配置 VPN 的路由源
您可以使用路由源来防止从一个标记有源社区的客户边缘 (CE) 路由器获知的路由从同一 AS 中的另一个 CE 路由器播发给该路由器。
在此示例中,路由源用于防止从标记有源社区的 CE 路由器 A 获知的路由由 AS 200 播发至 CE 路由器 E。拓扑示例如图 1 所示。

在此拓扑中,CE 路由器 A 和 CE 路由器 E 在同一 AS (AS200) 中。它们使用 EBGP 与其各自的提供商边缘 (PE) 路由器、PE 路由器 B 和 PE 路由器 D 交换路由。两个 CE 路由器有一个后向连接。
以下部分介绍如何为一组 VPN 配置路由源:
在 CE 路由器 A 上配置起源站点社区
下一节介绍如何配置 CE 路由器 A,以便将包含源社区站点的路由播发至此示例中的 PE 路由器 B。
在此示例中,直接路由配置为播发,但可以配置任何路由。
配置策略以在 CE 路由器 A 上播发带有 my-soo
社区的路由,如下所示:
[edit] policy-options { policy-statement export-to-my-isp { term a { from { protocol direct; } then { community add my-soo; accept; } } } }
在 CE 路由器 A 上配置社区
在 my-soo
CE 路由器 A 上配置社区,如下所示:
[edit] policy-options { community my-soo { members origin:100:1; } }
在 CE 路由器 A 上应用策略语句
将 export-to-my-isp 策略语句作为导出策略应用于 CE 路由器 A 上的 EBGP 对等互连,如下所示:
[edit] protocols { bgp { group my_isp { export export-to-my-isp; } } }
发出 show route receive-protocol bgp detail
命令时,您应该会看到以下路由源自 PE 路由器 B 以及 my-soo
社区:
user@host> show route receive-protocol bgp 10.12.99.2 detail inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden) inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden) * 10.12.33.0/30 (2 entries, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 10.12.99.0/30 (2 entries, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 * 10.255.71.177/32 (1 entry, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 * 192.168.64.0/21 (1 entry, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) __juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
在 PE 路由器 D 上配置策略
在 PE 路由器 D 上配置一个策略,以防止将带有 my-soo
CE 路由器 A 标记社区的路由播发至 CE 路由器 E,如下所示:
[edit] policy-options { policy-statement soo-ce1-policy { term a { from { community my-soo; then { reject; } } } } }
在 PE 路由器 D 上配置社区
在 PE 路由器 D 上配置社区,如下所示:
[edit] policy-options { community my-soo { members origin:100:1; } }
在 PE 路由器 D 上应用策略
要防止从 CE 路由器 A 获知的路由播发到 CE 路由器 E(两个路由器可以直接通信这些路由),将 soo-ce1-policy
策略语句作为导出策略应用于 PE 路由器 D 和 CE 路由器 E EBGP 会话 vpn_blue
。
使用 show routing-instances
命令查看 PE 路由器 D 上的 EBGP 会话。
user@host# show routing-instances vpn_blue { instance-type vrf; interface fe-2/0/0.0; vrf-target target:100:200; protocols { bgp { group ce2 { advertise-peer-as; peer-as 100; neighbor 10.12.99.6; } } } }
将 soo-ce1-policy
策略语句作为导出策略应用于 PE 路由器 D 和 CE 路由器 E EBGP 会话 vpn_blue
,如下所示:
[edit routing-instances] vpn_blue { protocols { bgp { group ce2{ export soo-ce1-policy; } } } }