Configuration de l’origine de route pour les VPN
Vous pouvez utiliser route origin pour empêcher les routes apprises à partir d’un routeur CE marqué avec origin community d’être annoncées à partir d’un autre routeur CE dans le même AS.
Dans l’exemple, l’origine de route est utilisée pour empêcher les routes apprises à partir du routeur CE A qui sont marquées avec la communauté d’origine d’être annoncées vers le routeur CE E par AS 200. L’exemple de topologie illustré à la Figure 1.
Dans cette topologie, le routeur CE A et le routeur CE E se trouvent dans le même AS (AS200). Ils utilisent EBGP pour échanger des routes avec leurs routeurs PE respectifs, le routeur PE B et le routeur PE D. Les deux routeurs CE disposent d’une connexion arrière.
Les sections suivantes décrivent comment configurer l’origine de route d’un groupe de VPN :
Configuration de la communauté du site d’origine sur le routeur CE A
La section suivante décrit comment configurer le routeur CE A pour annoncer des routes avec une communauté de site d’origine au routeur PE B pour cet exemple.
Dans cet exemple, les itinéraires directs sont configurés pour être annoncés, mais n’importe quel itinéraire peut être configuré.
Configurez une stratégie pour annoncer les routes avec my-soo la communauté sur le routeur CE A comme suit :
[edit]
policy-options {
policy-statement export-to-my-isp {
term a {
from {
protocol direct;
}
then {
community add my-soo;
accept;
}
}
}
}
Configuration de la communauté sur le routeur CE A
Configurez la communauté sur le my-soo routeur CE A comme suit :
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Application de la déclaration de stratégie sur le routeur CE A
Appliquez l’énoncé de stratégie d’exportation vers mon FAI en tant que stratégie d’exportation à l’appairage EBGP sur le routeur CE A comme suit :
[edit]
protocols {
bgp {
group my_isp {
export export-to-my-isp;
}
}
}
Lorsque vous émettez la show route receive-protocol bgp detail commande, vous devez voir les routes suivantes provenant du routeur PE B avec my-soo la communauté :
user@host> show route receive-protocol bgp 10.12.99.2 detail
inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden)
* 10.12.33.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
10.12.99.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 10.255.71.177/32 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 192.168.64.0/21 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
__juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0
hidden)
Configuration de la stratégie sur le routeur PE D
Configurez une stratégie sur le routeur PE D qui empêche les routes avec my-soo balisage communautaire par le routeur CE A d’être annoncées sur le routeur CE E comme suit :
[edit]
policy-options {
policy-statement soo-ce1-policy {
term a {
from {
community my-soo;
then {
reject;
}
}
}
}
}
Configuration de la communauté sur le routeur PE D
Configurez la communauté sur le routeur PE D comme suit :
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
Application de la stratégie sur le routeur PE D
Pour éviter que les routes apprises à partir du routeur CE A ne soient annoncées au routeur CE E (les deux routeurs peuvent communiquer ces routes directement), appliquez l’instruction de soo-ce1-policy stratégie en tant que stratégie d’exportation à la session vpn_blueEBGP du routeur PE D et du routeur CE E .
Affichez la session EBGP sur le routeur PE D à l’aide de la show routing-instances commande.
user@host# show routing-instances
vpn_blue {
instance-type vrf;
interface fe-2/0/0.0;
vrf-target target:100:200;
protocols {
bgp {
group ce2 {
advertise-peer-as;
peer-as 100;
neighbor 10.12.99.6;
}
}
}
}
Appliquez l’énoncé soo-ce1-policy de stratégie en tant que stratégie d’exportation à la session vpn_blue EBGP du routeur PE D et du routeur CE E comme suit :
[edit routing-instances]
vpn_blue {
protocols {
bgp {
group ce2{
export soo-ce1-policy;
}
}
}
}