Konfigurieren von Richtlinien für die VRF-Tabelle auf PE-Routern in VPNs

Konfigurieren des Routenziels

Im Rahmen der Richtlinienkonfiguration für die VPN-Routing-Tabelle müssen Sie ein Routenziel definieren, das definiert, zu welchem VPN die Route gehört. Wenn Sie verschiedene Arten von VPN-Services (Layer 2-VPNs, Layer 3-VPNs, EVPNs oder VPLS) auf demselben PE-Router konfigurieren, stellen Sie sicher, dass Sie eindeutige Routenzielwerte zuweisen, um die Möglichkeit zu vermeiden, dass Routen- und Signalisierungsinformationen zur falschen VPN-Routing-Tabelle hinzugefügt werden.

Um das Routenziel zu konfigurieren, fügen Sie die target Option in die community Anweisung ein:

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit policy-options]

• [edit logical-systems logical-system-name policy-options]

name ist der Name der Community.

community-id ist der Identifikator der Community. Geben Sie sie in einem der folgenden Formate an:

• as-number:number, wobei as-number eine AS-Zahl (ein 2-Byte-Wert) und number ein 4-Byte-Community-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Es wird empfohlen, eine von der IANA zugewiesene, nicht private AS-Nummer zu verwenden, vorzugsweise die eigene AS-Nummer des ISP oder die eigene AS-Nummer des Kunden. Der Community-Wert kann eine Zahl im Bereich von 0 bis 4.294.967.295 (2³² – 1) sein.

• ip-address:number, wobei ip-address eine IPv4-Adresse (ein 4-Byte-Wert) und number ein 2-Byte-Community-Wert ist. Bei der IP-Adresse kann es sich um eine beliebige global eindeutige Unicastadresse handeln. Es wird empfohlen, die Adresse zu verwenden, die Sie in der router-id Anweisung konfigurieren, bei der es sich um eine nicht private Adresse im zugewiesenen Präfixbereich handelt. Der Community-Wert kann eine Zahl im Bereich zwischen 1 und 65.535 sein.

Konfigurieren des Routenursprungs

In den Import- und Exportrichtlinien für die VRF-Tabelle des PE-Routers können Sie optional den Routenursprung (auch als Ursprungsstandort bezeichnet) für die VRF-Routen eines PE-Routers zuweisen, indem Sie eine VRF-Exportrichtlinie verwenden, die auf Multiprotokoll-Updates für externe BGP-VPN (MP-EBGP)-VPN-IPv4-Routen angewendet wird, die an andere PE-Router gesendet werden.

Durch den Abgleich mit dem zugewiesenen Routenursprungsattribut in der VRF-Importrichtlinie einer empfangenden PE wird sichergestellt, dass VPN-IPv4-Routen, die durch MP-EBGP-Updates von einer PE erlernt wurden, nicht von einer anderen PE, die mit derselben PE verbunden ist, an dieselbe VPN-Site importiert werden.

Führen Sie die folgenden Schritte aus, um einen Routenursprung zu konfigurieren:

1. Fügen Sie die community Anweisung mit der origin folgenden Option ein:

   Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   name ist der Name der Community.

   community-id ist der Identifikator der Community. Geben Sie sie in einem der folgenden Formate an:

   • as-number:number, wobei as-number eine AS-Zahl (ein 2-Byte-Wert) und number ein 4-Byte-Community-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Es wird empfohlen, eine von der IANA zugewiesene, nicht private AS-Nummer zu verwenden, vorzugsweise die eigene AS-Nummer des ISP oder die eigene AS-Nummer des Kunden. Der Community-Wert kann eine Zahl im Bereich von 0 bis 4.294.967.295 (2³² – 1) sein.

   • ip-address:number, wobei ip-address eine IPv4-Adresse (ein 4-Byte-Wert) und number ein 2-Byte-Community-Wert ist. Bei der IP-Adresse kann es sich um eine beliebige global eindeutige Unicastadresse handeln. Es wird empfohlen, die Adresse zu verwenden, die Sie in der router-id Anweisung konfigurieren, bei der es sich um eine nicht private Adresse im zugewiesenen Präfixbereich handelt. Der Community-Wert kann eine Zahl im Bereich zwischen 1 und 65.535 sein.

2. Schließen Sie die Community in die Importrichtlinie für die VRF-Tabelle des PE-Routers ein, indem Sie die community Anweisung mit dem community-id in Schritt 1 definierten Bezeichner auf Hierarchieebene [edit policy-options policy-statement import-policy-name term import-term-name from] konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer Importrichtlinie für die VRF-Tabelle des PE-Routers.

   Wenn die from Klausel der Richtlinie keine Community-Bedingung angibt, kann für die vrf-import Anweisung, in der die Richtlinie angewendet wird, kein Commit ausgeführt werden. Der Junos OS-Commit-Vorgang besteht die Validierungsprüfung nicht.

3. Schließen Sie die Community in die Exportrichtlinie für die VRF-Tabelle des PE-Routers ein, indem Sie die community Anweisung mit dem community-id in Schritt 1 definierten Bezeichner auf Hierarchieebene [edit policy-options policy-statement export-policy-name term export-term-name then] konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers.

Ein Konfigurationsbeispiel finden Sie unter Konfigurieren des Routenursprungs für VPNs .

Konfigurieren einer Importrichtlinie für die VRF-Tabelle des PE-Routers

Jedes VPN kann über eine Richtlinie verfügen, die definiert, wie Routen in die VRF-Tabelle des PE-Routers importiert werden. Eine Importrichtlinie wird auf Routen angewendet, die von anderen PE-Routern im VPN empfangen werden. Eine Richtlinie muss alle Routen auswerten, die über die IBGP-Sitzung mit dem Peer-PE-Router empfangen werden. Wenn die Routen mit den Bedingungen übereinstimmen, wird die Route in der VRF-Tabelle des PE-Routers routing-instance-name.inet.0 installiert. Eine Importrichtlinie muss einen zweiten Begriff enthalten, der alle anderen Routen ablehnt.

Sofern eine Importrichtlinie nicht nur eine then reject Anweisung enthält, muss sie einen Verweis auf eine Community enthalten. Andernfalls, wenn Sie versuchen, einen Commit für die Konfiguration auszuführen, schlägt der Commit fehl. Sie können mehrere Importrichtlinien konfigurieren.

Eine Importrichtlinie bestimmt, was in eine bestimmte VRF-Tabelle importiert werden soll, basierend auf den VPN-Routen, die von den Remote-PE-Routern über IBGP gelernt wurden. Die IBGP-Sitzung wird auf der [edit protocols bgp] Hierarchieebene konfiguriert. Wenn Sie zusätzlich eine Importrichtlinie auf Hierarchieebene [edit protocols bgp] konfigurieren, werden die Importrichtlinien auf Hierarchieebene [edit policy-options] und Hierarchieebene [edit protocols bgp] durch eine logische UND-Operation kombiniert. Auf diese Weise können Sie den Datenverkehr als Gruppe filtern.

Gehen Sie folgendermaßen vor, um eine Importrichtlinie für die VRF-Tabelle des PE-Routers zu konfigurieren:

1. Um eine Importrichtlinie zu definieren, schließen Sie die policy-statement Anweisung ein. Für alle PE-Router muss eine Importrichtlinie immer mindestens die policy-statement folgende Anweisung enthalten:

   Sie können die policy-statement Anweisung auf den folgenden Hierarchieebenen einschließen:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   Die import-policy-name Richtlinie wertet alle Routen aus, die über die IBGP-Sitzung mit dem anderen PE-Router empfangen werden. Wenn die Routen mit den Bedingungen in der from Anweisung übereinstimmen, wird die Route in der .inet.0-VRF-Tabelle des PE-Routers routing-instance-nameinstalliert. Der zweite Begriff in der Richtlinie lehnt alle anderen Wege ab.

   Weitere Informationen zum Erstellen von Richtlinien finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrsrichtlinien.

2. Sie können optional einen regulären Ausdruck verwenden, um eine Gruppe von Communitys zu definieren, die für die VRF-Importrichtlinie verwendet werden sollen.

   Mit der community Anweisung auf Hierarchieebene [edit policy-options policy-statement policy-statement-name] können Sie z. B. Folgendes konfigurieren:

   Beachten Sie, dass Sie einen regulären Ausdruck nicht als Teil einer erweiterten Routenziel-Community konfigurieren können. Weitere Informationen zum Konfigurieren regulärer Ausdrücke für Communitys finden Sie unter Auswerten von BGP-Communitys und erweiterten Communitys in Übereinstimmungsbedingungen für Routingrichtlinien.

3. Um eine Importrichtlinie zu konfigurieren, fügen Sie die vrf-import folgende Anweisung ein:

   Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

   • [edit routing-instances routing-instance-name]

   • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers

Jedes VPN kann über eine Richtlinie verfügen, die definiert, wie Routen aus der VRF-Tabelle des PE-Routers exportiert werden. Eine Exportrichtlinie wird auf Routen angewendet, die an andere PE-Router im VPN gesendet werden. Eine Exportrichtlinie muss alle Routen auswerten, die über die Routingprotokollsitzung mit dem CE-Router empfangen werden. (In dieser Sitzung können die Routing-Protokolle BGP, OSPF oder Routing Information Protocol [RIP] oder statische Routen verwendet werden.) Wenn die Routen mit den Bedingungen übereinstimmen, wird ihnen das angegebene Community-Ziel (das Routenziel) hinzugefügt und sie werden in die Remote-PE-Router exportiert. Eine Exportrichtlinie muss einen zweiten Begriff enthalten, der alle anderen Routen ablehnt.

Exportrichtlinien, die in der VPN-Routinginstanz definiert sind, sind die einzigen Exportrichtlinien, die für die VRF-Tabelle gelten. Exportrichtlinien, die Sie für die IBGP-Sitzung zwischen den PE-Routern definieren, haben keine Auswirkungen auf die VRF-Tabelle. Sie können mehrere Exportrichtlinien konfigurieren.

Gehen Sie folgendermaßen vor, um eine Exportrichtlinie für die VRF-Tabelle des PE-Routers zu konfigurieren:

1. Für alle PE-Router muss eine Exportrichtlinie VPN-Routen zu und von den verbundenen CE-Routern entsprechend dem Typ des Routing-Protokolls verteilen, das Sie zwischen den CE- und PE-Routern innerhalb der Routing-Instanz konfigurieren.

   Um eine Exportrichtlinie zu definieren, schließen Sie die Anweisung policy-statement ein. Eine Exportrichtlinie muss immer mindestens die policy-statement folgende Anweisung enthalten:

   Anmerkung:

   Die Konfiguration der community add Anweisung ist eine Voraussetzung für Layer 2-VPN-VRF-Exportrichtlinien. Wenn Sie die community add Anweisung in die community set Anweisung ändern, bricht der Router am Ausgang der Layer 2-VPN-Verbindung möglicherweise die Verbindung.

   Anmerkung:

   Wenn Sie Multicast-VPNs vom Entwurf rosen konfigurieren, die im quellenspezifischen Modus ausgeführt werden, und die vrf-export Anweisung zum Angeben der Exportrichtlinie verwenden, muss die Richtlinie über einen Begriff verfügen, der Routen aus der Routing-Tabelle vrf-name.mdt.0 akzeptiert. Dieser Begriff stellt die ordnungsgemäße automatische PE-Erkennung mithilfe der inet-mdt Adressfamilie sicher.

   Bei der Konfiguration von draft-rosen-Multicast-VPNs, die im quellenspezifischen Modus betrieben werden, und bei Verwendung der vrf-target Anweisung wird die VRF-Exportrichtlinie automatisch generiert und akzeptiert automatisch Routen aus der Routing-Tabelle vrf-name.mdt.0.

   Sie können die policy-statement Anweisung auf den folgenden Hierarchieebenen einschließen:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   Die export-policy-name Richtlinie wertet alle Routen aus, die über die Routing-Protokollsitzung mit dem CE-Router empfangen werden. (In dieser Sitzung können die Routing-Protokolle BGP, OSPF oder RIP oder statische Routen verwendet werden.) Wenn die Routen mit den Bedingungen in der from Anweisung übereinstimmen, wird ihnen das in der then community add Anweisung angegebene Community-Ziel hinzugefügt und sie werden an die Remote-PE-Router exportiert. Der zweite Begriff in der Richtlinie lehnt alle anderen Wege ab.

   Weitere Informationen zum Erstellen von Richtlinien finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrsrichtlinien.

2. Um die Richtlinie anzuwenden, fügen Sie die vrf-export folgende Anweisung hinzu:

   Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

   • [edit routing-instances routing-instance-name]

   • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Anwenden sowohl der VRF-Export- als auch der BGP-Exportrichtlinien

Wenn Sie eine VRF-Exportrichtlinie anwenden, wie unter Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers beschrieben, werden Routen von VPN-Routing-Instanzen basierend auf dieser Richtlinie an andere PE-Router angekündigt, während die BGP-Exportrichtlinie ignoriert wird.

Wenn Sie die vpn-apply-export Anweisung in die BGP-Konfiguration aufnehmen, werden sowohl die VRF-Export- als auch die BGP-Gruppen- oder Nachbarexportrichtlinien angewendet (zuerst VRF, dann BGP), bevor Routen in den VPN-Routingtabellen für andere PE-Router angekündigt werden.

Anmerkung:

Wenn ein PE-Gerät auch als Routenreflektor (RR) oder ASBR (Autonomous System Boundary Router) in einem Carrier-over-Carrier- oder Inter-AS-VPN fungiert, wird die Next-Hop-Manipulation in der vrf-export-Richtlinie ignoriert.

Beachten Sie beim Einfügen der vpn-apply-export Anweisung Folgendes:

• Routen, die in die Routing-Tabelle bgp.l3vpn.0 importiert werden, behalten die Attribute der ursprünglichen Routen bei (z. B. bleibt eine OSPF-Route eine OSPF-Route, auch wenn sie in der Routing-Tabelle bgp.l3vpn.0 gespeichert ist). Sie sollten dies beachten, wenn Sie eine Exportrichtlinie für Verbindungen zwischen einem IBGP PE-Router und einem PE-Router, einem Routenreflektor und einem PE-Router oder ASBR-Peer-Router (AS Boundary Router) konfigurieren.

• Standardmäßig werden alle Routen in der Routing-Tabelle bgp.l3vpn.0 in die IBGP-Peers exportiert. Wenn die letzte Anweisung der Exportrichtlinie deny all lautet und die Exportrichtlinie nicht speziell mit Routen in der Routing-Tabelle bgp.l3vpn.0 übereinstimmt, werden keine Routen exportiert.

Um sowohl die VRF-Export- als auch die BGP-Exportrichtlinien auf VPN-Routen anzuwenden, fügen Sie die vpn-apply-export folgende Anweisung ein:

Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.

Konfigurieren eines VRF-Ziels

Wenn Sie die vrf-target Anweisung in die Konfiguration für eine VRF-Ziel-Community aufnehmen, werden standardmäßige VRF-Import- und Exportrichtlinien generiert, die Routen mit der angegebenen Ziel-Community akzeptieren und mit Tags versehen. Sie können weiterhin komplexere Richtlinien erstellen, indem Sie VRF-Import- und Exportrichtlinien explizit konfigurieren. Diese Richtlinien überschreiben die Standardrichtlinien, die beim Konfigurieren der vrf-target Anweisung generiert werden.

Wenn Sie die import export und-Optionen der vrf-target Anweisung nicht konfigurieren, wird die angegebene Community-Zeichenfolge in beide Richtungen angewendet. export Die import Schlüsselwörter und geben Ihnen mehr Flexibilität, sodass Sie für jede Richtung eine andere Community angeben können.

Die Syntax für die VRF-Zielcommunity ist kein Name. Sie müssen es im Format target:x:yangeben. Ein Community-Name kann nicht angegeben werden, da Sie hierzu auch die Community-Mitglieder für diese Community mithilfe der policy-options Anweisung konfigurieren müssten. Wenn Sie die policy-options Anweisungen definieren, können Sie wie gewohnt VRF-Import- und Exportrichtlinien konfigurieren. Der Zweck der vrf-target Anweisung besteht darin, die Konfiguration zu vereinfachen, indem Sie die meisten Anweisungen auf Hierarchieebene [edit routing-instances] konfigurieren können.

Um ein VRF-Ziel zu konfigurieren, fügen Sie die vrf-target folgende Anweisung ein:

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]

Im Folgenden finden Sie ein Beispiel für die Konfiguration der vrf-target Anweisung:

Um die vrf-target Anweisung mit den export import Optionen und zu konfigurieren, schließen Sie die folgenden Anweisungen ein:

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]