Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

list Table of Contents

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Ejemplo: configuración de MPLS a través de GRE con fragmentación y reensamblaje de IPsec

date_range 24-Aug-23

Este ejemplo se basa en la necesidad de admitir una MTU estándar de 1.500 bytes para clientes de red privada virtual (VPN) compatibles con GRE a través de túneles IPsec, cuando el proveedor de WAN no ofrece una opción de MTU Jumbo. El tráfico reenviado a través del vínculo WAN de 1500 bytes se puede eliminar porque la sobrecarga de encapsulación del protocolo (capa 2, MPLS, GRE e IPsec) da como resultado una trama que supera la MTU del vínculo WAN.

Las caídas relacionadas con MTU son principalmente un problema para el tráfico que no se puede fragmentar. Por ejemplo, el tráfico IP marcado como no fragmentar o el tráfico VPN/VPLS de capa 2, que por su naturaleza no se puede fragmentar. Por motivos de rendimiento, muchas configuraciones de IPsec bloquean la fragmentación posterior al cifrado, lo que provoca la caída de paquetes.

Este documento proporciona una solución a este problema al mostrar cómo configurar un túnel IPsec para realizar la fragmentación posterior en el tráfico que de otro modo no podría fragmentarse. En este caso, opere el rendimiento del cifrado forzando la post-fragmentación en lugar de tener que reducir la MTU de sus clientes VPN para evitar caídas relacionadas con MTU.

En este ejemplo se muestra cómo configurar el modo de servicios de paquetes selectivos mediante una única instancia de enrutamiento (la predeterminada) para procesar el tráfico VPN en modo de paquetes. En el modo de paquetes se omiten las zonas de seguridad. Esto significa que las interfaces VRF de capa 2 y capa 3 no se colocan en una zona de seguridad y no se necesita ninguna política que les permita comunicarse a través de la zona de Internet.

Mediante los pasos de este ejemplo, puede realizar la fragmentación de paquetes encapsulados IPsec en la interfaz física saliente del dispositivo de envío y volver a ensamblarlos en el dispositivo receptor antes del descifrado de IPsec.

Nota:

El reensamblaje de paquetes fragmentados utiliza una gran cantidad de recursos del dispositivo, y el rendimiento del dispositivo será más lento que con el tráfico no fragmentado. Cuando sea posible, debe configurar una MTU Jumbo en la interfaz WAN para evitar la necesidad de fragmentación. En este ejemplo se muestra cómo proporcionar una MTU estándar de 1.500 bytes a dispositivos cliente que bloquean la fragmentación cuando se usa IPsec a través de una conexión WAN que no ofrece compatibilidad Jumbo.

El tema incluye las siguientes secciones:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos puertas de enlace de servicios de la serie SRX

  • Junos OS versión 11.4 o posterior

    • Este ejemplo se ha revalidado en Junos OS versión 20.3R1

Nota:

Para que este ejemplo funcione como se documenta, debe asegurarse de que la configuración de SRX no tenga ninguna interfaz con family ethernet-switching habilitada. El uso family ethernet-switching pone el dispositivo SRX en modo mixto. Este ejemplo se basa en el modo de operación de ruta. Para obtener más información sobre los modos de operación de ruta y mixtos, consulte Descripción de las interfaces de capa 2 en dispositivos de seguridad. Además, probamos este ejemplo con la configuración predeterminada de fábrica para la edit protocols l2-learning jerarquía.

Descripción general y topología

En este ejemplo se incluyen las siguientes configuraciones:

  • Configure las interfaces para el valor adecuado de encapsulación de protocolo y unidad máxima de transmisión (MTU).

  • Aplique el filtro de firewall en la interfaz ge-0/0/0.10 para establecer el modo de paquete. Configure la interfaz orientada a la WAN ge-0/0/1.0 con una MTU de 1.524 bytes.

  • Establezca un valor MTU grande en las interfaces lógicas GRE e IPsec para evitar la fragmentación de IPsec en las interfaces lógicas. El tráfico encapsulado GRE se tuneliza dentro de IPsec.

  • Agregue la familia MPLS a la interfaz GRE gr-0/0/0 y aplique filtros de firewall para habilitar el modo de paquete.

  • Configure un túnel IPsec en el dispositivo con la opción en la configuración de VPN IPsec para permitir la fragmentación de paquetes IPsec de gran tamaño en la df-bit clear interfaz ge-0/0/1.0 saliente. Esta configuración permite que el dispositivo SRX realice la fragmentación después del cifrado IPsec para el tráfico de cliente VPN marcado con el bit de no fragmentar (DNF). El tráfico del cliente VPN que no está marcado como DNF se fragmenta antes del cifrado IPsec para mejorar el rendimiento.

  • Configure todas las interfaces que no estén orientadas al cliente, como ge-0/0/1.0, gr-0/0/0.0, lo0.0 y st0.0 en una única zona de seguridad denominada "Internet". En este ejemplo, se utiliza una sola zona de seguridad para mantener el foco en los problemas de fragmentación con MPLS sobre GRE sobre IPSec. La seguridad se puede mejorar colocando el dispositivo en modo de flujo para MPLS y, a continuación, colocando las interfaces orientadas al cliente en una zona. Una vez en una zona, las políticas de seguridad pueden controlar las comunicaciones y evocar funciones avanzadas como IDP y reconocimiento de aplicaciones. Para obtener más información, consulte Zonas de seguridad.

  • Configure una política para permitir todo el tráfico (intrazona).

  • Configure OSPF para la distribución de direcciones lo0.0, LDP para la distribución de etiquetas/transporte MPLS e IBGP con las inet-vpn familias y l2vpn para admitir los clientes VPN.

  • Configure dos instancias de enrutamiento, una para una VPN de capa 3 y otra para un servicio VPLS de capa 2.

La figura 1 muestra la topología de este ejemplo.

Figura 1: Topología de ejemplo de MPLS sobre GRE sobre túneles IPsec MPLS Over GRE Over IPsec Tunnels Example Topology

Este ejemplo se centra en VPLS y una VPN de capa 3 a través de un túnel IPsec. También se admiten circuitos de capa 2. Para un circuito de capa 2, debe configurar un filtro MPLS de familia y un filtro CCC de familia. Los filtros se utilizan para evocar el procesamiento en modo paquete con el fin de admitir la fragmentación a través de IPsec.

Topología

En la tabla 1 se ofrece un resumen de los parámetros utilizados en esta topología para el dispositivo PE1. Puede adaptar los parámetros para el dispositivo PE2 o utilizar la configuración rápida de PE2 que se proporciona a continuación.

Tabla 1: Componentes de la topología

Componentes

Descripción

PE1

Firewall serie SRX PE1:

GE-0/0/0.10:

  • Dirección IP: 192.168.0.1/24

  • Interfaz L3VPN orientada al cliente

  • input packet-mode-inet: familia inet en modo de paquete

  • MTU: 4k

GE-0/0/2.11:

  • Interfaz VPLS orientada al cliente

  • vlan-vpls: Encapsulación VPLS

  • MTU: 1,522

GE-0/0/1.0:

  • Interfaz de salida

  • Dirección IP: 172.16.13.1/30

  • MTU: 1,514

GR-0/0/0:

  • Interfaz principal que se conecta a MPLS

  • Dirección IP: 172.16.255.1/30

  • input packet-mode: Familia MPLS en modo de paquete

  • MTU de Inet: 9k

lo0:

  • Interfaz lógica

  • Dirección IP: 10.255.255.1/32

st0.0:

  • Interfaz de túnel

  • Dirección IP: 172.16.0.1/30

  • MTU de Inet: 9,178

  • df-bit clear — Esta opción borra el bit de no fragmentar (DF) en el encabezado del paquete saliente

  • L3VPN— Instancia de enrutamiento para la aplicación VPN Layer3

  • VPLS— Instancia de enrutamiento para la aplicación VPLS

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

La configuración del dispositivo SRX1 (PE1):

content_copy zoom_out_map
set system host-name SRX1
set security ike policy standard mode main
set security ike policy standard proposal-set standard
set security ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"
set security ike gateway srx-2 ike-policy standard
set security ike gateway srx-2 address 172.16.23.1
set security ike gateway srx-2 external-interface ge-0/0/1.0
set security ipsec policy standard proposal-set standard
set security ipsec vpn ipsec-vpn-1 bind-interface st0.0
set security ipsec vpn ipsec-vpn-1 df-bit clear
set security ipsec vpn ipsec-vpn-1 ike gateway srx-2
set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard
set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately
set security policies from-zone Internet to-zone Internet policy Internet match source-address any
set security policies from-zone Internet to-zone Internet policy Internet match destination-address any
set security policies from-zone Internet to-zone Internet policy Internet match application any
set security policies from-zone Internet to-zone Internet policy Internet then permit
set security zones security-zone Internet host-inbound-traffic system-services all
set security zones security-zone Internet host-inbound-traffic protocols all
set security zones security-zone Internet interfaces ge-0/0/1.0
set security zones security-zone Internet interfaces gr-0/0/0.0
set security zones security-zone Internet interfaces lo0.0
set security zones security-zone Internet interfaces st0.0
set interfaces ge-0/0/0 vlan-tagging
set interfaces ge-0/0/0 mtu 4000
set interfaces ge-0/0/0 description L3VPN
set interfaces ge-0/0/0 unit 10 vlan-id 10
set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet
set interfaces ge-0/0/0 unit 10 family inet address 192.168.0.1/24
set interfaces gr-0/0/0 description "MPLS core facing interface"
set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1
set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.2
set interfaces gr-0/0/0 unit 0 family inet mtu 9000
set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.1/30
set interfaces gr-0/0/0 unit 0 family mpls mtu 9000
set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode
set interfaces ge-0/0/1 description Internet
set interfaces ge-0/0/1 mtu 1514
set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/30
set interfaces ge-0/0/2 flexible-vlan-tagging
set interfaces ge-0/0/2 mtu 1522
set interfaces ge-0/0/2 encapsulation vlan-vpls
set interfaces ge-0/0/2 unit 11 description VPLS
set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls
set interfaces ge-0/0/2 unit 11 vlan-id 512
set interfaces lo0 unit 0 family inet address 10.255.255.1/32
set interfaces st0 unit 0 family inet mtu 9178
set interfaces st0 unit 0 family inet address 172.16.0.1/30
set firewall family inet filter packet-mode-inet term all-traffic then packet-mode
set firewall family inet filter packet-mode-inet term all-traffic then accept
set firewall family mpls filter packet-mode term all-traffic then packet-mode
set firewall family mpls filter packet-mode term all-traffic then accept
set routing-instances L3VPN routing-options auto-export
set routing-instances L3VPN interface ge-0/0/0.10
set routing-instances L3VPN instance-type vrf
set routing-instances L3VPN route-distinguisher 10.255.255.1:1000
set routing-instances L3VPN vrf-target target:65100:1000
set routing-instances L3VPN vrf-table-label
set routing-instances VPLS protocols vpls site 1 interface ge-0/0/2.11
set routing-instances VPLS protocols vpls site 1 site-identifier 1
set routing-instances VPLS protocols vpls no-tunnel-services
set routing-instances VPLS protocols vpls mac-tlv-receive
set routing-instances VPLS protocols vpls mac-tlv-send
set routing-instances VPLS interface ge-0/0/2.11
set routing-instances VPLS instance-type vpls
set routing-instances VPLS route-distinguisher 10.255.255.1:1001
set routing-instances VPLS vrf-target target:65100:1001
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface gr-0/0/0.0
set protocols bgp group IBGP type internal
set protocols bgp group IBGP local-address 10.255.255.1
set protocols bgp group IBGP local-as 65100
set protocols bgp group IBGP neighbor 10.255.255.2 family inet any
set protocols bgp group IBGP neighbor 10.255.255.2 family inet-vpn any
set protocols bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling
set protocols bgp tcp-mss 1200
set protocols ldp interface gr-0/0/0.0
set protocols ldp interface lo0.0
set protocols mpls interface gr-0/0/0.0
set routing-options static route 172.16.23.0/30 next-hop 172.16.13.2
set routing-options router-id 10.255.255.1

La configuración del dispositivo SRX2 (PE2):

content_copy zoom_out_map
set system host-name SRX2
set security ike policy standard mode main
set security ike policy standard proposal-set standard
set security ike policy standard pre-shared-key ascii-text "$9$Ahg6tORhclvMXREdb2gJZ"
set security ike gateway srx-1 ike-policy standard
set security ike gateway srx-1 address 172.16.13.1
set security ike gateway srx-1 external-interface ge-0/0/1.0
set security ipsec policy standard proposal-set standard
set security ipsec vpn ipsec-vpn-1 bind-interface st0.0
set security ipsec vpn ipsec-vpn-1 df-bit clear
set security ipsec vpn ipsec-vpn-1 ike gateway srx-1
set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard
set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately
set security policies from-zone Internet to-zone Internet policy Internet match source-address any
set security policies from-zone Internet to-zone Internet policy Internet match destination-address any
set security policies from-zone Internet to-zone Internet policy Internet match application any
set security policies from-zone Internet to-zone Internet policy Internet then permit
set security zones security-zone Internet host-inbound-traffic system-services all
set security zones security-zone Internet host-inbound-traffic protocols all
set security zones security-zone Internet interfaces ge-0/0/1.0
set security zones security-zone Internet interfaces gr-0/0/0.0
set security zones security-zone Internet interfaces lo0.0
set security zones security-zone Internet interfaces st0.0
set interfaces ge-0/0/0 vlan-tagging
set interfaces ge-0/0/0 mtu 4000
set interfaces ge-0/0/0 description L3VPN
set interfaces ge-0/0/0 unit 10 vlan-id 10
set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet
set interfaces ge-0/0/0 unit 10 family inet address 192.168.1.1/24
set interfaces gr-0/0/0 description "MPLS core facing interface"
set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.2
set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.1
set interfaces gr-0/0/0 unit 0 family inet mtu 9000
set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.2/30
set interfaces gr-0/0/0 unit 0 family mpls mtu 9000
set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode
set interfaces ge-0/0/1 description Internet
set interfaces ge-0/0/1 mtu 1514
set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/30
set interfaces ge-0/0/2 flexible-vlan-tagging
set interfaces ge-0/0/2 mtu 1522
set interfaces ge-0/0/2 encapsulation vlan-vpls
set interfaces ge-0/0/2 unit 11 description VPLS
set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls
set interfaces ge-0/0/2 unit 11 vlan-id 512
set interfaces lo0 unit 0 family inet address 10.255.255.2/32
set interfaces st0 unit 0 family inet mtu 9178
set interfaces st0 unit 0 family inet address 172.16.0.2/30
set firewall family inet filter packet-mode-inet term all-traffic then packet-mode
set firewall family inet filter packet-mode-inet term all-traffic then accept
set firewall family mpls filter packet-mode term all-traffic then packet-mode
set firewall family mpls filter packet-mode term all-traffic then accept
set routing-instances L3VPN routing-options auto-export
set routing-instances L3VPN interface ge-0/0/0.10
set routing-instances L3VPN instance-type vrf
set routing-instances L3VPN route-distinguisher 10.255.255.2:1000
set routing-instances L3VPN vrf-target target:65100:1000
set routing-instances L3VPN vrf-table-label
set routing-instances VPLS protocols vpls site 2 interface ge-0/0/2.11
set routing-instances VPLS protocols vpls site 2 site-identifier 2
set routing-instances VPLS protocols vpls no-tunnel-services
set routing-instances VPLS protocols vpls mac-tlv-receive
set routing-instances VPLS protocols vpls mac-tlv-send
set routing-instances VPLS interface ge-0/0/2.11
set routing-instances VPLS instance-type vpls
set routing-instances VPLS route-distinguisher 10.255.255.2:1001
set routing-instances VPLS vrf-target target:65100:1001
set protocols ospf traffic-engineering
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface gr-0/0/0.0
set protocols bgp group IBGP type internal
set protocols bgp group IBGP local-address 10.255.255.2
set protocols bgp group IBGP local-as 65100
set protocols bgp group IBGP neighbor 10.255.255.1 family inet any
set protocols bgp group IBGP neighbor 10.255.255.1 family inet-vpn any
set protocols bgp group IBGP neighbor 10.255.255.1 family l2vpn signaling
set protocols bgp tcp-mss 1200
set protocols ldp interface gr-0/0/0.0
set protocols ldp interface lo0.0
set protocols mpls interface gr-0/0/0.0
set routing-options static route 172.16.13.0/30 next-hop 172.16.23.2
set routing-options router-id 10.255.255.2

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI para Junos OS.

Para fragmentar la trama MPLS y volver a ensamblar el paquete:

  1. Configure las interfaces físicas.

    content_copy zoom_out_map
    [edit interfaces]
    user@SRX1# set ge-0/0/0 description L3VPN
    user@SRX1# set ge-0/0/0 mtu 4000
    user@SRX1# set ge-0/0/0 unit 10 vlan-id 10
    user@SRX1# set ge-0/0/0 unit 10 family inet filter input packet-mode-inet
    user@SRX1# set ge-0/0/0 unit 10 family inet address 192.168.0.1/24
    user@SRX1# set ge-0/0/1 description Internet
    user@SRX1# set ge-0/0/1 mtu 1514
    user@SRX1# set ge-0/0/1 unit 0 family inet address 172.16.13.1/30
    user@SRX1# set ge-0/0/2 description VPLS
    user@SRX1# set ge-0/0/2 flexible-vlan-tagging
    user@SRX1# set ge-0/0/2 mtu 1522
    user@SRX1# set ge-0/0/2 encapsulation vlan-vpls
    user@SRX1# set ge-0/0/2 unit 11 encapsulation vlan-vpls
    user@SRX1# set ge-0/0/2 unit 11 vlan-id 512
    
  2. Configure las interfaces lógicas.

    content_copy zoom_out_map
    [edit interfaces]
    user@SRX1# set gr-0/0/0 unit 0 description "MPLS core facing interface"
    user@SRX1# set gr-0/0/0 unit 0 tunnel source 172.16.0.1
    user@SRX1# set gr-0/0/0 unit 0 tunnel destination 172.16.0.2
    user@SRX1# set gr-0/0/0 unit 0 family inet mtu 9000
    user@SRX1# set gr-0/0/0 unit 0 family inet address 172.16.255.1/30
    user@SRX1# set gr-0/0/0 unit 0 family mpls mtu 9000
    user@SRX1# set gr-0/0/0 unit 0 family mpls filter input packet-mode
    user@SRX1# set lo0 unit 0 family inet address 10.255.255.1/32
    user@SRX1# set st0 unit 0 family inet mtu 9178
    user@SRX1# set st0 unit 0 family inet address 172.16.0.1/30
    
  3. Configure los filtros de firewall que se utilizan para configurar las interfaces para que funcionen con el modo de paquete.

    content_copy zoom_out_map
    [edit firewall]
    user@SRX1# set family inet filter packet-mode-inet term all-traffic then packet-mode
    user@SRX1# set family inet filter packet-mode-inet term all-traffic then accept
    user@SRX1# set family mpls filter packet-mode term all-traffic then packet-mode
    user@SRX1# set family mpls filter packet-mode term all-traffic then accept
    
    Nota:

    Si está configurando un circuito de capa 2, también debe agregar un filtro para evocar el modo de paquete en la interfaz orientada hacia CE en la familia CCC:

    content_copy zoom_out_map
    set firewall family ccc filter packet-mode-ccc term all-traffic then packet-mode
    set firewall family ccc filter packet-mode-ccc term all-traffic then accept
  4. Configure las directivas de IKE e IPsec.

    content_copy zoom_out_map
    [edit security]
    user@SRX1# set ike policy standard mode main
    user@SRX1# set ike policy standard proposal-set standard
    user@SRX1# set ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"
    user@SRX1# set ike gateway srx-2 ike-policy standard
    user@SRX1# set ike gateway srx-2 address 172.16.23.1
    user@SRX1# set ike gateway srx-2 external-interface ge-0/0/1.0
    user@SRX1# set ipsec policy standard proposal-set standard
    user@SRX1# set ipsec vpn ipsec-vpn-1 bind-interface st0.0
    user@SRX1# set ipsec vpn ipsec-vpn-1 df-bit clear
    user@SRX1# set ipsec vpn ipsec-vpn-1 ike gateway srx-2
    user@SRX1# set ipsec vpn ipsec-vpn-1 ike ipsec-policy standard
    user@SRX1# set ipsec vpn ipsec-vpn-1 establish-tunnels immediately
    
    Nota:

    Para mantener el enfoque en la fragmentación a través de IPsec, usamos el cifrado predeterminado en este ejemplo (3DES-CBC). Para aumentar el rendimiento y la seguridad, considere la posibilidad de utilizar un cifrado más reciente, como AES-GCM-256. consulte algoritmo de cifrado (IKE de seguridad)

  5. Configure todas las interfaces que no están orientadas al cliente en una única zona de seguridad y una política para permitir todo el tráfico (intrazona).

    content_copy zoom_out_map
    [edit security policies from-zone Internet to-zone Internet]
    user@SRX1# set policy Internet match source-address any
    user@SRX1# set policy Internet match destination-address any
    user@SRX1# set policy Internet match application any
    user@SRX1# set policy Internet then permit
    [edit security zones security-zone Internet]
    user@SRX1# set host-inbound-traffic system-services all
    user@SRX1# set host-inbound-traffic protocols all
    user@SRX1# set interfaces ge-0/0/1.0
    user@SRX1# set interfaces gr-0/0/0.0
    user@SRX1# set interfaces lo0.0
    user@SRX1# set interfaces st0.0
    
  6. Configure el protocolo OSPF para la distribución de direcciones lo0.0, configure IBGP con las familias inet-vpn y l2vpn. Configure también la señalización MPLS y LDP.

    content_copy zoom_out_map
    [edit protocols]
    user@SRX1# set bgp tcp-mss 1200
    user@SRX1# set bgp group IBGP type internal
    user@SRX1# set bgp group IBGP local-address 10.255.255.1
    user@SRX1# set bgp group IBGP local-as 65100
    user@SRX1# set bgp group IBGP neighbor 10.255.255.2
    user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet any
    user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet-vpn any
    user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling
    user@SRX1# set ospf traffic-engineering
    user@SRX1# set ospf area 0.0.0.0 interface lo0.0
    user@SRX1# set ospf area 0.0.0.0 interface lo0.0 passive
    user@SRX1# set ospf area 0.0.0.0 interface gr-0/0/0.0
    user@SRX1# set mpls interface gr-0/0/0.0
    user@SRX1# set ldp interface gr-0/0/0.0
    user@SRX1# set ldp interface lo0.0
    
  7. Configure el ID del enrutador y una ruta estática al extremo remoto del vínculo WAN.

    content_copy zoom_out_map
    [edit routing-option]
    user@SRX1# set static route 172.16.23.0/30 next-hop 172.16.13.2
    user@SRX1# set router-id 10.255.255.1
    
  8. Configure dos instancias de enrutamiento, una para VPN de capa 3 y otra para la aplicación VPLS.

    content_copy zoom_out_map
    [edit routing-instances]
    user@SRX1# set L3VPN instance-type vrf
    user@SRX1# set L3VPN route-distinguisher 10.255.255.1:1000
    user@SRX1# set L3VPN interface ge-0/0/0.10
    user@SRX1# set L3VPN vrf-target target:65100:1000
    user@SRX1# set L3VPN vrf-target import target:65100:1000
    user@SRX1# set L3VPN vrf-target export target:65100:1000
    user@SRX1# set L3VPN vrf-table-label
    user@SRX1# set L3VPN routing-options auto-export
    user@SRX1# set VPLS instance-type vpls
    user@SRX1# set VPLS interface ge-0/0/2.11
    user@SRX1# set VPLS route-distinguisher 10.255.255.1:1001
    user@SRX1# set VPLS vrf-target target:65100:1001
    user@SRX1# set VPLS protocols vpls no-tunnel-services
    user@SRX1# set VPLS protocols vpls site 1 site-identifier 1
    user@SRX1# set VPLS protocols vpls site 1 interface ge-0/0/2.11
    user@SRX1# set VPLS protocols vpls mac-tlv-receive
    user@SRX1# set VPLS protocols vpls mac-tlv-send
    

Resultados

Mostrar los resultados de la configuración:

content_copy zoom_out_map
user@SRX1> show configuration
security {
    ike {
        policy standard {
            mode main;
            proposal-set standard;
            pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"; ## SECRET-DATA
        }
        gateway srx-2 {
            ike-policy standard;
            address 172.16.23.1;
            external-interface ge-0/0/1.0;
        }
    }
    ipsec {
        policy standard {
            proposal-set standard;
        }
        vpn ipsec-vpn-1 {
            bind-interface st0.0;
            df-bit clear;
            ike {
                gateway srx-2;
                ipsec-policy standard;
            }
            establish-tunnels immediately;
        }
    }
    policies {
        from-zone Internet to-zone Internet {
            policy Internet {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone Internet {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                ge-0/0/1.0;
                gr-0/0/0.0;
                lo0.0;
                st0.0;
            }
        }
    }
}
interfaces {
    ge-0/0/0 {
        vlan-tagging;
        mtu 4000;
        unit 10 {
            description L3VPN;
            vlan-id 10;
            family inet {
                filter {
                    input packet-mode-inet;
                }
                address 192.168.0.1/24;
            }
        }
    }
    gr-0/0/0 {
        unit 0 {
            description "MPLS core facing interface";
            tunnel {
                source 172.16.0.1;
                destination 172.16.0.2;
            }
            family inet {
                mtu 9000;
                address 172.16.255.1/30;
            }
            family mpls {
                mtu 9000;
                filter {
                    input packet-mode;
                }
            }
        }
    }
    ge-0/0/1 {
        description Internet;
        mtu 1514;
        unit 0 {
            family inet {
                address 172.16.13.1/30;
            }
        }
    }
    ge-0/0/2 {
        flexible-vlan-tagging;
        mtu 1522;
        encapsulation vlan-vpls;
        unit 11 {
            description VPLS;
            encapsulation vlan-vpls;
            vlan-id 512;
        }
    }
    lo0 {
        unit 0 {
            family inet {
                address 10.255.255.1/32;
            }
        }
    }
    st0 {
        unit 0 {
            family inet {
                mtu 9178;
                address 172.16.0.1/30;
            }
        }
    }
}
firewall {
    family inet {
        filter packet-mode-inet {
            term all-traffic {
                then {
                    packet-mode;
                    accept;
                }
            }
        }
    }
    family mpls {
        filter packet-mode {
            term all-traffic {
                then {
                    packet-mode;
                    accept;
                }
            }
        }
    }
}
routing-instances {
    L3VPN {
        routing-options {
            auto-export;
        }
        interface ge-0/0/0.10;
        instance-type vrf;
        route-distinguisher 10.255.255.1:1000;
        vrf-target {
            target:65100:1000;
            import target:65100:1000;
            export target:65100:1000;
        }
        vrf-table-label;
    }
    VPLS {
        protocols {
            vpls {
                site 1 {
                    interface ge-0/0/2.11;
                    site-identifier 1;
                }
                no-tunnel-services;
                mac-tlv-receive;
                mac-tlv-send;
            }
        }
        interface ge-0/0/2.11;
        instance-type vpls;
        route-distinguisher 10.255.255.1:1001;
        vrf-target target:65100:1001;
    }
}
protocols {
    ospf {
        traffic-engineering;
        area 0.0.0.0 {
            interface lo0.0 {
                passive;
            }
            interface gr-0/0/0.0;
        }
    }
    bgp {
        group IBGP {
            type internal;
            local-address 10.255.255.1;
            local-as 65100;
            neighbor 10.255.255.2 {
                family inet {
                    any;
                }
                family inet-vpn {
                    any;
                }
                family l2vpn {
                    signaling;
                }
            }
        }
        tcp-mss 1200;
    }
    ldp {
        interface gr-0/0/0.0;
        interface lo0.0;
    }
    mpls {
        interface gr-0/0/0.0;
    }
}
routing-options {
    static {
        route 172.16.23.0/30 next-hop 172.16.13.2;
    }
    router-id 10.255.255.1;
}

Verificación

Confirme que la configuración funciona correctamente.

Comprobación de que las interfaces físicas y lógicas estén activas

Propósito

Compruebe que las interfaces físicas y lógicas estén activas en el dispositivo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba el show interfaces terse comando.

content_copy zoom_out_map
user@SRX1> show interfaces terse
Interface               Admin Link Proto    Local                 Remote
ge-0/0/0                up    up
ge-0/0/0.10             up    up   inet     192.168.0.1/24  
ge-0/0/0.32767          up    up  
gr-0/0/0                up    up
gr-0/0/0.0              up    up   inet     172.16.255.1/30 
                                   mpls    
ip-0/0/0                up    up
lsq-0/0/0               up    up
lt-0/0/0                up    up
mt-0/0/0                up    up
sp-0/0/0                up    up
sp-0/0/0.0              up    up   inet    
                                   inet6   
sp-0/0/0.16383          up    up   inet    
ge-0/0/1                up    up
ge-0/0/1.0              up    up   inet     172.16.13.1/30  
ge-0/0/2                up    up
ge-0/0/2.11             up    up   vpls    
ge-0/0/2.32767          up    up  
dsc                     up    up
fti0                    up    up
fxp0                    up    up
fxp0.0                  up    up   inet     10.54.5.56/19   
gre                     up    up
ipip                    up    up
irb                     up    up
lo0                     up    up
lo0.0                   up    up   inet     10.255.255.1        --> 0/0
lo0.16384               up    up   inet     127.0.0.1           --> 0/0
lo0.16385               up    up   inet     10.0.0.1            --> 0/0
                                            10.0.0.16           --> 0/0
                                            128.0.0.1           --> 0/0
                                            128.0.0.4           --> 0/0
                                            128.0.1.16          --> 0/0
lo0.32768               up    up  
lsi                     up    up
lsi.0                   up    up   inet    
                                   iso     
                                   inet6   
lsi.1048576             up    up   vpls    
. . .
<some output removed for brevity>

Significado

El resultado del show interfaces terse comando muestra que todas las interfaces físicas y lógicas utilizadas en esta configuración son operativas.

Comprobación de asociaciones de seguridad IPsec

Propósito

Compruebe que las asociaciones de seguridad IKE e IPsec estén activas en el dispositivo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show security ike security-association comandos y show security ipsec security-association .

content_copy zoom_out_map
user@SRX1> show security ike security-associations
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address   
6699112 UP     2a5d1a37e5bd0cd1  09880f53cdbb35bb  Main           172.16.23.1     


user@SRX1>  show security ipsec security-associations
  Total active tunnels: 1     Total Ipsec sas: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway   
  <131073 ESP:3des/sha1   f1396d7e 1868/ unlim  -   root 500   172.16.23.1     
  >131073 ESP:3des/sha1   ff799c04 1868/ unlim  -   root 500   172.16.23.1 

Significado

El resultado muestra el estado Up esperado para la sesión IKE y que se ha establecido correctamente un túnel IPsec.

Comprobación de OSPF y BGP

Propósito

Compruebe que OSPF y BGP funcionan correctamente en el túnel GRE. Recuerde que el túnel GRE se enruta a su vez sobre el túnel IPsec verificado en el paso anterior. En este ejemplo, la operación correcta de OSPF/BGP comprueba indirectamente que el tráfico pueda pasar por el túnel GRE (y, a continuación, por IPsec). Si lo desea, puede hacer ping al punto de conexión GRE para una verificación adicional.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show ospf neighbor comandos y show bgp summary .

content_copy zoom_out_map
user@SRX1> show ospf neighbor
Address          Interface              State           ID               Pri  Dead
172.16.255.2     gr-0/0/0.0             Full            10.255.255.2     128    33


user@SRX1> show bgp summary
  Threading mode: BGP I/O
Default eBGP mode: advertise - accept, receive - accept
Groups: 1 Peers: 1 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0               
                       0          0          0          0          0          0
inet.2               
                       0          0          0          0          0          0
bgp.l3vpn.0          
                       1          1          0          0          0          0
bgp.l3vpn.2          
                       0          0          0          0          0          0
bgp.l2vpn.0          
                       1          1          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.255.255.2          65100        988        988       0       1     7:21:03 Establ
  inet.0: 0/0/0/0
  inet.2: 0/0/0/0
  bgp.l3vpn.0: 1/1/1/0
  bgp.l3vpn.2: 0/0/0/0
  bgp.l2vpn.0: 1/1/1/0
  L3VPN.inet.0: 1/1/1/0
  VPLS.l2vpn.0: 1/1/1/0

Significado

La salida confirma el estado vecino esperado de OSPF de full. Este vecino de OSPF está estanlished sobre la interfaz GRE. Dado que OSPF está operativo, es de esperar que el SRX local haya aprendido la ruta a la dirección de circuito cerrado del SRX remoto. Esta ruta permite establecer la sesión de emparejamiento de IBGP basada en bucle cerrado (sobre el túnel GRE). El resultado del show bgp summary comando confirma que la sesión BGP está en el estado establecido y que está intercambiando rutas L3VPN y L2VPN.

Verificación del funcionamiento de LDP

Propósito

Compruebe que LDP funciona correctamente en el túnel GRE. LDP funciona como el protocolo de señalización MPLS en este ejemplo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show ldp neighbor comandos y show ldp session .

content_copy zoom_out_map
user@SRX1> show ldp neighbor
Address                             Interface       Label space ID     Hold time
172.16.255.2                        gr-0/0/0.0      10.255.255.2:0       12


user@SRX1>  show ldp session
  Address                           State       Connection  Hold time  Adv. Mode
10.255.255.2                        Operational Open          28         DU

Significado

El resultado confirma la relación de vecino LDP esperada a través de la interfaz GRE. El resultado del comando confirma el show ldp session establecimiento correcto de la sesión en la dirección de circuito cerrado del dispositivo SRX remoto. Esto permite a LDP intercambiar etiquetas de transporte que, a su vez, admiten el reenvío de MPLS para los clientes VPN.

Verificación de la conexión VPLS

Propósito

Verifique que la conexión VPLS esté en estado activo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba el show vpls connections comando.

content_copy zoom_out_map
user@SRX1> show vpls connections
Layer-2 VPN connections:

Legend for connection status (St)   
EI -- encapsulation invalid      NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch     WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down    NP -- interface hardware not present 
CM -- control-word mismatch      -> -- only outbound connection is up
CN -- circuit not provisioned    <- -- only inbound connection is up
OR -- out of range               Up -- operational
OL -- no outgoing label          Dn -- down                      
LD -- local site signaled down   CF -- call admission control failure      
RD -- remote site signaled down  SC -- local and remote site ID collision
LN -- local site not designated  LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status  IL -- no incoming label
MM -- MTU mismatch               MI -- Mesh-Group ID not available
BK -- Backup connection          ST -- Standby connection
PF -- Profile parse failure      PB -- Profile busy
RS -- remote site standby        SN -- Static Neighbor
LB -- Local site not best-site   RB -- Remote site not best-site
VM -- VLAN ID mismatch           HS -- Hot-standby Connection

Legend for interface status 
Up -- operational           
Dn -- down

Instance: VPLS
Edge protection: Not-Primary
  Local site: 1 (1)
    connection-site           Type  St     Time last up          # Up trans
    2                         rmt   Up     Aug 25 07:52:38 2021           1
      Remote PE: 10.255.255.2, Negotiated control-word: No
      Incoming label: 262146, Outgoing label: 262145
      Local interface: lsi.1048578, Status: Up, Encapsulation: VPLS
        Description: Intf - vpls VPLS local site 1 remote site 2
      Flow Label Transmit: No, Flow Label Receive: No

Significado

El resultado muestra el estado esperado Up para la conexión VPLS. Con la conexión operativa, los dispositivos cliente VPN deberían poder pasar tráfico.

Verificación de la conectividad VPLS de extremo a extremo para paquetes grandes con DNF establecido

Propósito

Compruebe que los dispositivos cliente VPLS de capa 2 puedan enviar tramas de 1500 bytes con el bit DNF establecido. Dado que se trata de un servicio de capa 2, la fragmentación no es posible. Como resultado, el bit DNF funciona de extremo a extremo. Recuerde que con la configuración de este ejemplo, dicha configuración da como resultado que el dispositivo SRX de entrada fragmente el paquete IPsec después de cifrar el tráfico (postfragmentación). La postfragmentación se produce cuando el tráfico sale de la interfaz ge-0/0/1 orientada hacia la WAN.

La fragmentación posterior obliga al dispositivo SRX remoto a volver a ensamblar el paquete antes de que pueda realizar el descifrado, lo que puede afectar el rendimiento del reenvío del tráfico cifrado. Este es el comportamiento esperado cuando se usa la df-bit clear opción. La demostración de este comportamiento es la razón de este NCE. Las otras df-bit opciones, a saber df-bit copy , y , dan como resultado el descarte de paquetes y df-bit setla generación de un mensaje de error ICMP para paquetes VPN que superan la MTU WAN cuando el cliente VPN establece el bit DNF.

Acción

Desde el modo operativo en el host VPLS1, haga ping al host VPLS2 de manera que genere un paquete IP de 1500 bytes con el bit DNF establecido. Cuando se agrega la sobrecarga MPLS, GRE e IPsec de este tráfico, supera la MTU de la interfaz WAN saliente. Dado que la prefragmentación se bloquea en virtud de que se trata de un servicio de capa 2 (o, en el caso del cliente L3VPN, estableciendo el bit DNF), dicho paquete fuerza la postfragmentación en función de la configuración de la opción.df-bit clear

La configuración y el funcionamiento de los dispositivos cliente VPN están fuera del ámbito de este ejemplo. Para las pruebas, se utiliza un enrutador MX para actuar como clientes VPN. Como resultado, el comando ping demostrado se basa en la CLI de Junos.

content_copy zoom_out_map
user@vpls-host1> ping 192.168.2.102 size 1472 do-not-fragment count 2

PING 192.168.2.102 (192.168.2.102): 1472 data bytes
1480 bytes from 192.168.2.102: icmp_seq=0 ttl=64 time=23.045 ms
1480 bytes from 192.168.2.102: icmp_seq=1 ttl=64 time=5.342 ms

--- 192.168.2.102 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.342/14.194/23.045/8.852 ms

Significado

El resultado muestra que los pings se realizan correctamente. Los 1480 bytes de tráfico de eco dan como resultado un paquete IP de 1500 bytes cuando se agrega el encabezado IP de 20 bytes. Por lo tanto, los resultados confirman que el dispositivo cliente VPLS puede intercambiar paquetes de 1.500 bytes a través de un enlace WAN con una MTU de 1.500 bytes, a pesar de la sobrecarga de encapsulación. Recuerde que debido a que este es un servicio de capa 2, la fragmentación no es posible y el bit DNF funciona de extremo a extremo. Sin embargo, el uso del bit DNF es importante cuando se prueba el cliente L3VPN, ya que el dispositivo PE puede fragmentar el tráfico IP.

Verificación de la fragmentación de IP en la interfaz de salida

Propósito

Verifique que el tráfico de cliente VPLS que supere la MTU WAN esté fragmentado en la interfaz ge-0/0/1.0 saliente. La temporización es importante en este paso porque el tráfico OSPF, LDP y BGP en segundo plano hace que los contadores de interfaz ge-0/0/0.0 aumenten. El objetivo es generar 100 paquetes de 1.500 bytes desde el host VPLS y, a continuación, comparar rápidamente las estadísticas de IPsec y de interfaz para confirmar que se ven aproximadamente el doble de paquetes en la interfaz WAN saliente en comparación con los recuentos en el túnel IPsec.

Acción

Desde el modo operativo en la puerta de enlace de servicios de la serie SRX, borre las estadísticas de IPsec y de interfaz con los clear interfaces statistics all comandos y clear security ipsec statistics . A continuación, genere 100 pings rápidos con un tamaño de paquete de 1.500 bytes entre los puntos finales del VPLS. Cuando se completen los pings, muestre los recuentos de paquetes para el túnel IPsec y la interfaz ge-0/0/1 con los show interfaces ge-0/0/1 detail comandos y show security ipsec statistics .

content_copy zoom_out_map
user@SRX1> clear interfaces statistics all
user@SRX1> clear interfaces statistics all

Genere 100 pings rápidos con un tamaño de paquete de 1.500 bytes entre los puntos finales del VPLS. Esto no se muestra por brevedad. Consulte el comando en el paso anterior. No se muestra aquí por brevedad.

content_copy zoom_out_map
user@SRX1> show interfaces ge-0/0/1 detail
Physical interface: ge-0/0/1, Enabled, Physical link is Up
  Interface index: 136, SNMP ifIndex: 509, Generation: 139
  Description: Internet
  Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Link-mode: Full-duplex, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None,
  Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  Link flags     : None
  CoS queues     : 8 supported, 8 maximum usable queues
  Hold-times     : Up 0 ms, Down 0 ms
  Current address: 56:04:19:00:3a:7b, Hardware address: 56:04:19:00:3a:7b
  Last flapped   : 2021-08-27 12:17:01 PDT (01:27:43 ago)
  Statistics last cleared: 2021-08-27 13:44:28 PDT (00:00:16 ago)
  Traffic statistics:
   Input  bytes  :               163440                    0 bps
   Output bytes  :               162000                    0 bps
   Input  packets:                  210                    0 pps
   Output packets:                  200                    0 pps
  Egress queues: 8 supported, 4 in use
. . .

user@SRX1> show security ipsec statistics 
ESP Statistics:
  Encrypted bytes:           161896
  Decrypted bytes:           155722
  Encrypted packets:            113
  Decrypted packets:            112
. . .

Significado

El resultado del show interfaces ge-0/0/1.0 detail comando muestra que se han enviado y recibido más de 200 paquetes. Por el contrario, las estadísticas de IPsec confirman un recuento de alrededor de 100 paquetes. Esto confirma que cada paquete enviado por el cliente VPLS estaba fragmentado en la interfaz ge-0/0/1.0 orientada a la WAN.

Verificación de L3VPN

Propósito

Verifique el funcionamiento de L3VPN.

Acción

Desde el modo operativo en la puerta de enlace de servicios de la serie SRX, muestre la ruta a la subred remota de L3VPN con el show route comando. A continuación, genere pings al punto de conexión remoto de L3VPN para verificar la conectividad.

content_copy zoom_out_map
user@SRX1> show route 192.168.1.0/24
L3VPN.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

192.168.1.0/24     *[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
                      AS path: I, validation-state: unverified
                    >  via gr-0/0/0.0, Push 16

bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

10.255.255.2:1000:192.168.1.0/24                
                   *[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
                      AS path: I, validation-state: unverified
                    >  via gr-0/0/0.0, Push 16

Pruebe la conectividad desde el SRX local al punto de conexión VPN remoto:

content_copy zoom_out_map
user@SRX1> ping 192.168.1.101 routing-instance L3VPN count 2
PING 192.168.1.101 (192.168.1.101): 56 data bytes
64 bytes from 192.168.1.101: icmp_seq=0 ttl=63 time=3.485 ms
64 bytes from 192.168.1.101: icmp_seq=1 ttl=63 time=3.412 ms

--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.412/3.449/3.485/0.036 ms
Nota:

En esta configuración, un ping desde el SRX local al cliente L3VPN local no se realiza correctamente. Esto se relaciona con el uso del modo de paquete y la falta de zonas de seguridad para las interfaces VPN. Como se muestra arriba, puede hacer ping desde el SRX local a los destinos remotos de L3VPN. Aunque no se muestra, se espera que un ping generado desde el cliente L3VPN local a la interfaz PE VRF local se realice correctamente.

Pruebe la conectividad de extremo a extremo para L3VPN. Genere pings jumbo entre los puntos finales del cliente L3VPN. Recuerde que el cliente L3VPN está configurado con una MTU 4k en este ejemplo. Una vez más, usamos un enrutador MX para reemplazar el cliente L3VPN, por lo que se usa la sintaxis ping de Junos:

content_copy zoom_out_map
user@l3vpn1> ping 192.168.1.101 size 3000 do-not-fragment count 2
PING 192.168.1.101 (192.168.1.101): 3000 data bytes
3008 bytes from 192.168.1.101: icmp_seq=0 ttl=62 time=5.354 ms
3008 bytes from 192.168.1.101: icmp_seq=1 ttl=62 time=5.607 ms

--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.354/5.481/5.607/0.126 ms

Significado

El resultado muestra que la ruta al cliente L3VPN remoto se aprende correctamente a través de BGP y que apunta a la interfaz GRE con una operación de etiqueta MPLS. Los resultados de las pruebas de ping confirman la conectividad esperada para L3VPN incluso cuando se envían pings de 3.000 + bytes con el bit DNF establecido.

external-footer-nav