Konfigurieren von Richtlinien für die VRF-Tabelle auf PE-Routern in VPNs

Konfigurieren des Routenziels

Im Rahmen der Richtlinienkonfiguration für die VPN-Routing-Tabelle müssen Sie ein Routenziel definieren, das definiert, zu welchem VPN die Route gehört. Wenn Sie verschiedene Arten von VPN-Diensten (Layer-2-VPNs, Layer-3-VPNs, EVPNs oder VPLS) auf demselben PE-Router konfigurieren, stellen Sie sicher, dass Sie eindeutige Routenzielwerte zuweisen, um die Möglichkeit zu vermeiden, dass Routen- und Signalisierungsinformationen zur falschen VPN-Routing-Tabelle hinzugefügt werden.

Um das Routenziel zu konfigurieren, fügen Sie die target Option in die community Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

• [edit policy-options]

• [edit logical-systems logical-system-name policy-options]

name ist der Name der Gemeinde.

community-id ist der Identifikator der Community. Geben Sie es in einem der folgenden Formate an:

• as-number:number, wobei as-number eine AS-Zahl (ein 2-Byte-Wert) und number ein 4-Byte-Community-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Es wird empfohlen, eine von der IANA zugewiesene, nicht private AS-Nummer zu verwenden, vorzugsweise die eigene des ISP oder die eigene AS-Nummer des Kunden. Der Gemeinschaftswert kann eine Zahl im Bereich von 0 bis 4.294.967.295 (2³² – 1) sein.

• ip-address:number, wobei ip-address eine IPv4-Adresse (ein 4-Byte-Wert) und number ein 2-Byte-Community-Wert ist. Die IP-Adresse kann eine beliebige, weltweit eindeutige Unicast-Adresse sein. Es wird empfohlen, die Adresse zu verwenden, die Sie in der router-id Anweisung konfigurieren, bei der es sich um eine nicht private Adresse in Ihrem zugewiesenen Präfixbereich handelt. Der Gemeinschaftswert kann eine Zahl im Bereich von 1 bis 65.535 sein.

Konfiguration des Routenursprungs

In den Import- und Exportrichtlinien für die VRF-Tabelle des PE-Routers können Sie optional den Routenursprung (auch als Ursprungsort bezeichnet) für die VRF-Routen eines PE-Routers zuweisen, indem Sie eine VRF-Exportrichtlinie verwenden, die auf externe Multiprotocol BGP (MP-EBGP)-VPN-IPv4-Routenaktualisierungen angewendet wird, die an andere PE-Router gesendet werden.

Durch den Abgleich des zugewiesenen Routenursprungsattributs in der VRF-Importrichtlinie einer empfangenden PE wird sichergestellt, dass VPN-IPv4-Routen, die durch MP-EBGP-Updates von einer PE gelernt wurden, nicht von einer anderen PE, die mit derselben Site verbunden ist, auf dieselbe VPN-Site reimportiert werden.

Führen Sie die folgenden Schritte aus, um einen Routenursprung zu konfigurieren:

1. Fügen Sie die community Anweisung mit der origin Option ein:

   Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   name ist der Name der Gemeinde.

   community-id ist der Identifikator der Community. Geben Sie es in einem der folgenden Formate an:

   • as-number:number, wobei as-number eine AS-Zahl (ein 2-Byte-Wert) und number ein 4-Byte-Community-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Es wird empfohlen, eine von der IANA zugewiesene, nicht private AS-Nummer zu verwenden, vorzugsweise die eigene des ISP oder die eigene AS-Nummer des Kunden. Der Gemeinschaftswert kann eine Zahl im Bereich von 0 bis 4.294.967.295 (2³² – 1) sein.

   • ip-address:number, wobei ip-address eine IPv4-Adresse (ein 4-Byte-Wert) und number ein 2-Byte-Community-Wert ist. Die IP-Adresse kann eine beliebige, weltweit eindeutige Unicast-Adresse sein. Es wird empfohlen, die Adresse zu verwenden, die Sie in der router-id Anweisung konfigurieren, bei der es sich um eine nicht private Adresse in Ihrem zugewiesenen Präfixbereich handelt. Der Gemeinschaftswert kann eine Zahl im Bereich von 1 bis 65.535 sein.

2. Nehmen Sie die Community in die Importrichtlinie für die VRF-Tabelle des PE-Routers auf, indem Sie die community Anweisung mit der community-id in Schritt 1 definierten Kennung auf Hierarchieebene [edit policy-options policy-statement import-policy-name term import-term-name from] konfigurieren. Siehe Konfigurieren einer Importrichtlinie für die VRF-Tabelle des PE-Routers.

   Wenn die Klausel der from Richtlinie keine Community-Bedingung angibt, kann die vrf-import Anweisung, in der die Richtlinie angewendet wird, nicht festgeschrieben werden. Der Commit-Vorgang von Junos OS besteht die Validierungsprüfung nicht.

3. Schließen Sie die Community in die Exportrichtlinie für die VRF-Tabelle des PE-Routers ein, indem Sie die community Anweisung mit der community-id in Schritt 1 definierten Kennung auf Hierarchieebene [edit policy-options policy-statement export-policy-name term export-term-name then] konfigurieren. Siehe Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers.

Ein Konfigurationsbeispiel finden Sie unter Konfigurieren des Routenursprungs für VPNs .

Konfigurieren einer Importrichtlinie für die VRF-Tabelle des PE-Routers

Jedes VPN kann eine Richtlinie haben, die definiert, wie Routen in die VRF-Tabelle des PE-Routers importiert werden. Eine Importrichtlinie wird auf Routen angewendet, die von anderen PE-Routern im VPN empfangen werden. Eine Richtlinie muss alle Routen auswerten, die über die IBGP-Sitzung mit dem Peer-PE-Router empfangen wurden. Wenn die Routen den Bedingungen entsprechen, wird die Route in der VRF-Tabelle routing-instance-name.inet.0 des PE-Routers installiert. Eine Importrichtlinie muss einen zweiten Begriff enthalten, der alle anderen Routen ablehnt.

Sofern eine Importrichtlinie nicht nur eine then reject Erklärung enthält, muss sie einen Verweis auf eine Community enthalten. Andernfalls schlägt der Commit fehl, wenn Sie versuchen, die Konfiguration zu bestätigen. Sie können mehrere Importrichtlinien konfigurieren.

Eine Importrichtlinie bestimmt, was in eine bestimmte VRF-Tabelle importiert werden soll, basierend auf den VPN-Routen, die von den Remote-PE-Routern über IBGP erlernt werden. Die IBGP-Sitzung wird auf Hierarchieebene [edit protocols bgp] konfiguriert. Wenn Sie auch eine Importrichtlinie auf Hierarchieebene [edit protocols bgp] konfigurieren, werden die Importrichtlinien auf der [edit policy-options] Hierarchieebene und der [edit protocols bgp] Hierarchieebene durch einen logischen UND-Vorgang kombiniert. Auf diese Weise können Sie den Datenverkehr als Gruppe filtern.

Gehen Sie folgendermaßen vor, um eine Importrichtlinie für die VRF-Tabelle des PE-Routers zu konfigurieren:

1. Um eine Importrichtlinie zu definieren, schließen Sie die policy-statement Anweisung ein. Für alle PE-Router muss eine Importrichtlinie immer mindestens die policy-statement folgende Anweisung enthalten:

   Sie können die policy-statement Anweisung auf den folgenden Hierarchieebenen einbinden:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   Die import-policy-name Richtlinie wertet alle Routen aus, die über die IBGP-Sitzung mit dem anderen PE-Router empfangen wurden. Wenn die Routen den Bedingungen in der from Anweisung entsprechen, wird die Route in der .inet.0-VRF-Tabelle routing-instance-namedes PE-Routers installiert. Der zweite Begriff in der Richtlinie lehnt alle anderen Routen ab.

   Weitere Informationen zum Erstellen von Richtlinien finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Policer.

2. Sie können optional einen regulären Ausdruck verwenden, um eine Reihe von Communitys zu definieren, die für die VRF-Importrichtlinie verwendet werden sollen.

   Sie können z. B. Folgendes konfigurieren, indem Sie die community Anweisung auf Hierarchieebene [edit policy-options policy-statement policy-statement-name] verwenden:

   Beachten Sie, dass Sie einen regulären Ausdruck nicht als Teil einer erweiterten Routenziel-Community konfigurieren können. Weitere Informationen zum Konfigurieren regulärer Ausdrücke für Communitys finden Sie unter So werden BGP-Communitys und erweiterte Communitys unter Übereinstimmungsbedingungen für Routingrichtlinien ausgewertet.

3. Um eine Importrichtlinie zu konfigurieren, fügen Sie die vrf-import folgende Anweisung ein:

   Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

   • [edit routing-instances routing-instance-name]

   • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers

Jedes VPN kann eine Richtlinie haben, die definiert, wie Routen aus der VRF-Tabelle des PE-Routers exportiert werden. Eine Exportrichtlinie wird auf Routen angewendet, die an andere PE-Router im VPN gesendet werden. Eine Exportrichtlinie muss alle Routen auswerten, die über die Routing-Protokollsitzung mit dem CE-Router empfangen wurden. (Diese Sitzung kann die Routing-Protokolle BGP, OSPF oder Routing Information Protocol [RIP] oder statische Routen verwenden.) Wenn die Routen den Bedingungen entsprechen, wird ihnen das angegebene Community-Ziel (das Routenziel) hinzugefügt und sie werden an die Remote-PE-Router exportiert. Eine Exportrichtlinie muss einen zweiten Begriff enthalten, der alle anderen Routen ablehnt.

Exportrichtlinien, die in der VPN-Routing-Instanz definiert sind, sind die einzigen Exportrichtlinien, die für die VRF-Tabelle gelten. Eine Exportrichtlinie, die Sie für die IBGP-Sitzung zwischen den PE-Routern definieren, hat keine Auswirkungen auf die VRF-Tabelle. Sie können mehrere Exportrichtlinien konfigurieren.

Gehen Sie folgendermaßen vor, um eine Exportrichtlinie für die VRF-Tabelle des PE-Routers zu konfigurieren:

1. Für alle PE-Router muss eine Exportrichtlinie VPN-Routen zu und von den verbundenen CE-Routern entsprechend dem Typ des Routing-Protokolls verteilen, das Sie zwischen den CE- und PE-Routern innerhalb der Routing-Instanz konfigurieren.

   Um eine Exportrichtlinie zu definieren, schließen Sie die policy-statement Anweisung ein. Eine Exportrichtlinie muss immer mindestens die policy-statement folgende Anweisung enthalten:

   Hinweis:

   Die Konfiguration der community add Anweisung ist eine Voraussetzung für Layer 2 VPN VRF-Exportrichtlinien. Wenn Sie die community add Anweisung in die community set Anweisung ändern, bricht der Router am Ausgang der Layer-2-VPN-Verbindung möglicherweise die Verbindung.

   Hinweis:

   Wenn Sie Draft-Rosen-Multicast-VPNs konfigurieren, die im quellenspezifischen Modus ausgeführt werden, und die vrf-export Anweisung zum Angeben der Exportrichtlinie verwenden, muss die Richtlinie einen Begriff haben, der Routen aus der Routing-Tabelle vrf-name.mdt.0 akzeptiert. Dieser Begriff gewährleistet eine ordnungsgemäße PE-Autoerkennung mithilfe der inet-mdt Adressfamilie.

   Wenn Sie draft-rosen-Multicast-VPNs konfigurieren, die im quellenspezifischen Modus ausgeführt werden, und die vrf-target Anweisung verwenden, wird die VRF-Exportrichtlinie automatisch generiert und akzeptiert automatisch Routen aus der Routing-Tabelle vrf-name.mdt.0.

   Sie können die policy-statement Anweisung auf den folgenden Hierarchieebenen einbinden:

   • [edit policy-options]

   • [edit logical-systems logical-system-name policy-options]

   Die export-policy-name Richtlinie wertet alle Routen aus, die über die Routing-Protokollsitzung mit dem CE-Router empfangen wurden. (Diese Sitzung kann die Routing-Protokolle BGP, OSPF oder RIP oder statische Routen verwenden.) Wenn die Routen den Bedingungen in der from Anweisung entsprechen, wird das in der then community add Anweisung angegebene Community-Ziel hinzugefügt und an die Remote-PE-Router exportiert. Der zweite Begriff in der Richtlinie lehnt alle anderen Routen ab.

   Weitere Informationen zum Erstellen von Richtlinien finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Policer.

2. Um die Richtlinie anzuwenden, fügen Sie die vrf-export folgende Erklärung hinzu:

   Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

   • [edit routing-instances routing-instance-name]

   • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Anwenden der VRF-Export- und der BGP-Exportrichtlinien

Wenn Sie eine VRF-Exportrichtlinie anwenden, wie unter Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers beschrieben, werden Routen von VPN-Routing-Instanzen basierend auf dieser Richtlinie an andere PE-Router kommuniziert, während die BGP-Exportrichtlinie ignoriert wird.

Wenn Sie die vpn-apply-export Anweisung in die BGP-Konfiguration aufnehmen, werden sowohl die VRF-Export- als auch die BGP-Gruppen- oder Nachbarexportrichtlinien angewendet (VRF zuerst, dann BGP), bevor Routen in den VPN-Routing-Tabellen an andere PE-Router kommuniziert werden.

Hinweis:

Wenn ein PE-Gerät auch als Routenreflektor (RR) oder autonomer Systemgrenze-Router (ASBR) in einem Carrier-over-Carrier- oder Inter-AS-VPN fungiert, wird die Next-Hop-Manipulation in der VRF-Exportrichtlinie ignoriert.

Beachten Sie bei der Aufnahme der vpn-apply-export Anweisung Folgendes:

• Routen, die in die Routing-Tabelle bgp.l3vpn.0 importiert werden, behalten die Attribute der ursprünglichen Routen bei (z. B. bleibt eine OSPF-Route eine OSPF-Route, auch wenn sie in der Routing-Tabelle bgp.l3vpn.0 gespeichert ist). Sie sollten sich dessen bewusst sein, wenn Sie eine Exportrichtlinie für Verbindungen zwischen einem IBGP PE-Router und einem PE-Router, einem Routenreflektor und einem PE-Router oder einem AS Boundary Router (ASBR)-Peer-Router konfigurieren.

• Standardmäßig werden alle Routen in der Routing-Tabelle bgp.l3vpn.0 an die IBGP-Peers exportiert. Wenn die letzte Anweisung der Exportrichtlinie "Alle ablehnen" lautet und die Exportrichtlinie nicht speziell mit Routen in der Routing-Tabelle bgp.l3vpn.0 übereinstimmt, werden keine Routen exportiert.

Um sowohl die VRF-Export- als auch die BGP-Exportrichtlinien auf VPN-Routen anzuwenden, fügen Sie die vpn-apply-export folgende Anweisung ein:

Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Zusammenfassung der Anweisungen für diese Anweisung.

Konfigurieren eines VRF-Ziels

Wenn Sie die vrf-target Anweisung in die Konfiguration für eine VRF-Ziel-Community aufnehmen, werden standardmäßige VRF-Import- und -Exportrichtlinien generiert, die Routen akzeptieren und mit der angegebenen Ziel-Community kennzeichnen. Sie können immer noch komplexere Richtlinien erstellen, indem Sie VRF-Import- und -Exportrichtlinien explizit konfigurieren. Diese Richtlinien überschreiben die Standardrichtlinien, die beim Konfigurieren der vrf-target Anweisung generiert werden.

Wenn Sie die import export und-Optionen der vrf-target Anweisung nicht konfigurieren, wird die angegebene Community-Zeichenfolge in beide Richtungen angewendet. Die import Schlüsselwörter und export bieten Ihnen mehr Flexibilität, sodass Sie für jede Richtung eine andere Community angeben können.

Die Syntax für die VRF-Zielcommunity ist kein Name. Sie müssen es im Format target:x:yangeben. Ein Community-Name kann nicht angegeben werden, da Sie dazu auch die Community-Mitglieder für diese Community mithilfe der policy-options Anweisung konfigurieren müssten. Wenn Sie die policy-options Anweisungen definieren, können Sie die VRF-Import- und -Exportrichtlinien einfach wie gewohnt konfigurieren. Der Zweck der vrf-target Anweisung besteht darin, die Konfiguration zu vereinfachen, indem Sie die meisten Anweisungen auf Hierarchieebene [edit routing-instances] konfigurieren können.

Um ein VRF-Ziel zu konfigurieren, fügen Sie die vrf-target folgende Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]

Ein Beispiel für die Konfiguration der vrf-target Anweisung folgt:

Um die vrf-target Anweisung mit den und-Optionen export import zu konfigurieren, fügen Sie die folgenden Anweisungen ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

• [edit routing-instances routing-instance-name]

• [edit logical-systems logical-system-name routing-instances routing-instance-name]