Configuration des stratégies pour la table VRF sur les routeurs PE dans les VPN
Sur chaque routeur PE, vous devez définir des stratégies qui définissent la manière dont les routes sont importées et exportées à partir de la table VRF du routeur. Dans ces stratégies, vous devez définir la cible de routage et, si vous le souhaitez, définir l’origine de l’itinéraire.
Pour configurer la stratégie pour les tables VRF, procédez comme suit dans les sections suivantes :
Configuration de la cible de routage
Dans le cadre de la configuration de stratégie de la table de routage VPN, vous devez définir une cible de routage, qui définit le VPN dont la route fait partie. Lorsque vous configurez différents types de services VPN (VPN de couche 2, VPN de couche 3, EVPN ou VPLS) sur le même routeur PE, veillez à attribuer des valeurs de route cible uniques afin d’éviter d’ajouter des informations de route et de signalisation à la mauvaise table de routage VPN.
Pour configurer la cible de route, incluez l’option target dans l’instruction community :
community name members target:community-id;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
name est le nom de la communauté.
community-id est l’identifiant de la communauté. Spécifiez-le dans l’un des formats suivants :
as-number:number, oùas-numberest un nombre AS (une valeur de 2 octets) etnumberest une valeur de communauté de 4 octets. Le nombre AS peut être compris entre 1 et 65 535. Nous vous recommandons d’utiliser un numéro AS non privé attribué par l’IANA, de préférence le numéro AS du FAI ou du client. La valeur de la communauté peut être un nombre compris entre 0 et 4 294 967 295 (232 – 1).ip-address:number, oùip-addressest une adresse IPv4 (une valeur de 4 octets) etnumberest une valeur de communauté de 2 octets. L’adresse IP peut être n’importe quelle adresse unicast unique au monde. Nous vous recommandons d’utiliser l’adresse que vous configurez dans l’instruction, qui est une adresse non privée dans larouter-idplage de préfixes qui vous a été attribuée. La valeur de la communauté peut être un nombre compris entre 1 et 65 535.
Configuration de l’origine de l’itinéraire
Dans les stratégies d’importation et d’exportation de la table VRF du routeur PE, vous pouvez éventuellement affecter l’origine de route (également appelée site d’origine) aux routes VRF d’un routeur PE à l’aide d’une stratégie d’exportation VRF appliquée aux mises à jour de route IPv4 du VPN BGP BGP EXTERNE MULTIPROTOCOLE (MP-EBGP) envoyées à d’autres routeurs PE.
La mise en correspondance sur l’attribut d’origine de route affecté dans la stratégie d’importation VRF d’un PE récepteur permet de s’assurer que les routes VPN-IPv4 apprises via les mises à jour MP-EBGP d’un PE ne sont pas réimportées vers le même site VPN à partir d’un autre PE connecté au même site.
Pour configurer l’origine d’un itinéraire, procédez comme suit :
Incluez l’énoncé
communityavec l’optionorigin:community name members origin:community-id;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit policy-options][edit logical-systems logical-system-name policy-options]
nameest le nom de la communauté.community-idest l’identifiant de la communauté. Spécifiez-le dans l’un des formats suivants :as-number:number, oùas-numberest un nombre AS (une valeur de 2 octets) etnumberest une valeur de communauté de 4 octets. Le nombre AS peut être compris entre 1 et 65 535. Nous vous recommandons d’utiliser un numéro AS non privé attribué par l’IANA, de préférence le numéro AS du FAI ou du client. La valeur de la communauté peut être un nombre compris entre 0 et 4 294 967 295 (232 – 1).ip-address:number, oùip-addressest une adresse IPv4 (une valeur de 4 octets) etnumberest une valeur de communauté de 2 octets. L’adresse IP peut être n’importe quelle adresse unicast unique au monde. Nous vous recommandons d’utiliser l’adresse que vous configurez dans l’instruction, qui est une adresse non privée dans larouter-idplage de préfixes qui vous a été attribuée. La valeur de la communauté peut être un nombre compris entre 1 et 65 535.
Incluez la communauté dans la stratégie d’importation de la table VRF du routeur PE en configurant l’instruction
communityavec l’identificateurcommunity-iddéfini à l’étape 1 au niveau de la[edit policy-options policy-statement import-policy-name term import-term-name from]hiérarchie. Reportez-vous à la section Configuration d’une stratégie d’importation pour la table VRF du routeur PE.Si la clause de
fromla stratégie ne spécifie pas de condition de communauté, l’instructionvrf-importdans laquelle la stratégie est appliquée ne peut pas être validée. L’opération de validation Junos OS ne passe pas le contrôle de validation.Incluez la communauté dans la stratégie d’exportation de la table VRF du routeur PE en configurant l’instruction
communityavec l’identificateurcommunity-iddéfini à l’étape 1 au niveau de la[edit policy-options policy-statement export-policy-name term export-term-name then]hiérarchie. Reportez-vous à la section Configuration d’une stratégie d’exportation pour la table VRF du routeur PE.
Reportez-vous à la section Configuration de l’origine de route pour les VPN pour obtenir un exemple de configuration.
Configuration d’une stratégie d’importation pour la table VRF du routeur PE
Chaque VPN peut disposer d’une stratégie qui définit la manière dont les routes sont importées dans la table VRF du routeur PE. Une stratégie d’importation est appliquée aux routes reçues d’autres routeurs PE dans le VPN. Une stratégie doit évaluer toutes les routes reçues sur la session IBGP avec le routeur PE pair. Si les routes correspondent aux conditions, la route est installée dans la table VRF du routing-instance-name.inet.0 routeur PE. Une stratégie d’importation doit contenir une deuxième clause qui rejette toutes les autres routes.
À moins qu’une stratégie d’importation ne contienne qu’une then reject déclaration, elle doit inclure une référence à une communauté. Dans le cas contraire, lorsque vous tentez de valider la configuration, celle-ci échoue. Vous pouvez configurer plusieurs stratégies d’importation.
Une stratégie d’importation détermine ce qu’il faut importer dans une table VRF spécifiée en fonction des routes VPN apprises des routeurs PE distants via IBGP. La session IBGP est configurée au niveau de la [edit protocols bgp] hiérarchie. Si vous configurez également une stratégie d’importation au niveau hiérarchique [edit protocols bgp] , les stratégies d’importation au [edit policy-options] niveau hiérarchique et au niveau hiérarchique [edit protocols bgp] sont combinées par le biais d’une opération AND logique. Cela vous permet de filtrer le trafic en tant que groupe.
Pour configurer une stratégie d’importation pour la table VRF du routeur PE, procédez comme suit :
Pour définir une stratégie d’importation, incluez l’instruction
policy-statement. Pour tous les routeurs PE, une stratégie d’importation doit toujours inclure l’instructionpolicy-statement, au minimum :policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }Vous pouvez inclure l’instruction
policy-statementaux niveaux hiérarchiques suivants :[edit policy-options][edit logical-systems logical-system-name policy-options]
La
import-policy-namestratégie évalue toutes les routes reçues via la session IBGP avec l’autre routeur PE. Si les routes correspondent aux conditions de l’instructionfrom, la route est installée dans la table VRF .inet.0 du routing-instance-namerouteur PE. Le deuxième terme de la politique rejette toutes les autres voies.Pour plus d’informations sur la création de stratégies, reportez-vous au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Vous pouvez éventuellement utiliser une expression régulière pour définir un ensemble de communautés à utiliser pour la stratégie d’importation VRF.
Par exemple, vous pouvez configurer les éléments suivants à l’aide de l’instruction
communityau niveau de la[edit policy-options policy-statement policy-statement-name]hiérarchie :[edit policy-options vrf-import-policy-sample] community high-priority members *:50
Notez que vous ne pouvez pas configurer une expression régulière dans le cadre d’une communauté étendue de cible de routage. Pour plus d’informations sur la configuration des expressions régulières pour les communautés, consultez Comment les communautés BGP et les communautés étendues sont évaluées dans les conditions de correspondance de la stratégie de routage.
Pour configurer une stratégie d’importation, incluez l’instruction
vrf-importsuivante :vrf-import import-policy-name;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuration d’une stratégie d’exportation pour la table VRF du routeur PE
Chaque VPN peut disposer d’une stratégie qui définit la manière dont les routes sont exportées à partir de la table VRF du routeur PE. Une stratégie d’exportation est appliquée aux routes envoyées à d’autres routeurs PE dans le VPN. Une stratégie d’exportation doit évaluer toutes les routes reçues via la session de protocole de routage avec le routeur CE. (Cette session peut utiliser les protocoles de routage BGP, OSPF ou RIP (Routing Information Protocol), ou des routes statiques.) Si les routes correspondent aux conditions, la cible de communauté spécifiée (qui est la cible de route) leur est ajoutée et elles sont exportées vers les routeurs PE distants. Une politique d’exportation doit contenir une deuxième clause qui rejette toutes les autres voies.
Les stratégies d’exportation définies dans l’instance de routage VPN sont les seules stratégies d’exportation qui s’appliquent à la table VRF. Toute stratégie d’exportation que vous définissez sur la session IBGP entre les routeurs PE n’a aucun effet sur la table VRF. Vous pouvez configurer plusieurs stratégies d’exportation.
Pour configurer une stratégie d’exportation pour la table VRF du routeur PE, procédez comme suit :
Pour tous les routeurs PE, une stratégie d’exportation doit distribuer les routes VPN vers et depuis les routeurs CE connectés en fonction du type de protocole de routage que vous configurez entre les routeurs CE et PE au sein de l’instance de routage.
Pour définir une stratégie d’exportation, incluez l’instruction
policy-statement. Une politique d’exportation doit toujours inclure l’énoncépolicy-statementsuivant :policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }Note:La configuration de l’instruction
community addest requise pour les stratégies d’exportation VRF VPN de couche 2. Si vous remplacez l’instructioncommunity addpar l’instructioncommunity set, le routeur à la sortie de la liaison VPN de couche 2 peut abandonner la connexion.Note:Lors de la configuration de VPN multicast draft-rosen fonctionnant en mode spécifique à la source et de l’utilisation de l’instruction
vrf-exportpour spécifier la stratégie d’exportation, la stratégie doit avoir un terme qui accepte les routes de la table de routage vrf-name.mdt.0. Ce terme garantit une découverte automatique PE correcte à l’aide de la famille d’adressesinet-mdt.Lors de la configuration de VPN multicast draft-rosen fonctionnant en mode spécifique à la source et à l’aide de l’instruction
vrf-target, la stratégie d’exportation VRF est générée automatiquement et accepte automatiquement les routes de la table de routage vrf-name.mdt.0.Vous pouvez inclure l’instruction
policy-statementaux niveaux hiérarchiques suivants :[edit policy-options][edit logical-systems logical-system-name policy-options]
La
export-policy-namestratégie évalue toutes les routes reçues via la session de protocole de routage avec le routeur CE. (Cette session peut utiliser les protocoles de routage BGP, OSPF ou RIP, ou des routes statiques.) Si les routes correspondent aux conditions de l’instructionfrom, la cible de communauté spécifiée dans l’instructionthen community addleur est ajoutée et elles sont exportées vers les routeurs PE distants. Le deuxième terme de la politique rejette toutes les autres voies.Pour plus d’informations sur la création de stratégies, reportez-vous au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Pour appliquer la stratégie, incluez l’énoncé
vrf-exportsuivant :vrf-export export-policy-name;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Application des stratégies d’exportation VRF et BGP
Lorsque vous appliquez une stratégie d’exportation VRF comme décrit dans Configuration d’une stratégie d’exportation pour la table VRF du routeur PE, les routes des instances de routage VPN sont annoncées aux autres routeurs PE en fonction de cette stratégie, tandis que la stratégie d’exportation BGP est ignorée.
Si vous incluez l’instruction vpn-apply-export dans la configuration BGP, les stratégies d’exportation VRF et d’exportation de groupe BGP ou de voisinage sont appliquées (VRF d’abord, puis BGP) avant que les routes ne soient annoncées dans les tables de routage VPN vers d’autres routeurs PE.
Lorsqu’un équipement PE agit également en tant que réflecteur de route (RR) ou routeur de limite de système autonome (ASBR) dans un VPN Carrier-over-Carrier ou inter-AS, la manipulation du saut suivant dans la stratégie vrf-export est ignorée.
Lorsque vous incluez l’instruction vpn-apply-export , tenez compte des points suivants :
Les routes importées dans la table de routage bgp.l3vpn.0 conservent les attributs des routes d’origine (par exemple, une route OSPF reste une route OSPF même lorsqu’elle est stockée dans la table de routage bgp.l3vpn.0). Vous devez en tenir compte lorsque vous configurez une stratégie d’exportation pour les connexions entre un routeur IBGP PE et un routeur PE, un réflecteur de route et un routeur PE, ou des routeurs homologues ASBR (AS boundary router).
Par défaut, toutes les routes de la table de routage bgp.l3vpn.0 sont exportées vers les homologues IBGP. Si la dernière instruction de la stratégie d’exportation est « Tout refuser » et si la stratégie d’exportation ne correspond pas spécifiquement aux routes de la table de routage bgp.l3vpn.0, aucune route n’est exportée.
Pour appliquer les stratégies d’exportation VRF et BGP aux routes VPN, incluez l’instruction vpn-apply-export suivante :
vpn-apply-export;
Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez inclure cette instruction, reportez-vous à la section Résumé de cette instruction.
Configuration d’une cible VRF
L’inclusion de l’instruction vrf-target dans la configuration d’une communauté cible VRF entraîne la génération par défaut de stratégies d’importation et d’exportation VRF qui acceptent et balisent les routes avec la communauté cible spécifiée. Vous pouvez toujours créer des stratégies plus complexes en configurant explicitement des stratégies d’importation et d’exportation VRF. Ces stratégies remplacent les stratégies par défaut générées lorsque vous configurez l’instruction vrf-target .
Si vous ne configurez pas les import options et export de l’instruction vrf-target , la chaîne de communauté spécifiée est appliquée dans les deux sens. Les import mots-clés et export vous donnent plus de flexibilité, vous permettant de spécifier une communauté différente pour chaque direction.
La syntaxe de la communauté cible VRF n’est pas un nom. Vous devez le spécifier au format target:x:y. Il n’est pas possible de spécifier un nom de communauté, car cela vous obligerait également à configurer les membres de cette communauté à l’aide de l’instruction policy-options . Si vous définissez les instructions, vous pouvez simplement configurer les policy-options stratégies d’importation et d’exportation VRF comme d’habitude. Le but de l’instruction vrf-target est de simplifier la configuration en vous permettant de configurer la plupart des instructions au niveau de la [edit routing-instances] hiérarchie.
Pour configurer une cible VRF, incluez l’instruction vrf-target suivante :
vrf-target community;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Voici un exemple de la façon dont vous pouvez configurer l’instruction vrf-target :
[edit routing-instances sample] vrf-target target:69:102;
Pour configurer l’instruction vrf-target avec les export options et import , incluez les instructions suivantes :
vrf-target { export community-name; import community-name; }
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]