Limitação de rotas de VPN usando resolução de rotas
Este tópico descreve a limitação das rotas de VPN configurando a resolução de rotas em roteadores PE e refletores de rota e configurando o roteador PE para aceitar um número limitado de prefixo de um roteador CE.
Exemplo: Configuração da resolução de rotas em roteadores PE
Este exemplo mostra como configurar uma tabela de roteamento para aceitar rotas de tabelas de roteamento específicas. Ela também mostra como configurar uma tabela de roteamento para usar políticas de importação específicas para produzir uma tabela de resolução de rotas para resolver rotas.
Requisitos
Antes de começar, configure uma VPN de Camada 3, conforme mostrado em um dos seguintes exemplos:
Visão geral
Um método para alcançar o escalonamento de rota IPv4 é modificar a forma como as rotas BGP são adicionadas às tabelas de encaminhamento. Por padrão, o processo de protocolo de roteamento (rpd) adiciona todas as rotas inet.0 e inet.3 à árvore de resolução. Normalmente, isso inclui as rotas de BGP IPv4 resolvidas, que podem aumentar o consumo de memória. Para conseguir uma melhor escala para as rotas IPv4, este exemplo mostra como configurar o Junos OS para que as rotas BGP resolvidas não sejam adicionadas à árvore de resolução. Isso é conseguido pela aplicação de uma política de importação na tabela de resolução de rotas, que garante que ela não aceite nenhuma rota BGP do inet.0.
Você aplicaria essa configuração a todos os roteadores de borda (PE) do provedor na VPN de Camada 3.
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Roteador PE
set policy-options policy-statement protocol-bgp from protocol bgp set policy-options policy-statement protocol-bgp then reject set routing-options resolution rib inet.0 import protocol-bgp
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar a resolução de rotas:
Configure a política de roteamento.
[edit policy-options policy-statement protocol-bgp] user@PE# set from protocol bgp user@PE# set then reject
Aplicar a política de roteamento.
[edit routing-options resolution] user@PE# set rib inet.0 import protocol-bgp
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@PE# commit
Resultados
Confirme sua configuração emitindo os comandos e show routing-options os show policy-options comandos.
user@PE# show policy-options
policy-statement protocol-bgp {
from protocol bgp;
then reject;
}
user@PE# show routing-options
resolution {
rib inet.0 {
import protocol-bgp;
}
}
Verificação
Confirme que a configuração está funcionando corretamente executando os seguintes comandos:
Exemplo: Configuração da resolução de rotas nos refletores de rota
Este exemplo mostra como alterar o comportamento de resolução padrão em um refletor de rota (RR) para usar o inet.0 para resolução de próximo salto em vez de inet.3.
Requisitos
Antes de começar, configure uma VPN de Camada 3, conforme mostrado em um dos seguintes exemplos:
Visão geral
Um cenário para resolução de rota é quando você tem um caminho comuto de rótulo configurado de um roteador de RR para um provedor de borda (PE), ou quando os roteadores PE apenas peer com o RR. Isso pode resultar na ocultação de rotas. Para resolver esse problema, você pode alterar o comportamento de resolução padrão para usar o inet.0 para resolução de próximo salto.
Por padrão, a tabela de roteamento bgp.l3vpn.0 armazena todas as rotas unicast VPN-IPv4. Esta tabela está presente em qualquer roteador que tenha VPNs de Camada 3 configuradas, incluindo roteadores PE e RRs.
Quando um roteador VPN de Camada 3 recebe uma rota de outro roteador VPN de Camada 3, ele coloca a rota em sua tabela de roteamento bgp.l3vpn.0. A rota é resolvida usando as informações na tabela de roteamento inet.3. Isso significa que, quando o BGP recebe uma rota destinada à tabela bgp.l3vpn.0, o nexthop de protocolo (recebido nexthop BGP) tem seu nexthop de encaminhamento recursivamente determinado a partir da tabela inet.3. A rota resultante é convertida em formato IPv4 e redistribuída para todas as routing-instance-nametabelas de roteamento .inet.0 se for compatível com a política de importação de VRF.
Em um RR sem roteadores de borda do cliente (CE), a resolution rib bgp.l3vpn.0 resolution-ribs inet.0 configuração faz com que as rotas em bgp.l3vpn.0 usem as informações em inet.0 em vez de inet.3 para resolver rotas. Você não deve usar essa configuração em um roteador que está diretamente conectado a um roteador CE. Em outras palavras, não use resolution rib bgp.l3vpn.0 resolution-ribs inet.0 em um roteador PE.
Se você deseja que tanto o inet.0 quanto o inet.3 sejam usados, você deve configurar ambos, como em set resolution rib bgp.l3vpn.0 resolution-ribs [inet.0 inet.3].
Neste exemplo, a política POLICY-limit-resolve-routes limita a resolução de rota a apenas rotas aprendidas através do IS-IS. Se você omitir a política de importação, todas as rotas inet.0 serão avaliadas e potencialmente usadas para resolver o protocolo no próximo salto. Se você não quiser resolver contra todas as entradas, você usa uma política para filtrar para um subconjunto das rotas das tabelas que são usadas para resolução de rotas.
Um exemplo comum é quando você resolve contra todas as rotas no inet.0, exceto a rota padrão (0/0).
Embora a import declaração seja usada nesta configuração, nenhuma rota é importada ou copiada. Em vez disso, a import policy-name configuração limita o conjunto de possíveis rotas que podem ser consideradas para resolução de rotas.
A resolution rib bgp.l3vpn.0 resolution-ribs inet.0 configuração é útil quando um BGP RR não está no caminho de encaminhamento. Em outras palavras, não há LSPs de entrada no RR. Considere o caso em que o RSVP seja o protocolo de sinalização de rótulos, e o RSVP esteja configurado em malha completa nos roteadores de borda. A RR precisa ser capaz de refletir as rotas. Para isso, espera-se que o BGP realize uma verificação de resolução de rota. Se uma rota VPN de Camada 3 for recebida, mas o nexthop não estiver na tabela inet.3, a rota não pode ser resolvida. Como o roteador não está no caminho de encaminhamento, uma solução alternativa eficaz é usar as informações em inet.0. As informações métricas em inet.0 são úteis para escolher a melhor rota, embora não possam ser usadas para encaminhamento.
Uma abordagem alternativa é garantir que os LSPs sejam provisionados ao RR. Isso acontece automaticamente se você configurar o LDP.
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Refletor de rotas
set routing-options resolution rib bgp.l3vpn.0 resolution-ribs inet.0 set routing-options resolution rib inet.0 import POLICY-limit-resolve-routes set policy-options policy-statement POLICY-limit-resolve-routes term isis from protocol isis set policy-options policy-statement POLICY-limit-resolve-routes term isis then accept set policy-options policy-statement POLICY-limit-resolve-routes then reject
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar a resolução de rotas:
Configure bgp.l3vpn.0 para usar as informações em inet.0 em vez de inet.3 para resolver rotas.
[edit routing-options resolution rib bgp.l3vpn.0] user@RR# set resolution-ribs inet.0
(Opcional) Configure a política de roteamento.
[edit policy-options policy-statement POLICY-limit-resolve-routes] user@RR# set term isis from protocol isis user@RR# set term isis then accept user@RR# set then reject
(Opcional) Aplique a política.
[edit routing-options resolution rib inet.0] user@RR# set import POLICY-limit-resolve-routes
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@RR# commit
Resultados
Confirme sua configuração emitindo os comandos e show routing-options os show policy-options comandos.
user@RR# show policy-options
policy-statement POLICY-limit-resolve-routes {
term isis {
from protocol isis;
then accept;
}
then reject;
}
user@RR# show routing-options
resolution {
rib bgp.l3vpn.0 {
resolution-ribs inet.0;
}
rib inet.0 {
import POLICY-limit-resolve-routes;
}
}
Verificação
Confirme que a configuração está funcionando corretamente executando os seguintes comandos:
Limitando o número de caminhos e prefixos aceitos dos roteadores CE em VPNs de Camada 3
Você pode configurar um limite máximo no número de prefixos e caminhos que podem ser instalados nas tabelas de roteamento. Usando limites de prefixo e caminho, você pode reduzir o número de prefixos e caminhos recebidos de um roteador CE em uma VPN. Os limites de prefixo e caminho aplicam-se apenas a protocolos de roteamento dinâmico, e não são aplicáveis a rotas estáticas ou de interface.
Para limitar o número de caminhos aceitos por um roteador PE a partir de um roteador CE, inclua a maximum-paths declaração:
maximum-paths path-limit <log-interval interval | log-only | threshold percentage>;
Para obter uma lista de níveis de hierarquia em que você pode configurar esta declaração, veja a seção de resumo da declaração para esta declaração.
Especifique a opção somente de log para gerar apenas mensagens de aviso (um limite de consultoria). Especifique a opção de limite para gerar avisos antes que o limite seja atingido. Especifique a opção de intervalo de log para configurar o intervalo de tempo mínimo entre as mensagens de log.
Existem dois modos para limites de rota: aviso e obrigatório. Um limite consultivo desencadeia avisos. Um limite obrigatório rejeita rotas adicionais após o limite ser atingido.
A aplicação de um limite de rota pode resultar em um comportamento imprevisível de protocolo de roteamento dinâmico. Por exemplo, quando o limite é alcançado e as rotas são recusadas, o BGP pode não reinstalar as rotas recusadas após o número de rotas cair abaixo do limite. As sessões de BGP podem precisar ser liberadas.
Para limitar o número de prefixos aceitos por um roteador PE de um roteador CE, inclua a maximum-prefixes declaração:
maximum-prefixes prefix-limit <log-interval interval | log-only | threshold percentage>;
Para obter uma lista de níveis de hierarquia em que você pode configurar esta declaração, veja a seção de resumo da declaração para esta declaração.
Existem dois modos para limites de rota: aviso e obrigatório. Um limite consultivo desencadeia avisos. Um limite obrigatório rejeita rotas adicionais após o limite ser atingido.
A aplicação de um limite de rota pode resultar em um comportamento imprevisível de protocolo de roteamento dinâmico. Por exemplo, quando o limite é alcançado e as rotas são recusadas, o BGP pode não reinstalar as rotas recusadas após o número de rotas cair abaixo do limite. As sessões de BGP podem precisar ser liberadas.
Um caminho ou limite de prefixo obrigatório, além de acionar uma mensagem de aviso, rejeita quaisquer caminhos ou prefixos adicionais assim que o limite for atingido.
Definir um caminho ou limite de prefixo pode resultar em um comportamento imprevisível de protocolo de roteamento dinâmico.
Você também pode configurar as seguintes opções para os caminhos máximos e maximum-prefixes as declarações:
intervalo de log — Especifique o intervalo em que as mensagens de log são enviadas. Essa opção gera apenas mensagens de aviso (um limite de consultoria).
Especifique a opção de intervalo de log para configurar o intervalo de tempo mínimo entre as mensagens de log.
somente log — gere apenas mensagens de aviso. Nenhum limite é colocado no número de caminhos ou prefixos armazenados nas tabelas de roteamento.
limiar — Gere mensagens de aviso depois que a porcentagem especificada dos caminhos ou prefixos máximos tiver sido alcançada.