Configuração de políticas para a tabela VRF em roteadores PE em VPNs

Configurando o destino de rota

Como parte da configuração de política para a tabela de roteamento VPN, você deve definir um destino de rota, que define de qual VPN a rota faz parte. Ao configurar diferentes tipos de serviços VPN (VPNs de Camada 2, VPNs de Camada 3, EVPN ou VPLS) no mesmo roteador PE, certifique-se de atribuir valores de destino de rota exclusivos para evitar a possibilidade de adicionar informações de rota e sinalização à tabela de roteamento VPN errada.

Para configurar o destino da rota, inclua a target community opção na declaração:

Você pode incluir essa instrução nos seguintes níveis de hierarquia:

• [edit policy-options]

• [edit logical-systems logical-system-name policy-options]

name é o nome da comunidade.

community-id é o identificador da comunidade. Especifique-o em um dos seguintes formatos:

• as-number:number, onde as-number é um número AS (um valor de 2 bytes) e number é um valor de comunidade de 4 bytes. O número de AS pode estar no intervalo de 1 a 65.535. Recomendamos que você use um número de AS não privado atribuído à IANA, de preferência o próprio número de AS do ISP ou do próprio cliente. O valor da comunidade pode ser um número no intervalo de 0 a 4.294.967.295 (2,³² – 1).

• ip-address:number, onde ip-address é um endereço IPv4 (um valor de 4 bytes) e number é um valor de comunidade de 2 bytes. O endereço IP pode ser qualquer endereço unicast globalmente exclusivo. Recomendamos que você use o endereço configurado na declaração, que é um endereço não privado no intervalo de prefixos router-id atribuído. O valor da comunidade pode ser um número no intervalo de 1 a 65.535.

Configurando a origem da rota

Nas políticas de importação e exportação para a tabela VRF do roteador PE, você pode, opcionalmente, atribuir a origem da rota (também conhecida como site de origem) para as rotas VRF de um roteador PE usando uma política de exportação VRF aplicada a atualizações de rota IPv4 VPN BGP externa multiprotocolo (MP-EBGP) enviadas a outros roteadores PE.

A correspondência no atributo de origem da rota atribuído na política de importação VRF de um PE receptor ajuda a garantir que as rotas VPN-IPv4 aprendidas por meio de atualizações MP-EBGP de um PE não sejam reimportadas para o mesmo site VPN de um PE diferente conectado ao mesmo site.

Para configurar uma origem de rota, conclua as seguintes etapas:

1. Inclua a community declaração com a origin opção:

   Você pode incluir essa instrução nos seguintes níveis de hierarquia:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   name é o nome da comunidade.

   community-id é o identificador da comunidade. Especifique-o em um dos seguintes formatos:

   • as-number:number, onde as-number é um número AS (um valor de 2 bytes) e number é um valor de comunidade de 4 bytes. O número de AS pode estar no intervalo de 1 a 65.535. Recomendamos que você use um número de AS não privado atribuído à IANA, de preferência o próprio número de AS do ISP ou do próprio cliente. O valor da comunidade pode ser um número no intervalo de 0 a 4.294.967.295 (2,³² – 1).

   • ip-address:number, onde ip-address é um endereço IPv4 (um valor de 4 bytes) e number é um valor de comunidade de 2 bytes. O endereço IP pode ser qualquer endereço unicast globalmente exclusivo. Recomendamos que você use o endereço configurado na declaração, que é um endereço não privado no intervalo de prefixos router-id atribuído. O valor da comunidade pode ser um número no intervalo de 1 a 65.535.

2. Inclua a comunidade na política de importação para a tabela VRF do roteador PE configurando a community declaração com o community-id identificador definido na Etapa 1 no nível de [edit policy-options policy-statement import-policy-name term import-term-name from] hierarquia. Veja a configuração de uma política de importação para a tabela VRF do roteador PE.

   Se a cláusula da from política não especificar uma condição de comunidade, a vrf-import instrução na qual a política é aplicada não poderá ser confirmada. A operação de confirmação do Junos OS não passa na verificação de validação.

3. Inclua a comunidade na política de exportação para a tabela VRF do roteador PE configurando a community declaração com o community-id identificador definido na Etapa 1 no nível de [edit policy-options policy-statement export-policy-name term export-term-name then] hierarquia. Veja a configuração de uma política de exportação para a tabela VRF do roteador PE.

Consulte Configurando a origem da rota para VPNs para obter um exemplo de configuração.

Configuração de uma política de importação para a tabela VRF do roteador PE

Cada VPN pode ter uma política que define como as rotas são importadas para a tabela VRF do roteador PE. Uma política de importação é aplicada a rotas recebidas de outros roteadores PE na VPN. Uma política deve avaliar todas as rotas recebidas durante a sessão do IBGP com o roteador PE de peer. Se as rotas corresponderem às condições, a rota será instalada na tabela VRF do routing-instance-name.inet.0 roteador PE. Uma política de importação deve conter um segundo termo que rejeite todas as outras rotas.

A menos que uma política de importação contenha apenas uma then reject instrução, ela deve incluir uma referência a uma comunidade. Caso contrário, quando você tentar confirmar a configuração, a confirmação falhará. Você pode configurar várias políticas de importação.

Uma política de importação determina o que importar para uma tabela VRF especificada com base nas rotas VPN aprendidas com os roteadores PE remotos através do IBGP. A sessão do IBGP é configurada no nível hierárquico [edit protocols bgp] . Se você também configurar uma política de importação no nível da [edit protocols bgp] hierarquia, as políticas de importação no nível da [edit policy-options] hierarquia e no nível da [edit protocols bgp] hierarquia serão combinadas por meio de uma operação lógica AND. Isso permite que você filtre o tráfego como um grupo.

Para configurar uma política de importação para a tabela VRF do roteador PE, siga estas etapas:

1. Para definir uma política de importação, inclua a policy-statement declaração. Para todos os roteadores PE, uma política de importação deve sempre incluir a policy-statement declaração, no mínimo:

   Você pode incluir a policy-statement instrução nos seguintes níveis de hierarquia:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   A import-policy-name política avalia todas as rotas recebidas durante a sessão do IBGP com o outro roteador PE. Se as rotas corresponderem às condições da from declaração, a rota será instalada na tabela .inet.0 VRF do routing-instance-nameroteador PE. O segundo termo da política rejeita todas as outras rotas.

   Para obter mais informações sobre como criar políticas, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiadores de tráfego.

2. Opcionalmente, você pode usar uma expressão regular para definir um conjunto de comunidades a serem usadas para a política de importação de VRF.

   Por exemplo, você pode configurar o seguinte usando a community instrução no nível de [edit policy-options policy-statement policy-statement-name] hierarquia:

   Observe que você não pode configurar uma expressão regular como parte de uma comunidade estendida de destino de rota. Para obter mais informações sobre como configurar expressões regulares para comunidades, consulte Como as comunidades BGP e as comunidades estendidas são avaliadas nas condições de correspondência de política de roteamento.

3. Para configurar uma política de importação, inclua a vrf-import declaração:

   Você pode incluir essa instrução nos seguintes níveis de hierarquia:

   • [edit routing-instances routing-instance-name]

   • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Configuração de uma política de exportação para a tabela VRF do roteador PE

Cada VPN pode ter uma política que define como as rotas são exportadas da tabela VRF do roteador PE. Uma política de exportação é aplicada às rotas enviadas para outros roteadores PE na VPN. Uma política de exportação deve avaliar todas as rotas recebidas pela sessão do protocolo de roteamento com o roteador CE. (Essa sessão pode usar os protocolos de roteamento BGP, OSPF ou RIP [Routing Information Protocol] ou rotas estáticas.) Se as rotas corresponderem às condições, o destino da comunidade especificado (que é o destino da rota) será adicionado a elas e elas serão exportadas para os roteadores PE remotos. Uma política de exportação deve conter um segundo termo que rejeite todas as outras rotas.

As políticas de exportação definidas na instância de roteamento VPN são as únicas políticas de exportação que se aplicam à tabela VRF. Qualquer política de exportação que você definir na sessão do IBGP entre os roteadores PE não tem efeito na tabela VRF. Você pode configurar várias políticas de exportação.

Para configurar uma política de exportação para a tabela VRF do roteador PE, siga estas etapas:

1. Para todos os roteadores PE, uma política de exportação deve distribuir rotas VPN de e para os roteadores CE conectados de acordo com o tipo de protocolo de roteamento que você configura entre os roteadores CE e PE dentro da instância de roteamento.

   Para definir uma política de exportação, inclua a policy-statement declaração. Uma política de exportação deve sempre incluir a policy-statement declaração, no mínimo:

   Observação:

   A configuração da declaração é um requisito para as community add políticas de exportação de VRF de VPN de Camada 2. Se você alterar a community add declaração para a community set declaração, o roteador na saída do link VPN de Camada 2 poderá derrubar a conexão.

   Observação:

   Ao configurar VPNs multicast draft-rosen operando no modo específico de origem e usando a vrf-export instrução para especificar a política de exportação, a política deve ter um termo que aceite rotas da tabela de roteamento vrf-name.mdt.0. Esse termo garante a descoberta automática de PE adequada usando a família de inet-mdt endereços.

   Ao configurar VPNs multicast draft-rosen operando no modo específico de origem e usando a vrf-target declaração, a política de exportação VRF é gerada automaticamente e aceita automaticamente rotas da tabela de roteamento vrf-name.mdt.0.

   Você pode incluir a policy-statement instrução nos seguintes níveis de hierarquia:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   A export-policy-name política avalia todas as rotas recebidas pela sessão do protocolo de roteamento com o roteador CE. (Essa sessão pode usar os protocolos de roteamento BGP, OSPF ou RIP ou rotas estáticas.) Se as rotas corresponderem às condições na from declaração, o alvo da comunidade especificado na then community add declaração será adicionado a elas e elas serão exportadas para os roteadores PE remotos. O segundo termo da política rejeita todas as outras rotas.

   Para obter mais informações sobre como criar políticas, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiadores de tráfego.

2. Para aplicar a política, inclua a vrf-export declaração:

   Você pode incluir essa instrução nos seguintes níveis de hierarquia:

   • [edit routing-instances routing-instance-name]

   • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Aplicando as políticas de exportação VRF e BGP

Quando você aplica uma política de exportação VRF, conforme descrito na configuração de uma política de exportação para a tabela VRF do roteador PE, as rotas das instâncias de roteamento VPN são anunciadas para outros roteadores PE com base nessa política, enquanto a política de exportação BGP é ignorada.

Se você incluir a vpn-apply-export declaração na configuração do BGP, as políticas de exportação de VRF e de grupo BGP ou de vizinho serão aplicadas (primeiro VRF e depois BGP) antes que as rotas sejam anunciadas nas tabelas de roteamento VPN para outros roteadores PE.

Observação:

Quando um dispositivo PE também está agindo como um refletor de rota (RR) ou um roteador de limite de sistema autônomo (ASBR) em uma VPN de operadora sobre operadora ou inter-AS, a manipulação do próximo salto na política vrf-export é ignorada.

Ao incluir a vpn-apply-export declaração, lembre-se do seguinte:

• As rotas importadas para a tabela de roteamento bgp.l3vpn.0 retêm os atributos das rotas originais (por exemplo, uma rota OSPF permanece uma rota OSPF mesmo quando é armazenada na tabela de roteamento bgp.l3vpn.0). Você deve estar ciente disso ao configurar uma política de exportação para conexões entre um roteador IBGP PE e um roteador PE, um refletor de rota e um roteador PE ou roteadores peer de roteador de limite AS (ASBR).

• Por padrão, todas as rotas na tabela de roteamento bgp.l3vpn.0 são exportadas para os pares do IBGP. Se a última instrução da política de exportação for negar tudo e se a política de exportação não corresponder especificamente às rotas na tabela de roteamento bgp.l3vpn.0, nenhuma rota será exportada.

Para aplicar as políticas de exportação VRF e exportação BGP a rotas VPN, inclua a vpn-apply-export declaração:

Para obter uma lista de níveis de hierarquia nos quais você pode incluir essa instrução, consulte a seção de resumo da instrução para esta declaração.

Configuração de um destino VRF

Incluir a vrf-target declaração na configuração de uma comunidade de destino VRF faz com que sejam geradas políticas padrão de importação e exportação de VRF que aceitam e marcam rotas com a comunidade de destino especificada. Você ainda pode criar políticas mais complexas configurando explicitamente as políticas de importação e exportação de VRF. Essas políticas substituem as políticas padrão geradas quando você configura a vrf-target declaração.

Se você não configurar as import opções and export da declaração, a string de vrf-target comunidade especificada será aplicada em ambas as direções. As import palavras-chave e export oferecem mais flexibilidade, permitindo que você especifique uma comunidade diferente para cada direção.

A sintaxe da comunidade de destino VRF não é um nome. Você deve especificá-lo no formato target:x:y. Um nome de comunidade não pode ser especificado porque isso também exigiria que você configurasse os membros da comunidade para essa comunidade usando a policy-options declaração. Se você definir as declarações, poderá apenas configurar as policy-options políticas de importação e exportação de VRF como de costume. O objetivo da vrf-target instrução é simplificar a configuração, permitindo que você configure a maioria das instruções no nível da [edit routing-instances] hierarquia.

Para configurar um destino VRF, inclua a vrf-target declaração:

Você pode incluir essa instrução nos seguintes níveis de hierarquia:

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]

Um exemplo de como você pode configurar a declaração é o vrf-target seguinte:

Para configurar a vrf-target declaração com as export opções e import , inclua as seguintes declarações:

Você pode incluir essa instrução nos seguintes níveis de hierarquia:

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]