Konfigurieren des Routenursprungs für VPNs
Sie können den Routenursprung verwenden, um zu verhindern, dass Routen, die von einem Kunden-Edge (CE)-Router gelernt wurden, mit Herkunftsgemeinschaft gekennzeichnet sind, von einem anderen CE-Router derselben AS wieder auf sie zurückgepriesen werden.
Im Beispiel wird der Routenursprung verwendet, um zu verhindern, dass vom CE-Router A gelernte Routen, die mit Ursprungsgemeinschaft gekennzeichnet sind, durch AS 200 wieder zum CE-Router E angeboten werden. Die Beispieltopologie ist in Abbildung 1 dargestellt.
In dieser Topologie befinden sich CE-Router A und CE-Router E im selben AS (AS200). Sie verwenden EBGP, um Routen mit ihren jeweiligen Provider-Edge (PE)-Routern, PE-Router B und PE-Router D auszutauschen. Die beiden CE-Router verfügen über eine Back-Verbindung.
In den folgenden Abschnitten wird beschrieben, wie Sie den Routenursprung für eine Gruppe von VPNs konfigurieren:
Konfiguration der Site of Origin Community auf CE-Router A
Im folgenden Abschnitt wird beschrieben, wie Sie DEN CE-Router A konfigurieren, um Routen mit einer Ursprungsgemeinschaft zum PE-Router B anzukündigen.
In diesem Beispiel werden direkte Routen so konfiguriert, dass sie angekündigt werden, aber jede Route kann konfiguriert werden.
Konfigurieren Sie eine Richtlinie, um Routen mit my-soo der Community auf dem CE-Router A wie folgt anzukündigen:
[edit]
policy-options {
policy-statement export-to-my-isp {
term a {
from {
protocol direct;
}
then {
community add my-soo;
accept;
}
}
}
}
Konfigurieren der Community auf CE-Router A
Konfigurieren Sie die my-soo Community auf CE-Router A wie folgt:
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Anwenden der Richtlinienaussage auf CE-Router A
Wenden Sie die Richtlinie "export-to-my-isp" als Exportrichtlinie auf das EBGP-Peering auf dem CE-Router A wie folgt an:
[edit]
protocols {
bgp {
group my_isp {
export export-to-my-isp;
}
}
}
Wenn Sie den show route receive-protocol bgp detail Befehl ausstellen, sollten Sie die folgenden Routen sehen, die von PE-Router B mit my-soo Community stammen:
user@host> show route receive-protocol bgp 10.12.99.2 detail
inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden)
* 10.12.33.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
10.12.99.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 10.255.71.177/32 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 192.168.64.0/21 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
__juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0
hidden)
Konfigurieren der Richtlinie für PE-Router D
Konfigurieren Sie eine Richtlinie für DEN PE-Router D, die verhindert, dass Routen mit my-soo Community-Tags von CE-Router A dem CE-Router E wie folgt angeboten werden:
[edit]
policy-options {
policy-statement soo-ce1-policy {
term a {
from {
community my-soo;
then {
reject;
}
}
}
}
}
Konfigurieren der Community auf PE-Router D
Konfigurieren Sie die Community auf DEM PE-Router D wie folgt:
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Anwendung der Richtlinie auf PE-Router D
Um zu verhindern, dass vom CE-Router A erlernte Routen an DEN CE-Router E angeboten werden (die beiden Router können diese Routen direkt kommunizieren), wenden Sie die soo-ce1-policy Richtlinienaussage als Exportrichtlinie auf die PE-Router D- und CE-Router E EBGP-Sitzung vpn_bluean.
Zeigen Sie die EBGP-Sitzung auf dem PE-Router D mit dem show routing-instances Befehl an.
user@host# show routing-instances
vpn_blue {
instance-type vrf;
interface fe-2/0/0.0;
vrf-target target:100:200;
protocols {
bgp {
group ce2 {
advertise-peer-as;
peer-as 100;
neighbor 10.12.99.6;
}
}
}
}
Wenden Sie die soo-ce1-policy Richtlinienaussage als Exportrichtlinie auf die PE-Router D- und CE-Router E-EBGP-Sitzung vpn_blue wie folgt an:
[edit routing-instances]
vpn_blue {
protocols {
bgp {
group ce2{
export soo-ce1-policy;
}
}
}
}