为 VPN 配置路由来源
您可以使用路由源来防止从标有源社区的一台客户边缘(客户边缘)路由器获知的路由从同一 AS 中的另一台 CE 路由器播发回该客户边缘。
在此示例中,路由源用于防止从 客户边缘 路由器 A 获知的标有源社区的路由在 AS 200 之前播发回路由器 E客户边缘。示例拓扑如 图 1 所示。
在此拓扑中,客户边缘路由器 A 和客户边缘路由器 E 在同一 AS (AS200) 中。它们使用 EBGP 与各自的提供商边缘 (PE) 路由器 PE 路由器 B 和 PE 路由器 D 交换路由。两个客户边缘路由器具有反向连接。
以下部分介绍如何为一组 VPN 配置路由来源:
在客户边缘路由器 A 上配置源站点社区
在本例中,以下部分介绍如何配置客户边缘路由器 A,以便将具有源站点社区的路由播发至 PE 路由器 B。
在此示例中,直接路由配置为播发,但可以配置任何路由。
配置策略以在客户边缘路由器 A 上通告带有社区的 my-soo 路由,如下所示:
[edit]
policy-options {
policy-statement export-to-my-isp {
term a {
from {
protocol direct;
}
then {
community add my-soo;
accept;
}
}
}
}
在客户边缘路由器 A 上配置社区
按如下方式配置 my-soo 客户边缘路由器 A 上的社区:
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
在客户边缘路由器 A 上应用策略语句
将 export-to-my-isp 策略语句作为导出策略应用于客户边缘路由器 A 上的 EBGP 对等互连,如下所示:
[edit]
protocols {
bgp {
group my_isp {
export export-to-my-isp;
}
}
}
发出命令 show route receive-protocol bgp detail 时,您应该会看到以下路由源自带有社区的 my-soo PE 路由器 B:
user@host> show route receive-protocol bgp 10.12.99.2 detail
inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden)
* 10.12.33.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
10.12.99.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 10.255.71.177/32 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 192.168.64.0/21 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
__juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0
hidden)
在 PE 路由器 D 上配置策略
在 PE 路由器 D 上配置一个策略,以防止将由客户边缘路由器 A 标记的社区的 my-soo 路由播发至 客户边缘路由器 E,如下所示:
[edit]
policy-options {
policy-statement soo-ce1-policy {
term a {
from {
community my-soo;
then {
reject;
}
}
}
}
}
在 PE 路由器 D 上配置社区
按以下步骤配置 PE 路由器 D 上的社区:
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
对 PE 路由器 D 应用策略
要防止从客户边缘路由器 A 获知的路由播发至客户边缘路由器 E(两台路由器可以直接通信这些路由), soo-ce1-policy 请将 policy 语句作为导出策略应用于 PE 路由器 D 和客户边缘路由器 E EBGP 会话 vpn_blue。
使用命令 show routing-instances 查看 PE 路由器 D 上的 EBGP 会话。
user@host# show routing-instances
vpn_blue {
instance-type vrf;
interface fe-2/0/0.0;
vrf-target target:100:200;
protocols {
bgp {
group ce2 {
advertise-peer-as;
peer-as 100;
neighbor 10.12.99.6;
}
}
}
}
将策略语句作为导出策略应用于 soo-ce1-policy PE 路由器 D 和客户边缘路由器 E EBGP 会话 vpn_blue ,如下所示:
[edit routing-instances]
vpn_blue {
protocols {
bgp {
group ce2{
export soo-ce1-policy;
}
}
}
}