MPLS VPN: Cisco & Juniper together Date:2003.10.22
Keywords: MPLS VPN Juniper Auto-export Overlay source route CLI ATM LDP
最近做了个用Cisco 和 Juniper 路由器做PE的MPLS VPN实验。实验中R1 (Cisco)和R2 (Juniper)通过ATM 骨干互联, P-Network使用ISIS作为IGP协议,R2作为MP-BGP的路由反射器。Juniper 与 Cisco 在端口互联和IGP、BGP路由协议互操作上感觉很好,没有碰到什么问题。
实验中使用loopback 端口来模拟VPN用户网络。和cisco的概念不一样,Juniper的Loopback 端口只有一个,但可以划分子端口(在使用MPLS VPN时),只能使用/32的地址。
可能熟悉Juniper 命令行接口的朋友比较少,可以看看:Juniper CLI简介
详细配置:配置
几点说明:
1.Cisco 默认使用TDP标签分发协议,要和其他厂商互联,需指定使用LDP标签分发协议。不管是TDP还是LDP,都需要启用CEF来支持。
配置命令:mpls label protocol ldp
2.如果VPN Site 1 要和Site 2 及Site 3 互通,但是要求Site 2 和Site 3 不能互通时,使用VPN Overlay功能。 cisco 的配置方法简单明了:
ip vrf site1
ro im 1:2
ro im 1:3
ro ex 1:1
ip vrf site2
ro im 1:1
ro ex 1:2
ip vrf site3
ro im 1:1
ro ex 1:3
Juniper的配置方法:首先要给route target 命名, 然后在策略policy-statement中引用,最后指定routing-instance使用指定的策略。除此之外Juniper 要启用routing-instance的auto-export 特性,否则site1的在该PE上的直连路由不能导入到同一PE的另一个site中。
3.源路由对有VPN Overlay 的环境来说是一种威胁。如果VPN Site 1 能够和Site 2 及Site 3 互通,但是策略要求Site 2 和Site 3 不能互通,Site 2 的用户有可能通过源路由技术经Site 1 到达 Site 3。
Cisco 路由器禁止源路由配置命令:
no ip source-route
Juniper 路由器禁止源路由配置命令:
chassis {
no-source-route;
}
4.PE接CE端口问题:
根据Juniper公司工程师介绍,由于Juniper 的主要用户为ISP, 所以设计的时候禁止用户Ping PE的端口,以增强P-network的安全性,该特性不能被关闭。
在实验中,我们首先发现,在PE上ping 不通某些直连的地址,尝试过多种处理方法之后,以下这种方法有较好的效果,但系统必须要配置有TUNNEL硬件板卡。
配置命令:
interfaces {
vt-0/3/0 {
unit 200 {
family inet;
family mpls;
}
unit 300 {
family inet;
family mpls;
}
}
经过这样处理之后,PE设备ping 不在同一台PE下的地址时正常了。但当两个VPN Site都接在同一个PE下时,测试仍不正常:
* PE从Site 1内ping属于该Site的地址:OK;
* PE从Site 1内ping 从Site 2 导入的地址时:失败
所以该问题尚未完全解决。
[此贴子已经被作者于2005-8-7 20:26:47编辑过]
