 프레임을 보낼 수 있도록 네트워크를 설계하는 것이 가장 좋습니다. 단편화가 발생하지 않도록 하기 위해 프로바이더는 MPLS 및 VRF(Virtual Routing and Forwarding) 레이블이 PE 장비에 의해 추가된 후 CE 디바이스가 생성할 수 있는 최대 프레임을 지원해야 합니다. 이 예에서는 CE 디바이스를 기본 1500바이트 최대 전송 장치(MTU)로 남겨두고 프로바이더 코어를 4000바이트 MTU를 지원하도록 구성합니다. 이를 통해 CE 디바이스는 MPLS 및 VRF 캡슐화 오버헤드가 있어도 프로바이더는 네트워크에서 MTU를 초과할 수 없습니다.
프로토콜 구성:
메모:트래픽 엔지니어링은 RSVP 신호 LSP를 위해 지원되지만 기본 MPLS 스위칭 또는 VPN 구축에는 필요하지 않습니다. 제공되는 MPLS 기준선은 RSVP를 사용하여 LSP에 신호를 전송하고 OSPF의 트래픽 엔지니어링을 지원합니다. 그러나 경로 제약 조건이 구성되지 않으므로 LSP가 내부 게이트웨이 프로토콜의 최단 경로를 통해 라우팅될 것으로 예상합니다.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
원격 PE 디바이스의 루프백 주소로 LSP를 정의합니다.
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
이제 MPLS 기준선이 PE1 디바이스에서 구성됩니다. Layer 3 VPN을 계속 구성합니다.
절차
단계별 절차
다음 단계에 따라 레이어 3 VPN을 위한 PE2 디바이스를 구성합니다.
고객 대면 인터페이스 구성:
팁:동일한 PE 디바이스에서 MPLS 기반 Layer 2 VPN과 MPLS 기반 Layer 3 VPN을 모두 구성할 수 있습니다. 그러나 동일한 고객 에지 대면 인터페이스를 구성하여 Layer 2 VPN과 Layer 3 VPN을 모두 지원할 수는 없습니다.
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
로컬 및 원격 PE 디바이스 간의 피어링을 위해 BGP 그룹을 구성합니다. PE 디바이스의 루프백 주소를 로컬 주소로 사용하고 주소 제품군이
inet-vpn unicastLayer 3 VPN 경로 교환을 지원하도록 지원합니다.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
팁:PE to PE IBGP 세션이 각각 또는 제품군을 사용하는
inet일반 IPv4 또는inet6IPv6 경로와 같은 비 VPN 경로 교환을 지원해야 하는 경우 다른 주소 제품군을 지정할 수 있습니다.BGP 그룹 유형을 내부 유형으로 구성합니다.
[edit protocols bgp] user@pe2# set group ibgp type internal
PE1 디바이스의 루프백 주소를 BGP neighbor로 구성합니다.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
루프백 주소와 일치하도록 라우터 ID를 구성하고 BGP 자율 시스템 번호를 정의합니다.
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
라우팅 인스턴스를 구성합니다. 의 인스턴스 이름을 CE2_L3vpn지정
instance-typevrf합니다.[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
라우팅 인스턴스에 속하도록 PE 장비의 고객 대면 인터페이스를 구성합니다.
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
라우팅 인스턴스의 라우트 구분기를 구성합니다. 이 설정은 특정 PE 디바이스의 특정 VRF에서 전송되는 경로를 구별하는 데 사용됩니다. 각 PE 디바이스의 각 라우팅 인스턴스에 대해 고유해야 합니다.
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
인스턴스의 가상 라우팅 및 포워딩(VRF) 테이블 라우트 대상을 구성합니다. 이 성명서는
vrf-target지정된 커뮤니티 태그를 모든 광고된 경로에 추가하는 동시에 라우트 임포트에 대해 동일한 값을 자동으로 매칭합니다. 적절한 경로 교환을 위해 주어진 VPN을 공유하는 PE 장비에서 일치하는 경로 대상을 구성해야 합니다.[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
메모:임포트 및 익스포트 옵션을 사용하여 VRF 임포트 및 내보내기 정책을 명시적으로 구성하여 보다 복잡한 정책을 생성할 수 있습니다. 자세한 내용은 vrf-import 및 vrf-export 을 참조하십시오.
CE2 디바이스에 대한 EBGP 피어링을 지원하도록 라우팅 인스턴스를 구성합니다. VRF 링크의 CE2 끝에 대한 직접 인터페이스 피어링이 사용되며 CE2의 자율 시스템 번호가 매개 변수로
peer-as올바르게 지정됩니다.[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
PE2 디바이스에서 변경을 커밋하고 CLI 운영 모드로 돌아갑니다.
[edit] user@pe2# commit and-quit
결과
PE2 디바이스에서 구성 결과를 표시합니다. 출력은 이 예제에 추가된 기능 구성만 반영합니다.
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
확인
이러한 작업을 수행하여 MPLS 기반 레이어 3 VPN이 올바르게 작동하는지 확인합니다.
- 프로바이더는 OSPF Adjacencies 및 Route Exchange 검증
- MPLS 및 RSVP 인터페이스 설정 검증
- RSVP 신호 LSP 검증
- BGP 세션 상태 검증
- 라우팅 테이블 내 레이어 3 VPN 경로 검증
- 레이어 3 VPN 연결을 사용하여 원격 PE 디바이스 Ping
- 레이어 3 VPN에서 CE 디바이스의 엔드투엔드 작동 확인
프로바이더는 OSPF Adjacencies 및 Route Exchange 검증
목적
인접 상태를 확인하고 원격 프로바이더는 루프백 주소로의 OSPF 학습 경로를 검증함으로써 OSPF 프로토콜이 프로바이더는 물론, 제대로 작동하는지 확인합니다. 적절한 IGP 운영은 MPLS LSP의 성공적인 구축에 매우 중요합니다.
행동
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
의미
출력은 PE1 디바이스가 P 디바이스에 OSPF 인접성을 설정했음을 보여줍니다(192.168.0.2). 또한 P 및 원격 PE 장비 루프백 주소()와 (192.168.0.2192.168.0.3)가 로컬 PE 디바이스에서 OSPF를 통해 올바르게 학습된다는 것을 보여줍니다.
MPLS 및 RSVP 인터페이스 설정 검증
목적
RSVP 및 MPLS 프로토콜이 PE 장비의 코어 대면 인터페이스에서 작동하도록 구성되었는지 확인합니다. 또한 이 단계는 PE 장비의 코어 대면 인터페이스의 단위 수준에서 올바르게 구성된지 검증 family mpls 합니다.
행동
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
의미
출력은 MPLS 및 RSVP가 로컬 PE 디바이스의 코어 및 루프백 인터페이스에서 올바르게 구성되어 있음을 보여줍니다.
RSVP 신호 LSP 검증
목적
RSVP 신호 수신 및 송신 LSP가 PE 디바이스의 루프백 주소 간에 올바르게 설정되었는지 확인합니다.
행동
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
의미
출력은 수신 및 송신 RSVP 세션이 PE 장치 간에 올바르게 설정됨을 보여줍니다. 성공적인 LSP 설정은 MPLS 기준이 작동 중임을 나타냅니다.
BGP 세션 상태 검증
목적
LAYER 3 VPN NLRI(Network Layer Reachability Information)를 지원하여 PE 장비 간의 IBGP 세션이 올바르게 설정되었는지 확인합니다. 이 단계에서는 로컬 PE to CE EBGP 세션이 설정되고 IPv4 경로를 교환하도록 올바르게 구성되었는지도 확인합니다.
행동
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
의미
출력은 원격 PE 장비에 대한 IBGP 세션()이 올바르게 설정되었는지(192.168.0.3Establ) 그리고 필드를 통해 Up/Dwn 세션이 현재 상태(6:18)에 얼마나 오래 있었는지를 보여줍니다. 이 flaps 필드는 세션이 안정적임을 나타내는(0) 상태 전환이 발생하지 않음을 확인합니다. 또한 표의 존재에 의해 표시된 바와 같이 원격 PE에서 Layer 3 VPN 경로(NLRI)가 학습되었다는 점에 유의 bgp.l3vpn.0 하십시오.
또한 이 디스플레이는 로컬 CE1 장비(172.16.1.1)에 대한 EBGP 세션이 설정되고 IPv4 경로가 CE1 장비에서 수신되어 CE1 디바이스 라우팅 인스턴스에 설치되었음을 확인합니다(CE1_L3vpn.inet.0)
이 출력은 PE 디바이스와 CE 디바이스 간의 BGP 피어링이 Layer 3 VPN을 지원하기 위해 올바르게 작동하는지 확인합니다.
라우팅 테이블 내 레이어 3 VPN 경로 검증
목적
PE1 장비의 라우팅 테이블이 원격 PE에 의해 광고되는 Layer 3 VPN 라우트가 입력되어 있는지 확인합니다. 이러한 경로는 원격 CE 디바이스로 트래픽을 전송하는 데 사용됩니다.
행동
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
의미
이 show route table bgp.l3vpn.0 명령은 원격 PE 장비에서 수신된 Layer 3 VPN 경로를 표시합니다. 명령어에는 show route table CE1_L3vpn.inet.0 라우팅 인스턴스로 가져온 모든 경로가 CE1_L3vpn 나열됩니다. 이들 엔트리는 로컬 EBGP 피어링에서 CE1 장비로의 경로뿐만 아니라 원격 PE2 디바이스에서 수신된 경로와 일치하는 라우트 대상을 나타냅니다.
두 표 모두 원격 레이어 3 VPN 경로가 LSP와 lsp_to_pe2 올바르게 연관되어 있는 것을 다음 포워딩 홉으로 보여줍니다. 출력은 로컬 PE 장치가 PE2 디바이스에서 원격 CE2 위치와 관련된 경로를 학습했음을 확인합니다. 또한 로컬 PE가 프로바이더는 MPLS 전송을 사용하여 원격 PE2 장비로 Layer 3 VPN 트래픽을 전달한다는 것을 보여줍니다.
레이어 3 VPN 연결을 사용하여 원격 PE 디바이스 Ping
목적
핑을 사용하여 로컬 및 원격 PE 디바이스 간의 레이어 3 VPN 연결을 확인합니다. 이 명령은 PE 장치 간의 레이어 3 VPN 라우팅 및 MPLS 포워딩 작업을 검증합니다.
행동
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
의미
출력은 Layer 3 VPN 컨트롤 및 포워딩 플레인이 PE 장치 간에 올바르게 작동하고 있음을 확인합니다.
레이어 3 VPN에서 CE 디바이스의 엔드투엔드 작동 확인
목적
CE 디바이스 간의 레이어 3 VPN 연결을 확인합니다. 이 단계는 CE 디바이스가 운영 인터페이스를 가지고 있으며 EBGP 기반 레이어 3 연결을 위해 적절하게 구성되었는지 확인합니다. 이는 로컬 CE1 디바이스가 원격 CE 디바이스의 경로를 학습했는지 확인하고 CE 디바이스가 루프백 주소 간에 엔드 투 엔드 트래픽을 전달할 수 있는지 확인하는 방식으로 수행됩니다.
행동
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
의미
결과물은 CE 디바이스 간에 레이어 3 VPN 기반 연결이 올바르게 작동하고 있음을 보여줍니다. 로컬 CE 디바이스는 BGP를 통해 원격 CE 디바이스의 VRF 인터페이스 및 루프백 경로를 학습했습니다. 핑은 원격 CE 디바이스의 루프백 주소로 생성되며 인수를 사용하여 source 172.16.255.1 로컬 CE 디바이스의 루프백 주소에서 소싱됩니다. 및 size 1472 스위치를 do-not-fragment 추가하면 CE 디바이스가 로컬 PE 디바이스에서 단편화를 유발하지 않고 1500바이트 IP 패킷을 통과할 수 있음을 확인할 수 있습니다.
명령에 추가된 ping 인수는 size 1472 1472바이트의 에코 데이터를 생성합니다. 8바이트의 ICMP(Internet Control Message Protocol)와 20바이트의 IP 헤더가 추가되어 총 페이로드 크기가 1500바이트입니다. 스위치를 do-not-fragment 추가하면 로컬 CE 및 PE 디바이스가 단편화를 수행할 수 없습니다. 이 핑 방식은 CE 장비 간에 표준 1500바이트 최대 길이 이더넷 프레임을 교환할 때 단편화가 필요하지 않다는 것을 확인합니다.
이러한 결과는 MPLS 기반 Layer 3 VPN이 올바르게 작동하는지 확인합니다.