Limitation des routes VPN à l’aide de la résolution de route
Cette rubrique décrit la limitation des routes VPN en configurant la résolution de route sur les routeurs PE et les réflecteurs de route et en configurant le routeur PE pour qu’il accepte un nombre limité de préfixes à partir d’un routeur CE.
Exemple : Configuration de la résolution de route sur les routeurs PE
Cet exemple montre comment configurer une table de routage pour qu’elle accepte les routes de tables de routage spécifiques. Il montre également comment configurer une table de routage afin qu’elle utilise des stratégies d’importation spécifiques afin de produire une table de résolution de route pour résoudre les routes.
Exigences
Avant de commencer, configurez un VPN de couche 3, comme illustré dans l’un des exemples suivants :
Aperçu
Une méthode pour mettre à l’échelle les routes IPv4 consiste à modifier la façon dont les routes BGP sont ajoutées aux tables de transfert. Par défaut, le processus de protocole de routage (rpd) ajoute toutes les routes de inet.0 et inet.3 à l’arborescence de résolution. Normalement, cela inclut les routes BGP IPv4 résolues, ce qui peut augmenter la consommation de mémoire. Pour obtenir une meilleure mise à l’échelle pour les routes IPv4, cet exemple montre comment configurer Junos OS afin que les routes BGP résolues ne soient pas ajoutées à l’arborescence de résolution. Pour ce faire, appliquez une stratégie d’importation sur la table de résolution de route, ce qui garantit qu’elle n’accepte aucune route BGP à partir d’inet.0.
Vous devez appliquer cette configuration à tous les routeurs PE (Provider Edge) du VPN de couche 3.
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Routeur PE
set policy-options policy-statement protocol-bgp from protocol bgp set policy-options policy-statement protocol-bgp then reject set routing-options resolution rib inet.0 import protocol-bgp
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer la résolution d’itinéraire :
Configurez la stratégie de routage.
[edit policy-options policy-statement protocol-bgp] user@PE# set from protocol bgp user@PE# set then reject
Appliquez la stratégie de routage.
[edit routing-options resolution] user@PE# set rib inet.0 import protocol-bgp
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@PE# commit
Résultats
Confirmez votre configuration en exécutant les show policy-options commandes and show routing-options .
user@PE# show policy-options
policy-statement protocol-bgp {
from protocol bgp;
then reject;
}
user@PE# show routing-options
resolution {
rib inet.0 {
import protocol-bgp;
}
}
Vérification
Vérifiez que la configuration fonctionne correctement en exécutant les commandes suivantes :
Exemple : Configuration de la résolution de route sur des réflecteurs de route
Cet exemple montre comment modifier le comportement de résolution par défaut sur un réflecteur de route (RR) afin d’utiliser inet.0 pour la résolution du saut suivant au lieu de inet.3.
Exigences
Avant de commencer, configurez un VPN de couche 3, comme illustré dans l’un des exemples suivants :
Aperçu
Un scénario de résolution de route est lorsque vous avez un chemin de commutation d’étiquettes configuré d’un RR vers un routeur de périphérie fournisseur (PE), ou lorsque les routeurs PE ne s’appairent qu’avec le RR. Cela peut entraîner le masquage des itinéraires. Pour résoudre ce problème, vous pouvez modifier le comportement de résolution par défaut afin d’utiliser inet.0 pour la résolution du saut suivant.
Par défaut, la table de routage bgp.l3vpn.0 stocke toutes les routes unicast VPN-IPv4. Ce tableau est présent sur tous les routeurs sur lesquels des VPN de couche 3 sont configurés, y compris les routeurs PE et les RR.
Lorsqu’un routeur VPN de couche 3 reçoit une route d’un autre routeur VPN de couche 3, il place la route dans sa table de routage bgp.l3vpn.0. L’itinéraire est résolu à l’aide des informations de la table de routage inet.3. Cela signifie que lorsque BGP reçoit une route destinée à la table bgp.l3vpn.0, le nexthop du protocole (BGP nexthop reçu) voit son nexthop de transfert déterminé de manière récursive à partir de la table inet.3. L’itinéraire résultant est converti au format IPv4 et redistribué à toutes les routing-instance-nametables de routage .inet.0 s’il correspond à la stratégie d’importation VRF.
Sur un RR sans routeur CE connecté, la resolution rib bgp.l3vpn.0 resolution-ribs inet.0 configuration fait en sorte que les routes de bgp.l3vpn.0 utilisent les informations de inet.0 au lieu de inet.3 pour résoudre les routes. Vous ne devez pas utiliser cette configuration sur un routeur directement connecté à un routeur CE. En d’autres termes, ne pas utiliser resolution rib bgp.l3vpn.0 resolution-ribs inet.0 sur un routeur PE.
Si vous souhaitez utiliser à la fois inet.0 et inet.3, vous devez configurer les deux, comme dans set resolution rib bgp.l3vpn.0 resolution-ribs [inet.0 inet.3].
Dans cet exemple, la stratégie POLICY-limit-resolve-routes limite la résolution de route aux seules routes apprises via IS-IS. Si vous omettez la stratégie d’importation, toutes les routes dans inet.0 sont évaluées et éventuellement utilisées pour résoudre le prochain saut de protocole. Si vous ne souhaitez pas résoudre toutes les entrées, vous utilisez une stratégie pour filtrer un sous-ensemble des itinéraires des tables utilisées pour la résolution des itinéraires.
Un exemple courant est lorsque vous résolvez toutes les routes dans inet.0, à l’exception de la route par défaut (0/0).
Bien que l’instruction import soit utilisée dans cette configuration, aucun itinéraire n’est importé ou copié. Au contraire, la import policy-name configuration limite l’ensemble des itinéraires possibles pouvant être pris en compte pour la résolution des itinéraires.
Cette resolution rib bgp.l3vpn.0 resolution-ribs inet.0 configuration est utile lorsqu’un RR BGP ne se trouve pas dans le chemin de transfert. En d’autres termes, il n’y a pas de LSP entrants au RR. Prenons le cas où RSVP est le protocole de signalisation d’étiquette, et RSVP est configuré en maillage complet au niveau des routeurs de périphérie. Le RR doit être en mesure de refléter les itinéraires. Pour ce faire, BGP doit effectuer une vérification de la résolvabilité du routage. Si une route VPN de couche 3 est reçue, mais que le saut suivant ne figure pas dans la table inet.3, la route ne peut pas être résolue. Étant donné que le routeur ne se trouve pas dans le chemin de transfert, une solution efficace consiste à utiliser les informations contenues dans inet.0. Les informations de métrique dans inet.0 sont utiles pour choisir le meilleur itinéraire, même si elles ne peuvent pas être utilisées pour le transfert.
Une autre approche consiste à s’assurer que les LSP sont provisionnés sur le RR. Cela se produit automatiquement si vous configurez LDP.
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Réflecteur de route
set routing-options resolution rib bgp.l3vpn.0 resolution-ribs inet.0 set routing-options resolution rib inet.0 import POLICY-limit-resolve-routes set policy-options policy-statement POLICY-limit-resolve-routes term isis from protocol isis set policy-options policy-statement POLICY-limit-resolve-routes term isis then accept set policy-options policy-statement POLICY-limit-resolve-routes then reject
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer la résolution d’itinéraire :
Configurez bgp.l3vpn.0 pour qu’il utilise les informations de inet.0 au lieu de inet.3 pour résoudre les routes.
[edit routing-options resolution rib bgp.l3vpn.0] user@RR# set resolution-ribs inet.0
(Facultatif) Configurez la stratégie de routage.
[edit policy-options policy-statement POLICY-limit-resolve-routes] user@RR# set term isis from protocol isis user@RR# set term isis then accept user@RR# set then reject
(Facultatif) Appliquez la stratégie.
[edit routing-options resolution rib inet.0] user@RR# set import POLICY-limit-resolve-routes
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@RR# commit
Résultats
Confirmez votre configuration en exécutant les show policy-options commandes and show routing-options .
user@RR# show policy-options
policy-statement POLICY-limit-resolve-routes {
term isis {
from protocol isis;
then accept;
}
then reject;
}
user@RR# show routing-options
resolution {
rib bgp.l3vpn.0 {
resolution-ribs inet.0;
}
rib inet.0 {
import POLICY-limit-resolve-routes;
}
}
Vérification
Vérifiez que la configuration fonctionne correctement en exécutant les commandes suivantes :
Limitation du nombre de chemins et de préfixes acceptés à partir des routeurs CE dans les VPN de couche 3
Vous pouvez configurer une limite maximale sur le nombre de préfixes et de chemins pouvant être installés dans les tables de routage. À l’aide des limites de préfixe et de chemin, vous pouvez réduire le nombre de préfixes et de chemins reçus d’un routeur CE dans un VPN. Les limites de préfixe et de chemin s’appliquent uniquement aux protocoles de routage dynamique et ne s’appliquent pas aux routes statiques ou d’interface.
Pour limiter le nombre de chemins acceptés par un routeur PE à partir d’un routeur CE, incluez l’instruction maximum-paths suivante :
maximum-paths path-limit <log-interval interval | log-only | threshold percentage>;
Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez configurer cette instruction, reportez-vous à la section Résumé de cette instruction.
Spécifiez l’option de journalisation uniquement pour générer uniquement des messages d’avertissement (limite d’avis). Spécifiez l’option de seuil pour générer des avertissements avant que la limite ne soit atteinte. Spécifiez l’option d’intervalle de journal pour configurer l’intervalle de temps minimal entre les messages de journal.
Il existe deux modes de limites d’itinéraire : consultatif et obligatoire. Une limite d’avis déclenche des avertissements. Une limite obligatoire rejette les routes supplémentaires une fois la limite atteinte.
L’application d’une limite de route peut entraîner un comportement imprévisible du protocole de routage dynamique. Par exemple, lorsque la limite est atteinte et que des routes sont rejetées, BGP peut ne pas réinstaller les routes rejetées une fois que le nombre de routes est retombé en dessous de la limite. Il peut être nécessaire d’effacer les sessions BGP.
Pour limiter le nombre de préfixes acceptés par un routeur PE à partir d’un routeur CE, incluez l’instruction maximum-prefixes suivante :
maximum-prefixes prefix-limit <log-interval interval | log-only | threshold percentage>;
Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez configurer cette instruction, reportez-vous à la section Résumé de cette instruction.
Il existe deux modes de limites d’itinéraire : consultatif et obligatoire. Une limite d’avis déclenche des avertissements. Une limite obligatoire rejette les routes supplémentaires une fois la limite atteinte.
L’application d’une limite de route peut entraîner un comportement imprévisible du protocole de routage dynamique. Par exemple, lorsque la limite est atteinte et que des routes sont rejetées, BGP peut ne pas réinstaller les routes rejetées une fois que le nombre de routes est retombé en dessous de la limite. Il peut être nécessaire d’effacer les sessions BGP.
Une limite obligatoire de chemins ou de préfixes, en plus de déclencher un message d’avertissement, rejette tous les chemins ou préfixes supplémentaires une fois la limite atteinte.
La définition d’un chemin ou d’une limite de préfixe peut entraîner un comportement imprévisible du protocole de routage dynamique.
Vous pouvez également configurer les options suivantes pour les chemins d’accès maximaux et maximum-prefixes les instructions :
log-interval : spécifie l’intervalle auquel les messages de journal sont envoyés. Cette option génère uniquement des messages d’avertissement (limite d’avis).
Spécifiez l’option d’intervalle de journal pour configurer l’intervalle de temps minimal entre les messages de journal.
log-only : génère uniquement des messages d’avertissement. Aucune limite n’est imposée au nombre de chemins ou de préfixes stockés dans les tables de routage.
threshold : génère des messages d’avertissement une fois que le pourcentage spécifié du nombre maximal de chemins ou de préfixes a été atteint.