AUF DIESER SEITE
Reduzierung der Nutzung von Netzwerkressourcen mit statischer Routenzielfilterung für VPNs
Beispiel: Konfigurieren der BGP-Routenzielfilterung für VPNs
Beispiel: Konfigurieren einer Exportrichtlinie für die BGP-Routenzielfilterung für VPNs
Beispiel: Konfigurieren der Proxy-BGP-Routenzielfilterung für VPNs
Filterung von Routenzielen
In diesem Thema wird die Konfiguration statischer, BGP- und Proxy-BGP-Routenzielfilterung beschrieben und Beispiele für die Konfiguration der Routenzielfilterung für VPNs dargestellt.
Konfigurieren der statischen Routenzielfilterung für VPNs
Die BGP VPN Route Target Extended Community (RFC 4360, BGP Extended Communities Attribute) wird verwendet, um die VPN-Mitgliedschaft zu bestimmen. Statische Routenzielfilterung verhindert, dass Ressourcen in Teilen des Netzwerks genutzt werden, in denen die VPN-Routen aufgrund fehlender PE-Router nicht benötigt werden (RFC 4684, Eingeschränkte Routenverteilung für Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs) ). Router können Routen in das RT-Constrain-Protokoll erstellen, um ihr Interesse am Empfang von VPN-Routen zu signalisieren, die Routenziele enthalten, die dem RT-Constrain NLRI entsprechen.
So konfigurieren Sie statische Routenzielfilterung für VPNs:
Konfigurieren Sie die
route-target-filter
Anweisung auf[edit routing-options rib bgp.rtarget.0 static]
Hierarchieebene.Im folgenden Beispiel wird veranschaulicht, wie Sie die Route-target-filter-Anweisung konfigurieren können:
[edit routing-options rib bgp.rtarget.0 static] route-target-filter destination { group bgp-group; local; neighbor bgp-peer; }
Mit dem Befehl können Sie Routenzielfilterungsinformationen
show bgp group rtf detail
anzeigen.
Reduzierung der Nutzung von Netzwerkressourcen mit statischer Routenzielfilterung für VPNs
Die BGP VPN Route Target Extended Community (RFC 4360, BGP Extended Communities Attribute) wird verwendet, um die VPN-Mitgliedschaft zu bestimmen. Statische Routenzielfilterung verhindert, dass Ressourcen in Teilen des Netzwerks genutzt werden, in denen die VPN-Routen aufgrund fehlender PE-Router nicht benötigt werden (RFC 4684, Eingeschränkte Routenverteilung für Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs) ). Router können Routen in das RT-Constrain-Protokoll erstellen, um ihr Interesse am Empfang von VPN-Routen zu signalisieren, die Routenziele enthalten, die dem RT-Constrain NLRI entsprechen.
Normalerweise muss die RT-Constrain-Funktion für die ordnungsgemäße Funktion im gesamten Netzwerk umfassend bereitgestellt werden. Wenn dies nicht der Fall ist, ist die Funktion weniger nützlich, da der RT-Constrain-BGP-Speaker, der auf einem Nicht-RT-Eingeschränkten Sprecher zu sehen ist, im Namen des Peers, der die Funktion nicht unterstützt, eine RT-Constrain-Standardroute an die anderen RT-Constrain-Sprecher ankündigen muss. Dadurch entfallen die ressourcensparenden Vorteile der Funktion in Teilen des Netzwerks, in denen sie nicht unterstützt wird, da eine standardmäßige RT-Constrain-Route bewirkt, dass der PE-Router und alle dazwischen liegenden PE-Router alle VPN-Routen empfangen müssen.
Mit der statischen RT-Eingeschränkten Funktion können Sie die RT-Constrain-Funktion teilweise in einem Netzwerk bereitstellen. Die Funktion wird an einer Grenze im Netzwerk aktiviert, an der RT-Constrain konfiguriert ist. Einige BGP-VPN-Peers unterstützen jedoch RT-Constrain nicht, typischerweise PE-Router. Die Routenziele dieser PE-Router müssen statisch auf dem Router konfiguriert werden. Diese Routenziele werden mithilfe des RT-Constrain-Protokolls verbreitet.
Die Proxy-RT-Eingeschränkte Funktion ermöglicht es BGP VPN-Peers, die das Protokoll nicht unterstützen, ihre Routenziele zu erkennen und automatisch zu verbreiten. Diese Funktion kann jedoch nur symmetrische Routenziele unterstützen. Beispielsweise sind die Import- und Export-Routenziele für eine VRF-Routinginstanz identisch. Bei einem Hub-and-Spoke-VPN sind die Import- und Exportrouteziele jedoch nicht identisch. In diesem Szenario kann das Import- und Exportroutenziel statisch so konfiguriert werden, dass es im RT-Constrain-Protokoll verbreitet wird.
Konfigurieren der BGP-Routenzielfilterung für VPNs
Die BGP-Routenzielfilterung ermöglicht es Ihnen, VPN-Routen nur an die Router zu verteilen, die sie benötigen. In VPN-Netzwerken ohne konfigurierte BGP-Routenzielfilterung verteilt BGP alle VPN-Routen an alle VPN-Peer-Router.
Weitere Informationen zur BGP-Routenzielfilterung finden Sie unter RFC 4684, Constrained Route Distribution for Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs).
Die folgenden Abschnitte bieten einen Überblick über die Filterung von BGP-Routenzielen und die Konfiguration für VPNs:
BGP-Routenzielfilterung – Übersicht
PE-Router verwerfen, es sei denn, sie sind als Routenreflektoren konfiguriert oder führen eine EBGP-Sitzung aus, verwerfen alle VPN-Routen, die nicht eine erweiterte Routing-Community enthalten, wie in den lokalen VRF-Importrichtlinien angegeben. Dies ist das Standardverhalten des Junos OS.
Es sei denn, er ist explizit so konfiguriert, dass keine VPN-Routen gespeichert werden, muss jeder Router, der entweder als Route Reflector oder Border-Router für eine VPN-Adressfamilie konfiguriert ist, alle VPN-Routen speichern, die im Netzwerk des ServiceAnbieters vorhanden sind. Auch wenn PE-Router Automatisch Routen verwerfen können, die keine erweiterte Community für Das Routenziel enthalten, werden weiterhin Routenaktualisierungen generiert und empfangen.
Durch die Reduzierung der Anzahl der Router, die VPN-Routen und Routenaktualisierungen empfangen, trägt die Filterung von BGP-Routenzielen dazu bei, den Aufwand, der mit der Ausführung eines VPN verbunden ist, zu begrenzen. Die BGP-Routenzielfilterung ist am effektivsten bei der Reduzierung des VPN-bezogenen administrativen Datenverkehrs in Netzwerken, in denen es viele Routenreflektoren oder AS-Border-Router gibt, die nicht direkt an den VPNs teilnehmen (die nicht als PE-Router für DIE CE-Geräte fungieren).
Die BGP-Routenzielfilterung verwendet Standard-UPDATE-Nachrichten, um route target extended communities zwischen Routern zu verteilen. Die Verwendung von UPDATE-Nachrichten ermöglicht BGP die Verwendung seiner Standardschleifenerkennungsmechanismen, Pfadauswahl, Richtlinienunterstützung und Datenbankaustauschimplementierung.
Konfigurieren der BGP-Routenzielfilterung für VPNs
Die BGP-Routenzielfilterung wird durch den Austausch der route-target
Adressfamilie aktiviert, die in der Routingtabelle bgp.rtarget.0 gespeichert ist. Basierend auf der route-target
Adressfamilie wird das Routenziel NLRI (Adressfamilien-Indikator [AFI]=1, nachfolgender AFI [SAFI]=132) mit seinen Peers ausgehandelt.
Auf einem System, das über lokal konfigurierte VRF-Instanzen verfügt, generiert BGP automatisch lokale Routen, die den zielen entsprechen, auf die in den vrf-import
Richtlinien verwiesen wird.
Um die BGP-Routenzielfilterung zu konfigurieren, fügen Sie die Anweisung ein family route-target
:
family route-target { advertise-default; external-paths number; prefix-limit number; }
Eine Liste der Hierarchieebenen, auf denen Sie diese Anweisung einschließen können, finden Sie im Abschnitt "Statement Summary" für diese Anweisung.
Der advertise-default
, und external-paths
die prefix-limit
Anweisungen wirken sich wie folgt auf die Konfiguration des BGP-Routenzielfilters aus:
Die
advertise-default
Anweisung bewirkt, dass der Router die Standard-Route-Zielroute (0:0:0/0) ankündigen und alle Routen unterdrückt, die spezifischer sind. Dies kann von einem Route Reflector auf BGP-Gruppen verwendet werden, die aus Nachbarn bestehen, die nur als PE-Router fungieren. PE-Router müssen oft alle Routen an den Routenreflektor ausschreiben.Durch die Unterdrückung aller Routenziel-Ankündigungen mit Ausnahme der Standardroute wird die Menge an Informationen, die zwischen dem Route Reflector und den PE-Routern ausgetauscht werden, reduziert. Das Junos OS trägt außerdem dazu bei, den Overhead für die Routingziel-Ankündigung zu reduzieren, indem abhängigkeitsbasierte Informationen nicht beibehalten werden, es sei denn, es wird eine nicht defaulte Route empfangen.
Die
external-paths
Anweisung (mit dem Standardwert 1) bewirkt, dass der Router die VPN-Routen ankündigen, die auf ein bestimmtes Routenziel verweisen. Die von Ihnen angegebene Zahl bestimmt die Anzahl der externen Peer-Router (die derzeit für dieses Routingziel werben), die die VPN-Routen empfangen.Die
prefix-limit
Anweisung begrenzt die Anzahl der Präfixe, die von einem Peer-Router empfangen werden können.
Der route-target
, , advertise-default
und external-path
die Anweisungen wirken sich auf den RIB-OUT-Zustand aus und müssen zwischen Peer-Routern, die dieselbe BGP-Gruppe verwenden, konsistent sein. Die prefix-limit
Anweisung betrifft nur die Empfangsseite und kann unterschiedliche Einstellungen zwischen verschiedenen Peer-Routern in einer BGP-Gruppe haben.
Siehe auch
Beispiel: BGP-Routenzielfilterung für VPNs
Die Filterung von BGP-Routenzielen wird aktiviert, indem die family route-target
Anweisung auf der entsprechenden BGP-Hierarchieebene konfiguriert wird. Diese Anweisung ermöglicht den Austausch einer neuen route-target
Adressfamilie, die in der Routingtabelle bgp.rtarget.0 gespeichert ist.
Die folgende Konfiguration veranschaulicht, wie Sie die BGP-Routenzielfilterung für eine BGP-Gruppe mit dem Titel to_vpn04
konfigurieren können:
[edit] protocols { bgp { group to_vpn04 { type internal; local-address 10.255.14.182; peer-as 200; neighbor 10.255.14.174 { family inet-vpn { unicast; } family route-target; } } } }
Die folgende Konfiguration veranschaulicht, wie Sie ein paar lokale VPN-Routing- und Weiterleitungsinstanzen (VRF) konfigurieren können, um die Funktionen der BGP-Routenzielfilterung zu nutzen. Basierend auf dieser Konfiguration würde BGP automatisch lokale Routen generieren, die den Routenzielen entsprechen, auf die in den VRF-Importrichtlinien verwiesen wird (beachten Sie die in den vrf-target
Anweisungen definierten Ziele).
[edit] routing-instances { vpn1 { instance-type vrf; interface t1-0/1/2.0; vrf-target target:200:101; protocols { ospf { export bgp-routes; area 0.0.0.0 { interface t1-0/1/2.0; } } } } vpn2 { instance-type vrf; interface t1-0/1/2.1; vrf-target target:200:102; protocols { ospf { export bgp-routes; area 0.0.0.0 { interface t1-0/1/2.1; } } } } }
Führen Sie den show route table bgp.rtarget.0 Befehl show aus, um die Konfiguration der BGP-Routenzielfilterung zu überprüfen:
user@host> show route table bgp.rtarget.0 bgp.rtarget.0: 4 destinations, 6 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 200:200:101/96 *[RTarget/5] 00:10:00 Local 200:200:102/96 *[RTarget/5] 00:10:00 Local 200:200:103/96 *[BGP/170] 00:09:48, localpref 100, from 10.255.14.174 AS path: I > t3-0/0/0.0 200:200:104/96 *[BGP/170] 00:09:48, localpref 100, from 10.255.14.174 AS path: I > t3-0/0/0.0
Das show
Befehlsanzeigeformat für Routenzielpräfixe lautet:
AS number:route target extended community/length
Die erste Zahl repräsentiert das autonome System (AS) des Routers, der diese Ankündigung gesendet hat. Der Rest der Anzeige folgt der Junos show
Command Convention für erweiterte Communitys.
Die Ausgabe des show route table bgp-rtarget.0
Befehls zeigt die lokal generierten und per Fernzugriff generierten Routen an.
Die ersten beiden Einträge entsprechen den Routenzielen, die für die beiden lokalen VRF-Routing-Instanzen konfiguriert wurden (vpn1
und vpn2
):
200:200:101/96
—Die Gemeinschaft200:101
in dervpn1
Routing-Instanz200:200:102/96
—Die Gemeinschaft200:102
in dervpn2
Routing-Instanz
Bei den letzten beiden Einträgen handelt es sich um Präfixe, die von einem BGP-Peer empfangen werden:
200:200:103/96
— Teilt dem lokalen Router mit, der Routen, die mit dieser Community getaggt wurden (200:103
) ankündigen sollte, um peer10.255.14.174
throught3-0/0/0.0
200:200:104/96
— Teilt dem lokalen Router mit, der Routen, die mit dieser Community getaggt wurden (200:104
) ankündigen sollte, um peer10.255.14.174
throught3-0/0/0.0
Beispiel: Konfigurieren der BGP-Routenzielfilterung für VPNs
Die BGP-Routenzielfilterung reduziert die Anzahl der Router, die VPN-Routen und Routenaktualisierungen empfangen, und reduziert so den Aufwand, der mit der Ausführung eines VPN verbunden ist. Die BGP-Routenzielfilterung ist am effektivsten bei der Reduzierung des VPN-bezogenen administrativen Datenverkehrs in Netzwerken, in denen es viele Routenreflektoren oder AS-Border-Router gibt, die nicht direkt an den VPNs teilnehmen (fungieren nicht als PE-Router für DIE CE-Geräte).
Abbildung 1 veranschaulicht die Topologie für ein Netzwerk, das mit BGP-Routenzielfilterung für eine Gruppe von VPNs konfiguriert ist.
In den folgenden Abschnitten wird beschrieben, wie Sie die BGP-Routenzielfilterung für eine Gruppe von VPNs konfigurieren:
- Konfigurieren der BGP-Routenzielfilterung auf Router PE1
- Konfiguration der BGP-Routenzielfilterung auf Router PE2
- Konfigurieren der BGP-Routenzielfilterung im Route Reflector
- Konfigurieren der BGP-Routenzielfilterung auf Router PE3
Konfigurieren der BGP-Routenzielfilterung auf Router PE1
In diesem Abschnitt wird beschrieben, wie Sie die BGP-Routenzielfilterung auf Router PE1 aktivieren.
Konfigurieren Sie die Routing-Optionen für Router PE1 wie folgt:
[edit] routing-options { route-distinguisher-id 10.255.14.182; autonomous-system 198; }
Konfigurieren Sie das BGP-Protokoll auf Router PE1 wie folgt:
[edit] protocols { bgp { group to_VPN_D { type internal; local-address 10.255.14.182; peer-as 198; neighbor 10.255.14.174 { family inet-vpn { unicast; } family route-target; } } } }
Konfigurieren Sie die vpn1
Routing-Instanz wie folgt:
[edit] routing-instances { vpn1 { instance-type vrf; interface t1-0/1/2.0; vrf-target target:198:101; protocols { ospf { export bgp-routes; area 0.0.0.0 { interface t1-0/1/2.0; } } } } }
Konfigurieren Sie die vpn2
Routing-Instanz auf Router PE1 wie folgt:
[edit] routing-instances { vpn2 { instance-type vrf; interface t1-0/1/2.1; vrf-target target:198:102; protocols { ospf { export bgp-routes; area 0.0.0.0 { interface t1-0/1/2.1; } } } } }
Sobald Sie diese Konfiguration implementiert haben, sollten Sie bei der Ausgabe eines show route table bgp.rtarget.0
Befehls Folgendes sehen:
user@host> show route table bgp.rtarget.0 bgp.rtarget.0: 4 destinations, 6 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 198.198:101/96 *[RTarget/5] 00:27:42 Local [BGP/170] 00:27:30, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/0.0 198.198:102/96 *[RTarget/5] 00:27:42 Local [BGP/170] 00:27:30, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/0.0 198.198:103/96 *[BGP/170] 00:27:30, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/0.0 198.198:104/96 *[BGP/170] 00:27:30, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/0.0
Konfiguration der BGP-Routenzielfilterung auf Router PE2
In diesem Abschnitt wird beschrieben, wie Sie die BGP-Routenzielfilterung auf Router PE2 aktivieren.
Konfigurieren Sie die Routing-Optionen für Router PE2 wie folgt:
[edit] routing-options { route-distinguisher-id 10.255.14.176; autonomous-system 198; }
Konfigurieren Sie das BGP-Protokoll auf Router PE2 wie folgt:
[edit] protocols { bgp { group to_vpn04 { type internal; local-address 10.255.14.176; peer-as 198; neighbor 10.255.14.174 { family inet-vpn { unicast; } family route-target; } } } }
Konfigurieren Sie die vpn1
Routing-Instanz auf Router PE2 wie folgt:
[edit] routing-instances { vpn1 { instance-type vrf; interface t3-0/0/0.0; vrf-target target:198:101; protocols { bgp { group vpn1 { type external; peer-as 101; as-override; neighbor 10.49.11.2; } } } } }
Konfigurieren Sie die vpn2
Routing-Instanz auf Router PE2 wie folgt:
[edit] routing-instances { vpn2 { instance-type vrf; interface t3-0/0/0.1; vrf-target target:198:102; protocols { bgp { group vpn2 { type external; peer-as 102; as-override; neighbor 10.49.21.2; } } } } }
Konfigurieren Sie die vpn3
Routing-Instanz auf Router PE2 wie folgt:
[edit] routing-instances { vpn3 { instance-type vrf; interface t3-0/0/0.2; vrf-import vpn3-import; vrf-export vpn3-export; protocols { bgp { group vpn3 { type external; peer-as 103; as-override; neighbor 10.49.31.2; } } } } }
Sobald Sie Router PE2 auf diese Weise konfiguriert haben, sollten Sie bei der Ausgabe des Befehls Folgendes show route table bgp.rtarget.0
sehen:
user@host> show route table bgp.rtarget.0 bgp.rtarget.0: 4 destinations, 7 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 198.198:101/96 *[RTarget/5] 00:28:15 Local [BGP/170] 00:28:03, localpref 100, from 10.255.14.174 AS path: I > via t1-0/1/0.0 198.198:102/96 *[RTarget/5] 00:28:15 Local [BGP/170] 00:28:03, localpref 100, from 10.255.14.174 AS path: I > via t1-0/1/0.0 198.198:103/96 *[RTarget/5] 00:28:15 Local [BGP/170] 00:28:03, localpref 100, from 10.255.14.174 AS path: I > via t1-0/1/0.0 198.198:104/96 *[BGP/170] 00:28:03, localpref 100, from 10.255.14.174 AS path: I > via t1-0/1/0.0
Konfigurieren der BGP-Routenzielfilterung im Route Reflector
In diesem Abschnitt wird veranschaulicht, wie Sie die BGP-Routenzielfilterung am Routenreflektor für dieses Beispiel aktivieren.
Konfigurieren Sie die Routing-Optionen für den Routenreflektor wie folgt:
[edit] routing-options { route-distinguisher-id 10.255.14.174; autonomous-system 198; }
Konfigurieren Sie das BGP-Protokoll auf dem Routenreflektor wie folgt:
[edit] protocols { bgp { group rr-group { type internal; local-address 10.255.14.174; cluster 10.255.14.174; peer-as 198; neighbor 10.255.14.182 { description to_PE1_vpn12; family inet-vpn { unicast; } family route-target; } neighbor 10.255.14.176 { description to_PE2_vpn06; family inet-vpn { unicast; } family route-target; } neighbor 10.255.14.178 { description to_PE3_vpn08; family inet-vpn { unicast; } family route-target; } } } }
Sobald Sie den Routenreflektor auf diese Weise konfiguriert haben, sollten Sie bei der Ausgabe des Befehls Folgendes show route table bgp.rtarget.0
sehen:
user@host> show route table bgp.rtarget.0 bgp.rtarget.0: 4 destinations, 8 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 198.198:101/96 *[BGP/170] 00:29:03, localpref 100, from 10.255.14.176 AS path: I > via t1-0/2/0.0 [BGP/170] 00:29:03, localpref 100, from 10.255.14.178 AS path: I > via t3-0/1/1.0 [BGP/170] 00:29:03, localpref 100, from 10.255.14.182 AS path: I > via t3-0/1/3.0 198.198:102/96 *[BGP/170] 00:29:03, localpref 100, from 10.255.14.176 AS path: I > via t1-0/2/0.0 [BGP/170] 00:29:03, localpref 100, from 10.255.14.182 AS path: I > via t3-0/1/3.0 198.198:103/96 *[BGP/170] 00:29:03, localpref 100, from 10.255.14.176 AS path: I > via t1-0/2/0.0 [BGP/170] 00:29:03, localpref 100, from 10.255.14.178 AS path: I > via t3-0/1/1.0 198.198:104/96 *[BGP/170] 00:29:03, localpref 100, from 10.255.14.178 AS path: I > via t3-0/1/1.0
Konfigurieren der BGP-Routenzielfilterung auf Router PE3
Im folgenden Abschnitt wird für dieses Beispiel beschrieben, wie Sie die BGP-Routenzielfilterung auf Router PE3 aktivieren.
Konfigurieren Sie die Routing-Optionen für Router PE3 wie folgt:
[edit] routing-options { route-distinguisher-id 10.255.14.178; autonomous-system 198; }
Konfigurieren Sie das BGP-Protokoll auf Router PE3 wie folgt:
[edit] protocols { bgp { group to_vpn04 { type internal; local-address 10.255.14.178; peer-as 198; neighbor 10.255.14.174 { family inet-vpn { unicast; } family route-target; } } } }
Konfigurieren Sie die vpn1
Routing-Instanz auf Router PE3 wie folgt:
[edit] routing-instances { vpn1 { instance-type vrf; interface t3-0/0/0.0; vrf-target target:198:101; protocols { rip { group vpn1 { export bgp-routes; neighbor t3-0/0/0.0; } } } } }
Konfigurieren Sie die vpn3
Routing-Instanz auf Router PE3 wie folgt:
[edit] routing-instances { vpn3 { instance-type vrf; interface t3-0/0/0.1; vrf-target target:198:103; protocols { rip { group vpn3 { export bgp-routes; neighbor t3-0/0/0.1; } } } } }
Konfigurieren Sie die vpn4
Routing-Instanz auf Router PE3 wie folgt:
[edit] routing-instances { vpn4 { instance-type vrf; interface t3-0/0/0.2; vrf-target target:198:104; protocols { rip { group vpn4 { export bgp-routes; neighbor t3-0/0/0.2; } } } } }
Sobald Sie Router PE3 auf diese Weise konfiguriert haben, sollten Sie bei der Ausgabe des Befehls Folgendes show route table bgp.rtarget.0
sehen:
user@host> show route table bgp.rtarget.0 bgp.rtarget.0: 4 destinations, 7 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 198.198:101/96 *[RTarget/5] 00:29:42 Local [BGP/170] 00:29:30, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/1.0 198.198:102/96 *[BGP/170] 00:29:29, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/1.0 198.198:103/96 *[RTarget/5] 00:29:42 Local [BGP/170] 00:29:30, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/1.0 198.198:104/96 *[RTarget/5] 00:29:42 Local [BGP/170] 00:29:30, localpref 100, from 10.255.14.174 AS path: I > via t3-0/0/1.0
Beispiel: Konfigurieren einer Exportrichtlinie für die BGP-Routenzielfilterung für VPNs
In diesem Beispiel wird gezeigt, wie Sie eine Export-Routing-Richtlinie für die BGP-Routenzielfilterung (auch als Route Target Constrain oder RTC bezeichnet) konfigurieren.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Vier Geräte von Juniper Networks, die BGP-Routenzielfilterung unterstützen.
Junos OS Version 12.2 oder höher auf einem oder mehreren Geräten, die für proxy-BGP-Routenfilterung konfiguriert sind. In diesem Beispiel konfigurieren Sie explizit die Proxy-BGP-Routenfilterung für die Routenreflektoren.
Stellen Sie sicher, dass Sie mit den folgenden Konzepten vertraut sind, bevor Sie eine Exportrichtlinie für die BGP-Routenzielfilterung konfigurieren:
Übersicht
Die BGP-Routenzielfilterung ermöglicht es Ihnen, den Verbrauch von Netzwerkressourcen zu reduzieren, indem Sie Ankündigungen für Routenzielmitgliedschaft (RT-Mitgliedschaft) im gesamten Netzwerk verteilen. BGP verwendet die RT-Mitgliederinformationen, um VPN-Routen nur an die Geräte zu senden, die sie im Netzwerk benötigen. Ähnlich wie bei anderen Arten von BGP-Erreichbarkeit können Sie eine Routing-Richtlinie anwenden, um Zielfilterungsrouten zu routen, um das Netzwerk zu beeinflussen. Wenn die Routenzielfilterung konfiguriert ist, schränkt die Einschränkung des Datenflusses der Routen für die Zielfilterung auch die VPN-Routen ein, die von dieser RT-Mitgliedschaft angezogen werden könnten. Die Konfiguration dieser Richtlinie umfasst Folgendes:
Erstellen eines Filters, der die Liste der Routenzielpräfixe definiert.
Erstellen einer Richtlinie zur Auswahl einer Teilmenge der Routenzielfilter, die für die BGP-Routenzielfilterung verwendet werden sollen.
So definieren Sie die Liste der Routenzielpräfixe:
Sie konfigurieren die
rtf-prefix-list
Anweisung auf Hierarchieebene[edit policy-options]
, um den Namen der Routingziel-Präfixliste und ein oder mehrere zu verwendenden Routenzielpräfixe anzugeben. Mit dieser Konfiguration können Sie die vom Gerät verwendeten eingehenden Routing-Ziel-Filterrouten angeben und diese dann im Netzwerk verteilen.
Um die Routing-Richtlinie zu konfigurieren und die Routingziel-Präfixliste auf diese Richtlinie anzuwenden, können Sie die folgenden Richtlinienoptionen angeben:
-
family route-target
—(Optional) Die Übereinstimmungsbedingung für die Routenzielfamilie gibt die übereinstimmenden BGP-Routenzielfilterung an. Diese Kriterien definieren Sie in derfrom
Aussage. Dieses Beispiel zeigt, wie Sie mithilfe der Übereinstimmungsbedingungfamily route-target
eine Exportrichtlinie erstellen.Hinweis:Juniper verwendet die Inet.3-Tabelle, um die Adresse des nächsten Hops bei
family route-target
der Konfiguration aufzulösen. protocol route-target
—(Optional) Die Route-Target-Protokoll-Übereinstimmungsbedingung definiert die Kriterien, die eine eingehende Route erfüllen muss. Diese Kriterien definieren Sie in derfrom
Aussage. Diese Anweisung ist vor allem nützlich, um die Richtlinie auf lokal generierte Routenzielfilterung einzuschränken.Hinweis:Wenn Sie den Befehl zum Anzeigen von
show route table bgp.rtarget.0
Proxy-BGP-Routingzielfilterrouten verwenden, sehen Sie das BGP-Protokoll für empfangene Routen und die Routenzielprotokollrouten für lokale Routen mit Zielfilterung.rtf-prefix-list name
— Die Anweisung rtf-prefix-list wendet die Liste der Routing-Zielpräfixe, die Sie bereits konfiguriert haben, auf die Richtlinie an. Diese Kriterien definieren Sie in derfrom
Aussage.
Topologiediagramm
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.
In diesem Beispiel wird die BGP-Routenzielfilterung auf den Routenreflektoren (Device RR1 und Device RR2) und Provider Edge (PE) Gerät PE2 konfiguriert. Das andere PE, Geräte-PE1, unterstützt keine BGP-Routenzielfilterung. Die Proxy-BGP-Routenzielfilterung wird auch auf den Peering-Sitzungen zwischen den Routenreflektoren und Geräte-PE1 konfiguriert, um die Anzahl der von Geräte PE1 verarbeiteten VPN-Routenaktualisierungen zu minimieren. Geräte-PE2 hat vier VPNs konfiguriert (vpn1, vpn2, vpn3 und vpn4), und Geräte-PE1 hat zwei VPNs konfiguriert (vpn1 und vpn2). In der Beispieltopologie nehmen alle Geräte am Autonomen System (AS) 203 teil, OSPF ist das konfigurierte Interior Gateway Protocol (IGP) und LDP ist das Signalisierungsprotokoll, das von den VPNs verwendet wird. In diesem Beispiel verwenden wir statische Routen in den VPN-Routing- und Weiterleitungsinstanzen (VRF), um VPN-Routen zu generieren. Dies geschieht an Stelle der Verwendung eines PE to Customer Edge (CE)-Protokolls wie OSPF oder BGP.
In diesem Beispiel steuern Sie weiter die Routen, die von Gerät PE2 zu Gerät PE1 angekündigt werden, indem Sie eine Exportrichtlinie auf Geräte-PE2 konfigurieren, um zu verhindern, dass vpn3-Routen an Gerät RR1 angekündigt werden. Sie erstellen eine Richtlinie, die die family route-target
Übereinstimmungsbedingung angibt, die Liste der Routenzielpräfixe definiert und die Liste der Routenzielpräfixe anwendet, indem Sie die rtf-prefix-list
Kriterien definieren.
Konfiguration
- CLI-Schnellkonfiguration
- Konfiguration von Geräte-PE1
- Konfigurieren des Geräts RR1
- Konfigurieren des Geräts RR2
- Konfiguration von Geräte-PE2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit]
CLI ein.
Gerät PE1
set interfaces ge-1/0/0 unit 0 description PE1-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE1-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.49.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.163.58 set protocols bgp group internal neighbor 10.255.165.220 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.165.28 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.163.58 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard
Gerät RR1
set interfaces ge-1/0/0 unit 0 description RR1-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR1-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.0.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 198.51.100.0 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.220 set routing-options autonomous-system 203
Gerät RR2
set interfaces ge-1/0/0 unit 0 description RR2-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.10.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR2-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.165.28 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.28 set routing-options autonomous-system 203
Geräte-PE2
set interfaces ge-1/0/0 unit 0 description PE2-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.50.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE2-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.168.42 set protocols bgp group internal family inet-vpn unicast set protocols bgp group internal family route-target set protocols bgp group internal neighbor 10.255.165.220 export filter-rtc set protocols bgp group internal neighbor 10.255.165.28 set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options rtf-prefix-list exclude-103 203:203:103/96 set policy-options policy-statement filter-rtc from family route-target set policy-options policy-statement filter-rtc from rtf-prefix-list exclude-103 set policy-options policy-statement filter-rtc then reject set routing-options route-distinguisher-id 10.255.168.42 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard set routing-instances vpn3 instance-type vrf set routing-instances vpn3 vrf-target target:203:103 set routing-instances vpn3 routing-options static route 203.0.113.3/24 discard set routing-instances vpn4 instance-type vrf set routing-instances vpn4 vrf-target target:203:104 set routing-instances vpn4 routing-options static route 203.0.113.4/24 discard
Konfiguration von Geräte-PE1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Geräte-PE1:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@PE1# set ge-1/0/0 unit 0 description PE1-to-RR1 user@PE1# set ge-1/0/0 unit 0 family inet address 10.49.0.1/30 user@PE1# set ge-1/0/0 unit 0 family mpls user@PE1#set ge-1/0/1 unit 0 description PE1-to-RR2 user@PE1#set ge-1/0/1 unit 0 family inet address 10.49.10.1/30 user@PE1# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@PE1# set route-distinguisher-id 10.255.163.58 user@PE1# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@PE1# set type internal user@PE1# set local-address 10.255.163.58 user@PE1# set neighbor 10.255.165.220 family inet-vpn unicast user@PE1# set neighbor 10.255.165.28 family inet-vpn unicast
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1 user@PE1# set interface lo0.0 passive
Konfigurieren Sie die VPN-Routing-Instanzen.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:100 user@PE1# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:101 user@PE1# set routing-options static route 203.0.113.2/24 discard
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@PE1# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle , show protocols
, show routing-options
und show routing-instances
eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@PE1# show interfaces ge-1/0/0 { unit 0 { description PE1-to-RR1; family inet { address 10.49.0.1/30; } family mpls; } } ge-1/0/1 { unit 0 { description PE1-to-RR2; family inet { address 10.49.10.1/30; } family mpls; } }
user@PE1# show protocols bgp { group internal { type internal; local-address 10.255.163.58; neighbor 10.255.165.220 { family inet-vpn { unicast; } } neighbor 10.255.165.28 { family inet-vpn { unicast; } } } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@PE1# show routing-options route-distinguisher-id 10.255.14.182; autonomous-system 203;
user@PE1# show routing-instances vpn1 { instance-type vrf; vrf-target target:203:100; routing-options { static { route 203.0.113.1/24 discard; } } } vpn2 { instance-type vrf; vrf-target target:203:101; routing-options { static { route 203.0.113.2/24 discard; } } }
Konfigurieren des Geräts RR1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie das Gerät RR1:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@RR1# set ge-1/0/0 unit 0 description RR1-to-PE1 user@RR1# set ge-1/0/0 unit 0 family inet address 10.49.0.2/30 user@RR1# set ge-1/0/0 unit 0 family mpls user@RR1# set ge-1/0/1 unit 0 description RR1-to-PE2 user@RR1# set ge-1/0/1 unit 0 family inet address 10.50.0.2/30 user@RR1# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@RR1# set route-distinguisher-id 10.255.165.220 user@RR1# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@RR1# set type internal user@RR1# set local-address 10.255.165.220 user@RR1# set cluster 198.51.100.1 user@RR1# set neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast user@RR1# set neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast
Konfigurieren Sie die BGP-Routenzielfilterung für die Peering-Sitzung mit Geräte-PE2.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.168.42 family route-target
Konfigurieren Sie die Proxy-BGP-Routenzielfilterung in der Peering-Sitzung mit Geräte-PE1.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.163.58 family route-target proxy-generate
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1 user@RR1# set interface lo0.0 passive
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@RR1# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle und show routing-options
show protocols
die Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@RR1# show interfaces ge-1/0/0 { unit 0 { description RR1-to-PE1; family inet { address 10.49.0.2/30; } family mpls; } } ge-1/0/1 { unit 0 { description RR1-to-PE2; family inet { address 10.50.0.2/30; } family mpls; } }
user@RR1# show protocols bgp { group internal { type internal; local-address 198.51.100.0; cluster 198.51.100.1; neighbor 10.255.163.58 { description vpn1-to-pe1; family inet-vpn { unicast; } family route-target { proxy-generate; } } neighbor 10.255.168.42 { description vpn1-to-pe2; family inet-vpn { unicast; } family route-target; } } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@RR1# show routing-options route-distinguisher-id 10.255.165.220; autonomous-system 203;
Konfigurieren des Geräts RR2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Das Gerät RR2:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@RR2# set ge-1/0/0 unit 0 description RR2-to-PE1 user@RR2# set ge-1/0/0 unit 0 family inet address 10.49.10.2/30 user@RR2# set ge-1/0/0 unit 0 family mpls user@RR2# set ge-1/0/1 unit 0 description RR2-to-PE2 user@RR2# set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@RR2# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@RR2# set route-distinguisher-id 10.255.165.28 user@RR2# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@RR2# set type internal user@RR2# set local-address 10.255.165.28 user@RR2# set cluster 198.51.100.1 user@RR2# set neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast user@RR2# set neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast
Konfigurieren Sie die BGP-Routenzielfilterung für die Peering-Sitzung mit Geräte-PE2.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.168.42 family route-target
Konfigurieren Sie die Proxy-BGP-Routenzielfilterung in der Peering-Sitzung mit Geräte-PE1.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.163.58 family route-target proxy-generate
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1 user@RR2# set interface lo0.0 passive
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@RR2# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle und show routing-options
show protocols
die Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@RR2# show interfaces ge-1/0/0 { unit 0 { description RR2-to-PE1; family inet { address 10.49.10.2/30; } family mpls; } } ge-1/0/1 { unit 0 { description RR2-to-PE2; family inet { address 10.50.10.2/30; } family mpls; } }
user@RR2# show protocols bgp { group internal { local-address 10.255.165.28; cluster 198.51.100.1; neighbor 10.255.163.58 { description vpn2-to-pe1; family inet-vpn { unicast; } family route-target { proxy-generate; } } neighbor 10.255.168.42 { description vpn2-to-pe2; family inet-vpn { unicast; } family route-target; } } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@RR2# show routing-options route-distinguisher-id 10.255.165.28; autonomous-system 203;
Konfiguration von Geräte-PE2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Geräte-PE2:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@PE2# set ge-1/0/0 unit 0 description PE2-to-RR1 user@PE2# set ge-1/0/0 unit 0 family inet address 10.50.0.1/30 user@PE2# set ge-1/0/0 unit 0 family mpls user@PE2#set ge-1/0/1 unit 0 description PE2-to-RR2 user@PE2#set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@PE2# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@PE2# set route-distinguisher-id 10.255.168.42 user@PE2# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@PE2# set type internal user@PE2# set local-address 10.255.168.42 user@PE2# set family inet-vpn unicast user@PE2# set family route-target user@PE2# set neighbor 10.255.165.220 user@PE2# set neighbor 10.255.165.28
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1 user@PE2# set interface lo0.0 passive
Konfigurieren Sie die VPN-Routing-Instanzen.
[edit routing-instances vpn1] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:100 user@PE2# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:101 user@PE2# set routing-options static route 203.0.113.2/24 discard
[edit routing-instances vpn3] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:103 user@PE2# set routing-options static route 203.0.113.3/24 discard
[edit routing-instances vpn4] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:104 user@PE2# set routing-options static route 203.0.113.4/24 discard
Konfigurieren und wenden Sie die Export-Routing-Richtlinie an.
[edit policy-options] user@PE2# set rtf-prefix-list exclude-103 203:203:103/96 [edit policy-options policy-statement filter-rtc] user@PE2# set from family route-target user@PE2# set from rtf-prefix-list exclude-103 user@PE2# set then reject [edit protocols bgp group internal] user@PE2# set neighbor 10.255.165.220 export filter-rtc
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@PE2# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle , show protocols
, , show policy-options
show routing-options
und show routing-instances
eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@PE2# show interfaces ge-1/0/0 { unit 0 { description PE2-to-RR1; family inet { address 10.50.0.1/30; } family mpls; } } ge-1/0/1 { unit 0 { description PE2-to-RR2; family inet { address 10.50.10.2/30; } family mpls; } }
user@PE2# show protocols bgp { group internal { type internal; local-address 10.255.168.42; family inet-vpn { unicast; } family route-target; neighbor 10.255.165.220 { export filter-rtc; } neighbor 10.255.165.28; } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@PE2# show routing-options route-distinguisher-id 10.255.168.42; autonomous-system 203;
user@PE2# show policy-options policy-statement filter-rtc { from { family route-target; rtf-prefix-list exclude-103; } then reject; } rtf-prefix-list exclude-103 { 203:203:103/96; }
user@PE2# show routing-instances vpn1 { instance-type vrf; vrf-target target:203:100; routing-options { static { route 203.0.113.1/24 discard; } } } vpn2 { instance-type vrf; vrf-target target:203:101; routing-options { static { route 203.0.113.2/24 discard; } } } vpn3 { instance-type vrf; vrf-target target:203:103; routing-options { static { route 203.0.113.3/24 discard; } } } vpn4 { instance-type vrf; vrf-target target:203:104; routing-options { static { route 203.0.113.4/24 discard; } } }
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Routenzielfilterung in der Routingtabelle bgp.rtarget.0 für Gerät RR1
- Überprüfung der Routenzielfilterung in der Routingtabelle bgp.rtarget.0 für Geräte RR2
Überprüfen der Routenzielfilterung in der Routingtabelle bgp.rtarget.0 für Gerät RR1
Zweck
Stellen Sie sicher, dass das Routenpräfix für vpn3 nicht in der bgp.rtarget.0-Tabelle von Gerät RR1 ist. Da eine Exportrichtlinie auf Geräte-PE2 angewendet wurde, um die Ankündigung von VPN3-Routen an Das Gerät RR1 zu verhindern, sollte Gerät RR1 diese Ankündigungen nicht erhalten.
Aktion
Geben Sie im Betriebsmodus den show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0
Befehl ein.
user@PE2# show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 11 routes
(4 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
203:203:100/96 * Self 100 I
203:203:101/96 * Self 100 I
203:203:104/96 * Self 100 I
Bedeutung
Die Tabelle bgp.rtartget.0 zeigt 203:203:103/96 nicht an, das Routenpräfix für vpn3. Das bedeutet, dass die Exportrichtlinie korrekt angewendet wurde.
Überprüfung der Routenzielfilterung in der Routingtabelle bgp.rtarget.0 für Geräte RR2
Zweck
Stellen Sie sicher, dass sich das Routenpräfix für vpn3 in der Tabelle bgp.rtarget.0 des Geräts RR2 befindet. Da auf Geräte-PE2 keine Exportrichtlinie angewendet wurde, um die Ankündigung von VPN3-Routen zum Gerät RR2 zu verhindern, sollte Gerät RR2 Ankündigungen von allen VPNs erhalten.
Aktion
Geben Sie im Betriebsmodus den show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0
Befehl ein.
user@PE2# show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 11 routes (4 active, 0 holddown, 0 hidden)
(4 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
203:203:100/96 * Self 100 I
203:203:101/96 * Self 100 I
203:203:103/96 * Self 100 I
203:203:104/96 * Self 100 I
Bedeutung
Die Tabelle bgp.rtartget.0 zeigt die Routenpräfixe für alle VPNs an.
Beispiel: Konfigurieren von Layer 3-Protokollqualifizierern der VPN-Protokollfamilie für Routenfilter
Dieses Beispiel zeigt, wie Sie den Umfang von BGP-Importrichtlinien steuern können, indem Sie einen Familienqualifizierer für die BGP-Importrichtlinie konfigurieren. Der Familienqualifikations-Qualifizierer gibt Routen des Typs inet
, inet6
, oder inet-vpn
inet6-vpn
.
Anforderungen
In diesem Beispiel wird Junos OS Version 10.0 oder höher verwendet.
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen.
Konfigurieren Sie ein Interior-Gateway-Protokoll. Sehen Sie sich die Junos OS Routing Protocol Library an.
Konfigurieren Sie eine BGP-Sitzung für mehrere Routentypen. Konfigurieren Sie z. B. die Sitzung sowohl für Familien
inet
- als auch für Familienrouteninet-vpn
. Siehe Konfigurieren von IBGP-Sitzungen zwischen PE-Routern in VPNs und Konfigurieren von Layer-3-VPNs für die Übertragung von IPv6-Datenverkehr.
Übersicht
Familienqualifikationen führen dazu, dass ein Routenfilter nur einer bestimmten Familie entspricht. Wenn Sie einen IPv4-Routenfilter ohne Familienqualifizierer konfigurieren, wie hier dargestellt, entspricht inet
der Routenfilter mit den inet-vpn
Routen.
route-filter ipv4-address/mask;
Wenn Sie einen IPv6-Routenfilter ohne Familienqualifizierer konfigurieren, wie hier dargestellt, entspricht inet6
inet6-vpn
der Routenfilter auch den Routen.
route-filter ipv6-address/mask;
Betrachten Sie den Fall, in dem eine BGP-Sitzung sowohl für Familienrouten inet
als auch für Familienrouten inet-vpn
konfiguriert wurde und eine Importrichtlinie für diese BGP-Sitzung konfiguriert wurde. Das bedeutet, dass sowohl Familien inet
- als auch Familienrouten inet-vpn
, wenn sie empfangen werden, dieselbe Importrichtlinie verwenden. Der Richtlinienbegriff könnte wie folgt aussehen:
from { route-filter 0.0.0.0/0 exact; } then { next-hop self; accept; }
Diese Routenfilterlogik entspricht einer inet
Route von 0.0.0.0 und einer inet-vpn
Route, deren IPv4-Adressabschnitt 0.0.0.0 ist. Der 8-Byte-Route Distinguisher-Teil der inet-vpn
Route wird bei der Routenfilterzuordnung nicht berücksichtigt. Dies ist eine Änderung des Verhaltens von Junos OS, die in Junos OS Version 10.0 eingeführt wurde.
Wenn Ihre Richtlinie nicht mit beiden Routentypen übereinstimmt, fügen Sie ihrer Richtlinie eine Familienqualifikation hinzu. Damit der Routenfilter nur inet
Mit den Routen übereinstimmt, fügen Sie den Qualifikationsbequalifizierer für Familienrichtlinien inet
hinzu. Damit der Routenfilter nur inet-vpn
Mit den Routen übereinstimmt, fügen Sie den Qualifikationsbequalifizierer für Familienrichtlinien inet-vpn
hinzu.
Der Familienqualifier wird ausgewertet, bevor der Routenfilter ausgewertet wird. Daher wird der Routenfilter nicht ausgewertet, wenn die Familienverbindung fehlschlägt. Die gleiche Logik gilt für Familie inet6
und Familie inet6-vpn
. Der im inet6
Beispiel verwendete Routenfilter muss eine IPv6-Adresse verwenden. Es gibt eine potenzielle Effizienzsteigerung bei der Verwendung eines Familienqualifiers, da der Familienqualifikationsgewinner vor den meisten anderen Qualifikationsrunden getestet wird, wodurch Routen von unerwünschten Familien schnell eliminiert werden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit]
CLI ein.
inet-Beispiel
set policy-options policy-statement specific-family from family inet set policy-options policy-statement specific-family from route-filter 0.0.0.0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Inet-vpn -Beispiel
set policy-options policy-statement specific-family from family inet-vpn set policy-options policy-statement specific-family from route-filter 0.0.0.0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
inet6 Beispiel
set policy-options policy-statement specific-family from family inet6 set policy-options policy-statement specific-family from route-filter 0::0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Inet6-vpn – Beispiel
set policy-options policy-statement specific-family from family inet6-vpn set policy-options policy-statement specific-family from route-filter 0::0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Datenstromzuordnung:
Konfigurieren Sie den Familienqualifizierer.
[edit policy-options] user@host# set policy-statement specific-family from family inet
Konfigurieren Sie den Routenfilter.
[edit policy-options] user@host# set policy-statement specific-family from route-filter 0.0.0.0/0 exact
Konfigurieren Sie die Richtlinienaktionen.
[edit policy-options] user@host# set policy-statement specific-family then next-hop self user@host# set policy-statement specific-family then accept
Wenden Sie die Richtlinie an.
[edit protocols bgp] user@host# set import specific-family
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den und show policy-options
den show protocols
Befehl ausstellen. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show protocols bgp { import specific-family; } user@host# show policy-options policy-statement specific-family { from { family inet; route-filter 0.0.0.0/0 exact; } then { next-hop self; accept; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Wiederholen Sie die Prozedur für jede Protokollfamilie, für die Sie eine bestimmte Route-Filter-Richtlinie benötigen.
Überprüfung
Führen Sie zum Überprüfen der Konfiguration die folgenden Befehle aus:
show route advertising-protocol bgp neighbor detail
show route instance instance-name detail
Grundlegendes zur Proxy-BGP-Routenzielfilterung für VPNs
Die BGP-Routenzielfilterung (auch als Route Target Constrain oder RTC bezeichnet) ermöglicht es Ihnen, VPN-Routen nur an die Geräte zu verteilen, die sie benötigen. In VPN-Netzwerken ohne BGP-Routenzielfilterung verteilt BGP alle VPN-Routen an alle VPN-Peer-Geräte, was Netzwerkressourcen überlasten kann. Die Funktion zur Filterung von Routenzielen wurde eingeführt, um die Anzahl der Geräte zu reduzieren, die VPN-Routen und VPN-Routing-Updates empfangen, wodurch der Aufwand für die Ausführung eines VPN begrenzt wird. Die Junos OS-Implementierung für die Filterung von BGP-Routenzielen basiert auf RFC 4684, Constrained Route Distribution for Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs).
Was ist, wenn Sie eine Netzwerkumgebung haben, in der Routenzielfilterung nicht weit verbreitet ist, oder was ist, wenn einige Geräte die Routenzielfilterung nicht unterstützen? Sie können beispielsweise einen BGP-Lautsprecher mit aktivierter Routenzielfilterung haben, der mit einem BGP-Lautsprecher peered wird, der die Routenzielfilterung nicht unterstützt oder konfiguriert hat. In diesem Fall muss der BGP-Sprecher mit konfigurierter Routenzielfilterung im Namen seines Peers standardroutenzielmitgliedschaft (RT-Mitgliedschaft) ankündigen. Die Ressourceneinsparungen der Routenzielfilterung sind nicht realisiert, da das Gerät, das die Filterung unterstützt, jetzt alle VPN-Routen an das Gerät senden muss, das den Filter nicht unterstützt. Proxy-BGP-Routenzielfilterung (oder Proxy RTC) ermöglicht die Generierung von RT-Mitgliedschaften für Geräte, die die Routenzielfilterung nicht unterstützen. Dies vereinfacht die Bereitstellung von Routenzielfilterung in Netzwerken, in denen sie unvollständig bereitgestellt oder nicht vollständig unterstützt werden.
Mithilfe der Proxy-BGP-Routenzielfilterung können Sie Ankündigungen für Proxy-RT-Mitgliedschaften, die von den empfangenen BGP-VPN-Routen erstellt wurden, an andere Geräte im Netzwerk verteilen, die sie benötigen. Diese werden als Proxy-Ankündigungen bezeichnet, weil das Gerät die RT-Mitgliedschaft im Namen seiner Peers erstellt, ohne dass die Filterfunktion des Routenziels besteht. Proxy-BGP-Routenzielfilterung verwendet erweiterte BGP-Routenziel-Communitys, die zur Erstellung der Routenziele an einen bestimmten BGP-Speaker exportiert werden. Generierte Proxy-RTC-Routen werden in der Routingtabelle bgp.rtarget.0 gespeichert.
Sie können auch eine Richtlinie konfigurieren, um zu steuern, welche VPN-Routen zum Generieren der Proxy-RTC-Routen verwendet werden. So können Sie steuern, welche RT-Mitgliedschaft vom Proxy-Gerät generiert wird. Darüber hinaus können Sie eine Richtlinie konfigurieren, um den Arbeitsspeicheraufwand für Proxy-RTC zu reduzieren. Proxy-RTC verwendet zusätzlichen Speicher nur auf Basis pro VPN-Route, wenn er von einer Richtlinie für die Erstellung einer RT-Mitgliedschaft verwendet werden darf.
Beispiel: Konfigurieren der Proxy-BGP-Routenzielfilterung für VPNs
In diesem Beispiel wird gezeigt, wie Sie die Proxy-BGP-Routenzielfilterung (auch Proxy-Routenzielbeschränkung oder Proxy-RTC genannt) konfigurieren.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Vier Geräte von Juniper Networks, die eine Kombination aus Routern der M-, MX- oder T-Serie sein können.
Junos OS Version 12.2 oder höher auf einem oder mehreren Geräten, die für proxy-BGP-Routenfilterung konfiguriert sind. In diesem Beispiel konfigurieren Sie explizit die Proxy-BGP-Routenfilterung für die Routenreflektoren.
Stellen Sie vor der Konfiguration der Proxy-BGP-Routenzielfilterung sicher, dass Sie mit den folgenden Konzepten vertraut sind und diese kennen:
Übersicht
Die Routenzielfilterung reduziert die Anzahl der Geräte in einem Netzwerk, die nicht benötigte VPN-Routen empfangen. Mithilfe der Proxy-BGP-Routenzielfilterung können Netzwerke die Vorteile der Routenzielfilterung an Standorten nutzen, an denen die Funktion derzeit nicht unterstützt wird. Durch die Konfiguration dieser Funktion können Sie viele der Netzwerkressourceneinsparungen erzielen, die Ihnen zur Verfügung stehen, wenn Ihr Netzwerk die BGP-Routenzielfilterung vollständig unterstützt.
Um die Proxy-BGP-Routenzielfilterung zu konfigurieren, fügen Sie die family route-target proxy-generate
Anweisung auf den Geräten ein, die Proxy-Routenziel-Mitgliedschafts-Ankündigungen (RT-Mitgliedschaft) für die Geräte verteilen, die die BGP-Routenzielfilterung nicht unterstützen. Die Proxy-BGP-Routenzielfilterungsrouten werden dann in der Routingtabelle bgp.rtarget.0 gespeichert.
Proxy-BGP-Routenzielfilterung soll RT-Mitgliedschafts-Ankündigungen für Geräte erstellen, die die BGP-Routingzielfilterungsfunktion nicht unterstützen. Wenn die proxy-generate
Anweisung vorhanden ist, aber die Routenzielfamilie mit dem BGP-Peer ausgehandelt wird, wird die Proxy-generieren-Funktionalität deaktiviert. Dies ermöglicht eine vereinfachte Konfiguration von BGP-Peergruppen, bei denen ein Teil der Peers in der Gruppe Routenzielfilterung unterstützt, andere jedoch nicht. In einem solchen Beispielfall könnte die family route-target proxy-generate
Anweisung Teil der BGP-Peergruppenkonfiguration sein.
Bei der Bereitstellung von Proxy-BGP-Routenzielfilterung in Ihrem Netzwerk bewirkt die Anweisung für die advertise-default
BGP-Routenzielfilterung, dass das Gerät die Standard-Route-Zielroute (0:0:0/0) ankündt und alle spezifischeren Routen unterdrückt. Wenn Die Proxy-BGP-Routenzielfilterung auf einem Gerät konfiguriert ist und bei einem oder mehreren Peers die advertise-default
Anweisung als Teil ihrer BGP-Routenzielfilterung konfiguriert ist, wird die Standardkonfiguration ignoriert.
Topologiediagramm
Abbildung 3 zeigt die in diesem Beispiel verwendete Topologie.
In diesem Beispiel wird die BGP-Routenzielfilterung auf den Routenreflektoren (Gerät RR1 und Geräte RR2) und Dem Provider Edge-Gerät (PE) konfiguriert, das andere PE, Device PE1, unterstützt die BGP-Routenzielfilterfunktion nicht. Geräte-PE2 hat vier VPNs konfiguriert (vpn1, vpn2, vpn3 und vpn4). Gerät PE1 hat zwei VPNs konfiguriert (vpn1 und vpn2), sodass dieses Gerät nur daran interessiert ist, Routenaktualisierungen für vpn1 und vpn2 zu erhalten. Derzeit ist dies unmöglich, da beide Routenreflektoren (Gerät RR1 und Gerät RR2) informationen über alle eingehenden VPN-Routen (vpn1 bis vpn4) mit Geräte PE1 lernen und teilen. In der Beispieltopologie nehmen alle Geräte am Autonomen System (AS) 203 teil, OSPF ist das konfigurierte Interior Gateway Protocol (IGP) und LDP ist das Signalisierungsprotokoll, das von den VPNs verwendet wird. In diesem Beispiel verwenden wir statische Routen in den VPN-Routing- und Weiterleitungsinstanzen (VRF), um VPN-Routen zu generieren. Dies geschieht an Stelle der Verwendung eines PE to Customer Edge (CE)-Protokolls wie OSPF oder BGP.
Um die Anzahl der vpn-Routenaktualisierungen, die von Geräte-PE1 verarbeitet werden, zu minimieren, fügen Sie die Anweisung zur Konfiguration der family route-target proxy-generate
Proxy-BGP-Routenzielfilterung in jeden Route Reflector ein. Jeder Route Reflector verfügt über eine Peering-Sitzung mit Geräte-PE1 und unterstützt die Filterung von Routenzielen zum Core. Geräte-PE1 unterstützt jedoch keine Routenzielfilterung, sodass die Einsparungen an Netzwerkressourcen durch Geräte-PE1 nicht realisiert werden, da es alle VPN-Updates empfängt. Durch die Konfiguration der Proxy-BGP-Routenzielfilterung für die Peering-Sitzungen mit Geräte-PE1 begrenzen Sie die Anzahl der vpn-Updates, die von Geräte-PE1 verarbeitet werden, und die Routenreflektoren generieren die Proxy-BGP-Routenzielrouten für Geräte-PE1 im gesamten Netzwerk.
Konfiguration
- CLI-Schnellkonfiguration
- Konfiguration von Geräte-PE1
- Konfigurieren des Geräts RR1
- Konfigurieren des Geräts RR2
- Konfiguration von Geräte-PE2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit]
CLI ein.
Gerät PE1
set interfaces ge-1/0/0 unit 0 description PE1-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE1-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.49.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.163.58 set protocols bgp group internal neighbor 10.255.165.220 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.165.28 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.163.58 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard
Gerät RR1
set interfaces ge-1/0/0 unit 0 description RR1-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR1-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.0.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 198.51.100.1 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.168.42 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.220 set routing-options autonomous-system 203
Gerät RR2
set interfaces ge-1/0/0 unit 0 description RR2-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.10.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR2-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.165.28 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.168.42 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.28 set routing-options autonomous-system 203
Geräte-PE2
set interfaces ge-1/0/0 unit 0 description PE2-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.50.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE2-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.168.42 set protocols bgp group internal family inet-vpn unicast set protocols bgp group internal family route-target set protocols bgp group internal neighbor 10.255.165.220 set protocols bgp group internal neighbor 10.255.165.28 set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.168.42 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard set routing-instances vpn3 instance-type vrf set routing-instances vpn3 vrf-target target:203:103 set routing-instances vpn3 routing-options static route 203.0.113.3/24 discard set routing-instances vpn4 instance-type vrf set routing-instances vpn4 vrf-target target:203:104 set routing-instances vpn4 routing-options static route 203.0.113.4/24 discard
Konfiguration von Geräte-PE1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Geräte-PE1:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@PE1# set ge-1/0/0 unit 0 description PE1-to-RR1 user@PE1# set ge-1/0/0 unit 0 family inet address 10.49.0.1/30 user@PE1# set ge-1/0/0 unit 0 family mpls user@PE1# set ge-1/0/1 unit 0 description PE1-to-RR2 user@PE1# set ge-1/0/1 unit 0 family inet address 10.49.10.1/30 user@PE1# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@PE1# set route-distinguisher-id 10.255.163.58 user@PE1# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@PE1# set type internal user@PE1# set local-address 10.255.163.58 user@PE1# set neighbor 10.255.165.220 family inet-vpn unicast user@PE1# set neighbor 10.255.165.28 family inet-vpn unicast
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1 user@PE1# set interface lo0.0 passive
Konfigurieren Sie die VPN-Routing-Instanzen.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:100 user@PE1# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:101 user@PE1# set routing-options static route 203.0.113.2/24 discard
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@PE1# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle , show protocols
, show routing-options
und show routing-instances
eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@PE1# show interfaces ge-1/0/0 { unit 0 { description PE1-to-RR1; family inet { address 10.49.0.1/30; } family mpls; } } ge-1/0/1 { unit 0 { description PE1-to-RR2; family inet { address 10.49.10.1/30; } family mpls; } }
user@PE1# show protocols bgp { group internal { type internal; local-address 10.255.163.58; neighbor 10.255.165.220 { family inet-vpn { unicast; } } neighbor 10.255.165.28 { family inet-vpn { unicast; } } } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@PE1# show routing-options route-distinguisher-id 10.255.14.182; autonomous-system 203;
user@PE1# show routing-instances vpn1 { instance-type vrf; vrf-target target:203:100; routing-options { static { route 203.0.113.1/24 discard; } } } vpn2 { instance-type vrf; vrf-target target:203:101; routing-options { static { route 203.0.113.2/24 discard; } } }
Konfigurieren des Geräts RR1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie das Gerät RR1:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@RR1# set ge-1/0/0 unit 0 description RR1-to-PE1 user@RR1# set ge-1/0/0 unit 0 family inet address 10.49.0.2/30 user@RR1# set ge-1/0/0 unit 0 family mpls user@RR1# set ge-1/0/1 unit 0 description RR1-to-PE2 user@RR1# set ge-1/0/1 unit 0 family inet address 10.50.0.2/30 user@RR1# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@RR1# set route-distinguisher-id 10.255.165.220 user@RR1# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@RR1# set type internal user@RR1# set local-address 10.255.165.220 user@RR1# set cluster 198.51.100.1 user@RR1# set neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast user@RR1# set neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast
Konfigurieren Sie die BGP-Routenzielfilterung für die Peering-Sitzung mit Geräte-PE2.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.168.42 family route-target
Konfigurieren Sie die Proxy-BGP-Routenzielfilterung in der Peering-Sitzung mit Geräte-PE1.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.163.58 family route-target proxy-generate
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1 user@RR1# set interface lo0.0 passive
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@RR1# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show protocols
und show routing-options
die show interfaces
Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@RR1# show interfaces ge-1/0/0 { unit 0 { description RR1-to-PE1; family inet { address 10.49.0.2/30; } family mpls; } } ge-1/0/1 { unit 0 { description RR1-to-PE2; family inet { address 10.50.0.2/30; } family mpls; } }
user@RR1# show protocols bgp { group internal { type internal; local-address 198.51.100.1; cluster 198.51.100.1; neighbor 10.255.163.58 { description vpn1-to-pe1; family inet-vpn { unicast; } family route-target { proxy-generate; } } neighbor 10.255.168.42 { description vpn1-to-pe2; family inet-vpn { unicast; } family route-target; } } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@RR1# show routing-options route-distinguisher-id 10.255.165.220; autonomous-system 203;
Konfigurieren des Geräts RR2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Das Gerät RR2:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@RR2# set ge-1/0/0 unit 0 description RR2-to-PE1 user@RR2# set ge-1/0/0 unit 0 family inet address 10.49.10.2/30 user@RR2# set ge-1/0/0 unit 0 family mpls user@RR2# set ge-1/0/1 unit 0 description RR2-to-PE2 user@RR2# set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@RR2# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@RR2# set route-distinguisher-id 10.255.165.28 user@RR2# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@RR2# set type internal user@RR2# set local-address 10.255.165.28 user@RR2# set cluster 198.51.100.1 user@RR2# set neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast user@RR2# set neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast
Konfigurieren Sie die BGP-Routenzielfilterung für die Peering-Sitzung mit Geräte-PE2.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.168.42 family route-target
Konfigurieren Sie die Proxy-BGP-Routenzielfilterung in der Peering-Sitzung mit Geräte-PE1.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.163.58 family route-target proxy-generate
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1 user@RR2# set interface lo0.0 passive
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@RR2# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle und show routing-options
show protocols
die Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@RR2# show interfaces ge-1/0/0 { unit 0 { description RR2-to-PE1; family inet { address 10.49.10.2/30; } family mpls; } } ge-1/0/1 { unit 0 { description RR2-to-PE2; family inet { address 10.50.10.2/30; } family mpls; } }
user@RR2# show protocols bgp { group internal { local-address 10.255.165.28; cluster 198.51.100.1; neighbor 10.255.163.58 { description vpn2-to-pe1; family inet-vpn { unicast; } family route-target { proxy-generate; } } neighbor 10.255.168.42 { description vpn2-to-pe2; family inet-vpn { unicast; } family route-target; } } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@RR2# show routing-options route-distinguisher-id 10.255.165.28; autonomous-system 203;
Konfiguration von Geräte-PE2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Geräte-PE2:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@PE2# set ge-1/0/0 unit 0 description PE2-to-RR1 user@PE2# set ge-1/0/0 unit 0 family inet address 10.50.0.1/30 user@PE2# set ge-1/0/0 unit 0 family mpls user@PE2# set ge-1/0/1 unit 0 description PE2-to-RR2 user@PE2# set ge-1/0/1 unit 0 family inet address 10.50.10.1/30 user@PE2# set ge-1/0/1 unit 0 family mpls
Konfigurieren Sie den Routenscheider und die AS-Nummer.
[edit routing-options] user@PE2# set route-distinguisher-id 10.255.168.42 user@PE2# set autonomous-system 203
Konfigurieren Sie LDP als das vom VPN verwendete Signalisierungsprotokoll.
[edit protocols ldp] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1
Konfigurieren Sie BGP.
[edit protocols bgp group internal] user@PE2# set type internal user@PE2# set local-address 10.255.168.42 user@PE2# set family inet-vpn unicast user@PE2# set family route-target user@PE2# set neighbor 10.255.165.220 user@PE2# set neighbor 10.255.165.28
Konfigurieren Sie OSPF.
[edit protocols ospf area 0.0.0.0] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1 user@PE2# set interface lo0.0 passive
Konfigurieren Sie die VPN-Routing-Instanzen.
[edit routing-instances vpn1] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:100 user@PE2# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:101 user@PE2# set routing-options static route 203.0.113.2/24 discard
[edit routing-instances vpn3] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:103 user@PE2# set routing-options static route 203.0.113.3/24 discard
[edit routing-instances vpn4] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:104 user@PE2# set routing-options static route 203.0.113.4/24 discard
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@PE2# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle , show protocols
, show routing-options
und show routing-instances
eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@PE2# show interfaces ge-1/0/0 { unit 0 { description PE2-to-RR1; family inet { address 10.50.0.1/30; } family mpls; } } ge-1/0/1 { unit 0 { description PE2-to-RR2; family inet { address 10.50.10.1/30; } family mpls; } }
user@PE2# show protocols bgp { group internal { type internal; local-address 10.255.168.42; family inet-vpn { unicast; } family route-target; neighbor 10.255.165.220; neighbor 10.255.165.28; } } ospf { area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/1.0; interface lo0.0 { passive; } } } ldp { interface ge-1/0/0.0; interface ge-1/0/1.0; }
user@PE2# show routing-options route-distinguisher-id 10.255.168.42; autonomous-system 203;
user@PE2# show routing-instances vpn1 { instance-type vrf; vrf-target target:203:100; routing-options { static { route 203.0.113.1/24 discard; } } } vpn2 { instance-type vrf; vrf-target target:203:101; routing-options { static { route 203.0.113.2/24 discard; } } } vpn3 { instance-type vrf; vrf-target target:203:103; routing-options { static { route 203.0.113.3/24 discard; } } } vpn4 { instance-type vrf; vrf-target target:203:104; routing-options { static { route 203.0.113.4/24 discard; } } }
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung der Proxy-BGP-Route-Zielrouten
Zweck
Stellen Sie sicher, dass die Proxy-BGP-Routenzielrouten in der Tabelle bgp.rtarget.0 auf Gerät RR1 angezeigt werden.
Aktion
Geben Sie im Betriebsmodus den show route table bgp.rtartget.0
Befehl ein, um die Proxy-BGP-Routenziele anzuzeigen.
user@RR1# show route table bgp.rtarget.0 4 destinations, 6 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 203:203:100/96 *[RTarget/5] 00:01:22 Type Proxy for 10.255.163.58 Local [BGP/170] 00:04:55, localpref 100, from 10.255.168.42 AS path: I, validation-state: unverified > to 10.50.0.1 via ge-1/0/1 203:203:101/96 *[RTarget/5] 00:01:22 Type Proxy for 10.255.163.58 Local [BGP/170] 00:04:55, localpref 100, from 10.255.168.42 AS path: I, validation-state: unverified > to 10.50.0.1 via ge-1/0/1 203:203:103/96 *[BGP/170] 00:04:55, localpref 100, from 10.255.168.42 AS path: I, validation-state: unverified > to 10.50.0.1 via ge-1/0/1 203:203:104/96 *[BGP/170] 00:04:55, localpref 100, from 10.255.168.42 AS path: I, validation-state: unverified > to 10.50.0.1 via ge-1/0/1
Bedeutung
Gerät RR1 generiert die Proxy-BGP-Route-Zielrouten im Auftrag seines Peer-Gerätes PE1. Die Proxy-BGP-Routenzielrouten werden mit dem Protokoll und der Präferenz [RTarget/5]
und dem Routenzieltyp von Proxy
identifiziert.