Configuration de l’origine de la route pour les VPN
Vous pouvez utiliser l’origine de l’itinéraire pour empêcher que les itinéraires appris à partir d’un périphérique client (CE) routeur marqué avec une communauté d’origine ne lui soient renvoyés à partir d’un autre routeur CE dans le même AS.
Dans l’exemple, l’origine de la route est utilisée pour empêcher les routes apprises à partir du routeur CE A qui sont marquées avec la communauté d’origine d’être annoncées vers le routeur CE E par l’AS 200. L’exemple de topologie est illustré à la figure 1.
Dans cette topologie, le routeur CE A et le routeur CE E sont dans le même AS (AS200). Ils utilisent l’EBGP pour échanger des routes avec leurs routeurs de périphérie (PE) respectifs, le routeur PE B et le routeur PE D. Les deux routeurs CE ont une connexion arrière.
Les sections suivantes décrivent comment configurer l’origine de la route pour un groupe de VPN :
Configuration de la communauté du site d’origine sur le routeur CE A
La section suivante décrit comment configurer le routeur CE A pour annoncer les routes avec une communauté de site d’origine au routeur PE B pour cet exemple.
Dans cet exemple, les routes directes sont configurées pour être annoncées, mais n’importe quelle route peut être configurée.
Configurez une stratégie pour publier des routes avec my-soo la communauté sur le routeur CE A comme suit :
[edit]
policy-options {
policy-statement export-to-my-isp {
term a {
from {
protocol direct;
}
then {
community add my-soo;
accept;
}
}
}
}
Configuration de la communauté sur le routeur A de ce CE
Configurez la communauté sur le my-soo routeur CE A comme suit :
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Application de l’énoncé de stratégie sur le routeur CE A
Appliquez l’instruction de stratégie d’exportation vers mon-FAI en tant que stratégie d’exportation à l’appairage EBGP sur le routeur CE A comme suit :
[edit]
protocols {
bgp {
group my_isp {
export export-to-my-isp;
}
}
}
Lorsque vous exécutez la show route receive-protocol bgp detail commande, vous devez voir les routes suivantes provenant du routeur PE B avec my-soo la communauté :
user@host> show route receive-protocol bgp 10.12.99.2 detail
inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden)
* 10.12.33.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
10.12.99.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 10.255.71.177/32 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 192.168.64.0/21 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
__juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0
hidden)
Configuration de la stratégie sur le routeur PE D
Configurez une stratégie sur le routeur PE D qui empêche les routes avec my-soo une communauté balisée par le routeur CE A d’être annoncées au routeur CE E comme suit :
[edit]
policy-options {
policy-statement soo-ce1-policy {
term a {
from {
community my-soo;
then {
reject;
}
}
}
}
}
Configuration de la communauté sur le routeur PE D
Configurez la communauté sur le routeur PE D comme suit :
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Application de la stratégie sur le routeur PE D
Pour éviter que les routes apprises à partir du routeur CE A ne soient annoncées sur le routeur CE E (les deux routeurs peuvent communiquer ces routes directement), appliquez l’instruction de soo-ce1-policy stratégie en tant que stratégie d’exportation à la session vpn_blueEBGP du routeur PE D et du routeur CE E.
Affichez la session EBGP sur le routeur PE D à l’aide de la show routing-instances commande.
user@host# show routing-instances
vpn_blue {
instance-type vrf;
interface fe-2/0/0.0;
vrf-target target:100:200;
protocols {
bgp {
group ce2 {
advertise-peer-as;
peer-as 100;
neighbor 10.12.99.6;
}
}
}
}
Appliquez l’énoncé de soo-ce1-policy stratégie en tant que stratégie d’exportation à la session vpn_blue EBGP du routeur PE D et du routeur CE E comme suit :
[edit routing-instances]
vpn_blue {
protocols {
bgp {
group ce2{
export soo-ce1-policy;
}
}
}
}