레이어 3 VPN을 레이어 2 VPN에 연결
레이어 2 VPN과 레이어 3 VPN 상호 연결 개요
MPLS 기반 레이어 2 서비스에 대한 수요가 증가함에 따라 서비스 프로바이더가 레이어 2 및 레이어 3 서비스와 상호 운용하고 고객에게 고부가가치 서비스를 제공할 수 있어야 하는 새로운 과제가 발생합니다. Junos OS 서비스 프로바이더의 요구를 해결하는 다양한 기능을 갖추고 있습니다. 이러한 기능 중 하나는 논리적 터널 인터페이스 사용입니다. 이 Junos OS 기능은 터널 PIC를 사용하여 패킷 전달 엔진 패킷을 앞뒤로 루프하여 레이어 2 네트워크를 레이어 3 네트워크와 연결합니다. 솔루션은 터널 PIC에 의해 부과된 논리적 터널 대역폭 제약에 의해 제한됩니다.
레이어 2 VPN과 레이어 3 VPN 애플리케이션 상호 연결
레이어 2 VPN을 레이어 3 VPN과 상호 연결하는 것은 다음과 같은 이점을 제공합니다.
여러 서비스를 제공하는 단일 액세스 라인 - 레이어 2 서킷을 통한 기존 VPN은 IP 및 VPN 서비스를 위한 별도의 네트워크의 프로비저닝 및 유지 보수가 필요합니다. 이와 반대로 레이어 2 VPN은 IP 및 레이어 2 VPN 서비스 간에 프로바이더의 코어 네트워크 인프라를 공유함으로써 이러한 서비스 제공 비용을 절감할 수 있습니다.
유연성 - 서비스 프로바이더가 다양한 유형의 네트워크를 수용할 수 있습니다. VPN의 모든 사이트가 동일한 엔터프라이즈에서 소유되는 경우 인트라넷입니다. 다양한 사이트가 서로 다른 기업이 소유한 경우 VPN은 엑스트라넷입니다. 사이트는 하나 이상의 VPN에 위치할 수 있습니다.
광범위한 가능한 정책 - VPN의 모든 사이트에 다른 경로를 다른 모든 사이트로 제공하거나, 세 번째 사이트를 통해 라우팅된 특정 사이트 쌍 간의 트래픽을 강제 적용하여 특정 트래픽을 방화벽을 통해 전달하도록 할 수 있습니다.
확장 가능한 네트워크- 이 설계는 서비스 프로바이더의 모든 VPN 경로를 유지하기 위해 프로바이더 에지(PE) 라우터가 필요하지 않아 확장성을 향상합니다. 각 PE 라우터는 직접 연결된 각 사이트에 대해 VRF 테이블을 유지합니다. 각 고객 연결(예: 프레임 릴레이 PVC, ATM PVC 또는 VLAN)은 특정 VRF 테이블에 매핑됩니다. 따라서 VRF 테이블과 연결된 사이트가 아니라 PE 라우터의 포트입니다. PE 라우터의 여러 포트는 단일 VRF 테이블과 연결될 수 있습니다. PE 라우터는 라우팅 정보의 VPN별 분리를 지원하는 여러 포워딩 테이블을 유지할 수 있습니다.
경로 리플렉터 사용 — 프로바이더 에지 라우터는 IBGP 세션의 풀 메시에 대한 대안으로 리플렉터를 라우팅하기 위해 IBGP 세션을 유지할 수 있습니다. 여러 경로 리플렉터를 구축하면 RFC 2547bis 모델의 확장성이 향상됩니다. 이는 모든 VPN 경로를 유지하기 위해 단일 네트워크 구성 요소가 필요 없기 때문입니다.
여러 VPN은 서로 분리된 상태로 유지됩니다. 고객 에지 라우터는 서로 피어되지 않습니다. 두 사이트에는 공통 백본을 통해서만 IP 연결이 있으며 두 사이트를 모두 포함하는 VPN이 있는 경우에만 해당됩니다. 이 기능은 두 개의 VPN에 중복 주소 공간이 있더라도 VPN을 분리하고 서로 구별합니다.
고객이 간편하게 사용할 수 있도록 지원 - 고객은 서비스 프로바이더로부터 IP 백본 서비스를 받을 수 있으며, 자체 백본을 유지할 필요가 없습니다.
예: 레이어 2 VPN과 레이어 3 VPN 상호 연결
이 예는 레이어 2 VPN과 레이어 3 VPN을 상호 연결하고 확인하기 위한 단계별 절차와 명령을 제공합니다. 여기에는 다음 섹션이 포함되어 있습니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
Junos OS 릴리스 9.3 이상
MX 시리즈 라우터 5개
M Series 라우터 3개
T 시리즈 라우터 2개
개요 및 토폴로지
레이어 2 VPN은 MPLS 레이블을 사용하여 데이터를 전송하는 가상 사설망(VPN)의 한 유형입니다. 통신은 프로바이더 에지(PE) 라우터 간에 발생합니다.
레이어 2 VPN은 신호 프로토콜로 BGP를 사용하며, 결과적으로 더 단순한 설계를 갖출 수 있으며 레이어 2 서킷에서 기존 VPN보다 더 적은 프로비저닝 오버헤드를 요구합니다. BGP 신호 전송은 또한 레이어 2 VPN 피어의 자동 검색을 지원합니다. 레이어 2 VPN은 풀 메시 또는 허브 앤 스포크 토폴로지 중 하나를 가질 수 있습니다. 코어 네트워크의 터널링 메커니즘은 일반적으로 MPLS. 그러나 레이어 2 VPN은 GRE와 같은 다른 터널링 프로토콜도 사용할 수 있습니다.
레이어 3 VPN은 RFC 2547bis, BGP/MPLS IP VPN을 기반으로 합니다. RFC 2547bis는 서비스 프로바이더가 IP 백본을 사용하여 고객에게 VPN 서비스를 제공할 수 있는 메커니즘을 정의합니다. 레이어 3 VPN은 공통 라우팅 정보를 공유하고 정책 모음에 의해 연결이 제어되는 사이트 집합입니다. 레이어 3 VPN을 구성하는 사이트는 프로바이더의 기존 공용 인터넷 백본을 통해 연결되어 있습니다. RFC 2547bis VPN은 BGP/MPLS VPN이라고도 합니다. BGP는 프로바이더의 백본 전반에 VPN 라우팅 정보를 배포하는 데 사용되며, MPLS 백본을 통해 원격 VPN 사이트로 VPN 트래픽을 전달하는 데 사용됩니다.
고객 네트워크는 프라이빗이기 때문에 RFC 1918, 프라이빗 인터넷에 대한 주소 할당에 정의된 대로 공용 주소 또는 프라이빗 주소를 사용할 수 있습니다. 프라이빗 주소를 사용하는 고객 네트워크가 공용 인터넷 인프라에 연결할 때 프라이빗 주소는 다른 네트워크 사용자가 사용하는 것과 동일한 프라이빗 주소와 겹칠 수 있습니다. MPLS/BGP VPN은 경로 구분자를 추가하여 이 문제를 해결합니다. 경로 식별자는 특정 VPN 사이트의 각 주소에 추가되는 VPN 식별자 접두사로, VPN 내부와 인터넷 내에서 모두 고유한 주소를 생성합니다.
또한 각 VPN에는 해당 VPN에 대한 라우팅 정보만 포함하는 고유한 VPN 특정 라우팅 테이블 있습니다. VPN의 경로를 공용 인터넷의 경로 또는 다른 VPN의 경로와 분리하기 위해 PE 라우터는 VPN 라우팅 및 포워딩(VRF) 테이블이라는 각 VPN에 대해 별도의 라우팅 테이블 생성합니다. PE 라우터는 고객 에지(CE) 라우터와 연결되는 각 VPN에 대해 하나의 VRF 테이블을 만듭니다. VPN에 속하는 모든 고객 또는 사이트는 해당 VPN의 VRF 테이블 경로에만 액세스할 수 있습니다. 모든 VRF 테이블에는 라우터의 특정 컬렉션에 속하는 경로를 식별하는 하나 이상의 확장된 community 속성이 있습니다. 이들 중 하나인 경로 대상 속성은 PE 라우터가 경로를 배포하는 사이트 모음(VRF 테이블)을 식별합니다. PE 라우터는 경로 대상을 사용하여 원격 경로 가져오기를 VRF 테이블로 제한합니다.
수신 PE 라우터가 직접 연결된 CE 라우터로부터 보급된 경로를 수신하면 수신된 경로를 해당 VPN에 대한 VRF 내보내기 정책에 대해 확인합니다.
일치하는 경우 경로가 VPN-IPv4 형식으로 변환됩니다. 즉, 경로 구분자가 경로에 추가됩니다. 그런 다음 PE 라우터는 원격 PE 라우터에 VPN-IPv4 형식으로 경로를 발표합니다. 또한 직접 연결된 사이트에서 학습한 각 경로에 경로 대상을 연결합니다. 경로에 연결된 경로 대상은 VRF 테이블이 구성된 내보내기 대상 정책의 값을 기반으로 합니다. 그런 다음 경로는 공급자의 코어 네트워크에서 구성된 IBGP 세션을 사용하여 배포됩니다.
CE 라우터의 경로가 일치하지 않으면 다른 PE 라우터로 내보내지지 않지만, 동일한 VPN의 두 CE 라우터가 동일한 PE 라우터에 직접 연결된 경우 라우팅을 위해 로컬로 계속 사용될 수 있습니다.
송신 PE 라우터가 경로를 수신하면 PE 라우터 간의 IBGP 세션의 가져오기 정책에 대해 이를 확인합니다. 수락되면 라우터는 경로를 bgp.l3vpn.0 테이블에 배치합니다. 동시에 라우터는 VPN에 대한 VRF 가져오기 정책과 경로를 확인합니다. 일치하는 경우 경로 구분자가 경로에서 제거되고 경로가 IPv4 형식의 VRF 테이블( routing-instance-name.inet.0 테이블)에 배치됩니다.
토폴로지
그림 1 은 레이어 2 VPN-레이어 3 VPN 상호 연결의 물리적 토폴로지 를 보여줍니다.
의 물리적 토폴로지
레이어 2 VPN-레이어 3 VPN 상호 연결의 논리적 토폴로지는 그림 2에 표시됩니다.
의 논리적 토폴로지
다음 정의는 그림 1 과 그림 2에 사용되는 디바이스 약어의 의미를 설명합니다.
고객 에지(CE) 디바이스 - 하나 이상의 프로바이더 에지(PE) 라우터에 대한 데이터 링크를 통해 서비스 프로바이더의 VPN에 대한 액세스를 제공하는 고객 댁내 디바이스입니다.
일반적으로 CE 디바이스는 직접 연결된 PE 라우터와 인접성을 설정하는 IP 라우터입니다. 인접성이 설정된 후 CE 라우터는 사이트의 로컬 VPN 경로를 PE 라우터에 보급하고 PE 라우터에서 원격 VPN 경로를 학습합니다.
프로바이더 에지(PE) 디바이스 - 공급자 네트워크 에지의 디바이스 또는 디바이스 집합으로 고객 사이트에 대한 공급자의 관점을 제시합니다.
PE 라우터는 CE 라우터와 라우팅 정보를 교환합니다. PE 라우터는 이를 통해 연결하는 VPN을 인식하고 PE 라우터는 VPN 상태를 유지합니다. PE 라우터는 직접 연결된 VPN의 VPN 경로를 유지하기 위해서만 필요합니다. CE 라우터에서 로컬 VPN 경로를 학습한 후 PE 라우터는 IBGP를 사용하여 다른 PE 라우터와 VPN 라우팅 정보를 교환합니다. 마지막으로, MPLS 사용하여 프로바이더의 백본을 가로질러 VPN 데이터 트래픽을 전달할 때 수신 PE 라우터는 수신 레이블 스위칭 라우터(LSR)로 기능하고 송신 PE 라우터는 송신 LSR로 기능합니다.
프로바이더(P) 디바이스 - 프로바이더의 코어 네트워크 내부에서 작동하며 CE에 직접 인터페이스하지 않는 디바이스입니다.
P 디바이스는 서비스 프로바이더 고객을 위한 VPN 구현의 핵심 부분이며 서로 다른 VPN에 속하는 많은 프로바이더 운영 터널에 대한 라우팅을 제공할 수 있지만, 그 자체는 VPN 인식이 아니며 VPN 상태를 유지하지 않습니다. 주된 역할은 서비스 프로바이더가 여러 PE 라우터의 어그리게이션 포인트 역할을 하여 VPN 제품을 확장할 수 있도록 하는 것입니다.
P 라우터는 PE 라우터 간에 VPN 데이터 트래픽을 포워딩할 때 MPLS 전송 LSR의 기능을 합니다. P 라우터는 프로바이더의 PE 라우터에 대한 경로를 유지하는 데만 필요합니다. 각 고객 사이트에 대한 특정 VPN 라우팅 정보를 유지할 필요는 없습니다.
구성
레이어 2 VPN을 레이어 3 VPN과 상호 연결하려면 다음 작업을 수행합니다.
기본 프로토콜 및 인터페이스 구성
단계별 절차
각 PE 및 P 라우터에서 모든 인터페이스에서 트래픽 엔지니어링 확장으로 OSPF를 구성합니다. fxp0.0 인터페이스에서 OSPF를 비활성화합니다.
[edit protocols] ospf { traffic-engineering; area 0.0.0.0 { interface all; interface fxp0.0 { disable; } } }모든 코어 라우터에서 모든 인터페이스에서 MPLS 활성화합니다. fxp0.0 인터페이스에서 MPLS 비활성화합니다.
[edit protocols] mpls { interface all; interface fxp0.0 { disable; } }모든 코어 라우터에서 내부 BGP 피어 그룹을 생성하고 경로 리플렉터 주소(192.0.2.7)를 neighbor로 지정합니다. 또한 BGP는 계층 수준에서 문을
[edit protocols bgp group group-name family l2vpn]포함하여signaling이 피어 그룹에 대한 레이어 2 NLRI(Network Layer Reachability Information) 메시지를 전달하도록 합니다.[edit protocols] bgp { group RR { type internal; local-address 192.0.2.2; family l2vpn { signaling; } neighbor 192.0.2.7; } }라우터 PE3에서 내부 BGP 피어 그룹을 생성하고 이웃으로 경로 리플렉터 IP 주소(192.0.2.7)를 지정합니다. BGP를 활성화하여 이 피어 그룹에 대한 레이어 2 VPLS NLRI 메시지를 전달하고 계층 수준에서 문을
[edit protocols bgp group group-name family inet-vpn]포함하여unicastVPN-IPv4 주소의 처리를 활성화합니다.[edit protocols] bgp { group RR { type internal; local-address 192.0.2.3; family inet-vpn { unicast; } family l2vpn { signaling; } neighbor 192.0.2.7; } }라우터 PE3 및 라우터 PE5의 레이어 3 VPN 도메인의 경우 모든 인터페이스에서 RSVP를 활성화합니다. fxp0.0 인터페이스에서 RSVP를 비활성화합니다.
[edit protocols] rsvp { interface all; interface fxp0.0 { disable; } }라우터 PE3 및 라우터 PE5에서 경로 리플렉터 및 기타 PE 라우터에 레이블 스위칭 경로(LSP)를 생성합니다. 다음 예는 라우터 PE5의 구성을 보여줍니다.
[edit protocols] mpls { label-switched-path to-RR { to 192.0.2.7; } label-switched-path to-PE2 { to 192.0.2.2; } label-switched-path to-PE3 { to 192.0.2.3; } label-switched-path to-PE4 { to 192.0.2.4; } label-switched-path to-PE1 { to 192.0.2.1; } }라우터 PE1, PE2, PE3 및 PE5에서 IPv4 주소로 코어 인터페이스를 구성하고 MPLS 주소 패밀리를 활성화합니다. 다음 예는 라우터 PE2에서 xe-0/1/0 인터페이스의 구성을 보여줍니다.
[edit] interfaces { xe-0/1/0 { unit 0 { family inet { address 10.10.2.2/30; } family mpls; } } }라우터 PE2 및 라우터 PE3에서 모든 인터페이스에 대해 레이어 2 VPN MPLS 신호 프로토콜에 LDP를 구성합니다. fxp0.0 인터페이스에서 LDP를 비활성화합니다. (RSVP도 사용할 수 있습니다.)
[edit protocols] ldp { interface all; interface fxp0.0 { disable; } }경로 리플렉터에서 내부 BGP 피어 그룹을 생성하고 PE 라우터 IP 주소를 이웃으로 지정합니다.
[edit] protocols { bgp { group RR { type internal; local-address 192.0.2.7; family inet { unicast; } family inet-vpn { unicast; } family l2vpn { signaling; } cluster 192.0.2.7; neighbor 192.0.2.1; neighbor 192.0.2.2; neighbor 192.0.2.4; neighbor 192.0.2.5; neighbor 192.0.2.3; } } }경로 리플렉터에서 라우터 PE3 및 PE5로 MPLS LSP를 구성하여 inet.3 라우팅 테이블 BGP 다음 홉을 해결합니다.
[edit] protocols { mpls { label-switched-path to-pe3 { to 192.0.2.3; } label-switched-path to-pe5 { to 192.0.2.5; } interface all; } }
VPN 인터페이스 구성
단계별 절차
라우터 PE2는 레이어 2 VPN의 한쪽 끝입니다. 라우터 PE3은 레이어 2 VPN과 레이어 3 VPN 간에 레이어 2 VPN 연결 작업을 수행하고 있습니다. 라우터 PE3는 두 개의 서로 다른 레이어 2 VPN 인스턴스에 적용된 서로 다른 논리적 인터페이스 장치로 구성된 논리적 터널 인터페이스(lt 인터페이스)를 사용합니다. 라우터 PE3에 구성된 lt 인터페이스를 통해 패킷이 루프됩니다. 라우터 PE5의 구성에는 PE-CE 인터페이스가 포함되어 있습니다.
라우터 PE2에서 ge-1/0/2 인터페이스 캡슐화를 구성합니다. 캡슐화 문을 포함하고 계층 수준에서 옵션(
vlan-ccc캡슐화도 지원됨)을[edit interfaces ge-1/0/2]지정ethernet-ccc합니다. 캡슐화는 전체 레이어 2 VPN 도메인(라우터 PE2 및 PE3)에서 동일해야 합니다. 또한 인터페이스 lo0을 구성합니다.[edit] interfaces { ge-1/0/2 { encapsulation ethernet-ccc; unit 0; } lo0 { unit 0 { family inet { address 192.0.2.2/24; } } } }라우터 PE2에서 [
edit routing-instances]계층 수준에서 라우팅 인스턴스를 구성합니다. 또한 [edit routing-instances routing-instances-name protocols]계층 수준에서 레이어 2 VPN 프로토콜을 구성합니다. 원격 사이트 ID를 3으로 구성합니다. 사이트 ID 3은 라우터 PE3(Hub-PE)을 나타냅니다. 레이어 2 VPN은 LDP를 신호 프로토콜로 사용하고 있습니다. 다음 예에서는 라우팅 인스턴스와 프로토콜이 모두 라는l2vpn점에 유의하십시오.[edit] routing-instances {l2vpn{ # routing instance instance-type l2vpn; interface ge-1/0/2.0; route-distinguisher 65000:2; vrf-target target:65000:2; protocols {l2vpn{ # protocol encapsulation-type ethernet; site CE2 { site-identifier 2; interface ge-1/0/2.0 { remote-site-id 3; } } } } } }라우터 PE5에서 PE-CE 링크
ge-2/0/0에 대한 기가비트 이더넷 인터페이스를 구성하고 인터페이스를 구성합니다lo0.[edit interfaces] ge-2/0/0 { unit 0 { family inet { address 198.51.100.8/24; } } } lo0 { unit 0 { } }라우터 PE5에서
[edit routing-instances]계층 수준에서 레이어 3 VPN 라우팅 인스턴스(L3VPN)를 구성합니다. 또한 계층 수준에서 BGP를[edit routing-instances L3VPN protocols]구성합니다.[edit] routing-instances { L3VPN { instance-type vrf; interface ge-2/0/0.0; route-distinguisher 65000:5; vrf-target target:65000:2; vrf-table-label; protocols { bgp { group ce5 { neighbor 198.51.100.2 { peer-as 200; } } } } } }라우터 PE3와 같은 MX 시리즈 라우터에서는 터널 서비스에 사용할 터널 서비스 인터페이스를 생성해야 합니다. 터널 서비스 인터페이스를 생성하려면 문을 포함하고
bandwidth계층 수준에서 초당 기가비트의[edit chassis fpc slot-number pic slot-number tunnel-services]터널 서비스에 대해 예약할 대역폭 양을 지정합니다.[edit] chassis { dump-on-panic; fpc 1 { pic 1 { tunnel-services { bandwidth 1g; } } } }라우터 PE3에서 기가비트 이더넷 인터페이스를 구성합니다.
address계층 수준에서 문을[edit interfaces ge-1/0/1.0 family inet]포함하고 IP 주소로 지정198.51.100.9/24합니다.[edit] interfaces { ge-1/0/1 { unit 0 { family inet { address 198.51.100.9/24; } } } }라우터 PE3에서 계층 수준에서 논리 터널 인터페이스를
[edit interfaces lt-1/1/10 unit 0]구성lt-1/1/10.0합니다. 라우터 PE3은 논리적 터널 인터페이스를 사용하여 레이어 2 VPN을 레이어 3 VPN으로 연결한 라우터입니다. 피어 유닛 인터페이스의 구성은 상호 연결을 만드는 것입니다.인터페이스를 구성하려면 문을 포함하고
encapsulation옵션을 지정합니다ethernet-ccc.peer-unit문을 포함하고 논리적 인터페이스 단위1를 피어 터널 인터페이스로 지정합니다.family문을 포함하고 옵션을 지정합니다ccc.[edit] interfaces { lt-1/1/10 { unit 0 { encapsulation ethernet-ccc; peer-unit 1; family ccc; } } }라우터 PE3에서 계층 수준에서 논리 터널 인터페이스를
[edit interfaces lt-1/1/10 unit 1]구성lt-1/1/10.1합니다.인터페이스를 구성하려면 문을 포함하고
encapsulation옵션을 지정합니다ethernet.peer-unit문을 포함하고 논리적 인터페이스 단위0를 피어 터널 인터페이스로 지정합니다.family문을 포함하고 옵션을 지정합니다inet.address계층 수준에서 문을[edit interfaces lt-1/1/10 unit 0]포함하고 IPv4 주소로 지정198.51.100.7/24합니다.[edit] interfaces { lt-1/1/10 { unit 1 { encapsulation ethernet; peer-unit 0; family inet { address 198.51.100.7/24; } } } }라우터 PE3에서 인터페이스 유닛 1을 계층 수준의 라우팅 인스턴스에
[edit routing-instances L3VPN]추가lt합니다. PE-CE 인터페이스로 peer-unit 1과lt같이vrf인스턴스 유형을 구성하여 라우터 PE2의 레이어 2 VPN을 라우터 PE3의 레이어 3 VPN으로 종료합니다.[edit] routing-instances { L3VPN { instance-type vrf; interface ge-1/0/1.0; interface lt-1/1/10.1; route-distinguisher 65000:33; vrf-target target:65000:2; vrf-table-label; protocols { bgp { export direct; group ce3 { neighbor 198.51.100.10 { peer-as 100; } } } } } }라우터 PE3에서 인터페이스 유닛 0을 계층 수준의 라우팅 인스턴스에
[edit routing-instances protocols l2vpn]추가lt합니다. 또한 레이어 2 VPN 및 레이어 3 VPN 라우팅 인스턴스에 대해 동일한 vrf 대상을 구성하여 인스턴스 간에 경로가 누출될 수 있도록 합니다. 이전 단계의 구성 예는 라우팅 인스턴스에 대한 vrf 대상을L3VPN보여줍니다. 다음 예는 라우팅 인스턴스에 대한 vrf 대상을l2vpn보여줍니다.[edit] routing-instances { l2vpn { instance-type l2vpn; interface lt-1/1/10.0; route-distinguisher 65000:3; vrf-target target:65000:2; protocols { l2vpn { encapsulation-type ethernet; site CE3 { site-identifier 3; interface lt-1/1/10.0 { remote-site-id 2; } } } } } }라우터 PE3에서 필요한 경우 직접 연결된
lt인터페이스 유닛 1에서 학습한 경로를 연결을 위해 모든 CE 라우터로 내보내도록 문을 구성policy-statement합니다.[edit] policy-options { policy-statement direct { term 1 { from protocol direct; then accept; } } }
결과
다음 출력은 라우터 PE2의 전체 구성을 보여줍니다.
라우터 PE2
interfaces {
xe-0/1/0 {
unit 0 {
family inet {
address 10.10.2.2/30;
}
family mpls;
}
}
xe-0/2/0 {
unit 0 {
family inet {
address 10.10.5.1/30;
}
family mpls;
}
}
xe-0/3/0 {
unit 0 {
family inet {
address 10.10.4.1/30;
}
family mpls;
}
}
ge-1/0/2 {
encapsulation ethernet-ccc;
unit 0;
}
fxp0 {
apply-groups [ re0 re1 ];
}
lo0 {
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
mpls {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group RR {
type internal;
local-address 192.0.2.2;
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
routing-instances {
l2vpn {
instance-type l2vpn;
interface ge-1/0/2.0;
route-distinguisher 65000:2;
vrf-target target:65000:2;
protocols {
l2vpn {
encapsulation-type ethernet;
site CE2 {
site-identifier 2;
interface ge-1/0/2.0 {
remote-site-id 3;
}
}
}
}
}
}
다음 출력은 라우터 PE5의 최종 구성을 보여줍니다.
라우터 PE5
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.10.4.2/30;
}
family mpls;
}
}
xe-0/1/0 {
unit 0 {
family inet {
address 10.10.6.2/30;
}
family mpls;
}
}
ge-1/0/0 {
unit 0 {
family inet {
address 10.10.9.1/30;
}
family mpls;
}
}
xe-1/1/0 {
unit 0 {
family inet {
address 10.10.3.2/30;
}
family mpls;
}
}
ge-2/0/0 {
unit 0 {
family inet {
address 198.51.100.8/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.5/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
rsvp {
interface all {
link-protection;
}
interface fxp0.0 {
disable;
}
}
mpls {
label-switched-path to-RR {
to 192.0.2.7;
}
label-switched-path to-PE2 {
to 192.0.2.2;
}
label-switched-path to-PE3 {
to 192.0.2.3;
}
label-switched-path to-PE4 {
to 192.0.2.4;
}
label-switched-path to-PE1 {
to 192.0.2.1;
}
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group to-rr {
type internal;
local-address 192.0.2.5;
family inet-vpn {
unicast;
}
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
routing-instances {
L3VPN {
instance-type vrf;
interface ge-2/0/0.0;
route-distinguisher 65000:5;
vrf-target target:65000:2;
vrf-table-label;
protocols {
bgp {
group ce5 {
neighbor 198.51.100.2 {
peer-as 200;
}
}
}
}
}
}
다음 출력은 라우터 PE3의 최종 구성을 보여줍니다.
라우터 PE3
chassis {
dump-on-panic;
fpc 1 {
pic 1 {
tunnel-services {
bandwidth 1g;
}
}
}
network-services ip;
}
interfaces {
ge-1/0/1 {
unit 0 {
family inet {
address 198.51.100.9/24;
}
}
}
lt-1/1/10 {
unit 0 {
encapsulation ethernet-ccc;
peer-unit 1;
family ccc;
}
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 198.51.100.7/24;
}
}
}
xe-2/0/0 {
unit 0 {
family inet {
address 10.10.20.2/30;
}
family mpls;
}
}
xe-2/1/0 {
unit 0 {
family inet {
address 10.10.6.1/30;
}
family mpls;
}
}
xe-2/2/0 {
unit 0 {
family inet {
address 10.10.5.2/30;
}
family mpls;
}
}
xe-2/3/0 {
unit 0 {
family inet {
address 10.10.1.2/30;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.3/24;
}
}
}
}
routing-options {
static {
route 172.0.0.0/8 next-hop 172.19.59.1;
}
autonomous-system 65000;
}
protocols {
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
mpls {
label-switched-path to-RR {
to 192.0.2.7;
}
label-switched-path to-PE2 {
to 192.0.2.2;
}
label-switched-path to-PE5 {
to 192.0.2.5;
}
label-switched-path to-PE4 {
to 192.0.2.4;
}
label-switched-path to-PE1 {
to 192.0.2.1;
}
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group RR {
type internal;
local-address 192.0.2.3;
family inet-vpn {
unicast;
}
family l2vpn {
signaling;
}
neighbor 192.0.2.7;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
ldp {
interface all;
interface fxp0.0 {
disable;
}
}
}
policy-options {
policy-statement direct {
term 1 {
from protocol direct;
then accept;
}
}
}
routing-instances {
L3VPN {
instance-type vrf;
interface ge-1/0/1.0;
interface lt-1/1/10.1;
route-distinguisher 65000:33;
vrf-target target:65000:2;
vrf-table-label;
protocols {
bgp {
export direct;
group ce3 {
neighbor 198.51.100.10 {
peer-as 100;
}
}
}
}
}
l2vpn {
instance-type l2vpn;
interface lt-1/1/10.0;
route-distinguisher 65000:3;
vrf-target target:65000:2;
protocols {
l2vpn {
encapsulation-type ethernet;
site CE3 {
site-identifier 3;
interface lt-1/1/10.0 {
remote-site-id 2;
}
}
}
}
}
}
확인
레이어 2 VPN-레이어 3 VPN 상호 연결을 확인합니다.
라우터 PE2 VPN 인터페이스 확인
목적
레이어 2 VPN이 라우터 PE2 인터페이스에서 작동 중이고 모든 경로가 있는지 확인합니다.
작업
show l2vpn connections명령을 사용하여 연결 사이트 ID가 라우터 PE3에 대해 3이고 상태가Up인지 확인합니다.user@PE2> show l2vpn connections Layer-2 VPN connections: Legend for connection status (St) EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS EM -- encapsulation mismatch WE -- interface and instance encaps not same VC-Dn -- Virtual circuit down NP -- interface hardware not present CM -- control-word mismatch -> -- only outbound connection is up CN -- circuit not provisioned <- -- only inbound connection is up OR -- out of range Up -- operational OL -- no outgoing label Dn -- down LD -- local site signaled down CF -- call admission control failure RD -- remote site signaled down SC -- local and remote site ID collision LN -- local site not designated LM -- local site ID not minimum designated RN -- remote site not designated RM -- remote site ID not minimum designated XX -- unknown connection status IL -- no incoming label MM -- MTU mismatch MI -- Mesh-Group ID not available BK -- Backup connection ST -- Standby connection PF -- Profile parse failure PB -- Profile busy RS -- remote site standby Legend for interface status Up -- operational Dn -- down Instance: l2vpn Local site: CE2 (2) connection-site Type St Time last up # Up trans 3 rmt Up Jan 7 14:14:37 2010 1 Remote PE: 192.0.2.3, Negotiated control-word: Yes (Null) Incoming label: 800000, Outgoing label: 800001 Local interface: ge-1/0/2.0, Status: Up, Encapsulation: ETHERNETshow route table명령을 사용하여 레이어 2 VPN 경로가 존재하고 인터페이스를 통해 다음 홉10.10.5.2이 있는지 확인합니다xe-0/2/0.0. 다음 출력은 레이어 2 VPN 경로가 l2vpn.l2vpn.0 테이블에 존재하는 것을 확인합니다. 라우터 PE3에 대해 유사한 출력이 표시되어야 합니다.user@PE2> show route table l2vpn.l2vpn.0 l2vpn.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 65000:2:2:3/96 *[L2VPN/170/-101] 02:40:35, metric2 1 Indirect 65000:3:3:1/96 *[BGP/170] 02:40:35, localpref 100, from 192.0.2.7 AS path: I > to 10.10.5.2 via xe-0/2/0.0라우터 PE2에 LDP 레이블을 가리키는 레이어 2 VPN MPLS 레이블이 양방향(PUSH 및 POP)에서 라우터 PE3를 가리키는지 확인합니다.
user@PE2> show route table mpls.0 mpls.0: 13 destinations, 13 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 1 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 2 *[MPLS/0] 1w3d 08:57:41, metric 1 Receive 300560 *[LDP/9] 19:45:53, metric 1 > to 10.10.2.1 via xe-0/1/0.0, Pop 300560(S=0) *[LDP/9] 19:45:53, metric 1 > to 10.10.2.1 via xe-0/1/0.0, Pop 301008 *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Swap 299856 301536 *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Pop 301536(S=0) *[LDP/9] 19:45:53, metric 1 > to 10.10.4.2 via xe-0/3/0.0, Pop 301712 *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Swap 315184 301728 *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Pop 301728(S=0) *[LDP/9] 16:14:52, metric 1 > to 10.10.5.2 via xe-0/2/0.0, Pop 800000 *[L2VPN/7] 02:40:35 > via ge-1/0/2.0, Pop Offset: 4 ge-1/0/2.0 *[L2VPN/7] 02:40:35, metric2 1 > to 10.10.5.2 via xe-0/2/0.0, Push 800001 Offset: -4
의미
라우팅 인스턴스가 l2vpn 인터페이스 ge-1/0/2 에서 작동하며 레이어 2 VPN 경로가 테이블 l2vpn.l2vpn.0에 표시됩니다. 표 mpls.0 에는 LDP 레이블을 사용하여 트래픽을 전달하는 데 사용되는 레이어 2 VPN 경로가 표시됩니다.
라우터 PE3 VPN 인터페이스 확인
목적
라우터 PE2 및 라우터 PE3의 레이어 2 VPN 연결이 Up 작동하는지 확인합니다.
작업
제품군 및 패밀리
l2vpn-signalinginet-vpn에 대한 경로 리플렉터와의 BGP 세션이 설정되었는지 확인합니다.user@PE3> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending bgp.l2vpn.0 1 1 0 0 0 0 bgp.L3VPN.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active /Received/Accepted/Damped... 192.0.2.7 65000 2063 2084 0 1 15:35:16 Establ bgp.l2vpn.0: 1/1/1/0 bgp.L3VPN.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 l2vpn.l2vpn.0: 1/1/1/0
다음 출력은 레이어 2 VPN 경로와 연결된 레이블을 확인합니다.
user@PE3> show route table l2vpn.l2vpn.0 detail l2vpn.l2vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 65000:2:2:3/96 (1 entry, 1 announced) *BGP Preference: 170/-101 Route Distinguisher: 65000:2 Next hop type: Indirect Next-hop reference count: 4 Source: 192.0.2.7 Protocol next hop: 192.0.2.2 Indirect next hop: 2 no-forward State: <Secondary Active Int Ext> Local AS: 65000 Peer AS: 65000 Age: 2:45:52 Metric2: 1 Task: BGP_65000.192.0.2.7+60585 Announcement bits (1): 0-l2vpn-l2vpn AS path: I (Originator) Cluster list: 192.0.2.7 AS path: Originator ID: 192.0.2.2 Communities: target:65000:2 Layer2-info: encaps:ETHERNET, control flags:Control-Word, mtu: 0, site preference: 100 Accepted Label-base: 800000, range: 2, status-vector: 0x0 Localpref: 100 Router ID: 192.0.2.7 Primary Routing Table bgp.l2vpn.0다음 출력은 mpls.0 경로 테이블의 L2VPN MPLS.0 경로를 보여줍니다.
user@PE3> show route table mpls.0 mpls.0: 21 destinations, 21 routes (21 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 1 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 2 *[MPLS/0] 1w3d 09:05:41, metric 1 Receive 16 *[VPN/0] 15:59:24 to table L3VPN.inet.0, Pop 315184 *[LDP/9] 16:21:53, metric 1 > to 10.10.20.1 via xe-2/0/0.0, Pop 315184(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.20.1 via xe-2/0/0.0, Pop 315200 *[LDP/9] 01:13:44, metric 1 to 10.10.20.1 via xe-2/0/0.0, Swap 625297 > to 10.10.6.2 via xe-2/1/0.0, Swap 299856 315216 *[LDP/9] 16:21:53, metric 1 > to 10.10.6.2 via xe-2/1/0.0, Pop 315216(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.6.2 via xe-2/1/0.0, Pop 315232 *[LDP/9] 16:21:45, metric 1 > to 10.10.1.1 via xe-2/3/0.0, Pop 315232(S=0) *[LDP/9] 16:21:45, metric 1 > to 10.10.1.1 via xe-2/3/0.0, Pop 315248 *[LDP/9] 16:21:53, metric 1 > to 10.10.5.1 via xe-2/2/0.0, Pop 315248(S=0) *[LDP/9] 16:21:53, metric 1 > to 10.10.5.1 via xe-2/2/0.0, Pop 315312 *[RSVP/7] 15:02:40, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path to-pe5 315312(S=0) *[RSVP/7] 15:02:40, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path to-pe5 315328 *[RSVP/7] 15:02:40, metric 1 > to 10.10.20.1 via xe-2/0/0.0, label-switched-path to-RR 315360 *[RSVP/7] 15:02:40, metric 1 > to 10.10.20.1 via xe-2/0/0.0, label-switched-path to-RR 316272 *[RSVP/7] 01:13:27, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path Bypass->10.10.9.1 316272(S=0) *[RSVP/7] 01:13:27, metric 1 > to 10.10.6.2 via xe-2/1/0.0, label-switched-path Bypass->10.10.9.1 800001 *[L2VPN/7] 02:47:33 > via lt-1/1/10.0, Pop Offset: 4 lt-1/1/10.0 *[L2VPN/7] 02:47:33, metric2 1 > to 10.10.5.1 via xe-2/2/0.0, Push 800000 Offset: -4show route table mpls.0옵션과 함께detail명령을 사용하여 다음 홉 유형 및 레이블 작업과 같은 경로의 BGP 속성을 확인합니다.user@PE5> show route table mpls.0 detail lt-1/1/10.0 (1 entry, 1 announced) *L2VPN Preference: 7 Next hop type: Indirect Next-hop reference count: 2 Next hop type: Router, Next hop index: 607 Next hop: 10.10.5.1 via xe-2/2/0.0, selected Label operation: Push 800000 Offset: -4 Protocol next hop: 192.0.2.2 Push 800000 Offset: -4 Indirect next hop: 8cae0a0 1048574 State: <Active Int> Age: 2:46:34 Metric2: 1 Task: Common L2 VC Announcement bits (2): 0-KRT 2-Common L2 VC AS path: I Communities: target:65000:2 Layer2-info: encaps:ETHERNET, control flags:Control-Word, mtu: 0, site preference: 100
라우터 CE2에서 라우터 CE5 및 라우터 CE3까지 엔드 투 엔드 연결 확인
목적
라우터 CE2, CE3 및 CE5 간의 연결을 확인합니다.
작업
라우터 CE2에서 라우터 CE3 IP 주소 Ping.
user@CE2> ping 198.51.100.10 # CE3 IP address PING 198.51.100.10 (198.51.100.10): 56 data bytes 64 bytes from 198.51.100.10: icmp_seq=0 ttl=63 time=0.708 ms 64 bytes from 198.51.100.10: icmp_seq=1 ttl=63 time=0.610 ms
라우터 CE2에서 라우터 CE5 IP 주소 Ping.
user@CE2> ping 198.51.100.2 # CE5 IP address PING 198.51.100.2 (198.51.100.2): 56 data bytes 64 bytes from 198.51.100.2: icmp_seq=0 ttl=62 time=0.995 ms 64 bytes from 198.51.100.2: icmp_seq=1 ttl=62 time=1.005 ms