Cấu hình VPN Layer 3 dựa trên MPLS cơ bản trên Switch Juniper EX Series

Cấu hình VPN Layer 3 dựa trên MPLS cơ bản trên Switch Juniper EX Series

Ví dụ này Datech sẽ hướng dẫn A/C cách cấu hình và kiểm tra một VPN Layer 3 dựa trên MPLS cơ bản trên các router hoặc switch chạy hệ điều hành Junos OS. Ví dụ sử dụng IPv4 và giao thức định tuyến EBGP giữa thiết bị biên của nhà cung cấp (PE) và thiết bị biên của khách hàng (CE).

**Lưu ý: Đội kiểm tra nội dung của chúng tôi đã xác thực và cập nhật ví dụ này.

Bạn có thể triển khai một mạng riêng ảo (VPN) Layer 3 dựa trên MPLS bằng cách sử dụng router và switch chạy Junos OS để kết nối các site của khách hàng với khả năng kết nối Layer 3. Mặc dù có thể sử dụng định tuyến tĩnh (static routing), nhưng trong hầu hết các trường hợp, VPN Layer 3 yêu cầu các thiết bị khách hàng trao đổi thông tin định tuyến với mạng của nhà cung cấp và hỗ trợ giao thức IP (IPv4/IPv6).

Điều này khác với VPN Layer 2, nơi mà các thiết bị khách hàng có thể không sử dụng giao thức IP, và nếu có định tuyến thì quá trình này diễn ra giữa các thiết bị biên khách hàng (CE). Khác với VPN Layer 3, nơi thiết bị CE phải peer với thiết bị PE của nhà cung cấp, VPN Layer 2 truyền tải lưu lượng khách hàng qua mạng lõi của nhà cung cấp một cách trong suốt mà không cần tham gia vào quá trình định tuyến giữa các thiết bị CE.

VPN dựa trên MPLS yêu cầu mạng của nhà cung cấp phải có các chức năng MPLS cơ bản. Khi MPLS đã hoạt động, bạn có thể cấu hình VPN sử dụng Label-Switched Paths (LSPs) để truyền tải dữ liệu qua mạng lõi của nhà cung cấp.

Việc thêm các dịch vụ VPN không ảnh hưởng đến hoạt động chuyển mạch MPLS cơ bản trong mạng nhà cung cấp. Thực tế, các thiết bị Provider (P) chỉ cần một cấu hình MPLS cơ bản vì chúng không xử lý thông tin VPN. Trạng thái VPN chỉ được duy trì trên các thiết bị Provider Edge (PE), đây là một trong những lý do chính giúp VPN dựa trên MPLS có khả năng mở rộng tốt.

Yêu Cầu Hệ Thống

Ví dụ này sử dụng các thành phần phần mềm và phần cứng sau:

• Junos OS phiên bản 12.3 trở lên cho các thiết bị định tuyến và chuyển mạch
  • Đã kiểm tra lại trên Junos OS phiên bản 20.3R1
• Hai thiết bị biên của nhà cung cấp (PE - Provider Edge)
• Một thiết bị trong mạng lõi của nhà cung cấp (P - Provider)
• Hai thiết bị biên của khách hàng (CE - Customer Edge)

Ví dụ này tập trung vào việc thêm VPN Layer 3 vào một cấu hình MPLS sẵn có. Trong trường hợp mạng của bạn chưa triển khai MPLS, một cấu hình MPLS cơ bản cũng được cung cấp.

Yêu Cầu Cấu Hình MPLS Cơ Bản

Để hỗ trợ VPN dựa trên MPLS, hệ thống MPLS nền tảng phải đáp ứng các yêu cầu sau:

• Các giao diện hướng về mạng lõi (core-facing) và loopback phải hoạt động và hỗ trợ MPLS
• Sử dụng giao thức định tuyến nội bộ (IGP) như OSPF hoặc IS-IS để đảm bảo kết nối giữa các địa chỉ loopback của thiết bị P và PE
• Sử dụng giao thức báo hiệu MPLS như LDP hoặc RSVP để thiết lập Label-Switched Paths (LSPs)
• Các LSPs phải được thiết lập giữa các địa chỉ loopback của các thiết bị PE

Trong một VPN Layer 3, các LSPs phải tồn tại giữa mọi cặp thiết bị PE tham gia vào VPN. Để đảm bảo khả năng mở rộng trong tương lai, nên xây dựng LSPs giữa tất cả các thiết bị PE. Bạn cấu hình LSPs tại cấp [edit protocols mpls]. Không giống như cấu hình MPLS cho Circuit Cross-Connect (CCC), bạn không cần ánh xạ thủ công LSP với giao diện kết nối khách hàng của PE. Thay vào đó, VPN Layer 3 sử dụng BGP để trao đổi thông tin định tuyến giữa các site VPN, giúp tự động ánh xạ các site VPN từ xa vào các LSPs tương ứng. Điều này có nghĩa là, trong VPN Layer 3, không cần ánh xạ tường minh giữa một LSP và giao diện hướng khách hàng (edge-facing) của PE.

Tổng Quan và Mô Hình Mạng

VPN Layer 3 cho phép khách hàng tận dụng chuyên môn kỹ thuật của nhà cung cấp dịch vụ để đảm bảo định tuyến hiệu quả giữa các site. Thiết bị biên của khách hàng (CE - Customer Edge) thường sử dụng một giao thức định tuyến như BGP hoặc OSPF để trao đổi thông tin định tuyến với thiết bị biên của nhà cung cấp (PE - Provider Edge). Mặc dù định tuyến tĩnh (Static Routing) được hỗ trợ trong VPN Layer 3, nhưng định tuyến động (Dynamic Routing) vẫn được ưu tiên sử dụng do tính linh hoạt và khả năng mở rộng.

Việc định nghĩa VPN Layer 3 chỉ yêu cầu cấu hình trên các thiết bị PE tại hai đầu (local PE và remote PE). Không cần cấu hình bổ sung trên thiết bị Provider (P) (giả sử mạng MPLS đã được thiết lập và hoạt động), vì các thiết bị này chỉ thực hiện chức năng chuyển mạch MPLS cơ bản. Thiết bị CE không chạy MPLS, mà chỉ cần cấu hình giao diện kết nối và giao thức định tuyến để có thể trao đổi thông tin với PE.

Trong VPN Layer 3, thiết bị CE sẽ thiết lập quan hệ peering với thiết bị PE cục bộ. Điều này khác với VPN Layer 2, nơi mà các thiết bị CE peer trực tiếp với nhau như thể chúng đang trên cùng một liên kết vật lý, mặc dù chúng được kết nối qua mạng MPLS của nhà cung cấp. Các thành phần cấu hình cần thiết trên thiết bị PE

Sau khi mạng MPLS nền tảng (MPLS baseline) đã hoạt động, bạn cần cấu hình các thành phần sau trên thiết bị PE để thiết lập VPN Layer 3 dựa trên MPLS:

• Nhóm BGP (BGP group) hỗ trợ family inet-vpn unicast
• Routing instance với instance-type vrf và một giao thức định tuyến phù hợp với thiết bị CE được kết nối
• Giao diện hướng khách hàng trên PE được cấu hình với family inet, sử dụng địa chỉ IPv4 trong cùng subnet với thiết bị CE. Nếu cần, có thể thêm VLAN encapsulation và VLAN ID tương ứng.

Để đảm bảo kết nối end-to-end, thiết bị CE cần được cấu hình với: Subnet IP phù hợp với PE, thông số định tuyến để hỗ trợ peering với PE

Hình 1 minh họa mô hình VPN Layer 3 dựa trên MPLS, bao gồm: Tên giao diện, Địa chỉ IP, giao thức định tuyến được sử dụng trong mạng nhà cung cấp và mạng khách hàng, quan hệ peering giữa CE và PE. Trong ví dụ này, mỗi thiết bị CE sẽ thiết lập phiên peering EBGP với PE cục bộ. Cả mạng nhà cung cấp (provider) và mạng khách hàng đều được gán mã hệ thống tự trị (ASN - Autonomous System Number) để hỗ trợ BGP. Chính sách định tuyến (Routing Policy) trên thiết bị CE sẽ được áp dụng để quảng bá các tuyến đường trực tiếp (direct routes) của giao diện kết nối với nhà cung cấp và địa chỉ loopback.

Hình 1: Mô hình VPN Layer 3 dựa trên MPLS với giao thức định tuyến EBGP giữa PE và CE

Cấu Hình Nhanh

Sử dụng các cấu hình trong phần này để nhanh chóng triển khai VPN Layer 3 dựa trên MPLS. Các cấu hình bao gồm một MPLS baseline hoạt động để hỗ trợ VPN Layer 3 của bạn. Ví dụ này tập trung vào các khía cạnh liên quan đến VPN.

Tham khảo các liên kết sau để biết thêm chi tiết về cấu hình MPLS cơ bản được sử dụng trong ví dụ này:

Cấu Hình Nhanh Bằng CLI

Lưu ý: Cấu hình trên thiết bị bỏ qua các thành phần như giao diện quản lý (management interface), định tuyến tĩnh (static routes), ghi log hệ thống (system logging), dịch vụ hệ thống (system services) và thông tin đăng nhập người dùng (user login information). Các phần này phụ thuộc vào từng môi trường cụ thể và không ảnh hưởng trực tiếp đến MPLS hoặc VPN Layer 3.

Chỉnh sửa các lệnh sau phù hợp với môi trường của bạn, sau đó dán chúng vào cửa sổ terminal của thiết bị CE (CE1) trong chế độ cấu hình [edit]:

- Cấu hình hoàn chỉnh cho thiết bị CE1.

 - Cấu hình hoàn chỉnh cho thiết bị PE1.

 - Cấu hình hoàn chỉnh cho thiết bị P.

  - Cấu hình hoàn chỉnh cho thiết bị PE2.

  - Cấu hình hoàn chỉnh cho thiết bị CE1.

Hãy đảm bảo bạn commit các thay đổi cấu hình trên tất cả thiết bị khi đã hoàn tất. Chúc mừng bạn đã triển khai thành công VPN Layer 3 dựa trên MPLS! Hãy tham khảo phần Xác minh (Verification) để kiểm tra xem VPN Layer 3 của bạn có hoạt động như mong đợi hay không.

Cấu hình thiết bị PE1 cho VPN Layer 3 dựa trên MPLS

Phần này hướng dẫn các bước cấu hình thiết bị PE1 theo ví dụ. Trọng tâm là thiết bị PE vì đây là nơi chứa cấu hình VPN. Đối với cấu hình của thiết bị CE và P, hãy tham khảo phần Cấu hình nhanh (Quick Configurations).

Cấu hình MPLS cơ bản (nếu cần)

Trước khi cấu hình VPN Layer 3, hãy đảm bảo rằng thiết bị PE đã có MPLS hoạt động. Nếu MPLS baseline đã có sẵn, bạn có thể bỏ qua phần này và chuyển sang bước cấu hình Layer 3 VPN trên PE.

- Cấu hình hostname.

- Cấu hình các giao diện core và loopback:

**Thực hành tốt nhất (Best Practice): Mặc dù VPN Layer 3 có thể thực hiện phân mảnh (fragmentation) tại thiết bị PE đầu vào, nhưng thực hành tốt nhất là thiết kế mạng sao cho thiết bị CE có thể gửi khung dữ liệu có kích thước tối đa mà không cần phân mảnh. Để tránh phân mảnh, mạng của nhà cung cấp (provider network) phải hỗ trợ kích thước khung lớn nhất mà thiết bị CE có thể tạo ra sau khi PE gán nhãn MPLS và VRF. Ví dụ này giữ nguyên giá trị MTU mặc định là 1500 byte trên thiết bị CE, trong khi cấu hình mạng lõi của nhà cung cấp (provider core) hỗ trợ MTU 4000 byte. Điều này đảm bảo các thiết bị CE không thể vượt quá giới hạn MTU trong mạng của nhà cung cấp, ngay cả khi có độ trễ do MPLS và VRF encapsulation.

Cấu hình giao thức:

**Lưu ý: Kỹ thuật Traffic Engineering được hỗ trợ cho các LSP được signal bằng RSVP, nhưng không bắt buộc đối với MPLS switching hoặc VPN Layer 3 cơ bản. Trong MPLS baseline, RSVP được sử dụng để signal LSPs, đồng thời kích hoạt Traffic Engineering (TE) cho OSPF. Tuy nhiên, không có ràng buộc tuyến đường (path constraints) nào được cấu hình, do đó LSP sẽ được định tuyến theo đường ngắn nhất do giao thức định tuyến IGP xác định.

- Định nghĩa LSP đến địa chỉ loopback của thiết bị PE từ xa:

MPLS baseline đã được cấu hình trên thiết bị PE1. Tiếp tục cấu hình VPN Layer 3.

Quy trình thực hiện (Procedure)

Các bước thực hiện từng bước

Hãy làm theo các bước sau để cấu hình thiết bị PE1 cho VPN Layer 3.

- Cấu hình giao diện kết nối với khách hàng (customer-facing interface):

**Mẹo: Bạn có thể cấu hình đồng thời cả VPN Layer 2 dựa trên MPLS và VPN Layer 3 dựa trên MPLS trên cùng một thiết bị PE. Tuy nhiên, không thể sử dụng cùng một giao diện kết nối với thiết bị CE để hỗ trợ cả hai loại VPN cùng lúc.

- Cấu hình nhóm BGP để thiết lập peering giữa các thiết bị PE cục bộ và PE từ xa. 

Sử dụng địa chỉ loopback của thiết bị PE làm địa chỉ cục bộ. Kích hoạt family inet-vpn unicast để hỗ trợ trao đổi route của VPN Layer 3. Không cần cấu hình routing policy cho BGP trên các thiết bị PE trong ví dụ này. Mặc định, các thiết bị PE tự động

đọc vertise lại các route học được từ phiên EBGP với CE vào IBGP giữa các PE.

**Mẹo: Bạn có thể chỉ định các family địa chỉ khác nếu phiên IBGP giữa các PE cần hỗ trợ trao đổi route không thuộc VPN, chẳng hạn như: inet → Hỗ trợ trao đổi route IPv4 thông thường và inet6 → Hỗ trợ trao đổi route IPv6 thông thường.

- Cấu hình nhóm BGP với kiểu nhóm là "internal" (IBGP)

- Cấu hình địa chỉ loopback của thiết bị PE từ xa làm BGP neighbor.

- Cấu hình Router ID trùng với địa chỉ loopback

• Định nghĩa Router ID bằng địa chỉ loopback của thiết bị.
• Cấu hình số hệ tự trị (ASN) cần thiết để thiết lập BGP peering.

- Cấu hình Routing Instance: Đặt tên instance là CE1_L3vpn và cấu hình instance-type là vrf.

- Cấu hình giao diện hướng khách hàng trên thiết bị PE để thuộc về Routing Instance.

- Cấu hình Route Distinguisher cho Routing Instance. Tham số này dùng để phân biệt các route được gửi từ một VRF cụ thể trên một thiết bị PE cụ thể. Mỗi Routing Instance trên mỗi PE phải có Route Distinguisher (RD) duy nhất.

- Cấu hình Route Target cho bảng Virtual Routing and Forwarding (VRF) của Instance. Câu lệnh vrf-target gán community tag cho tất cả các tuyến được quảng bá và tự động khớp giá trị này để nhập tuyến. Các thiết bị PE trong cùng một VPN phải có Route Target phù hợp để đảm bảo trao đổi route đúng cách.

**Lưu ý: Bạn có thể tạo chính sách nhập/xuất (import/export) phức tạp hơn bằng cách cấu hình chính sách VRF rõ ràng với tùy chọn vrf-import và vrf-export. Xem chi tiết về vrf-import và vrf-export để hiểu rõ hơn.

- Cấu hình Routing Instance hỗ trợ EBGP Peering với thiết bị CE1. Thiết lập peering trực tiếp giữa giao diện PE và giao diện CE1 trong VRF. Xác định đúng số AS của CE1 bằng tham số peer-as.

- Lưu và áp dụng cấu hình trên thiết bị PE1, sau đó quay lại chế độ vận hành CLI.

Kết quả

Hiển thị kết quả của cấu hình trên thiết bị PE1. Đầu ra chỉ phản ánh cấu hình chức năng đã được thêm vào trong ví dụ này.

Cấu hình thiết bị PE từ xa (PE2) cho MPLS-Based Layer 3 VPN

Phần này hướng dẫn các bước cần thiết để cấu hình thiết bị PE2 trong ví dụ này. Trọng tâm là các thiết bị PE vì đây là nơi lưu trữ cấu hình VPN. Tham khảo phần Quick Configurations để xem cấu hình của thiết bị CE và thiết bị P được sử dụng trong ví dụ này.

Cấu hình MPLS Baseline (nếu cần thiết)

Trước khi cấu hình Layer 3 VPN, đảm bảo rằng thiết bị PE đã có một MPLS baseline hoạt động. Nếu đã có sẵn MPLS baseline, bạn có thể bỏ qua phần này và chuyển ngay đến bước cấu hình Layer 3 VPN trên thiết bị PE.

- Cấu hình hostname

- Cấu hình các giao diện core và loopback:

**Thực tiễn tốt nhất: Mặc dù VPN Layer 3 có thể thực hiện phân mảnh tại thiết bị PE đầu vào, nhưng thực tiễn tốt nhất là thiết kế mạng sao cho thiết bị CE có thể gửi một khung có kích thước tối đa mà không cần phân mảnh. Để đảm bảo không xảy ra phân

mảnh, mạng của nhà cung cấp dịch vụ nên hỗ trợ kích thước khung lớn nhất mà thiết bị CE có thể tạo ra sau khi các nhãn MPLS và VRF được thêm vào bởi thiết bị PE.

Ví dụ này giữ nguyên giá trị MTU mặc định của thiết bị CE là 1500 byte, trong khi cấu hình mạng lõi của nhà cung cấp hỗ trợ MTU 4000 byte. Điều này đảm bảo rằng ngay cả khi có thêm phần overhead của MPLS và VRF, thiết bị CE vẫn không vượt quá MTU

trong mạng của nhà cung cấp.

Cấu hình giao thức:

**Lưu ý: Traffic Engineering được hỗ trợ cho LSP sử dụng RSVP, nhưng không bắt buộc đối với việc chuyển mạch MPLS cơ bản hoặc triển khai VPN. Cấu hình MPLS cơ bản trong ví dụ này sử dụng RSVP để báo hiệu LSPs và kích hoạt traffic engineering cho

OSPF. Tuy nhiên, không có ràng buộc đường dẫn nào được thiết lập, do đó, các LSP sẽ được định tuyến dựa trên đường đi ngắn nhất của giao thức định tuyến nội bộ (IGP).

- Xác định LSP (Label Switched Path) đến địa chỉ loopback của thiết bị PE từ xa:

Cấu hình cơ sở MPLS hiện đã được thiết lập trên thiết bị PE1. Tiếp tục cấu hình VPN Layer 3.

Quy trình

Các bước thực hiện từng bước

Thực hiện các bước sau để cấu hình thiết bị PE2 cho VPN Layer 3.

- Cấu hình giao diện kết nối với khách hàng:

**Lưu ý: Bạn có thể cấu hình cả VPN Layer 2 dựa trên MPLS và VPN Layer 3 dựa trên MPLS trên cùng một thiết bị PE. Tuy nhiên, bạn không thể cấu hình cùng một giao diện kết nối với thiết bị CE để hỗ trợ cả VPN Layer 2 và VPN Layer 3.

- Cấu hình một nhóm BGP để thiết lập phiên BGP giữa các thiết bị PE cục bộ và từ xa. Sử dụng địa chỉ loopback của thiết bị PE làm địa chỉ cục bộ và kích hoạt family inet-vpn unicast để hỗ trợ trao đổi tuyến đường VPN Layer 3.

**Mẹo: Bạn có thể chỉ định các họ địa chỉ khác nếu phiên IBGP giữa các thiết bị PE cần hỗ trợ trao đổi tuyến đường không phải VPN, chẳng hạn như các tuyến IPv4 hoặc IPv6 thông thường bằng cách sử dụng các họ inet hoặc inet6.

- Cấu hình loại nhóm BGP là internal.

- Cấu hình địa chỉ loopback của thiết bị PE1 làm neighbor BGP.

- Cấu hình Router ID để khớp với địa chỉ loopback và xác định số hệ thống tự trị (AS) cho BGP.

- Cấu hình phiên bản định tuyến. Chỉ định tên phiên bản là CE2_L3vpn với loại phiên bản (instance-type) là vrf.

- Cấu hình giao diện hướng khách hàng của thiết bị PE để thuộc về phiên bản định tuyến.

- Cấu hình bộ phân biệt tuyến (route distinguisher) cho phiên bản định tuyến. Thiết lập này được sử dụng để phân biệt các tuyến được gửi từ một VRF cụ thể trên một thiết bị PE cụ thể. Giá trị này cần phải là duy nhất cho từng phiên bản định tuyến trên mỗi thiết bị PE.

- Cấu hình mục tiêu tuyến của bảng định tuyến và chuyển tiếp ảo (VRF) cho phiên bản. Câu lệnh vrf-target sẽ thêm thẻ cộng đồng được chỉ định vào tất cả các tuyến được quảng bá, đồng thời tự động khớp giá trị đó để nhập tuyến. Việc cấu hình các mục tiêu

tuyến phù hợp trên các thiết bị PE chia sẻ cùng một VPN là cần thiết để trao đổi tuyến đúng cách.

**Lưu ý: Bạn có thể tạo các chính sách phức tạp hơn bằng cách cấu hình rõ ràng các chính sách nhập và xuất VRF bằng các tùy chọn import và export. Xem vrf-import và vrf-export để biết chi tiết.

- Cấu hình phiên bản định tuyến để hỗ trợ peering EBGP với thiết bị CE2. Việc peering được thực hiện trực tiếp qua giao diện kết nối với CE2 trong liên kết VRF, và số hệ thống tự trị (AS) của CE2 được chỉ định chính xác bằng tham số peer-as.

- Lưu các thay đổi trên thiết bị PE2 và quay lại chế độ vận hành CLI.

Kết quả

Hiển thị kết quả của cấu hình trên thiết bị PE2. Đầu ra chỉ phản ánh cấu hình chức năng đã được thêm vào trong ví dụ này.

Xác minh

Thực hiện các tác vụ sau để kiểm tra xem MPLS-based Layer 3 VPN có hoạt động đúng hay không:

Xác minh trạng thái lân cận OSPF của nhà cung cấp và trao đổi tuyến đường

Mục đích

Xác nhận giao thức OSPF hoạt động đúng trong mạng của nhà cung cấp bằng cách kiểm tra trạng thái lân cận và các tuyến OSPF đã học đến địa chỉ loopback của các thiết bị nhà cung cấp từ xa. Hoạt động đúng của IGP là rất quan trọng để thiết lập thành công

các MPLS LSP.

Hành động

Ý nghĩa

Đầu ra hiển thị rằng thiết bị PE1 đã thiết lập trạng thái lân cận OSPF với thiết bị P (192.168.0.2). Nó cũng cho thấy rằng các địa chỉ loopback của thiết bị P và thiết bị PE từ xa (192.168.0.2 và 192.168.0.3) đã được học đúng cách qua OSPF trên thiết bị PE cục bộ.

Xác minh cài đặt giao diện MPLS và RSVP

Mục đích

Xác minh rằng các giao thức RSVP và MPLS đã được cấu hình để hoạt động trên giao diện hướng về lõi (core-facing) của thiết bị PE. Bước này cũng kiểm tra xem tham số family mpls đã được cấu hình chính xác ở cấp đơn vị (unit level) của giao diện hướng về lõi

trên thiết bị PE hay chưa.

Hành động

Ý nghĩa
Đầu ra hiển thị rằng MPLS và RSVP đã được cấu hình chính xác trên các giao diện core và loopback của thiết bị PE cục bộ.

Xác minh RSVP Signaled LSPs

Mục đích
Xác minh rằng các LSP (Label Switched Paths) do RSVP định tuyến đã được thiết lập đúng cách giữa các địa chỉ loopback của thiết bị PE.

Hành động

Ý nghĩa
Đầu ra hiển thị rằng cả phiên RSVP đầu vào (ingress) và đầu ra (egress) đều được thiết lập chính xác giữa các thiết bị PE. Việc thiết lập LSP thành công cho thấy cấu hình cơ bản của MPLS đang hoạt động bình thường.

Xác minh Trạng thái Phiên BGP

Mục đích
Xác minh rằng phiên IBGP giữa các thiết bị PE được thiết lập đúng cách với sự hỗ trợ cho thông tin về khả năng tiếp cận mạng Layer 3 VPN (NLRI). Trong bước này, bạn cũng xác nhận rằng phiên EBGP giữa PE và CE cục bộ đã được thiết lập và cấu hình chính xác để trao đổi các tuyến IPv4.

Hành động

Ý nghĩa

Đầu ra hiển thị rằng phiên IBGP tới thiết bị PE từ xa (192.168.0.3) đã được thiết lập chính xác (Establ), và thông qua trường Up/Dwn, có thể thấy phiên đã duy trì trạng thái hiện tại trong 6:18 phút. Trường flaps xác nhận rằng không có sự chuyển đổi trạng thái nào xảy ra (0), cho thấy phiên BGP đang ổn định.

Ngoài ra, cũng có thể thấy các tuyến Layer 3 VPN (NLRI) đã được học từ PE từ xa, thể hiện qua bảng bgp.l3vpn.0.

Bên cạnh đó, đầu ra còn xác nhận rằng phiên EBGP với thiết bị CE1 cục bộ (172.16.1.1) đã được thiết lập thành công. Các tuyến IPv4 đã được nhận từ thiết bị CE1 và được cài đặt vào bảng định tuyến của CE1_L3vpn.inet.0.

Thông tin này xác nhận rằng cả kết nối BGP giữa các thiết bị PE, cũng như kết nối từ PE đến CE, đang hoạt động đúng cách để hỗ trợ Layer 3 VPN.

Mục đích

Xác nhận rằng bảng định tuyến trên thiết bị PE1 đã được điền đầy đủ các tuyến Layer 3 VPN được quảng bá bởi thiết bị PE từ xa. Các tuyến này được sử dụng để chuyển tiếp lưu lượng đến thiết bị CE từ xa.

Hành động

(Chưa có nội dung, bạn có muốn tôi tiếp tục dịch phần tiếp theo không?)

Ý nghĩa

Lệnh show route table bgp.l3vpn.0 hiển thị các tuyến Layer 3 VPN đã được nhận từ thiết bị PE từ xa. Lệnh show route table CE1_L3vpn.inet.0 liệt kê tất cả các tuyến đã được nhập vào routing instance CE1_L3vpn. Các mục này đại diện cho: Các tuyến học được từ phiên EBGP cục bộ với thiết bị CE1. Các tuyến nhận từ PE2 từ xa với route target tương ứng.

Cả hai bảng đều cho thấy các tuyến Layer 3 VPN từ xa được liên kết chính xác với LSP (Label Switched Path) lsp_to_pe2 làm next-hop chuyển tiếp.
Kết quả này xác nhận rằng thiết bị PE cục bộ đã học được các tuyến liên quan đến vị trí CE2 từ xa từ PE2. Ngoài ra, nó cũng cho thấy rằng PE cục bộ sẽ chuyển tiếp lưu lượng Layer 3 VPN đến PE2 từ xa bằng MPLS transport qua mạng nhà cung cấp.

Gửi tín hiệu Ping đến thiết bị PE từ xa qua kết nối Layer 3 VPN

Mục đích

Xác minh kết nối Layer 3 VPN giữa các thiết bị PE cục bộ và PE từ xa bằng lệnh ping. Lệnh này kiểm tra hoạt động định tuyến Layer 3 VPN và chuyển tiếp MPLS giữa các thiết bị PE.

Hành động

Ý nghĩa

Kết quả hiển thị xác nhận rằng plane điều khiển (control plane) và chuyển tiếp (forwarding plane) của Layer 3 VPN đang hoạt động đúng giữa các thiết bị PE.

Xác minh hoạt động end-to-end giữa các thiết bị CE qua Layer 3 VPN

Mục đích

Xác minh kết nối Layer 3 VPN giữa các thiết bị CE. Bước này đảm bảo rằng: Các thiết bị CE có giao diện hoạt động. Các thiết bị CE được cấu hình đúng để sử dụng EBGP cho kết nối Layer 3. Thiết bị CE1 đã học được tuyến đường của thiết bị CE từ xa. Các thiết bị CE có thể trao đổi lưu lượng end-to-end giữa các địa chỉ loopback của chúng.

Hành động

**Ý nghĩa: Kết quả hiển thị xác nhận rằng kết nối dựa trên Layer 3 VPN đang hoạt động đúng giữa các thiết bị CE. Thiết bị CE nội bộ đã học được tuyến đường VRF và loopback của thiết bị CE từ xa thông qua BGP. Lệnh ping được thực hiện đến địa chỉ

loopback của thiết bị CE từ xa, với nguồn từ địa chỉ loopback của thiết bị CE nội bộ (source 172.16.255.1). Tham số do-not-fragment và size 1472 được thêm vào để xác nhận rằng các thiết bị CE có thể truyền các gói tin IP 1500 byte mà không cần phân

mảnh tại thiết bị PE nội bộ.

**Lưu ý:  Tham số size 1472 trong lệnh ping tạo ra 1472 byte dữ liệu cộng thêm: 8 byte của ICMP (Internet Control Message Protocol). 20 byte của tiêu đề IP. Tổng kích thước gói tin là 1500 byte. Tham số do-not-fragment đảm bảo rằng các thiết bị CE

và PE không thể thực hiện phân mảnh gói tin. Kết luận: Phương pháp kiểm tra này xác nhận rằng không cần phân mảnh khi trao đổi các khung Ethernet chuẩn có kích thước tối đa 1500 byte giữa các thiết bị CE.

Kết quả cuối cùng: VPN Layer 3 dựa trên MPLS đang hoạt động đúng.

Như vậy là chúng ta đã hoàn thành Cấu hình VPN Layer 3 dựa trên MPLS cơ bản trên Switch Juniper EX Series, chúc các bạn thực hiện thành công.Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc.

Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo !