NESTA PÁGINA
Configuração da filtragem de alvo de rota estática para VPNs
Redução do uso de recursos de rede com filtragem de alvo de rota estática para VPNs
Configuração da filtragem de alvo de roteamento BGP para VPNs
Exemplo: configurar a filtragem de alvo de roteamento BGP para VPNs
Exemplo: configurar uma política de exportação para filtragem de alvos de roteamento BGP para VPNs
Exemplo: configurar qualificações da família de protocolos VPN de Camada 3 para filtros de rota
Entender a filtragem de alvos de roteamento BGP proxy para VPNs
Exemplo: configuração da filtragem de alvo de roteamento BGP proxy para VPNs
Filtragem de alvos de roteamento
Este tópico descreve a configuração de filtragem de alvos de rotas BGP estática, BGP e Proxy e fornece exemplos sobre a configuração da filtragem de alvos de rota para VPNs.
Configuração da filtragem de alvo de rota estática para VPNs
A comunidade estendida de rota BGP VPN (RFC 4360, BGP Extended Communities Attribute) é usada para determinar a adesão à VPN. A filtragem de alvos de rota estática ajuda a evitar que os recursos sejam consumidos em partes da rede onde as rotas VPN não são necessárias devido à falta de roteadores PE membros (RFC 4684, Distribuição de rotas restritas para protocolo de gateway de borda/comutação de rótulos MultiProtocol (BGP/MPLS) Protocolo de Internet (IP) Redes Privadas Virtuais (VPNs) ). Os roteadores podem originar rotas no protocolo RT-Constrain para indicar seu interesse em receber rotas VPN contendo alvos de rota que correspondam ao RT-Constrain NLRI.
Para configurar a filtragem de alvo de rota estática para VPNs:
Configure a
route-target-filterdeclaração no nível de[edit routing-options rib bgp.rtarget.0 static]hierarquia.O exemplo a seguir ilustra como você pode configurar a declaração do filtro de rota-alvo :
[edit routing-options rib bgp.rtarget.0 static] route-target-filter destination { group bgp-group; local; neighbor bgp-peer; }Você pode exibir informações de filtragem de alvo de rota usando o
show bgp group rtf detailcomando.
Redução do uso de recursos de rede com filtragem de alvo de rota estática para VPNs
A comunidade estendida de rota BGP VPN (RFC 4360, BGP Extended Communities Attribute) é usada para determinar a adesão à VPN. A filtragem de alvos de rota estática ajuda a evitar que os recursos sejam consumidos em partes da rede onde as rotas VPN não são necessárias devido à falta de roteadores PE membros (RFC 4684, Distribuição de rotas restritas para protocolo de gateway de borda/comutação de rótulos MultiProtocol (BGP/MPLS) Protocolo de Internet (IP) Redes Privadas Virtuais (VPNs) ). Os roteadores podem originar rotas no protocolo RT-Constrain para indicar seu interesse em receber rotas VPN contendo alvos de rota que correspondam ao RT-Constrain NLRI.
Normalmente, para que o recurso RT-Constrain funcione corretamente, ele deve ser amplamente implantado em toda a rede. Se esse não for o caso, o recurso é menos útil, porque o alto-falante BGP RT-Constrain voltado para um alto-falante não-RT-Constrain deve anunciar uma rota RT-Constrain padrão para os outros alto-falantes RT-Constrain em nome do peer que não oferece suporte ao recurso. Isso elimina efetivamente os benefícios de economia de recursos do recurso em partes da rede onde ele não é suportado, uma vez que uma rota RT-Constrain padrão faz com que o roteador PE e todos os roteadores PE intervenientes precisem receber todas as rotas vpn.
O recurso RT-Constrain estático permite implantar parcialmente o recurso RT-Constrain em uma rede. O recurso é habilitado em um limite na rede onde o RT-Constrain está configurado. No entanto, alguns colegas de VPN BGP não suportam RT-Constrain, normalmente roteadores PE. Os alvos de rota desses roteadores PE devem ser configurados estaticamente no roteador. Esses alvos de rota são disseminados usando o protocolo RT-Constrain.
O recurso proxy RT-Constrain permite que os pares de VPN BGP que não suportam o protocolo tenham seus alvos de rota descobertos e disseminados automaticamente. No entanto, esse recurso só pode suportar alvos de rota simétricos. Por exemplo, as metas de rota de importação e exportação para uma instância de roteamento VRF são idênticas. No entanto, para uma VPN hub-and-spoke, os alvos de rota de importação e exportação não são idênticos. Nesse cenário, a meta de rota de importação e exportação pode ser configurada estaticamente para ser disseminada no protocolo RT-Constrain.
Configuração da filtragem de alvo de roteamento BGP para VPNs
A filtragem de alvo de roteamento BGP permite que você distribua rotas vpn apenas para os roteadores que precisam deles. Em redes VPN sem a filtragem de alvo de rota BGP configurada, o BGP distribui todas as rotas de VPN para todos os roteadores de peer VPN.
Para obter mais informações sobre a filtragem de alvos de roteamento BGP, consulte RFC 4684, Distribuição de Rotas Restritas para Protocolo de Gateway de Borda/Comutação de Rótulos MultiProtocol (BGP/MPLS) Redes Privadas Virtuais (IP) (VPNs).
As seções a seguir fornecem uma visão geral da filtragem de alvos de roteamento BGP e como configurá-la para VPNs:
- Visão geral da filtragem de alvos de roteamento BGP
- Configuração da filtragem de alvo de roteamento BGP para VPNs
Visão geral da filtragem de alvos de roteamento BGP
Os roteadores PE, a menos que estejam configurados como refletores de rota ou estejam executando uma sessão EBGP, descartem quaisquer rotas VPN que não incluam uma comunidade estendida alvo de rota conforme especificado nas políticas locais de importação de VRF. Esse é o comportamento padrão do Junos OS.
No entanto, a menos que esteja explicitamente configurado para não armazenar rotas VPN, qualquer roteador configurado como refletor de rota ou roteador de borda para uma família de endereços VPN deve armazenar todas as rotas VPN existentes na rede do provedor de serviços. Além disso, embora os roteadores PE possam descartar automaticamente rotas que não incluam uma comunidade estendida alvo de rota, as atualizações de rota continuam a ser geradas e recebidas.
Ao reduzir o número de roteadores que recebem rotas vpn e atualizações de rota, a filtragem de alvos de rota BGP ajuda a limitar a quantidade de sobrecarga associada à execução de uma VPN. A filtragem de alvos de roteamento BGP é mais eficaz na redução do tráfego administrativo relacionado à VPN em redes onde existem muitos refletores de rota ou roteadores de borda AS que não participam diretamente das VPNs (não atuam como roteadores PE para os dispositivos CE).
A filtragem de alvos de roteamento BGP usa mensagens de ATUALIZAÇÃO padrão para distribuir comunidades de roteamento estendidas entre roteadores. O uso de mensagens DE ATUALIZAÇÃO permite que o BGP use seus mecanismos padrão de detecção de loop, seleção de caminhos, suporte a políticas e implementação de troca de banco de dados.
Configuração da filtragem de alvo de roteamento BGP para VPNs
A filtragem de alvo de roteamento BGP é habilitada através da troca da família de route-target endereços, armazenada na tabela de roteamento bgp.rtarget.0. Com base na família de route-target endereços, o NLRI alvo de rota (indicador familiar de endereço [AFI]=1, AFI subseqüente [SAFI]=132) é negociado com seus pares.
Em um sistema que configurou localmente instâncias VRF, o BGP gera automaticamente rotas locais correspondentes a alvos mencionados nas vrf-import políticas.
Para configurar a filtragem de alvo de roteamento BGP, inclua a family route-target declaração:
family route-target { advertise-default; external-paths number; prefix-limit number; }
Para obter uma lista de níveis de hierarquia nos quais você pode incluir esta declaração, consulte a seção de resumo da declaração para esta declaração.
A advertise-default, external-pathse prefix-limit as declarações afetam a configuração de filtragem de alvo de roteamento BGP da seguinte forma:
A
advertise-defaultdeclaração faz com que o roteador anuncie a rota-alvo padrão (0:0:0/0) e suprime todas as rotas mais específicas. Isso pode ser usado por um refletor de rota em grupos BGP que consistem em vizinhos que atuam apenas como roteadores PE. Os roteadores PE geralmente precisam anunciar todas as rotas para o refletor de rota.Suprimir todos os anúncios-alvo de rota que não sejam a rota padrão reduz a quantidade de informações trocadas entre o refletor de rota e os roteadores PE. O Junos OS ajuda ainda mais a reduzir a sobrecarga de anúncios de alvo de rota, não mantendo informações de dependência a menos que uma rota não desdestabelecida seja recebida.
A
external-pathsdeclaração (que tem um valor padrão de 1) faz com que o roteador anuncie as rotas VPN que fazem referência a um determinado alvo de rota. O número que você especifica determina o número de roteadores peer externos (atualmente anunciando esse alvo de rota) que recebem as rotas VPN.A
prefix-limitdeclaração limita o número de prefixos que podem ser recebidos de um roteador peer.
O route-target, advertise-defaulte external-path as declarações afetam o estado RIB-OUT e devem ser consistentes entre roteadores peer que compartilham o mesmo grupo BGP. A prefix-limit declaração afeta apenas o lado de recebimento e pode ter configurações diferentes entre diferentes roteadores peer em um grupo BGP.
Veja também
Exemplo: filtragem de alvo de roteamento BGP para VPNs
A filtragem de alvo de roteamento BGP é habilitada configurando a family route-target declaração no nível de hierarquia BGP apropriado. Esta declaração permite a troca de uma nova route-target família de endereços, armazenada na tabela de roteamento bgp.rtarget.0.
A configuração a seguir ilustra como você pode configurar a filtragem de alvo de roteamento BGP para um grupo BGP intitulado to_vpn04:
[edit]
protocols {
bgp {
group to_vpn04 {
type internal;
local-address 10.255.14.182;
peer-as 200;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
A configuração a seguir ilustra como você pode configurar algumas instâncias locais de roteamento e encaminhamento de VPN (VRF) para aproveitar a funcionalidade fornecida pela filtragem de alvos de roteamento BGP. Com base nessa configuração, o BGP geraria automaticamente rotas locais correspondentes aos alvos de rota mencionados nas políticas de importação de VRF (observe as metas definidas pelas vrf-target declarações).
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t1-0/1/2.0;
vrf-target target:200:101;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.0;
}
}
}
}
vpn2 {
instance-type vrf;
interface t1-0/1/2.1;
vrf-target target:200:102;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.1;
}
}
}
}
}
Emite o show route table bgp.rtarget.0 comando do show para verificar a configuração de filtragem de alvos de roteamento BGP:
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 6 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
200:200:101/96
*[RTarget/5] 00:10:00
Local
200:200:102/96
*[RTarget/5] 00:10:00
Local
200:200:103/96
*[BGP/170] 00:09:48, localpref 100, from 10.255.14.174
AS path: I
> t3-0/0/0.0
200:200:104/96
*[BGP/170] 00:09:48, localpref 100, from 10.255.14.174
AS path: I
> t3-0/0/0.0
O show formato de exibição de comando para prefixos alvo de rota é:
AS number:route target extended community/length
O primeiro número representa o sistema autônomo (AS) do roteador que enviou este anúncio. O restante do display segue a convenção de comando junos para comunidades show estendidas.
A saída do show route table bgp-rtarget.0 comando exibe as rotas geradas localmente e remotamente.
As duas primeiras entradas correspondem às metas de rota configuradas para as duas instâncias locais de roteamento VRF (vpn1 e vpn2):
200:200:101/96— Comunidade200:101navpn1instância de roteamento200:200:102/96— Comunidade200:102navpn2instância de roteamento
As duas últimas entradas são prefixos recebidos de um peer BGP:
200:200:103/96— Diz ao roteador local que as rotas marcadas com essa comunidade (200:103) devem ser anunciadas para peer10.255.14.174throught3-0/0/0.0200:200:104/96— Diz ao roteador local que as rotas marcadas com essa comunidade (200:104) devem ser anunciadas para peer10.255.14.174throught3-0/0/0.0
Exemplo: configurar a filtragem de alvo de roteamento BGP para VPNs
A filtragem de alvos de roteamento BGP reduz o número de roteadores que recebem rotas de VPN e atualizações de rotas, ajudando a limitar a quantidade de sobrecarga associada à execução de uma VPN. A filtragem de alvos de roteamento BGP é mais eficaz na redução do tráfego administrativo relacionado à VPN em redes onde existem muitos refletores de rota ou roteadores de borda AS que não participam diretamente das VPNs (não atuam como roteadores PE para os dispositivos CE).
A Figura 1 ilustra a topologia de uma rede configurada com filtragem de alvos de roteamento BGP para um grupo de VPNs.
As seções a seguir descrevem como configurar a filtragem de alvos de roteamento BGP para um grupo de VPNs:
- Configure a filtragem de alvo de rota BGP no roteador PE1
- Configure a filtragem de alvo de roteamento BGP no roteador PE2
- Configure a filtragem de alvo de roteamento BGP no refletor de rotas
- Configure a filtragem de alvo de roteamento BGP no roteador PE3
Configure a filtragem de alvo de rota BGP no roteador PE1
Esta seção descreve como habilitar a filtragem de alvo de roteamento BGP no Roteador PE1, por exemplo.
Configure as opções de roteamento no roteador PE1 da seguinte forma:
[edit]
routing-options {
route-distinguisher-id 10.255.14.182;
autonomous-system 198;
}
Configure o protocolo BGP no Roteador PE1 da seguinte forma:
[edit]
protocols {
bgp {
group to_VPN_D {
type internal;
local-address 10.255.14.182;
peer-as 198;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Configure a vpn1 instância de roteamento da seguinte forma:
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t1-0/1/2.0;
vrf-target target:198:101;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.0;
}
}
}
}
}
Configure a vpn2 instância de roteamento no Roteador PE1 da seguinte forma:
[edit]
routing-instances {
vpn2 {
instance-type vrf;
interface t1-0/1/2.1;
vrf-target target:198:102;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.1;
}
}
}
}
}
Depois de implementar essa configuração, você deve ver o seguinte quando emitir um show route table bgp.rtarget.0 comando:
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 6 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[RTarget/5] 00:27:42
Local
[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
198.198:102/96
*[RTarget/5] 00:27:42
Local
[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
198.198:103/96
*[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
198.198:104/96
*[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
Configure a filtragem de alvo de roteamento BGP no roteador PE2
Esta seção descreve como habilitar a filtragem de alvo de roteamento BGP no Roteador PE2, por exemplo.
Configure as opções de roteamento no Roteador PE2 da seguinte forma:
[edit]
routing-options {
route-distinguisher-id 10.255.14.176;
autonomous-system 198;
}
Configure o protocolo BGP no Roteador PE2 da seguinte forma:
[edit]
protocols {
bgp {
group to_vpn04 {
type internal;
local-address 10.255.14.176;
peer-as 198;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Configure a vpn1 instância de roteamento no Roteador PE2 da seguinte forma:
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t3-0/0/0.0;
vrf-target target:198:101;
protocols {
bgp {
group vpn1 {
type external;
peer-as 101;
as-override;
neighbor 10.49.11.2;
}
}
}
}
}
Configure a vpn2 instância de roteamento no Roteador PE2 da seguinte forma:
[edit]
routing-instances {
vpn2 {
instance-type vrf;
interface t3-0/0/0.1;
vrf-target target:198:102;
protocols {
bgp {
group vpn2 {
type external;
peer-as 102;
as-override;
neighbor 10.49.21.2;
}
}
}
}
}
Configure a vpn3 instância de roteamento no Roteador PE2 da seguinte forma:
[edit]
routing-instances {
vpn3 {
instance-type vrf;
interface t3-0/0/0.2;
vrf-import vpn3-import;
vrf-export vpn3-export;
protocols {
bgp {
group vpn3 {
type external;
peer-as 103;
as-override;
neighbor 10.49.31.2;
}
}
}
}
}
Depois de configurar o PE2 do roteador dessa maneira, você deve ver o seguinte quando emitir o show route table bgp.rtarget.0 comando:
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 7 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[RTarget/5] 00:28:15
Local
[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
198.198:102/96
*[RTarget/5] 00:28:15
Local
[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
198.198:103/96
*[RTarget/5] 00:28:15
Local
[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
198.198:104/96
*[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
Configure a filtragem de alvo de roteamento BGP no refletor de rotas
Esta seção ilustra como habilitar a filtragem de alvo de roteamento BGP no refletor de rota, por exemplo.
Configure as opções de roteamento no refletor de rota da seguinte forma:
[edit]
routing-options {
route-distinguisher-id 10.255.14.174;
autonomous-system 198;
}
Configure o protocolo BGP no refletor de rota da seguinte forma:
[edit]
protocols {
bgp {
group rr-group {
type internal;
local-address 10.255.14.174;
cluster 10.255.14.174;
peer-as 198;
neighbor 10.255.14.182 {
description to_PE1_vpn12;
family inet-vpn {
unicast;
}
family route-target;
}
neighbor 10.255.14.176 {
description to_PE2_vpn06;
family inet-vpn {
unicast;
}
family route-target;
}
neighbor 10.255.14.178 {
description to_PE3_vpn08;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Depois de configurar o refletor de rota dessa maneira, você deve ver o seguinte quando emitir o show route table bgp.rtarget.0 comando:
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 8 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.176
AS path: I
> via t1-0/2/0.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.178
AS path: I
> via t3-0/1/1.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.182
AS path: I
> via t3-0/1/3.0
198.198:102/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.176
AS path: I
> via t1-0/2/0.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.182
AS path: I
> via t3-0/1/3.0
198.198:103/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.176
AS path: I
> via t1-0/2/0.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.178
AS path: I
> via t3-0/1/1.0
198.198:104/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.178
AS path: I
> via t3-0/1/1.0
Configure a filtragem de alvo de roteamento BGP no roteador PE3
A seção a seguir descreve como habilitar a filtragem de alvos de roteamento BGP no Roteador PE3, por exemplo.
Configure as opções de roteamento no Roteador PE3 da seguinte forma:
[edit]
routing-options {
route-distinguisher-id 10.255.14.178;
autonomous-system 198;
}
Configure o protocolo BGP no Roteador PE3 da seguinte forma:
[edit]
protocols {
bgp {
group to_vpn04 {
type internal;
local-address 10.255.14.178;
peer-as 198;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Configure a vpn1 instância de roteamento no Roteador PE3 da seguinte forma:
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t3-0/0/0.0;
vrf-target target:198:101;
protocols {
rip {
group vpn1 {
export bgp-routes;
neighbor t3-0/0/0.0;
}
}
}
}
}
Configure a vpn3 instância de roteamento no Roteador PE3 da seguinte forma:
[edit]
routing-instances {
vpn3 {
instance-type vrf;
interface t3-0/0/0.1;
vrf-target target:198:103;
protocols {
rip {
group vpn3 {
export bgp-routes;
neighbor t3-0/0/0.1;
}
}
}
}
}
Configure a vpn4 instância de roteamento no Roteador PE3 da seguinte forma:
[edit]
routing-instances {
vpn4 {
instance-type vrf;
interface t3-0/0/0.2;
vrf-target target:198:104;
protocols {
rip {
group vpn4 {
export bgp-routes;
neighbor t3-0/0/0.2;
}
}
}
}
}
Depois de configurar o Roteador PE3 dessa maneira, você deve ver o seguinte quando emitir o show route table bgp.rtarget.0 comando:
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 7 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[RTarget/5] 00:29:42
Local
[BGP/170] 00:29:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
198.198:102/96
*[BGP/170] 00:29:29, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
198.198:103/96
*[RTarget/5] 00:29:42
Local
[BGP/170] 00:29:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
198.198:104/96
*[RTarget/5] 00:29:42
Local
[BGP/170] 00:29:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
Exemplo: configurar uma política de exportação para filtragem de alvos de roteamento BGP para VPNs
Este exemplo mostra como configurar uma política de roteamento de exportação para filtragem de alvos de rota BGP (também conhecida como restrição de alvo de rota, ou RTC).
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Quatro dispositivos da Juniper Networks que oferecem suporte à filtragem de alvos de roteamento BGP.
Junos OS Versão 12.2 ou posterior em um ou mais dispositivos configurados para filtragem de rotas BGP proxy. Neste exemplo, você configura explicitamente a filtragem de rotas BGP proxy nos refletores de rota.
Antes de configurar uma política de exportação para filtragem de alvos de roteamento BGP, certifique-se de estar familiarizado e entenda os seguintes conceitos:
Visão geral
A filtragem de alvos de roteamento BGP permite reduzir o consumo de recursos de rede distribuindo anúncios de assinatura de rota alvo (assinatura RT) em toda a rede. O BGP usa as informações de assinatura RT para enviar rotas vpn apenas para os dispositivos que precisam deles na rede. Semelhante a outros tipos de alcance BGP, você pode aplicar uma política de roteamento para rotear rotas de filtragem de alvos para influenciar a rede. Quando a filtragem de alvos de rota é configurada, restringir o fluxo de rotas de filtragem de alvos de rota também restringe as rotas VPN que podem ser atraidas por esta associação RT. A configuração dessa política envolve:
Criação de um filtro que define a lista de prefixos alvo de rota.
Criação de uma política para selecionar um subconjunto de filtros alvo de rota a ser usado para filtragem de alvos de roteamento BGP.
Para definir a lista de prefixos alvo de rota:
Você configura a
rtf-prefix-listdeclaração no nível de[edit policy-options]hierarquia para especificar o nome da lista de prefixos alvo de rota e um ou mais prefixos alvo de rota a serem usados. Essa configuração permite especificar as rotas de filtragem de alvo de rota que o dispositivo usará e depois distribuí-las por toda a rede.
Para configurar a política de roteamento e aplicar a lista de prefixo alvo de rota a essa política, você pode especificar as seguintes opções de política:
-
family route-target— (Opcional) A condição de correspondência da família alvo de rota especifica rotas de filtragem de alvo de roteamento BGP correspondentes. Você define esses critérios nafromdeclaração. Este exemplo mostra como criar uma política de exportação usando a condição defamily route-targetcorrespondência.Nota:A Juniper usa a tabela inet.3 para resolver o próximo endereço hop quando
family route-targetconfigurado. protocol route-target— (Opcional) A condição de correspondência do protocolo de alvo de rota define os critérios que uma rota de entrada deve combinar. Você define esses critérios nafromdeclaração. Esta declaração é essencialmente útil para restringir a política a rotas de filtragem de alvos de rota geradas localmente.Nota:Quando você usa o
show route table bgp.rtarget.0comando para visualizar rotas de filtragem de alvos de roteamento BGP proxy, você verá o protocolo BGP para rotas recebidas e as rotas de protocolo alvo de rota para rotas locais de filtragem de alvos de rota.rtf-prefix-list name— A declaração da lista rtf-prefixo aplica a lista de prefixos alvo de rota que você já configurou para a política. Você define esses critérios nafromdeclaração.
Diagrama da topologia
A Figura 2 mostra a topologia usada neste exemplo.
Neste exemplo, a filtragem de alvo de roteamento BGP está configurada nos refletores de rota (Device RR1 e Device RR2) e no dispositivo PE2 da borda do provedor (PE). O outro PE, o dispositivo PE1, não oferece suporte à filtragem de alvos de roteamento BGP. A filtragem de alvo de rota BGP proxy também é configurada nas sessões de peering entre os refletores de rota e o Dispositivo PE1 para minimizar o número de atualizações de rota VPN processadas pelo Dispositivo PE1. O Dispositivo PE2 tem quatro VPNs configuradas (vpn1, vpn2, vpn3 e vpn4), e o Dispositivo PE1 tem duas VPNs configuradas (vpn1 e vpn2). Na topologia da amostra, todos os dispositivos participam do sistema autônomo (AS) 203, o OSPF é o protocolo de gateway interior configurado (IGP), e o LDP é o protocolo de sinalização usado pelas VPNs. Neste exemplo, usamos rotas estáticas nas instâncias de roteamento e encaminhamento de VPN (VRF) para gerar rotas VPN. Isso é feito no lugar do uso de um protocolo PE para a borda do cliente (CE), como OSPF ou BGP.
Neste exemplo, você controla ainda mais as rotas que estão sendo anunciadas desde o Dispositivo PE2 até o Dispositivo PE1, configurando uma política de exportação no Dispositivo PE2 para impedir que as rotas vpn3 sejam anunciadas para o Dispositivo RR1. Você cria uma política que especifica a condição de family route-target correspondência, define a lista de prefixos alvo de rota e aplica a lista de prefixos alvo de rota definindo os rtf-prefix-list critérios.
Configuração
- Configuração rápida da CLI
- Configuração do dispositivo PE1
- Configuração do dispositivo RR1
- Configuração do dispositivo RR2
- Configuração do dispositivo PE2
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
Dispositivo PE1
set interfaces ge-1/0/0 unit 0 description PE1-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE1-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.49.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.163.58 set protocols bgp group internal neighbor 10.255.165.220 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.165.28 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.163.58 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard
RR1 do dispositivo
set interfaces ge-1/0/0 unit 0 description RR1-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR1-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.0.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 198.51.100.0 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.220 set routing-options autonomous-system 203
RR2 do dispositivo
set interfaces ge-1/0/0 unit 0 description RR2-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.10.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR2-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.165.28 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.28 set routing-options autonomous-system 203
Pe2 do dispositivo
set interfaces ge-1/0/0 unit 0 description PE2-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.50.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE2-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.168.42 set protocols bgp group internal family inet-vpn unicast set protocols bgp group internal family route-target set protocols bgp group internal neighbor 10.255.165.220 export filter-rtc set protocols bgp group internal neighbor 10.255.165.28 set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options rtf-prefix-list exclude-103 203:203:103/96 set policy-options policy-statement filter-rtc from family route-target set policy-options policy-statement filter-rtc from rtf-prefix-list exclude-103 set policy-options policy-statement filter-rtc then reject set routing-options route-distinguisher-id 10.255.168.42 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard set routing-instances vpn3 instance-type vrf set routing-instances vpn3 vrf-target target:203:103 set routing-instances vpn3 routing-options static route 203.0.113.3/24 discard set routing-instances vpn4 instance-type vrf set routing-instances vpn4 vrf-target target:203:104 set routing-instances vpn4 routing-options static route 203.0.113.4/24 discard
Configuração do dispositivo PE1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo PE1:
Configure as interfaces.
[edit interfaces] user@PE1# set ge-1/0/0 unit 0 description PE1-to-RR1 user@PE1# set ge-1/0/0 unit 0 family inet address 10.49.0.1/30 user@PE1# set ge-1/0/0 unit 0 family mpls user@PE1#set ge-1/0/1 unit 0 description PE1-to-RR2 user@PE1#set ge-1/0/1 unit 0 family inet address 10.49.10.1/30 user@PE1# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@PE1# set route-distinguisher-id 10.255.163.58 user@PE1# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@PE1# set type internal user@PE1# set local-address 10.255.163.58 user@PE1# set neighbor 10.255.165.220 family inet-vpn unicast user@PE1# set neighbor 10.255.165.28 family inet-vpn unicast
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1 user@PE1# set interface lo0.0 passive
Configure as instâncias de roteamento VPN.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:100 user@PE1# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:101 user@PE1# set routing-options static route 203.0.113.2/24 discard
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@PE1# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces, show protocolsshow routing-optionse show routing-instances comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@PE1# show interfaces
ge-1/0/0 {
unit 0 {
description PE1-to-RR1;
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE1-to-RR2;
family inet {
address 10.49.10.1/30;
}
family mpls;
}
}
user@PE1# show protocols
bgp {
group internal {
type internal;
local-address 10.255.163.58;
neighbor 10.255.165.220 {
family inet-vpn {
unicast;
}
}
neighbor 10.255.165.28 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE1# show routing-options route-distinguisher-id 10.255.14.182; autonomous-system 203;
user@PE1# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
Configuração do dispositivo RR1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo RR1:
Configure as interfaces.
[edit interfaces] user@RR1# set ge-1/0/0 unit 0 description RR1-to-PE1 user@RR1# set ge-1/0/0 unit 0 family inet address 10.49.0.2/30 user@RR1# set ge-1/0/0 unit 0 family mpls user@RR1# set ge-1/0/1 unit 0 description RR1-to-PE2 user@RR1# set ge-1/0/1 unit 0 family inet address 10.50.0.2/30 user@RR1# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@RR1# set route-distinguisher-id 10.255.165.220 user@RR1# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@RR1# set type internal user@RR1# set local-address 10.255.165.220 user@RR1# set cluster 198.51.100.1 user@RR1# set neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast user@RR1# set neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast
Configure a filtragem de alvo de roteamento BGP na sessão de peering com o Dispositivo PE2.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.168.42 family route-target
Configure a filtragem de alvo de roteamento BGP proxy na sessão de peering com o Dispositivo PE1.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.163.58 family route-target proxy-generate
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1 user@RR1# set interface lo0.0 passive
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@RR1# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfacese show protocolsshow routing-options nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@RR1# show interfaces
ge-1/0/0 {
unit 0 {
description RR1-to-PE1;
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR1-to-PE2;
family inet {
address 10.50.0.2/30;
}
family mpls;
}
}
user@RR1# show protocols
bgp {
group internal {
type internal;
local-address 198.51.100.0;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn1-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn1-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR1# show routing-options route-distinguisher-id 10.255.165.220; autonomous-system 203;
Configuração do dispositivo RR2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo RR2:
Configure as interfaces.
[edit interfaces] user@RR2# set ge-1/0/0 unit 0 description RR2-to-PE1 user@RR2# set ge-1/0/0 unit 0 family inet address 10.49.10.2/30 user@RR2# set ge-1/0/0 unit 0 family mpls user@RR2# set ge-1/0/1 unit 0 description RR2-to-PE2 user@RR2# set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@RR2# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@RR2# set route-distinguisher-id 10.255.165.28 user@RR2# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@RR2# set type internal user@RR2# set local-address 10.255.165.28 user@RR2# set cluster 198.51.100.1 user@RR2# set neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast user@RR2# set neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast
Configure a filtragem de alvo de roteamento BGP na sessão de peering com o Dispositivo PE2.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.168.42 family route-target
Configure a filtragem de alvo de roteamento BGP proxy na sessão de peering com o Dispositivo PE1.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.163.58 family route-target proxy-generate
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1 user@RR2# set interface lo0.0 passive
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@RR2# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfacese show protocolsshow routing-options nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@RR2# show interfaces
ge-1/0/0 {
unit 0 {
description RR2-to-PE1;
family inet {
address 10.49.10.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR2-to-PE2;
family inet {
address 10.50.10.2/30;
}
family mpls;
}
}
user@RR2# show protocols
bgp {
group internal {
local-address 10.255.165.28;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn2-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn2-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR2# show routing-options route-distinguisher-id 10.255.165.28; autonomous-system 203;
Configuração do dispositivo PE2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo PE2:
Configure as interfaces.
[edit interfaces] user@PE2# set ge-1/0/0 unit 0 description PE2-to-RR1 user@PE2# set ge-1/0/0 unit 0 family inet address 10.50.0.1/30 user@PE2# set ge-1/0/0 unit 0 family mpls user@PE2#set ge-1/0/1 unit 0 description PE2-to-RR2 user@PE2#set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@PE2# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@PE2# set route-distinguisher-id 10.255.168.42 user@PE2# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@PE2# set type internal user@PE2# set local-address 10.255.168.42 user@PE2# set family inet-vpn unicast user@PE2# set family route-target user@PE2# set neighbor 10.255.165.220 user@PE2# set neighbor 10.255.165.28
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1 user@PE2# set interface lo0.0 passive
Configure as instâncias de roteamento VPN.
[edit routing-instances vpn1] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:100 user@PE2# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:101 user@PE2# set routing-options static route 203.0.113.2/24 discard
[edit routing-instances vpn3] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:103 user@PE2# set routing-options static route 203.0.113.3/24 discard
[edit routing-instances vpn4] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:104 user@PE2# set routing-options static route 203.0.113.4/24 discard
Configure e aplique a política de roteamento de exportação.
[edit policy-options] user@PE2# set rtf-prefix-list exclude-103 203:203:103/96 [edit policy-options policy-statement filter-rtc] user@PE2# set from family route-target user@PE2# set from rtf-prefix-list exclude-103 user@PE2# set then reject [edit protocols bgp group internal] user@PE2# set neighbor 10.255.165.220 export filter-rtc
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@PE2# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces, show protocolsshow policy-optionse show routing-optionsshow routing-instances comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@PE2# show interfaces
ge-1/0/0 {
unit 0 {
description PE2-to-RR1;
family inet {
address 10.50.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE2-to-RR2;
family inet {
address 10.50.10.2/30;
}
family mpls;
}
}
user@PE2# show protocols
bgp {
group internal {
type internal;
local-address 10.255.168.42;
family inet-vpn {
unicast;
}
family route-target;
neighbor 10.255.165.220 {
export filter-rtc;
}
neighbor 10.255.165.28;
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE2# show routing-options route-distinguisher-id 10.255.168.42; autonomous-system 203;
user@PE2# show policy-options
policy-statement filter-rtc {
from {
family route-target;
rtf-prefix-list exclude-103;
}
then reject;
}
rtf-prefix-list exclude-103 {
203:203:103/96;
}
user@PE2# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
vpn3 {
instance-type vrf;
vrf-target target:203:103;
routing-options {
static {
route 203.0.113.3/24 discard;
}
}
}
vpn4 {
instance-type vrf;
vrf-target target:203:104;
routing-options {
static {
route 203.0.113.4/24 discard;
}
}
}
Verificação
Confirme que a configuração está funcionando corretamente.
- Verificando as rotas de filtragem de alvo de rota na tabela de roteamento bgp.rtarget.0 para dispositivo RR1
- Verificando as rotas de filtragem de alvo de rota na tabela de roteamento bgp.rtarget.0 para dispositivo RR2
Verificando as rotas de filtragem de alvo de rota na tabela de roteamento bgp.rtarget.0 para dispositivo RR1
Propósito
Verifique se o prefixo de rota para vpn3 não está na tabela bgp.rtarget.0 do dispositivo RR1. Como uma política de exportação no Dispositivo PE2 foi aplicada para impedir a propaganda de rotas vpn3 para o Dispositivo RR1, o Dispositivo RR1 não deve receber esses anúncios.
Ação
Do modo operacional, entre no show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0 comando.
user@PE2# show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 11 routes
(4 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
203:203:100/96 * Self 100 I
203:203:101/96 * Self 100 I
203:203:104/96 * Self 100 I
Significado
A tabela bgp.rtartget.0 não exibe 203:203:103/96, que é o prefixo de rota para vpn3. Isso significa que a política de exportação foi aplicada corretamente.
Verificando as rotas de filtragem de alvo de rota na tabela de roteamento bgp.rtarget.0 para dispositivo RR2
Propósito
Verifique se o prefixo de rota para vpn3 está na tabela bgp.rtarget.0 do dispositivo RR2. Como uma política de exportação não foi aplicada no dispositivo PE2 para impedir o anúncio das rotas vpn3 para o Dispositivo RR2, o Dispositivo RR2 deve receber anúncios de todas as VPNs.
Ação
Do modo operacional, entre no show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0 comando.
user@PE2# show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 11 routes (4 active, 0 holddown, 0 hidden)
(4 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
203:203:100/96 * Self 100 I
203:203:101/96 * Self 100 I
203:203:103/96 * Self 100 I
203:203:104/96 * Self 100 I
Significado
A tabela bgp.rtartget.0 exibe os prefixos de rota para todas as VPNs.
Exemplo: configurar qualificações da família de protocolos VPN de Camada 3 para filtros de rota
Este exemplo mostra como controlar o escopo das políticas de importação bgp configurando uma qualificação familiar para a política de importação BGP. O qualificador da família especifica rotas do tipoinet, inet6inet-vpnouinet6-vpn.
Requisitos
Este exemplo usa o Junos OS Release 10.0 ou posterior.
Antes de começar:
Configure as interfaces do dispositivo.
Configure um protocolo de gateway interno. Consulte a biblioteca de protocolos de roteamento Junos OS.
Configure uma sessão BGP para vários tipos de rotas. Por exemplo, configure a sessão para rotas familiares
inete rotas familiaresinet-vpn. Veja a configuração de sessões de IBGP entre roteadores PE em VPNs e configuração de VPNs de Camada 3 para transportar tráfego IPv6.
Visão geral
As qualificações familiares fazem com que um filtro de rota corresponda a apenas uma família específica. Quando você configura um filtro de rota IPv4 sem uma qualificação familiar, como mostrado aqui, o filtro de roteamento combina inet e inet-vpn as rotas.
route-filter ipv4-address/mask;
Da mesma forma, quando você configura um filtro de rota IPv6 sem uma qualificação familiar, como mostrado aqui, o filtro de rota combina inet6 e inet6-vpn as rotas.
route-filter ipv6-address/mask;
Considere o caso em que uma sessão BGP foi configurada para rotas familiares inet e rotas familiares inet-vpn , e uma política de importação foi configurada para esta sessão BGP. Isso significa que as rotas familiares e familiares inet inet-vpn , quando recebidas, compartilham a mesma política de importação. O termo da política pode parecer o seguinte:
from {
route-filter 0.0.0.0/0 exact;
}
then {
next-hop self;
accept;
}
Essa lógica de filtro de rota combina com uma inet rota de 0.0.0.0.0 e uma inet-vpn rota cuja porção de endereço IPv4 é 0.0.0.0. A porção do distintor de roteamento de 8 byte da inet-vpn rota não é considerada na correspondência do filtro de rota. Essa é uma mudança no comportamento do Junos OS que foi introduzida no Junos OS Release 10.0.
Se você não quiser que sua política corresponda aos dois tipos de rotas, adicione uma qualificação familiar à sua política. Para ter as rotas somente inet de filtragem de rota, adicione o qualificador de políticas familiares inet . Para ter as rotas somente inet-vpn de filtragem de rota, adicione o qualificador de políticas familiares inet-vpn .
O qualificatório familiar é avaliado antes que o filtro de rota seja avaliado. Assim, o filtro de rota não é avaliado se a correspondência familiar falhar. A mesma lógica se aplica à família inet6 e à família inet6-vpn. O filtro de rota usado no inet6 exemplo deve usar um endereço IPv6. Há um ganho de eficiência potencial no uso de um qualificatório familiar porque o qualificatório familiar é testado antes da maioria das outras qualificatórias, eliminando rapidamente rotas de famílias não desejadas.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
exemplo da inet
set policy-options policy-statement specific-family from family inet set policy-options policy-statement specific-family from route-filter 0.0.0.0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Exemplo de Inet-vpn
set policy-options policy-statement specific-family from family inet-vpn set policy-options policy-statement specific-family from route-filter 0.0.0.0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
exemplo do inet6
set policy-options policy-statement specific-family from family inet6 set policy-options policy-statement specific-family from route-filter 0::0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Exemplo de Inet6-vpn
set policy-options policy-statement specific-family from family inet6-vpn set policy-options policy-statement specific-family from route-filter 0::0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar um mapa de fluxo:
Configure o qualificatório familiar.
[edit policy-options] user@host# set policy-statement specific-family from family inet
Configure o filtro de rota.
[edit policy-options] user@host# set policy-statement specific-family from route-filter 0.0.0.0/0 exact
Configure as ações de política.
[edit policy-options] user@host# set policy-statement specific-family then next-hop self user@host# set policy-statement specific-family then accept
Aplique a política.
[edit protocols bgp] user@host# set import specific-family
Resultados
A partir do modo de configuração, confirme sua configuração emitindo o e show policy-options o show protocols comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show protocols
bgp {
import specific-family;
}
user@host# show policy-options
policy-statement specific-family {
from {
family inet;
route-filter 0.0.0.0/0 exact;
}
then {
next-hop self;
accept;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Repita o procedimento para cada família de protocolo para a qual você precisa de uma política específica de filtro de rota.
Verificação
Para verificar a configuração, execute os seguintes comandos:
show route advertising-protocol bgp neighbor detailshow route instance instance-name detail
Entender a filtragem de alvos de roteamento BGP proxy para VPNs
A filtragem de alvos de roteamento BGP (também conhecida como restrição de alvo de rota, ou RTC) permite que você distribua rotas VPN apenas para os dispositivos que precisam deles. Em redes VPN sem a filtragem de alvo de rota BGP configurada, o BGP distribui todas as rotas de VPN para todos os dispositivos vpn peer, o que pode pressionar os recursos da rede. O recurso de filtragem de alvos de rota foi introduzido para reduzir o número de dispositivos que recebem rotas VPN e atualizações de roteamento VPN, limitando assim a quantidade de sobrecarga associada à execução de uma VPN. A implementação do Junos OS para filtragem de alvos de roteamento BGP é baseada no RFC 4684, Constrained Route Distribution for Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs).
E se você tiver um ambiente de rede onde a filtragem de alvos de rota não for amplamente implantada ou se alguns dispositivos não suportam filtragem de alvos de rota? Por exemplo, você pode ter um alto-falante BGP com filtragem de alvo de rota habilitado que é peered com um alto-falante BGP que não suporta ou tem a filtragem de alvo de rota configurada. Nesse caso, o alto-falante BGP com filtragem de alvo de rota configurada deve anunciar a assinatura padrão de rota alvo (assinatura RT) em nome de seus pares. A economia de recursos de filtragem de alvo de roteamento não é realizada porque o dispositivo que oferece suporte à filtragem agora deve enviar todas as rotas de VPN para o dispositivo que não oferece suporte ao filtro. A filtragem de alvo de roteamento BGP (ou Proxy RTC) permite a geração de membros RT para dispositivos que não oferecem suporte à filtragem de alvos de rota. Isso facilita a implantação da filtragem de alvos de rota em redes onde ela é implantada incompletamente ou não é totalmente suportada.
A filtragem de alvos de roteamento BGP proxy permite distribuir anúncios de membros proxy RT criados a partir das rotas BGP VPN recebidas para outros dispositivos na rede que precisam deles. Estes são conhecidos como anúncios de proxy porque o dispositivo cria a associação RT em nome de seus pares sem a funcionalidade de filtragem de alvo de rota. A filtragem de alvo de roteamento BGP por proxy usa comunidades estendidas alvo BGP que são exportadas para um alto-falante BGP específico para gerar os alvos de rota. As rotas RTC de proxy geradas são armazenadas na tabela de roteamento bgp.rtarget.0.
Você também pode configurar uma política para controlar quais rotas de VPN são usadas para gerar as rotas RTC proxy. Isso pode ajudar a controlar qual membro RT é gerado pelo dispositivo de proxy. Além disso, você pode configurar uma política para reduzir a sobrecarga de memória associada ao RTC proxy. O Proxy RTC só usa memória adicional em uma rota por VPN quando é permitido por uma política ser usada para gerar membros RT.
Exemplo: configuração da filtragem de alvo de roteamento BGP proxy para VPNs
Este exemplo mostra como configurar a filtragem de alvos de rota BGP proxy (também conhecida como restrição de alvo de rota proxy ou RTC proxy).
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Quatro dispositivos da Juniper Networks que podem ser uma combinação de roteadores série M, Série MX ou Série T.
Junos OS Versão 12.2 ou posterior em um ou mais dispositivos configurados para filtragem de rotas BGP proxy. Neste exemplo, você configura explicitamente a filtragem de rotas BGP proxy nos refletores de rota.
Antes de configurar a filtragem de alvo de roteamento BGP proxy, certifique-se de estar familiarizado e entenda os seguintes conceitos:
Visão geral
A filtragem de alvos de roteamento diminui o número de dispositivos em uma rede que recebem rotas VPN que não são necessárias. A filtragem de alvos de roteamento BGP proxy permite que as redes aproveitem a filtragem de alvos de rota em locais onde o recurso não é suportado no momento. Ao configurar esse recurso, você pode obter muitas das mesmas economias de recursos de rede que estão disponíveis para você se sua rede tiver um suporte total na filtragem de alvos de roteamento BGP.
Para configurar a filtragem de alvos de rota BGP proxy, você inclui a family route-target proxy-generate declaração nos dispositivos que distribuirão anúncios de assinatura de alvo de rota proxy (membro RT) para os dispositivos que não oferecem suporte à filtragem de alvos de rota BGP. As rotas de filtragem de alvo de roteamento BGP proxy são armazenadas na tabela de roteamento bgp.rtarget.0.
A filtragem de alvos de roteamento BGP proxy destina-se a criar anúncios de assinatura RT para dispositivos que não oferecem suporte ao recurso de filtragem de alvos de roteamento BGP. Se a proxy-generate declaração estiver presente, mas a família alvo de rota for negociada com o peer BGP, a funcionalidade de geração de proxy está desabilitada. Isso permite uma configuração simplificada de grupos de peer BGP onde uma parte dos pares do grupo suporta a filtragem de alvos de rota, mas outras não. Nesse caso, por exemplo, a family route-target proxy-generate declaração pode fazer parte da configuração do BGP Peer Group.
Ao implantar a filtragem de alvo de rota BGP proxy em sua rede, a advertise-default declaração para filtragem de alvos de roteamento BGP faz com que o dispositivo anuncie a rota alvo de rota padrão (0:0:0/0) e suprime todas as rotas mais específicas. Se você tiver a filtragem de alvo de rota BGP proxy configurada em um dispositivo e um ou mais pares tiverem a advertise-default declaração configurada como parte de sua configuração de filtragem de alvo de rota BGP, a configuração de padrão de anúncio é ignorada.
Diagrama da topologia
A Figura 3 mostra a topologia usada neste exemplo.
Neste exemplo, a filtragem de alvo de roteamento BGP está configurada nos refletores de rota (Device RR1 e Device RR2) e no dispositivo PE2 da borda do provedor (PE), mas o outro PE, o Dispositivo PE1, não oferece suporte à funcionalidade de filtragem de alvos de roteamento BGP. O PE2 do dispositivo tem quatro VPNs configuradas (vpn1, vpn2, vpn3 e vpn4). O dispositivo PE1 tem duas VPNs configuradas (vpn1 e vpn2), portanto, este dispositivo só tem interesse em receber atualizações de rota para vpn1 e vpn2. Atualmente, isso é impossível porque ambos os refletores de rota (Device RR1 e Device RR2) aprendem e compartilham informações sobre todas as rotas VPN de entrada (vpn1 até vpn4) com o Dispositivo PE1. Na topologia da amostra, todos os dispositivos participam do sistema autônomo (AS) 203, o OSPF é o protocolo de gateway interior configurado (IGP), e o LDP é o protocolo de sinalização usado pelas VPNs. Neste exemplo, usamos rotas estáticas nas instâncias de roteamento e encaminhamento de VPN (VRF) para gerar rotas VPN. Isso é feito no lugar do uso de um protocolo PE para a borda do cliente (CE), como OSPF ou BGP.
Para minimizar o número de atualizações de rota vpn que estão sendo processadas pelo Dispositivo PE1, você inclui a family route-target proxy-generate declaração para configurar a filtragem de alvo de rota BGP proxy em cada refletor de rota. Cada refletor de rota tem uma sessão de peering com o dispositivo PE1 e oferece suporte à filtragem de alvos de rota até o núcleo. No entanto, o dispositivo PE1 não oferece suporte à filtragem de alvos de rota, portanto, a economia de recursos de rede não é realizada pelo dispositivo PE1, uma vez que recebe todas as atualizações de VPN. Ao configurar a filtragem de alvo de rota BGP proxy nas sessões de peering voltadas para o Dispositivo PE1, você limita o número de atualizações de VPN processadas pelo Dispositivo PE1 e os refletores de rota geram as rotas alvo de rota BGP proxy para o Dispositivo PE1 em toda a rede.
Configuração
- Configuração rápida da CLI
- Configuração do dispositivo PE1
- Configuração do dispositivo RR1
- Configuração do dispositivo RR2
- Configuração do dispositivo PE2
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
Dispositivo PE1
set interfaces ge-1/0/0 unit 0 description PE1-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE1-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.49.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.163.58 set protocols bgp group internal neighbor 10.255.165.220 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.165.28 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.163.58 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard
RR1 do dispositivo
set interfaces ge-1/0/0 unit 0 description RR1-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR1-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.0.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 198.51.100.1 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.168.42 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.220 set routing-options autonomous-system 203
RR2 do dispositivo
set interfaces ge-1/0/0 unit 0 description RR2-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.10.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR2-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.165.28 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.168.42 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.28 set routing-options autonomous-system 203
Pe2 do dispositivo
set interfaces ge-1/0/0 unit 0 description PE2-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.50.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE2-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.168.42 set protocols bgp group internal family inet-vpn unicast set protocols bgp group internal family route-target set protocols bgp group internal neighbor 10.255.165.220 set protocols bgp group internal neighbor 10.255.165.28 set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.168.42 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard set routing-instances vpn3 instance-type vrf set routing-instances vpn3 vrf-target target:203:103 set routing-instances vpn3 routing-options static route 203.0.113.3/24 discard set routing-instances vpn4 instance-type vrf set routing-instances vpn4 vrf-target target:203:104 set routing-instances vpn4 routing-options static route 203.0.113.4/24 discard
Configuração do dispositivo PE1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo PE1:
Configure as interfaces.
[edit interfaces] user@PE1# set ge-1/0/0 unit 0 description PE1-to-RR1 user@PE1# set ge-1/0/0 unit 0 family inet address 10.49.0.1/30 user@PE1# set ge-1/0/0 unit 0 family mpls user@PE1# set ge-1/0/1 unit 0 description PE1-to-RR2 user@PE1# set ge-1/0/1 unit 0 family inet address 10.49.10.1/30 user@PE1# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@PE1# set route-distinguisher-id 10.255.163.58 user@PE1# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@PE1# set type internal user@PE1# set local-address 10.255.163.58 user@PE1# set neighbor 10.255.165.220 family inet-vpn unicast user@PE1# set neighbor 10.255.165.28 family inet-vpn unicast
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1 user@PE1# set interface lo0.0 passive
Configure as instâncias de roteamento VPN.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:100 user@PE1# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:101 user@PE1# set routing-options static route 203.0.113.2/24 discard
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@PE1# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces, show protocolsshow routing-optionse show routing-instances comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@PE1# show interfaces
ge-1/0/0 {
unit 0 {
description PE1-to-RR1;
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE1-to-RR2;
family inet {
address 10.49.10.1/30;
}
family mpls;
}
}
user@PE1# show protocols
bgp {
group internal {
type internal;
local-address 10.255.163.58;
neighbor 10.255.165.220 {
family inet-vpn {
unicast;
}
}
neighbor 10.255.165.28 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE1# show routing-options route-distinguisher-id 10.255.14.182; autonomous-system 203;
user@PE1# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
Configuração do dispositivo RR1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo RR1:
Configure as interfaces.
[edit interfaces] user@RR1# set ge-1/0/0 unit 0 description RR1-to-PE1 user@RR1# set ge-1/0/0 unit 0 family inet address 10.49.0.2/30 user@RR1# set ge-1/0/0 unit 0 family mpls user@RR1# set ge-1/0/1 unit 0 description RR1-to-PE2 user@RR1# set ge-1/0/1 unit 0 family inet address 10.50.0.2/30 user@RR1# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@RR1# set route-distinguisher-id 10.255.165.220 user@RR1# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@RR1# set type internal user@RR1# set local-address 10.255.165.220 user@RR1# set cluster 198.51.100.1 user@RR1# set neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast user@RR1# set neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast
Configure a filtragem de alvo de roteamento BGP na sessão de peering com o Dispositivo PE2.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.168.42 family route-target
Configure a filtragem de alvo de roteamento BGP proxy na sessão de peering com o Dispositivo PE1.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.163.58 family route-target proxy-generate
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1 user@RR1# set interface lo0.0 passive
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@RR1# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfacese show protocols show routing-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@RR1# show interfaces
ge-1/0/0 {
unit 0 {
description RR1-to-PE1;
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR1-to-PE2;
family inet {
address 10.50.0.2/30;
}
family mpls;
}
}
user@RR1# show protocols
bgp {
group internal {
type internal;
local-address 198.51.100.1;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn1-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn1-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR1# show routing-options route-distinguisher-id 10.255.165.220; autonomous-system 203;
Configuração do dispositivo RR2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo RR2:
Configure as interfaces.
[edit interfaces] user@RR2# set ge-1/0/0 unit 0 description RR2-to-PE1 user@RR2# set ge-1/0/0 unit 0 family inet address 10.49.10.2/30 user@RR2# set ge-1/0/0 unit 0 family mpls user@RR2# set ge-1/0/1 unit 0 description RR2-to-PE2 user@RR2# set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@RR2# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@RR2# set route-distinguisher-id 10.255.165.28 user@RR2# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@RR2# set type internal user@RR2# set local-address 10.255.165.28 user@RR2# set cluster 198.51.100.1 user@RR2# set neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast user@RR2# set neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast
Configure a filtragem de alvo de roteamento BGP na sessão de peering com o Dispositivo PE2.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.168.42 family route-target
Configure a filtragem de alvo de roteamento BGP proxy na sessão de peering com o Dispositivo PE1.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.163.58 family route-target proxy-generate
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1 user@RR2# set interface lo0.0 passive
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@RR2# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfacese show protocolsshow routing-options nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@RR2# show interfaces
ge-1/0/0 {
unit 0 {
description RR2-to-PE1;
family inet {
address 10.49.10.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR2-to-PE2;
family inet {
address 10.50.10.2/30;
}
family mpls;
}
}
user@RR2# show protocols
bgp {
group internal {
local-address 10.255.165.28;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn2-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn2-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR2# show routing-options route-distinguisher-id 10.255.165.28; autonomous-system 203;
Configuração do dispositivo PE2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração.
Para configurar o dispositivo PE2:
Configure as interfaces.
[edit interfaces] user@PE2# set ge-1/0/0 unit 0 description PE2-to-RR1 user@PE2# set ge-1/0/0 unit 0 family inet address 10.50.0.1/30 user@PE2# set ge-1/0/0 unit 0 family mpls user@PE2# set ge-1/0/1 unit 0 description PE2-to-RR2 user@PE2# set ge-1/0/1 unit 0 family inet address 10.50.10.1/30 user@PE2# set ge-1/0/1 unit 0 family mpls
Configure o diferencial de rota e o número AS.
[edit routing-options] user@PE2# set route-distinguisher-id 10.255.168.42 user@PE2# set autonomous-system 203
Configure o LDP como o protocolo de sinalização usado pela VPN.
[edit protocols ldp] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1
Configure BGP.
[edit protocols bgp group internal] user@PE2# set type internal user@PE2# set local-address 10.255.168.42 user@PE2# set family inet-vpn unicast user@PE2# set family route-target user@PE2# set neighbor 10.255.165.220 user@PE2# set neighbor 10.255.165.28
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1 user@PE2# set interface lo0.0 passive
Configure as instâncias de roteamento VPN.
[edit routing-instances vpn1] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:100 user@PE2# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:101 user@PE2# set routing-options static route 203.0.113.2/24 discard
[edit routing-instances vpn3] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:103 user@PE2# set routing-options static route 203.0.113.3/24 discard
[edit routing-instances vpn4] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:104 user@PE2# set routing-options static route 203.0.113.4/24 discard
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@PE2# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces, show protocolsshow routing-optionse show routing-instances comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@PE2# show interfaces
ge-1/0/0 {
unit 0 {
description PE2-to-RR1;
family inet {
address 10.50.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE2-to-RR2;
family inet {
address 10.50.10.1/30;
}
family mpls;
}
}
user@PE2# show protocols
bgp {
group internal {
type internal;
local-address 10.255.168.42;
family inet-vpn {
unicast;
}
family route-target;
neighbor 10.255.165.220;
neighbor 10.255.165.28;
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE2# show routing-options route-distinguisher-id 10.255.168.42; autonomous-system 203;
user@PE2# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
vpn3 {
instance-type vrf;
vrf-target target:203:103;
routing-options {
static {
route 203.0.113.3/24 discard;
}
}
}
vpn4 {
instance-type vrf;
vrf-target target:203:104;
routing-options {
static {
route 203.0.113.4/24 discard;
}
}
}
Verificação
Confirme que a configuração está funcionando corretamente.
Verificando as rotas-alvo da rota BGP proxy
Propósito
Verifique se as rotas alvo da rota BGP proxy são exibidas na tabela bgp.rtarget.0 no dispositivo RR1.
Ação
Do modo operacional, entre no show route table bgp.rtartget.0 comando para exibir os alvos de rota BGP proxy.
user@RR1# show route table bgp.rtarget.0
4 destinations, 6 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
203:203:100/96
*[RTarget/5] 00:01:22
Type Proxy
for 10.255.163.58
Local
[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
203:203:101/96
*[RTarget/5] 00:01:22
Type Proxy
for 10.255.163.58
Local
[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
203:203:103/96
*[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
203:203:104/96
*[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
Significado
O dispositivo RR1 está gerando as rotas alvo de rota BGP proxy em nome de seu dispositivo pe1 peer. As rotas alvo de roteamento BGP proxy são identificadas com o protocolo e a preferência [RTarget/5] e o tipo de alvo de roteamento Proxy.