为 VPN 配置 BGP 路由目标过滤
BGP 路由目标过滤允许您将 VPN 路由仅分发到需要这些路由的路由器。在未配置 BGP 路由目标过滤的 VPN 网络中,BGP 会将所有 VPN 路由分发到所有 VPN 对等路由器。
有关 BGP 路由目标过滤的详细信息,请参阅 RFC 4684 ,边界网关协议/多协议标签交换 (BGP/MPLS) 互联网协议 (IP) 虚拟专用网络 (VPN) 的受限路由分配。
以下部分概述了 BGP 路由目标过滤以及如何为 VPN 配置它:
BGP 路由目标过滤概述
除非 PE 路由器配置为路由反射器或运行 EBGP 会话,否则丢弃不包含本地 VRF 导入策略中指定的路由目标扩展社区的任何 VPN 路由。这是 Junos OS 的默认行为。
但是,除非明确配置不存储 VPN 路由,否则任何配置为 VPN 地址家族的路由反射器或边界路由器的路由器都必须存储服务提供商网络中存在的所有 VPN 路由。此外,尽管 PE 路由器可以自动丢弃不包含路由目标扩展社区的路由,但路由更新仍在继续生成和接收。
通过减少接收 VPN 路由和路由更新的路由器数量,BGP 路由目标过滤有助于限制与运行 VPN 相关的开销。在网络中有许多路由反射器或 AS 边界路由器不直接参与 VPN(不充当 CE 设备的 PE 路由器),BGP 路由目标过滤在减少 VPN 相关管理流量方面最为有效。
BGP 路由目标过滤使用标准 UPDATE 消息在路由器之间分配路由目标扩展社区。使用 UPDATE 消息允许 BGP 使用其标准环路检测机制、路径选择、策略支持和数据库交换实施。
为 VPN 配置 BGP 路由目标过滤
BGP 路由目标过滤通过地址家族的 route-target 交换启用,该地址家族存储在 bgp.rtarget.0 路由表中。根据 route-target 地址家族,路由目标 NLRI(地址族指示符 [AFI]=1,后续 AFI [SAFI]=132)会与其对等方协商。
在已在本地配置 VRF 实例的系统上,BGP 自动生成与策略中 vrf-import 引用的目标对应的本地路由。
要配置 BGP 路由目标过滤,请添加 family route-target 以下语句:
family route-target { advertise-default; external-paths number; prefix-limit number; }
有关可包含此语句的层次结构级别列表,请参阅此语句的语句摘要部分。
advertise-default、 external-paths和prefix-limit语句影响 BGP 路由目标过滤配置,如下所示:
该
advertise-default语句会使路由器播发默认路由目标路由 (0:0:0/0),并抑制所有更具体的路由。这可由 BGP 组上的路由反射器使用,该组由仅充当 PE 路由器的邻接方组成。PE 路由器通常需要将所有路由播发至路由反射器。抑制默认路由以外的所有路由目标通告可减少路由反射器与 PE 路由器之间交换的信息量。除非收到非默认路由,否则 Junos OS 不维护依赖项信息,从而有助于减少路由目标播发开销。
语句
external-paths(默认值为 1)会使路由器播发引用给定路由目标的 VPN 路由。您指定的数字决定了接收 VPN 路由的外部对等路由器(当前在发发该路由目标)的数量。该
prefix-limit语句限制可以从对等路由器接收的前缀数量。
route-target、 advertise-default和external-path语句影响 RIB-OUT 状态,并且共享同一 BGP 组的对等路由器之间必须一致。该prefix-limit语句仅影响接收端,在 BGP 组中的不同对等路由器之间可以有不同的设置。