Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 VPN 中的 PE 路由器上的 VRF 表配置策略

在每个 PE 路由器上,您必须定义定义如何从路由器 VRF 表导入和导出路由的策略。在这些策略中,您必须定义路由目标,您可以选择定义路由源。

要为 VRF 表配置策略,请执行以下部分中的步骤:

配置路由目标

作为 VPN 路由表策略配置的一部分,您必须定义路由目标,该目标定义路由中的哪个 VPN 是其中的一部分。在同一 PE 路由器上配置不同类型的 VPN 服务(第 2 层 VPN、第 3 层 VPN、EVPN 或 VPLS)时,请务必分配独特的路由目标值,以避免向错误的 VPN 路由表添加路由和信号信息。

要配置路由目标,请在语句中community包含target选项:

您可以在以下层次结构级别中包含此语句:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

name 是社区的名称

community-id 是社区的标识符。以以下格式之一指定:

  • as-numbernumber,其中 as-number 的 AS 编号(2 字节值), number 是 4 字节社区值。AS 编号的范围为 1 到 65,535。我们建议您使用 IANA 分配的非专用 AS 编号,最好是 ISP 自己的编号或客户自己的 AS 编号。社区值可以是范围为 0 到 4,294,967,295 (232 – 1) 范围内的数字。

  • ip-addressnumberip-address IPv4 地址在哪里(4 字节值), number 是 2 字节社区值。IP 地址可以是任何全球唯一的单播地址。我们建议您使用语句中配置的 router-id 地址,即分配的前缀范围内的非私有地址。社区值可以是范围为 1 到 65,535 的数字。

配置路由源

在 PE 路由器 VRF 表的导入和导出策略中,您可以选择使用应用于发送至其他 PE 路由器的多协议外部 BGP (MP-EBGP) VPN IPv4 路由更新的 VRF 路由为 PE 路由器的 VRF 路由分配路由源(也称为源站点)。

在接收 PE 的 VRF 导入策略中对分配的路由源属性进行匹配有助于确保通过一个 PE 的 MP-EBGP 更新获知的 VPN-IPv4 路由不会从连接到同一站点的不同 PE 重新分配到同一 VPN 站点。

要配置路由来源,请完成以下步骤:

  1. 包括语 community 句和 origin 选项:

    您可以在以下层次结构级别中包含此语句:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    name 是社区的名称

    community-id 是社区的标识符。以以下格式之一指定:

    • as-numbernumber,其中 as-number 的 AS 编号(2 字节值), number 是 4 字节社区值。AS 编号的范围为 1 到 65,535。我们建议您使用 IANA 分配的非专用 AS 编号,最好是 ISP 自己的编号或客户自己的 AS 编号。社区值可以是范围为 0 到 4,294,967,295 (232 – 1) 范围内的数字。

    • ip-addressnumberip-address IPv4 地址在哪里(4 字节值), number 是 2 字节社区值。IP 地址可以是任何全球唯一的单播地址。我们建议您使用语句中配置的 router-id 地址,即分配的前缀范围内的非私有地址。社区值可以是范围为 1 到 65,535 的数字。

  2. 将语句community-id配置community为层次结构级别的步骤 1 中定义的标识符,将社区包含在 [edit policy-options policy-statement import-policy-name term import-term-name from] PE 路由器 VRF 表的导入策略中。请参阅 为 PE 路由器的 VRF 表配置导入策略。

    如果策略的 from 条款未指定社区条件, vrf-import 则无法提交应用策略的语句。Junos OS 提交操作未通过验证检查。

  3. 将语句community-id配置community为层次结构级别的步骤 1 中定义的标识符,将社区包含在 PE 路由器 VRF 表的导出策略中[edit policy-options policy-statement export-policy-name term export-term-name then]。请参阅 为 PE 路由器的 VRF 表配置导出策略。

请参阅 为配置示例 配置 VPN 的路由起源

为 PE 路由器的 VRF 表配置导入策略

每个 VPN 都可以有一个策略来定义如何将路由导入 PE 路由器的 VRF 表中。导入策略适用于从 VPN 中的其他 PE 路由器接收的路由。策略必须评估通过与对等 PE 路由器的 IBGP 会话接收的所有路由。如果路由与条件匹配,则路由安装在 PE 路由器的 routing-instance-name.inet.0 VRF 表中。导入策略必须包含拒绝所有其他路由的第二个术语。

除非导入策略仅包含语 then reject 句,否则必须包含对公共组的引用。否则,在尝试提交配置时,提交将失败。您可以配置多个导入策略。

导入策略根据从远程 PE 路由器通过 IBGP 从远程 PE 路由器学到的 VPN 路由确定将哪些内容导入指定的 VRF 表。IBGP 会话在[edit protocols bgp]层次结构级别配置。如果还在层次结构级别上配置导入策略[edit protocols bgp],则层次结构级别和层次结构级别的[edit protocols bgp]导入策略[edit policy-options]将通过逻辑和操作组合在一起。这样您就可以将流量作为一个组进行过滤。

要为 PE 路由器的 VRF 表配置导入策略,请执行以下步骤:

  1. 要定义导入策略,请包括语 policy-statement 句。对于所有 PE 路由器,导入策略必须至少包括语 policy-statement 句:

    您可以在以下层次结构级别中包含 policy-statement 语句:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    import-policy-name 策略评估通过 IBGP 会话与其他 PE 路由器接收的所有路由。如果路由与语句中 from 的条件匹配,则路由安装在 PE 路由器的 routing-instance-name.inet.0 VRF 表中。该政策中的第二个术语拒绝所有其他路由。

    有关创建策略的详细信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南

  2. 您可以选择使用正则表达式来定义要用于 VRF 导入策略的一组社区。

    例如,您可以在层次结构级别使用 community 语句配置以下语句 [edit policy-options policy-statement policy-statement-name]

    请注意,您无法将正则表达式配置为路由目标扩展公共组的一部分。有关如何为社区配置正则表达式的详细信息,请参阅 了解如何定义 BGP 社区和扩展社区

  3. 要配置导入策略,请包括以下 vrf-import 语句:

    您可以在以下层次结构级别中包含此语句:

    • [edit routing-instances routing-instance-name]

    • [edit logical-systems logical-system-name routing-instances routing-instance-name]

配置 PE 路由器 VRF 表的导出策略

每个 VPN 都可以有一个策略来定义如何从 PE 路由器的 VRF 表中导出路由。导出策略适用于发送至 VPN 中其他 PE 路由器的路由。导出策略必须评估通过与 CE 路由器的路由协议会话接收的所有路由。(此会话可以使用 BGP、OSPF 或路由信息协议 [RIP] 路由协议或静态路由。)如果路由符合条件,则将指定的公共组目标(即路由目标)添加到其中,并将其导出至远程 PE 路由器。导出策略必须包含拒绝所有其他路由的第二个术语。

在 VPN 路由实例中定义的导出策略是唯一适用于 VRF 表的导出策略。您在 PE 路由器之间的 IBGP 会话上定义的任何导出策略均不会对 VRF 表产生影响。您可以配置多个导出策略。

要为 PE 路由器的 VRF 表配置导出策略,请执行以下步骤:

  1. 对于所有 PE 路由器,导出策略必须根据您在路由实例中的 CE 和 PE 路由器之间配置的路由协议类型,将 VPN 路由分发至连接的 CE 路由器。

    要定义出口策略,请包括语 policy-statement 句。出口政策必须至少包括该 policy-statement 语句:

    注意:

    配置语 community add 句是 2 层 VPN VRF 导出策略的要求。如果将语句更改 community addcommunity set 语句,则第 2 层 VPN 链路出口的路由器可能会丢弃连接。

    注意:

    配置在源特定模式下运行且使用 vrf-export 语句指定导出策略的 rosen 组播 VPN 时,策略必须具有接受 vrf-name.mdt.0 路由表中的路由的术语。此术语可确保使用 inet-mdt 地址族进行适当的 PE 自动发现。

    配置在源特定模式下操作且使用 vrf-target 语句的草玫瑰组播 VPN 时,将自动生成 VRF 导出策略,并自动接受 vrf-name.mdt.0 路由表中的路由。

    您可以在以下层次结构级别中包含 policy-statement 语句:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    export-policy-name 策略评估通过与 CE 路由器的路由协议会话收到的所有路由。(此会话可以使用 BGP、OSPF 或 RIP 路由协议或静态路由。)如果路由与语句中 from 的条件匹配,则会将语句中指定的 then community add 社区目标添加到语句中,并将其导出至远程 PE 路由器。该政策中的第二个术语拒绝所有其他路由。

    有关创建策略的详细信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南

  2. 要应用策略,请包括语 vrf-export 句:

    您可以在以下层次结构级别中包含此语句:

    • [edit routing-instances routing-instance-name]

    • [edit logical-systems logical-system-name routing-instances routing-instance-name]

同时应用 VRF 导出和 BGP 导出政策

在为 PE 路由器 VRF 表配置导出策略时,将根据此策略将 VPN 路由实例中的路由通告给其他 PE 路由器,而 BGP 导出策略将忽略。

如果在 BGP 配置中包含 vpn-apply-export 语句,则在 VPN 路由表中将路由播发至其他 PE 路由器之前,将应用 VRF 导出和 BGP 组或邻接方导出策略(先是 VRF,然后是 BGP)。

注意:

当 PE 设备在运营商至载波或 AS 间 VPN 中也充当路由反射器 (RR) 或自治系统边界路由器 (ASBR)时,vrf 导出策略中的下一跳跃操纵将被忽略。

当包含该 vpn-apply-export 语句时,请注意以下内容:

  • 导入 bgp.l3vpn.0 路由表的路由保留原始路由的属性(例如,即使存储在 bgp.l3vpn.0 路由表中,OSPF 路由也仍然是 OSPF 路由)。为 IBGP PE 路由器与 PE 路由器、路由反射器与 PE 路由器或 AS 边界路由器 (ASBR) 对等路由器之间的连接配置导出策略时,应注意这一点。

  • 默认情况下,bgp.l3vpn.0 路由表中的所有路由都导出到 IBGP 对等方。如果拒绝所有出口政策的最后声明,并且如果出口政策在 bgp.l3vpn.0 路由表中的路由上没有具体匹配,则不会导出任何路由。

要向 VPN 路由应用 VRF 导出和 BGP 导出策略,请包括以下 vpn-apply-export 语句:

有关可包含此语句的层次结构级别列表,请参阅此语句的语句摘要部分。

配置 VRF 目标

vrf-target在 VRF 目标公共组的配置中包括语句会导致生成默认 VRF 导入和导出策略,以接受和标记带有指定目标公共组的路由。您仍然可以通过显式配置 VRF 导入和导出策略来创建更复杂的策略。这些策略覆盖配置语句时生成的vrf-target默认策略。

如果未配置 import 语句和 export 选项 vrf-target ,则指定的公共组字符串会在两个方向上应用。这些 importexport 关键字可为您提供更高的灵活性,从而允许您为每个方向指定不同的社区。

VRF 目标社区的语法不是名称。您必须以格式 target:x:y指定。无法指定社区名称,因为这也要求您使用 policy-options 语句为该社区配置社区成员。如果定义语 policy-options 句,则可以像往常一样配置 VRF 导入和导出策略。语句的目的是 vrf-target 通过允许您在层次结构级别配置大多数语句 [edit routing-instances] 来简化配置。

要配置 VRF 目标,请包括以下 vrf-target 语句:

您可以在以下层次结构级别中包含此语句:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

您如何配置语句的 vrf-target 示例如下:

要使用exportimport选项配置vrf-target语句,请包括以下语句:

您可以在以下层次结构级别中包含此语句:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]