레이어 3 VPN을 통한 IPv4 트래픽
레이어 3 VPN의 IPv4 경로 배포 이해
VPN 내에서 VPN-IPv4 경로의 분포는 PE와 CE 라우터 간에 그리고 PE 라우터 간에 발생합니다( 그림 1 참조).
내의 경로 배포
이 섹션에서는 다음 주제에 대해 설명합니다.
CE에서 PE 라우터로 경로 배포
CE 라우터는 직접 연결된 PE 라우터에 대한 경로를 발표합니다. 발표된 경로는 IPv4 형식입니다. PE 라우터는 경로를 VPN의 VRF 테이블에 배치합니다. Junos OS routing-instance-name.inet.0 라우팅 테이블 입니다. 여기서 routing-instance-name 은(는) VPN의 구성된 이름입니다.
CE와 PE 라우터 간의 연결은 원격 연결(WAN 연결) 또는 직접 연결(예: 프레임 릴레이 또는 이더넷 연결)일 수 있습니다.
CE 라우터는 다음 중 하나를 사용하여 PE 라우터와 통신할 수 있습니다.
Ospf
Rip
Bgp
정적 경로
그림 2 는 CE 라우터에서 PE 라우터로 경로가 분산되는 방법을 보여줍니다. 라우터 PE1은 서로 다른 VPN에 있는 두 개의 CE 라우터에 연결되어 있습니다. 따라서 각 VPN에 대해 하나씩 두 개의 VRF 테이블을 만듭니다. CE 라우터는 IPv4 경로를 발표했습니다. PE 라우터는 이러한 경로를 각 VPN에 대해 하나씩 두 개의 서로 다른 VRF 테이블에 설치합니다. 마찬가지로, 라우터 PE2는 직접 연결된 두 개의 CE 라우터에서 경로가 설치된 두 개의 VRF 테이블을 만듭니다. 라우터 PE3는 하나의 VPN에 직접 연결되므로 하나의 VRF 테이블을 만듭니다.
라우터로의 경로 배포
PE 라우터 간 경로 배포
하나의 PE 라우터가 직접 연결된 CE 라우터로부터 보급된 경로를 수신하면 수신된 경로를 해당 VPN에 대한 VRF 내보내기 정책과 검사합니다. 일치하는 경우 경로가 VPN-IPv4 형식으로 변환됩니다. 즉, 8바이트 경로 구분자가 4바이트 VPN 접두사 앞에 추가되어 12바이트 VPN-IPv4 주소를 형성합니다. 그런 다음 경로 대상 커뮤니티로 경로 태그가 지정됩니다. PE 라우터는 VRF 가져오기 정책에 사용하기 위해 원격 PE 라우터에 VPN-IPv4 형식으로 경로를 발표합니다. 경로는 공급자의 코어 네트워크에서 구성된 IBGP 세션을 사용하여 배포됩니다. 경로가 일치하지 않으면 다른 PE 라우터로 내보내지지 않지만, 동일한 VPN의 두 CE 라우터가 동일한 PE 라우터에 직접 연결된 경우 라우팅을 위해 로컬로 계속 사용될 수 있습니다.
경로가 PE 라우터 간의 IBGP 세션의 가져오기 정책을 통과하는 경우 원격 PE 라우터는 경로를 bgp.l3vpn.0 테이블에 배치합니다. 동시에 VPN에 대한 VRF 가져오기 정책과 경로를 확인합니다. 일치하는 경우 경로 구분자가 경로에서 제거되고 IPv4 형식의 VRF 테이블( routing-instance-name.inet.0 테이블)에 배치됩니다.
그림 3 은 라우터 PE1이 프로바이더의 코어 네트워크에서 다른 PE 라우터로 경로를 배포하는 방법을 보여줍니다. 라우터 PE2 및 라우터 PE3은 각각 IBGP 세션을 통해 수신된 경로를 수락하고 VRF 테이블에 설치할지 여부를 결정하는 데 사용하는 VRF 가져오기 정책을 가지고 있습니다.
간 경로 배포
PE 라우터가 직접 연결된 CE 라우터( 그림 3의 라우터 PE1)로부터 보급된 경로를 수신하면 다음 절차를 사용하여 경로를 조사하고 VPN 경로로 변환한 다음 원격 PE 라우터로 배포합니다.
PE 라우터는 해당 VPN에 대한 VRF 내보내기 정책을 사용하여 수신된 경로를 확인합니다.
수신된 경로가 내보내기 정책과 일치하면 경로는 다음과 같이 처리됩니다.
경로가 VPN-IPv4 형식으로 변환됩니다. 즉, 8바이트 경로 구분자가 4바이트 VPN 접두사 앞에 추가되어 12바이트 VPN-IPv4 주소를 형성합니다.
경로 대상 커뮤니티가 경로에 추가됩니다.
PE 라우터는 원격 PE 라우터에 VPN-IPv4 형식으로 경로를 보급합니다. 경로는 공급자의 코어 네트워크에서 구성된 IBGP 세션을 사용하여 배포됩니다.
경로가 내보내기 정책과 일치하지 않으면 원격 PE 라우터로 내보내지지 않지만 라우팅을 위해 로컬로 계속 사용할 수 있습니다(예: 동일한 VPN의 두 CE 라우터가 동일한 PE 라우터에 직접 연결된 경우).
원격 PE 라우터가 다른 PE 라우터( 그림 3의 라우터 PE2 및 PE3)로부터 보급된 경로를 수신하면 다음 절차를 사용하여 경로를 처리합니다.
PE 라우터 간의 IBGP 세션에서 가져오기 정책에 의해 경로가 수락되면 원격 PE 라우터는 경로를 bgp.l3vpn.0 테이블에 배치합니다.
원격 PE 라우터는 경로의 경로 대상 커뮤니티를 VPN의 VRF 가져오기 정책으로부터 확인합니다.
일치하는 경우 경로 구분자가 경로에서 제거되고 IPv4 형식의 VRF 테이블( routing-instance-name.inet.0 테이블)에 배치됩니다.
PE에서 CE 라우터로 경로 배포
원격 PE 라우터는 IPv4 형식의 VRF 테이블에 직접 연결된 CE 라우터에 경로를 발표합니다.
PE 라우터는 다음 라우팅 프로토콜 중 하나를 사용하여 CE 라우터와 통신할 수 있습니다.
Ospf
Rip
Bgp
정적 경로
그림 4 는 3개의 PE 라우터가 연결된 CE 라우터에 대한 경로를 발표한 방법을 보여줍니다.
라우터로 경로 배포
VPN-IPv4 주소 및 경로 식별자 이해하기
레이어 3 VPN은 RFC 1918(개인 인터넷에 대한 주소 할당)에 정의된 바와 같이 공용 주소 또는 프라이빗 주소를 사용할 수 있는 프라이빗 네트워크를 공용 인터넷 인프라를 통해 연결하기 때문에 프라이빗 네트워크가 프라이빗 주소를 사용할 때 주소는 다른 프라이빗 네트워크의 주소와 겹칠 수 있습니다.
그림 5 는 서로 다른 프라이빗 네트워크의 프라이빗 주소가 어떻게 겹칠 수 있는지 보여줍니다. 여기에서 VPN A 및 VPN B 내의 사이트는 프라이빗 네트워크에 주소 공간 10.1.0.0/16, 10.2.0.0/16 및 10.3.0.0/16을 사용합니다.
간의 중복 주소
중복되는 프라이빗 주소를 피하기 위해 개인 주소 대신 공용 주소를 사용하도록 네트워크 디바이스를 구성할 수 있습니다. 그러나 이것은 크고 복잡한 사업입니다. RFC 4364에서 제공되는 솔루션은 기존 프라이빗 네트워크 번호를 사용하여 모호하지 않은 새 주소를 생성합니다. 새 주소는 BGP 프로토콜의 확장으로 추가된 BGP 주소 패밀리인 VPN-IPv4 주소 패밀리의 일부입니다. VPN-IPv4 주소에서 경로 식별자라고 하는 VPN을 식별하는 값은 프라이빗 IPv4 주소에 접두사되어 프라이빗 IPv4 주소를 고유하게 식별하는 주소를 제공합니다.
PE 라우터만 BGP에 대한 VPN-IPv4 주소 확장을 지원해야 합니다. 수신 PE 라우터가 VPN 내의 디바이스로부터 IPv4 경로를 수신하면 경로에 경로 구분자 접두사 접두자를 추가하여 이를 VPN-IPv4 경로로 변환합니다. VPN-IPv4 주소는 PE 라우터 간에 교환된 경로에만 사용됩니다. 송신 PE 라우터가 VPN-IPv4 경로를 수신하면 연결된 CE 라우터에 경로를 발표하기 전에 경로 구분자를 제거하여 VPN-IPv4 경로를 IPv4 경로로 다시 변환합니다.
VPN-IPv4 주소는 다음과 같은 형식을 갖습니다.
경로 구분자는 다음 형식 중 하나로 지정할 수 있는 6바이트 값입니다.
as-numberas-number:number은(는) AS 번호(2바이트 값)이며number모든 4바이트 값입니다. AS 번호는 범위 1~ 65,535일 수 있습니다. 인터넷 서비스 프로바이더는 (ISP) 소유이거나 고객의 AS 번호가 아닌 Internet Assigned Numbers Authority(IANA)로 할당된 비민주적 AS 번호를 사용하는 것이 좋습니다.ip-addressip-address:number은(는) IP 주소(4바이트 값)이며number모든 2바이트 값입니다. IP 주소는 전 세계적으로 고유한 유니캐스트 주소일 수 있습니다. 할당된 접두사 범위에서router-id비민주적 주소인 문에서 구성한 주소를 사용하는 것이 좋습니다.
IPv4 주소 - VPN 내 디바이스의 4바이트 주소입니다.
그림 5 는 AS 번호가 경로 구분자에서 어떻게 사용될 수 있는지 보여줍니다. VPN A가 AS 65535에 있고 VPN B가 AS 666(이 AS 번호 모두 ISP에 속함)에 있다고 가정하고 VPN A의 Site 2에 대한 경로 구분자가 65535:02이며 VPN B의 Site 2에 대한 경로 구분자가 666:02라고 가정해봅시다. 라우터 PE2는 VPN A의 CE 라우터로부터 경로를 수신하면 IP 주소 10.2.0.0에서 VPN-IPv4 주소 65535:02:10.2.0.0으로 변환합니다. PE 라우터는 VPN A와 동일한 주소 공간을 사용하는 VPN B로부터 경로를 수신하면 이를 666:02:10.2.0.0의 VPN-IPv4 주소로 변환합니다.
IP 주소가 경로 식별자에서 사용되는 경우, 라우터 PE2의 IP 주소가 172.168.0.1이라고 가정합니다. PE 라우터가 VPN A로부터 경로를 수신하면 VPN-IPv4 주소 172.168.0.1:0:10.2.0.0/16으로 변환하고 VPN B에서 172.168.0.0:1:10.2.0.0/16으로 경로를 변환합니다.
경로 구분자는 다른 VPN의 IPv4 주소에 대한 PE 라우터 사이에서만 사용됩니다. 수신 PE 라우터는 경로 식별자를 생성하고 CE 라우터에서 수신된 IPv4 경로를 VPN-IPv4 주소로 변환합니다. 송신 PE 라우터는 CE 라우터에 이를 발표하기 전에 VPN-IPv4 경로를 IPv4 경로로 변환합니다.
VPN-IPv4 주소는 BGP 주소의 유형이므로 PE 라우터가 공급자의 코어 네트워크 내에서 VPN-IPv4 경로를 배포할 수 있도록 PE 라우터 쌍 간에 IBGP 세션을 구성해야 합니다. (모든 PE 라우터는 동일한 AS 내에 있는 것으로 가정됩니다.)
PE 라우터 간에 경로 배포를 제한하기 위해 BGP 커뮤니티를 정의합니다. BGP 커뮤니티를 정의하는 것 자체가 IPv4 주소를 구별하지 않습니다.
그림 6 은 라우터 PE1이 VPN A의 Site 1에서 CE 라우터로부터 수신한 경로에 경로 구분자 10458:22:10.1/16을 추가하고 이 경로를 다른 두 개의 PE 라우터로 전달하는 방법을 보여줍니다. 마찬가지로, 라우터 PE1은 경로 구분자 10458:23:10.2/16을 VPN B의 Site 1에서 CE 라우터가 수신한 경로에 추가하고 이 경로를 다른 PE 라우터로 전달합니다.
레이어 3 VPN에 대한 IPv4 패킷 포워딩 구성
레이어 2 및 레이어 3 VPN에서 IPv4 트래픽에 대한 패킷 포워딩을 지원하도록 라우터를 구성할 수 있습니다. 구성된 Helper 서비스의 유형에 따라 패킷 포워딩은 다음 방법 중 하나로 처리됩니다.
BOOTP 서비스 - 클라이언트는 BOOTP 서비스로 구성된 라우터를 통해 부트스트랩 프로토콜(BOOTP) 요청을 지정된 라우팅 인스턴스의 서버로 보냅니다. 서버는 클라이언트 주소를 인식하고 BOOTP 서비스로 구성된 라우터에 응답을 다시 보냅니다. 이 라우터는 지정된 라우팅 인스턴스에서 올바른 클라이언트 주소로 응답을 전달합니다.
기타 서비스 - 클라이언트는 서비스로 구성된 라우터를 통해 지정된 라우팅 인스턴스의 서버로 요청을 보냅니다. 서버는 클라이언트 주소를 인식하고 지정된 라우팅 인스턴스에서 올바른 클라이언트 주소에 대한 응답을 보냅니다.
VPN에 대한 패킷 포워딩을 활성화하려면 문을 포함합니다 helpers .
helpers {
service {
description description-of-service;
server {
address address {
routing-instance routing-instance-names;
}
}
interface interface-name {
description description-of-interface;
no-listen;
server {
address address {
routing-instance routing-instance-names;
}
}
}
}
}
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit forwarding-options][edit logical-systems logical-system-name forwarding-options][edit routing-instances routing-instance-name forwarding-options]참고:여러 VPN에 대한 패킷 포워딩을 활성화할 수 있습니다. 그러나 클라이언트와 서버는 동일한 VPN 내에 있어야 합니다. 클라이언트와 서버 간의 경로를 따라 패킷 포워딩이 활성화된 모든 주니퍼 네트웍스 라우팅 플랫폼도 동일한 VPN 내에 위치해야 합니다.
주소와 라우팅 인스턴스는 함께 고유한 서버를 구성합니다. 이는 여러 서버를 허용할 수 있는 BOOTP 서비스로 구성된 라우터에 대한 의미가 있습니다.
예를 들어, BOOTP 서비스는 다음과 같이 구성할 수 있습니다.
[edit forwarding-options helpers bootp] server address 10.2.3.4 routing-instance [instance-A instance-B];
주소가 동일하더라도 라우팅 인스턴스는 다릅니다. 에서 BOOTP 서비스를 instance-A 위해 들어오는 패킷은 라우팅 인스턴스에서 instance-A 포 10.2.3.4 워딩되고, 에 들어오는 instance-B 패킷은 라우팅 인스턴스에서 instance-B 전달됩니다. 다른 서비스는 단일 서버만 허용할 수 있으므로 이 구성은 이러한 경우에 적용되지 않습니다.
예: 기본 MPLS 기반 레이어 3 VPN 구성
이 예는 라우터 또는 Junos OS 실행되는 스위치에서 기본 MPLS 기반 레이어 3 VPN을 구성하고 검증하는 방법을 보여줍니다. IPv4 기반 예는 EBGP를 공급자와 고객 에지 디바이스 간의 라우팅 프로토콜로 사용합니다.
주니퍼의 콘텐츠 테스트 팀은 이 예제를 검증하고 업데이트했습니다.
Junos OS 실행되는 라우터와 스위치를 사용하여 MPLS 기반 레이어 3 가상 프라이빗 네트워크(VPN)를 구축하여 고객 사이트를 레이어 3 연결과 상호 연결할 수 있습니다. 정적 라우팅이 지원되는 동안 레이어 3 VPN은 일반적으로 고객 디바이스가 프로바이더 네트워크와 라우팅 정보를 교환하고 IP 프로토콜(예: IPv4 및/또는 IPv6)에 대한 지원이 필요합니다.
이는 고객 디바이스가 IP 프로토콜을 기반으로 하지 않을 수 있고 고객 에지(CE) 디바이스 간에 라우팅이 발생하는 레이어 2 VPN과는 대조적입니다. CE 디바이스가 프로바이더 에지 디바이스와 상호 작용(피어)하는 레이어 3 VPN과 달리 레이어 2 VPN에서 고객 트래픽은 CE 디바이스 간 엔드 투 엔드를 실행하는 모든 라우팅 프로토콜을 통해 프로바이더 코어를 투명하게 통과합니다.
MPLS 기반 VPN에는 프로바이더 네트워크에서 기본 MPLS 기능이 필요합니다. 기본 MPLS 작동하면 프로바이더 코어를 통한 전송을 위해 레이블 스위칭 경로(LSP)를 사용하는 VPN을 구성할 수 있습니다.
VPN 서비스의 추가는 프로바이더 네트워크의 기본 MPLS 스위칭 작업에 영향을 미치지 않습니다. 실제로 공급자(P) 디바이스는 VPN을 인식하지 못하기 때문에 기준 MPLS 구성만 필요로 합니다. VPN 상태는 공급자 에지(PE) 디바이스에서만 유지됩니다. 이것이 바로 MPLS 기반 VPN이 확장되는 주요 이유입니다.
- 요구 사항
- 개요 및 토폴로지
- 빠른 구성
- MPLS 기반 레이어 3 VPN에 대한 로컬 PE(PE1) 디바이스 구성
- MPLS 기반 레이어 3 VPN에 대한 원격 PE(PE2) 디바이스 구성
- 확인
요구 사항
이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.
Junos OS 및 스위칭 디바이스용 릴리스 12.3 이상
Junos OS 릴리스 20.3R1에서 재검증
PE(Provider Edge) 디바이스 2개
하나의 프로바이더는 (P) 디바이스
두 개의 고객 에지(CE) 디바이스
이 예에서는 레이어 3 VPN을 기존 MPLS 베이스라인에 추가하는 방법에 초점을 맞춥니다. 네트워크에 MPLS 구축되지 않은 경우 기본 MPLS 구성이 제공됩니다.
MPLS 기반 VPN을 지원하려면 기본 MPLS 기준선은 다음 기능을 제공해야 합니다.
코어 대면 및 루프백 인터페이스를 MPLS 패밀리 지원으로 작동
OSPF 또는 IS-IS와 같은 내부 게이트웨이 프로토콜로 프로바이더(P 및 PE) 디바이스의 루프백 주소 간 연결성을 제공합니다.
LDP 또는 RSVP와 같은 MPLS 신호 전송 프로토콜로 LSP에 신호를 전송
PE 디바이스 루프백 주소 간에 설정된 LSP
LSP는 주어진 VPN에 참여하는 각 PE 디바이스 쌍 간에 필요합니다. 모든 PE 디바이스 간에 LSP를 구축하여 향후 VPN 성장을 수용할 수 있는 좋은 아이디어입니다. 계층 수준에서 LSP를 [edit protocols mpls] 구성합니다. CCC(Circuit Cross-Connect) 연결을 위한 MPLS 구성과 달리, LSP를 PE 디바이스의 고객 대면(에지) 인터페이스와 수동으로 연결할 필요는 없습니다. 대신 레이어 3 VPN은 BGP 신호를 사용하여 사이트 연결성을 보급합니다. 이 BGP 신호 전송은 원격 VPN 사이트를 LSP 포워딩 다음 홉에 매핑하는 작업을 자동화합니다. 즉, PE 디바이스의 에지 대면 인터페이스에 LSP의 레이어 3 VPN 명시적 매핑이 필요하지 않습니다.
개요 및 토폴로지
레이어 3 VPN을 통해 고객은 서비스 프로바이더의 기술 전문성을 활용하여 효율적인 사이트 투 사이트 라우팅을 보장할 수 있습니다. 고객 에지(CE) 디바이스는 일반적으로 BGP 또는 OSPF와 같은 라우팅 프로토콜을 사용하여 서비스 프로바이더 에지(PE) 디바이스와 경로를 교환합니다. 정적 라우팅은 레이어 3 VPN에 지원되지만, 일반적으로 동적 라우팅 프로토콜이 선호됩니다.
VPN의 정의에는 로컬 및 원격 PE 디바이스에 대한 변경만 포함됩니다. 이러한 디바이스는 기본 MPLS 스위칭 기능만 제공하기 때문에 공급자 디바이스(이미 작업 MPLS 기준이 있다고 가정)에서는 추가 구성이 필요하지 않습니다. CE 디바이스는 MPLS 사용하지 않으며 PE 디바이스와 상호 작용할 수 있도록 기본 인터페이스 및 라우팅 프로토콜 구성만 필요합니다.
레이어 3 VPN에서 로컬 PE 디바이스와 피어하도록 CE 디바이스를 구성합니다. 이는 MPLS 기반 프로바이더 코어를 통해 연결되어 있음에도 불구하고 CE 디바이스가 공유 링크에 있는 것처럼 서로 피어되는 레이어 2 VPN과는 대조적입니다.
MPLS 기준선이 설정되면 PE 디바이스에서 다음 기능을 구성하여 MPLS 기반 레이어 3 VPN을 구축해야 합니다.
지원이 있는
family inet-vpn unicastBGP 그룹인스턴스 유형
vrf과 연결된 CE 디바이스와 호환되는 라우팅 프로토콜 정의가 있는 라우팅 인스턴스연결된 CE 디바이스와 동일한 서브넷에 인터페이스를 배치하는 IPv4 주소와
family inet함께 구성된 PE 디바이스의 고객 대면 인터페이스. 원하는 VLAN 캡슐화 및 해당 VLAN ID도 구성할 수 있습니다.
적절한 엔드투엔드 연결을 위해서는 PE 디바이스와의 피어링을 지원하기 위해 CE 디바이스를 호환 IP 서브넷 및 라우팅 프로토콜 매개 변수로 구성해야 합니다.
그림 7 은 이 예에서 사용된 토폴로지 를 보여줍니다. 이 그림에서는 프로바이더 및 고객 네트워크에서 사용되는 인터페이스 이름, IP 주소 지정 및 라우팅 프로토콜에 대해 자세히 설명합니다. 또한 CE 및 PE 디바이스 간의 피어링 관계도 강조 표시합니다. 이 예에서는 각 CE 디바이스가 로컬 PE 디바이스에 대한 EBGP 피어링 세션을 형성 할 것으로 예상합니다. 프로바이더는 네트워크와 고객 사이트 모두 BGP 운영을 지원하는 AS(Autonomous System) 번호가 할당되어 있습니다. 이 예에서 라우팅 정책 CE 디바이스에 적용되어 프로바이더가 마주하는 및 루프백 인터페이스에 대한 직접 경로를 광고하도록 합니다.
빠른 구성
이 섹션 구성을 사용하여 MPLS 기반 레이어 3 VPN을 빠르게 가동할 수 있습니다. 구성에는 레이어 3 VPN을 지원하기 위한 기능 MPLS 기준이 포함됩니다. 이 예는 구성의 VPN 측면에 초점을 맞춥니다. 이 예에서 사용되는 기본 MPLS 기능에 대한 추가 정보는 다음 링크를 참조하십시오.
CLI 빠른 구성
디바이스 구성은 관리 인터페이스, 정적 경로, 시스템 로깅, 시스템 서비스 및 사용자 로그인 정보를 생략합니다. 이러한 구성 부분은 위치에 따라 다르며 MPLS 또는 VPN 기능과 직접 관련이 없습니다.
환경의 세부 사항에 대해 필요에 따라 다음 명령을 편집하고 계층의 구성 모드에서 로컬 CE(CE1) 디바이스 터미널 창에 [edit] 붙여 넣습니다.
CE1 디바이스에 대한 전체 구성.
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
PE1 디바이스에 대한 전체 구성.
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
P 디바이스에 대한 전체 구성.
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
PE2 디바이스에 대한 전체 구성.
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
CE2 디바이스에 대한 전체 구성.
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
작업에 만족할 때 모든 디바이스에서 구성 변경 사항을 커밋해야 합니다. 새로운 MPLS 기반 레이어 3 VPN을 축하합니다! 레이어 3 VPN이 예상대로 작동하는지 확인하는 데 필요한 단계는 검증 섹션을 참조하십시오.
MPLS 기반 레이어 3 VPN에 대한 로컬 PE(PE1) 디바이스 구성
이 섹션에서는 이 예에 대한 PE1 디바이스를 구성하는 데 필요한 단계를 다룹니다. PE 디바이스에 초점을 맞추는 이유는 VPN 구성이 보관되는 위치이기 때문입니다. 이 예에서 사용된 CE 디바이스 및 P 디바이스 구성의 빠른 구성 섹션을 참조하십시오.
MPLS 베이스라인 구성(필요한 경우)
레이어 3 VPN을 구성하기 전에 PE 디바이스에 작동 MPLS 기준이 있는지 확인합니다. 이미 MPLS 기준선이 있는 경우 단계별 절차로 건너뛰고 PE 디바이스에 레이어 3 VPN을 추가할 수 있습니다.
호스트 이름을 구성합니다.
[edit] user@pe1# set system host-name pe1
코어 및 루프백 인터페이스를 구성합니다.
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
모범 사례:레이어 3 VPN은 수신 PE에서 단편화를 수행할 수 있지만 CE가 단편화 없이 최대 크기의 프레임을 보낼 수 있도록 네트워크를 설계하는 것이 가장 좋습니다. 단편화가 발생하지 않도록 하기 위해 공급자 네트워크는 PE 디바이스에 의해 MPLS 가상 라우팅 및 포워딩(VRF) 레이블이 추가된 후 CE 디바이스가 생성할 수 있는 가장 큰 프레임을 지원해야 합니다. 이 예는 공급자 코어가 4000바이트 MTU를 지원하도록 구성하는 동안 CE 디바이스를 기본 1500바이트 최대 전송 단위(MTU)로 둡니다. 이를 통해 CE 디바이스는 MPLS 및 VRF 캡슐화 오버헤드에도 불구하고 프로바이더 네트워크의 MTU를 초과할 수 없습니다.
프로토콜을 구성합니다.
참고:트래픽 엔지니어링은 RSVP 신호 LSP에 지원되지만 기본 MPLS 스위칭 또는 VPN 구축에는 필요하지 않습니다. 제공된 MPLS 기준선은 RSVP를 사용하여 LSP에 신호를 전송하고 최단 경로 우선(OSPF)에 대한 트래픽 엔지니어링을 활성화합니다. 그러나 LSP가 내부 게이트웨이 프로토콜의 최단 경로를 통해 라우팅될 것으로 예상하므로 경로 제약이 구성되지 않습니다.
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
원격 PE 디바이스의 루프백 주소에 LSP를 정의합니다.
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
MPLS 기준선은 이제 PE1 디바이스에 구성됩니다. 레이어 3 VPN을 계속 구성합니다.
절차
단계별 절차
레이어 3 VPN에 대한 PE1 디바이스를 구성하려면 다음 단계를 따르십시오.
고객 대면 인터페이스를 구성합니다.
팁:동일한 PE 디바이스에서 MPLS 기반 레이어 2 VPN과 MPLS 기반 레이어 3 VPN을 모두 구성할 수 있습니다. 그러나 동일한 고객 에지 대면 인터페이스를 구성하여 레이어 2 VPN과 레이어 3 VPN을 모두 지원할 수는 없습니다.
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
로컬 및 원격 PE 디바이스 간의 피어링을 위한 BGP 그룹을 구성합니다. PE 디바이스의 루프백 주소를 로컬 주소로 사용하고 주소 패밀리가
inet-vpn unicast레이어 3 VPN 경로 교환을 지원할 수 있도록 합니다. 이 예에서 PE 디바이스에서는 BGP에 대한 라우팅 정책 필요하지 않습니다. 기본적으로 PE 디바이스는 CE 디바이스에 대한 EBGP 피어링을 통해 학습하는 경로를 IBGP에 다시 보급합니다.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
팁:PE에서 PE IBGP 세션이 각각 또는
inet6체계를 사용하여 정규 IPv4 또는 IPv6 경로와 같은 비 VPN 경로 교환을 지원해야 하는 경우 다른 주소 패밀리를inet지정할 수 있습니다.BGP 그룹 유형을 내부 유형으로 구성합니다.
[edit protocols bgp] user@pe1# set group ibgp type internal
원격 PE 디바이스의 루프백 주소를 BGP neighbor로 구성합니다.
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
루프백 주소와 일치하도록 라우터 ID를 구성하고 BGP 피어링에 필요한 BGP AS(Autonomous System) 번호를 정의합니다.
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
라우팅 인스턴스를 구성합니다. 의 인스턴스 이름을 지정하고 의 CE1_L3vpn을(를
instance-type) 구성합니다vrf.[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
라우팅 인스턴스에 속하도록 PE 디바이스의 고객 대면 인터페이스를 구성합니다.
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
라우팅 인스턴스의 경로 식별자를 구성합니다. 이 설정은 특정 PE 디바이스의 특정 VRF에서 전송된 경로를 구별하는 데 사용됩니다. 각 PE 디바이스의 각 라우팅 인스턴스에 대해 고유해야 합니다.
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
인스턴스의 가상 라우팅 및 포워딩(VRF) 테이블 경로 대상을 구성합니다. 문은
vrf-target모든 보급 경로에 지정된 커뮤니티 태그를 추가하는 동시에 경로 가져오기에 대해 동일한 값을 자동으로 일치합니다. 적절한 경로 교환을 위해 주어진 VPN을 공유하는 PE 디바이스에서 일치하는 경로 대상을 구성해야 합니다.[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
참고:가져오기 및 내보내기 옵션을 사용하여 VRF 가져오기 및 내보내기 정책을 명시적으로 구성하여 보다 복잡한 정책을 만들 수 있습니다. 자세한 내용은 vrf-import 및 vrf-export 을 참조하십시오.
CE1 디바이스에 대한 EBGP 피어링을 지원하도록 라우팅 인스턴스를 구성합니다. VRF 링크의 CE1 끝에 대한 직접 인터페이스 피어링이 사용되며 CE1의 AS(Autonomous System) 번호가 매개 변수로
peer-as올바르게 지정됩니다.[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
PE1 디바이스에서 변경 사항을 커밋하고 CLI 운영 모드로 돌아갑니다.
[edit] user@pe1# commit and-quit
결과
PE1 디바이스에 구성 결과를 표시합니다. 출력은 이 예에 추가된 기능 구성만 반영합니다.
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
}
}
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
MPLS 기반 레이어 3 VPN에 대한 원격 PE(PE2) 디바이스 구성
이 섹션에서는 이 예에 대한 PE1 디바이스를 구성하는 데 필요한 단계를 다룹니다. PE 디바이스에 초점을 맞추는 이유는 VPN 구성이 보관되는 위치이기 때문입니다. 이 예에서 사용된 CE 디바이스 및 P 디바이스 구성의 빠른 구성 섹션을 참조하십시오.
MPLS 베이스라인 구성(필요한 경우)
레이어 3 VPN을 구성하기 전에 PE 디바이스에 작동 MPLS 기준이 있는지 확인합니다. 이미 MPLS 기준선이 있는 경우 단계별 절차로 건너뛰고 PE 디바이스에 레이어 3 VPN을 추가할 수 있습니다.
호스트 이름을 구성합니다.
[edit] user@pe2# set system host-name pe2
코어 및 루프백 인터페이스를 구성합니다.
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
모범 사례:레이어 3 VPN은 수신 PE에서 단편화를 수행할 수 있지만 CE가 단편화 없이 최대 크기의 프레임을 보낼 수 있도록 네트워크를 설계하는 것이 가장 좋습니다. 단편화가 발생하지 않도록 하기 위해 공급자 네트워크는 PE 디바이스에 의해 MPLS 가상 라우팅 및 포워딩(VRF) 레이블이 추가된 후 CE 디바이스가 생성할 수 있는 가장 큰 프레임을 지원해야 합니다. 이 예는 공급자 코어가 4000바이트 MTU를 지원하도록 구성하는 동안 CE 디바이스를 기본 1500바이트 최대 전송 단위(MTU)로 둡니다. 이를 통해 CE 디바이스는 MPLS 및 VRF 캡슐화 오버헤드에도 불구하고 프로바이더 네트워크의 MTU를 초과할 수 없습니다.
프로토콜을 구성합니다.
참고:트래픽 엔지니어링은 RSVP 신호 LSP에 지원되지만 기본 MPLS 스위칭 또는 VPN 구축에는 필요하지 않습니다. 제공된 MPLS 기준선은 RSVP를 사용하여 LSP에 신호를 전송하고 최단 경로 우선(OSPF)에 대한 트래픽 엔지니어링을 활성화합니다. 그러나 LSP가 내부 게이트웨이 프로토콜의 최단 경로를 통해 라우팅될 것으로 예상하므로 경로 제약이 구성되지 않습니다.
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
원격 PE 디바이스의 루프백 주소에 LSP를 정의합니다.
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
MPLS 기준선은 이제 PE1 디바이스에 구성됩니다. 레이어 3 VPN을 계속 구성합니다.
절차
단계별 절차
레이어 3 VPN에 대한 PE2 디바이스를 구성하려면 다음 단계를 따르십시오.
고객 대면 인터페이스를 구성합니다.
팁:동일한 PE 디바이스에서 MPLS 기반 레이어 2 VPN과 MPLS 기반 레이어 3 VPN을 모두 구성할 수 있습니다. 그러나 동일한 고객 에지 대면 인터페이스를 구성하여 레이어 2 VPN과 레이어 3 VPN을 모두 지원할 수는 없습니다.
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
로컬 및 원격 PE 디바이스 간의 피어링을 위한 BGP 그룹을 구성합니다. PE 디바이스의 루프백 주소를 로컬 주소로 사용하고 주소 패밀리가
inet-vpn unicast레이어 3 VPN 경로 교환을 지원할 수 있도록 합니다.[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
팁:PE에서 PE IBGP 세션이 각각 또는
inet6체계를 사용하여 정규 IPv4 또는 IPv6 경로와 같은 비 VPN 경로 교환을 지원해야 하는 경우 다른 주소 패밀리를inet지정할 수 있습니다.BGP 그룹 유형을 내부 유형으로 구성합니다.
[edit protocols bgp] user@pe2# set group ibgp type internal
PE1 디바이스의 루프백 주소를 BGP neighbor로 구성합니다.
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
루프백 주소와 일치하도록 라우터 ID를 구성하고 BGP AS(Autonomous System) 번호를 정의합니다.
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
라우팅 인스턴스를 구성합니다. 의 을(를) 사용해
instance-typevrf, 의 CE2_L3vpn인스턴스 이름을 지정합니다.[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
라우팅 인스턴스에 속하도록 PE 디바이스의 고객 대면 인터페이스를 구성합니다.
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
라우팅 인스턴스의 경로 식별자를 구성합니다. 이 설정은 특정 PE 디바이스의 특정 VRF에서 전송된 경로를 구별하는 데 사용됩니다. 각 PE 디바이스의 각 라우팅 인스턴스에 대해 고유해야 합니다.
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
인스턴스의 가상 라우팅 및 포워딩(VRF) 테이블 경로 대상을 구성합니다. 문은
vrf-target모든 보급 경로에 지정된 커뮤니티 태그를 추가하는 동시에 경로 가져오기에 대해 동일한 값을 자동으로 일치합니다. 적절한 경로 교환을 위해 주어진 VPN을 공유하는 PE 디바이스에서 일치하는 경로 대상을 구성해야 합니다.[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
참고:가져오기 및 내보내기 옵션을 사용하여 VRF 가져오기 및 내보내기 정책을 명시적으로 구성하여 보다 복잡한 정책을 만들 수 있습니다. 자세한 내용은 vrf-import 및 vrf-export 을 참조하십시오.
CE2 디바이스에 대한 EBGP 피어링을 지원하도록 라우팅 인스턴스를 구성합니다. VRF 링크의 CE2 끝에 대한 직접 인터페이스 피어링이 사용되며 CE2의 AS(Autonomous System) 번호가 매개 변수로
peer-as올바르게 지정됩니다.[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
PE2 디바이스에서 변경 사항을 커밋하고 CLI 운영 모드로 돌아갑니다.
[edit] user@pe2# commit and-quit
결과
PE2 디바이스에 구성 결과를 표시합니다. 출력은 이 예에 추가된 기능 구성만 반영합니다.
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
확인
다음 작업을 수행하여 MPLS 기반 레이어 3 VPN이 제대로 작동하는지 확인합니다.
- 공급자 OSPF 인접성 및 경로 교환 확인
- MPLS 및 RSVP 인터페이스 설정 확인
- RSVP 신호 LSP 확인
- BGP 세션 상태 확인
- 라우팅 테이블에서 레이어 3 VPN 경로 확인
- 레이어 3 VPN 연결을 사용하여 원격 PE 디바이스 Ping
- 레이어 3 VPN을 통해 CE 디바이스의 엔드투엔드 작동 확인
공급자 OSPF 인접성 및 경로 교환 확인
목적
인접 상태와 원격 프로바이더 디바이스의 루프백 주소에 대한 OSPF 학습 경로를 확인하여 OSPF 프로토콜이 공급자 네트워크에서 제대로 작동하는지 확인합니다. 적절한 IGP 작업은 MPLS LSP를 성공적으로 설정하기 위해 매우 중요합니다.
작업
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
의미
출력은 PE1 디바이스가 P 디바이스(192.168.0.2)에 대한 OSPF 인접성을 설정했음을 보여줍니다. 또한 P 및 원격 PE 디바이스 루프백 주소() 및 (192.168.0.2192.168.0.3)가 로컬 PE 디바이스에서 OSPF를 통해 올바르게 학습된다는 것을 보여줍니다.
MPLS 및 RSVP 인터페이스 설정 확인
목적
RSVP 및 MPLS 프로토콜이 PE 디바이스의 코어 대면 인터페이스에서 작동하도록 구성되었는지 확인합니다. 또한 이 단계는 PE 디바이스의 코어 대면 인터페이스의 단위 수준에서 올바르게 구성되었는지 확인합니다 family mpls .
작업
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
의미
출력 결과, 로컬 PE 디바이스의 코어 및 루프백 인터페이스에서 MPLS 및 RSVP가 올바르게 구성되어 있음을 보여줍니다.
RSVP 신호 LSP 확인
목적
RSVP 신호 수신 및 송신 LSP가 PE 디바이스의 루프백 주소 간에 올바르게 설정되었는지 확인합니다.
작업
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
의미
출력은 수신 및 송신 RSVP 세션이 모두 PE 디바이스 간에 올바르게 설정됨을 보여줍니다. 성공적인 LSP 설정은 MPLS 기준선이 작동 중임을 나타냅니다.
BGP 세션 상태 확인
목적
PE 디바이스 간의 IBGP 세션이 레이어 3 VPN NLRI(Network Layer Reachability Information)에 대한 지원으로 올바르게 설정되었는지 확인합니다. 이 단계에서는 또한 CE EBGP 세션에 대한 로컬 PE가 설정되었고 IPv4 경로를 교환하도록 올바르게 구성되었는지 확인합니다.
작업
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
의미
출력은 원격 PE 디바이스()에 대한 IBGP 세션이 올바르게 설정되었는지(192.168.0.3Establ) 및 필드를 통해 Up/Dwn 세션이 현재 상태(6:18)에 얼마나 있었는지 보여줍니다. flaps 필드는 세션이 안정적임을 나타내는 상태 전환이 발생하지 않았음을 확인합니다(0). 또한 테이블의 존재에 의해 표시된 바와 같이 레이어 3 VPN 경로(NLRI)가 원격 PE에서 학습되었다는 점에 유의 bgp.l3vpn.0 하십시오.
디스플레이는 또한 로컬 CE1 디바이스(172.16.1.1)에 대한 EBGP 세션이 설정되었고 IPv4 경로가 CE1 디바이스로부터 수신되어 CE1 디바이스 라우팅 인스턴스에 설치되었음을 확인합니다(CE1_L3vpn.inet.0)
이 출력은 PE 디바이스와 CE 디바이스 간의 BGP 피어링이 레이어 3 VPN을 지원하기 위해 제대로 작동하고 있음을 확인합니다.
라우팅 테이블에서 레이어 3 VPN 경로 확인
목적
PE1 디바이스의 라우팅 테이블 원격 PE에 의해 보급된 레이어 3 VPN 경로로 채워져 있는지 확인합니다. 이러한 경로는 트래픽을 원격 CE 디바이스로 전달하는 데 사용됩니다.
작업
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
의미
show route table bgp.l3vpn.0 명령은 원격 PE 디바이스에서 수신한 레이어 3 VPN 경로를 표시합니다. show route table CE1_L3vpn.inet.0 명령은 라우팅 인스턴스로 CE1_L3vpn 가져온 모든 경로를 나열합니다. 이러한 항목은 일치하는 경로 대상이 있는 원격 PE2 디바이스에서 수신한 경로 외에 로컬 EBGP 피어링에서 CE1 디바이스로 학습한 경로를 나타냅니다.
두 테이블 모두 원격 레이어 3 VPN 경로가 포워딩 다음 홉으로 LSP와 lsp_to_pe2 올바르게 연결되어 있음을 보여줍니다. 출력은 로컬 PE 디바이스가 PE2 디바이스에서 원격 CE2 위치와 관련된 경로를 학습했음을 확인합니다. 또한 로컬 PE가 공급자 네트워크를 통해 MPLS 전송을 사용하여 레이어 3 VPN 트래픽을 원격 PE2 디바이스로 전달한다는 것을 보여줍니다.
레이어 3 VPN 연결을 사용하여 원격 PE 디바이스 Ping
목적
ping을 사용하여 로컬 및 원격 PE 디바이스 간의 레이어 3 VPN 연결을 확인합니다. 이 명령은 PE 디바이스 간 레이어 3 VPN 라우팅 및 MPLS 포워딩 작업을 확인합니다.
작업
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
의미
출력은 레이어 3 VPN 제어 및 포워딩 플레인이 PE 디바이스 간에 올바르게 작동하고 있음을 확인합니다.
레이어 3 VPN을 통해 CE 디바이스의 엔드투엔드 작동 확인
목적
CE 디바이스 간의 레이어 3 VPN 연결을 확인합니다. 이 단계는 CE 디바이스가 운영 인터페이스를 가지고 있으며 EBGP 기반 레이어 3 연결을 위해 올바르게 구성되었는지 확인합니다. 이는 로컬 CE1 디바이스가 원격 CE 디바이스의 경로를 학습했는지 확인하고 CE 디바이스가 루프백 주소 간에 트래픽을 종단 간 전달할 수 있는지 확인함으로써 수행됩니다.
작업
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
의미
출력 결과, CE 디바이스 간에 레이어 3 VPN 기반 연결이 올바르게 작동하고 있음을 보여줍니다. 로컬 CE 디바이스는 BGP를 통해 원격 CE 디바이스의 VRF 인터페이스 및 루프백 경로를 학습했습니다. 핑은 원격 CE 디바이스의 루프백 주소로 생성되며 인수를 사용하여 source 172.16.255.1 로컬 CE 디바이스의 루프백 주소에서 소싱됩니다. do-not-fragment 및 size 1472 스위치를 추가하면 CE 디바이스가 로컬 PE 디바이스에서 단편화를 유발하지 않고 1500바이트 IP 패킷을 전달할 수 있음을 확인합니다.
명령에 추가된 ping 인수는 size 1472 1472바이트의 에코 데이터를 생성합니다. 총 페이로드 크기가 1500바이트까지 늘어나기 위해 8바이트의 ICMP(Internet Control Message Protocol) 및 20바이트의 IP 헤더가 추가됩니다. 스위치를 do-not-fragment 추가하면 로컬 CE 및 PE 디바이스가 단편화를 수행할 수 없습니다. 이 핑 방법은 CE 디바이스 간에 표준 1500바이트 최대 길이 이더넷 프레임을 교환할 때 단편화가 필요하지 않다는 것을 확인합니다.
이러한 결과는 MPLS 기반 레이어 3 VPN이 올바르게 작동하는지 확인합니다.