NESTA PÁGINA
Criando rotas de VPN exclusivas usando tabelas de VRF
Entender tabelas de roteamento e encaminhamento virtuais
Para separar as rotas de uma VPN das rotas na Internet pública ou em outras VPNs, o roteador PE cria uma tabela de roteamento separada para cada VPN, chamada tabela de roteamento e encaminhamento de VPN (VRF). O roteador PE cria uma tabela VRF para cada VPN que tenha conexão com um CE roteador. Qualquer cliente ou site que pertence à VPN pode acessar apenas as rotas nas tabelas VRF para essa VPN.
A Figura 1 ilustra as tabelas de VRF criadas nos roteadores PE. Os três roteadores PE têm conexões com CE roteadores que estão em duas VPNs diferentes, de modo que cada roteador PE cria duas tabelas de VRF, uma para cada VPN.
de VRF
Cada tabela VRF é preenchida de rotas recebidas de sites CE diretamente conectados associados à instância de roteamento VRF e de rotas recebidas de outros roteadores PE que passaram pela filtragem da comunidade BGP e estão na mesma VPN.
Cada roteador PE também mantém uma tabela de roteamento global (inet.0) para alcançar outros roteadores dentro e fora da rede principal do provedor.
Cada conexão do cliente (ou seja, cada interface lógica)está associada a uma tabela VRF. Somente a tabela VRF associada a um site do cliente é consultada quanto a pacotes desse site.
Você pode configurar o roteador para que, se um próximo salto para um destino não for encontrado na tabela VRF, o roteador realiza uma busca na tabela de roteamento global, usada para acesso à Internet.
O Junos OS usa as seguintes tabelas de roteamento para VPNs:
bgp.l3vpn.0— Armazena rotas aprendidas com outros roteadores PE. As rotas da tabela de roteamento bgp.l3vpn.0 são copiadas para um VRF de Camada 3 quando há uma política de importação de VRF correspondente no roteador PE. Esta tabela está presente apenas em roteadores PE, e não armazena rotas recebidas de roteadores CE diretamente conectados.
Quando um roteador PE recebe uma rota de outro roteador PE, ele coloca a rota em sua tabela de roteamento bgp.l3vpn.0. A rota é solucionada usando as informações na tabela de roteamento inet.3. A rota resultante é convertida em formato IPv4 e redistribuída para todas as tabelas de roteamento routing-instance-name .inet.0 no roteador PE se ele estiver de acordo com a política de importação de VRF.
A tabela bgp.l3vpn.0 também é usada para resolver rotas pelos túneis MPLS que conectam os roteadores PE. Essas rotas são armazenadas na tabela de roteamento inet.3. A conectividade do roteador PE-to-PE deve existir no inet.3 (não apenas na inet.0)para que as rotas de VPN sejam solucionadas corretamente.
Quando um roteador anuncia rotas unicast não locais de VPN-IPv4 e o roteador é um refletor de roteamento ou realiza peering externo, as rotas VPN-IPv4 unicast são automaticamente exportadas para a tabela de roteamento VPN(bgp.l3vpn.0). Isso permite que o roteador realize a seleção e a publicidade de caminhos da tabela de roteamento bgp.l3vpn.0.
Para determinar se deve adicionar uma rota à tabela de roteamento bgp.l3vpn.0, o Junos OS verifica se há políticas de importação de instâncias VRF para todas as VPNs configuradas no roteador PE. Se a rota VPN-IPv4 estiver de acordo com uma das políticas, ela será adicionada à tabela de roteamento bgp.l3vpn.0. Para exibir as rotas na tabela de roteamento bgp.l3vpn.0, use o comando show route table bgp.l3vpn.0.
routing-instance-name .inet.0— Armazena todas as rotas IPv4 unicast recebidas de roteadores CE diretamente conectados em uma instância de roteamento (ou seja, em uma única VPN) e todas as rotas estáticas explicitamente configuradas na instância do roteamento. Esta é a tabela VRF e está presente apenas em roteadores PE. Por exemplo, para uma instância de roteamento chamada VPN-A,a tabela de roteamento para essa instância é chamada de VPN-A.inet.0.
Quando um roteador CE anuncia a um roteador PE, o roteador PE coloca a rota na tabela de roteamento routing-instance-name .inet.0 correspondente e anuncia a rota para outros roteadores PE se ele passar por uma política de exportação VRF. Entre outras coisas, essa política identifica a rota com o diferencial de rota (alvo de rota) que corresponde ao site de VPN ao qual o CE pertence. Um rótulo também é alocado e distribuído com a rota. A tabela de roteamento bgp.l3vpn.0 não está envolvida nesse processo.
A routing-instance-name tabela .inet.0 também armazena rotas anunciadas por um roteador PE remoto que se igualam à política de importação de VRF para essa VPN. O roteador PE redistribuía essas rotas de sua tabela bgp.l3vpn.0.
As rotas não são redistribuídas da tabela routing-instance-name .inet.0 para a tabela bgp.l3vpn.0; elas são anunciadas diretamente para outros roteadores PE.
Para cada routing-instance-name tabela de roteamento .inet.0, uma tabela de encaminhamento é mantida no Mecanismo de Encaminhamento de Pacotes. Essa tabela é mantida, além das tabelas de encaminhamento que correspondem às tabelas de roteamento inet.0 e mpls.0 do roteador. Assim como com as tabelas de roteamento inet.0 e mpls.0, as melhores rotas da tabela de roteamento routing-instance-name .inet.0 são colocadas na tabela de encaminhamento.
Para exibir as rotas na tabela routing-instance-name .inet.0, use o comando show route table routing-instance-name .inet.0.
inet.3— Armazena todas as MPLS de rotas aprendidas com a sinalização de LDP e RSVP feitas para tráfego de VPN. A tabela de roteamento armazena MPLS rotas somente se a opção bgp-igp de engenharia de tráfego não estiver ativada.
Para que as rotas de VPN sejam solucionadas corretamente, a tabela inet.3 deve conter rotas para todos os roteadores PE na VPN.
Para exibir as rotas na tabela inet.3, use o comando show route table inet.3.
inet.0— Armazena rotas aprendidas pelas sessões de IBGP entre os roteadores PE. Para fornecer acesso à Internet aos sites de VPN, configure a tabela de roteamento routing-instance-name .inet.0 para conter uma rota padrão até a tabela de roteamento inet.0.
Para exibir as rotas na tabela inet.0, use o comando show route table inet.0.
As políticas de roteamento a seguir, definidas nas declarações de importação e exportação de VRF, são específicas para tabelas de VRF.
Política de importação — aplicada às rotas VPN-IPv4 aprendidas com outro roteador PE para determinar se a rota deve ser adicionada à tabela de roteamento bgp.l3vpn.0 do roteador PE. Cada instância de roteamento em um roteador PE tem uma política de importação de VRF.
Política de exportação — aplicada às rotas VPN-IPv4 anunciadas a outros roteadores PE. As rotas VPN-IPv4 são rotas IPv4 anunciadas por roteadores locais CE conectados.
O processamento de roteamento de VPN difere BGP o processamento de roteamento normal de uma só forma. Na BGP, as rotas são aceitas caso elas não sejam explicitamente recusadas pela política de importação. No entanto, como muitos mais rotas de VPN são esperadas, o Junos OS não aceita (e, portanto, armazena) rotas DE VPN, a menos que a rota seja igual a pelo menos uma política de importação de VRF. Se nenhuma política de importação de VRF aceitar explicitamente a rota, ela será descartada e nem mesmo armazenada na tabela bgp.l3vpn.0. Como resultado, se ocorrer uma mudança de VPN em um roteador PE, como adicionar uma nova tabela VRF ou alterar uma política de importação de VRF, o roteador PE envia uma mensagem de atualização de rota de BGP para outros roteadores PE (ou para o refletor de rota se isso faz parte da topologia da VPN) para recuperação de todas as rotas de VPN para que elas possam ser reavaliadas para determinar se elas devem ser mantidas ou descartadas.
Veja também
Entender a localização de VRF em VPNs de Camada 3
Em uma VPN de Camada 3, para separar rotas de uma VPN das rotas da Internet pública ou de outras VPNs, o roteador PE cria uma tabela de roteamento separada para cada VPN, chamada de tabela virtual de roteamento e encaminhamento (VRF). Cada VRF usa um diferencial de rota e uma meta de rota para diferenciar outras VPNs para que cada VRF conquiste uma VPN em uma rede pública. O roteador PE cria uma tabela VRF para cada VPN que tenha conexão com um CE roteador. Qualquer cliente ou site que pertence à VPN pode acessar apenas as rotas nas tabelas VRF para essa VPN.
Os roteadores PE em uma implantação de VPN de Camada 3 têm dois tipos de placas de linha que hospedam as seguintes interfaces:
CE de frente para a rede
Interfaces voltadas para núcleo
Um FPC pode ser voltado para CE núcleo.
Os VRFs estão presentes nessas placas de linha e, atualmente, no Junos OS, todas as rotas de todos os VRFs estão presentes em todas as placas de linha, juntamente com os próximos hops composto encadeados em todos os FPCs. Isso utiliza a memória de cada placa de linha. Como o tráfego das CE de interfaces voltadas para CE é apenas por meio dos FPCs CE correspondentes, todas as rotas e os próximos saltos não precisam estar presentes em todas as placas de linha. A localização de VRF fornece um mecanismo de localização de rotas de VRF para placas de linha específicas para ajudar a maximizar o número de rotas que um roteador pode tratar. CE de frente para interfaces localizam todas as rotas do tipo VRF de instância para uma placa de linha específica. Se CE são interfaces lógicas como AE, RLSQ ou IRB, um número de placa de linha precisa ser configurado para localização de rotas. As placas de linha voltadas para núcleo armazenam todas as rotas de VRF. Essas placas têm que ser configuradas como padrão voltado para o núcleo da VPN ou apenas voltados para o núcleo da VPN. As placas de linha voltadas para núcleo armazenam rotas de todos os VRFs, sendo elas dos seguintes tipos:
vpn-core-facing-default — O FPC voltado para o núcleo instala todas as rotas e os próximos saltos das rotas VRF.
somente voltado para vpn — o FPC voltado para núcleo instala todas as rotas e não armazena os próximos saltos das rotas VRF.
Os FPCs voltados para núcleo podem ser configurados como apenas para o núcleo voltado para o padrão ou voltados para o núcleo.
Maximização de rotas de VPN usando localização de VRF para VPNs de Camada 3
A localização de roteamento e encaminhamento virtual (VRF) fornece um mecanismo para localização de rotas de VRF até placas de linha específicas para ajudar a maximizar o número de rotas que um roteador pode tratar. CE de frente para interfaces localizam todas as rotas do tipo VRF de instância para uma placa de linha específica. Se as interfaces CE são interfaces lógicas como AE/RLSQ/IRB, a placa de linha precisa ser configurada para localização de rotas. As placas de linha voltadas para núcleo armazenam todas as rotas de VRF. Essas placas têm que ser configuradas como apenas para o núcleo da VPN ou para o padrão voltado para o núcleo da VPN. Para configurar a localização de VRF, configure a instrução em nível de hierarquia e localized-fib [edit routing-instances instance-name routing-options] configure a vpn-localization instrução em nível de [edit chassis fpc fpc-slot] hierarquia. O show route vpn-localization comando exibe as informações de localização de todos os VRFs do sistema.
Antes de começar a localizador a tabela VRF:
Configure as interfaces.
Configure os protocolos de roteamento e sinalização.
Para configurar a localização do VRF:
Exemplo: melhorar a escalabilidade usando a localização de VRF para VPNs de Camada 3
Este exemplo mostra como configurar a localização de VRF em roteadores da Série MX, o que permite que você melhore a escalabilidade de VPN em roteadores da Série MX.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Cinco 5G série MX Plataformas de roteamento universal
Junos OS Release 14.2 ou posterior em execução em todos os dispositivos
Antes de começar:
Configure as interfaces de dispositivo.
Configure o protocolo BGP de segurança.
Visão geral
A partir da Versão 14.2 do Junos OS, a localização VRF fornece um mecanismo de localização de rotas de VRF para placas de linha específicas, o que ajuda a maximizar o número de rotas que um roteador pode tratar. CE de frente para interfaces localizam todas as rotas do tipo VRF de instância para uma placa de linha específica. Se as interfaces CE são interfaces lógicas como AE, RLSQ ou IRB, a placa de linha precisa estar configurada para localização de rotas. As placas de linha voltadas para núcleo armazenam todas as rotas de VRF. Essas placas têm que ser configuradas como apenas para o núcleo da VPN ou para o padrão voltado para o núcleo da VPN. Para configurar a localização do VRF, configure a instrução de configuração no nível da hierarquia e localized-fib [edit routing-instances instance-name routing-options] vpn-localization configure-a em [edit chassis fpc fpc-slot] nível de hierarquia. O show route vpn-localization comando exibe as informações de localização de todos os VRFs do sistema.
Topologia
Na topologia mostrada na Figura 2,a localização do VRF está configurada no dispositivo PE1.
de VRF
Configuração
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit] commit configuração.
CE1
set interfaces ge-4/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-4/0/0 unit 0 family inet6 address abcd:a:a:a:1::2/126 set protocols bgp group vpn1 type external set protocols bgp group vpn1 export direct set protocols bgp group vpn1 peer-as 10 set protocols bgp group vpn1 neighbor 192.0.2.1 family inet unicast set protocols bgp group vpn1 neighbor abcd:a:a:a:1::1 family inet6 unicast set policy-options policy-statement direct from protocol direct set policy-options policy-statement direct then accept set policy-options policy-statement load-balancing-policy then load-balance per-packet set routing-options autonomous-system 100 set routing-options forwarding-table export load-balancing-policy
PE1
set chassis redundancy graceful-switchover set chassis aggregated-devices ethernet device-count 16 set chassis fpc 8 vpn-localization vpn-core-facing-only set chassis network-services enhanced-ip set interfaces ge-2/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-2/0/0 unit 0 family inet6 address abcd:a:a:a:1::1/126 set interfaces ge-8/1/0 gigether-options 802.3ad ae0 set interfaces ge-8/1/9 gigether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 192.0.2.3/24 set interfaces ae0 unit 0 family iso set interfaces ae0 unit 0 family mpls set interfaces lo0 unit 1 family inet address 10.255.19.254/24 set interfaces lo0 unit 1 family inet6 address abcd::10:0:1:1/128 set policy-options policy-statement direct from protocol direct set policy-options policy-statement direct then accept set policy-options policy-statement load-balancing-policy then load-balance per-packet set protocols rsvp interface ae0.0 set protocols mpls ipv6-tunneling set protocols mpls icmp-tunneling set protocols mpls label-switched-path pe1-pe2-p2mp-1 from 10.255.19.254 set protocols mpls label-switched-path pe1-pe2-p2mp-1 to 10.255.19.251 set protocols mpls label-switched-path pe1-pe2-p2mp-1 link-protection set protocols mpls label-switched-path pe1-pe2-p2mp-1 p2mp vpn1-p2mp set protocols mpls label-switched-path pe1-pe3-p2mp-1 from 10.255.19.254 set protocols mpls label-switched-path pe1-pe3-p2mp-1 to 10.255.19.203 set protocols mpls label-switched-path pe1-pe3-p2mp-1 link-protection set protocols mpls label-switched-path pe1-pe3-p2mp-1 p2mp vpn1-p2mp set protocols mpls interface ae0.0 set protocols bgp group mpbg type internal set protocols bgp group mpbg local-address 10.255.19.254 set protocols bgp group mpbg family inet unicast set protocols bgp group mpbg family inet-vpn unicast set protocols bgp group mpbg family inet6 unicast set protocols bgp group mpbg family inet6-vpn unicast set protocols bgp group mpbg family inet-mvpn signaling set protocols bgp group mpbg family inet6-mvpn signaling set protocols bgp group mpbg neighbor 10.255.19.253 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface ae0.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ldp interface ae0.0 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 interface ge-2/0/0.0 set routing-instances vpn1 interface lo0.1 set routing-instances vpn1 route-distinguisher 1:1 set routing-instances vpn1 provider-tunnel rsvp-te static-lsp vpn1-p2mp set routing-instances vpn1 vrf-target target:1:1 set routing-instances vpn1 vrf-table-label set routing-instances vpn1 routing-options multipath set routing-instances vpn1 routing-options localized-fib set routing-instances vpn1 protocols bgp group grp1 type external set routing-instances vpn1 protocols bgp group grp1 export direct set routing-instances vpn1 protocols bgp group grp1 peer-as 100 set routing-instances vpn1 protocols bgp group grp1 neighbor 192.0.2.2 family inet unicast set routing-instances vpn1 protocols bgp group grp1 neighbor abcd:a:a:a:1::2 family inet6 unicast set routing-instances vpn1 protocols mvpn set routing-options nonstop-routing set routing-options autonomous-system 10 set routing-options forwarding-table export load-balancing-policy set routing-options forwarding-table chained-composite-next-hop ingress l3vpn extended-space
P
set chassis aggregated-devices ethernet device-count 16 set interfaces ge-1/0/1 gigether-options 802.3ad ae0 set interfaces ge-1/0/3 gigether-options 802.3ad ae0 set interfaces ge-1/1/1 gigether-options 802.3ad ae1 set interfaces ae0 unit 0 family inet address 192.0.2.4/24 set interfaces ae0 unit 0 family iso set interfaces ae0 unit 0 family mpls set interfaces ae1 unit 0 family inet address 198.51.100.2/24 set interfaces ae1 unit 0 family iso set interfaces ae1 unit 0 family mpls set routing-options autonomous-system 10 set routing-options forwarding-table export load-balancing-policy set protocols rsvp interface ae0.0 set protocols rsvp interface ae1.0 set protocols mpls ipv6-tunneling set protocols mpls icmp-tunneling set protocols mpls interface ae0.0 set protocols mpls interface ae1.0 set protocols bgp group mpbg type internal set protocols bgp group mpbg local-address 10.255.19.253 set protocols bgp group mpbg family inet unicast set protocols bgp group mpbg family inet-vpn unicast set protocols bgp group mpbg family inet6 unicast set protocols bgp group mpbg family inet6-vpn unicast set protocols bgp group mpbg family inet-mvpn signaling set protocols bgp group mpbg family inet6-mvpn signaling set protocols bgp group mpbg cluster 10.255.19.253 set protocols bgp group mpbg neighbor 10.255.19.254 set protocols bgp group mpbg neighbor 10.255.19.251 set protocols bgp group mpbg neighbor 10.255.19.203 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ae0.0 set protocols ospf area 0.0.0.0 interface ae1.0 set protocols ldp interface ae0.0 set protocols ldp interface ae1.0 set policy-options policy-statement load-balancing-policy then load-balance per-packet
PE2
set chassis redundancy graceful-switchover set chassis aggregated-devices ethernet device-count 16 set interfaces ge-4/2/1 gigether-options 802.3ad ae1 set interfaces ge-4/2/5 unit 0 family inet address 198.51.100.3/24 set interfaces ge-4/2/5 unit 0 family inet6 address abcd:a:a:a:2::1/126 set interfaces ae1 unit 0 family inet address 198.51.100.1/24 set interfaces ae1 unit 0 family iso set interfaces ae1 unit 0 family mpls set interfaces lo0 unit 2 family inet address 10.255.19.251/24 set interfaces lo0 unit 2 family inet6 address abcd::203:0:113:2/128 set policy-options policy-statement direct from protocol direct set policy-options policy-statement direct then accept set policy-options policy-statement load-balancing-policy then load-balance per-packet set protocols rsvp interface ae1.0 set protocols mpls ipv6-tunneling set protocols mpls icmp-tunneling set protocols mpls label-switched-path pe2-pe1-p2mp-1 from 10.255.19.251 set protocols mpls label-switched-path pe2-pe1-p2mp-1 to 10.255.19.254 set protocols mpls label-switched-path pe2-pe1-p2mp-1 link-protection set protocols mpls label-switched-path pe2-pe1-p2mp-1 p2mp vpn1-p2mp set protocols mpls label-switched-path pe2-pe3-p2mp-1 from 10.255.19.251 set protocols mpls label-switched-path pe2-pe3-p2mp-1 to 10.255.19.203 set protocols mpls label-switched-path pe2-pe3-p2mp-1 link-protection set protocols mpls label-switched-path pe2-pe3-p2mp-1 p2mp vpn1-p2mp set protocols mpls interface ae1.0 set protocols bgp group mpbg type internal set protocols bgp group mpbg local-address 10.255.19.251 set protocols bgp group mpbg family inet unicast set protocols bgp group mpbg family inet-vpn unicast per-prefix-label set protocols bgp group mpbg family inet6 unicast set protocols bgp group mpbg family inet6-vpn unicast per-prefix-label set protocols bgp group mpbg family inet-mvpn signaling set protocols bgp group mpbg family inet6-mvpn signaling set protocols bgp group mpbg neighbor 10.255.19.253 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ae1.0 set protocols ldp interface ae1.0 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 interface ge-4/2/5.0 set routing-instances vpn1 route-distinguisher 1:1 set routing-instances vpn1 provider-tunnel rsvp-te static-lsp vpn1-p2mp set routing-instances vpn1 vrf-target target:1:1 set routing-instances vpn1 vrf-table-label set routing-instances vpn1 routing-options multipath set routing-instances vpn1 protocols bgp group grp1 type external set routing-instances vpn1 protocols bgp group grp1 export direct set routing-instances vpn1 protocols bgp group grp1 peer-as 200 set routing-instances vpn1 protocols bgp group grp1 neighbor 198.51.100.4 family inet unicast set routing-instances vpn1 protocols bgp group grp1 neighbor abcd:a:a:a:2::2 family inet6 unicast set routing-instances vpn1 protocols mvpn set routing-options nonstop-routing set routing-options autonomous-system 10 set routing-options forwarding-table export load-balancing-policy
CE2
set interfaces ge-0/0/5 unit 0 family inet address 198.51.100.4/24 set interfaces ge-0/0/5 unit 0 family inet6 address abcd:a:a:a:2::2/126 set protocols bgp group vpn1 type external set protocols bgp group vpn1 export direct set protocols bgp group vpn1 export vpn1 set protocols bgp group vpn1 peer-as 10 set protocols bgp group vpn1 neighbor 198.51.100.3 family inet unicast set protocols bgp group vpn1 neighbor abcd:a:a:a:2::1 family inet6 unicast set policy-options policy-statement direct from protocol direct set policy-options policy-statement direct then accept set policy-options policy-statement load-balancing-policy then load-balance per-packet set routing-options autonomous-system 200 set routing-options forwarding-table export load-balancing-policy
Configuração do dispositivo PE1
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração.
Para configurar o dispositivo PE1:
Especifique o número de interfaces Ethernet agregadas a serem criadas, configure os FPCs como apenas para vpn-core e ative serviços de rede IP aprimorados.
[edit chassis] user@PE1# set redundancy graceful-switchover user@PE1# set aggregated-devices ethernet device-count 16 user@PE1# set fpc 8 vpn-localization vpn-core-facing-only user@PE1# set network-services enhanced-ip
Configure as interfaces.
[edit interfaces] user@PE1# set ge-2/0/0 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-2/0/0 unit 0 family inet6 address abcd:a:a:a:1::1/126 user@PE1# set ge-8/1/0 gigether-options 802.3ad ae0 user@PE1# set ge-8/1/9 gigether-options 802.3ad ae0 user@PE1# set ae0 unit 0 family inet address 192.0.2.3/24 user@PE1# set ae0 unit 0 family iso user@PE1# set ae0 unit 0 family mpls user@PE1# set lo0 unit 1 family inet address 10.255.19.254/24 user@PE1# set lo0 unit 1 family inet6 address abcd::10:0:1:1/128
Configure opções de política para carregar o balanceamento dos pacotes.
[edit policy-options policy-statement] user@PE1# set direct from protocol direct user@PE1# set direct then accept user@PE1# set load-balancing-policy then load-balance per-packet
Configure o protocolo RSVP na interface.
[edit protocols rsvp] user@PE1# set interface ae0.0
Configure o protocolo MPLS de segurança.
[edit protocols mpls] user@PE1# set ipv6-tunneling user@PE1# set icmp-tunneling user@PE1# set label-switched-path pe1-pe2-p2mp-1 from 10.255.19.254 user@PE1# set label-switched-path pe1-pe2-p2mp-1 to 10.255.19.251 user@PE1# set label-switched-path pe1-pe2-p2mp-1 link-protection user@PE1# set label-switched-path pe1-pe2-p2mp-1 p2mp vpn1-p2mp user@PE1# set label-switched-path pe1-pe3-p2mp-1 from 10.255.19.254 user@PE1# set label-switched-path pe1-pe3-p2mp-1 to 10.255.19.203 user@PE1# set label-switched-path pe1-pe3-p2mp-1 link-protection user@PE1# set label-switched-path pe1-pe3-p2mp-1 p2mp vpn1-p2mp user@PE1# set interface ae0.0
Configure o BGP de segurança para o grupo mpbg.
[edit protocols bgp group mpbg] user@PE1# set type internal user@PE1# set local-address 10.255.19.254 user@PE1# set family inet unicast user@PE1# set family inet-vpn unicast user@PE1# set family inet6 unicast user@PE1# set family inet6-vpn unicast user@PE1# set family inet-mvpn signaling user@PE1# set family inet6-mvpn signaling user@PE1# set neighbor 10.255.19.253
Configure o protocolo OSPF de segurança.
[edit protocols ospf] user@PE1# set traffic-engineering user@PE1# set area 0.0.0.0 interface ae0.0 user@PE1# set area 0.0.0.0 interface lo0.0 passive
Configure o protocolo LDP na interface.
[edit protocols] user@PE1# set ldp interface ae0.0
Crie um tipo de instância e configure as instâncias de roteamento na interface.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set interface ge-2/0/0.0 user@PE1# set interface lo0.1
Configure o diferencial de rota e configure o LSP estático para o túnel de provedor RSVP-TE.
[edit routing-instances vpn1] user@PE1# set route-distinguisher 1:1 user@PE1# set provider-tunnel rsvp-te static-lsp vpn1-p2mp
Configure o alvo VRF e o rótulo de alvo VRF para a instância de roteamento.
[edit routing-instances vpn1] user@PE1# set vrf-target target:1:1 user@PE1# set vrf-table-label
Configure a opção de roteamento multicamada para uma instância de roteamento e configure a opção de roteamento fib localizada para a instância do roteamento.
[edit routing-instances vpn1 routing-options] user@PE1# set multipath user@PE1# set localized-fib
Configure o grupo de BGP protocolos para uma instância de roteamento.
[edit routing-instances vpn1 protocols bgp group grp1] user@PE1# set type external user@PE1# set export direct user@PE1# set peer-as 100 user@PE1# set neighbor 192.0.2.2 family inet unicast user@PE1# set neighbor abcd:a:a:a:1::2 family inet6 unicast
Configure os protocolos de MVPN.
[edit routing-instances vpn1] user@PE1# set protocols mvpn
Configure o roteamento ativo sem parar e o número do sistema autônomo para uma opção de roteamento.
[edit routing-options] user@PE1# set nonstop-routing user@PE1# set autonomous-system 10
Configure a política de balanceamento de carga para a tabela de encaminhamento e espaço estendido para o próximo hop composto encadeado para a L3VPN da tabela de encaminhamento.
[edit routing-options] user@PE1# set forwarding-table export load-balancing-policy user@PE1# set forwarding-table chained-composite-next-hop ingress l3vpn extended-space
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show chassis show interfaces comandos , show policy-options , show protocols show routing-instances show routing-options Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.
user@PE1# show chassis
redundancy {
graceful-switchover;
}
aggregated-devices {
ethernet {
device-count 16;
}
}
fpc 8 {
vpn-localization vpn-core-facing-only;
}
network-services enhanced-ip;
user@PE1# show interfaces
ge-2/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family inet6 {
address abcd:a:a:a:1::1/126;
}
}
}
ge-8/1/0 {
gigether-options {
802.3ad ae0;
}
}
ge-8/1/9 {
gigether-options {
802.3ad ae0;
}
}
ae0 {
unit 0 {
family inet {
address 192.0.2.3/24;
}
family iso;
family mpls;
}
}
lo0 {
unit 1 {
family inet {
address 10.255.19.254/24;
}
family inet6 {
address abcd::10:0:1:1/128;
}
}
}
user@PE1# show policy-options
policy-statement direct {
from protocol direct;
then accept;
}
policy-statement load-balancing-policy {
then {
load-balance per-packet;
}
}
user@PE1# show routing-options
nonstop-routing;
autonomous-system 10;
forwarding-table {
export load-balancing-policy;
chained-composite-next-hop {
ingress {
l3vpn extended-space;
}
}
}
user@PE1# show routing-instances
vpn1 {
instance-type vrf;
interface ge-2/0/0.0;
interface lo0.1;
route-distinguisher 1:1;
provider-tunnel {
rsvp-te {
static-lsp vpn1-p2mp;
}
}
vrf-target target:1:1;
vrf-table-label;
routing-options {
multipath;
localized-fib;
}
protocols {
bgp {
group grp1 {
type external;
export direct;
peer-as 100;
neighbor 192.0.2.2 {
family inet {
unicast;
}
}
neighbor abcd:a:a:a:1::2 {
family inet6 {
unicast;
}
}
}
}
mvpn;
}
}
user@PE1# show protocols
rsvp {
interface ae0.0;
}
mpls {
ipv6-tunneling;
icmp-tunneling;
label-switched-path pe1-pe2-p2mp-1 {
from 10.255.19.254;
to 10.255.19.251;
link-protection;
p2mp vpn1-p2mp;
}
label-switched-path pe1-pe3-p2mp-1 {
from 10.255.19.254;
to 10.255.19.203;
link-protection;
p2mp vpn1-p2mp;
}
interface ae0.0;
}
bgp {
group mpbg {
type internal;
local-address 10.255.19.254;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
family inet6 {
unicast;
}
family inet6-vpn {
unicast;
}
family inet-mvpn {
signaling;
}
family inet6-mvpn {
signaling;
}
neighbor 10.255.19.253;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface ae0.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ae0.0;
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Verificação da localização de VRF
Propósito
Verificar a localização do VRF em uma VPN de Camada 3.
Ação
Do modo operacional, execute o show route vpn-localization comando do Dispositivo PE1.
user@PE1> show route vpn-localization
Routing table: vpn1.inet, Localized
Index: 7, Address Family: inet, Localization status: Complete
Local FPC's: 2 8
Routing table: vpn1.inet6, Localized
Index: 7, Address Family: inet6, Localization status: Complete
Local FPC's: 2 8
Routing table: vpn2.inet, Non-localized
Index: 8, Address Family: inet, Localization status: Complete
Local FPC's: All
Routing table: vpn2.inet6, Non-localized
Index: 8, Address Family: inet6, Localization status: Complete
Local FPC's: All
Significado
A saída mostra as informações de localização de todos os VRFs.
Verificação da localização de VRF para uma VPN
Propósito
Verificar a localização de VRF para uma VPN.
Ação
Do modo operacional, execute o show route vpn-localization vpn-name vpn-name comando.
user@PE1> show route vpn-localization vpn-name vpn1
Routing table: vpn1.inet, Localized
Index: 7, Address Family: inet, Localization status: Complete
Local FPC's: 2 8
Routing table: vpn1.inet6, Localized
Index: 7, Address Family: inet6, Localization status: Complete
Local FPC's: 2 8
Significado
A saída mostra a localização de VPN de uma VPN.
Filtragem de pacotes em VPNs de Camada 3 com base em headers IP
Incluindo a declaração na configuração para uma instância de roteamento torna possível mapear o rótulo interno para uma tabela de roteamento VRF específica; esse mapeamento permite o exame do header IP encapsulado em um roteador de VPN de vrf-table-label saída. É melhor habilitar essa funcionalidade para que você possa fazer as seguintes coisas:
Encaminhe tráfego em uma interface pe-roteador para CE dispositivo, em um meio compartilhado, onde o dispositivo CE é um switch de Camada 2 sem recursos de IP (por exemplo, um switch metro Ethernet).
A primeira olhada é feita no rótulo VPN para determinar a qual tabela VRF se refere, e a segunda olhada é feita no header IP para determinar como encaminha pacotes para os hosts final corretos no meio compartilhado.
Realize filtragem de saída no roteador PE de saída.
A primeira olhada no rótulo de VPN é feita para determinar a tabela de roteamento VRF a que se refere, e a segunda olhada é feita no header IP para determinar como filtrar e encaminhamento de pacotes. Você pode habilitar essa funcionalidade configurando filtros de saída nas interfaces VRF.
Quando você inclui a instrução na configuração de uma tabela de roteamento VRF, um rótulo de interface lógica (LSI) é criado e mapeado para a tabela de roteamento
vrf-table-labelVRF. Quaisquer rotas em uma tabela de roteamento VRF são anunciadas com o rótulo de interface lógica LSI alocado para a tabela de roteamento VRF. Quando os pacotes desta VPN chegam em uma interface voltada para núcleo, eles são tratados como se o pacote de IP fechado tivesse chegado à interface LSI e depois encaminhados e filtrados com base na tabela correta.
Para filtrar o tráfego com base no header IP, inclua a vrf-table-label declaração:
vrf-table-label { source-class-usage; }
Você pode incluir a declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Você pode incluir a vrf-table-label instrução para VPNs IPv4 e IPv6 Layer 3. Se você incluir a declaração de uma tabela de roteamento VRF de pilha dupla (na qual as rotas IPv4 e IPv6 são aceitas), a instrução se aplica às rotas IPv4 e IPv6, e o mesmo rótulo é anunciado para ambos os conjuntos de rotas.
Você também pode configurar a contabilidade de SCU para VPNs de Camada 3 configuradas com a vrf-table-label instrução, incluindo também a source-class-usage opção. Inclua a source-class-usage declaração no nível da [edit routing-instances routing-instance-name vrf-table-label] hierarquia. A source-class-usage instrução nesse nível de hierarquia é suportada apenas para o tipo vrf de instância (VPNs de Camada 3). A DCU não tem suporte para a vrf-table-label declaração. Para obter mais informações, consulte Como ativar a classe de origem e o uso da classe de destino.
As seções a seguir fornecem mais informações sobre filtragem de tráfego com base no header IP:
- Opções de filtragem de saída
- Suporte em interfaces agregadas e VLAN para filtragem baseada em IP
- Suporte em interfaces de ATM e Frame Relay para filtragem baseada em IP
- Suporte em interfaces Ethernet, SONET/SDH e T1/T3/E3 para filtragem baseada em IP
- Suporte em SONET/SDH e interfaces de envasamento inteligente canalizadas de DS3/E3 para filtragem baseada em IP
- Suporte em interfaces multilinks de relê de quadro de PPP e multilink para filtragem baseada em IP
- Suporte para filtragem baseada em IP de pacotes com rótulos top null
- Limitações gerais da filtragem baseada em IP
Opções de filtragem de saída
Você pode habilitar a filtragem de saída (que permite roteadores VPN PE de Camada 3 de saída realizarem umas olhadas no rótulo de VPN e no header de IP ao mesmo tempo) incluindo a declaração em nível de vrf-table-label [edit routing-instances instance-name] hierarquia. Não há restrição sobre incluir essa instrução para CE interfaces roteador-roteador para PE, mas existem várias limitações em outros tipos de interface, como descrito nas seções seguintes neste tópico.
Você também pode habilitar a filtragem de saída configurando uma interface de túnel VPN (VT) em plataformas de roteamento equipadas com uma Placa de Interface Física (PIC) dos serviços de túnel. Ao habilitar a filtragem de saída dessa forma, não há restrição ao tipo de interface voltada para núcleo usada. Também não há restrição ao tipo de interface CE roteador-para-PE usada.
Suporte em interfaces agregadas e VLAN para filtragem baseada em IP
O suporte para vrf-table-label a declaração em interfaces agregadas e VLAN está disponível nos roteadores resumidos na Tabela 1.
Interfaces |
Série M roteador sem um FPC aprimorado |
Série M roteador com um FPC aprimorado |
roteador M320 |
roteador Série T |
|---|---|---|---|---|
Agregados |
Não |
Sim |
Sim |
Sim |
VLAN |
Não |
Sim |
Sim |
Sim |
A declaração não é suportada para vrf-table-label interfaces físicas de Gigabit Ethernet, 10 Gigabits e VLAN em M120 roteadores.
Suporte em interfaces de ATM e Frame Relay para filtragem baseada em IP
O suporte para vrf-table-label a instrução sobre as interfaces Assíncrona de Transferência (ATM) e Frame Relay está disponível nos roteadores resumidos na Tabela 2.
Interfaces |
Série M roteador sem um FPC aprimorado |
Série M roteador com um FPC aprimorado |
roteador M320 |
roteador Série T |
|---|---|---|---|---|
ATM1 |
Não |
Não |
Não |
Não |
IQ (Intelligent Enuing, Enqueing inteligente) ATM2 |
Não |
Sim |
Sim |
Sim |
Relé de quadro |
Não |
Sim |
Sim |
Sim |
Canalizada |
Não |
Não |
Não |
Não |
Quando incluir a declaração, saiba as seguintes limitações com vrf-table-label interfaces ATM ou Frame Relay:
A
vrf-table-labeldeclaração é suportada em interfaces ATM, mas com as seguintes limitações:As interfaces ATM podem ser configuradas no roteador M320 e nos roteadores Série T e em Série M roteadores com um FPC aprimorado.
A interface só pode ser uma interface do roteador PE que recebe tráfego de um roteador P.
O roteador precisa ter um PIC atm2 IQ.
A
vrf-table-labeldeclaração também é suportada em interfaces encapsuladas do Frame Relay, mas com as seguintes limitações:As interfaces do Frame Relay podem ser configuradas no roteador M320 e nos roteadores Série T de Série M com um FPC aprimorado.
A interface só pode ser uma interface do roteador PE que recebe tráfego de um roteador P.
Suporte em interfaces Ethernet, SONET/SDH e T1/T3/E3 para filtragem baseada em IP
O suporte às interfaces de Instrução sobre vrf-table-label Ethernet, SONET/SDH e T1/T3/E3 está disponível nos roteadores resumidos na Tabela 3.
Interfaces |
Série M roteador sem um FPC aprimorado |
Série M roteador com um FPC aprimorado |
roteador M320 |
roteador Série T |
|---|---|---|---|---|
Ethernet |
Sim |
Sim |
Sim |
Sim |
SONET/SDH |
Sim |
Sim |
Sim |
Sim |
T1/T3/E3 |
Sim |
Sim |
Sim |
Sim |
Somente os seguintes PICs Ethernet darão suporte vrf-table-label à instrução em Série M roteadores sem um FPC aprimorado:
Ethernet gigabit de 1 porta
Ethernet gigabit de 2 portas
Fast Ethernet de 4 portas
Suporte em SONET/SDH e interfaces de envasamento inteligente canalizadas de DS3/E3 para filtragem baseada em IP
O suporte para a instrução para as interfaces IQE canalizadas especificadas só está disponível em roteadores M120 e M320 com FPCs Aprimorados III, como resumido na Tabela vrf-table-label 4.
Interfaces |
M120 roteadores com FPCs Aprimorados III |
M320 roteadores com FPCs Aprimorados III |
|---|---|---|
OC12 |
Sim |
Sim |
STM4 |
Sim |
Sim |
OC3 |
Sim |
Sim |
STM1 |
Sim |
Sim |
DS3 |
Sim |
Sim |
E3 |
Sim |
Sim |
São suportados os seguintes PICs IQE Type-1:
OC12/STM4 IQE de 1 porta com SFP
OC3/STM1 IQE de 4 portas com SFP
IQE DS3/E3 de 4 portas com BNC
OC3/STM1 IQE canalizado de 2 portas com SFP, sem partições SONET
OC12/STM4 IQE canalizado de 1 porta com SFP, sem partições SONET
As restrições a seguir são aplicáveis com relação a uma configuração de roteador que utiliza sistemas lógicos:
Restrições às interfaces multiporto IQE PIC — Em PICs multiporto, como OC3/STM1 IQE canalizado de 2 portas com SFP, se a interface de porta 1 estiver configurada como um sistema lógico com sua própria instância de roteamento e a interface de porta 2 estiver configurada como um sistema lógico diferente com suas próprias instâncias de roteamento, de maneira que haja interfaces lógicas voltadas para o núcleo, tanto na porta 1 como na porta 2, não é possível configurar a
vrf-table-labelinstrução na instância de roteamento em ambos os sistemas lógicos. Apenas um conjunto de rótulos de LSI é suportado; a última instância de roteamentovrf-table-labelcom a declaração configurada está comprometida.Encapsulamento do Frame Relay e interfaces lógicas em restrições de sistemas lógicos — semelhante ao PIC multiporto com sistemas lógicos, se você tentar configurar uma interface lógica de um IQE PIC com encapsulamento Frame Relay em um sistema lógico e configurar outra interface lógica no mesmo IQE PIC no segundo sistema lógico, a configuração não funcionará para todas as
vrf-table-labelinstâncias configuradas da declaração. Ele só funcionará para as instâncias configuradas em um dos sistemas lógicos.
Ambas as restrições acima ocorrem porque a configuração do roteador mantém uma árvore LSI no Mecanismo de Encaminhamento de Pacotes por sistema lógico, o que é comum em todos os streams. A análise da tabela do canal de stream é ajustada para apontar para a árvore LSI. No caso de PICs multiporto tipo 1 IQE, todas as interfaces físicas compartilham o mesmo fluxo. Portanto, as interfaces lógicas (multiporto ou não) obviamente compartilham o mesmo fluxo. Conseqüentemente, a vinculação LSI está no nível do stream. Assim, o provisionamento de interfaces lógicas no mesmo fluxo provisionado para ter suporte a um conjunto diferente de instâncias de roteamento com a instrução não vrf-table-label é suportado.
Suporte em interfaces multilinks de relê de quadro de PPP e multilink para filtragem baseada em IP
O suporte para a instrução sobre as vrf-table-label interfaces Multilink Point-to-Point Protocol (MLPPP) e Multilink Frame Relay (MLFR) está disponível nos roteadores resumidos na Tabela 5.
Interfaces |
Série M roteador sem um FPC aprimorado |
Série M roteador com um FPC aprimorado |
M320 |
roteador Série T |
Roteador da Série MX |
|---|---|---|---|---|---|
MLPPP |
Não |
Sim |
Não |
Não |
Não |
MLFR de ponta a ponta (FRF.15) |
Não |
Sim |
Não |
Não |
Não |
UNI/NNI MLFR (FRF.16) |
Não |
Não |
Não |
Não |
Não |
Série M roteadores precisam ter um AS PIC para dar suporte à vrf-table-label instrução nas interfaces MLPPP e MLFR. A vrf-table-label instrução sobre interfaces MLPPP não é suportada em M120 roteadores.
Suporte para filtragem baseada em IP de pacotes com rótulos top null
Você pode incluir a instrução na configuração para interfaces voltadas para núcleo que MPLS pacotes com um rótulo top null, que pode ser transmitida por vrf-table-label equipamentos de alguns fornecedores. Esses pacotes só podem ser recebidos no roteador M320, no roteador M10i e Série T roteadores núcleos usando um dos seguintes PICs:
Ethernet gigabit de 1 porta com SFP
Ethernet gigabit de 2 portas com SFP
Ethernet gigabit de 4 portas com SFP
Ethernet gigabit de 10 portas com SFP
SONET STM4 de 1 porta
SONET STM4 de 4 portas
SONET STM16 de 1 porta
SONET STM16 de 1 porta (sem SFP)
SONET STM16 de 4 portas
SONET STM64 de 1 porta
Os piCs a seguir podem receber pacotes com rótulos top null, mas somente quando instalados em um roteador M120 ou em um roteador M320 com um FPC Aprimorado III:
Ethernet de 1 porta de 10 Gigabits
IQ2 Ethernet de 1 porta e 10 Gigabits
Limitações gerais da filtragem baseada em IP
As seguintes limitações se aplicam quando você inclui a vrf-table-label declaração:
Os filtros de firewall não podem ser aplicados a interfaces incluídas em uma instância de roteamento na qual você configurou a
vrf-table-labeldeclaração.O valor time-to-live (TTL) no MPLS não é copiado de volta para o header IP dos pacotes enviados do roteador PE para o roteador CE de dados.
Você não pode incluir a instrução em uma configuração de instância de roteamento que também inclui uma interface de túnel
vrf-table-labelde loopback virtual; neste caso, a operação de confirmação falha.Quando você inclui a instrução, MPLS pacotes com rótulos de interface comutado por rótulos (LSI) que chegam às interfaces voltadas para núcleo não são contabilizados no nível da interface lógica se a interface voltada para núcleo for uma das seguintes:
ATM
Relé de quadro
Ethernet configurada com VLANs
Ethernet agregada configurada com VLANs
Para mecanismos de encaminhamento de pacotes baseados em LMNR, Stoli e I-Chip, você não pode incluir a instrução na configuração de uma instância de roteamento VRF se a interface pe-roteador-roteador-para-P for uma das seguintes interfaces:
Nota:A declaração é suportada quando a interface do roteador PE-roteador para P é uma interface de túnel em uma rede Mecanismo de Encaminhamento de Pacotes Junos Trio, portanto, nenhuma
vrf-table-labellimitação se aplica.Interface SONET/SDH agregada
Interface canalizada
Interface de túnel (por exemplo, encapsulamento de roteamento genérico [GRE] ou segurança ip [IPsec])
Circuito cruzado (CCC) ou interface encapsulada de conexão cruzada translacional (TCC)
Interface de túnel lógico
Interface encapsulada de serviço de LAN privada virtual (VPLS)
Nota:Todas as CE roteador para PE-roteador e interfaces pe-roteador para CE roteador são suportadas.
Não é possível incluir a instrução na configuração de uma instância de roteamento VRF se o PIC do
vrf-table-labelroteador PE-para-P for um dos seguintes PICs:E1 de 10 portas
Fast Ethernet de 8 portas
Fast Ethernet de 12 portas
Fast Ethernet de 48 portas
ATM PIC diferente do QI do ATM2
Estatísticas de tráfego de interface com rótulo (LSI) não são aceitas para IQ2 (Intelligent Queuing 2), IQD aprimorado (IQE) e PICs Aprimorados de IQ2 (IQ2E) em roteadores Série M inteligentes.
Veja também
Configurando uma política de alocação e substituição de rótulos para VPNs
Você pode controlar anúncios de rótulos nos MPLS de entrada e roteadores de borda AS (ASBRs). Rótulos podem ser atribuídos por-next-hop (por padrão) ou por tabela (configurando a instrução vrf-table-label). Essa escolha afeta todas as rotas de uma determinada instância de roteamento. Você também pode configurar uma política para gerar rótulos por rota especificando uma política de alocação de rótulos.
Para especificar uma política de alocação de rótulos para a instância de roteamento, configure a declaração e especifique uma política de alocação label de rótulos usando a opção de alocação:
label { allocation label-allocation-policy; }
Esta instrução pode ser configurada nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
O [edit logical-systems] nível da hierarquia não é aplicável nos roteadores da série ACX.
Para configurar a política de alocação de rótulos, inclua label-allocation a declaração em nível de [edit policy-options policy-statement policy-statement-name term term-name then] hierarquia. Você pode configurar o modo de alocação de rótulos como por nexthop ou por tabela.
Para uma opção de VPN B ASBR, os rótulos para rotas de trânsito são substitutos por um rótulo de túnel virtual local ou rótulo de rótulo de tabela de vrf. Quando uma tabela VRF está configurada no ASBR (esse tipo de configuração é pouco comum para o modelo de opção B), o ASBR não gera MPLS de swap ou swap e significa "push" para rotas de trânsito. Em vez disso, o ASBR re-anuncia um rótulo local de rótulo de túnel virtual ou de tabela vrf e encaminha esse tráfego de trânsito com base em tabelas de encaminhamento ip. A substituição de rótulos ajuda a preservar rótulos em Juniper Networks roteadores.
Entretanto, esse tipo de substituição de rótulos rompe o caminho de MPLS de encaminhamento, que fica visível ao usar um comando MPLS OAM, como o LSP ping. Você pode configurar a maneira como os rótulos são substituídos por rota especificando uma política de substituição de rótulos.
Para especificar uma política de substituição de rótulos para a instância de roteamento, configure a declaração e especifique uma política de substituição de label rótulos usando a opção de substituição:
label { substitution label-substitution-policy; }
Esta instrução pode ser configurada nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
O [edit logical-systems] nível da hierarquia não é aplicável nos roteadores da série ACX.
A política de substituição de rótulos é usada para determinar se um rótulo deve ou não ser substituído em um roteador ASBR. Os resultados da operação de política são aceitos (a substituição do rótulo é realizada) ou recusam (a substituição de rótulos não é realizada). O comportamento padrão é aceito. O exemplo de comando do conjunto a seguir ilustra como você pode configurar uma política de substituição de rótulos de recusa: set policy-options policy-statement no-label-substitution term default then reject .