Verteilen von VPN-Routen
In diesem Thema wird die Konfiguration eines Routers für die Verarbeitung von Routeninformationen in BGP, MPLS-Signalisierung und Richtlinien beschrieben.
Aktivieren des Routing-Informationsaustauschs für VPNs
Damit Layer-2-VPNs, Layer-3-VPNs, virtuelle Router-Routing-Instanzen, VPLS, EVPNs und Layer-2-Circuits ordnungsgemäß funktionieren, müssen die PE- und P-Router des Service Providers in der Lage sein, Routing-Informationen auszutauschen. Dazu müssen Sie entweder eine IGP (z. B. OSPF ODER IS-IS) oder statische Routen auf diesen Routern konfigurieren. Sie konfigurieren die IGP auf der Masterinstanz des Routingprotokollprozesses auf der [edit protocols] Hierarchieebene, nicht innerhalb der Routinginstanz, die für das VPN verwendet wird, d. h. nicht auf der [edit routing-instances] Hierarchieebene.
Konfigurieren Sie beim Konfigurieren des PE-Routers keine Zusammenfassung der Loopbackadressen des PE-Routers an der Bereichsgrenze. Die Loopback-Adresse jedes PE-Routers sollte als separate Route angezeigt werden.
Konfiguration von IBGP-Sitzungen zwischen PE-Routern in VPNs
Sie müssen eine IBGP-Sitzung zwischen den PE-Routern konfigurieren, damit die PE-Router Informationen über Routen austauschen können, die im VPN beginnen und enden. Die PE-Router verwenden diese Informationen, um zu bestimmen, welche Bezeichnungen für den Datenverkehr verwendet werden sollen, der für Remote-Standorte bestimmt ist.
Konfigurieren Sie eine IBGP-Sitzung für das VPN wie folgt:
[edit protocols]
bgp {
group group-name {
type internal;
local-address ip-address;
family evpn {
signaling;
}
family (inet-vpn | inet6-vpn) {
unicast;
}
family l2vpn {
signaling;
}
neighbor ip-address;
}
}
Die IP-Adresse in der local-address Anweisung ist die Adresse der Loopback-Schnittstelle auf dem lokalen PE-Router. Die IBGP-Sitzung für das VPN läuft über die Loopback-Adresse. (Sie müssen auch die Loopback-Schnittstelle auf Hierarchieebene [edit interfaces] konfigurieren.)
Die IP-Adresse in der neighbor Anweisung ist die Loopback-Adresse des benachbarten PE-Routers. Wenn Sie die RSVP-Signalisierung verwenden, ist diese IP-Adresse dieselbe Adresse, die Sie in der to Anweisung auf Hierarchieebene [edit mpls label-switched-path lsp-path-name] angeben, wenn Sie den MPLS-LSP konfigurieren.
Mit der family Anweisung können Sie die IBGP-Sitzung für Layer-2-VPNs, VPLS, EVPNs oder für Layer-3-VPNs konfigurieren.
Um eine IBGP-Sitzung für Layer 2-VPNs und VPLS zu konfigurieren, fügen Sie die
signalingAnweisung auf der[edit protocols bgp group group-name family l2vpn]Hierarchieebene ein:[edit protocols bgp group group-name family l2vpn] signaling;
Um eine IBGP-Sitzung für EVPNs zu konfigurieren, fügen Sie die
signalingAnweisung auf der[edit protocols bgp group group-name family evpn]Hierarchieebene ein:[edit protocols bgp group group-name family evpn] signaling;
Um eine IPv4-IBGP-Sitzung für Layer-3-VPNs zu konfigurieren, konfigurieren Sie die
unicastAnweisung auf der[edit protocols bgp group group-name family inet-vpn]Hierarchieebene:[edit protocols bgp group group-name family inet-vpn] unicast;
Um eine IPv6-IBGP-Sitzung für Layer 3-VPNs zu konfigurieren, konfigurieren Sie die
unicastAnweisung auf der[edit protocols bgp group group-name family inet6-vpn]Hierarchieebene:[edit protocols bgp group group-name family inet6-vpn] unicast;
Sie können sowohl und family inet-vpn als auch family inet beide family inet6 family inet6-vpn und innerhalb derselben Peergroup konfigurieren. Auf diese Weise können Sie die Unterstützung sowohl für IPv4- als auch für IPv4-VPN-Routen oder sowohl für IPv6- als auch für IPv6-VPN-Routen innerhalb derselben Peergroup aktivieren.
Konfigurieren von Aggregat-Labels für VPNs
Durch das Aggregieren von Labels für VPNs kann eine Routing-Plattform von Juniper Networks einen Satz eingehender Labels (von einem Peer-Router empfangene Labels) zu einem einzigen Weiterleitungslabel zusammenfassen, das aus dem Satz eingehender Labels ausgewählt wird. Die einzelne Weiterleitungsbezeichnung entspricht einem einzelnen nächsten Hop für diesen Satz von Bezeichnungen. Die Aggregation von Bezeichnungen reduziert die Anzahl der VPN-Bezeichnungen, die der Router untersuchen muss.
Damit eine Gruppe von Labels eine aggregierte Weiterleitungsbezeichnung gemeinsam nutzen kann, müssen sie derselben Weiterleitungsäquivalenzklasse (Forwarding Equivalence Class, FEC) angehören. Die gekennzeichneten Pakete müssen dieselbe Zielausgangsschnittstelle haben.
Wenn Sie die community community-name Anweisung in die Anweisung einschließen, aggregate-label können Sie Präfixe mit einer gemeinsamen Ursprungsgemeinschaft angeben. Diese Präfixe werden durch die Richtlinie auf der Peer-PE festgelegt und stellen eine FEC auf der Peer-PE-Router dar.
Wenn versehentlich die Ziel-Community anstelle der Ursprungs-Community gesetzt wird, kann es zu Weiterleitungsproblemen am Ausgangs-PE kommen. Alle Präfixe der Peer-PE scheinen sich im selben FEC zu befinden, was zu einer einzigen inneren Bezeichnung für alle CE-Router hinter einer bestimmten PE im selben VPN führt.
Für die Arbeit mit Routenreflektoren in Layer 3-VPN-Netzwerken aggregiert der Juniper Networks M10i-Router nur dann eine Reihe eingehender Labels, wenn die Routen:
vom selben Peer-Router empfangen werden
Haben Sie die gleiche Ausgangsort-Community
Machen Sie den gleichen nächsten Hop
Die Anforderung für den nächsten Hop ist wichtig, da Routenreflektoren Routen, die von verschiedenen BGP-Peers stammen, an einen anderen BGP-Peer weiterleiten, ohne den nächsten Hop dieser Routen zu ändern.
Um aggregierte Bezeichnungen für VPNs zu konfigurieren, fügen Sie die Anweisung aggregate-label ein:
aggregate-label { community community-name; }
Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie in der Anweisungszusammenfassung für diese Anweisung.
Informationen zum Konfigurieren einer Community finden Sie unter Grundlegendes zu BGP-Communitys, erweiterten Communitys und großen Communitys als Übereinstimmungsbedingungen für Routingrichtlinien.
Konfigurieren eines Signalisierungsprotokolls und LSPs für VPNs
Damit VPNs funktionieren, müssen Sie ein Signalisierungsprotokoll aktivieren, entweder LDP oder RSVP auf den Provider-Edge-Routern (PE) und auf den Provider-Routern (P). Außerdem müssen Sie Label-Switched-Pfade (LSPs) zwischen dem Eingangs- und dem Ausgangsrouter konfigurieren. In einer typischen VPN-Konfiguration müssen Sie LSPs von jedem PE-Router für alle anderen PE-Router, die am VPN teilnehmen, in einem vollständigen Mesh konfigurieren.
Wie bei jeder MPLS-Konfiguration können Sie keine der Core-Schnittstellen der PE-Router über dichte Fast Ethernet-PICs konfigurieren.
Um ein Signalisierungsprotokoll zu aktivieren, führen Sie die Schritte in einem der folgenden Abschnitte aus:
Verwenden von LDP für VPN-Signale
Um LDP für die VPN-Signalisierung zu verwenden, führen Sie die folgenden Schritte auf den PE- und Provider-Routern (P) aus:
Konfigurieren Sie LDP auf den Schnittstellen im Core des Netzwerks des Service Providers, indem Sie die
ldpAnweisung auf der[edit protocols]Hierarchieebene einschließen.Sie müssen LDP nur auf den Schnittstellen zwischen PE-Routern oder zwischen PE- und P-Routern konfigurieren. Man kann sie sich als "Core-orientierte" Schnittstellen vorstellen. Sie müssen LDP auf der Schnittstelle zwischen dem PE- und dem Kunden-Edge-Router (CE) nicht konfigurieren.
[edit] protocols { ldp { interface type-fpc/pic/port; } }Konfigurieren Sie die MPLS-Adressfamilie auf den Schnittstellen, auf denen Sie LDP aktiviert haben (die Schnittstellen, die Sie in Schritt 1 konfiguriert haben), indem Sie die
family mplsAnweisung auf Hierarchieebene[edit interfaces type-fpc/pic/port unit logical-unit-number]einschließen.[edit] interfaces { type-fpc/pic/port { unit logical-unit-number { family mpls; } } }Konfigurieren Sie OSPF oder IS-IS auf jedem PE- und P-Router.
Sie konfigurieren diese Protokolle auf der Master-Instanz des Routing-Protokolls, nicht innerhalb der Routing-Instanz, die für das VPN verwendet wird.
Um OSPF zu konfigurieren, schließen Sie die
ospfAnweisung auf der[edit protocols]Hierarchieebene ein. Sie müssen mindestens einen Backbone-Bereich auf mindestens einer der Schnittstellen des Routers konfigurieren.[edit] protocols { ospf { area 0.0.0.0 { interface type-fpc/pic/port; } } }Um IS-IS zu konfigurieren, schließen Sie die
isisAnweisung auf der[edit protocols]Hierarchieebene ein und konfigurieren Sie die Loopbackschnittstelle und die ISO-Familie (International Organization for Standardization) auf der[edit interfaces]Hierarchieebene. Sie müssen mindestens IS-IS auf dem Router aktivieren, einen Network Entity Title (NET) auf einer der Schnittstellen des Routers konfigurieren (vorzugsweise die Loopback-Schnittstelle, lo0) und die ISO-Familie auf allen Schnittstellen konfigurieren, auf denen IS-IS ausgeführt werden soll. Wenn Sie IS-IS aktivieren, sind Level 1 und Level 2 standardmäßig aktiviert. Im Folgenden finden Sie die minimale IS-IS-Konfiguration. In deraddressAnweisung,addressist das NET.[edit] interfaces { lo0 { unit logical-unit-number { family iso { address address; } } } type-fpc/pic/port { unit logical-unit-number { family iso; } } } protocols { isis { interface all; } }
Verwenden von RSVP für VPN-Signale
Führen Sie die folgenden Schritte aus, um RSVP für die VPN-Signalübertragung zu verwenden:
Konfigurieren Sie auf jedem PE-Router das Traffic-Engineering.
Dazu müssen Sie ein Interior Gateway Protocol (IGP) konfigurieren, das Traffic Engineering (entweder IS-IS oder OSPF) unterstützt, und die Traffic Engineering-Unterstützung für dieses Protokoll aktivieren.
Um die Unterstützung für OSPF-Traffic Engineering zu aktivieren, fügen Sie die
traffic-engineeringAnweisung auf der[edit protocols ospf]Hierarchieebene ein:[edit protocols ospf] traffic-engineering { shortcuts; }Für IS-IS ist die Unterstützung von Traffic Engineering standardmäßig aktiviert.
Aktivieren Sie auf jedem PE- und P-Router RSVP für die Schnittstellen, die am Label-Switched-Path (LSP) teilnehmen.
Auf dem PE-Router sind diese Schnittstellen die Eingangs- und Ausgangspunkte zum LSP. Auf dem P-Router verbinden diese Schnittstellen den LSP zwischen den PE-Routern. Aktivieren Sie RSVP nicht auf der Schnittstelle zwischen dem PE- und dem CE-Router, da diese Schnittstelle nicht Teil des LSP ist.
Um RSVP auf den PE- und P-Routern zu konfigurieren, schließen Sie die
interfaceAnweisung auf der[edit protocols rsvp]Hierarchieebene ein. Fügen Sie eineinterfaceAnweisung für jede Schnittstelle ein, auf der Sie RSVP aktivieren.[edit protocols] rsvp { interface interface-name; interface interface-name; }Konfigurieren Sie auf jedem PE-Router einen MPLS-LSP für den PE-Router, der der Ausgangspunkt des LSP ist.
Fügen Sie dazu die
interfaceand-Anweisungenlabel-switched-pathauf der[edit protocols mpls]Hierarchieebene ein:[edit protocols] mpls { interface interface-name; label-switched-path path-name { to ip-address; } }Geben Sie in der
toAnweisung die Adresse des Ausgangspunkts des LSP an, bei dem es sich um eine Adresse auf dem Remote-PE-Router handelt.Geben Sie in der
interfaceAnweisung den Namen der Schnittstelle an (sowohl den physischen als auch den logischen Teil). Fügen Sie eineinterfaceAnweisung für die Schnittstelle ein, die dem LSP zugeordnet ist.Wenn Sie den logischen Teil derselben Schnittstelle auf Hierarchieebene
[edit interfaces]konfigurieren, müssen Sie auch diefamily inetand-Anweisungenfamily mplskonfigurieren:[edit interfaces] interface-name { unit logical-unit-number { family inet; family mpls; } }Aktivieren Sie auf allen P-Routern, die am LSP teilnehmen, MPLS, indem Sie die
interfaceAnweisung auf der[edit mpls]Hierarchieebene einschließen.Fügen Sie eine
interfaceAnweisung für jede Verbindung mit dem LSP ein.[edit] mpls { interface interface-name; interface interface-name; }Aktivieren Sie MPLS auf der Schnittstelle zwischen dem PE- und dem CE-Router, indem Sie die
interfaceAnweisung auf der[edit mpls]Hierarchieebene einschließen.Auf diese Weise kann der PE-Router dem Datenverkehr, der in den LSP eintritt, ein MPLS-Label zuweisen oder das Label vom Datenverkehr, der den LSP verlässt, entfernen.
[edit] mpls { interface interface-name; }Weitere Informationen zum Konfigurieren von MPLS finden Sie unter Konfigurieren des Eingangsrouters für MPLS-signalisierte LSPs.
Siehe auch
Konfigurieren von Richtlinien für die VRF-Tabelle auf PE-Routern in VPNs
Auf jedem PE-Router müssen Sie Richtlinien definieren, die definieren, wie Routen in die VRF-Tabelle des Routers importiert und aus dieser exportiert werden. In diesen Richtlinien müssen Sie das Routenziel definieren, und Sie können optional den Routenursprung definieren.
Um die Richtlinie für die VRF-Tabellen zu konfigurieren, führen Sie die Schritte in den folgenden Abschnitten aus:
- Konfigurieren des Routenziels
- Konfigurieren des Routenursprungs
- Konfigurieren einer Importrichtlinie für die VRF-Tabelle des PE-Routers
- Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers
- Anwenden sowohl der VRF-Export- als auch der BGP-Exportrichtlinien
- Konfigurieren eines VRF-Ziels
Konfigurieren des Routenziels
Im Rahmen der Richtlinienkonfiguration für die VPN-Routing-Tabelle müssen Sie ein Routenziel definieren, das definiert, zu welchem VPN die Route gehört. Wenn Sie verschiedene Arten von VPN-Services (Layer 2-VPNs, Layer 3-VPNs, EVPNs oder VPLS) auf demselben PE-Router konfigurieren, stellen Sie sicher, dass Sie eindeutige Routenzielwerte zuweisen, um die Möglichkeit zu vermeiden, dass Routen- und Signalisierungsinformationen zur falschen VPN-Routing-Tabelle hinzugefügt werden.
Um das Routenziel zu konfigurieren, fügen Sie die target Option in die community Anweisung ein:
community name members target:community-id;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit policy-options][edit logical-systems logical-system-name policy-options]
name ist der Name der Community.
community-id ist der Identifikator der Community. Geben Sie sie in einem der folgenden Formate an:
as-number:number, wobeias-numbereine AS-Zahl (ein 2-Byte-Wert) undnumberein 4-Byte-Community-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Es wird empfohlen, eine von der IANA zugewiesene, nicht private AS-Nummer zu verwenden, vorzugsweise die eigene AS-Nummer des ISP oder die eigene AS-Nummer des Kunden. Der Community-Wert kann eine Zahl im Bereich von 0 bis 4.294.967.295 (232 – 1) sein.ip-address:number, wobeiip-addresseine IPv4-Adresse (ein 4-Byte-Wert) undnumberein 2-Byte-Community-Wert ist. Bei der IP-Adresse kann es sich um eine beliebige global eindeutige Unicastadresse handeln. Es wird empfohlen, die Adresse zu verwenden, die Sie in derrouter-idAnweisung konfigurieren, bei der es sich um eine nicht private Adresse im zugewiesenen Präfixbereich handelt. Der Community-Wert kann eine Zahl im Bereich zwischen 1 und 65.535 sein.
Konfigurieren des Routenursprungs
In den Import- und Exportrichtlinien für die VRF-Tabelle des PE-Routers können Sie optional den Routenursprung (auch als Ursprungsstandort bezeichnet) für die VRF-Routen eines PE-Routers zuweisen, indem Sie eine VRF-Exportrichtlinie verwenden, die auf Multiprotokoll-Updates für externe BGP-VPN (MP-EBGP)-VPN-IPv4-Routen angewendet wird, die an andere PE-Router gesendet werden.
Durch den Abgleich mit dem zugewiesenen Routenursprungsattribut in der VRF-Importrichtlinie einer empfangenden PE wird sichergestellt, dass VPN-IPv4-Routen, die durch MP-EBGP-Updates von einer PE erlernt wurden, nicht von einer anderen PE, die mit derselben PE verbunden ist, an dieselbe VPN-Site importiert werden.
Führen Sie die folgenden Schritte aus, um einen Routenursprung zu konfigurieren:
Fügen Sie die
communityAnweisung mit deroriginfolgenden Option ein:community name members origin:community-id;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit policy-options][edit logical-systems logical-system-name policy-options]
nameist der Name der Community.community-idist der Identifikator der Community. Geben Sie sie in einem der folgenden Formate an:as-number:number, wobeias-numbereine AS-Zahl (ein 2-Byte-Wert) undnumberein 4-Byte-Community-Wert ist. Die AS-Nummer kann im Bereich von 1 bis 65.535 liegen. Es wird empfohlen, eine von der IANA zugewiesene, nicht private AS-Nummer zu verwenden, vorzugsweise die eigene AS-Nummer des ISP oder die eigene AS-Nummer des Kunden. Der Community-Wert kann eine Zahl im Bereich von 0 bis 4.294.967.295 (232 – 1) sein.ip-address:number, wobeiip-addresseine IPv4-Adresse (ein 4-Byte-Wert) undnumberein 2-Byte-Community-Wert ist. Bei der IP-Adresse kann es sich um eine beliebige global eindeutige Unicastadresse handeln. Es wird empfohlen, die Adresse zu verwenden, die Sie in derrouter-idAnweisung konfigurieren, bei der es sich um eine nicht private Adresse im zugewiesenen Präfixbereich handelt. Der Community-Wert kann eine Zahl im Bereich zwischen 1 und 65.535 sein.
Schließen Sie die Community in die Importrichtlinie für die VRF-Tabelle des PE-Routers ein, indem Sie die
communityAnweisung mit demcommunity-idin Schritt 1 definierten Bezeichner auf Hierarchieebene[edit policy-options policy-statement import-policy-name term import-term-name from]konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer Importrichtlinie für die VRF-Tabelle des PE-Routers.Wenn die
fromKlausel der Richtlinie keine Community-Bedingung angibt, kann für dievrf-importAnweisung, in der die Richtlinie angewendet wird, kein Commit ausgeführt werden. Der Junos OS-Commit-Vorgang besteht die Validierungsprüfung nicht.Schließen Sie die Community in die Exportrichtlinie für die VRF-Tabelle des PE-Routers ein, indem Sie die
communityAnweisung mit demcommunity-idin Schritt 1 definierten Bezeichner auf Hierarchieebene[edit policy-options policy-statement export-policy-name term export-term-name then]konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers.
Ein Konfigurationsbeispiel finden Sie unter Konfigurieren des Routenursprungs für VPNs .
Konfigurieren einer Importrichtlinie für die VRF-Tabelle des PE-Routers
Jedes VPN kann über eine Richtlinie verfügen, die definiert, wie Routen in die VRF-Tabelle des PE-Routers importiert werden. Eine Importrichtlinie wird auf Routen angewendet, die von anderen PE-Routern im VPN empfangen werden. Eine Richtlinie muss alle Routen auswerten, die über die IBGP-Sitzung mit dem Peer-PE-Router empfangen werden. Wenn die Routen mit den Bedingungen übereinstimmen, wird die Route in der VRF-Tabelle des PE-Routers routing-instance-name.inet.0 installiert. Eine Importrichtlinie muss einen zweiten Begriff enthalten, der alle anderen Routen ablehnt.
Sofern eine Importrichtlinie nicht nur eine then reject Anweisung enthält, muss sie einen Verweis auf eine Community enthalten. Andernfalls, wenn Sie versuchen, einen Commit für die Konfiguration auszuführen, schlägt der Commit fehl. Sie können mehrere Importrichtlinien konfigurieren.
Eine Importrichtlinie bestimmt, was in eine bestimmte VRF-Tabelle importiert werden soll, basierend auf den VPN-Routen, die von den Remote-PE-Routern über IBGP gelernt wurden. Die IBGP-Sitzung wird auf der [edit protocols bgp] Hierarchieebene konfiguriert. Wenn Sie zusätzlich eine Importrichtlinie auf Hierarchieebene [edit protocols bgp] konfigurieren, werden die Importrichtlinien auf Hierarchieebene [edit policy-options] und Hierarchieebene [edit protocols bgp] durch eine logische UND-Operation kombiniert. Auf diese Weise können Sie den Datenverkehr als Gruppe filtern.
Gehen Sie folgendermaßen vor, um eine Importrichtlinie für die VRF-Tabelle des PE-Routers zu konfigurieren:
Um eine Importrichtlinie zu definieren, schließen Sie die
policy-statementAnweisung ein. Für alle PE-Router muss eine Importrichtlinie immer mindestens diepolicy-statementfolgende Anweisung enthalten:policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }Sie können die
policy-statementAnweisung auf den folgenden Hierarchieebenen einschließen:[edit policy-options][edit logical-systems logical-system-name policy-options]
Die
import-policy-nameRichtlinie wertet alle Routen aus, die über die IBGP-Sitzung mit dem anderen PE-Router empfangen werden. Wenn die Routen mit den Bedingungen in derfromAnweisung übereinstimmen, wird die Route in der .inet.0-VRF-Tabelle des PE-Routers routing-instance-nameinstalliert. Der zweite Begriff in der Richtlinie lehnt alle anderen Wege ab.Weitere Informationen zum Erstellen von Richtlinien finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrsrichtlinien.
Sie können optional einen regulären Ausdruck verwenden, um eine Gruppe von Communitys zu definieren, die für die VRF-Importrichtlinie verwendet werden sollen.
Mit der
communityAnweisung auf Hierarchieebene[edit policy-options policy-statement policy-statement-name]können Sie z. B. Folgendes konfigurieren:[edit policy-options vrf-import-policy-sample] community high-priority members *:50
Beachten Sie, dass Sie einen regulären Ausdruck nicht als Teil einer erweiterten Routenziel-Community konfigurieren können. Weitere Informationen zum Konfigurieren regulärer Ausdrücke für Communitys finden Sie unter Auswerten von BGP-Communitys und erweiterten Communitys in Übereinstimmungsbedingungen für Routingrichtlinien.
Um eine Importrichtlinie zu konfigurieren, fügen Sie die
vrf-importfolgende Anweisung ein:vrf-import import-policy-name;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers
Jedes VPN kann über eine Richtlinie verfügen, die definiert, wie Routen aus der VRF-Tabelle des PE-Routers exportiert werden. Eine Exportrichtlinie wird auf Routen angewendet, die an andere PE-Router im VPN gesendet werden. Eine Exportrichtlinie muss alle Routen auswerten, die über die Routingprotokollsitzung mit dem CE-Router empfangen werden. (In dieser Sitzung können die Routing-Protokolle BGP, OSPF oder Routing Information Protocol [RIP] oder statische Routen verwendet werden.) Wenn die Routen mit den Bedingungen übereinstimmen, wird ihnen das angegebene Community-Ziel (das Routenziel) hinzugefügt und sie werden in die Remote-PE-Router exportiert. Eine Exportrichtlinie muss einen zweiten Begriff enthalten, der alle anderen Routen ablehnt.
Exportrichtlinien, die in der VPN-Routinginstanz definiert sind, sind die einzigen Exportrichtlinien, die für die VRF-Tabelle gelten. Exportrichtlinien, die Sie für die IBGP-Sitzung zwischen den PE-Routern definieren, haben keine Auswirkungen auf die VRF-Tabelle. Sie können mehrere Exportrichtlinien konfigurieren.
Gehen Sie folgendermaßen vor, um eine Exportrichtlinie für die VRF-Tabelle des PE-Routers zu konfigurieren:
Für alle PE-Router muss eine Exportrichtlinie VPN-Routen zu und von den verbundenen CE-Routern entsprechend dem Typ des Routing-Protokolls verteilen, das Sie zwischen den CE- und PE-Routern innerhalb der Routing-Instanz konfigurieren.
Um eine Exportrichtlinie zu definieren, schließen Sie die Anweisung
policy-statementein. Eine Exportrichtlinie muss immer mindestens diepolicy-statementfolgende Anweisung enthalten:policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }Anmerkung:Die Konfiguration der
community addAnweisung ist eine Voraussetzung für Layer 2-VPN-VRF-Exportrichtlinien. Wenn Sie diecommunity addAnweisung in diecommunity setAnweisung ändern, bricht der Router am Ausgang der Layer 2-VPN-Verbindung möglicherweise die Verbindung.Anmerkung:Wenn Sie Multicast-VPNs vom Entwurf rosen konfigurieren, die im quellenspezifischen Modus ausgeführt werden, und die
vrf-exportAnweisung zum Angeben der Exportrichtlinie verwenden, muss die Richtlinie über einen Begriff verfügen, der Routen aus der Routing-Tabelle vrf-name.mdt.0 akzeptiert. Dieser Begriff stellt die ordnungsgemäße automatische PE-Erkennung mithilfe derinet-mdtAdressfamilie sicher.Bei der Konfiguration von draft-rosen-Multicast-VPNs, die im quellenspezifischen Modus betrieben werden, und bei Verwendung der
vrf-targetAnweisung wird die VRF-Exportrichtlinie automatisch generiert und akzeptiert automatisch Routen aus der Routing-Tabelle vrf-name.mdt.0.Sie können die
policy-statementAnweisung auf den folgenden Hierarchieebenen einschließen:[edit policy-options][edit logical-systems logical-system-name policy-options]
Die
export-policy-nameRichtlinie wertet alle Routen aus, die über die Routing-Protokollsitzung mit dem CE-Router empfangen werden. (In dieser Sitzung können die Routing-Protokolle BGP, OSPF oder RIP oder statische Routen verwendet werden.) Wenn die Routen mit den Bedingungen in derfromAnweisung übereinstimmen, wird ihnen das in derthen community addAnweisung angegebene Community-Ziel hinzugefügt und sie werden an die Remote-PE-Router exportiert. Der zweite Begriff in der Richtlinie lehnt alle anderen Wege ab.Weitere Informationen zum Erstellen von Richtlinien finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrsrichtlinien.
Um die Richtlinie anzuwenden, fügen Sie die
vrf-exportfolgende Anweisung hinzu:vrf-export export-policy-name;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Anwenden sowohl der VRF-Export- als auch der BGP-Exportrichtlinien
Wenn Sie eine VRF-Exportrichtlinie anwenden, wie unter Konfigurieren einer Exportrichtlinie für die VRF-Tabelle des PE-Routers beschrieben, werden Routen von VPN-Routing-Instanzen basierend auf dieser Richtlinie an andere PE-Router angekündigt, während die BGP-Exportrichtlinie ignoriert wird.
Wenn Sie die vpn-apply-export Anweisung in die BGP-Konfiguration aufnehmen, werden sowohl die VRF-Export- als auch die BGP-Gruppen- oder Nachbarexportrichtlinien angewendet (zuerst VRF, dann BGP), bevor Routen in den VPN-Routingtabellen für andere PE-Router angekündigt werden.
Wenn ein PE-Gerät auch als Routenreflektor (RR) oder ASBR (Autonomous System Boundary Router) in einem Carrier-over-Carrier- oder Inter-AS-VPN fungiert, wird die Next-Hop-Manipulation in der vrf-export-Richtlinie ignoriert.
Beachten Sie beim Einfügen der vpn-apply-export Anweisung Folgendes:
Routen, die in die Routing-Tabelle bgp.l3vpn.0 importiert werden, behalten die Attribute der ursprünglichen Routen bei (z. B. bleibt eine OSPF-Route eine OSPF-Route, auch wenn sie in der Routing-Tabelle bgp.l3vpn.0 gespeichert ist). Sie sollten dies beachten, wenn Sie eine Exportrichtlinie für Verbindungen zwischen einem IBGP PE-Router und einem PE-Router, einem Routenreflektor und einem PE-Router oder ASBR-Peer-Router (AS Boundary Router) konfigurieren.
Standardmäßig werden alle Routen in der Routing-Tabelle bgp.l3vpn.0 in die IBGP-Peers exportiert. Wenn die letzte Anweisung der Exportrichtlinie deny all lautet und die Exportrichtlinie nicht speziell mit Routen in der Routing-Tabelle bgp.l3vpn.0 übereinstimmt, werden keine Routen exportiert.
Um sowohl die VRF-Export- als auch die BGP-Exportrichtlinien auf VPN-Routen anzuwenden, fügen Sie die vpn-apply-export folgende Anweisung ein:
vpn-apply-export;
Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt Anweisungszusammenfassung für diese Anweisung.
Konfigurieren eines VRF-Ziels
Wenn Sie die vrf-target Anweisung in die Konfiguration für eine VRF-Ziel-Community aufnehmen, werden standardmäßige VRF-Import- und Exportrichtlinien generiert, die Routen mit der angegebenen Ziel-Community akzeptieren und mit Tags versehen. Sie können weiterhin komplexere Richtlinien erstellen, indem Sie VRF-Import- und Exportrichtlinien explizit konfigurieren. Diese Richtlinien überschreiben die Standardrichtlinien, die beim Konfigurieren der vrf-target Anweisung generiert werden.
Wenn Sie die import export und-Optionen der vrf-target Anweisung nicht konfigurieren, wird die angegebene Community-Zeichenfolge in beide Richtungen angewendet. export Die import Schlüsselwörter und geben Ihnen mehr Flexibilität, sodass Sie für jede Richtung eine andere Community angeben können.
Die Syntax für die VRF-Zielcommunity ist kein Name. Sie müssen es im Format target:x:yangeben. Ein Community-Name kann nicht angegeben werden, da Sie hierzu auch die Community-Mitglieder für diese Community mithilfe der policy-options Anweisung konfigurieren müssten. Wenn Sie die policy-options Anweisungen definieren, können Sie wie gewohnt VRF-Import- und Exportrichtlinien konfigurieren. Der Zweck der vrf-target Anweisung besteht darin, die Konfiguration zu vereinfachen, indem Sie die meisten Anweisungen auf Hierarchieebene [edit routing-instances] konfigurieren können.
Um ein VRF-Ziel zu konfigurieren, fügen Sie die vrf-target folgende Anweisung ein:
vrf-target community;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Im Folgenden finden Sie ein Beispiel für die Konfiguration der vrf-target Anweisung:
[edit routing-instances sample] vrf-target target:69:102;
Um die vrf-target Anweisung mit den export import Optionen und zu konfigurieren, schließen Sie die folgenden Anweisungen ein:
vrf-target { export community-name; import community-name; }
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Konfigurieren des Routenursprungs für VPNs
Sie können den Routenursprung verwenden, um zu verhindern, dass Routen, die von einem mit Origin Community gekennzeichneten Kunden-Edge-Router (CE) erlernt wurden, von einem anderen CE-Router im selben AS zurückgemeldet werden.
Im Beispiel wird der Routenursprung verwendet, um zu verhindern, dass vom CE-Router A erlernte Routen, die mit Ursprungs-Community gekennzeichnet sind, von AS 200 an CE-Router E zurückgemeldet werden. Die Beispieltopologie ist in Abbildung 1 dargestellt.
In dieser Topologie befinden sich CE-Router A und CE-Router E im gleichen AS (AS200). Sie verwenden EBGP, um Routen mit ihren jeweiligen Provider-Edge-Routern (PE), PE Router B und PE Router D, auszutauschen. Die beiden CE-Router verfügen über eine Rückverbindung.
In den folgenden Abschnitten wird beschrieben, wie Sie den Routenursprung für eine Gruppe von VPNs konfigurieren:
- Konfigurieren der Ursprungssite-Community auf CE-Router A
- Konfigurieren der Community auf CE-Router A
- Anwenden der Richtlinienerklärung auf CE-Router A
- Konfigurieren der Richtlinie auf PE-Router D
- Konfigurieren der Community auf PE-Router D
- Anwenden der Richtlinie auf PE-Router D
Konfigurieren der Ursprungssite-Community auf CE-Router A
Im folgenden Abschnitt wird beschrieben, wie Sie CE-Router A so konfigurieren, dass in diesem Beispiel Routen mit einer Ursprungssite-Community für PE-Router B angekündigt werden.
In diesem Beispiel werden direkte Routen so konfiguriert, dass sie angekündigt werden, aber jede Route kann konfiguriert werden.
Konfigurieren Sie eine Richtlinie zum Ankündigen von Routen mit my-soo der Community auf CE-Router A wie folgt:
[edit]
policy-options {
policy-statement export-to-my-isp {
term a {
from {
protocol direct;
}
then {
community add my-soo;
accept;
}
}
}
}
Konfigurieren der Community auf CE-Router A
Konfigurieren Sie die my-soo Community auf CE-Router A wie folgt:
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Anwenden der Richtlinienerklärung auf CE-Router A
Wenden Sie die Richtlinienanweisung "export-to-my-isp" als Exportrichtlinie wie folgt auf das EBGP-Peering auf dem CE-Router A an:
[edit]
protocols {
bgp {
group my_isp {
export export-to-my-isp;
}
}
}
Wenn Sie den show route receive-protocol bgp detail Befehl ausführen, sollten Sie die folgenden Routen sehen, die von PE-Router B mit my-soo Community stammen:
user@host> show route receive-protocol bgp 10.12.99.2 detail
inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden)
* 10.12.33.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
10.12.99.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 10.255.71.177/32 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 192.168.64.0/21 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
__juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0
hidden)
Konfigurieren der Richtlinie auf PE-Router D
Konfigurieren Sie eine Richtlinie auf PE-Router D, die verhindert, dass Routen mit my-soo Community-Tags von CE-Router A wie folgt an CE-Router E angekündigt werden:
[edit]
policy-options {
policy-statement soo-ce1-policy {
term a {
from {
community my-soo;
then {
reject;
}
}
}
}
}
Konfigurieren der Community auf PE-Router D
Konfigurieren Sie die Community auf PE-Router D wie folgt:
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Anwenden der Richtlinie auf PE-Router D
Um zu verhindern, dass von CE-Router A gelernte Routen an CE-Router E weitergeleitet werden (die beiden Router können diese Routen direkt kommunizieren), wenden Sie die soo-ce1-policy Richtlinienanweisung als Exportrichtlinie auf die EBGP-Sitzung vpn_bluevon PE-Router D und CE-Router E an.
Zeigen Sie die EBGP-Sitzung auf PE-Router D mit dem show routing-instances folgenden Befehl an.
user@host# show routing-instances
vpn_blue {
instance-type vrf;
interface fe-2/0/0.0;
vrf-target target:100:200;
protocols {
bgp {
group ce2 {
advertise-peer-as;
peer-as 100;
neighbor 10.12.99.6;
}
}
}
}
Wenden Sie die soo-ce1-policy Richtlinienanweisung als Exportrichtlinie wie folgt auf die EBGP-Sitzung vpn_blue des PE-Routers D und des CE-Routers E an:
[edit routing-instances]
vpn_blue {
protocols {
bgp {
group ce2{
export soo-ce1-policy;
}
}
}
}