На этой странице
Примере: Настройка динамических туннелей MPLS перехода через UDP
Обзор защиты от спуфинга для динамических туннелей на основе следующего перехода
Примере: Настройка защиты от спуфинга для динамических туннелей на основе следующего перехода
Обзор динамической локализации туннеля на основе следующего перехода
Примере: Настройка динамических туннелей IP-over-IP на основе следующих переходов
Динамические туннели на основе следующего перехода
Примере: Настройка динамических туннелей MPLS перехода через UDP
В данном примере показано, как настроить динамический туннель MPLS-UDP с составным следующим переходом. Функция MPLS UDP обеспечивает преимущество масштабирования числа IP-туннелей, поддерживаемых устройством.
Начиная Junos OS 18.3R1, туннели MPLS Свыше UDP поддерживаются на серия PTX и серия QFX коммутаторах. Для каждого динамического туннеля, настроенного на маршрутизаторе PTX или коммутаторе QFX, создаются составный туннельный следующий переход, следующий непрямый переход и следующий переход переадправления для разрешения маршрута назначения туннеля. Управление политикой можно также использовать для разрешения динамического туннеля по выбору префиксов, включив в нее утверждение конфигурации forwarding-rib на [edit routing-options dynamic-tunnels] уровне иерархии.
Требования
В данном примере используются следующие аппаратные и программные компоненты:
Пять серия MX с MCS и MCS.
Junos OS версии 16.2 или более поздней на маршрутизаторах edge поставщика (PE).
Перед началом работы:
Настройте интерфейсы устройств, включая интерфейс обратной связи.
Настройте ID маршрутизатора и автоматический номер системы для устройства.
Установить внутренний BGP (IBGP) с удаленным устройством PE.
Установить OSPF пиринга между устройствами.
Обзор
Начиная с Junos OS 16.2 динамический туннель UDP поддерживает создание туннельного составного следующего перехода для каждого настроенного туннеля UDP. Эти динамические туннели UDP на основе следующего перехода называются MPLS-UDP-туннелями. Составный следующий переход по умолчанию включен для туннелей MPLS-UDP.
MPLS туннели свыше UDP могут быть двухнаправленные или однонаправленные по своей сути.
Двухнаправленный . Когда устройства PE подключены по туннелям MPLS-UDP в обоих направлениях, это называется двухнаправленным MPLS-по-UDP-туннелю.
Однонаправленное — два устройства PE соединены по туннелю MPLS UDP в одном направлении и через MPLS/IGP в другом направлении, это называется однонаправленным туннелем MPLS-через UDP-туннель.
Однонаправленные туннели MPLS UDP используются в сценариях миграции или в случаях, когда два устройства PE обеспечивают связь друг с другом по двум разнонаправленным сетям. Поскольку туннель обратного направления не существует для однонаправленных туннелей MPLS UDP, необходимо настроить декапсуляцию на основе фильтра MPLS-over-UDP на удаленном устройстве PE для пересылки трафика.
Начиная с Junos OS release 18.2R1, на маршрутизаторах серии PTX и QFX10000 с однонаправленными MPLS-UDP-туннелями, необходимо настроить удаленное устройство PE с входным фильтром для MPLS-over-UDP-пакетов, а также действия по декапсулированию IP- и UDP-задатков для перенаправления пакетов в обратном туннельном направлении.
Например, на удаленном устройстве PE, Device PE2, для однонаправленных туннелей с MPLS UDP требуется следующая конфигурация:
PE2
[edit firewall filter] user@host# set Decap_Filter term udp_decap from protocol udp user@host# set Decap_Filter term udp_decap from destination-port 6635 user@host# set Decap_Filter term udp_decap then count UDP_PKTS user@host# set Decap_Filter term udp_decap then decapsulate mpls-in-udp user@host# set Decap_Filter term def then count def_pkt user@host# set Decap_Filter term def then accept
В вышеприочисленной конфигурации Decap_Filter имя фильтра брандмауэра, используемого для MPLS-uDP-декапсуляции. Термин "udp_decap" является входным фильтром для примите пакетов UDP на интерфейсе интерфейса основного интерфейса устройства PE2, а затем декапсулирует MPLS-over-UDP-пакетов для MPLS-ip-пакетов для переадранизации.
Можно использовать существующие команды брандмауэра в режиме эксплуатации, например, для просмотра декапсуляции на MPLS UDP на основе show firewall filter фильтров.
Например:
user@host >show firewall filter Decap_Filter Filter: Decap_Filter Counters: Name Bytes Packets UDP_PKTS 16744 149 def_pkt 13049 136
Для однонаправленных туннелей MPLS UDP:
В качестве внешнего загона поддерживается только адрес IPv4. Декапсуляция MPLS UDP на основе фильтра не поддерживает адрес IPv6 во внешнем загоде.
После декапсуляции поддерживается только экземпляр маршрутизации по умолчанию.
Начиная Junos OS 17.1, на серия MX с MMPC и MCS, увеличивается предел масштабирования MPLS туннелей, которые могут быть больше UDP.
Начиная с Junos выпуска 19.2R1, на серия MX маршрутизаторах с MCS и MCS, архитектуру несущей поддержки (CSC) можно развертывать с помощью MPLS-UDP туннелей, несущих MPLS по динамическим туннелям IPv4 UDP, установленным между устройствами PE несущей. С помощью этого усовершенствования преимущество масштабирования, предоставляемых туннелем MPLS over UDP, еще больше возрастает. Поддержка CSC с туннелем MPLS UDP не поддерживается для туннеля IPv6 UDP.
Существующая функция динамического туннеля требует полной статической настройки. В настоящее время информация о туннеле, полученная от одноранговых устройств на объявленных маршрутах, игнорируется. Начиная с Junos OS выпусков 17.4R1, на серия MX маршрутизаторах сигнализируются динамические MPLS на основе UDP следующего перехода с использованием расширенных BGP инкапсуляции. BGP экспорта используется для указания типов туннелей, объявления сведений о туннеле на стороне отправитель, а также для их разчета и передачи данных туннеля на стороне приемника. Туннель создается в соответствии с полученным типом туннельного сообщества.
Несколько инкапсуляций туннеля поддерживаются BGP. При получении нескольких возможностей динамический туннель следующего перехода создается на основе настроенной политики BGP и предпочтения туннеля. Для настройки туннеля на обоих концах туннеля должно быть установлено предпочтение туннеля. По умолчанию туннель MPLS-over-UDP предпочтительнее, чем туннель GRE. Если динамическая конфигурация туннеля существует, то она имеет приоритет перед полученным туннельным сообществом.
При конфигурировании динамического MPLS следующего перехода по UDP-туннелю необходимо учитывать следующие факторы:
Между устройствами PE должен быть настроен сеанс IBGP.
Переключение между динамическими инкапсуляциями туннеля на основе следующего перехода (UDP и GRE) допускается, что может повлиять на производительность сети с точки зрения поддерживаемых значений масштабирования IP-туннелей в каждом режиме.
Наличие типов динамической инкапсуляции туннелей на основе GRE и UDP для одного назначения туннеля приводит к сбою сфиксировать ошибку.
Для однонаправленных туннелей MPLS UDP необходимо явно настроить декапсуляцию на основе фильтра MPLS-uDP на удаленном устройстве PE для пересылаемых пакетов.
При модуль маршрутизации-UDP MPLS переключение (GRES), а также флаги типа MPLS-туннеля uDP, совместимые с ISSU и NSR.
MPLS туннели свыше UDP поддерживаются на виртуальных MX (vMX) в режиме Lite.
MPLS туннели с поддержкой динамического создания туннелей GRE на основе новых переходов IPv4-mapped-IPv6.
MPLS туннели свыше UDP поддерживаются в области межсерийной связи с contrail, где от contrail vRouter к шлюзу MX создаются туннели MPLS over UDP. Для этого в маршруте от маршрутизатора серия MX маршрутизатора contrail vRouter требуется объявление следующего сообщества:
[edit policy-options community] udp members 0x030c:64512:13;
В данный момент времени в contrail vRouter поддерживается только один тип туннеля — динамические туннели GRE на основе следующего перехода, MPLS туннели over UDP или VXLAN.
Следующие функции не поддерживаются в конфигурации динамического MPLS перехода через UDP:
Автоматическая сетвая сетка RSVP
Простая конфигурация туннелей IPV6 GRE и UDP
Логические системы
Топологии
Рис. 1 иллюстрирует сценарий vpn уровня 3 по динамическим туннелям MPLS-UDP. Устройства клиентское граничное устройство (CE) CE1 и CE2 подключаются к устройствам поставщиков edge (PE) PE1 и PE2 соответственно. Устройства PE подключены к устройству поставщика (Устройству P1), и внутренний сеанс BGP (IBGP) соединяет два устройства PE. Между устройствами PE настраивается динамический двухнаправленный туннель MPL-over-UDP на основе динамического перехода.
Туннель MPLS по UDP обрабатывается следующим образом:
После настройки MPLS-UDP создается маршрут маски назначения туннеля со следующим переходом, составным для туннеля в таблице маршрутов inet.3. Этот маршрут IP-туннеля удаляется только при удалении конфигурации динамического туннеля.
Атрибуты туннельного составного следующего перехода включают в себя следующие:
Если составный следующий переход VPN уровня 3 отключен — исходный и адрес назначения, строка инкапсуляции и метка VPN.
Когда включены составные следующий переход VPN уровня 3 и назначение меток для каждого префикса VPN — адрес источника, адрес назначения и строка инкапсуляции.
Когда составный следующий переход VPN уровня 3 включен и назначение меток для каждого префикса VPN отключено — адрес источника, адрес назначения и строка инкапсуляции. В этом случае маршрут добавляется к другой виртуальной маршрутной маршрутике и таблице экземпляров переад пути с вторичным маршрутом.
Устройства PE связаны при помощи сеанса IBGP. Следующий переход IBGP к удаленному BGP является протоколом next hop, который разрешен с помощью маршрута маски туннеля со следующим туннельным переходом.
После разрешения следующего перехода протокола через туннельный составный следующий переход создаются непрямые следующие переходы с последующими переадами.
Туннельный составный следующий переход используется для перенапряжия следующих переходов по косвенным следующим переходам.
Конфигурации
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8 set interfaces lo0 unit 0 family inet address 127.0.0.1/8 set routing-options router-id 127.0.0.1 set routing-options autonomous-system 200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 100 set protocols bgp group ce1-pe1 neighbor 10.0.0.2 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 127.0.0.1/8 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.5/8 set routing-options router-id 127.0.0.5 set routing-options autonomous-system 200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 100 set protocols bgp group ce1-pe1 neighbor 203.0.113.1 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 127.0.0.5/8 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 127.0.0.2/8 set routing-options static route 33.0.0.0/8 next-hop 192.0.2.2 set routing-options router-id 127.0.0.2 set routing-options autonomous-system 100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 127.0.0.2 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 127.0.0.0/8 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 127.0.0.2 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 127.0.0.4 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE1 instance-type vrf set routing-instances MPLS-over-UDP-PE1 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE1 route-distinguisher 127.0.0.2:1 set routing-instances MPLS-over-UDP-PE1 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 200 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 127.0.0.3/8 set routing-options router-id 127.0.0.3 set routing-options autonomous-system 100 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 127.0.0.4/8 set routing-options nonstop-routing set routing-options router-id 127.0.0.4 set routing-options autonomous-system 100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 source-address 127.0.0.4 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 destination-networks 127.0.0.0/8 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 127.0.0.4 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 127.0.0.2 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE2 instance-type vrf set routing-instances MPLS-over-UDP-PE2 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE2 route-distinguisher 127.0.0.4:1 set routing-instances MPLS-over-UDP-PE2 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp peer-as 200 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
Процедуры
Пошаговая процедура
В следующем примере иерархия конфигурации требует перемещения по разным уровням. Информацию о навигации по интерфейс командной строки см. в интерфейс командной строки редактора в режиме конфигурации в руководстве интерфейс командной строки пользователя.
Настройка устройства PE1:
Настройте интерфейсы устройств, включая интерфейс обратной связи устройства.
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 127.0.0.2/8
Настройте статический маршрут для маршрутов устройства PE1 с устройством P1 в качестве места назначения следующего перехода.
[edit routing-options] user@PE1# set static route 33.0.0.0/8 next-hop 192.0.2.2
Настройте ID-маршрутизатор и номер автономной системы для устройства PE1.
[edit routing-options] user@PE1# set router-id 127.0.0.2 user@PE1# set autonomous-system 100
(только серия PTX) Настройте управление политиками для разрешения динамического MPLS туннельного маршрута по выбранным префиксам MPLS-over-UDP.
[edit routing-options dynamic-tunnels] user@PTX-PE1# set forwarding-rib inet.0 inet-import dynamic-tunnel-fwd-route-import
(только серия PTX) Настройте политику inet-import для изменения динамических маршрутов назначения туннеля.
[edit policy-options] user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 from route-filter 127.0.0.0/8 exact user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 then accept user@PTX-PE1# set policy-options policy-statement dynamic-tunnel-fwd-route-import then reject
Настройте равноправную связь IBGP между PE-устройствами.
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 127.0.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 127.0.0.4
Настройте OSPF на всех интерфейсах Устройства PE1, за исключением интерфейса управления.
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive
В настройках динамического туннеля GRE на устройстве PE1 в следующем переходе.
Прим.:Этот шаг необходим только для иллюстрации различий в реализации между динамическими туннелями GRE на MPLS на основе следующих переходов и туннелем с более-UDP.
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel
Настройте параметры MPLS-uDP с Device PE1 на Device PE2.
[edit routing-options] user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 127.0.0.2 user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 udp user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 127.0.0.0/8
Настройте экземпляр маршрутки VRF на устройстве PE1 и другие параметры экземпляра маршрутов.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 instance-type vrf user@PE1# set MPLS-over-UDP-PE1 interface ge-0/0/0.0 user@PE1# set MPLS-over-UDP-PE1 route-distinguisher 127.0.0.2:1 user@PE1# set MPLS-over-UDP-PE1 vrf-target target:600:1
В BGP экземпляра маршрутки для пиринга с устройством CE1 в включается настройка.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 200 user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show protocolsshow routing-instances команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.2/8;
}
}
}
user@PE1# show routing-options
static {
route 33.0.0.0/8 next-hop 192.0.2.2;
}
router-id 127.0.0.2;
autonomous-system 100;
forwarding-table {
export pplb;
}
dynamic-tunnels {
gre next-hop-based-tunnel;
udp-dyn-tunnel-to-pe2 {
source-address 127.0.0.2;
udp;
destination-networks {
127.0.0.0/8;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 127.0.0.2;
family inet-vpn {
unicast;
}
neighbor 127.0.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
MPLS-over-UDP-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 127.0.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
После настройки устройства войдите в commit режим конфигурации.
Проверки
Подтвердим, что конфигурация работает правильно.
- Проверка соединения между pe-устройствами
- Проверка динамических туннельных маршрутов на устройстве PE1
- Проверка динамических туннельных маршрутов на устройстве PE2
- Проверка того, что у маршрутов есть ожидаемый флаг Indirect-Next-Hop
Проверка соединения между pe-устройствами
Цель
Проверьте состояние BGP одноранговых устройств между Device PE1 и Device PE2, а также маршруты BGP, полученные от устройства PE2.
Действий
В рабочем режиме запустите show bgp summary команды show route receive-protocol bgp ip-address table bgp.l3vpn.0 и команды.
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
127.0.0.4 100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
MPLS-over-UDP-PE1.inet.0: 2/2/2/0
10.0.0.1 200 135 136 0 0 58:53 Establ
MPLS-over-UDP-PE1.inet.0: 1/1/1/0user@PE1> show route receive-protocol bgp 127.0.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 127.0.0.4:1:127.0.0.5/8 * 127.0.0.4 100 200 I 127.0.0.4:1:200.1.1.0/24 * 127.0.0.4 100 I
Смысл
В первых выходных данных состояние BGP сеансе – это означает, что сеанс в состоянии "up" и устройства
EstablPE равноправы.Во втором выводе устройство PE1 изучило два BGP от Устройства PE2.
Проверка динамических туннельных маршрутов на устройстве PE1
Цель
Проверьте маршруты в таблице маршрутов inet.3 и сведения о динамической базе данных туннеля на устройстве PE1.
Действий
В рабочем режиме show route table inet.3 запустите show dynamic-tunnels database terse команды , show dynamic-tunnels databaseshow dynamic-tunnels database summary и.
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
127.0.0.0/8 *[Tunnel/300] 00:21:18
Tunnel
127.0.0.4/8 *[Tunnel/300] 00:21:18
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type Status 127.0.0.4/8 127.0.0.2 0xb395b10 nhid 613 udp Up
user@PE1> show dynamic-tunnels database
Table: inet.3
Destination-network: 55.0.0.0/8
Destination-network: 55.66.0.0/16
Destination-network: 55.66.77.0/24
Tunnel to: 127.0.0.4/8
Reference count: 2
Next-hop type: UDP
Source address: 127.0.0.2 Tunnel Id: 2
Next hop: tunnel-composite, 0xb395b10, nhid 613
VPN Label: Push 299776 Reference count: 3
Traffic Statistics: Packets 0, Bytes 0
State: Upuser@PE1> show dynamic-tunnels database summary Dynamic Tunnels, Total 1 displayed GRE Tunnel: Active Tunnel Mode, Next Hop Base IFL Based, Total 0 displayed, Up 0, Down 0 Nexthop Based, Total 0 displayed, Up 0, Down 0 RSVP Tunnel: Total 0 displayed UDP Tunnel: Total 1 displayed, Up 1, Down 0
Смысл
В первом выводе, поскольку устройство PE1 настроено с помощью туннельного MPLS UDP, туннельный составный маршрут создается для записи маршрутной таблицы маршрутов inet.3.
В остальных выходных данных туннель MPLS-uDP с типом инкапсуляции туннеля, параметрами туннеля следующего перехода и состоянием туннеля.
Проверка динамических туннельных маршрутов на устройстве PE2
Цель
Проверьте маршруты в таблице маршрутов inet.3 и сведения о динамической базе данных туннеля на устройстве PE2.
Действий
В рабочем режиме запустите show route table inet.3 команды и show dynamic-tunnels database terse команды.
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
127.0.0.0/8 *[Tunnel/300] 00:39:31
Tunnel
127.0.0.2/8 *[Tunnel/300] 00:24:53
Tunnel Compositeuser@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type Status 127.0.0.2/8 127.0.0.4 0xb395450 nhid 615 udp Up
Смысл
Выходные данные показывают MPLS туннельное создание по UDP и ID следующего перехода назначен в качестве интерфейса следующего перехода, подобно устройству PE1.
Проверка того, что у маршрутов есть ожидаемый флаг Indirect-Next-Hop
Цель
Убедитесь, что устройства PE1 и Device PE2 настроены для сохранения косвенного следующего перехода в состоянии перенастройки следующего перехода на модуль передачи пакетов таблица переадресации.
Действий
В рабочем режиме запустите show krt indirect-next-hop команду на устройствах PE1 и Device PE2.
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 127.0.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 1
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 613
Destination address: 127.0.0.4, Source address: 127.0.0.2
Tunnel id: 2, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 1
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c70dc
IGP Route handle(hex) : 0xb1ae688 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Anyuser@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048575 Protocol next-hop address: 127.0.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 2
Locks: 3 0xb2ab740
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 615
Destination address: 127.0.0.2, Source address: 127.0.0.4
Tunnel id: 1, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d3a28
IGP Route handle(hex) : 0xb1ae634 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : AnyСмысл
Выходные данные показывают, что между устройствами PE создается динамический туннель MPLS-over-UDP.
Устранение неполадок
Для устранения неполадок динамических туннелей на основе следующих переходов см.:
Команды для устранения неполадок
Проблема
Конфигурация динамических туннелей MPLS-uDP на основе следующего перехода не действует.
Решение
Для устранения неполадок при настройке туннеля MPLS-over-UDP используйте следующие команды в traceroute[edit routing-options dynamic-tunnels] иерархии еагитации:
traceoptions file file-nametraceoptions file size file-sizetraceoptions flag all
Например:
[edit routing-options dynamic-tunnels]
traceoptions {
file udp_dyn_pe1.wri size 4294967295;
flag all;
}
Обзор защиты от спуфинга для динамических туннелей на основе следующего перехода
В связи с тем, что масштабные IP-туннели в центрах обработки данных развертываются, необходимо принять дополнительные меры безопасности, которые позволяют пользователям ограничивать вредоносный трафик от взлома виртуальных компьютеров (VM). Одной из возможных атак является влияние трафика в произвольный клиентский VPN с скомпрометированного сервера через маршрутизатор шлюза. В таких случаях проверки с спуфингом в IP-туннелях гарантируют, что только легитимные источники вводят трафик в центры обработки данных из назначенных IP-туннелей.
Динамические IP-туннели на основе следующего перехода создают туннельный составный следующий переход для каждого динамического туннеля, созданного на устройстве. Поскольку динамические туннели на основе следующего перехода удаляют зависимость от физических интерфейсов для каждого настроенного нового динамического туннеля, настройка динамических туннелей на основе следующего перехода предоставляет преимущество масштабирования по сравнению с числом динамических туннелей, которые можно создать на устройстве. Начиная с Junos OS 17.1, возможности борьбы с спуфингом для динамических IP-туннелей на основе следующего перехода обеспечиваются для динамических туннелей на основе следующих переходов. Это усовершенствование позволяет предотвратить внедрение трафика в произвольный клиентский VPN с скомпрометированного сервера через маршрутизатор шлюза.
Анти-спуфинг реализуется с помощью проверок переадребовки обратного пути в модуль передачи пакетов. Проверки выполняются для трафика, который идет через туннель к экземпляру маршрутов. В настоящее время, когда маршрутизатор шлюза получает трафик из туннеля, нас проводит только просмотр места назначения, и пакет соответствующим образом перенаправлен. Когда включена защита от спуфинга, маршрутизатор шлюза также делает просмотр адреса источника IP-загона инкапсуляции пакета в VPN, в дополнение к туннелю назначения. Это гарантирует, что легитимные источники вводят трафик через назначенные им IP-туннели. В результате защита от спуфинга гарантирует, что трафик туннеля получен от законного источника в назначенных туннелях.
Рис. 2 иллюстрирует пример топологии с требованиями к защите от спуфинга.
В данном примере маршрутизатор шлюза – это маршрутизатор G. Маршрутизатор G имеет две СЕТИ VPN — зеленый и синий. Два сервера, сервер А и сервер B, могут достичь зеленых и синих VPN на маршрутизаторе G через динамические туннели T1 и T2 на следующем переходе, соответственно. Несколько хостов и виртуальных компьютеров (P, Q, R, S и T), подключенных к серверам, могут достигать VPN через маршрутизатор шлюза, маршрутизатор G. Маршрутизатор G имеет виртуальные таблицы маршрутов и переадранки (VRF) для зеленых и синих VPN, каждая из которых заполнена информацией о доступности виртуальных машин в этих VPN.
Например, в vpn Green маршрутизатор G использует туннель T1 для достижения хоста P, туннель T2 для доступа к хостам R и S, а балансировка нагрузки между туннелями T1 и T2 проводится для достижения многоканального хоста Q. В vpn Blue маршрутизатор G использует туннель T1 для достижения хостов P и R, а туннель T2 – для доступа к хостам Q и T.
Проверка проходит для обратной переадментки пути, когда:
Пакет поступает от законного источника в назначенном туннеле.
Хост P в VPN Green отправляет пакет хосту X с помощью туннеля T1. Поскольку маршрутизатор G может достичь хоста P через туннель T1, он позволяет пакету проходить и переадреть пакет на хост X.
Пакет поступает из многоканального источника в назначенных туннелях.
Хост Q в vpn Green многоканален на серверах А и В, и может достичь маршрутизатора G через туннели T1 и T2. Хост Q отправляет пакет хосту Y по туннелю T1, а пакет – хосту X, использующего туннель T2. Поскольку маршрутизатор G может достичь хоста Q через туннели T1 и T2, он разрешает пропускать пакеты и переадреав их хостам Y и X, соответственно.
VPN уровня 3 по умолчанию не имеют включенной защиты от спуфинга. Чтобы включить анти спуфинг для динамических туннелей на основе следующего перехода, включим утверждение ip-tunnel-rpf-check на [edit routing-instances routing-instance-name routing-options forwarding-table] уровне иерархии. Проверка переадранки обратного пути применяется только к экземпляру маршрутов VRF. По умолчанию установлен режим, в котором пакет, который приходит от источника в ненастроещенном туннеле, strict не проходит проверку. Режим может быть установлен как , где не удается проверить обратную переадментационную маршрутизию, когда пакет поступает от ip-tunnel-rpf-checkloose несущестующего источника. Дополнительный фильтр брандмауэра можно настроить в соответствии с утверждением для подсчета и регистрации пакетов, которые не удалось проверить пересылку по ip-tunnel-rpf-check обратному пути.
В следующем примере выходных данных показана конфигурация по борьбе с спуфингом:
[edit routing-instances routing-instance-name routing-options forwarding-table]
ip-tunnel-rpf-check {
mode loose;
fail-filter filter-name;
}
При настройке защиты от спуфинга для динамических туннелей на основе следующего перехода учитывайте следующие рекомендации:
Защита от спуфинга может быть включена только для туннелей IPv4 и трафика данных IPv4. Возможности защиты от спуфинга не поддерживаются в туннелях IPv6 и трафике данных IPv6.
Анти-спуфинг для динамических туннелей на основе следующих переходов может обнаружить и предотвратить взлом виртуальной машины (проверку переад через внутренний исходный обратный путь), но не скомпрометированного сервера, который является подменой меток.
IP-туннели на основе следующего перехода могут исходить и заканчиваться в таблице маршрутов inet.0.
Защита от спуфинга эффективна, когда экземпляр маршрутов VRF имеет интерфейсы с коммутационными метами (LSIS) (с использованием) или интерфейсы виртуального туннеля
vrf-table-label(VT). Приper-next-hopметке экземпляра маршрутов VRF защита от спуфинга не поддерживается.Применимо
rpf fail-filterтолько к внутреннему пакету IP.Включение проверок спуфинга не влияет на ограничение масштабирования динамических туннелей на устройстве на основе следующего перехода.
Использование системных ресурсов с включенной защитой от спуфинга для экземпляра маршрутизации VRF немного выше, чем использование динамических туннелей на основе следующего перехода без включенной защиты от спуфинга.
Защита от спуфинга требует дополнительных проверок IP-адресов источника, которые минимально влияют на производительность сети.
При модуль маршрутизации переключения (GRES) и обновления программного обеспечения на сервисе (ISSU) поддерживается защита от спуфинга.
Примере: Настройка защиты от спуфинга для динамических туннелей на основе следующего перехода
В данном примере показано, как настраивать проверки переадности обратного пути для экземпляра виртуальной маршрутной и переадранной (VRF) маршрутов, чтобы обеспечить защиту от спуфинга для динамических туннелей на основе следующего перехода. Проверки проверяют, что легитимные источники вводят трафик через назначенные им IP-туннели.
Требования
В данном примере используются следующие аппаратные и программные компоненты:
Три серия MX с MCS, каждый из которых подключен к хост-устройству.
Junos OS версии 17.1 или более поздней версии, запущенной на одном или всех маршрутизаторах.
Перед началом работы:
В включается настройка служб туннеля на гибком концентраторе PIC.
Настройте интерфейсы маршрутизатора.
Настройте ИД маршрутизатора и назначьте номер автономной системы для маршрутизатора.
Установить внутренний BGP (IBGP) с конечными точками туннеля.
Настройте RSVP на всех маршрутизаторах.
Настройте OSPF или любой другой протокол внутреннего шлюза на всех маршрутизаторах.
Настройте два динамических IP-туннеля на основе следующего перехода между двумя маршрутизаторами.
Настройте экземпляр маршрутки VRF для каждого подключения маршрутизатора к хосту.
Обзор
Начиная с Junos OS 17.1, возможности защиты от спуфинга добавляются в динамические IP-туннели на основе следующего перехода, где выполняются проверки трафика, передающегося через туннель к экземпляру маршрутов с использованием обратного пути переадребовки в модуль передачи пакетов.
В настоящее время, когда маршрутизатор шлюза получает трафик из туннеля, перед переадправлением происходит только просмотр адреса назначения. С помощью защиты от спуфинга маршрутизатор шлюза делает просмотр адреса источника IP-загона пакета инкапсуляции в VPN, чтобы убедиться, что легитимные источники вводят трафик через назначенные им IP-туннели. Это называется жестким режимом и является поведением по умолчанию защиты от спуфинга. Для пропуска трафика из неназваженных туннелей в режиме срыва включена проверка переадности на обратном пути. Для трафика, полученного от несущестных источников, проверка обратного пути перенаправки не удались как в строгих, так и в свободном режимах.
В экземплярах маршрутов VRF поддерживается анти спуфинг. Чтобы включить анти спуфинг для динамических туннелей, включим утверждение ip-tunnel-rpf-check на [edit routing-instances routing-instance-name routing-options forwarding-table] иерархическому уровне.
Топологии
Рис. 3 иллюстрирует пример топологии сети с включенной защитой от спуфинга. Маршрутизаторы R0, R1 и R2 подключены к хостам Host0, Host1 и Host2 соответственно. Два общих инкапсуляции маршрутизации (GRE) динамические туннели на основе следующего перехода ( Tunnel 1 и Tunnel 2) соединяют маршрутизатор R0 с маршрутизаторами R1 и R2 соответственно. Экземпляр маршрутки VRF работает между каждым маршрутизатором и подключенными к его хостам устройствами.
В качестве примера три пакета (пакеты A, B и C) принимаются на маршрутизаторе 0 от маршрутизатора 2 через динамический туннель GRE (Туннель 2) на основе следующего перехода. IP-адрес источника этих пакетов: 172.17.0.2 (Пакет A), 172.18.0.2 (Пакет B) и 172.20.0.2 (Пакет C).
IP-адрес источника пакетов A и B принадлежит хостам 2 и Хосту 1 соответственно. Пакет C является несущестным туннелем-источником. В данном примере назначенным туннелем является Туннель 2, а неназначенным туннелем является Туннель 1. Поэтому пакеты обрабатываются следующим образом:
Packet A-Поскольку источник приходит из назначенного туннеля (туннель 2), пакет A проходит проверку переадментменты обратного пути и обрабатывается для переададментки через туннель 2.
Packet B- Поскольку источник идет из туннеля 1, который является неудаваемым туннелем, по умолчанию пакет B не может быть перенаправл по обратному пути при проверке в режиме strict. Если включен свободный режим, пакет B разрешен для переададации.
Packet C— Поскольку источник является несущестным источником туннеля, пакет C не может быть перенаправлен по обратному пути, и пакет не передается.
Конфигурации
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
Маршрутизатор М0
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 1 set interfaces ge-0/0/2 unit 0 family inet address 172.16.0.1/16 set interfaces lo0 unit 0 family inet address 10.1.1.1/32 set routing-options router-id 10.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.1 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set routing-options dynamic-tunnels T2 source-address 198.51.100.1 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 30.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN1 instance-type vrf set routing-instances VPN1 interface ge-0/0/2.0 set routing-instances VPN1 route-distinguisher 100:100 set routing-instances VPN1 vrf-target target:100:1 set routing-instances VPN1 vrf-table-label set routing-instances VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict set routing-instances VPN1 protocols bgp group External type external set routing-instances VPN1 protocols bgp group External family inet unicast set routing-instances VPN1 protocols bgp group External peer-as 200 set routing-instances VPN1 protocols bgp group External neighbor 172.16.0.1
Маршрутизатор М1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 vlan-tagging set interfaces ge-0/0/1 unit 0 vlan-id 2 set interfaces ge-0/0/1 unit 0 family inet address 172.18.0.1/16 set interfaces lo0 unit 0 family inet address 20.1.1.1/32 set routing-options router-id 20.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.2 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 20.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 30.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN2 instance-type vrf set routing-instances VPN2 interface ge-0/0/1.0 set routing-instances VPN2 route-distinguisher 100:200 set routing-instances VPN2 vrf-target target:200:1 set routing-instances VPN2 vrf-table-label
R2
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 3 set interfaces ge-0/0/2 unit 0 family inet address 172.17.0.1/16 set interfaces lo0 unit 0 family inet address 30.1.1.1/32 set routing-options router-id 30.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T2 source-address 198.51.100.2 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 30.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN3 instance-type vrf set routing-instances VPN3 interface ge-0/0/2.0 set routing-instances VPN3 route-distinguisher 100:300 set routing-instances VPN3 vrf-target target:300:1 set routing-instances VPN3 vrf-table-label
Процедуры
Пошаговая процедура
В следующем примере иерархия конфигурации требует перемещения по разным уровням. Информацию о навигации по интерфейс командной строки см. в интерфейс командной строки редактора в режиме конфигурации в руководстве интерфейс командной строки пользователя.
Для настройки маршрутизатора 0:
Настройте интерфейсы маршрутизатора 0, включая интерфейс обратной связи.
[edit interfaces] user@R0# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R0# set ge-0/0/1 unit 0 family inet address 198.51.100.1/24 user@R0# set ge-0/0/2 vlan-tagging user@R0# set ge-0/0/2 unit 0 vlan-id 1 user@R0# set ge-0/0/2 unit 0 family inet address 172.16.0.1/16 user@R0# set lo0 unit 0 family inet address 10.1.1.1/32
Назначьте маршрутизатору ID и номер автономной системы для маршрутизатора М0.
[edit routing-options] user@R0# set router-id 10.1.1.1 user@R0# set autonomous-system 100
Настройте пиринг IBGP между маршрутизаторами.
[edit protocols] user@R0# set bgp group IBGP type internal user@R0# set bgp group IBGP local-address 10.1.1.1 user@R0# set bgp group IBGP family inet-vpn unicast user@R0# set bgp group IBGP neighbor 20.1.1.1 user@R0# set bgp group IBGP neighbor 30.1.1.1
Настройте OSPF на всех интерфейсах маршрутизатора М0, за исключением интерфейса управления.
[edit protocols] user@R0# set ospf traffic-engineering user@R0# set ospf area 0.0.0.0 interface lo0.0 passive user@R0# set ospf area 0.0.0.0 interface all
Настройте RSVP на всех интерфейсах маршрутизатора М0, за исключением интерфейса управления.
[edit protocols] user@R0# set rsvp interface all user@R0# set rsvp interface fxp0.0 disable
В настройках динамического туннеля GRE на маршрутизаторе М0 в следующем переходе.
[edit routing-options] user@R0# set dynamic-tunnels gre next-hop-based-tunnel
Настройте параметры динамического туннеля GRE от маршрутизатора М0 к маршрутизатору М1.
[edit routing-options] user@R0# set dynamic-tunnels T1 source-address 192.0.2.1 user@R0# set dynamic-tunnels T1 gre user@R0# set dynamic-tunnels T1 destination-networks 192.0.2.0/24
Настройте параметры динамического туннеля GRE от маршрутизатора М0 к маршрутизатору М2.
[edit routing-options] user@R0# set dynamic-tunnels T2 source-address 198.51.100.1 user@R0# set dynamic-tunnels T2 gre user@R0# set dynamic-tunnels T2 destination-networks 198.51.100.0/24
Настройте экземпляр виртуальной маршрутной и forwarding (VRF) на маршрутизаторе М0 и назначьте интерфейс, соединяющий хост 1 с экземпляром VRF.
[edit routing-instances] user@R0# set VPN1 instance-type vrf user@R0# set VPN1 route-distinguisher 100:100 user@R0# set VPN1 vrf-target target:100:1 user@R0# set VPN1 vrf-table-label user@R0# set VPN1 interface ge-0/0/2.0
Настройте внешний сеанс BGP host 1 для экземпляра маршрутов VRF.
[edit routing-instances] user@R0# set VPN1 protocols bgp group External type external user@R0# set VPN1 protocols bgp group External family inet unicast user@R0# set VPN1 protocols bgp group External peer-as 200 user@R0# set VPN1 protocols bgp group External neighbor 172.16.0.1
Настройте защиту от спуфинга для экземпляра маршрутов VRF на маршрутизаторе М0. Таким образом, включается проверка переадречений по обратному пути для динамических туннелей на основе следующего перехода (T1 и T2) на маршрутизаторе 0.
[edit routing-instances] user@R0# set VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show routing-options и show protocolsshow routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
user@R0# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
ge-0/0/2 {
vlan-tagging;
unit 0 {
vlan-id 1;
family inet {
address 172.16.0.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.1.1/32;
}
}
}
user@R0# show routing-options
router-id 10.1.1.1;
autonomous-system 100;
dynamic-tunnels {
gre next-hop-based-tunnel;
T1 {
source-address 192.0.2.1;
gre;
destination-networks {
192.0.2.0/24;
}
}
T2 {
source-address 198.51.100.1;
gre;
destination-networks {
198.51.100.0/24;
}
}
}
user@R0# show protocols
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group IBGP {
type internal;
local-address 10.1.1.1;
family inet-vpn {
unicast;
}
neighbor 20.1.1.1;
neighbor 30.1.1.1;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface all;
}
}
user@R0# show routing-instances
VPN1 {
instance-type vrf;
interface ge-0/0/2.0;
route-distinguisher 100:100;
vrf-target target:100:1;
vrf-table-label;
routing-options {
forwarding-table {
ip-tunnel-rpf-check {
mode strict;
}
}
}
protocols {
bgp {
group External {
type external;
family inet {
unicast;
}
peer-as 200;
neighbor 172.16.0.1;
}
}
}
}
Проверки
Подтвердим, что конфигурация работает правильно.
- Проверка базовой конфигурации
- Проверка конфигурации динамического туннеля
- Проверка конфигурации защиты от спуфинга
Проверка базовой конфигурации
Цель
Проверьте состояние OSPF равноправных BGP между маршрутизаторами R0 и маршрутизаторами R1 и R2.
Действий
В рабочем режиме запустите show ospf neighbor команды show bgp summary и команды.
user@R0> show ospf neighbor
Address Interface State ID Pri Dead
192.0.2.2 ge-0/0/0.0 Full 20.1.1.1 128 32
198.51.100.2 ge-0/0/1.0 Full 30.1.1.1 128 32
user@R0> show bgp summary
Groups: 2 Peers: 3 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
20.1.1.1 100 182 178 0 0 1:20:27 Establ
bgp.l3vpn.0: 0/0/0/0
30.1.1.1 100 230 225 0 0 1:41:51 Establ
bgp.l3vpn.0: 0/0/0/0
172.16.0.1 200 0 0 0 0 1:42:08 EstablСмысл
Сеансы OSPF BGP запущены между маршрутизаторами R0, R1 и R2.
Проверка конфигурации динамического туннеля
Цель
Проверьте состояние динамических туннелей GRE на основе следующего перехода между маршрутизаторами R0 и маршрутизаторами R1 и R2.
Действий
В рабочем режиме запустите show route table inet.3 команды и show dynamic-tunnels database terse команды.
user@R0> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.0.2.0/24 *[Tunnel/300] 01:47:57
Tunnel
192.0.2.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
198.51.100.0/24 *[Tunnel/300] 01:47:57
Tunnel
198.51.100.2/24 *[Tunnel/300] 01:47:57
Tunnel Compositeuser@R0> show dynamic-tunnels database terse Table: inet.3 Destination-network: 192.0.2.0/24 Destination Source Next-hop Type Status 192.0.2.2/24 192.0.2.1 0xb395e70 nhid 612 gre Up Destination-network: 198.51.100.0/24 Destination Source Next-hop Type Status 198.51.100.2 198.51.100.1 0xb395e70 nhid 612 gre Up
Смысл
Два динамических туннеля GRE на следующем переходе (Туннель 1 и туннель 2) находятся в активном диапазоне.
Проверка конфигурации защиты от спуфинга
Цель
Убедитесь, что на экземпляре маршрутки VRF на маршрутизаторе М0 включена проверка переадранки обратного пути.
Действий
В рабочем режиме запустите show krt table VPN1.inet.0 detail .
user@R0> show krt table VPN1.inet.0 detail
KRT tables:
VPN1.inet.0 : GF: 1 krt-index: 8 ID: 0 kernel-id: 8
flags: (null)
tunnel rpf config data : enable, strict, filter [0], 0x2
tunnel rpf tlv data : enable, strict, filter [0], 0x4
unicast reverse path: disabled
fast-reroute-priority: 0
Permanent NextHops
Multicast : 0 Broadcast : 0
Receive : 0 Discard : 0
Multicast Discard: 0 Reject : 0
Local : 0 Deny : 0
Table : 0Смысл
Настроенная проверка переадстройки обратного пути включена на экземпляре маршрутки VRF в строгом режиме.
Обзор динамической локализации туннеля на основе следующего перехода
Динамические туннели на основе следующего перехода включают общие туннели инкапсуляции маршрутизации (GRE) и туннели MPLS-через UDP. Эти туннели предоставляют преимущество масштабирования по сравнению с туннелями на основе интерфейса. Однако, в отличие от туннелей на основе интерфейса, динамические туннели на основе следующего перехода не имеют привязки по своей сути, когда информация о переадностике туннелей распределяется на пакеты механизмов перенавания (PFEs) на каждую линеевую карту устройства. Это ограничивает максимальное число туннелей, поддерживаемых устройством, до пропускной способности туннеля одной лиевой карты. С помощью поддержки локализации можно настроить динамическую локализацию туннеля на основе следующего перехода для создания сведений о переадментации только на PFE линеестойной карты, назначенной якорным PFE. PFEs на других картах линии на устройстве имеют информацию о состоянии перенаправки, чтобы направить пакеты на якорный PFE. Это обеспечивает преимущество масштабирования за счет увеличения максимального количества туннелей, поддерживаемых устройством.
- Преимущества динамической локализации туннеля на основе следующего перехода
- Случаи использования динамической локализации туннеля на основе следующего перехода
- Обработка трафика с локализацией динамических туннелей на основе следующих переходов
- Настройка локализации динамических туннелей на основе следующего перехода
- Устранение неполадок локальных динамических туннелей на основе следующего перехода
- Неподтверченные функции локализации динамических туннелей на основе следующего перехода
Преимущества динамической локализации туннеля на основе следующего перехода
Предоставляет преимущество масштабирования за счет увеличения максимального количества туннелей, поддерживаемых устройством.
Случаи использования динамической локализации туннеля на основе следующего перехода
Шлюзы IPsec, на хосте нескольких ms-MPC, используются для оканки туннелей IPSec и требуются для поддержки средней нагрузки. Эта поддержка зависит от использования динамических туннелей на основе следующего перехода, когда достигается предел масштабирования устройства. В связи с локализацией динамических туннелей на основе следующих переходов максимальное число поддерживаемых туннелей увеличивается, что позволяет устройству размещать больше туннелей за счет дополнительных переходов в структуре.
Шлюзам Интернет или VPN, таким как виртуальные общедоступные облако обработки данных, необходимо, чтобы шлюзы связывались с большим количеством серверов. Серверы центров обработки данных можно достичь через динамические туннели на основе следующих переходов. Свойство динамических туннелей, не закрепленное в якорях, ограничивает общее число масштабирования устройства. На шлюзах есть несколько многоадрастных многопровайных мобильных систем (MPC) с увеличенными требованиями к трафику. При локализации динамических туннелей на основе следующих переходов туннели могут распространяться по каналам MPC, что способствует увеличению числа масштабирования туннелей.
Обработка трафика с локализацией динамических туннелей на основе следующих переходов
С помощью поддержки локализации динамическое состояние туннеля на основе следующего перехода локализовано в якорной модуль передачи пакетов, а у другого модуль передачи пакетов состояние туннеля для управления трафиком до якоря туннеля.
Рис. 4 иллюстрирует путь переад через динамические туннели на основе следующего перехода без локализации.
Рис. 5 иллюстрирует путь переададации динамических туннелей на основе следующего перехода с локализацией.
Настройка локализации динамических туннелей на основе следующего перехода
Поддержку локализации можно настроить для вновь созданных динамических туннелей на основе следующего перехода или для существующих не локальных динамических туннелей.
- Настройка локализации для динамических туннелей на основе нового перехода
- Настройка локализации существующих динамических туннелей на основе следующих переходов
Настройка локализации для динамических туннелей на основе нового перехода
При локализации динамических туннелей следующего перехода используется подход на основе политик для указания групп префиксов. Другими словами, политики маршрутизации используются для применения свойств локализации к динамическим туннелям на основе следующего перехода. Для связи с группой префиксов с помощью политики создаются и настраиваются динамические профили атрибутов туннеля.
Создание динамических профилей туннеля.
Динамический профиль туннеля определяет тип туннеля и тип модуль передачи пакетов якоря. Для локализации динамических туннелей можно создать несколько динамических профилей туннеля. Значения динамического типа туннеля могут быть GRE, UDP или BGP SIGNAL.
Хотя BGP-SIGNAL не является допустимым типом туннеля, при назначении BGP SIGNAL в качестве типа туннеля, туннели, созданные из BGP-сигнальных атрибутов, локализованы. При использовании BGP SIGNAL тип туннеля принимается на основе типа, объявленного BGP TLV. BGP-SIGNAL всегда являются туннелями на основе следующих переходов. Туннели GRE, созданные динамически BGP-SIGNAL, всегда имеют следующий переход, даже если пользователь вручную настраивает туннели, созданные GRE для использования IFLs.
Якорное модуль передачи пакетов является ликерной картой якорного модуль передачи пакетов, например, pfe-x/y/0. Эти сведения можно просмотреть из
show interfaces terse pfe*выходных данных команды.Sample Configuration:
[edit routing-options] dynamic-tunnels { dynamic-tunnel-attributes attribute-1 { dynamic-tunnel-type <GRE | UDP | BGP-SIGNAL>; dynamic-tunnel-anchor-pfe pfe-1/0/0; } }Связывание динамического профиля туннеля со списком префиксов.
Настройка политики с помощью действия связывает динамический туннель со списком
dynamic-tunnel-attributesпрефиксов. Действие политики позволяет создавать туннель с указанными атрибутами для любых условий совпадения, таких как диапазон префиксов, сообщество или исходный адрес BGP маршрутов и такfromдалее.Sample configuration:
[edit policy-options] policy-statement policy-name { term term { from { <route-filter | next-hop | community>>; } then { dynamic-tunnel-attributes <attribute-name>; } } }Включая политику туннеля в рамках таблица переадресации экспорта.
После настройки политики она включается в таблица переадресации экспорта для парсинга политики.
С помощью политики экспорта атрибуты туннеля связываются с маршрутом. Всякий раз, когда маршрут BGP в очередь для разрешения, таблица переадресации оценка экспортной политики и атрибуты туннеля получаются из модуля политики на основе примененных фильтров. Затем полученные атрибуты туннеля присоединяются к следующему переходу в форме туннельного композитного следующего перехода. Соответствующие структуры переадстройки якоря, основанные на модуль передачи пакетов и типе туннеля, создаются и отправляются на таблица переадресации перед тем, как будет отправлен композитный туннель со следующим переходом. Однако, если ни один из атрибутов не соотносят со следующим переходом туннельного композитного перехода, структура переадстройки создается на каждом модуль передачи пакетов аналогично не локализованным динамическим туннелям.
Sample configuration:
[edit routing-options] forwarding-table { export dynamic-tunnel; }
Настройка локализации существующих динамических туннелей на основе следующих переходов
Изменение динамических атрибутов туннеля может привести к сбою FPC из-за высокой загруженности памяти. Поэтому перед настройкой локализации рекомендуется деактивировать конфигурацию динамических туннелей.
Чтобы обновить атрибуты туннеля для существующих динамических туннелей на основе следующих переходов, необходимо выполнить следующее:
Деактивировать
dynamic-tunnelsконфигурацию на[edit routing-options]уровне иерархии.Sample configuration:
[edit routing-options] user@host# deactivate dynamic-tunnels user@host# commit
При необходимости измените атрибуты туннеля.
Активируйте
dynamic-tunnelsконфигурацию на[edit routing-options]уровне иерархии.Sample configuration:
[edit routing-options] user@host# activate dynamic-tunnels user@host# commit
Для настройки локализации существующих не локальных динамических туннелей на основе следующего перехода:
Внесение изменений в конфигурацию локализации для существующих не локальных динамических туннелей на основе следующего перехода может привести к сбою FPC из-за высокой загруженности памяти. Поэтому перед настройкой локализации рекомендуется деактивировать конфигурацию динамических туннелей.
Деактивировать
dynamic-tunnelsконфигурацию на[edit routing-options]уровне иерархии.Создайте профиль атрибутов туннеля и добавьте политику для локализации динамических туннелей подобно новым динамическим туннелям на основе следующих переходов.
Активируйте
dynamic-tunnelsконфигурацию.
Устранение неполадок локальных динамических туннелей на основе следующего перехода
При локализации динамических туннелей на основе следующих прыжков составные следующие переходы туннеля связаны с модуль передачи пакетов ID. Следующие утверждения конфигурации traceroute на иерархическом уровне помогают при устранении неполадок [edit routing-options] локальных динамических туннелей:
dynamic-tunnels traceoptions flag all— Отслеживание создания и удаления туннеля в DTM.resolution traceoptions flag tunnel— Отслеживание операций разреша мне BGP маршруту.forwarding-table traceoptions flag all— отслеживают туннели, отправленные в ядро;traceoptions flag all- Отслеживание процесса обучения маршрутов.
Чтобы проверить, использует ли маршрут локальный динамический туннель на основе следующего перехода, можно использовать следующие команды:
show route prefix extensive-Чтобы получить косвенный следующий переход.
Например:
user@host> show route 1.2.3.4 extensive MPLS-over-UDP-PE1.inet.0: 24 destinations, 26 routes (24 active, 0 holddown, 0 hidden) 1.2.3.4/32 (1 entry, 1 announced) TSI: KRT in-kernel 1.2.3.4/32 -> {indirect(1048577)} Page 0 idx 1, (group pe1-ce1 type External) Type 1 val 0xb209a78 (adv_entry) Advertised metrics: Nexthop: Self AS path: [100] I Communities: target:600:1 encapsulation:mpls-in-udp(0xd)show krt indirect-next-hop index indirect-next-hop detail-Чтобы проверить, нет ли модуль передачи пакетов якоря в подробном выводе непрямого следующего перехода.
Например:
user@host> show krt indirect-next-hop index 1048577 detail Indirect Nexthop detail: Index: 1048577 Protocol next-hop address: 1.1.1.6 RIB Table: bgp.l3vpn.0 Label: Push 299808 Policy Version: 2 References: 11 Locks: 3 0xb227980 Flags: 0x0 INH Session ID: 0x0 Ref RIB Table: unknown Export policy detail: (Dynamic tunnel hash : 309985522) Tunnel type: UDP, Reference count: 4, nhid: 1016 Destination address: 1.1.1.6, Source address: 1.1.1.2 Anchored-PFE: pfe-1/0/0 VPN Label: Push 299808, TTL action: prop-ttl IGP FRR Interesting proto count : 11 Chain IGP FRR Node Num : 1 IGP Resolver node(hex) : 0xc838b94 IGP Route handle(hex) : 0xb1d7674 IGP rt_entry protocol : Tunnel IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
Неподтверченные функции локализации динамических туннелей на основе следующего перехода
Junos OS не поддерживает локализацию для динамических туннелей на основе следующего перехода:
Цепные составные следующие переходы на
[edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn]уровне иерархии.Якорная модуль передачи пакетов отказоустойчивость.
При локализации динамические туннели на основе следующего перехода не поддерживают отказоустойчивость. После локализации динамических туннелей на основе следующих переходов якорный механизм переададации пакетов становится единым объектом для обработки любого туннеля на устройстве. Хотя отказоустойчивость якорного пакета forwarding Engine не поддерживается, для шлюзов избыточность на шлюзе гарантирует, что при переходе на резервный шлюз должен быть передан трафик, на который делегирован туннельный составный следующий переход. Процесс протокола маршрутизации отслеживает состояние ядер packer Forwarding Engine и BGP всех маршрутов, указывая на составный туннель следующих переходов, закрепленных на этом механизме переадментации Packer.
Только якорный туннель модуль передачи пакетов следующим переходом, полностью неупотоканым составным туннелем, а все другие механизмы перенаправки пакетов имеют только управление записями для переададания трафика на опорный модуль передачи пакетов. Эти записи управления не стираются, когда якорный FPC от выходит из работы.
Локализация динамических туннелей на основе следующих переходов не поддерживается логическими системами.
IPv6 не поддерживается при локализации динамических туннелей на основе следующих переходов.
При локализации эта команда не отображает точную сводку туннелей, если состояние якорной линии модуль передачи пакетов
show dynamic-tunnels database summaryне работает. В качестве обходного решения можно использовать выходныеshow dynamic-tunnels databaseданные командshow dynamic-tunnels database terseи команды.
Обзор динамического туннеления на основе следующих переходов с использованием инкапсуляции IP-over-IP
SUMMARY
- Преимущества
- Что такое динамическое туннеление на основе IP-over-IP на основе следующего перехода?
- Сшивание туннеля IP-over-IP
Преимущества
Туннеля IP-over-IP предоставляет следующие преимущества:
-
Alternative to MPLS over UDP- Можно использовать в качестве альтернативы туннелю MPLS по UDP-туннелю, чтобы обеспечить IP-службу, в которой есть выделенное устройство для обслуживания.
-
Ability to steer specific traffic- Обеспечивает ровную миграцию при совместном MPLS и IP-сетях, поскольку маршруты можно отфильтровать для управления конкретным трафиком через IP-туннели в противоположность MPLS туннелям.
-
Ability to support tunnels at increasing scale— Динамическое создание туннеля с BGP плоскость управления может содействовать созданию туннеля в крупных масштабах.
Что такое динамическое туннеление на основе IP-over-IP на основе следующего перехода?
IP-сеть состоит из edge-устройств и ядер. Чтобы добиться более масштабирования и надежности среди этих устройств, необходимо логически изолировать сеть ядра от внешней сети, с которую граничные устройства взаимодействуют, используя инкапсуляцию наложения.
Начиная Junos OS выпуске 20.3R1, мы поддерживаем инкапсуляцию IP-over-IP, чтобы облегчить конструкцию НАложения IP через IP-сеть. Ip over IP основывается на следующей инфраструктуре на основе переходов, которая поддерживает более высокий масштаб. Эта функция поддерживает инкапсуляцию IPv4 полезной нагрузки IPv6 и IPv4. Среди других поддерживаемых инкапсуляций наложения IP-over-IP инкапсуляция является единственным типом, который позволяет:
-
транзитные устройства для анализе внутренней полезной нагрузки и использования внутренних полей пакета для вычисления hash
-
клиентское граничное устройство устройствам по маршруту трафика в туннель и из него без каких-либо сокращений пропускной способности
На серия MX маршрутизаторах, daemon протокола маршрутизации (RPD) отправляет задаток инкапсуляции со составным следующим сообщением туннеля, а модуль передачи пакетов (PFE) находит адрес назначения туннеля и пересылает пакет. На серия PTX и QFX10000 маршрутизаторах RPD отправляет на туннель на модуль передачи пакетов полностью разрешенный следующий туннель на модуль передачи пакетов. BGP используется для распределения маршрутов и динамических туннелей сигнала.
На следующем рисунке изображена маршрутка трафика IPv4 или IPv6 с R-1 на R-5 через IP-туннель, установленный между R-2 и R-4:
Сшивание туннеля IP-over-IP
В Junos OS выпуска 21.3R1 мы вводим зашивание туннеля IP-over IP на MX240, MX480, MX960, PTX1000, PTX10008, PTX10016 и QFX10002. Эту функцию можно использовать для того, чтобы завершить туннель IP-over-IP на устройстве и инициировать другой туннель на этом же устройстве. Когда устройство получает пакет IP-over-IP, оно декапсулирует заглавную часть внешнего пакета, а также происходит просмотр внутреннего пакета. Заглавная часть внутреннего IP-пакета указывает на другой туннель того же устройства, где это же устройство снова инкапсулирует пакет другим загонком IP-over-IP.
Примере: Настройка динамических туннелей IP-over-IP на основе следующих переходов
SUMMARY Узнайте, как настроить следующие туннели на основе перехода с помощью инкапсуляции IP-over-IP.
- Требования
- Обзор
- Настройка динамических туннелей IP-over-IP со следующим переходом протокола
- Примере: Настройка туннеля IPoIP в среде MPLS с туннелем LDP, разрешенным через inet configuration.0 с использованием статической конфигурации
- Примере: Настройка туннеля IPoIP с туннелем LDP в облаке MPLS, разрешенного через inetтетехенд.0 с помощью BGP сигнализации
- Проверки
Требования
В данном примере используются следующие аппаратные и программные компоненты:
4 серия MX маршрутизаторы и 1 серия PTX маршрутизатор.
Junos OS версии 20.3R1 версии.
Обзор
Начиная Junos OS выпуске 20.3R1, мы поддерживаем инкапсуляцию IP-over-IP, чтобы облегчить конструкцию НАложения IP через IP-сеть. В данном примере показано установление однонастных туннелей IP-over-IP между устройствами со следующим переходом (PNH) протокола со статической конфигурацией и BGP протоколом.
Чтобы объяснить разницу в поведении между MX и PTX1000/PTX10000/QFX10000 устройствами, для этого был включен серия PTX (R2) маршрутизатор (R2). IBGP также настроен между R2 и R4, которые соединены по IP core, для обмена маршрутами и динамическими туннелями сигнала.
Топологии
На рис. 1 иллюстрируется сценарий использования IP-over-IP с 5 устройствами. В этой топологии R1 подключен к R2, а R5 подключен к R4. R2 является серия PTX устройством. R2 и R4 подключены к устройству R3 в центре.
В данном примере мы попытаемся обмениваться маршрутами от R1 к R5 и наоборот через динамические туннели IP-over-IP, установленные между устройствами R2 и R4. Маршруты, генерируемые из R1, экспортируются в R2, а маршруты из R5 экспортируются в R4 с помощью IS-IS политики экспорта. Можно настроить однонастный ТУННЕЛЬ IPIP-01 от R2 к R4 и другой туннельный туннель-02 от R4 к R2. Префиксы маршрутов, сгенерируемые в маске сетей назначения одноранговых устройств, используются для создания туннеля и потоков трафика в противоположном направлении маршрутов в туннеле.
Настройка динамических туннелей IP-over-IP со следующим переходом протокола
- интерфейс командной строки быстрой конфигурации
- Настройка динамических IP-туннелей со следующим переходом протокола
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем введите commit из режима [edit] конфигурации.
R1
[edit] user@R1#set interfaces ge-0/0/0 vlan-tagginguser@R1#set interfaces ge-0/0/0 unit 0 description "Connection Between R-01 and R-02"user@R1#set interfaces ge-0/0/0 unit 0 vlan-id 1user@R1#set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/24user@R1#set interfaces ge-0/0/0 unit 0 family isouser@R1#set interfaces lo0 unit 0 description "Router ID for R_01"user@R1#set interfaces lo0 unit 0 family inet address 192.168.0.11/32user@R1#set interfaces lo0 unit 0 family inet address 192.168.0.12/32user@R1#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1010.00user@R1#set protocols isis interface ge-0/0/0.0user@R1#set protocols isis interface lo0.0user@R1#set routing-options router-id 192.168.0.11user@R1#set routing-options autonomous-system 64496
R2
[edit] user@R2#set interfaces et-0/0/0:0 description "Connection Between R-01 and R-02"user@R2#set interfaces et-0/0/0:0 vlan-tagginguser@R2#set interfaces et-0/0/0:0 unit 0 vlan-id 1user@R2#set interfaces et-0/0/0:0 unit 0 family inet address 10.0.0.1/24user@R2#set interfaces et-0/0/0:0 unit 0 family isouser@R2#set interfaces et-0/0/0:0 unit 0 family mplsuser@R2#set interfaces et-0/0/1:0 description "Connection Between R-02 and R-03"user@R2#set interfaces et-0/0/1:0 unit 0 family inet address 192.0.2.1/24user@R2#set interfaces et-0/0/1:0 unit 0 family mplsuser@R2#set interfaces lo0 unit 0 description "Router ID for R_02"user@R2#set interfaces lo0 unit 0 family inet address 192.168.0.21/32user@R2#set interfaces lo0 unit 0 family inet address 192.168.0.22/32user@R2#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1030.00user@R2#set protocols bgp group iBGP type internaluser@R2#set protocols bgp group iBGP local-address 192.168.0.21user@R2#set protocols bgp group iBGP family inet unicastuser@R2#set protocols bgp group iBGP export export-isisuser@R2#set protocols bgp group iBGP neighbor 192.168.0.41user@R2#set protocols isis export export-bgpuser@R2#set protocols isis interface et-0/0/0:0.0user@R2#set protocols isis interface lo0.0user@R2#set protocols ospf area 0.0.0.0 interface et-0/0/1:0.0user@R2#set protocols ospf area 0.0.0.0 interface 192.168.0.21user@R2#set routing-options router-id 192.168.0.21user@R2#set routing-options autonomous-system 64496user@R2#set routing-options forwarding-table export plbuser@R2#set routing-options resolution rib inet.0 resolution-ribs inet.3user@R2#set routing-options dynamic-tunnels Tunnel-01 source-address 192.168.0.21user@R2#set routing-options dynamic-tunnels Tunnel-01 ipipuser@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 preference 100user@R2#set policy-options policy-statement export-bgp term t1 from protocol bgpuser@R2#set policy-options policy-statement export-bgp term t1 then acceptuser@R2#set policy-options policy-statement export-isis term t1 from protocol isisuser@R2#set policy-options policy-statement export-isis term t1 then next-hop selfuser@R2#set policy-options policy-statement export-isis term t1 then acceptuser@R2#set policy-options policy-statement plb term t1 from protocol bgpuser@R2#set policy-options policy-statement plb term t1 from rib inet.0user@R2#set policy-options policy-statement plb term t1 then install-to-fib
R3
[edit] user@R3#set interfaces ge-0/0/0 unit 0 description "Connection Between R_03 and R_02"user@R3#set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24user@R3#set interfaces ge-0/0/0 unit 0 family mplsuser@R3#set interfaces ge-0/0/1 unit 0 description "Connection Between R_03 and R_04"user@R3#set interfaces ge-0/0/1 unit 0 family inet address 192.51.100.1/24user@R3#set interfaces ge-0/0/1 unit 0 family mplsuser@R3#set interfaces lo0 unit 0 description "Router ID for R_03"user@R3#set interfaces lo0 unit 0 family inet address 192.168.0.31/32user@R3#set interfaces lo0 unit 0 family inet address 192.168.0.32/32user@R3#set routing-options router-id 192.168.0.31user@R3#set routing-options autonomous-system 64496user@R3#set protocols ospf area 0.0.0.0 interface ge-0/0/0.0user@R3#set protocols ospf area 0.0.0.0 interface ge-0/0/1.0user@R3#set protocols ospf area 0.0.0.0 interface lo0.0 passive
R4
[edit] user@R4#set interfaces ge-0/0/0 vlan-tagginguser@R4#set interfaces ge-0/0/0 unit 0 description "Connection Between R_04 and R_05"user@R4#set interfaces ge-0/0/0 unit 0 vlan-id 1user@R4#set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24user@R4#set interfaces ge-0/0/0 unit 0 family isouser@R4#set interfaces ge-0/0/1 unit 0 description "Connection Between R_04 and R_03"user@R4#set interfaces ge-0/0/1 unit 0 family inet address 192.51.100.2/24user@R4#set interfaces ge-0/0/1 unit 0 family mplsuser@R4#set interfaces lo0 unit 0 description "Router-ID for R_04"user@R4#set interfaces lo0 unit 0 family inet address 192.168.0.41/32user@R4#set interfaces lo0 unit 0 family inet address 192.168.0.42/32user@R4#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1041.00user@R4#set protocols bgp group iBGP type internaluser@R4#set protocols bgp group iBGP local-address 192.168.0.41user@R4#set protocols bgp group iBGP family inet unicastuser@R4#set protocols bgp group iBGP export export-isisuser@R4#set protocols bgp group iBGP neighbor 192.168.0.21user@R4#set protocols isis export export-bgpuser@R4#set protocols isis interface ge-0/0/0.0user@R4#set protocols isis interface lo0.0user@R4#set protocols ospf area 0.0.0.0 interface ge-0/0/1.0user@R4#set protocols ospf area 0.0.0.0 interface 192.168.0.41user@R4#set routing-options router-id 192.168.0.41user@R4#set routing-options autonomous-system 64496user@R4#set routing-options forwarding-table export pplbuser@R4#set routing-options resolution rib inet.0 resolution-ribs inet.3user@R4#set routing-options dynamic-tunnels Tunnel-02 source-address 192.168.0.41user@R4#set routing-options dynamic-tunnels Tunnel-02 ipipuser@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 preference 100user@R4#set policy-options policy-statement export-bgp term t1 from protocol bgpuser@R4#set policy-options policy-statement export-bgp term t1 then acceptuser@R4#set policy-options policy-statement export-isis term t1 from protocol isisuser@R4#set policy-options policy-statement export-isis term t1 then next-hop selfuser@R4#set policy-options policy-statement export-isis term t1 then acceptuser@R4#set policy-options policy-statement pplb term 1 then load-balance per-packetuser@R4#set policy-options policy-statement pplb term 1 then accept
R5
[edit] user@R5#set interfaces ge-0/0/0 vlan-tagginguser@R5#set interfaces ge-0/0/0 unit 0 description "Connection Between R_05 and R_05"user@R5#set interfaces ge-0/0/0 unit 0 vlan-id 1user@R5#set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24user@R5#set interfaces ge-0/0/0 unit 0 family isouser@R5#set interfaces lo0 unit 0 description "Router ID for R_05"user@R5#set interfaces lo0 unit 0 family inet address 192.168.0.51/32user@R5#set interfaces lo0 unit 0 family inet address 192.168.0.52/32user@R5#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1011.00user@R5#set protocols isis interface ge-0/0/0.0user@R5#set protocols isis interface lo0.0user@R5#set routing-options router-id 192.168.0.51user@R5#set routing-options autonomous-system 64496
Настройка динамических IP-туннелей со следующим переходом протокола
Пошаговая процедура
Войдите в режим настройки устройств R1 и R5.
Настройте основные требования к устройствам, таким как VLAN, family iso, интерфейсы устройств и адреса обратной связи. Маршруты создаются на адресах обратной связи.
R1 [edit] user@R1#
set interfaces ge-0/0/0 vlan-tagginguser@R1#set interfaces ge-0/0/0 unit 0 description "Connection Between R-01 and R-02"user@R1#set interfaces ge-0/0/0 unit 0 vlan-id 1user@R1#set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/24user@R1#set interfaces ge-0/0/0 unit 0 family isouser@R1#set interfaces lo0 unit 0 description "Router ID for R_01"user@R1#set interfaces lo0 unit 0 family inet address 192.168.0.11/32user@R1#set interfaces lo0 unit 0 family inet address 192.168.0.12/32user@R1#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1010.00R5 [edit] user@R5#
set interfaces ge-0/0/0 vlan-tagginguser@R5#set interfaces ge-0/0/0 unit 0 description "Connection Between R_05 and R_05"user@R5#set interfaces ge-0/0/0 unit 0 vlan-id 1user@R5#set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24user@R5#set interfaces ge-0/0/0 unit 0 family isouser@R5#set interfaces lo0 unit 0 description "Router ID for R_05"user@R5#set interfaces lo0 unit 0 family inet address 192.168.0.51/32user@R5#set interfaces lo0 unit 0 family inet address 192.168.0.52/32user@R5#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1011.00Настройте ID маршрутизатора и номер автономной системы (AS) для назначения IP-адресов маршрутизаторам и для BGP.
R1 user@R1#
set routing-options router-id 192.168.0.11user@R1#set routing-options autonomous-system 64496R5 user@R5#
set routing-options router-id 192.168.0.51user@R5#set routing-options autonomous-system 64496Настройте IS-IS протоколов для обеспечения IGP. Маршруты экспортируются из R1 в R2 и R5 устройствам R4 с помощью IS-IS протоколом.
R1 user@R1#
set protocols isis interface ge-0/0/0.0user@R1#set protocols isis interface lo0.0R5 user@R5#
set protocols isis interface ge-0/0/0.0user@R5#set protocols isis interface lo0.0Войдите в режим настройки на устройства R1 и
commitR5.Перейдите в режим конфигурирований на R2 и R4, чтобы настроить их.
Настройте основные требования к устройствам, таким как VLAN, family iso, MPLS, router interfaces и loopback addresses на R2 и R4.
R2 [edit] user@R2#
set interfaces et-0/0/0:0 description "Connection Between R-01 and R-02"user@R2#set interfaces et-0/0/0:0 vlan-tagginguser@R2#set interfaces et-0/0/0:0 unit 0 vlan-id 1user@R2#set interfaces et-0/0/0:0 unit 0 family inet address 10.0.0.1/24user@R2#set interfaces et-0/0/0:0 unit 0 family isouser@R2#set interfaces et-0/0/0:0 unit 0 family mplsuser@R2#set interfaces et-0/0/1:0 description "Connection Between R-02 and R-03 Link 01"user@R2#set interfaces et-0/0/1:0 unit 0 family inet address 192.0.2.1/24user@R2#set interfaces et-0/0/1:0 unit 0 family mplsuser@R2#set interfaces lo0 unit 0 description "Router ID for R_02"user@R2#set interfaces lo0 unit 0 family inet address 192.168.0.21/32user@R2#set interfaces lo0 unit 0 family inet address 192.168.0.22/32user@R2#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1030.00R4 [edit] user@R4#
set interfaces ge-0/0/0 vlan-tagginguser@R4#set interfaces ge-0/0/0 unit 0 description "Connection Between R_04 and R_05"user@R4#set interfaces ge-0/0/0 unit 0 vlan-id 1user@R4#set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24user@R4#set interfaces ge-0/0/0 unit 0 family isouser@R4#set interfaces ge-0/0/1 unit 0 description "Connection Between R_04 and R_03"user@R4#set interfaces ge-0/0/1 unit 0 family inet address 192.51.100.2/24user@R4#set interfaces ge-0/0/1 unit 0 family mplsuser@R4#set interfaces lo0 unit 0 description "Router-ID for R_04"user@R4#set interfaces lo0 unit 0 family inet address 192.168.0.41/32user@R4#set interfaces lo0 unit 0 family inet address 192.168.0.42/32user@R4#set interfaces lo0 unit 0 family iso address 49.0001.1720.1600.1041.00Настройте IBGP между R2 и R4.
R2 user@R2#
set protocols bgp group iBGP type internaluser@R2#set protocols bgp group iBGP local-address 192.168.0.21user@R2#set protocols bgp group iBGP family inet unicastuser@R2#set protocols bgp group iBGP export export-isisuser@R2#set protocols bgp group iBGP neighbor 192.168.0.41R4 user@R4#
set protocols bgp group iBGP type internaluser@R4#set protocols bgp group iBGP local-address 192.168.0.41user@R4#set protocols bgp group iBGP family inet unicastuser@R4#set protocols bgp group iBGP export export-isisuser@R4#set protocols bgp group iBGP neighbor 192.168.0.21Настройте экспортную политику IS-IS на R2 и R4 с BGP экспорта на экспорт маршрутов от R1 к R2 и R5 к R4.
R2 [edit] user@R2#
set protocols isis export export-bgpuser@R2#set protocols isis interface et-0/0/0:0.0user@R2#set protocols isis interface lo0.0R4 [edit] user@R4#
set protocols isis export export-bgpuser@R4#set protocols isis interface ge-0/0/0.0user@R4#set protocols isis interface lo0.0Для доступности OSPF протокол между R2 и R4.
R2 [edit] user@R2#
set protocols ospf area 0.0.0.0 interface et-0/0/1:0.0user@R2#set protocols ospf area 0.0.0.0 interface 192.168.0.21R4 [edit] user@R4#
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0user@R4#set protocols ospf area 0.0.0.0 interface 192.168.0.41Настройте однонастный динамический туннель IP-01 от R2 к R4 и Туннель-02 от R4 к R2.
R2 [edit] user@R2#
set routing-options forwarding-table export plbuser@R2#set routing-options resolution rib inet.0 resolution-ribs inet.3user@R2#set routing-options dynamic-tunnels Tunnel-01 source-address 192.168.0.21user@R2#set routing-options dynamic-tunnels Tunnel-01 ipipuser@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 preference 100R4 [edit] user@R4#
set routing-options forwarding-table export pplbuser@R4#set routing-options resolution rib inet.0 resolution-ribs inet.3user@R4#set routing-options dynamic-tunnels Tunnel-02 source-address 192.168.0.41user@R4#set routing-options dynamic-tunnels Tunnel-02 ipipuser@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 preference 100Настройте BGP и IS-IS политик на R2 и утверждение политики для перенастройки маршрутов от BGP и RIB inet.0 до полностью разрешенного следующего перехода (на устройстве R2-PTX).
R2 [edit] user@R2#
set policy-options policy-statement export-bgp term t1 from protocol bgpuser@R2#set policy-options policy-statement export-bgp term t1 then acceptuser@R2#set policy-options policy-statement export-isis term t1 from protocol isisuser@R2#set policy-options policy-statement export-isis term t1 then next-hop selfuser@R2#set policy-options policy-statement export-isis term t1 then acceptuser@R2#set policy-options policy-statement plb term t1 from protocol bgpuser@R2#set policy-options policy-statement plb term t1 from rib inet.0user@R2#set policy-options policy-statement plb term t1 then install-to-fibR4 user@R4#
set policy-options policy-statement export-bgp term t1 from protocol bgpuser@R4#set policy-options policy-statement export-bgp term t1 then acceptuser@R4#set policy-options policy-statement export-isis term t1 from protocol isisuser@R4#set policy-options policy-statement export-isis term t1 then next-hop selfuser@R4#set policy-options policy-statement export-isis term t1 then acceptuser@R4#set policy-options policy-statement pplb term 1 then load-balance per-packetuser@R4#set policy-options policy-statement pplb term 1 then acceptВойдите
commitиз режима настройки устройств R2 и R4.Настройте интерфейсы устройств VLAN, адреса обратной связи, family mpls, router-ID и номера автономной системы (AS).
R3 [edit] user@R3#
set interfaces ge-0/0/0 unit 0 description "Connection Between R_03 and R_02"user@R3#set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24user@R3#set interfaces ge-0/0/0 unit 0 family mplsuser@R3#set interfaces ge-0/0/1 unit 0 description "Connection Between R_03 and R_04"user@R3#set interfaces ge-0/0/1 unit 0 family inet address 192.51.100.1/24user@R3#set interfaces ge-0/0/1 unit 0 family mplsuser@R3#set interfaces lo0 unit 0 description "Router ID for R_03"user@R3#set interfaces lo0 unit 0 family inet address 192.168.0.31/32user@R3#set interfaces lo0 unit 0 family inet address 192.168.0.32/32user@R3#set routing-options router-id 192.168.0.31user@R3#set routing-options autonomous-system 64496Для доступности OSPF протоколов на устройствах R3 и R2 и R4.
R3 [edit] user@R3#
set protocols ospf area 0.0.0.0 interface ge-0/0/0.0user@R3#set protocols ospf area 0.0.0.0 interface ge-0/0/1.0user@R3#set protocols ospf area 0.0.0.0 interface lo0.0 passiveВойдите
commitиз режима настройки на устройстве R3.
Результаты
Проверьте конфигурацию, проверив конфигурации ниже с устройств следующим образом:
Вот как можно проверить конфигурации устройства R2:
user@R2# show interfaces
interfaces {
et-0/0/0:0 {
description "Connection Between R-01 and R-02";
vlan-tagging;
unit 0 {
vlan-id 1;
family inet {
address 10.0.0.1/24;
}
family iso;
family mpls;
}
}
}
et-0/0/1:0 {
description "Connection Between R-02 and R-03 Link 01";
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
description "Router ID for R_02";
family inet {
address 192.168.0.21/32;
address 192.168.0.22/32;
}
family iso {
address 49.0001.1720.1600.1030.00;
}
}
}
user@R2# show routing-options
routing-options {
router-id 192.168.0.21;
autonomous-system 64496;
forwarding-table {
export plb;
}
resolution {
rib inet.0 {
resolution-ribs inet.3;
}
}
dynamic-tunnels {
Tunnel-01 {
source-address 192.168.0.21;
ipip;
destination-networks {
192.168.0.0/24 preference 100;
}
}
}
{
user@R2# show protocols
protocols {
bgp {
group iBGP {
type internal;
local-address 192.168.0.21;
family inet {
unicast;
}
export export-isis;
neighbor 192.168.0.41;
}
isis {
export export-bgp;
interface et-0/0/0:0.0;
interface lo0.0;
}
ospf {
area 0.0.0.0 {
interface et-0/0/1:0.0;
interface 192.168.0.21;
}
}
}
user@R2# show policy-options
policy-options {
policy-statement export-bgp {
term t1 {
from protocol bgp;
then accept;
}
}
policy-statement export-isis {
term t1 {
from protocol isis;
then {
next-hop self;
accept;
}
}
}
policy-statement plb {
term t1 {
from {
protocol bgp;
rib inet.0;
}
then install-to-fib;
}
term t3 {
then {
load-balance per-packet;
}
}
}
}
Проверки
- Проверка динамической туннельной базы данных
- Проверка таблицы маршрутов inet.3
- Проверка BGP маршрутов, полученных и объявленных по туннелю
Проверка динамической туннельной базы данных
Цель
Для проверки информации динамической базы данных туннеля используйте show dynamic-tunnels database команду operational mode.
Действий
user@R2> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 192.168.0.0/24
Tunnel to: 192.168.0.41/32
Reference count: 3
Next-hop type: IPoIP (extended-attr)
Source address: 192.168.0.21
Next hop: chain tunnel-composite, 0xcb42910, nhid 573
Reference count: 4
Ingress Route: [OSPF] 192.168.0.41/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 192.168.0.41, Src 192.168.0.21, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0 user@R4> show dynamic-tunnels database
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 192.168.0.0/24
Tunnel to: 192.168.0.21/32
Reference count: 3
Next-hop type: IPoIP (extended-attr)
Source address: 192.168.0.41
Next hop: tunnel-composite, 0xccd7670, nhid 593
Reference count: 4
Ingress Route: [OSPF] 192.168.0.21/32, via metric 2
Traffic Statistics: Packets 0, Bytes 0
State: Up
Aggregate Traffic Statistics:
Tunnel Encapsulation: Dest 192.168.0.21, Src 192.168.0.41, IPoIP, Tunnel-Id 1
Traffic Statistics: Packets 0, Bytes 0Смысл
Выходные данные показывают, что туннель IPoIP создан с инкапсуляцией туннеля между R2 (источник) и R4 (местом назначения) на устройстве R2, а другой туннель IPoIP установлен в туннельную инкапсуляцию между 192.168.0.21192.168.0.41 R4 (источник) и 192.168.0.41 R2 (местом 192.168.0.21 назначения) на устройстве R4.
Проверка таблицы маршрутов inet.3
Цель
Для проверки маршрутов, генерируемых по таблице inet.3, используйте show route table inet.3 команду operational mode.
Действий
user@R2> show route table inet.3
inet.3: 11 destinations, 11 routes (11 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 01:11:55
> via et-0/0/0:0.0
10.0.0.1/32 *[Local/0] 01:11:55
Local via et-0/0/0:0.0
10.205.128.0/18 *[Direct/0] 01:12:48
> via em0.0
10.205.171.44/32 *[Local/0] 01:12:48
Local via em0.0
128.205.171.44/32 *[Direct/0] 01:12:48
> via lo0.0
192.0.2.0/24 *[Direct/0] 01:11:55
> via et-0/0/1:0.0
192.0.2.1/32 *[Local/0] 01:11:55
Local via et-0/0/1:0.0
192.168.0.0/24 *[Tunnel/305] 01:11:55
Tunnel
192.168.0.21/32 *[Direct/0] 01:11:54
> via lo0.0
192.168.0.22/32 *[Direct/0] 01:11:54
> via lo0.0
192.168.0.41/32 *[Tunnel/305] 01:06:28, metric 2
Tunnel Composite, IPoIP (src 192.168.0.21 dest 192.168.0.41)user@R4> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0/24 *[Tunnel/100] 4d 20:06:00
Tunnel
192.168.0.21/32 *[Tunnel/100] 4d 19:59:58, metric 2
Tunnel Composite, IPoIP (src 192.168.0.41 dest 192.168.0.21)Смысл
Выходные данные показывают, что R2 получил маршрут 192.168.0.41/32 от R4 через туннель IPIP.
Проверка BGP маршрутов, полученных и объявленных по туннелю
Цель
Для проверки BGP префиксов маршрутов, полученных и объявленных на R2 192.168.0.41 узел BGP, используйте show route receive-protocol bgp peer команды operational show route advertising-protocol bgp peer mode.
Действий
user@R2> show route receive-protocol bgp 192.168.0.41
inet.0: 52 destinations, 52 routes (52 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 128.205.171.125/32 192.168.0.41 10 100 I
* 192.168.0.51/32 192.168.0.41 10 100 I
* 192.168.0.52/32 192.168.0.41 10 100 I
inet.2: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
inet.3: 11 destinations, 11 routes (11 active, 0 holddown, 0 hidden)
iso.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)user@R2> show route advertising-protocol bgp 192.168.0.41
inet.0: 52 destinations, 52 routes (52 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 128.205.171.66/32 Self 10 100 I
* 192.168.0.11/32 Self 10 100 I
* 192.168.0.12/32 Self 10 100 I
user@R4> show route advertising-protocol bgp 192.168.0.21
inet.0: 53 destinations, 53 routes (53 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 128.205.171.125/32 Self 10 100 I
* 192.168.0.51/32 Self 10 100 I
* 192.168.0.52/32 Self 10 100 Iuser@R4> show route receive-protocol bgp 192.168.0.21
inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 192.168.0.11/32 192.168.0.21 10 100 I
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)Смысл
Выходные данные показывают, что R2 получает маршруты от R5 с помощью BGP, а R2 рекламит или отправляет маршруты от R1.
Примере: Настройка туннеля IPoIP в среде MPLS с туннелем LDP, разрешенным через inet configuration.0 с использованием статической конфигурации
По умолчанию MPLS выше, чем IP. Например, если MPLS и LDP настроены среди R2, R3 и R4, где R2 достижим с R4 через LDP, маршруты от R2 будут разрешены через LDP, вместо IP-over-IP, из-за более высокого предпочтения.
Если вы хотите использовать определенный маршрут для разрешения за IP-over-IP вместо LDP, можно сделать это, создав таблицу inet проема, в которой IP-over-IP имеет более высокое предпочтение и настраивает BGP маршрут для устранения этого маршрута через таблицу inet200 вместо таблицы inet3. В следующем примере показано, как это сделать с помощью статической конфигурации.
интерфейс командной строки быстрой конфигурации
R2
[edit] user@R2#set protocols mpls interface et-0/0/1:0.0user@R2#set protocols ldp interface et-0/0/1:0.0user@R2#set protocols bgp group iBGP import ipip-tunnel-coloruser@R2#set protocols bgp group iBGP family inet unicast extended-nexthop-coloruser@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 preference 100user@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 colors 100user@R2#set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.0.51/32 exactuser@R2#set policy-options policy-statement ipip-tunnel-color term term-01 then community add reduser@R2#set policy-options policy-statement ipip-tunnel-color term term-01 then community add ipipuser@R2#set policy-options policy-statement ipip-tunnel-color term term-01 then acceptuser@R2#set policy-options community ipip members encapsulation:0L:7user@R2#set policy-options community red members color:0:100user@R2set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-epuser@R2set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 192.168.0.41/32 exactuser@R2#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 192.168.0.41user@R2#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept
R3
user@R3#set protocols mpls interface ge-0/0/1.0user@R3#set protocols mpls interface ge-0/0/0.0user@R3#set protocols ldp interface ge-0/0/0.0user@R3#set protocols ldp interface ge-0/0/1.0
R4
user@R4#set protocols mpls interface ge-0/0/1.0user@R4#set protocols ldp interface ge-0/0/1.0user@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 preference 100user@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 colors 100user@R4#set protocols bgp group iBGP import ipip-tunnel-coloruser@R4#set protocols bgp group iBGP family inet unicast extended-nexthop-coloruser@R4#set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.0.11/32 exactuser@R4#set policy-options policy-statement ipip-tunnel-color term term-01 then community add reduser@R4#set policy-options policy-statement ipip-tunnel-color term term-01 then community add ipipuser@R4#set policy-options policy-statement ipip-tunnel-color term term-01 then acceptuser@R4#set policy-options community ipip members encapsulation:0L:7user@R4#set policy-options community red members color:0:100user@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-epuser@R4#set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 192.168.0.21/32 exactuser@R4#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 192.168.0.21user@R4#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept
Процедуры
Пошаговая процедура
Настройте MPLS протоколов и протоколов LDP между R2 и R3 и R3 и R4.
R2 user@R2#
set protocols mpls interface et-0/0/1:0.0user@R2#set protocols ldp interface et-0/0/1:0.0R3 user@R3#
set protocols mpls interface ge-0/0/1.0user@R3#set protocols mpls interface ge-0/0/1.0user@R3#set protocols ldp interface ge-0/0/1.0user@R3#set protocols ldp interface ge-0/0/1.0R4 user@R4#
set protocols mpls interface ge-0/0/1.0user@R4#set protocols ldp interface ge-0/0/1.0Настройте BGP протоколов для BGP импорта цветного туннеля IPIP и расширенного следующего перехода.
R2 user@R2#
set protocols bgp group iBGP import ipip-tunnel-coloruser@R2#set protocols bgp group iBGP family inet unicast extended-nexthop-colorR4 user@R4#
set protocols bgp group iBGP import ipip-tunnel-coloruser@R4#set protocols bgp group iBGP family inet unicast extended-nexthop-colorНастройте параметры маршрутов, чтобы эти сети назначения добавляли атрибут цвета 100для создания динамических туннелей с использованием этого атрибута.
R2 user@R2#
set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 colors 100R4 user@R4#
set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 colors 100Настройте параметр preference для назначения значения предпочтения.
R2 user@R2#
set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 preference 100R4 user@R4#
set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 preference 100Настройте параметры политики, чтобы назначить цвет красного цвета и IPIP выбранному фильтру маршрута. Именно через параметры политики можно установить фильтры маршрутизатора для выбора маршрутов, которые необходимо разрешить через IP-over-IP, добавить к ней цвет и ipip.
R2 user@R2#
set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.0.51/32 exactuser@R2#set policy-options policy-statement ipip-tunnel-color term term-01 then community add reduser@R2#set policy-options policy-statement ipip-tunnel-color term term-01 then community add ipipuser@R2#set policy-options policy-statement ipip-tunnel-color term term-01 then acceptR4 user@R4#
set policy-options policy-statement ipip-tunnel-color term term-01 from route-filter 192.168.0.11/32 exactuser@R4#set policy-options policy-statement ipip-tunnel-color term term-01 then community add reduser@R4#set policy-options policy-statement ipip-tunnel-color term term-01 then community add ipipuser@R4#set policy-options policy-statement ipip-tunnel-color term term-01 then acceptНастройте параметры политики сообщества для назначения инкапсуляции и добавления
ipip communityатрибутов кcommunity red.R2 user@R2#
set policy-options community ipip members encapsulation:0L:7user@R2#set policy-options community red members color:0:100R4 user@R4#
set policy-options community ipip members encapsulation:0L:7user@R4#set policy-options community red members color:0:100-
Настройте параметры маршрутов и параметры политики для настройки динамического туннеля от R2 к R4 и R4 к R2 с конечными точками туннеля
192.168.0.41192.168.0.21и.R2 user@R2#
set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-epuser@R2#set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 192.168.0.41/32 exactuser@R2#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 192.168.0.41user@R2#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then acceptR4 user@R4#
set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 dyn-tunnel-attribute-policy set-dynamic-tunnel-epuser@R4#set policy-options policy-statement set-dynamic-tunnel-ep term t1 from route-filter 192.168.0.21/32 exactuser@R4#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then tunnel-end-point-address 192.168.0.21user@R4#set policy-options policy-statement set-dynamic-tunnel-ep term t1 then accept В
commitрежиме настройки войдите в R2, R3 и R4.
Результаты
Проверьте конфигурации, установленные для сценария 2 из режима конфигурации. Вот как можно проверить конфигурации на R2:
user@R2 # show protocols
mpls {
interface et-0/0/1:0.0;
{
bgp {
group iBGP {
type internal;
local-address 192.168.0.21;
import ipip-tunnel-color;
{
family inet {
unicast {
extended-nexthop-color;
}
{
export export-isis;
neighbor 192.168.0.41;
{
{
isis {
export export-bgp;
interface et-0/0/0:0.0;
{
ospf {
area 0.0.0.0 {
interface et-0/0/1:0.0;
interface 192.168.0.21;
{
{
ldp {
interface et-0/0/1:0.0;
{
user@R2 #show routing-options dynamic-tunnels Tunnel-01
source-address 192.168.0.21;
ipip;
destination-networks {
192.168.0.0/24
dyn-tunnel-attribute-policy set-dynamic-tunnel-ep;
preference 100;
colors 100;
{
user@R2 #show policy-options policy-statement ipip-tunnel-color
term term-01 {
from {
route-filter 192.168.0.51/32 exact;
}
then {
community add red;
community add ipip;
accept;
}
}
user@R2 # show policy-options policy-statement set-dynamic-tunnel-ep
term t1 {
from {
route-filter 192.168.0.41/32 exact;
{
then {
tunnel-end-point-address 192.168.0.41;
accept;
{
{
user@R2 # show policy-options community ipip
members encapsulation:0L:7;
user@R2 # show policy-options community red
members color:0:100;
Проверки
- Проверка разрешения маршрута
- Проверка динамической туннельной базы данных
- Проверка маршрутов следующих переходов
Проверка разрешения маршрута
Цель
Для проверки разрешения маршрутов в таблицах inet.3 и inet verify.0 используйте show route table inet.3show route table inetcolor.0 команды "operational mode".
Действий
user@R2> show route table inet.3
inet.3: 12 destinations, 13 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 5d 10:41:36
> via et-0/0/0:0.0
10.0.0.1/32 *[Local/0] 5d 10:41:36
Local via et-0/0/0:0.0
10.205.128.0/18 *[Direct/0] 5d 10:42:30
> via em0.0
10.205.176.131/32 *[Local/0] 5d 10:42:30
Local via em0.0
128.205.176.131/32 *[Direct/0] 5d 10:42:30
> via lo0.0
192.0.2.0/24 *[Direct/0] 5d 10:41:36
> via et-0/0/1:0.0
192.0.2.1/32 *[Local/0] 5d 10:41:36
Local via et-0/0/1:0.0
192.168.0.0/24 *[Tunnel/305] 14:12:14
Tunnel
192.168.0.21/32 *[Direct/0] 5d 10:41:36
> via lo0.0
192.168.0.22/32 *[Direct/0] 5d 10:41:36
> via lo0.0
192.168.0.31/32 *[LDP/9] 5d 10:36:12, metric 1
> to 192.0.2.2 via et-0/0/1:0.0
192.168.0.41/32 *[LDP/9] 5d 10:36:12, metric 1
> to 192.0.2.2 via et-0/0/1:0.0, Push 299792
[Tunnel/305] 14:12:14, metric 2
Tunnel Composite, IPoIP (src 192.168.0.21 dest 192.168.0.41)user@R2> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0-0<c>/24
*[Tunnel/305] 14:21:02
Tunnel
192.168.0.41-100<c>/64
*[Tunnel/305] 14:21:02, metric 2
Tunnel Composite, IPoIP (src 192.168.0.21 dest 192.168.0.41-100<c>)user@R4> show route table inet.3
inet.3: 3 destinations, 4 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0/24 *[Tunnel/305] 14:08:27
Tunnel
192.168.0.21/32 *[LDP/9] 5d 10:37:41, metric 1
> to 192.51.100.1 via ge-0/0/1.0, Push 299776
[Tunnel/305] 14:08:27, metric 2
Tunnel Composite, IPoIP (src 192.168.0.41 dest 192.168.0.21)
192.168.0.31/32 *[LDP/9] 5d 10:37:41, metric 1
> to 192.51.100.1 via ge-0/0/1.0user@R4> show route table inetcolor.0
inetcolor.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0-0<c>/24
*[Tunnel/305] 14:13:43
Tunnel
192.168.0.21-100<c>/64
*[Tunnel/305] 14:13:43, metric 2
Tunnel Composite, IPoIP (src 192.168.0.41 dest 192.168.0.21-100<c>)Смысл
Выходные данные R2 показывают, что в таблице inet.3 маршрут получает разрешенный LDP из-за более высокого предпочтения, чем 192.168.0.41 IP-over-IP. С другой стороны, в только что созданной таблице inet аттестюет.0 маршрут решается через 192.168.0.41 туннель IP-over-IP с <c> присоединенным.
Выходные данные R4 показывают, что в таблице inet.3 маршрут решается LDP из-за более высокого предпочтения, но в таблице inetresolved.0 маршрут решается через 192.168.0.21192.168.0.21 туннель IP-over-IP с <c> присоединенным.
Проверка динамической туннельной базы данных
Цель
Для проверки динамического туннеля IP-over-IP, созданного маршрутами в таблице inet verify.0, используйте show dynamic-tunnels database terse команду operational mode.
Действий
user@R2>show dynamic-tunnels database terse
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 192.168.0.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 192.168.0.0-0<c>/24
Destination Source Next-hop Type Status
192.168.0.41-100<c>/64 192.168.0.21 0xcb42820 nhid 579 IPoIP Up (chain-nexthop, via metric 2, tunnel-endpoint 192.168.0.41)user@R4> show dynamic-tunnels database terse
*- Signal Tunnels #- PFE-down
Table: inet.3
Destination-network: 192.168.0.0/24
*- Signal Tunnels #- PFE-down
Table: inetcolor.0
Destination-network: 192.168.0.0-0<c>/24
Destination Source Next-hop Type Status
192.168.0.21-100<c>/64 192.168.0.41 0xccd8b10 nhid 600 IPoIP Up (via metric 2, tunnel-endpoint 192.168.0.21)
Смысл
Выходные данные R2 показывают, что маршрут создал динамический туннель на 192.168.0.41 основе следующего перехода.
Выходные данные R4 показывают, что маршрут создал динамический туннель на 192.168.0.21 основе следующего перехода.
Проверка маршрутов следующих переходов
Цель
Для проверки всех следующих переходов маршрута, настроенного на разрешение с помощью IP-over-IP, необходимо получить команду e the show route 192.168.0.51/32 extensive expanded-nh operational mode.
Действий
user@R2>show route 192.168.0.51/32 extensive expanded-nh
inet.0: 53 destinations, 53 routes (53 active, 0 holddown, 0 hidden)
192.168.0.51/32 (1 entry, 1 announced)
Installed-nexthop:
Indr Composite (0xc8d8c30) 192.168.0.41-100<c>
krt_cnh (0xcb42820) Index:579 IPoIP src 192.168.0.21 dest 192.168.0.41-100<c> tunnel-endpoint 192.168.0.41
krt_inh (0xc918400) Index:2097152 PNH: 192.168.0.41-100<c>
Router (0xc8d7f10) Index:573 192.0.2.2 via et-0/0/1:0.0
TSI:
KRT in-kernel 192.168.0.51/32 -> {composite(579)}
IS-IS level 1, LSP fragment 0
IS-IS level 2, LSP fragment 0
*BGP Preference: 170/-101
Next hop type: Indirect, Next hop index: 0
Address: 0xc8d8c30
Next-hop reference count: 2
Source: 192.168.0.41
Next hop type: Router, Next hop index: 573
Next hop: 192.0.2.2 via et-0/0/1:0.0, selected
Session Id: 0x0
Protocol next hop: 192.168.0.41-100c
Composite next hop: 0xcb42820 579 INH Session ID: 0x0
Fully Resolved Tunnel:
Type: IPoIP, Destination address: 192.168.0.41-100<c>, Source address: 192.168.0.21
Tunnel endpoint address: 192.168.0.41
Indirect next hop: 0xc918400 2097152 INH Session ID: 0x0
State: Active Int Ext
Local AS: 64496 Peer AS: 64496
Age: 14:32:57 Metric: 10 Metric2: 2
Validation State: unverified
Task: BGP_64496.192.168.0.41
Announcement bits (2): 0-KRT 6-IS-IS
AS path: I
Communities: color:0:100 encapsulation:ip-ip(0x7)
Accepted
Localpref: 100
Router ID: 192.168.0.41
Route-nexthop:
Indr (0xc8d8c30)
krt_cnh (0xcb42820) Index:579
krt_inh (0xc918400) Index:2097152
Router (0xc8d7f10) Index:573
Composite next hops: 1
Protocol next hop: 192.168.0.41-100c Metric: 2
Composite next hop: 0xcb42820 579 INH Session ID: 0x0
Fully Resolved Tunnel:
Type: IPoIP, Destination address: 192.168.0.41-100<c>, Source address: 192.168.0.21
Tunnel endpoint address: 192.168.0.41
Indirect next hop: 0xc918400 2097152 INH Session ID: 0x0
Indirect path forwarding next hops: 1
Next hop type: Router
Next hop: 192.0.2.2 via et-0/0/1:0.0
Session Id: 0x0
192.168.0.41-100<c>/64 Originating RIB: inetcolor.0
Metric: 2 Node path count: 1
Forwarding nexthops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (extended-attr), Reference count: 1, nhid: 0
Destination address: 192.168.0.41-100<c>, Source address: 192.168.0.21user@R4> show route 192.168.0.11/32 extensive expanded-nh
inet.0: 54 destinations, 54 routes (54 active, 0 holddown, 0 hidden)
192.168.0.11/32 (1 entry, 1 announced)
Installed-nexthop:
Indr (0xccd6350) 192.168.0.21-100c
krt_inh (0xcd18400) Index:1048576 PNH: 192.168.0.21-100<c>
tun-comp (0xccd8b10) Index:600 IPoIP src 192.168.0.41 dest 192.168.0.21-100<c> tunnel-endpoint 192.168.0.21
TSI:
KRT in-kernel 192.168.0.11/32 -> {indirect(1048576)}
IS-IS level 1, LSP fragment 0
IS-IS level 2, LSP fragment 0
*BGP Preference: 170/-101
Next hop type: Indirect, Next hop index: 0
Address: 0xccd6350
Next-hop reference count: 2
Source: 192.168.0.21
Next hop type: Tunnel Composite, Next hop index: 600
Next hop: via Tunnel Composite, IPoIP (src 192.168.0.41 dest 192.168.0.21-100<c> tunnel-endpoint 192.168.0.21), selected
Protocol next hop: 192.168.0.21-100<c>
Indirect next hop: 0xcd18400 1048576 INH Session ID: 0x0
State: <Active Int Ext>
Local AS: 64496 Peer AS: 64496
Age: 14:28:19 Metric: 10 Metric2: 2
Validation State: unverified
Task: BGP_64496.192.168.0.21
Announcement bits (2): 0-KRT 6-IS-IS
AS path: I
Communities: color:0:100 encapsulation:ip-ip(0x7)
Accepted
Localpref: 100
Router ID: 192.168.0.21
Route-nexthop:
Indr (0xccd6350)
krt_inh (0xcd18400) Index:1048576
tun-comp (0xccd8b10) Index:600
Indirect next hops: 1
Protocol next hop: 192.168.0.21-100<c> Metric: 2
Indirect next hop: 0xcd18400 1048576 INH Session ID: 0x0
Indirect path forwarding next hops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, Reference count: 3, nhid: 600
Destination address: 192.168.0.21-100<c>, Source address: 192.168.0.41
Tunnel endpoint: 192.168.0.21
192.168.0.21-100<c>/64 Originating RIB: inetcolor.0
Metric: 2 Node path count: 1
Forwarding nexthops: 1
Next hop type: Tunnel Composite
Tunnel type: IPoIP, (extended-attr), Reference count: 1, nhid: 0
Destination address: 192.168.0.21-100<c>, Source address: 192.168.0.41Смысл
Выходные данные R2 указывают на расширенный следующий переход 192.168.0.51/32 маршрута. Поскольку R2 является маршрутизатором серия PTX, он отправляет протокол со следующим переходом и составный следующий переход с полностью разрешенным туннелем.
Выходные данные R4 указывают на расширенный следующий переход 192.168.0.11/32 маршрута. Поскольку R4 является серия MX маршрутизатором, он отправляет протоколу следующий переход и следующий переход через посредника.
Примере: Настройка туннеля IPoIP с туннелем LDP в облаке MPLS, разрешенного через inetтетехенд.0 с помощью BGP сигнализации
В среде MPLS с включенным LDP маршруты BGP маршруты проходят через LDP в таблице inet.3, поскольку MPLS обладает более высоким предпочтением, чем IP.
Если вы по-прежнему предпочитают, чтобы маршруты разрешались через IP-over-IP в MPLS среде, можно сделать это, создав таблицу inetго разметки.0, которая назначает более высокое предпочтение IP-over-IP и решению выбранных маршрутов через IP-over-IP. Чтобы включить эту функцию с помощью BGP, разрешение маршрута выполняется на удаленном конечном устройстве туннеля и с экспортной политикой, настроенной на удаленном устройстве, маршруты получают и объявляются с помощью BGP сигнализации. В этом примере показано, как настроить это с помощью BGP протокола.
Если после настройки туннеля IP-over-IP с использованием статической конфигурации LDP следует сохранить конфигурации MPLS и LDP на устройствах R2, R3 и R4 и удалить остальные статические конфигурации.
Если после настройки динамических туннелей IP-over-IP со следующим переходом для протокола следует настроить конфигурации MPLS и LDP на устройствах R2, R3 и R4, прежде чем настраивать следующие утверждения. Не забудьте применить export-tunnel-route политику, прежде чем применять export-isis ее с первого примера.
интерфейс командной строки быстрой конфигурации
R2
user@R2#set routing-options dynamic-tunnels Tunnel-01 source-address 192.168.0.21user@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 preference 100user@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 colors 100user@R2#set routing-options dynamic-tunnels Tunnel-01 bgp-signaluser@R2#set routing-options resolutionuser@R2#set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.0.11/32 exactuser@R2#set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnle-attr-02user@R2#set policy-options policy-statement export-tunnel-route term t1 then next-hop selfuser@R2#set policy-options policy-statement export-tunnel-route term t1 then acceptuser@R2#set policy-options tunnel-attribute tunnle-attr-02 tunnel-type ipipuser@R2#set policy-options tunnel-attribute tunnle-attr-02 tunnel-color 100user@R2#set policy-options tunnel-attribute tunnle-attr-02 remote-end-point 192.168.0.41user@R2#set protocols bgp group iBGP export export-tunnel-routeuser@R2#set protocols bgp group iBGP family inet unicast extended-nexthop-tunnel
R4
user@R4#set routing-options dynamic-tunnels Tunnel-02 bgp-signaluser@R4#set routing-options dynamic-tunnels Tunnel-02 source-address 192.168.0.41user@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 preference 100user@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 colors 100user@R4#set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.0.51/32 exactuser@R4#set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnle-attr-01user@R4#set policy-options policy-statement export-tunnel-route term t1 then next-hop selfuser@R4#set policy-options policy-statement export-tunnel-route term t1 then acceptuser@R4#set policy-options tunnel-attribute tunnle-attr-01 tunnel-type ipipuser@R4#set policy-options tunnel-attribute tunnle-attr-01 tunnel-color 100user@R4#set policy-options tunnel-attribute tunnle-attr-01 remote-end-point 192.168.0.21user@R4#set protocols bgp group iBGP family inet unicast extended-nexthop-tunneluser@R4#set protocols bgp group iBGP export export-tunnel-route
Процедуры
Пошаговая процедура
Войдите в режим настройки устройств R2 и R4.
Настройте BGP протоколов на R2 и R4, чтобы включить туннель nexthop и экспорт маршрутов с удаленного о конце устройства.
R2 user@R2#
set protocols bgp group iBGP family inet unicast extended-nexthop-tunneluser@R2#set protocols bgp group iBGP export export-tunnel-routeR4 user@R4#
set protocols bgp group iBGP family inet unicast extended-nexthop-tunneluser@R4#set protocols bgp group iBGP export export-tunnel-routeНастройте параметры маршрутов на М2 для создания туннеля между R2 и R4 и R4 для создания туннеля между R4 и R2 с цветовым значением и предпочтением, настроенным на 100.
R2 user@R2#
set routing-options dynamic-tunnels Tunnel-01 source-address 192.168.0.21user@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 preference 100user@R2#set routing-options dynamic-tunnels Tunnel-01 destination-networks 192.168.0.0/24 colors 100user@R2#set routing-options dynamic-tunnels Tunnel-01 bgp-signaluser@R2#set routing-options resolutionR4 user@R4#
set routing-options dynamic-tunnels Tunnel-02 source-address 192.168.0.41user@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 preference 100user@R4#set routing-options dynamic-tunnels Tunnel-02 destination-networks 192.168.0.0/24 colors 100user@R4#set routing-options dynamic-tunnels Tunnel-02 bgp-signalНастройте утверждение политики для экспорта маршрутов на R2 и R4 с помощью фильтра экспорта и добавьте атрибуты туннеля.
R2 user@R2#
set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.0.11/32 exactuser@R2#set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnle-attr-02user@R2#set policy-options policy-statement export-tunnel-route term t1 then next-hop selfuser@R2#set policy-options policy-statement export-tunnel-route term t1 then acceptR4 user@R4#
set policy-options policy-statement export-tunnel-route term t1 from route-filter 192.168.0.51/32 exactuser@R4#set policy-options policy-statement export-tunnel-route term t1 then tunnel-attribute set tunnle-attr-01user@R4#set policy-options policy-statement export-tunnel-route term t1 then next-hop selfuser@R4#set policy-options policy-statement export-tunnel-route term t1 then accept-
Настройте параметры политики для добавления цвета туннеля, типа туннеля и удаленной точки на R2 и R4.
R2 user@R2#
set policy-options tunnel-attribute tunnle-attr-02 tunnel-type ipipuser@R2#set policy-options tunnel-attribute tunnle-attr-02 tunnel-color 100user@R2#set policy-options tunnel-attribute tunnle-attr-02 remote-end-point 192.168.0.41R4 user@R4#
set policy-options tunnel-attribute tunnle-attr-01 tunnel-type ipipuser@R4#set policy-options tunnel-attribute tunnle-attr-01 tunnel-color 100user@R4#set policy-options tunnel-attribute tunnle-attr-01 remote-end-point 192.168.0.21 Войдите
commitиз режима конфигурации.
Результаты
Проверить конфигурацию можно при помощи следующих команд show в режиме конфигурации. Вот как можно проверить конфигурации устройства R2:
user@R2# show routing-options
router-id 192.168.0.21;
autonomous-system 64496;
forwarding-table {
export plb;
{
resolution;
dynamic-tunnels {
Tunnel-01 {
source-address 192.168.0.21;
bgp-signal;
destination-networks {
192.168.0.0/24
preference 100;
colors 100;
{
{
{
{
user@R2# show policy-options policy-statement export-tunnel-route
term t1 {
from {
route-filter 192.168.0.11/32 exact;
{
then {
tunnel-attribute set tunnle-attr-02;
next-hop self;
accept;
{
}
user@R2# show policy-options tunnel-attribute tunnle-attr-02
tunnel-type ipip;
tunnel-color 100;
remote-end-point 192.168.0.41;
user@R2# show protocols bgp group iBGP
type internal;
local-address 192.168.0.21;
family inet {
unicast {
extended-nexthop-tunnel;
{
{
export [ export-tunnel-route export-isis ];
neighbor 192.168.0.41;
Проверки
Проверка BGP маршрутов
Цель
Проверьте маршруты, отправленные с помощью BGP протокол.
Действий
R2
user@R2> show route protocol bgp
inet.0: 22 destinations, 22 routes (22 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.51/32 *[BGP/170] 00:16:42, MED 10, localpref 100, from 192.168.0.41
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 192.168.0.21 dest 192.168.0.41-100<c> tunnel-endpoint 192.168.0.21)
192.168.0.52/32 *[BGP/170] 00:39:38, MED 10, localpref 100, from 192.168.0.41
AS path: I, validation-state: unverified
> to 192.0.2.2 via et-0/0/1:0.0, Push 299792R4
user@R4> show route protocol bgp
inet.0: 22 destinations, 22 routes (22 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.11/32 *[BGP/170] 00:19:44, MED 10, localpref 100, from 192.168.0.21
AS path: I, validation-state: unverified
> via Tunnel Composite, IPoIP (src 192.168.0.41 dest 192.168.0.21-100<c> tunnel-endpoint 192.168.0.41)
192.168.0.12/32 *[BGP/170] 00:42:15, MED 10, localpref 100, from 192.168.0.21
AS path: I, validation-state: unverified
> to 192.51.100.1 via ge-0/0/1.0, Push 299776Смысл
В выходных данных показаны маршруты BGP.
Проверка полученных маршрутов
Цель
Проверьте маршруты, полученные через BGP с помощью следующих команд операционного режима.
Действий
R2
user@R2> show route receive-protocol bgp 192.168.0.41 192.168.0.51 extensive
inet.0: 22 destinations, 22 routes (22 active, 0 holddown, 0 hidden)
* 192.168.0.51/32 (1 entry, 1 announced)
Accepted
Nexthop: 192.168.0.41
MED: 10
Localpref: 100
AS path: I
Tunnel type: ipip, Tunnel color: 100, Remote end point: 192.168.0.21
inet.3: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)R4
user@R4> show route receive-protocol bgp 192.168.0.21 192.168.0.11 extensive
inet.0: 22 destinations, 22 routes (22 active, 0 holddown, 0 hidden)
* 192.168.0.11/32 (1 entry, 1 announced)
Accepted
Nexthop: 192.168.0.21
MED: 10
Localpref: 100
AS path: I
Tunnel type: ipip, Tunnel color: 100, Remote end point: 192.168.0.41
inet.3: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)Смысл
Выходные данные R2 и R4 указывают маршруты, полученные устройствами.
Проверка объявленных маршрутов
Цель
Проверьте маршруты, объявленные BGP посредством следующих команд режима эксплуатации.
Действий
R2
user@R2> show route advertising-protocol bgp 192.168.0.41 192.168.0.11 extensive
inet.0: 22 destinations, 22 routes (22 active, 0 holddown, 0 hidden)
* 192.168.0.11/32 (1 entry, 1 announced)
BGP group iBGP type Internal
Nexthop: Self
Flags: Nexthop Change
MED: 10
Localpref: 100
AS path: [64496] I
Tunnel type: ipip, Tunnel color: 100, Remote end point: 192.168.0.41R4
user@R4> show route advertising-protocol bgp 192.168.0.21 192.168.0.51 extensive
inet.0: 22 destinations, 22 routes (22 active, 0 holddown, 0 hidden)
* 192.168.0.51/32 (1 entry, 1 announced)
BGP group iBGP type Internal
Nexthop: Self
Flags: Nexthop Change
MED: 10
Localpref: 100
AS path: [64496] I
Tunnel type: ipip, Tunnel color: 100, Remote end point: 192.168.0.21Смысл
Выходные данные R2 и R4 указывают объявленные маршруты.