Limitation des routes VPN à l’aide de la résolution des routes
Cette rubrique décrit la limitation des routes VPN en configurant la résolution des routes sur les routeurs PE et les réflecteurs de route, et en configurant le routeur PE pour accepter un nombre limité de préfixes d’un routeur CE.
Exemple : configuration de la résolution de route sur des routeurs PE
Cet exemple montre comment configurer une table de routage pour accepter des routes provenant de tables de routage spécifiques. Il montre également comment configurer une table de routage pour qu’elle utilise des stratégies d’importation spécifiques pour produire une table de résolution de routage pour résoudre les routes.
Exigences
Avant de commencer, configurez un VPN de couche 3, comme illustré dans l’un des exemples suivants :
Aperçu
L’une des méthodes d’évolutivité des routes IPv4 consiste à modifier la façon dont les routes BGP sont ajoutées aux tables de transfert. Par défaut, le processus de protocole de routage (rpd) ajoute toutes les routes inet.0 et inet.3 à l’arbre de résolution. Normalement, cela inclut les routes BGP IPv4 résolues, ce qui peut augmenter la consommation de mémoire. Pour améliorer l’évolutivité des routes IPv4, cet exemple montre comment configurer Junos OS afin que les routes BGP résolues ne soient pas ajoutées à l’arbre de résolution. Pour ce faire, il applique une stratégie d’importation sur la table de résolution de routage, ce qui garantit qu’elle n’accepte aucune route BGP à partir d’inet.0.
Vous appliqueriez cette configuration à tous les routeurs de périphérie de fournisseur (PE) du VPN de couche 3.
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.
Routeur PE
set policy-options policy-statement protocol-bgp from protocol bgp set policy-options policy-statement protocol-bgp then reject set routing-options resolution rib inet.0 import protocol-bgp
Procédure
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer la résolution des routes :
Configurez la stratégie de routage.
[edit policy-options policy-statement protocol-bgp] user@PE# set from protocol bgp user@PE# set then reject
Appliquez la stratégie de routage.
[edit routing-options resolution] user@PE# set rib inet.0 import protocol-bgp
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@PE# commit
Résultats
Confirmez votre configuration en publiant les show policy-options commandes et show routing-options .
user@PE# show policy-options
policy-statement protocol-bgp {
from protocol bgp;
then reject;
}
user@PE# show routing-options
resolution {
rib inet.0 {
import protocol-bgp;
}
}
Vérification
Vérifiez que la configuration fonctionne correctement en exécutant les commandes suivantes :
Exemple : configuration de la résolution de route sur des réflecteurs de route
Cet exemple montre comment modifier le comportement de résolution par défaut sur un réflecteur de route (RR) pour utiliser inet.0 pour la résolution du saut suivant au lieu de inet.3.
Exigences
Avant de commencer, configurez un VPN de couche 3, comme illustré dans l’un des exemples suivants :
Aperçu
Un scénario de résolution de route est lorsque vous avez un chemin à commutation d’étiquettes configuré d’un routeur de périphérie de fournisseur (PE), ou lorsque les routeurs PE ne font qu’appairer le RR. Les routes peuvent ainsi être masquées. Pour résoudre ce problème, vous pouvez modifier le comportement de résolution par défaut pour utiliser inet.0 pour la résolution du saut suivant.
Par défaut, la table de routage bgp.l3vpn.0 stocke toutes les routes unicast VPN-IPv4. Ce tableau est présent sur tous les routeurs dont les VPN de couche 3 sont configurés, y compris les routeurs PE et les RR.
Lorsqu’un routeur VPN de couche 3 reçoit un routage d’un autre routeur VPN de couche 3, il le place dans sa table de routage bgp.l3vpn.0. Le routage est résolu à l’aide des informations de la table de routage inet.3. Cela signifie que lorsque BGP reçoit un routage destiné à la table bgp.l3vpn.0, le protocole nexthop (BGP nexthop reçu) a son transfert suivanthop récursivement déterminé à partir de la table inet.3. Le routage résultant est converti au format IPv4 et redistribué à toutes les routing-instance-nametables de routage .inet.0 s’il correspond à la stratégie d’importation VRF.
Sur un RR sans routeur de périphérie client (CE), la resolution rib bgp.l3vpn.0 resolution-ribs inet.0 configuration oblige les routes bgp.l3vpn.0 à utiliser les informations de inet.0 au lieu de inet.3 pour résoudre les routes. Vous ne devez pas utiliser cette configuration sur un routeur directement connecté à un routeur CE. En d’autres termes, ne l’utilisez resolution rib bgp.l3vpn.0 resolution-ribs inet.0 pas sur un routeur PE.
Si vous souhaitez utiliser inet.0 et inet.3, vous devez configurer les deux, comme dans set resolution rib bgp.l3vpn.0 resolution-ribs [inet.0 inet.3].
Dans cet exemple, la stratégie POLICY-limit-resolve-routes limite la résolution des routes aux seules routes apprises via IS-IS. Si vous omettez la stratégie d’importation, toutes les routes inet.0 sont évaluées et potentiellement utilisées pour résoudre le prochain saut du protocole. Si vous ne souhaitez pas résoudre toutes les entrées, vous utilisez une stratégie pour filtrer un sous-ensemble de routes à partir des tables utilisées pour la résolution de routes.
Un exemple courant est lorsque vous résolvez toutes les routes dans inet.0, à l’exception du routage par défaut (0/0).
Bien que l’instruction import soit utilisée dans cette configuration, aucune route n’est importée ou copiée. Au contraire, la import policy-name configuration limite l’ensemble des routes possibles qui peuvent être prises en compte pour la résolution des routes.
La resolution rib bgp.l3vpn.0 resolution-ribs inet.0 configuration est utile lorsqu’un BGP RR n’est pas dans le chemin de transfert. En d’autres termes, il n’y a pas de LSP entrant au RR. Prenons le cas où RSVP est le protocole de signalisation d’étiquettes, et RSVP est configuré en maillage complet au niveau des routeurs de périphérie. Le RR doit pouvoir refléter les routes. Pour ce faire, BGP doit effectuer une vérification de la résolvabilité des routes. Si un routage VPN de couche 3 est reçu mais que l’étape suivante n’est pas dans la table inet.3, le routage ne peut pas être résolu. Comme le routeur n’est pas dans le chemin de transfert, une solution de contournement efficace consiste à utiliser les informations dans inet.0. Les informations métriques contenues dans inet.0 sont utiles pour choisir la meilleure route, même si elles ne peuvent pas être utilisées pour le transfert.
Une autre approche consiste à s’assurer que les LSP sont provisionnés au RR. Cela se produit automatiquement si vous configurez LDP.
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.
Réflecteur de route
set routing-options resolution rib bgp.l3vpn.0 resolution-ribs inet.0 set routing-options resolution rib inet.0 import POLICY-limit-resolve-routes set policy-options policy-statement POLICY-limit-resolve-routes term isis from protocol isis set policy-options policy-statement POLICY-limit-resolve-routes term isis then accept set policy-options policy-statement POLICY-limit-resolve-routes then reject
Procédure
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer la résolution des routes :
Configurez bgp.l3vpn.0 pour utiliser les informations de inet.0 au lieu de inet.3 pour résoudre les routes.
[edit routing-options resolution rib bgp.l3vpn.0] user@RR# set resolution-ribs inet.0
(Facultatif) Configurez la stratégie de routage.
[edit policy-options policy-statement POLICY-limit-resolve-routes] user@RR# set term isis from protocol isis user@RR# set term isis then accept user@RR# set then reject
(Facultatif) Appliquez la politique.
[edit routing-options resolution rib inet.0] user@RR# set import POLICY-limit-resolve-routes
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@RR# commit
Résultats
Confirmez votre configuration en publiant les show policy-options commandes et show routing-options .
user@RR# show policy-options
policy-statement POLICY-limit-resolve-routes {
term isis {
from protocol isis;
then accept;
}
then reject;
}
user@RR# show routing-options
resolution {
rib bgp.l3vpn.0 {
resolution-ribs inet.0;
}
rib inet.0 {
import POLICY-limit-resolve-routes;
}
}
Vérification
Vérifiez que la configuration fonctionne correctement en exécutant les commandes suivantes :
Limitation du nombre de chemins et de préfixes acceptés par les routeurs CE dans les VPN de couche 3
Vous pouvez configurer une limite maximale du nombre de préfixes et de chemins pouvant être installés dans les tables de routage. En utilisant les limites de préfixe et de chemin, vous pouvez réduire le nombre de préfixes et de chemins reçus d’un routeur CE dans un VPN. Les limites des préfixes et des chemins s’appliquent uniquement aux protocoles de routage dynamique et ne s’appliquent pas aux routes statiques ou d’interface.
Pour limiter le nombre de chemins acceptés par un routeur PE à partir d’un routeur CE, incluez la maximum-paths déclaration :
maximum-paths path-limit <log-interval interval | log-only | threshold percentage>;
Pour obtenir la liste des niveaux hiérarchiques sur lesquels vous pouvez configurer cette instruction, consultez la section résumée de l’instruction pour cette déclaration.
Spécifiez l’option journal uniquement pour générer uniquement des messages d’avertissement (une limite de conseil). Spécifiez l’option de seuil pour générer des avertissements avant que la limite ne soit atteinte. Spécifiez l’option d’intervalle de journal pour configurer l’intervalle de temps minimal entre les messages de journalisation.
Il existe deux modes pour les limites de route : consultatif et obligatoire. Une limite de conseil déclenche des avertissements. Une limite obligatoire rejette les routes supplémentaires une fois la limite atteinte.
L’application d’une limite de route peut entraîner un comportement imprévisible du protocole de routage dynamique. Par exemple, lorsque la limite est atteinte et que les routes sont rejetées, BGP ne peut pas réinstaller les routes rejetées après que le nombre de routes soit passé en dessous de la limite. Les sessions BGP doivent peut-être autorisées.
Pour limiter le nombre de préfixes acceptés par un routeur PE à partir d’un routeur CE, incluez la maximum-prefixes déclaration :
maximum-prefixes prefix-limit <log-interval interval | log-only | threshold percentage>;
Pour obtenir la liste des niveaux hiérarchiques sur lesquels vous pouvez configurer cette instruction, consultez la section résumée de l’instruction pour cette déclaration.
Il existe deux modes pour les limites de route : consultatif et obligatoire. Une limite de conseil déclenche des avertissements. Une limite obligatoire rejette les routes supplémentaires une fois la limite atteinte.
L’application d’une limite de route peut entraîner un comportement imprévisible du protocole de routage dynamique. Par exemple, lorsque la limite est atteinte et que les routes sont rejetées, BGP ne peut pas réinstaller les routes rejetées après que le nombre de routes soit passé en dessous de la limite. Les sessions BGP doivent peut-être autorisées.
Une limite de chemin ou de préfixe obligatoire, en plus de déclencher un message d’avertissement, rejette tout chemin ou préfixe supplémentaire une fois la limite atteinte.
La définition d’un chemin ou d’une limite de préfixe peut entraîner un comportement imprévisible du protocole de routage dynamique.
Vous pouvez également configurer les options suivantes pour les chemins et maximum-prefixes les instructions maximum :
log-interval : spécifiez l’intervalle auquel les messages de journal sont envoyés. Cette option génère uniquement des messages d’avertissement (une limite de conseil).
Spécifiez l’option d’intervalle de journal pour configurer l’intervalle de temps minimal entre les messages de journalisation.
journal uniquement : ne générez que des messages d’avertissement. Aucune limite n’est imposée au nombre de chemins ou de préfixes stockés dans les tables de routage.
seuil : générez des messages d’avertissement une fois le pourcentage spécifié des chemins ou préfixes maximum atteints.