Hướng dẫn kỹ thuật CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Email: info@datech.vn
Danh mục sản phẩm
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
Danh mục sản phẩm
Router 
Firewall 
Switch 
Wifi - Access Point 
Máy chủ ( Server ) 
Thiết bị lưu trữ NAS 
Networking Accessories 
Video Conference 
Vật tư mạng 
Tổng đài & điện thoại 
Bộ lưu điện UPS 
13/12/2021
13/12/2021
Danh sách nội dung [Ẩn]
Cấu hình VPN BGP trên thiết bị Switch Juniper EX Series
Khách hàng của nhà cung cấp dịch vụ VPN có thể là nhà cung cấp dịch vụ cho khách hàng cuối. Sau đây là hai loại VPN chính của nhà mạng (như được mô tả trong RFC 4364:
Nhà cung cấp dịch vụ Internet là Khách hàng — Khách hàng VPN là ISP sử dụng mạng của nhà cung cấp dịch vụ VPN để kết nối các mạng khu vực khác nhau về mặt địa lý. Khách hàng không phải cấu hình MPLS trong các mạng khu vực của mình.
Nhà cung cấp dịch vụ VPN là Khách hàng — Bản thân khách hàng VPN là nhà cung cấp dịch vụ VPN cung cấp dịch vụ VPN cho khách hàng của mình. Khách hàng dịch vụ VPN của nhà mạng dựa vào nhà cung cấp dịch vụ VPN xương sống để kết nối giữa các trang web. Nhà cung cấp dịch vụ VPN của khách hàng được yêu cầu chạy MPLS trong các mạng khu vực của mình.
Chủ đề này bao gồm những nội dung sau:
Nhà cung cấp dịch vụ Internet là khách hàng
Trong loại cấu hình VPN giữa các nhà mạng này, ISP A sẽ cấu hình mạng của mình để cung cấp dịch vụ Internet cho ISP B. ISP B cung cấp kết nối cho khách hàng muốn có dịch vụ Internet, nhưng dịch vụ Internet thực tế được cung cấp bởi ISP A.
Loại cấu hình VPN giữa các nhà mạng này có các đặc điểm sau:
Khách hàng sử dụng dịch vụ VPN của nhà mạng (ISP B) không cần phải cấu hình MPLS trên mạng của mình.
Nhà cung cấp dịch vụ VPN của nhà mạng (ISP A) phải cấu hình MPLS trên mạng của mình.
MPLS cũng phải được cấu hình trên các router CE và router PE được kết nối với nhau trong mạng của khách hàng dịch vụ VPN của nhà mạng và mạng của nhà cung cấp dịch vụ VPN của nhà mạng.
Nhà cung cấp dịch vụ VPN là khách hàng
Nhà cung cấp dịch vụ VPN có thể có những khách hàng tự họ là nhà cung cấp dịch vụ VPN. Trong loại cấu hình này, còn được gọi là VPN phân cấp hoặc đệ quy, các tuyến VPN-IPv4 của nhà cung cấp dịch vụ VPN của khách hàng được coi là các tuyến bên ngoài và nhà cung cấp dịch vụ VPN backbone không nhập chúng vào bảng VRF của mình. Nhà cung cấp dịch vụ VPN backbone chỉ nhập các tuyến nội bộ của nhà cung cấp dịch vụ VPN của khách hàng vào bảng VRF của mình.
Điểm giống và khác nhau giữa VPN giữa nhà cung cấp và nhà mạng của các nhà mạng được thể hiện trong Bảng 1 .
Tính năng | Khách hàng ISP | Nhà cung cấp dịch vụ VPN Khách hàng |
|---|---|---|
Thiết bị biên khách hàng | Router biên giới AS | Router PE |
Phiên họp IBGP | Mang theo các tuyến đường IPv4 | Mang theo các tuyến VPN-IPv4 bên ngoài với các nhãn liên quan |
Chuyển tiếp trong mạng lưới khách hàng | MPLS là tùy chọn | MPLS là bắt buộc |
Hỗ trợ dịch vụ VPN dành cho khách hàng được hỗ trợ trên các switch QFX10000 bắt đầu từ Junos OS Phiên bản 17.1R1.
Tất cả VPN giữa các nhà cung cấp và giữa các nhà cung cấp đều có những đặc điểm chung sau:
Mỗi khách hàng VPN giữa các nhà cung cấp hoặc giữa các nhà cung cấp phải phân biệt giữa các tuyến khách hàng nội bộ và bên ngoài.
Nhà cung cấp dịch vụ VPN phải duy trì các tuyến đường nội bộ của khách hàng trong router PE của mình.
Các tuyến đường của khách hàng bên ngoài chỉ được thực hiện bởi nền tảng định tuyến của khách hàng, không phải bởi nền tảng định tuyến của nhà cung cấp dịch vụ VPN.
Sự khác biệt chính giữa VPN các nhà cung cấp và VPN giữa các nhà cung cấp là liệu các trang web của khách hàng có thuộc cùng một AS hay các AS riêng biệt hay không:
VPN liên kết nhà cung cấp — Các site của khách hàng thuộc về các AS khác nhau. Bạn cần cấu hình EBGP để trao đổi các tuyến đường bên ngoài của khách hàng.
Hiểu về VPN của nhà mạng của nhà mạng — Các site của khách hàng thuộc cùng một AS. Bạn cần cấu hình IBGP để trao đổi các tuyến đường bên ngoài của khách hàng.
Nhìn chung, mỗi nhà cung cấp dịch vụ trong hệ thống phân cấp VPN được yêu cầu duy trì các tuyến nội bộ của riêng mình trong các router P và các tuyến nội bộ của khách hàng trong các router PE. Bằng cách áp dụng quy tắc này một cách đệ quy, có thể tạo ra một hệ thống phân cấp VPN.
Sau đây là định nghĩa về các loại router PE dành riêng cho VPN giữa các nhà cung cấp và giữa các nhà cung cấp:
Router biên giới AS nằm ở biên giới AS và xử lý lưu lượng ra vào AS.
Router PE cuối là bộ định tuyến PE trong VPN của khách hàng; nó được kết nối với router CE tại địa điểm của khách hàng cuối.
Bạn có thể cấu hình dịch vụ VPN của nhiều nhà mạng cho những khách hàng muốn sử dụng dịch vụ VPN.
Để cấu hình router (hoặc switch) trong mạng của khách hàng và nhà cung cấp để kích hoạt dịch vụ VPN của nhà mạng, hãy thực hiện các bước trong các phần sau:
Cấu hình Router PE của khách hàng nhà cung cấp dịch vụ của nhà cung cấp dịch vụ
Router PE (hoặc Switch) của khách hàng là nhà mạng của các nhà mạng được kết nối với router CE (hoặc switch) của khách hàng cuối.
Các phần sau đây mô tả cách cấu hình router PE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng:
Cấu hình MPLS
Để cấu hình MPLS trên router PE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng, hãy bao gồm lệnh mpls:
mpls { interface interface-name; interface interface-name; } |
Bạn có thể đưa câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình BGP
Bao gồm câu lệnh labeled-unicast trong cấu hình cho phiên IBGP tới router PE (hoặc switch) của khách hàng thuộc nhà mạng của nhà mạng (và switch) và bao gồm câu lệnh family-inet-vpn trong cấu hình cho phiên IBGP tới router PE (hoặc switch) của nhà mạng của nhà mạng ở phía bên kia của mạng:
bgp { group group-name { type internal; local-address address; neighbor address { family inet { labeled-unicast; resolve-vpn; } } } neighbor address { family inet-vpn { any; } } } |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình OSPF
Để cấu hình OSPF trên router PE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng, hãy bao gồm câu lệnh ospf:
ospf { area area-id { interface interface-name { passive; } interface interface-name; } } |
Bạn có thể đưa câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình LDP
Để cấu hình LDP trên router PE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng, hãy bao gồm câu lệnh ldp:
ldp { interface interface-name; } |
Bạn có thể đưa câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình dịch vụ VPN trong phiên bản định tuyến
Để cấu hình dịch vụ VPN cho router CE (hoặc switch) của khách hàng cuối trên router PE (hoặc switch) của khách hàng là nhà mạng của nhà mạng, hãy bao gồm các câu lệnh sau:
instance-type vrf; interface interface-name; route-distinguisher address; vrf-import policy-name; vrf-export policy-name; protocols { bgp { group group-name { peer-as as-number; neighbor address; } } } |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Cấu hình policy options
Để cấu hình các tùy chọn chính sách nhằm nhập và xuất các tuyến đường đến và đi từ router CE (hoặc switch) của khách hàng cuối, hãy bao gồm các câu lệnh policy-statement và community:
policy-statement policy-name { term term-name { from { protocol bgp; community community-name; } then accept; } term term-name { then reject; } } policy-statement policy-name { term term-name { from protocol bgp; then { community add community-name; accept; } } term term-name { then reject; } } community community-name members value; |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Cấu hình Router CE (hoặc switch) của khách hàng là nhà cung cấp dịch vụ của nhà cung cấp dịch vụ
Router CE (hoặc switch) của khách hàng là nhà mạng của nhà mạng kết nối với router PE (hoặc switch) của nhà cung cấp. Hoàn thành các hướng dẫn trong các phần sau để cấu hình router CE (hoặc switch) của khách hàng là nhà mạng của nhà mạng:
Cấu hình MPLS
Trong cấu hình MPLS cho Router CE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng, hãy bao gồm các giao diện tới Router PE (hoặc switch) của nhà cung cấp và tới Router P (hoặc switch) trong mạng của khách hàng:
mpls { traffic-engineering bgp-igp; interface interface-name; interface interface-name; } |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình BGP
Trong cấu hình BGP cho Router CE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng, hãy cấu hình một nhóm bao gồm câu lệnh labeled-unicast mở rộng dịch vụ VPN tới Router PE (hoặc switch) được kết nối với Router CE (hoặc switch) của khách hàng cuối:
bgp { group group-name { type internal; local-address address; neighbor address { family inet { labeled-unicast; } } } } |
Bạn có thể đưa câu lệnh bgp vào các cấp phân cấp sau:[edit protocols]
[edit logical-systems logical-system-name protocols]
Để cấu hình một nhóm gửi các tuyến nội bộ được gắn nhãn đến bộ định tuyến PE (hoặc bộ chuyển mạch) của nhà cung cấp, hãy bao gồm bgpcâu lệnh:
bgp { group group-name { export internal; peer-as as-number; neighbor address { family inet { labeled-unicast; } } } } |
Bạn có thể đưa câu lệnh này vào các cấp bậc phân cấp sau:[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình OSPF và LDP
Để cấu hình OSPF và LDP trên Router CE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng, hãy bao gồm các câu lệnh ospf và ldp:
ospf { area area-id { interface interface-name { passive; } interface interface-name; } } ldp { interface interface-name; } |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình policy options
Để cấu hình các tùy chọn chính sách trên Router CE (hoặc switch) của khách hàng là nhà mạng của các nhà mạng, hãy bao gồm câu lệnh policy-statement:
policy-statement policy-statement-name { term term-name { from protocol [ ospf direct ldp ]; then accept; } term term-name { then reject; } } |
Bạn có thể đưa câu lệnh này vào các cấp bậc phân cấp sau:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Cấu hình Router hoặc Switch PE của nhà cung cấp
Router PE (hoặc switch) của nhà cung cấp dịch vụ của nhà cung cấp kết nối với Router CE (hoặc switch) của khách hàng nhà cung cấp. Hoàn thành hướng dẫn trong các phần sau để cấu hình Router PE (hoặc switch) của nhà cung cấp:
Cấu hình MPLS
Trong cấu hình MPLS, hãy chỉ định ít nhất hai giao diện — một giao diện với Router CE (hoặc switch) của khách hàng và một giao diện để kết nối với Router PE (hoặc switch) của nhà cung cấp ở phía bên kia mạng của nhà cung cấp:
interface interface-name; interface interface-name; |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Cấu hình phiên PE-to-PE BGP
Để cấu hình phiên PE-to-PE BGP trên Router PE (hoặc switch) của nhà cung cấp để cho phép các tuyến VPN-IPv4 đi qua giữa các Router CE (hoặc switch), hãy bao gồm câu lệnh bgp:
bgp { group group-name { type internal; local-address address; family inet-vpn { any; } neighbor address; } } |
Bạn có thể đưa câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình IS-IS và LDP
Để cấu hình IS-IS và LDP trên Router PE (hoặc switch) của nhà cung cấp, hãy bao gồm các câu lệnh isis và ldp:
isis { interface interface-name; interface interface-name { passive; } } ldp { interface interface-name; } |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit protocols]
[edit logical-systems logical-system-name protocols]
Cấu hình Policy Options
Để cấu hình các câu lệnh chính sách trên router PE (hoặc switch) của nhà cung cấp để xuất các tuyến đến và nhập các tuyến từ mạng của khách hàng là nhà cung cấp dịch vụ, hãy bao gồm các câu lệnh policy-statement và community:
policy-statement statement-name { term term-name { from { protocol bgp; community community-name; } then accept; } term term-name { then reject; } } policy-statement statement-name { term term-name { from protocol bgp; then { community add community-name; accept; } } term term-name { then reject; } } community community-name members value; |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Cấu hình một phiên bản định tuyến để gửi các tuyến đường đến router CE
Để cấu hình phiên bản định tuyến trên Router PE (hoặc switch) của nhà cung cấp để gửi các tuyến được gắn nhãn đến Router CE (hoặc switch) của khách hàng nhà mạng, hãy bao gồm các câu lệnh sau:
instance-type vrf; interface interface-name; route-distinguisher value; vrf-import policy-name; vrf-export policy-name; protocols { bgp { group group-name { peer-as as-number; neighbor address { family inet { labeled-unicast; } } } } } |
Bạn có thể đưa những câu lệnh này vào các cấp bậc phân cấp sau:[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]Như vậy là chúng ta đã hoàn thành Cấu hình VPN BGP trên thiết bị Switch Juniper EX Series, chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc.
Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.
Hẹn gặp lại các bạn trong các bài viết tiếp theo !
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
• Điện thoại: 02432012368
• Hotline: 098 115 6699
• Email: info@datech.vn
• Website: https://datech.vn
