Configuração de políticas para a tabela VRF sobre roteadores PE em VPNs
Em cada roteador PE, você deve definir políticas que definem como as rotas são importadas e exportadas a partir da tabela VRF do roteador. Nessas políticas, você deve definir o alvo da rota e definir opcionalmente a origem da rota.
Para configurar a política para as tabelas VRF, você executa as etapas nas seguintes seções:
Configuração do alvo de rota
Como parte da configuração de políticas para a tabela de roteamento de VPN, você deve definir um alvo de rota, que define de que VPN a rota faz parte. Quando você configurar diferentes tipos de serviços VPN (VPNs de camada 2, VPNs de camada 3, EVPNs ou VPLS) no mesmo roteador PE, certifique-se de atribuir valores-alvo de rota exclusivos para evitar a possibilidade de adicionar informações de rota e sinalização à tabela de roteamento VPN errada.
Para configurar o alvo de rota, inclua a opção target na community declaração:
community name members target:community-id;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
name é o nome da comunidade.
community-id é o identificador da comunidade. Especifique-o em um dos seguintes formatos:
as-number:number, ondeas-numberestá um número AS (um valor de 2 byte) enumberé um valor de comunidade de 4 byte. O número AS pode estar na faixa de 1 a 65.535. Recomendamos que você use um número AS nãoprivado e atribuído por IANA, de preferência do próprio ISP ou do próprio número AS do cliente. O valor da comunidade pode ser um número na faixa de 0 a 4.294.967.295 (232 – 1).ip-address:number, ondeip-addressestá um endereço IPv4 (um valor de 4 byte) enumberé um valor de comunidade de 2 byte. O endereço IP pode ser qualquer endereço unicast único globalmente. Recomendamos que você use o endereço que configura narouter-iddeclaração, que é um endereço não determinado em sua faixa de prefixo atribuída. O valor da comunidade pode ser um número na faixa de 1 a 65.535.
Configuração da origem da rota
Nas políticas de importação e exportação para a tabela VRF do roteador PE, você pode atribuir opcionalmente a origem da rota (também conhecida como local de origem) para as rotas VRF de um roteador PE usando uma política de exportação VRF aplicada a atualizações de rota VPN IPv4 (MP-EBGP) externas multiprotocol enviadas para outros roteadores PE.
A correspondência no atributo de origem de rota atribuído na política de importação VRF de um PE que recebe ajuda a garantir que as rotas VPN-IPv4 aprendidas por meio de atualizações MP-EBGP de um PE não sejam reimportadas para o mesmo site VPN de um PE diferente conectado ao mesmo site.
Para configurar a origem de uma rota, preencha as seguintes etapas:
Inclua a
communitydeclaração com a opçãoorigin:community name members origin:community-id;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit policy-options][edit logical-systems logical-system-name policy-options]
nameé o nome da comunidade.community-idé o identificador da comunidade. Especifique-o em um dos seguintes formatos:as-number:number, ondeas-numberestá um número AS (um valor de 2 byte) enumberé um valor de comunidade de 4 byte. O número AS pode estar na faixa de 1 a 65.535. Recomendamos que você use um número AS nãoprivado e atribuído por IANA, de preferência do próprio ISP ou do próprio número AS do cliente. O valor da comunidade pode ser um número na faixa de 0 a 4.294.967.295 (232 – 1).ip-address:number, ondeip-addressestá um endereço IPv4 (um valor de 4 byte) enumberé um valor de comunidade de 2 byte. O endereço IP pode ser qualquer endereço unicast único globalmente. Recomendamos que você use o endereço que configura narouter-iddeclaração, que é um endereço não determinado em sua faixa de prefixo atribuída. O valor da comunidade pode ser um número na faixa de 1 a 65.535.
Inclua a comunidade na política de importação para a tabela VRF do roteador PE configurando a
communitydeclaração com ocommunity-ididentificador definido na Etapa 1 no[edit policy-options policy-statement import-policy-name term import-term-name from]nível hierárquico. Consulte a configuração de uma política de importação para a tabela VRF do roteador PE.Se a cláusula da
frompolítica não especificar uma condição da comunidade, avrf-importdeclaração em que a política é aplicada não pode ser comprometida. A operação de confirmação do Junos OS não aprova a verificação de validação.Inclua a comunidade na política de exportação para a tabela VRF do roteador PE configurando a
communitydeclaração com ocommunity-ididentificador definido na Etapa 1 no[edit policy-options policy-statement export-policy-name term export-term-name then]nível hierárquico. Consulte a configuração de uma política de exportação para a tabela VRF do roteador PE.
Veja a configuração da origem da rota para VPNs para um exemplo de configuração.
Configuração de uma política de importação para a tabela VRF do roteador PE
Cada VPN pode ter uma política que define como as rotas são importadas para a tabela VRF do roteador PE. Uma política de importação é aplicada às rotas recebidas de outros roteadores PE na VPN. Uma política deve avaliar todas as rotas recebidas durante a sessão do IBGP com o roteador peer PE. Se as rotas corresponderem às condições, a rota será instalada na tabela VRF do routing-instance-name.inet.0 roteador PE. Uma política de importação deve conter um segundo termo que rejeite todas as outras rotas.
A menos que uma política de importação contenha apenas uma then reject declaração, ela deve incluir uma referência a uma comunidade. Caso contrário, quando você tenta confirmar a configuração, o commit falha. Você pode configurar várias políticas de importação.
Uma política de importação determina o que importar para uma tabela VRF especificada com base nas rotas de VPN aprendidas com os roteadores pe remotos através do IBGP. A sessão do IBGP está configurada no nível de [edit protocols bgp] hierarquia. Se você também configurar uma política de importação no nível de [edit protocols bgp] hierarquia, as políticas de importação no nível de [edit policy-options] hierarquia e no nível hierárquico [edit protocols bgp] são combinadas por meio de uma operação lógica E. Isso permite filtrar o tráfego como um grupo.
Para configurar uma política de importação para a tabela VRF do roteador PE, siga estas etapas:
Para definir uma política de importação, inclua a
policy-statementdeclaração. Para todos os roteadores PE, uma política de importação deve sempre incluir apolicy-statementdeclaração, no mínimo:policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }Você pode incluir a
policy-statementdeclaração nos seguintes níveis de hierarquia:[edit policy-options][edit logical-systems logical-system-name policy-options]
A
import-policy-namepolítica avalia todas as rotas recebidas durante a sessão do IBGP com o outro roteador PE. Se as rotas corresponderem às condições dafromdeclaração, a rota será instalada na tabela .inet.0 VRF do routing-instance-nameroteador PE. O segundo mandato da política rejeita todas as outras rotas.Para obter mais informações sobre a criação de políticas, consulte as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Você pode usar opcionalmente uma expressão regular para definir um conjunto de comunidades a serem usadas para a política de importação de VRF.
Por exemplo, você pode configurar o seguinte usando a
communitydeclaração no nível de[edit policy-options policy-statement policy-statement-name]hierarquia:[edit policy-options vrf-import-policy-sample] community high-priority members *:50
Observe que você não pode configurar uma expressão regular como parte de uma comunidade estendida de rota. Para obter mais informações sobre como configurar expressões regulares para comunidades, veja como as comunidades BGP e comunidades estendidas são avaliadas em condições de correspondência de políticas de roteamento.
Para configurar uma política de importação, inclua a
vrf-importdeclaração:vrf-import import-policy-name;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuração de uma política de exportação para a tabela VRF do roteador PE
Cada VPN pode ter uma política que define como as rotas são exportadas a partir da tabela VRF do roteador PE. Uma política de exportação é aplicada às rotas enviadas a outros roteadores PE na VPN. Uma política de exportação deve avaliar todas as rotas recebidas durante a sessão de protocolo de roteamento com o roteador CE. (Esta sessão pode usar os protocolos de roteamento BGP, OSPF ou protocolo de informações de roteamento [RIP] ou rotas estáticas.) Se as rotas corresponderem às condições, a meta específica da comunidade (que é o alvo da rota) será adicionada a elas e elas serão exportadas para os roteadores PE remotos. Uma política de exportação deve conter um segundo termo que rejeite todas as outras rotas.
As políticas de exportação definidas na instância de roteamento VPN são as únicas políticas de exportação aplicáveis à tabela VRF. Qualquer política de exportação que você definir na sessão do IBGP entre os roteadores PE não tem efeito sobre a tabela VRF. Você pode configurar várias políticas de exportação.
Para configurar uma política de exportação para a tabela VRF do roteador PE, siga estas etapas:
Para todos os roteadores PE, uma política de exportação deve distribuir rotas de VPN de e para os roteadores CE conectados de acordo com o tipo de protocolo de roteamento que você configura entre os roteadores CE e PE dentro da instância de roteamento.
Para definir uma política de exportação, inclua a
policy-statementdeclaração. Uma política de exportação deve sempre incluir apolicy-statementdeclaração, no mínimo:policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }Nota:Configurar a
community adddeclaração é um requisito para políticas de exportação VRF VPN de Camada 2. Se você alterar acommunity adddeclaração para acommunity setdeclaração, o roteador na saída do link VPN de Camada 2 pode abandonar a conexão.Nota:Ao configurar VPNs multicast de draft-rosen operando no modo de origem específica e usando a
vrf-exportdeclaração para especificar a política de exportação, a política deve ter um termo que aceite rotas da tabela de roteamento vrf-name.mdt.0. Este termo garante uma autodiscovamento de PE adequada usando a família deinet-mdtendereços.Ao configurar VPNs multicast de draft-rosen operando no modo de origem específica e usando a
vrf-targetdeclaração, a política de exportação VRF é gerada automaticamente e aceita automaticamente rotas da tabela de roteamento vrf-name.mdt.0.Você pode incluir a
policy-statementdeclaração nos seguintes níveis de hierarquia:[edit policy-options][edit logical-systems logical-system-name policy-options]
A
export-policy-namepolítica avalia todas as rotas recebidas durante a sessão de protocolo de roteamento com o roteador CE. (Esta sessão pode usar os protocolos BGP, OSPF ou de roteamento RIP, ou rotas estáticas.) Se as rotas corresponderem às condições dafromdeclaração, a meta da comunidade especificada nathen community adddeclaração será adicionada a elas e elas serão exportadas para os roteadores PE remotos. O segundo mandato da política rejeita todas as outras rotas.Para obter mais informações sobre a criação de políticas, consulte as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Para aplicar a política, inclua a
vrf-exportdeclaração:vrf-export export-policy-name;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Aplicando tanto a exportação de VRF quanto as políticas de exportação bgp
Quando você aplica uma política de exportação VRF conforme descrito na Configuração de uma Política de Exportação para a Tabela VRF do Roteador PE, as rotas das instâncias de roteamento de VPN são anunciadas para outros roteadores PE com base nesta política, enquanto a política de exportação do BGP é ignorada.
Se você incluir a vpn-apply-export declaração na configuração BGP, tanto a exportação de VRF quanto o grupo BGP ou as políticas de exportação de vizinhos são aplicados (VRF primeiro, depois BGP) antes que as rotas sejam anunciadas nas tabelas de roteamento vpn para outros roteadores PE.
Quando um dispositivo PE também está atuando como um Refletor de Rota (RR) ou um roteador de fronteira de sistema autônomo (ASBR) em uma VPN carrier-over-Carrier ou inter-AS, a manipulação de próximo salto na política de vrf-export é ignorada.
Ao incluir a vpn-apply-export declaração, fique ciente do seguinte:
As rotas importadas para a tabela de roteamento bgp.l3vpn.0 mantêm os atributos das rotas originais (por exemplo, uma rota OSPF permanece uma rota OSPF mesmo quando está armazenada na tabela de roteamento bgp.l3vpn.0). Você deve estar ciente disso quando configurar uma política de exportação para conexões entre um roteador IBGP PE e um roteador PE, um refletor de rotas e um roteador PE, ou roteadores de limite AS (ASBR).
Por padrão, todas as rotas da tabela de roteamento bgp.l3vpn.0 são exportadas para os pares do IBGP. Se a última declaração da política de exportação for negar tudo e se a política de exportação não corresponder especificamente às rotas na tabela de roteamento bgp.l3vpn.0, nenhuma rota será exportada.
Para aplicar as políticas de exportação de VRF e BGP em rotas de VPN, inclua a vpn-apply-export declaração:
vpn-apply-export;
Para obter uma lista de níveis de hierarquia em que você possa incluir esta declaração, veja a seção de resumo da declaração para esta declaração.
Configuração de um alvo VRF
Incluindo a vrf-target declaração na configuração para uma comunidade alvo VRF, é possível gerar políticas padrão de importação e exportação de VRF que aceitam e marcam rotas com a comunidade alvo especificada. Você ainda pode criar políticas mais complexas configurando explicitamente as políticas de importação e exportação de VRF. Essas políticas substituem as políticas padrão geradas quando você configura a vrf-target declaração.
Se você não configurar a e export as import opções da vrf-target declaração, a string da comunidade especificada será aplicada em ambas as direções. As import palavras-chave oferecem export mais flexibilidade, permitindo que você especifique uma comunidade diferente para cada direção.
A sintaxe para a comunidade-alvo VRF não é um nome. Você deve especifique-o no formato target:x:y. Um nome da comunidade não pode ser especificado porque isso também exigiria que você configurasse os membros da comunidade para essa comunidade usando a policy-options declaração. Se você definir as policy-options declarações, então você pode apenas configurar políticas de importação e exportação de VRF, como de costume. O objetivo da vrf-target declaração é simplificar a configuração, permitindo que você configure a maioria das declarações no nível da [edit routing-instances] hierarquia.
Para configurar um alvo VRF, inclua a vrf-target declaração:
vrf-target community;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Um exemplo de como você pode configurar a vrf-target declaração segue:
[edit routing-instances sample] vrf-target target:69:102;
Para configurar a vrf-target declaração com a e import as export opções, inclua as seguintes declarações:
vrf-target { export community-name; import community-name; }
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]