示例：配置基于 MPLS 的第2层 Vpn

您可以使用 Junos OS 路由设备实施基于 MPLS 的2层虚拟专用网（VPN），以2层技术互连客户站点。2层 Vpn 让客户能够完全控制自己的路由。要支持基于 MPLS 的第2层 VPN，您需要向两个提供商边缘（PE）路由设备的配置中添加组件。您无需更改提供商设备的配置。

此示例演示如何配置基于 MPLS 的第2层 VPN。

注意

您可以在同一设备上同时配置基于 MPLS 的 l2 vpn 和基于 MPLS 的第3层 VPN。但是，您不能将相同的客户边缘接口配置为同时支持第2层 VPN 和第3层 VPN。核心接口和回传接口的配置方式与第2层 Vpn 和第3层 Vpn 相同。

要求

此示例使用以下硬件和软件组件：

如果您使用 EX 系列交换机，则 Junos OS 版本11.1 或更高版本
两个 PE 路由设备

配置第2层 VPN 组件之前，请配置 MPLS 网络的基本组件：

配置两个 PE 路由设备。请参阅使用电路交叉连接在提供商边缘 EX8200 和 EX4500 交换机上配置 MPLS （CLI 过程）。
配置一个或多个提供商设备。请参阅在 EX8200 和 EX4500 提供商交换机上配置 MPLS （CLI 过程）。

注意

第2层 VPN 要求使用电路交叉连接（CCC）配置 PE 路由设备。提供商路由设备的配置方式与使用 CCC 和 MPLS 上的 IP 的 MPLS 相同。

概述和拓扑

第2层 VPN 提供提供商’网络和客户’网络—之间的完全分离，PE 设备和 CE 设备不交换路由信息。第2层 VPN 的一些优势是私有、安全且灵活。

此示例说明如何在本地和远程 PE 设备上配置2层 VPN 组件。此示例不包括配置提供商设备，因为提供商设备上没有特定的第2层 VPN 组件。

在使用电路交叉连接（CCC）的 PE 设备的基本 MPLS 配置中，PE 设备配置为使用内部网关协议（IGP）（如 OSPF 或 IS-IS）作为 MPLS 设备和 LDP 或 RSVP 之间的路由协议作为信号传输protocol. 流量工程已启用。在[edit protocols]层次结构内配置标签交换路径（LSP）。但是，与使用 CCC 的基本 MPLS 配置不同，您无需将 LSP 与客户边缘接口相关联。配置第2层 VPN 时，必须使用 BGP 信号。BGP 信号实现了连接自动化，因此不需要手动配置 LSP 与客户边缘接口之间的关联。

以下组件必须添加到基于 MPLS 的第 2 层 VPN 的 PE 路由设备中：

BGP 组，family l2vpn signaling
使用实例类型的路由实例l2vpn
物理层封装类型（ethernet）必须在客户边缘接口上指定，而且必须在路由实例的配置中指定封装类型。

图 1展示了此基于 MPLS 的第2层 VPN 的拓扑结构。

表 1显示了本地 CE 设备上的客户边缘接口的设置。

表 1: 基于 MPLS 的第2层 VPN 拓扑中的本地 CE 路由设备

财产	设置	Description
本地 CE 路由设备硬件	路由设备	CE1
客户边缘接口	ge-0/0/0 unit 0 family inet address 10.0.0.2/16	用于将 CE1 连接到 PE1 的接口。

表 2显示了远程 CE 路由设备上的客户边缘接口的设置。

表 2: 基于 MPLS 的第2层 VPN 拓扑中的远程 CE 路由设备

财产	设置	Description
远程 CE 路由设备硬件	路由设备	CE2
客户边缘接口	ge-0/0/0 unit 0 family inet address 10.0.0.1/16	用于将 CE2 连接到 PE2 的接口。

表 3显示了本地 PE 路由设备的第2层 VPN 组件。

表 3: 本地 PE 路由设备的第2层 VPN 组件

财产	设置	Description
本地 PE 路由设备硬件	路由设备	PE1
客户边缘接口	ge-5/0/0 encapsulation ethernet-ccc unit 0 family ccc	将 PE1 连接到 CE1。对于第2层 VPN，添加ethernet-ccc为物理层封装类型。注意: family ccc已作为 PE 路由设备基本 MPLS 配置的一部分完成了电路交叉连接。此处包含的内容显示了为该部分配置指定的情况。
核心接口	xe-6/0/0 unit 0 family inet address 10.0.0.60/16 family iso family mpls	将 PE1 连接到 P。注意: 配置的这一部分已作为基本 MPLS 配置的一部分完成。此处包含的内容显示了为该部分配置指定的情况。
环回接口	lo0 unit 0 family inet address 192.0.2.0/24 family iso address 49.0001.2102.2021.0210.00	注意: 配置的这一部分已作为基本 MPLS 配置的一部分完成。此处包含的内容显示了为该部分配置指定的情况。
BGP	bgp	为第2层 VPN 配置添加。
路由实例	vpn1	为第2层 VPN 配置添加

表 4显示了远程 PE 路由设备的第2层 VPN 组件。

表 4: 远程 PE 路由设备的第2层 VPN 组件

财产	设置	Description
PE 路由设备硬件	路由设备	PE2
客户边缘接口	ge-11/0/0 encapsulation ethernet-ccc unit 0 family ccc	将 PE2 连接到 CE2。对于第2层 VPN，添加ethernet-ccc为物理层封装类型。注意: family ccc已作为 PE 路由设备基本 MPLS 配置的一部分完成了电路交叉连接。此处包含的内容显示了为该部分配置指定的情况。
核心接口	xe-6/0/0 unit 0 family inet address 10.2.0.61/16 family iso family mpls	将 PE2 连接到 P。注意: 配置的这一部分已作为基本 MPLS 配置的一部分完成。此处包含的内容显示了为该部分配置指定的情况。
环回接口	lo0 unit 0 family inet address 192.0.2.3/24 family iso address 49.0001.2202.2022.0220.00	注意: 配置的这一部分已作为基本 MPLS 配置的一部分完成。此处包含的内容显示了为该部分配置指定的情况。
BGP	bgp	为第2层 VPN 配置添加。
路由实例	vpn1	为第2层 VPN 配置添加。

配置本地 PE 路由设备

CLI 快速配置

要在本地 PE 路由设备上快速配置第2层 VPN 组件，请复制以下命令并将其粘贴到路由设备的终端窗口中：

[edit]

set interfaces ge-5/0/0
encapsulation ethernet-ccc

set protocols bgp group ibgp local-address 192.0.2.0 family l2vpn
signaling

set protocols
bgp group ibgp type internal

set protocols bgp group ibgp neighbor 192.0.2.3

set routing-instances vpn1 instance-type l2vpn

set routing-instances vpn1 interface
ge-5/0/0

set routing-instances
vpn1 route-distinguisher 192.0.2.0:21

set routing-instances vpn1 vrf-target target:21:21 

set routing-instances vpn1 protocols
l2vpn encapsulation-type ethernet

set routing-instances vpn1 protocols l2vpn interface ge-5/0/0.0 description
"BETWEEN PE1 AND CE1" 

set routing-instances vpn1 protocols l2vpn
site JE-V21 site-identifier 21 interface ge-5/0/0 remote-site-id 26

分步过程

要在本地 PE 路由设备上配置第2层 VPN 组件：

将客户边缘接口配置为使用物理封装类型ethernet-ccc：
[edit] user@PE1# set interfaces ge-5/0/0 encapsulation ethernet-ccc
配置 BGP，将回传地址指定为本地地址并启用family l2vpn signaling：
[edit protocols bgp] user@PE1# set group ibgp local-address 192.0.2.0 family l2vpn signaling
配置 BGP 组，指定组名称和类型：
[edit protocols bgp] user@PE1# set group ibgp type internal
配置 BGP 邻居，并将远程 PE 路由设备的回传地址指定为邻居’地址：
[edit protocols bgp] user@PE1# set group ibgp neighbor 192.0.2.3/24
配置路由实例，指定路由实例名称并使用l2vpn as 实例类型：
[edit routing-instances] user@PE1# set vpn1 instance-type l2vpn
配置要应用于客户边缘接口的路由实例：
[edit routing-instances] user@PE1# set vpn1 interface ge-5/0/0
将路由实例配置为使用路由 distinguisher：
[edit routing-instances] user@PE1# set vpn1 route-distinguisher 192.0.2.0:21
配置路由实例的 VPN 路由和转发（VRF）目标：
[edit routing-instances] user@PE1# set vpn1 vrf-target target:21:21
注意
您可以使用导入和导出选项来显式配置 VRF 的导入和导出策略，从而创建更复杂的策略。请参阅《 Junos OS Vpn 配置指南》。
配置路由实例使用的协议和封装类型：
[edit routing-instances] user@PE1# set vpn1 protocols l2vpn encapsulation-type ethernet
将路由实例应用于客户边缘接口并指定其说明：
[edit routing-instances] user@PE1# set vpn1 protocols interface ge-5/0/0.0 description "BETWEEN PE1 AND CE1"
配置路由实例协议站点：
[edit routing-instances] user@PE1# set vpn1 protocols l2vpn site JE-V21 site-identifier 21remote-site-id 26
注意
远程站点 ID （与remote-site-id语句一起配置）对应于在其他 PE 路由设备上配置的site-identifier站点 ID （配置为语句）。

结果

显示配置结果：

user@PE1# show

配置远程 PE 路由设备

CLI 快速配置

要在远程 PE 路由设备上快速配置2层 VPN 组件，请复制以下命令并将其粘贴到路由设备的终端窗口中：

[edit]

set interfaces ge-11/0/0
encapsulation ethernet-ccc

set protocols bgp group ibgp local-address 192.0.2.3 family l2vpn
signaling

set protocols
bgp group ibgp type internal

set protocols bgp group ibgp neighbor 192.0.2.0

set routing-instances vpn1 instance-type l2vpn

set routing-instances vpn1 interface
ge-11/0/0

set routing-instances
vpn1 route-distinguisher 192.0.2.0:21

set routing-instances vpn1 vrf-target target:21:21 

set routing-instances vpn1 protocols
l2vpn encapsulation-type ethernet 

set routing-instances vpn1 protocols l2vpn interface ge-11/0/0.0
description "BETWEEN PE1 AND CE1" 

set routing-instances vpn1 protocols l2vpn
site T26-VPN1 site-identifier 26 remote-site-id 21

分步过程

要在远程 PE 路由设备上配置第2层 VPN 组件：

将客户边缘接口配置为使用物理封装类型ethernet-ccc：
[edit] user@PE1# set interfaces ge-11/0/0 encapsulation ethernet-ccc
配置 BGP，将回传地址指定为local-address并指定： family l2vpn signaling
[edit protocols bgp] user@PE2# set group ibgp local-address 192.0.2.3 family l2vpn signaling
配置 BGP 组，指定组名称和类型：
[edit protocols bgp] user@PE2# set group ibgp type internal
配置 BGP 邻居，并将远程 PE 路由设备的回传地址指定为邻居’地址：
[edit protocols bgp] user@PE2# set group ibgp neighbor 192.0.2.0
配置路由实例，指定路由实例名称并使用l2vpn作为： instance-type
[edit routing-instances] user@PE2# set vpn1 instance-type l2vpn
配置要应用于客户边缘接口的路由实例：
[edit routing-instances] user@PE2# set vpn1 interface ge-11/0/0.0
将路由实例配置为使用路由 distinguisher，格式为 ip 地址：编号可以：
[edit routing-instances] user@PE2# set vpn1 route-distinguisher 192.0.2.0:21
配置路由实例的 VPN 路由和转发（VRF）目标：
[edit routing-instances] user@PE2# set vpn1 vrf-target target:21:21
配置路由实例使用的协议和封装类型：
[edit routing-instances] user@PE2# set vpn1 protocols l2vpn encapsulation-type ethernet
将路由实例应用于客户边缘接口并指定其说明：
[edit routing-instances] user@PE1# set vpn1 protocols interface ge-11/0/0.0 description "BETWEEN PE1 AND CE1"
配置路由实例协议站点：
[edit routing-instances] user@PE2# set vpn1 protocols l2vpn site T26-VPN1 site-identifier 26 remote-site-id 21
注意
远程站点 ID （与remote-site-id语句一起配置）对应于在其他 PE 路由设备上配置的site-identifier站点 ID （配置为语句）。

结果

操作

user@PE1> 显示路由表 bgp.l2vpn.0

user@PE1> 显示路由表 vpn1.l2vpn.0

含义

此命令show route table bgp.l2vpn.0显示在此路由设备上创建的所有第2层 VPN 路由。此命令show route table vpn1.l2vpn.0显示为路由实例vpn1创建的第2层 VPN 路由。

Ping 第2层 VPN 连接

用途

验证连接。

操作

user@PE1> ping mpls l2vpn interface xe-6/0/0.0 reply-mode ip-udp

user@PE1> ping mpls l2vpn instance vpn1 remote-site-id 26 local-site-id 21
detail

含义

输出显示连接已建立。

ON THIS PAGE

示例：配置基于 MPLS 的第2层 Vpn

要求

概述和拓扑

配置本地 PE 路由设备

CLI 快速配置

分步过程

结果

配置远程 PE 路由设备

CLI 快速配置

分步过程

结果

针对

验证2层 VPN 连接

用途

操作

含义

验证 MPLS 标签交换路径的状态

用途

操作

含义

验证 BGP 状态

用途

操作

含义

验证 RSVP 会话的状态

用途

操作

含义

验证路由表中的路由

用途

操作

含义

Ping 第2层 VPN 连接

用途

操作

含义

相关主题