使用路由解析限制 VPN 路由
本主题介绍限制 VPN 路由,在 PE 路由器和路由反射器上配置路由解析,以及将 PE 路由器配置为接受来自虚拟路由器的有限数量的客户边缘。
示例:在 PE 路由器上配置路由解析
此示例说明了如何配置路由表以接受来自特定路由表的路由。它还显示了如何配置路由表以使用特定导入策略生成路由解析表以解析路由。
要求
开始之前,请配置第 3 层 VPN,如以下示例之一所示:
概述
实现 IPv4 路由扩展的一种方法是修改如何将BGP添加到转发表中。默认情况下,路由协议进程 (rpd) 会将 inet.0 和 inet.3 中的所有路由添加到解析树中。通常,这包括已解析的 IPv4 BGP路由,这会增加内存消耗。为了更好地扩展 IPv4 路由,此示例展示如何配置 Junos OS,以便BGP已解析的路由不会添加到解析树中。这是通过向路由解析表应用导入策略实现的,它可确保它不接受来自 inet.0 的任何BGP路由。
您可将此配置应用于第 3 层 VPN 中所有提供商边缘 (PE) 路由器。
配置
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中 [edit] 。
PE 路由器
set policy-options policy-statement protocol-bgp from protocol bgp set policy-options policy-statement protocol-bgp then reject set routing-options resolution rib inet.0 import protocol-bgp
程序
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器。
要配置路由解析,
配置路由策略。
[edit policy-options policy-statement protocol-bgp] user@PE# set from protocol bgp user@PE# set then reject
应用路由策略。
[edit routing-options resolution] user@PE# set rib inet.0 import protocol-bgp
如果完成设备配置,请提交配置。
[edit] user@PE# commit
结果
发出 和 命令, show policy-options 以确认 show routing-options 您的配置。
user@PE# show policy-options
policy-statement protocol-bgp {
from protocol bgp;
then reject;
}
user@PE# show routing-options
resolution {
rib inet.0 {
import protocol-bgp;
}
}
验证
运行以下命令,以确认配置工作正常:
示例:在路由反射器上配置路由解析
此示例显示如何更改路由反射器 (RR) 的默认解析行为,以使用 inet.0 进行下一跳解析,而不是使用 inet.3。
要求
开始之前,请配置第 3 层 VPN,如以下示例之一所示:
概述
一种路由解析方案是,当您将标签交换系列从 RR 配置到提供商边缘 (PE) 路由器时,或者 PE 路由器仅与 RR 对等。这可能会导致路由被隐藏。要解决这个问题,您可以将默认解析行为更改为使用 inet.0 进行下一跳解析。
默认情况下,bgp.l3vpn.0 路由表存储所有 VPN-IPv4 单播路由。此表存在于已配置第 3 层 VPN 的任何路由器上,包括 PE 路由器和 RR。
当第 3 层 VPN 路由器从另一个第 3 层 VPN 路由器接收路由时,它会将路由放入其 bgp.l3vpn.0 路由表中。路由使用 inet.3 路由表中的信息解析。这意味着,当 BGP 接收以表 bgp.l3vpn.0 为发往的路由时,协议下一hop(接收 BGP nexthop)会从 inet.3 表中确定其转发下一hop递归。生成的路由将转换为 IPv4 格式,并重新分配至所有 routing-instance-name .inet.0 路由表(如果与 VRF 导入策略匹配)。
在未连接客户边缘 (客户边缘) 路由器的 RR 上,配置会使 resolution rib bgp.l3vpn.0 resolution-ribs inet.0 bgp.l3vpn.0 中的路由使用 inet.0 中的信息而不是 inet.3 解析路由。您不应在直接连接到路由器的路由器上使用此客户边缘。换言之,请勿在 PE resolution rib bgp.l3vpn.0 resolution-ribs inet.0 路由器上使用。
如果要同时使用 inet.0 和 inet.3,则必须同时配置两者,如 set resolution rib bgp.l3vpn.0 resolution-ribs [inet.0 inet.3] 。
此示例中,策略 POLICY-limit-resolve-routes 将路由解析限制到仅通过路由学习IS-IS。如果省略导入策略,将评估 inet.0 中所有路由,并且可能用于解析协议下一跳跃。如果您不想解析所有条目,请使用策略过滤表中用于路由解析的路由子集。
一个常见示例是解决 inet.0 中所有路由的问题,默认路由 (0/0 除外)。
尽管 import 此配置中已使用 语句,但是不会导入或复制任何路由。相反, import policy-name 配置会限制一组可考虑用于路由解析的路由。
当 resolution rib bgp.l3vpn.0 resolution-ribs inet.0 一个 RR BGP转发路径中时,配置非常有用。换言之,RR 中没有入口 LSP。假设 RSVP 是标签信号协议,而边缘路由器上则配置了全网状 RSVP。RR 需要能够反映路由。为此,BGP执行路由可恢复性检查。如果接收第 3 层 VPN 路由,但是 inet.3 表中未包含下一个hop,则无法解析路由。由于路由器不在转发路径中,因此有效的解决方法是使用 inet.0 中的信息。inet.0 中的指标信息对于选择最佳路由非常有用,即使不能用于转发也很有用。
另一种方法是,确保 LSP 配置到 RR。如果配置 LDP,将自动发生这种情况。
配置
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中 [edit] 。
路由反射器
set routing-options resolution rib bgp.l3vpn.0 resolution-ribs inet.0 set routing-options resolution rib inet.0 import POLICY-limit-resolve-routes set policy-options policy-statement POLICY-limit-resolve-routes term isis from protocol isis set policy-options policy-statement POLICY-limit-resolve-routes term isis then accept set policy-options policy-statement POLICY-limit-resolve-routes then reject
程序
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器。
要配置路由解析,
将 bgp.l3vpn.0 配置为使用 inet.0 而不是 inet.3 中的信息解析路由。
[edit routing-options resolution rib bgp.l3vpn.0] user@RR# set resolution-ribs inet.0
(可选)配置路由策略。
[edit policy-options policy-statement POLICY-limit-resolve-routes] user@RR# set term isis from protocol isis user@RR# set term isis then accept user@RR# set then reject
(可选)应用策略。
[edit routing-options resolution rib inet.0] user@RR# set import POLICY-limit-resolve-routes
如果完成设备配置,请提交配置。
[edit] user@RR# commit
结果
发出 和 命令, show policy-options 以确认 show routing-options 您的配置。
user@RR# show policy-options
policy-statement POLICY-limit-resolve-routes {
term isis {
from protocol isis;
then accept;
}
then reject;
}
user@RR# show routing-options
resolution {
rib bgp.l3vpn.0 {
resolution-ribs inet.0;
}
rib inet.0 {
import POLICY-limit-resolve-routes;
}
}
验证
运行以下命令,以确认配置工作正常:
限制从第 3 层 VPN 中的 客户边缘接受的路径和前缀数量
您可以配置可安装到路由表中的前缀和路径数量的最大限制。通过使用前缀和路径限制,您可以对从 VPN 中的路由路由器客户边缘前缀和路径数进行设置。前缀和路径限制仅适用于动态路由协议,不适用于静态或接口路由。
要限制 PE 路由器从路由器接受的路径客户边缘,请包括 maximum-paths 语句:
maximum-paths path-limit <log-interval interval | log-only | threshold percentage>;
有关可配置此语句的层次结构级别列表,请参阅此语句的语句汇总部分。
指定仅 日志选项 以仅生成警告消息(咨询限制)。指定 阈值 选项,在达到限制之前生成警告。指定 日志间隔选项 ,以在日志消息之间配置最小时间间隔。
路由限制有两种模式:咨询模式和强制模式。咨询限制会触发警告。达到限制后,强制限制会拒绝其他路由。
应用路由限制可能会导致不可预测的动态路由协议行为。例如,当达到限制并拒绝路由时,BGP路由数下降到限制以下之后,不得重新安装被拒绝的路由。BGP可能需要清除这些会话。
要限制 PE 路由器从路由器接受的前缀客户边缘,请添加 maximum-prefixes 语句:
maximum-prefixes prefix-limit <log-interval interval | log-only | threshold percentage>;
有关可配置此语句的层次结构级别列表,请参阅此语句的语句汇总部分。
路由限制有两种模式:咨询模式和强制模式。咨询限制会触发警告。达到限制后,强制限制会拒绝其他路由。
应用路由限制可能会导致不可预测的动态路由协议行为。例如,当达到限制并拒绝路由时,BGP路由数下降到限制以下之后,不得重新安装被拒绝的路由。BGP可能需要清除这些会话。
除了触发警告消息之外,强制路径或前缀限制还拒绝到达限制后的任何附加路径或前缀。
设置路径或前缀限制可能会导致不可预测的动态路由协议行为。
您还可以为最大路径和语句配置以下 maximum-prefixes 选项:
日志间隔— 指定发送日志消息的时间间隔。此选项仅生成警告消息(咨询限制)。
指定 日志间隔选项 ,以在日志消息之间配置最小时间间隔。
仅日志— 仅生成警告消息。路由表中存储的路径或前缀数量未限制。
阈值—到达指定百分比的最大路径或前缀之后生成警告消息。