SUR CETTE PAGE
configuration du filtrage de cible de route statique pour les VPN
Configuration du filtrage des routes cibles BGP pour les VPN
Exemple : Configuration du filtrage des cibles de routage BGP pour les VPN
Comprendre le filtrage des cibles de routage BGP du proxy pour les VPN
Exemple : configuration du filtrage de la cible de route BGP du proxy pour les VPN
Filtrage des cibles de routage
Cette rubrique décrit la configuration du filtrage statique, BGP et proxy des cibles de route BGP et fournit des exemples de configuration du filtrage des cibles de route pour les VPN.
configuration du filtrage de cible de route statique pour les VPN
La communauté étendue cible de la route VPN BGP (RFC 4360, BGP Extended Communities Attribute) est utilisée pour déterminer l’appartenance au VPN. Le filtrage statique des routes cibles permet d’éviter que des ressources ne soient consommées dans des parties du réseau où les routes VPN ne sont pas nécessaires en raison de l’absence de routeurs PE membres (RFC 4684, Distribution de routes contraintes pour le Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Protocole Internet (IP) Réseaux privés virtuels (VPN)). Les routeurs peuvent initier des routes dans le protocole RT-Constrain pour indiquer leur intérêt à recevoir des routes VPN contenant des cibles de route qui correspondent au NLRI RT-Contrain.
Pour configurer le filtrage statique des routes cibles pour les VPN :
Configurez l’instruction
route-target-filterau niveau de la[edit routing-options rib bgp.rtarget.0 static]hiérarchie.L’exemple suivant illustre comment vous pouvez configurer l’instruction route-target-filter :
[edit routing-options rib bgp.rtarget.0 static] route-target-filter destination { group bgp-group; local; neighbor bgp-peer; }Vous pouvez afficher les informations de filtrage de la cible de route à l’aide de la
show bgp group rtf detailcommande.
Réduire l’utilisation des ressources réseau grâce au filtrage statique des routes cibles pour les VPN
La communauté étendue cible de la route VPN BGP (RFC 4360, BGP Extended Communities Attribute) est utilisée pour déterminer l’appartenance au VPN. Le filtrage statique des routes cibles permet d’éviter que des ressources ne soient consommées dans des parties du réseau où les routes VPN ne sont pas nécessaires en raison de l’absence de routeurs PE membres (RFC 4684, Distribution de routes contraintes pour le Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Protocole Internet (IP) Réseaux privés virtuels (VPN)). Les routeurs peuvent initier des routes dans le protocole RT-Constrain pour indiquer leur intérêt à recevoir des routes VPN contenant des cibles de route qui correspondent au NLRI RT-Contrain.
Normalement, pour que la fonctionnalité RT-Contraint fonctionne correctement, elle doit être déployée à grande échelle sur l’ensemble d’un réseau. Si ce n’est pas le cas, la fonctionnalité est moins utile, car l’interlocuteur BGP RT-Contraint faisant face à un haut-parleur non-RT-Constrain doit annoncer une route RT-Concontraindre par défaut aux autres haut-parleurs RT-Contraint au nom de l’homologue qui ne prend pas en charge la fonctionnalité. Cela supprime effectivement les avantages d’économie de ressources de la fonctionnalité dans les parties du réseau où elle n’est pas prise en charge, car une route RT-Concontraindre par défaut oblige le routeur PE et tous les routeurs PE intermédiaires à recevoir toutes les routes VPN.
La fonction RT-Contraint statique vous permet de déployer partiellement la fonction RT-Contraint dans un réseau. La fonctionnalité est activée au niveau d’une limite du réseau où l’option RT-Contraint est configurée. Cependant, certains homologues VPN BGP ne prennent pas en charge RT-Constrain, généralement les routeurs PE. Les cibles de routage de ces routeurs PE doivent être configurées de manière statique sur le routeur. Ces cibles de route sont diffusées à l’aide du protocole RT-Contrain.
La fonctionnalité RT-Contraint du proxy permet aux homologues VPN BGP qui ne prennent pas en charge le protocole de voir leurs cibles de routage détectées et diffusées automatiquement. Cependant, cette fonctionnalité ne peut prendre en charge que des cibles de route symétriques. Par exemple, les cibles de route d’importation et d’exportation d’une instance de routage VRF sont identiques. Cependant, pour un VPN en étoile, les routes d’importation et d’exportation ne sont pas identiques. Dans ce scénario, la cible de route d’importation et d’exportation peut être configurée de manière statique pour être diffusée dans le protocole RT-Contraint.
Configuration du filtrage des routes cibles BGP pour les VPN
Le filtrage des routes BGP Target vous permet de distribuer des routes VPN uniquement aux routeurs qui en ont besoin. Dans les réseaux VPN pour lesquels le filtrage des routes cibles BGP n’est pas configuré, BGP distribue toutes les routes VPN à tous les routeurs homologues VPN.
Pour plus d’informations sur le filtrage des cibles de routage BGP, reportez-vous à la RFC 4684, Distribution de routes contraintes pour les réseaux privés virtuels (VPN) du protocole Internet (BGP/MPLS) du Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS).
Les sections suivantes donnent un aperçu du filtrage des cibles de routage BGP et expliquent comment le configurer pour les VPN :
- Présentation du filtrage des cibles de routage BGP
- Configuration du filtrage des routes cibles BGP pour les VPN
Présentation du filtrage des cibles de routage BGP
Les routeurs PE, à moins qu’ils ne soient configurés en tant que réflecteurs de route ou qu’ils n’exécutent une session EBGP, ignorent toutes les routes VPN qui n’incluent pas de communauté étendue cible de route, comme spécifié dans les stratégies d’importation VRF locales. Il s’agit du comportement par défaut de Junos OS.
Toutefois, à moins qu’il ne soit explicitement configuré pour ne pas stocker de routes VPN, tout routeur configuré en tant que réflecteur de route ou routeur de bordure pour une famille d’adresses VPN doit stocker toutes les routes VPN existantes sur le réseau du fournisseur de services. De plus, bien que les routeurs PE puissent automatiquement ignorer les routes qui n’incluent pas de communauté étendue cible de route, des mises à jour d’itinéraire continuent d’être générées et reçues.
En réduisant le nombre de routeurs recevant des routes VPN et des mises à jour de route, le filtrage des routes BGP permet de limiter la surcharge associée à l’exécution d’un VPN. Le filtrage des cibles de route BGP est plus efficace pour réduire le trafic administratif lié au VPN dans les réseaux où il existe de nombreux réflecteurs de route ou routeurs de bordure AS qui ne participent pas directement aux VPN (n’agissant pas comme routeurs PE pour les périphériques CE).
Le filtrage des routes cibles BGP utilise des messages UPDATE standard pour distribuer les communautés étendues de routes cibles entre les routeurs. L’utilisation de messages UPDATE permet à BGP d’utiliser ses mécanismes standard de détection de boucle, de sélection de chemin, de prise en charge des stratégies et d’implémentation de l’échange de bases de données.
Configuration du filtrage des routes cibles BGP pour les VPN
Le filtrage des cibles de routage BGP est activé par l’échange de la route-target famille d’adresses stockée dans la table de routage BGP.rTarget.0. En fonction de la famille d’adresses route-target , le NLRI cible de route (indicateur de famille d’adresses [AFI]=1, AFI subséquente [SAFI]=132) est négocié avec ses homologues.
Sur un système disposant d’instances VRF configurées localement, BGP génère automatiquement des routes locales correspondant aux cibles référencées dans les vrf-import stratégies.
Pour configurer le filtrage des cibles de routage BGP, incluez l’instruction family route-target suivante :
family route-target { advertise-default; external-paths number; prefix-limit number; }
Pour obtenir la liste des niveaux hiérarchiques auxquels vous pouvez inclure cette instruction, reportez-vous à la section Résumé de cette instruction.
Les advertise-defaultinstructions , external-paths, et prefix-limit affectent la configuration du filtrage de la cible de routage BGP comme suit :
L’instruction
advertise-defaultpermet au routeur d’annoncer la route cible de route par défaut (0:0:0/0) et de supprimer toutes les routes plus spécifiques. Il peut être utilisé par un réflecteur de route sur des groupes BGP composés de voisins qui agissent uniquement comme routeurs PE. Les routeurs PE doivent souvent annoncer toutes les routes vers le réflecteur de route.La suppression de toutes les annonces de route cible autres que la route par défaut réduit la quantité d’informations échangées entre le réflecteur de route et les routeurs PE. Junos OS contribue en outre à réduire les frais associés à l’annonce de routes cibles en ne conservant pas les informations sur les dépendances, sauf si une route autre que celle par défaut est reçue.
L’instruction
external-paths(dont la valeur par défaut est 1) permet au routeur d’annoncer les routes VPN qui font référence à une cible de route donnée. Le nombre que vous spécifiez détermine le nombre de routeurs homologues externes (qui annoncent actuellement cette cible de route) qui reçoivent les routes VPN.L’instruction
prefix-limitlimite le nombre de préfixes pouvant être reçus d’un routeur pair.
Les route-targetinstructions , advertise-default, et external-path affectent l’état RIB-OUT et doivent être cohérentes entre les routeurs homologues qui partagent le même groupe BGP. L’instruction prefix-limit n’affecte que le côté réception et peut avoir des paramètres différents entre les différents routeurs homologues d’un groupe BGP.
Voir aussi
Exemple : filtrage de cibles de routage BGP pour les VPN
Le filtrage de la cible de routage BGP est activé en configurant l’instruction family route-target au niveau de la hiérarchie BGP approprié. Cette instruction permet l’échange d’une nouvelle route-target famille d’adresses, qui est stockée dans la table de routage bgp.rtarget.0.
La configuration suivante illustre comment vous pouvez configurer le filtrage de la cible de routage BGP pour un groupe BGP intitulé to_vpn04:
[edit]
protocols {
bgp {
group to_vpn04 {
type internal;
local-address 10.255.14.182;
peer-as 200;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
La configuration suivante illustre comment vous pouvez configurer quelques instances de routage VRF (Local VPN Routing and Forwarding) pour tirer parti de la fonctionnalité fournie par le filtrage de cible de route BGP. Sur la base de cette configuration, BGP génère automatiquement des routes locales correspondant aux cibles de route référencées dans les stratégies d’importation VRF (notez les cibles définies par les vrf-target instructions).
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t1-0/1/2.0;
vrf-target target:200:101;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.0;
}
}
}
}
vpn2 {
instance-type vrf;
interface t1-0/1/2.1;
vrf-target target:200:102;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.1;
}
}
}
}
}
Exécutez la show route table bgp.rtarget.0 commande show pour vérifier la configuration du filtrage de la cible de route BGP :
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 6 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
200:200:101/96
*[RTarget/5] 00:10:00
Local
200:200:102/96
*[RTarget/5] 00:10:00
Local
200:200:103/96
*[BGP/170] 00:09:48, localpref 100, from 10.255.14.174
AS path: I
> t3-0/0/0.0
200:200:104/96
*[BGP/170] 00:09:48, localpref 100, from 10.255.14.174
AS path: I
> t3-0/0/0.0
Le format d’affichage des commandes pour les show préfixes de cible de route est le suivant :
AS number:route target extended community/length
Le premier chiffre représente le système autonome (AS) du routeur qui a envoyé cette annonce. Le reste de l’affichage suit la convention de commandement Junos show pour les communautés étendues.
La sortie de la show route table bgp-rtarget.0 commande affiche les itinéraires générés localement et générés à distance.
Les deux premières entrées correspondent aux cibles de route configurées pour les deux instances de routage VRF locales (vpn1 et vpn2) :
200:200:101/96—Communauté200:101dans l’instance devpn1routage200:200:102/96—Communauté200:102dans l’instance devpn2routage
Les deux dernières entrées sont des préfixes reçus d’un pair BGP :
200:200:103/96—Indique au routeur local que les routes marquées avec cette communauté (200:103) doivent être annoncées pour être appairées10.255.14.174t3-0/0/0.0200:200:104/96—Indique au routeur local que les routes marquées avec cette communauté (200:104) doivent être annoncées pour être appairées10.255.14.174t3-0/0/0.0
Exemple : Configuration du filtrage des cibles de routage BGP pour les VPN
Le filtrage des routes cibles BGP réduit le nombre de routeurs qui reçoivent des routes VPN et des mises à jour de route, ce qui permet de limiter la surcharge associée à l’exécution d’un VPN. Le filtrage des cibles de route BGP est plus efficace pour réduire le trafic administratif lié au VPN dans les réseaux où il existe de nombreux réflecteurs de route ou des routeurs de bordure AS qui ne participent pas directement aux VPN (n’agissent pas comme des routeurs PE pour les périphériques CE).
La figure 1 illustre la topologie d’un réseau configuré avec le filtrage de cible de routage BGP pour un groupe de VPN.
Les sections suivantes décrivent comment configurer le filtrage de la cible de routage BGP pour un groupe de VPN :
- Configurer le filtrage des cibles de routage BGP sur le routeur PE1
- Configurer le filtrage des cibles de routage BGP sur le routeur PE2
- Configurer le filtrage de la cible de route BGP sur le réflecteur de route
- Configurer le filtrage des cibles de routage BGP sur le routeur PE3
Configurer le filtrage des cibles de routage BGP sur le routeur PE1
Cette section décrit comment activer le filtrage de la cible de route BGP sur le routeur PE1 pour cet exemple.
Configurez les options de routage sur le routeur PE1 comme suit :
[edit]
routing-options {
route-distinguisher-id 10.255.14.182;
autonomous-system 198;
}
Configurez le protocole BGP sur le routeur PE1 comme suit :
[edit]
protocols {
bgp {
group to_VPN_D {
type internal;
local-address 10.255.14.182;
peer-as 198;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Configurez l’instance de vpn1 routage comme suit :
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t1-0/1/2.0;
vrf-target target:198:101;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.0;
}
}
}
}
}
Configurez l’instance de routage sur le vpn2 routeur PE1 comme suit :
[edit]
routing-instances {
vpn2 {
instance-type vrf;
interface t1-0/1/2.1;
vrf-target target:198:102;
protocols {
ospf {
export bgp-routes;
area 0.0.0.0 {
interface t1-0/1/2.1;
}
}
}
}
}
Une fois que vous avez implémenté cette configuration, vous devriez voir ce qui suit lorsque vous émettez une show route table bgp.rtarget.0 commande :
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 6 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[RTarget/5] 00:27:42
Local
[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
198.198:102/96
*[RTarget/5] 00:27:42
Local
[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
198.198:103/96
*[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
198.198:104/96
*[BGP/170] 00:27:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/0.0
Configurer le filtrage des cibles de routage BGP sur le routeur PE2
Cette section décrit comment activer le filtrage de cible de routage BGP sur le routeur PE2 pour cet exemple.
Configurez les options de routage sur le routeur PE2 comme suit :
[edit]
routing-options {
route-distinguisher-id 10.255.14.176;
autonomous-system 198;
}
Configurez le protocole BGP sur le routeur PE2 comme suit :
[edit]
protocols {
bgp {
group to_vpn04 {
type internal;
local-address 10.255.14.176;
peer-as 198;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Configurez l’instance de routage sur le vpn1 routeur PE2 comme suit :
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t3-0/0/0.0;
vrf-target target:198:101;
protocols {
bgp {
group vpn1 {
type external;
peer-as 101;
as-override;
neighbor 10.49.11.2;
}
}
}
}
}
Configurez l’instance de routage sur le vpn2 routeur PE2 comme suit :
[edit]
routing-instances {
vpn2 {
instance-type vrf;
interface t3-0/0/0.1;
vrf-target target:198:102;
protocols {
bgp {
group vpn2 {
type external;
peer-as 102;
as-override;
neighbor 10.49.21.2;
}
}
}
}
}
Configurez l’instance de routage sur le vpn3 routeur PE2 comme suit :
[edit]
routing-instances {
vpn3 {
instance-type vrf;
interface t3-0/0/0.2;
vrf-import vpn3-import;
vrf-export vpn3-export;
protocols {
bgp {
group vpn3 {
type external;
peer-as 103;
as-override;
neighbor 10.49.31.2;
}
}
}
}
}
Une fois que vous avez configuré le routeur PE2 de cette manière, vous devriez voir ce qui suit lorsque vous exécutez la show route table bgp.rtarget.0 commande :
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 7 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[RTarget/5] 00:28:15
Local
[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
198.198:102/96
*[RTarget/5] 00:28:15
Local
[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
198.198:103/96
*[RTarget/5] 00:28:15
Local
[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
198.198:104/96
*[BGP/170] 00:28:03, localpref 100, from
10.255.14.174
AS path: I
> via t1-0/1/0.0
Configurer le filtrage de la cible de route BGP sur le réflecteur de route
Dans cet exemple, cette section explique comment activer le filtrage de la cible de route BGP sur le réflecteur de route.
Configurez les options de routage sur le réflecteur de route comme suit :
[edit]
routing-options {
route-distinguisher-id 10.255.14.174;
autonomous-system 198;
}
Configurez le protocole BGP sur le réflecteur de route comme suit :
[edit]
protocols {
bgp {
group rr-group {
type internal;
local-address 10.255.14.174;
cluster 10.255.14.174;
peer-as 198;
neighbor 10.255.14.182 {
description to_PE1_vpn12;
family inet-vpn {
unicast;
}
family route-target;
}
neighbor 10.255.14.176 {
description to_PE2_vpn06;
family inet-vpn {
unicast;
}
family route-target;
}
neighbor 10.255.14.178 {
description to_PE3_vpn08;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Une fois que vous avez configuré le réflecteur de route de cette manière, vous devriez voir ce qui suit lorsque vous émettez la show route table bgp.rtarget.0 commande :
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 8 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.176
AS path: I
> via t1-0/2/0.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.178
AS path: I
> via t3-0/1/1.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.182
AS path: I
> via t3-0/1/3.0
198.198:102/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.176
AS path: I
> via t1-0/2/0.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.182
AS path: I
> via t3-0/1/3.0
198.198:103/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.176
AS path: I
> via t1-0/2/0.0
[BGP/170] 00:29:03, localpref 100, from
10.255.14.178
AS path: I
> via t3-0/1/1.0
198.198:104/96
*[BGP/170] 00:29:03, localpref 100, from
10.255.14.178
AS path: I
> via t3-0/1/1.0
Configurer le filtrage des cibles de routage BGP sur le routeur PE3
La section suivante décrit comment activer le filtrage de la cible de routage BGP sur le routeur PE3 pour cet exemple.
Configurez les options de routage sur le routeur PE3 comme suit :
[edit]
routing-options {
route-distinguisher-id 10.255.14.178;
autonomous-system 198;
}
Configurez le protocole BGP sur le routeur PE3 comme suit :
[edit]
protocols {
bgp {
group to_vpn04 {
type internal;
local-address 10.255.14.178;
peer-as 198;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
family route-target;
}
}
}
}
Configurez l’instance de routage sur le vpn1 routeur PE3 comme suit :
[edit]
routing-instances {
vpn1 {
instance-type vrf;
interface t3-0/0/0.0;
vrf-target target:198:101;
protocols {
rip {
group vpn1 {
export bgp-routes;
neighbor t3-0/0/0.0;
}
}
}
}
}
Configurez l’instance de routage sur le vpn3 routeur PE3 comme suit :
[edit]
routing-instances {
vpn3 {
instance-type vrf;
interface t3-0/0/0.1;
vrf-target target:198:103;
protocols {
rip {
group vpn3 {
export bgp-routes;
neighbor t3-0/0/0.1;
}
}
}
}
}
Configurez l’instance de routage sur le vpn4 routeur PE3 comme suit :
[edit]
routing-instances {
vpn4 {
instance-type vrf;
interface t3-0/0/0.2;
vrf-target target:198:104;
protocols {
rip {
group vpn4 {
export bgp-routes;
neighbor t3-0/0/0.2;
}
}
}
}
}
Une fois que vous avez configuré le routeur PE3 de cette manière, vous devriez voir ce qui suit lorsque vous émettez la show route table bgp.rtarget.0 commande :
user@host> show route table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 7 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
198.198:101/96
*[RTarget/5] 00:29:42
Local
[BGP/170] 00:29:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
198.198:102/96
*[BGP/170] 00:29:29, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
198.198:103/96
*[RTarget/5] 00:29:42
Local
[BGP/170] 00:29:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
198.198:104/96
*[RTarget/5] 00:29:42
Local
[BGP/170] 00:29:30, localpref 100, from
10.255.14.174
AS path: I
> via t3-0/0/1.0
Exemple : configuration d’une stratégie d’exportation pour le filtrage des cibles de routage BGP pour les VPN
Cet exemple montre comment configurer une stratégie de routage d’exportation pour le filtrage de la cible de route BGP (également connu sous le nom de contrainte de cible de route, ou RTC).
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Quatre équipements Juniper Networks prenant en charge le filtrage de routes cibles BGP.
Junos OS version 12.2 ou ultérieure sur un ou plusieurs équipements configurés pour le filtrage de routes BGP proxy. Dans cet exemple, vous configurez explicitement le filtrage de route BGP proxy sur les réflecteurs de route.
Avant de configurer une stratégie d’exportation pour le filtrage des cibles de routage BGP, assurez-vous de bien connaître et de comprendre les concepts suivants :
Aperçu
Le filtrage BGP Route Target vous permet de réduire la consommation des ressources réseau en distribuant des annonces d’appartenance à route target (RT membership) sur l’ensemble du réseau. BGP utilise les informations d’appartenance RT pour envoyer des routes VPN uniquement aux périphériques qui en ont besoin sur le réseau. Comme pour les autres types d’accessibilité BGP, vous pouvez appliquer une stratégie de routage pour router les itinéraires de filtrage cibles afin d’influencer le réseau. Lorsque le filtrage de la cible de route est configuré, la restriction du flux des routes de filtrage de la cible de route restreint également les routes VPN susceptibles d’être attirées par cette appartenance RT. La configuration de cette stratégie implique :
Création d’un filtre qui définit la liste des préfixes de cible de route.
Création d’une stratégie pour sélectionner un sous-ensemble des filtres de cible de route à utiliser pour le filtrage de la cible de route BGP.
Pour définir la liste des préfixes de cible de routage :
Vous configurez l’instruction
rtf-prefix-listau niveau de la[edit policy-options]hiérarchie pour spécifier le nom de la liste de préfixes de cible de route et un ou plusieurs préfixes de cible de route à utiliser. Cette configuration vous permet de spécifier les itinéraires de filtrage cibles entrants que l’équipement utilisera, puis de les distribuer sur l’ensemble du réseau.
Pour configurer la stratégie de routage et appliquer la liste de préfixes de cible de routage à cette stratégie, vous pouvez spécifier les options de stratégie suivantes :
-
family route-target—(Facultatif) La condition de correspondance route-target family spécifie les routes BGP correspondantes pour le filtrage des cibles. Vous définissez ce critère dans l’instructionfrom. Cet exemple montre comment créer une stratégie d’exportation à l’aide de lafamily route-targetcondition de correspondance.Note:Juniper utilise la table inet.3 pour résoudre l’adresse de saut suivante lorsqu’elle
family route-targetest configurée. protocol route-target—(Facultatif) La condition de correspondance de protocole route-cible définit les critères auxquels un chemin entrant doit correspondre. Vous définissez ce critère dans l’instructionfrom. Cette instruction est principalement utile pour restreindre la stratégie aux routes de filtrage cible de route générées localement.Note:Lorsque vous utilisez la commande pour afficher les
show route table bgp.rtarget.0routes de filtrage de cible de route BGP proxy, vous verrez le protocole BGP pour les routes reçues et les routes de protocole cible de route pour les routes de filtrage de cible de route locale.rtf-prefix-list name: l’instruction rtf-prefix-list applique la liste des préfixes de cible de route que vous avez déjà configurés à la stratégie. Vous définissez ce critère dans l’instructionfrom.
Diagramme de topologie
La figure 2 illustre la topologie utilisée dans cet exemple.
Dans cet exemple, le filtrage de la cible de route BGP est configuré sur les réflecteurs de route (équipement RR1 et équipement RR2) et sur l’équipement PE2 de périphérie du fournisseur (PE). L’autre PE, l’équipement PE1, ne prend pas en charge le filtrage des cibles de routage BGP. Le filtrage des cibles de route BGP proxy est également configuré sur les sessions d’appairage entre les réflecteurs de route et l’équipement PE1 afin de minimiser le nombre de mises à jour de route VPN traitées par l’équipement PE1. Quatre VPN sont configurés pour l’appareil PE2 (vpn1, vpn2, vpn3 et vpn4) et deux VPN sont configurés pour l’appareil PE1 (vpn1 et vpn2). Dans l’exemple de topologie, tous les appareils sont connectés au système autonome (AS) 203, OSPF est le protocole IGP (Interior Gateway Protocol) configuré et LDP est le protocole de signalisation utilisé par les VPN. Dans cet exemple, nous utilisons des routes statiques dans les instances VRF (VPN routing and forwarding) pour générer des routes VPN. Cela remplace l’utilisation d’un protocole PE vers périphérie client (CE) tel qu’OSPF ou BGP.
Dans cet exemple, vous contrôlez davantage les routes annoncées de l’équipement PE2 vers l’équipement PE1 en configurant une stratégie d’exportation sur l’appareil PE2 afin d’empêcher l’annonce de routes vpn3 vers l’équipement RR1. Vous créez une stratégie qui spécifie la family route-target condition de correspondance, définit la liste des préfixes de cible de route et applique la liste des préfixes de cible de route en définissant les rtf-prefix-list critères.
Configuration
- Configuration rapide de la CLI
- Configuration de l’équipement PE1
- configuration de l’équipement RR1
- configuration de l’équipement RR2
- Configuration de l’équipement PE2
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Appareil PE1
set interfaces ge-1/0/0 unit 0 description PE1-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE1-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.49.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.163.58 set protocols bgp group internal neighbor 10.255.165.220 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.165.28 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.163.58 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard
Appareil RR1
set interfaces ge-1/0/0 unit 0 description RR1-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR1-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.0.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 198.51.100.0 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.220 set routing-options autonomous-system 203
Appareil RR2
set interfaces ge-1/0/0 unit 0 description RR2-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.10.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR2-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.165.28 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.28 set routing-options autonomous-system 203
Dispositif PE2
set interfaces ge-1/0/0 unit 0 description PE2-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.50.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE2-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.168.42 set protocols bgp group internal family inet-vpn unicast set protocols bgp group internal family route-target set protocols bgp group internal neighbor 10.255.165.220 export filter-rtc set protocols bgp group internal neighbor 10.255.165.28 set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options rtf-prefix-list exclude-103 203:203:103/96 set policy-options policy-statement filter-rtc from family route-target set policy-options policy-statement filter-rtc from rtf-prefix-list exclude-103 set policy-options policy-statement filter-rtc then reject set routing-options route-distinguisher-id 10.255.168.42 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard set routing-instances vpn3 instance-type vrf set routing-instances vpn3 vrf-target target:203:103 set routing-instances vpn3 routing-options static route 203.0.113.3/24 discard set routing-instances vpn4 instance-type vrf set routing-instances vpn4 vrf-target target:203:104 set routing-instances vpn4 routing-options static route 203.0.113.4/24 discard
Configuration de l’équipement PE1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’équipement PE1 :
Configurez les interfaces.
[edit interfaces] user@PE1# set ge-1/0/0 unit 0 description PE1-to-RR1 user@PE1# set ge-1/0/0 unit 0 family inet address 10.49.0.1/30 user@PE1# set ge-1/0/0 unit 0 family mpls user@PE1#set ge-1/0/1 unit 0 description PE1-to-RR2 user@PE1#set ge-1/0/1 unit 0 family inet address 10.49.10.1/30 user@PE1# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@PE1# set route-distinguisher-id 10.255.163.58 user@PE1# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@PE1# set type internal user@PE1# set local-address 10.255.163.58 user@PE1# set neighbor 10.255.165.220 family inet-vpn unicast user@PE1# set neighbor 10.255.165.28 family inet-vpn unicast
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1 user@PE1# set interface lo0.0 passive
Configurez les instances de routage VPN.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:100 user@PE1# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:101 user@PE1# set routing-options static route 203.0.113.2/24 discard
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@PE1# commit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols, show routing-optionset show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@PE1# show interfaces
ge-1/0/0 {
unit 0 {
description PE1-to-RR1;
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE1-to-RR2;
family inet {
address 10.49.10.1/30;
}
family mpls;
}
}
user@PE1# show protocols
bgp {
group internal {
type internal;
local-address 10.255.163.58;
neighbor 10.255.165.220 {
family inet-vpn {
unicast;
}
}
neighbor 10.255.165.28 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE1# show routing-options route-distinguisher-id 10.255.14.182; autonomous-system 203;
user@PE1# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
configuration de l’équipement RR1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’appareil RR1 :
Configurez les interfaces.
[edit interfaces] user@RR1# set ge-1/0/0 unit 0 description RR1-to-PE1 user@RR1# set ge-1/0/0 unit 0 family inet address 10.49.0.2/30 user@RR1# set ge-1/0/0 unit 0 family mpls user@RR1# set ge-1/0/1 unit 0 description RR1-to-PE2 user@RR1# set ge-1/0/1 unit 0 family inet address 10.50.0.2/30 user@RR1# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@RR1# set route-distinguisher-id 10.255.165.220 user@RR1# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@RR1# set type internal user@RR1# set local-address 10.255.165.220 user@RR1# set cluster 198.51.100.1 user@RR1# set neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast user@RR1# set neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast
Configurez le filtrage de la cible de routage BGP sur la session d’appairage avec l’équipement PE2.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.168.42 family route-target
Configurez le filtrage de la cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.163.58 family route-target proxy-generate
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1 user@RR1# set interface lo0.0 passive
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@RR1# commit
Résultats
À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@RR1# show interfaces
ge-1/0/0 {
unit 0 {
description RR1-to-PE1;
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR1-to-PE2;
family inet {
address 10.50.0.2/30;
}
family mpls;
}
}
user@RR1# show protocols
bgp {
group internal {
type internal;
local-address 198.51.100.0;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn1-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn1-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR1# show routing-options route-distinguisher-id 10.255.165.220; autonomous-system 203;
configuration de l’équipement RR2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’appareil RR2 :
Configurez les interfaces.
[edit interfaces] user@RR2# set ge-1/0/0 unit 0 description RR2-to-PE1 user@RR2# set ge-1/0/0 unit 0 family inet address 10.49.10.2/30 user@RR2# set ge-1/0/0 unit 0 family mpls user@RR2# set ge-1/0/1 unit 0 description RR2-to-PE2 user@RR2# set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@RR2# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@RR2# set route-distinguisher-id 10.255.165.28 user@RR2# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@RR2# set type internal user@RR2# set local-address 10.255.165.28 user@RR2# set cluster 198.51.100.1 user@RR2# set neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast user@RR2# set neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast
Configurez le filtrage de la cible de routage BGP sur la session d’appairage avec l’équipement PE2.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.168.42 family route-target
Configurez le filtrage de la cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.163.58 family route-target proxy-generate
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1 user@RR2# set interface lo0.0 passive
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@RR2# commit
Résultats
À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@RR2# show interfaces
ge-1/0/0 {
unit 0 {
description RR2-to-PE1;
family inet {
address 10.49.10.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR2-to-PE2;
family inet {
address 10.50.10.2/30;
}
family mpls;
}
}
user@RR2# show protocols
bgp {
group internal {
local-address 10.255.165.28;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn2-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn2-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR2# show routing-options route-distinguisher-id 10.255.165.28; autonomous-system 203;
Configuration de l’équipement PE2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’équipement PE2 :
Configurez les interfaces.
[edit interfaces] user@PE2# set ge-1/0/0 unit 0 description PE2-to-RR1 user@PE2# set ge-1/0/0 unit 0 family inet address 10.50.0.1/30 user@PE2# set ge-1/0/0 unit 0 family mpls user@PE2#set ge-1/0/1 unit 0 description PE2-to-RR2 user@PE2#set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@PE2# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@PE2# set route-distinguisher-id 10.255.168.42 user@PE2# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@PE2# set type internal user@PE2# set local-address 10.255.168.42 user@PE2# set family inet-vpn unicast user@PE2# set family route-target user@PE2# set neighbor 10.255.165.220 user@PE2# set neighbor 10.255.165.28
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1 user@PE2# set interface lo0.0 passive
Configurez les instances de routage VPN.
[edit routing-instances vpn1] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:100 user@PE2# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:101 user@PE2# set routing-options static route 203.0.113.2/24 discard
[edit routing-instances vpn3] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:103 user@PE2# set routing-options static route 203.0.113.3/24 discard
[edit routing-instances vpn4] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:104 user@PE2# set routing-options static route 203.0.113.4/24 discard
Configurez et appliquez la stratégie de routage des exportations.
[edit policy-options] user@PE2# set rtf-prefix-list exclude-103 203:203:103/96 [edit policy-options policy-statement filter-rtc] user@PE2# set from family route-target user@PE2# set from rtf-prefix-list exclude-103 user@PE2# set then reject [edit protocols bgp group internal] user@PE2# set neighbor 10.255.165.220 export filter-rtc
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@PE2# commit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols, show policy-options, show routing-optionset show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@PE2# show interfaces
ge-1/0/0 {
unit 0 {
description PE2-to-RR1;
family inet {
address 10.50.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE2-to-RR2;
family inet {
address 10.50.10.2/30;
}
family mpls;
}
}
user@PE2# show protocols
bgp {
group internal {
type internal;
local-address 10.255.168.42;
family inet-vpn {
unicast;
}
family route-target;
neighbor 10.255.165.220 {
export filter-rtc;
}
neighbor 10.255.165.28;
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE2# show routing-options route-distinguisher-id 10.255.168.42; autonomous-system 203;
user@PE2# show policy-options
policy-statement filter-rtc {
from {
family route-target;
rtf-prefix-list exclude-103;
}
then reject;
}
rtf-prefix-list exclude-103 {
203:203:103/96;
}
user@PE2# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
vpn3 {
instance-type vrf;
vrf-target target:203:103;
routing-options {
static {
route 203.0.113.3/24 discard;
}
}
}
vpn4 {
instance-type vrf;
vrf-target target:203:104;
routing-options {
static {
route 203.0.113.4/24 discard;
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des routes de filtrage de la cible dans la table de routage bgp.rtarget.0 pour l’équipement RR1
- Vérification des routes de filtrage cible dans la table de routage bgp.rtarget.0 pour l’équipement RR2
Vérification des routes de filtrage de la cible dans la table de routage bgp.rtarget.0 pour l’équipement RR1
But
Vérifiez que le préfixe de route pour vpn3 ne figure pas dans la table bgp.rtarget.0 de l’appareil RR1. Étant donné qu’une stratégie d’exportation sur l’équipement PE2 a été appliquée pour empêcher l’annonce de routes vpn3 vers l’appareil RR1, l’appareil RR1 ne devrait pas recevoir ces annonces.
Action
À partir du mode opérationnel, entrez la show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0 commande.
user@PE2# show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 11 routes
(4 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
203:203:100/96 * Self 100 I
203:203:101/96 * Self 100 I
203:203:104/96 * Self 100 I
Signification
La table bgp.rtartget.0 n’affiche pas 203:203:103/96, qui est le préfixe de route pour vpn3. Cela signifie que la politique d’exportation a été appliquée correctement.
Vérification des routes de filtrage cible dans la table de routage bgp.rtarget.0 pour l’équipement RR2
But
Vérifiez que le préfixe de route pour vpn3 se trouve dans la table bgp.rtarget.0 de l’appareil RR2. Étant donné qu’aucune stratégie d’exportation n’a été appliquée sur l’appareil PE2 pour empêcher l’annonce de routes vpn3 vers l’appareil RR2, l’appareil RR2 doit recevoir des annonces de tous les VPN.
Action
À partir du mode opérationnel, entrez la show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0 commande.
user@PE2# show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0
bgp.rtarget.0: 4 destinations, 11 routes (4 active, 0 holddown, 0 hidden)
(4 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
203:203:100/96 * Self 100 I
203:203:101/96 * Self 100 I
203:203:103/96 * Self 100 I
203:203:104/96 * Self 100 I
Signification
La table bgp.rtartget.0 affiche les préfixes de route pour tous les VPN.
Exemple : configuration des qualificateurs de famille de protocoles VPN de couche 3 pour les filtres de route
Cet exemple montre comment contrôler l’étendue des stratégies d’importation BGP en configurant un qualificateur de famille pour la stratégie d’importation BGP. Le qualificatif de famille spécifie les routes de type inet, inet6, inet-vpnou inet6-vpn.
Exigences
Cet exemple utilise Junos OS version 10.0 ou ultérieure.
Avant de commencer :
Configurez les interfaces des appareils.
Configurez un protocole de passerelle intérieure. Reportez-vous à la bibliothèque de protocoles de routage Junos OS.
Configurez une session BGP pour plusieurs types de routage. Par exemple, configurez la session pour les itinéraires familiaux
inetet les itinéraires familiauxinet-vpn. Reportez-vous aux sections Configuration de sessions IBGP entre des routeurs PE dans les VPN et Configuration de VPN de couche 3 pour transporter le trafic IPv6.
Aperçu
Les qualificateurs de famille font en sorte qu’un filtre de routage ne corresponde qu’à une famille spécifique. Lorsque vous configurez un filtre de route IPv4 sans qualificateur de famille, comme illustré ici, le filtre de route correspond inet et inet-vpn achemine.
route-filter ipv4-address/mask;
De même, lorsque vous configurez un filtre de routage IPv6 sans qualificatif de famille, comme illustré ici, le filtre de routage correspond inet6 et inet6-vpn achemine.
route-filter ipv6-address/mask;
Prenons le cas où une session BGP a été configurée à la fois pour les routes familiales inet et les routes familiales inet-vpn , et qu’une stratégie d’importation a été configurée pour cette session BGP. Cela signifie que les itinéraires familiaux inet et familiaux inet-vpn , lorsqu’ils sont reçus, partagent la même politique d’importation. Le terme de la stratégie pourrait ressembler à ce qui suit :
from {
route-filter 0.0.0.0/0 exact;
}
then {
next-hop self;
accept;
}
Cette logique de filtre de route correspond à une route de 0.0.0.0 et à inet une inet-vpn route dont la partie d’adresse IPv4 est 0.0.0.0. La partie séparateur de route sur 8 octets de la inet-vpn route n’est pas prise en compte dans la correspondance route-filtre. Il s’agit d’une modification du comportement de Junos OS qui a été introduite dans Junos OS version 10.0.
Si vous ne souhaitez pas que votre stratégie corresponde aux deux types d’itinéraires, ajoutez un qualificatif familial à votre stratégie. Pour que le filtre de route ne corresponde qu’aux inet itinéraires, ajoutez le qualificatif de stratégie familiale inet . Pour que le filtre de route ne corresponde qu’aux inet-vpn itinéraires, ajoutez le qualificatif de stratégie familiale inet-vpn .
Le qualificatif de famille est évalué avant que le filtre de route ne soit évalué. Par conséquent, le filtre de route n’est pas évalué si la correspondance de famille échoue. La même logique s’applique à la famille inet6 et à la famille inet6-vpn. Le filtre de route utilisé dans l’exemple inet6 doit utiliser une adresse IPv6. Il y a un gain d’efficacité potentiel dans l’utilisation d’un qualificatif familial, car le qualificatif familial est testé avant la plupart des autres qualificatifs, ce qui élimine rapidement les itinéraires des familles indésirables.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Exemple d’inet
set policy-options policy-statement specific-family from family inet set policy-options policy-statement specific-family from route-filter 0.0.0.0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Exemple avec Inet-vpn
set policy-options policy-statement specific-family from family inet-vpn set policy-options policy-statement specific-family from route-filter 0.0.0.0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Exemple avec inet6
set policy-options policy-statement specific-family from family inet6 set policy-options policy-statement specific-family from route-filter 0::0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Exemple avec Inet6-vpn
set policy-options policy-statement specific-family from family inet6-vpn set policy-options policy-statement specific-family from route-filter 0::0/0 exact set policy-options policy-statement specific-family then next-hop self set policy-options policy-statement specific-family then accept set protocols bgp import specific-family
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer une carte de flux :
Configurez le qualificatif de famille.
[edit policy-options] user@host# set policy-statement specific-family from family inet
Configurez le filtre de routage.
[edit policy-options] user@host# set policy-statement specific-family from route-filter 0.0.0.0/0 exact
Configurez les actions de stratégie.
[edit policy-options] user@host# set policy-statement specific-family then next-hop self user@host# set policy-statement specific-family then accept
Appliquez la stratégie.
[edit protocols bgp] user@host# set import specific-family
Résultats
À partir du mode configuration, confirmez votre configuration en exécutant la show protocols commande and show policy-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show protocols
bgp {
import specific-family;
}
user@host# show policy-options
policy-statement specific-family {
from {
family inet;
route-filter 0.0.0.0/0 exact;
}
then {
next-hop self;
accept;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Répétez la procédure pour chaque famille de protocoles pour laquelle vous avez besoin d’une stratégie de filtrage de routage spécifique.
Vérification
Pour vérifier la configuration, exécutez les commandes suivantes :
show route advertising-protocol bgp neighbor detailshow route instance instance-name detail
Comprendre le filtrage des cibles de routage BGP du proxy pour les VPN
Le filtrage des routes BGP (également appelé contrainte de cible de route ou RTC) vous permet de distribuer des routes VPN uniquement aux équipements qui en ont besoin. Dans les réseaux VPN pour lesquels le filtrage des routes cibles BGP n’est pas configuré, BGP distribue toutes les routes VPN à tous les homologues VPN, ce qui peut solliciter les ressources réseau. La fonctionnalité de filtrage des cibles de route a été introduite pour réduire le nombre d’appareils recevant des routes VPN et des mises à jour de routage VPN, limitant ainsi la surcharge associée à l’exécution d’un VPN. L’implémentation de Junos OS pour le filtrage des cibles de routage BGP est basée sur RFC 4684, Constrained Route Distribution for Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs).
Que se passe-t-il si votre environnement réseau ne déploie pas le filtrage de routes cibles à grande échelle ou si certains équipements ne prennent pas en charge le filtrage de routes cibles ? Par exemple, vous pouvez avoir un interlocuteur BGP avec le filtrage de cible de route activé qui est appairé avec un interlocuteur BGP qui ne prend pas en charge ou pour lequel le filtrage de cible de route n’est pas configuré. Dans ce cas, l’interlocuteur BGP pour lequel le filtrage de la cible de route est configuré doit annoncer l’appartenance à la cible de route par défaut (appartenance RT) au nom de son homologue. Les économies de ressources de filtrage de la cible de routage ne sont pas réalisées, car l’appareil prenant en charge le filtrage doit maintenant envoyer toutes les routes VPN à l’appareil qui ne prend pas en charge le filtre. Le filtrage de cible de route BGP proxy (ou Proxy RTC) permet de générer une appartenance RT pour les périphériques qui ne prennent pas en charge le filtrage de cible de route. Cela facilite le déploiement du filtrage de routes cibles dans les réseaux où il n’est pas complètement déployé ou pas entièrement pris en charge.
Le filtrage des cibles de routage BGP proxy vous permet de distribuer les annonces d’appartenance RT proxy créées à partir des routes BGP VPN reçues vers d’autres périphériques du réseau qui en ont besoin. Celles-ci sont connues sous le nom de publicités proxy, car l’appareil crée l’appartenance RT au nom de ses homologues sans la fonctionnalité de filtrage de la cible de route. Le filtrage des cibles de route BGP proxy utilise des communautés étendues de cibles de route BGP qui sont exportées vers un interlocuteur BGP spécifique pour générer les cibles de route. Les routes RTC proxy générées sont stockées dans la table de routage bgp.rtarget.0.
Vous pouvez également configurer une stratégie pour contrôler les routes VPN utilisées pour générer les routes RTC proxy. Cela peut aider à contrôler l’appartenance RT générée par le dispositif de proxy. En outre, vous pouvez configurer une stratégie pour réduire la surcharge de mémoire associée au RTC du proxy. Le RTC proxy n’utilise de la mémoire supplémentaire par route VPN que lorsqu’une stratégie l’autorise à générer un abonnement RT.
Exemple : configuration du filtrage de la cible de route BGP du proxy pour les VPN
Cet exemple montre comment configurer le filtrage de la cible de route BGP du proxy (également appelé contrainte de cible de route du proxy ou RTC du proxy).
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Quatre équipements Juniper Networks pouvant être une combinaison de routeurs M Series, MX Series ou T Series.
Junos OS version 12.2 ou ultérieure sur un ou plusieurs équipements configurés pour le filtrage de routes BGP proxy. Dans cet exemple, vous configurez explicitement le filtrage de route BGP proxy sur les réflecteurs de route.
Avant de configurer le filtrage de la cible de routage BGP proxy, assurez-vous de bien connaître et de comprendre les concepts suivants :
Aperçu
Le filtrage des cibles de routage diminue le nombre d’appareils dans un réseau qui reçoivent des routes VPN qui ne sont pas nécessaires. Le filtrage des routes cibles BGP par proxy permet aux réseaux de tirer parti du filtrage des routes cibles dans les emplacements où cette fonctionnalité n’est pas encore prise en charge. En configurant cette fonctionnalité, vous pouvez économiser un grand nombre des ressources réseau qui s’offrent à vous si votre réseau prend entièrement en charge le filtrage de routes BGP cibles.
Pour configurer le filtrage de la cible de route BGP proxy, incluez l’instruction family route-target proxy-generate sur les périphériques qui distribueront les annonces d’appartenance à la cible de route proxy (appartenance RT) pour les périphériques qui ne prennent pas en charge le filtrage de cible de route BGP. Les routes de filtrage de la cible BGP du proxy sont ensuite stockées dans la table de routage bgp.rtarget.0.
Le filtrage de cible de route BGP proxy est destiné à créer des annonces d’appartenance RT pour les périphériques qui ne prennent pas en charge la fonctionnalité de filtrage de cible de route BGP. Si l’instruction proxy-generate est présente, mais que la famille cible de route est négociée avec l’homologue pair BGP, la fonctionnalité de génération de proxy est désactivée. Cela permet de configurer plus simplement des pairs BGP où une partie des homologues du groupe prennent en charge le filtrage des cibles de routage, mais d’autres non. Dans un tel exemple, l’instruction peut faire partie de la configuration du groupe d’homologues family route-target proxy-generate pair BGP.
Lorsque vous déployez le filtrage de route cible BGP proxy dans votre réseau, l’instruction advertise-default de filtrage de cible de route BGP entraîne l’affichage de la route cible par défaut (0:0:0/0) et la suppression de toutes les routes plus spécifiques. Si le filtrage de cible de route BGP proxy est configuré sur un périphérique et qu’un ou plusieurs homologues ont configuré l’instruction dans le advertise-default cadre de leur configuration de filtrage de cible de route BGP, la configuration advertise-default est ignorée.
Diagramme de topologie
La figure 3 illustre la topologie utilisée dans cet exemple.
Dans cet exemple, le filtrage de la cible de route BGP est configuré sur les réflecteurs de route (Device RR1 et Device RR2) et le périphérique PE2 de périphérie du fournisseur (PE), mais l’autre PE, Device PE1, ne prend pas en charge la fonctionnalité de filtrage de la cible de route BGP. Quatre VPN sont configurés sur l’appareil PE2 (vpn1, vpn2, vpn3 et vpn4). L’appareil PE1 a deux VPN configurés (vpn1 et vpn2), de sorte que cet appareil ne peut recevoir que les mises à jour de route pour vpn1 et vpn2. Actuellement, cela est impossible car les deux réflecteurs de route (Device RR1 et Device RR2) apprennent et partagent des informations sur toutes les routes VPN entrantes (vpn1 à vpn4) avec Device PE1. Dans l’exemple de topologie, tous les appareils sont connectés au système autonome (AS) 203, OSPF est le protocole IGP (Interior Gateway Protocol) configuré et LDP est le protocole de signalisation utilisé par les VPN. Dans cet exemple, nous utilisons des routes statiques dans les instances VRF (VPN routing and forwarding) pour générer des routes VPN. Cela remplace l’utilisation d’un protocole PE vers périphérie client (CE) tel qu’OSPF ou BGP.
Pour réduire le nombre de mises à jour de route VPN traitées par l’équipement PE1, vous incluez l’instruction permettant de configurer le family route-target proxy-generate filtrage de la cible de route BGP proxy sur chaque réflecteur de route. Chaque réflecteur de route dispose d’une session d’appairage avec le périphérique PE1 et prend en charge le filtrage de la cible de route vers le cœur. Toutefois, l’équipement PE1 ne prend pas en charge le filtrage des routes cibles, de sorte que les économies de ressources réseau ne sont pas réalisées par l’équipement PE1 puisqu’il reçoit toutes les mises à jour VPN. En configurant le filtrage de la cible de route BGP proxy sur les sessions d’appairage faisant face à l’équipement PE1, vous limitez le nombre de mises à jour VPN traitées par l’équipement PE1, et les réflecteurs de route génèrent les routes cibles de routage BGP proxy pour l’équipement PE1 sur l’ensemble du réseau.
Configuration
- Configuration rapide de la CLI
- Configuration de l’équipement PE1
- configuration de l’équipement RR1
- configuration de l’équipement RR2
- Configuration de l’équipement PE2
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Appareil PE1
set interfaces ge-1/0/0 unit 0 description PE1-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE1-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.49.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.163.58 set protocols bgp group internal neighbor 10.255.165.220 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.165.28 family inet-vpn unicast set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.163.58 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard
Appareil RR1
set interfaces ge-1/0/0 unit 0 description RR1-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.0.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR1-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.0.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 198.51.100.1 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.168.42 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.220 set routing-options autonomous-system 203
Appareil RR2
set interfaces ge-1/0/0 unit 0 description RR2-to-PE1 set interfaces ge-1/0/0 unit 0 family inet address 10.49.10.2/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description RR2-to-PE2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.2/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.165.28 set protocols bgp group internal cluster 198.51.100.1 set protocols bgp group internal neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.163.58 family route-target proxy-generate set protocols bgp group internal neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast set protocols bgp group internal neighbor 10.255.168.42 family route-target set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.165.28 set routing-options autonomous-system 203
Dispositif PE2
set interfaces ge-1/0/0 unit 0 description PE2-to-RR1 set interfaces ge-1/0/0 unit 0 family inet address 10.50.0.1/30 set interfaces ge-1/0/0 unit 0 family mpls set interfaces ge-1/0/1 unit 0 description PE2-to-RR2 set interfaces ge-1/0/1 unit 0 family inet address 10.50.10.1/30 set interfaces ge-1/0/1 unit 0 family mpls set protocols ldp interface ge-1/0/0 set protocols ldp interface ge-1/0/1 set protocols bgp group internal type internal set protocols bgp group internal local-address 10.255.168.42 set protocols bgp group internal family inet-vpn unicast set protocols bgp group internal family route-target set protocols bgp group internal neighbor 10.255.165.220 set protocols bgp group internal neighbor 10.255.165.28 set protocols ospf area 0.0.0.0 interface ge-1/0/0 set protocols ospf area 0.0.0.0 interface ge-1/0/1 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-options route-distinguisher-id 10.255.168.42 set routing-options autonomous-system 203 set routing-instances vpn1 instance-type vrf set routing-instances vpn1 vrf-target target:203:100 set routing-instances vpn1 routing-options static route 203.0.113.1/24 discard set routing-instances vpn2 instance-type vrf set routing-instances vpn2 vrf-target target:203:101 set routing-instances vpn2 routing-options static route 203.0.113.2/24 discard set routing-instances vpn3 instance-type vrf set routing-instances vpn3 vrf-target target:203:103 set routing-instances vpn3 routing-options static route 203.0.113.3/24 discard set routing-instances vpn4 instance-type vrf set routing-instances vpn4 vrf-target target:203:104 set routing-instances vpn4 routing-options static route 203.0.113.4/24 discard
Configuration de l’équipement PE1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’équipement PE1 :
Configurez les interfaces.
[edit interfaces] user@PE1# set ge-1/0/0 unit 0 description PE1-to-RR1 user@PE1# set ge-1/0/0 unit 0 family inet address 10.49.0.1/30 user@PE1# set ge-1/0/0 unit 0 family mpls user@PE1# set ge-1/0/1 unit 0 description PE1-to-RR2 user@PE1# set ge-1/0/1 unit 0 family inet address 10.49.10.1/30 user@PE1# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@PE1# set route-distinguisher-id 10.255.163.58 user@PE1# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@PE1# set type internal user@PE1# set local-address 10.255.163.58 user@PE1# set neighbor 10.255.165.220 family inet-vpn unicast user@PE1# set neighbor 10.255.165.28 family inet-vpn unicast
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@PE1# set interface ge-1/0/0 user@PE1# set interface ge-1/0/1 user@PE1# set interface lo0.0 passive
Configurez les instances de routage VPN.
[edit routing-instances vpn1] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:100 user@PE1# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE1# set instance-type vrf user@PE1# set vrf-target target:203:101 user@PE1# set routing-options static route 203.0.113.2/24 discard
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@PE1# commit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols, show routing-optionset show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@PE1# show interfaces
ge-1/0/0 {
unit 0 {
description PE1-to-RR1;
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE1-to-RR2;
family inet {
address 10.49.10.1/30;
}
family mpls;
}
}
user@PE1# show protocols
bgp {
group internal {
type internal;
local-address 10.255.163.58;
neighbor 10.255.165.220 {
family inet-vpn {
unicast;
}
}
neighbor 10.255.165.28 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE1# show routing-options route-distinguisher-id 10.255.14.182; autonomous-system 203;
user@PE1# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
configuration de l’équipement RR1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’appareil RR1 :
Configurez les interfaces.
[edit interfaces] user@RR1# set ge-1/0/0 unit 0 description RR1-to-PE1 user@RR1# set ge-1/0/0 unit 0 family inet address 10.49.0.2/30 user@RR1# set ge-1/0/0 unit 0 family mpls user@RR1# set ge-1/0/1 unit 0 description RR1-to-PE2 user@RR1# set ge-1/0/1 unit 0 family inet address 10.50.0.2/30 user@RR1# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@RR1# set route-distinguisher-id 10.255.165.220 user@RR1# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@RR1# set type internal user@RR1# set local-address 10.255.165.220 user@RR1# set cluster 198.51.100.1 user@RR1# set neighbor 10.255.163.58 description vpn1-to-pe1 family inet-vpn unicast user@RR1# set neighbor 10.255.168.42 description vpn1-to-pe2 family inet-vpn unicast
Configurez le filtrage de la cible de routage BGP sur la session d’appairage avec l’équipement PE2.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.168.42 family route-target
Configurez le filtrage de la cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.
[edit protocols bgp group internal] user@RR1# set neighbor 10.255.163.58 family route-target proxy-generate
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@RR1# set interface ge-1/0/0 user@RR1# set interface ge-1/0/1 user@RR1# set interface lo0.0 passive
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@RR1# commit
Résultats
À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@RR1# show interfaces
ge-1/0/0 {
unit 0 {
description RR1-to-PE1;
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR1-to-PE2;
family inet {
address 10.50.0.2/30;
}
family mpls;
}
}
user@RR1# show protocols
bgp {
group internal {
type internal;
local-address 198.51.100.1;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn1-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn1-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR1# show routing-options route-distinguisher-id 10.255.165.220; autonomous-system 203;
configuration de l’équipement RR2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’appareil RR2 :
Configurez les interfaces.
[edit interfaces] user@RR2# set ge-1/0/0 unit 0 description RR2-to-PE1 user@RR2# set ge-1/0/0 unit 0 family inet address 10.49.10.2/30 user@RR2# set ge-1/0/0 unit 0 family mpls user@RR2# set ge-1/0/1 unit 0 description RR2-to-PE2 user@RR2# set ge-1/0/1 unit 0 family inet address 10.50.10.2/30 user@RR2# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@RR2# set route-distinguisher-id 10.255.165.28 user@RR2# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@RR2# set type internal user@RR2# set local-address 10.255.165.28 user@RR2# set cluster 198.51.100.1 user@RR2# set neighbor 10.255.163.58 description vpn2-to-pe1 family inet-vpn unicast user@RR2# set neighbor 10.255.168.42 description vpn2-to-pe2 family inet-vpn unicast
Configurez le filtrage de la cible de routage BGP sur la session d’appairage avec l’équipement PE2.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.168.42 family route-target
Configurez le filtrage de la cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.
[edit protocols bgp group internal] user@RR2# set neighbor 10.255.163.58 family route-target proxy-generate
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@RR2# set interface ge-1/0/0 user@RR2# set interface ge-1/0/1 user@RR2# set interface lo0.0 passive
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@RR2# commit
Résultats
À partir du mode configuration, confirmez votre configuration en saisissant les show interfacescommandes , show protocols, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@RR2# show interfaces
ge-1/0/0 {
unit 0 {
description RR2-to-PE1;
family inet {
address 10.49.10.2/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description RR2-to-PE2;
family inet {
address 10.50.10.2/30;
}
family mpls;
}
}
user@RR2# show protocols
bgp {
group internal {
local-address 10.255.165.28;
cluster 198.51.100.1;
neighbor 10.255.163.58 {
description vpn2-to-pe1;
family inet-vpn {
unicast;
}
family route-target {
proxy-generate;
}
}
neighbor 10.255.168.42 {
description vpn2-to-pe2;
family inet-vpn {
unicast;
}
family route-target;
}
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@RR2# show routing-options route-distinguisher-id 10.255.165.28; autonomous-system 203;
Configuration de l’équipement PE2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’équipement PE2 :
Configurez les interfaces.
[edit interfaces] user@PE2# set ge-1/0/0 unit 0 description PE2-to-RR1 user@PE2# set ge-1/0/0 unit 0 family inet address 10.50.0.1/30 user@PE2# set ge-1/0/0 unit 0 family mpls user@PE2# set ge-1/0/1 unit 0 description PE2-to-RR2 user@PE2# set ge-1/0/1 unit 0 family inet address 10.50.10.1/30 user@PE2# set ge-1/0/1 unit 0 family mpls
Configurez le séparateur de route et le numéro AS.
[edit routing-options] user@PE2# set route-distinguisher-id 10.255.168.42 user@PE2# set autonomous-system 203
Configurez LDP comme protocole de signalisation utilisé par le VPN.
[edit protocols ldp] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1
Configurez BGP.
[edit protocols bgp group internal] user@PE2# set type internal user@PE2# set local-address 10.255.168.42 user@PE2# set family inet-vpn unicast user@PE2# set family route-target user@PE2# set neighbor 10.255.165.220 user@PE2# set neighbor 10.255.165.28
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@PE2# set interface ge-1/0/0 user@PE2# set interface ge-1/0/1 user@PE2# set interface lo0.0 passive
Configurez les instances de routage VPN.
[edit routing-instances vpn1] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:100 user@PE2# set routing-options static route 203.0.113.1/24 discard
[edit routing-instances vpn2] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:101 user@PE2# set routing-options static route 203.0.113.2/24 discard
[edit routing-instances vpn3] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:103 user@PE2# set routing-options static route 203.0.113.3/24 discard
[edit routing-instances vpn4] user@PE2# set instance-type vrf user@PE2# set vrf-target target:203:104 user@PE2# set routing-options static route 203.0.113.4/24 discard
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@PE2# commit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show protocols, show routing-optionset show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@PE2# show interfaces
ge-1/0/0 {
unit 0 {
description PE2-to-RR1;
family inet {
address 10.50.0.1/30;
}
family mpls;
}
}
ge-1/0/1 {
unit 0 {
description PE2-to-RR2;
family inet {
address 10.50.10.1/30;
}
family mpls;
}
}
user@PE2# show protocols
bgp {
group internal {
type internal;
local-address 10.255.168.42;
family inet-vpn {
unicast;
}
family route-target;
neighbor 10.255.165.220;
neighbor 10.255.165.28;
}
}
ospf {
area 0.0.0.0 {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface ge-1/0/0.0;
interface ge-1/0/1.0;
}
user@PE2# show routing-options route-distinguisher-id 10.255.168.42; autonomous-system 203;
user@PE2# show routing-instances
vpn1 {
instance-type vrf;
vrf-target target:203:100;
routing-options {
static {
route 203.0.113.1/24 discard;
}
}
}
vpn2 {
instance-type vrf;
vrf-target target:203:101;
routing-options {
static {
route 203.0.113.2/24 discard;
}
}
}
vpn3 {
instance-type vrf;
vrf-target target:203:103;
routing-options {
static {
route 203.0.113.3/24 discard;
}
}
}
vpn4 {
instance-type vrf;
vrf-target target:203:104;
routing-options {
static {
route 203.0.113.4/24 discard;
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des routes BGP du proxy
But
Vérifiez que les routes cibles de la route BGP du proxy sont affichées dans la table bgp.rtarget.0 du périphérique RR1.
Action
À partir du mode opérationnel, entrez la show route table bgp.rtartget.0 commande pour afficher les cibles de routage BGP du proxy.
user@RR1# show route table bgp.rtarget.0
4 destinations, 6 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
203:203:100/96
*[RTarget/5] 00:01:22
Type Proxy
for 10.255.163.58
Local
[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
203:203:101/96
*[RTarget/5] 00:01:22
Type Proxy
for 10.255.163.58
Local
[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
203:203:103/96
*[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
203:203:104/96
*[BGP/170] 00:04:55, localpref 100, from 10.255.168.42
AS path: I, validation-state: unverified
> to 10.50.0.1 via ge-1/0/1
Signification
L’équipement RR1 génère les routes cibles de routage BGP proxy pour le compte de son homologue, l’équipement PE1. Les routes cibles de la route BGP du proxy sont identifiées par le protocole et la préférence [RTarget/5] ainsi que par le type de route cible .Proxy