Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrage des cibles de routage

Cette rubrique décrit la configuration du filtrage des cibles de routage statique, BGP et Proxy BGP et fournit des exemples de configuration du filtrage des cibles de routage pour les VPN.

Configuration du filtrage cible de routage statique pour les VPN

La communauté étendue de routage VPN BGP (RFC 4360, attribut BGP Extended Communities) est utilisée pour déterminer l’appartenance au VPN. Le filtrage statique des cibles de routage permet d’éviter la consommation de ressources dans des parties du réseau où les routes VPN ne sont pas nécessaires en raison de l’absence de routeurs PE membres (RFC 4684, Distribution de route contrainte pour Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPN) ). Les routeurs peuvent créer des routes dans le protocole RT-Contraigne pour indiquer leur intérêt à recevoir des routes VPN contenant des cibles de routage qui correspondent au NLRI RT-Contraigne.

Pour configurer le filtrage statique des cibles de routage pour les VPN :

  • Configurez l’instruction route-target-filter au niveau de la [edit routing-options rib bgp.rtarget.0 static] hiérarchie.

    L’exemple suivant illustre comment configurer l’instruction route-target-filter :

  • Vous pouvez afficher les informations de filtrage des cibles de route à l’aide de la show bgp group rtf detail commande.

Réduction de l’utilisation des ressources réseau avec le filtrage statique des cibles de routage pour les VPN

La communauté étendue de routage VPN BGP (RFC 4360, attribut BGP Extended Communities) est utilisée pour déterminer l’appartenance au VPN. Le filtrage statique des cibles de routage permet d’éviter la consommation de ressources dans des parties du réseau où les routes VPN ne sont pas nécessaires en raison de l’absence de routeurs PE membres (RFC 4684, Distribution de route contrainte pour Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPN) ). Les routeurs peuvent créer des routes dans le protocole RT-Contraigne pour indiquer leur intérêt à recevoir des routes VPN contenant des cibles de routage qui correspondent au NLRI RT-Contraigne.

Normalement, pour que la fonctionnalité RT-Contraigne fonctionne correctement, elle doit être largement déployée sur un réseau. Si ce n’est pas le cas, la fonctionnalité est moins utile, car l’enceinte BGP RT-Contraigne face à un haut-parleur non-RT-Contrainte doit annoncer un routage RT-Contrac par défaut aux autres haut-parleurs RT-Contraignes pour le compte de l’homologue qui ne prend pas en charge la fonctionnalité. Cela élimine les avantages d’économie de ressources de la fonctionnalité dans certaines parties du réseau où elle n’est pas prise en charge, car un routage RT-Contraigne par défaut oblige le routeur PE et tous les routeurs PE intervenant à recevoir toutes les routes VPN.

La fonctionnalité RT-Contraigne statique vous permet de déployer partiellement la fonctionnalité RT-Contraigne sur un réseau. La fonctionnalité est activée à une frontière du réseau où RT-Contraigne est configuré. Cependant, certains pairs VPN BGP ne prennent pas en charge les routeurs RT-Contraignants, généralement PE. Les cibles de route de ces routeurs PE doivent être configurées statiquement sur le routeur. Ces cibles de routage sont diffusées à l’aide du protocole RT-Contraigne.

La fonctionnalité proxy RT-Contrainte permet aux pairs VPN BGP qui ne prennent pas en charge le protocole de voir leurs cibles de route découvertes et diffusées automatiquement. Toutefois, cette fonctionnalité ne peut prendre en charge que des cibles de routage symétriques. Par exemple, les cibles de routage d’importation et d’exportation pour une instance de routage VRF sont identiques. Toutefois, pour un VPN en étoile, les cibles de routage d’importation et d’exportation ne sont pas identiques. Dans ce scénario, la cible de routage d’importation et d’exportation peut être configurée de manière statique pour être diffusée dans le protocole RT-Contraigne.

Configuration du filtrage des cibles de routage BGP pour les VPN

Le filtrage des cibles de routage BGP vous permet de distribuer les routes VPN uniquement aux routeurs qui en ont besoin. Dans les réseaux VPN sans filtrage de cible BGP configuré, BGP distribue tous les routes VPN à tous les routeurs VPN homologues.

Pour plus d’informations sur le filtrage des cibles de routage BGP, voir RFC 4684, Distribution de route contrainte pour Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPN) .

Les sections suivantes présentent le filtrage des cibles de routage BGP et la façon de le configurer pour les VPN :

Présentation du filtrage des cibles de routes BGP

Les routeurs PE, à moins qu’ils ne soient configurés en tant que réflecteurs de route ou qu’ils n’exécutent une session EBGP, suppriment les routes VPN qui n’incluent pas de communauté étendue cible de routage, comme spécifié dans les stratégies d’importation VRF locales. Il s’agit du comportement par défaut de Junos OS.

Toutefois, à moins qu’il ne soit explicitement configuré pour ne pas stocker les routes VPN, tout routeur configuré en tant que réflecteur de route ou routeur de bordure pour une famille d’adresses VPN doit stocker toutes les routes VPN qui existent sur le réseau du fournisseur de services. En outre, bien que les routeurs PE puissent éliminer automatiquement les routes qui n’incluent pas une communauté étendue de routage cible, les mises à jour de route continuent d’être générées et reçues.

En réduisant le nombre de routeurs recevant des routes VPN et des mises à jour de routage, le filtrage des cibles de routage BGP permet de limiter les frais associés à l’exécution d’un VPN. Le filtrage des cibles de routage BGP est le plus efficace pour réduire le trafic administratif lié aux VPN dans les réseaux où de nombreux réflecteurs de route ou routeurs de bordure AS ne participent pas directement aux VPN (qui n’agissent pas comme des routeurs PE pour les équipements CE).

Le filtrage des cibles de routage BGP utilise des messages UPDATE standard pour distribuer les communautés étendues de routes cibles entre les routeurs. L’utilisation de messages UPDATE permet à BGP d’utiliser ses mécanismes de détection de boucle standard, la sélection des chemins, la prise en charge des stratégies et l’implémentation de l’échange de bases de données.

Configuration du filtrage des cibles de routage BGP pour les VPN

Le filtrage des cibles de routage BGP est activé via l’échange de la route-target famille d’adresses, stocké dans la table de routage bgp.rtarget.0. En fonction de la route-target famille d’adresses, la cible de routage NLRI (indicateur de famille d’adresses [AFI]=1, AFI [SAFI]=132 ultérieure) est négociée avec ses pairs.

Sur un système qui a configuré localement des instances VRF, BGP génère automatiquement des routes locales correspondant aux cibles référencées dans les vrf-import stratégies.

Pour configurer le filtrage des cibles de routage BGP, incluez l’énoncé family route-target :

Pour obtenir une liste des niveaux hiérarchiques auxquels vous pouvez inclure cette déclaration, consultez la section récapitulatif de l’instruction pour cette déclaration.

Le advertise-default, external-pathset prefix-limit les instructions affectent la configuration du filtrage des cibles de routage BGP comme suit :

  • L’instruction advertise-default fait en sorte que le routeur annonce le routage cible par défaut (0:0:0/0) et supprime toutes les routes qui sont plus spécifiques. Cela peut être utilisé par un réflecteur de route sur des groupes BGP composés de voisins qui agissent uniquement comme des routeurs PE. Les routeurs PE doivent souvent annoncer toutes les routes vers le réflecteur de route.

    La suppression de toutes les publicités de cibles de routage autres que le routage par défaut réduit la quantité d’informations échangées entre le réflecteur de route et les routeurs PE. Junos OS contribue en outre à réduire la charge de publicité de la cible de routage en ne conservant pas d’informations de dépendance à moins qu’un routage non par défaut soit reçu.

  • L’instruction external-paths (dont la valeur par défaut est 1) amène le routeur à annoncer les routes VPN qui font référence à une cible de routage donnée. Le nombre que vous spécifiez détermine le nombre de routeurs homologues externes (qui annoncent actuellement cette cible de routage) qui reçoivent les routes VPN.

  • L’instruction prefix-limit limite le nombre de préfixes pouvant être reçus d’un routeur homologue.

Le route-target, advertise-defaultet external-path les déclarations affectent l’état RIB-OUT et doivent être cohérents entre les routeurs homologues qui partagent le même groupe BGP. L’instruction prefix-limit n’affecte que le côté réception et peut avoir différents paramètres entre différents routeurs homologues d’un groupe BGP.

Exemple : filtrage des cibles de routage BGP pour LES VPN

Le filtrage des cibles de route BGP est activé en configurant l’instruction family route-target au niveau de la hiérarchie BGP approprié. Cette instruction permet l’échange d’une nouvelle route-target famille d’adresses, qui est stockée dans la table de routage bgp.rtarget.0.

La configuration suivante illustre comment configurer le filtrage des cibles de routage BGP pour un groupe BGP intitulé to_vpn04:

La configuration suivante illustre comment vous pouvez configurer quelques instances de routage et de transfert VPN locaux (VRF) pour tirer parti des fonctionnalités fournies par le filtrage des cibles de routage BGP. Sur la base de cette configuration, BGP générerait automatiquement des routes locales correspondant aux cibles de routage référencées dans les stratégies d’importation VRF (notez les cibles définies par les vrf-target déclarations).

Émettez la show route table bgp.rtarget.0 commande show pour vérifier la configuration du filtrage des cibles de route BGP :

Le show format d’affichage des commandes pour les préfixes de route cible est :

Le premier chiffre représente le système autonome (AS) du routeur qui a envoyé cette publicité. Le reste de l’affichage suit la convention de commande Junos show pour les communautés étendues.

La sortie de la show route table bgp-rtarget.0 commande affiche les routes générées localement et à distance.

Les deux premières entrées correspondent aux cibles de routage configurées pour les deux instances de routage VRF locales (vpn1 et vpn2) :

  • 200:200:101/96— Communauté 200:101 dans l’instance de vpn1 routage

  • 200:200:102/96— Communauté 200:102 dans l’instance de vpn2 routage

Les deux dernières entrées sont des préfixes reçus d’un pair BGP :

  • 200:200:103/96— Indique au routeur local que les routes balisées avec cette communauté (200:103) doivent être annoncées pour être appairées 10.255.14.174t3-0/0/0.0

  • 200:200:104/96— Indique au routeur local que les routes balisées avec cette communauté (200:104) doivent être annoncées pour être appairées 10.255.14.174t3-0/0/0.0

Exemple : configuration du filtrage des cibles de routage BGP pour les VPN

Le filtrage des cibles de routage BGP réduit le nombre de routeurs qui reçoivent des routes VPN et des mises à jour de routage, ce qui permet de limiter les frais associés à l’exécution d’un VPN. Le filtrage des cibles de routage BGP est le plus efficace pour réduire le trafic administratif lié aux VPN dans les réseaux où de nombreux réflecteurs de route ou routeurs de bordure AS ne participent pas directement aux VPN (ne jouent pas le rôle de routeurs PE pour les équipements CE).

La figure 1 illustre la topologie d’un réseau configuré avec le filtrage de cible de routage BGP pour un groupe de VPN.

Figure 1 : Filtrage des cibles de routage BGP activé pour un groupe de VPN BGP Route Target Filtering Enabled for a Group of VPNs

Les sections suivantes décrivent comment configurer le filtrage des cibles de routage BGP pour un groupe de VPN :

Configurer le filtrage des cibles de routage BGP sur le routeur PE1

Cette section explique comment activer le filtrage des cibles de routage BGP sur le routeur PE1 pour cet exemple.

Configurez les options de routage sur le routeur PE1 comme suit :

Configurez le protocole BGP sur le routeur PE1 comme suit :

Configurez l’instance de vpn1 routage comme suit :

Configurez l’instance de vpn2 routage sur le routeur PE1 comme suit :

Une fois cette configuration implémentée, vous devriez voir les éléments suivants lorsque vous émettez une show route table bgp.rtarget.0 commande :

Configurer le filtrage des cibles de route BGP sur le routeur PE2

Cette section explique comment activer le filtrage des cibles de routage BGP sur le routeur PE2 pour cet exemple.

Configurez les options de routage sur le routeur PE2 comme suit :

Configurez le protocole BGP sur le routeur PE2 comme suit :

Configurez l’instance de vpn1 routage sur le routeur PE2 comme suit :

Configurez l’instance de vpn2 routage sur le routeur PE2 comme suit :

Configurez l’instance de vpn3 routage sur le routeur PE2 comme suit :

Une fois que vous avez configuré le routeur PE2 de cette manière, vous devriez voir les éléments suivants lorsque vous émettez la show route table bgp.rtarget.0 commande :

Configurer le filtrage cible de route BGP sur le réflecteur de route

Cette section explique comment activer le filtrage des cibles de routage BGP sur le réflecteur de route pour cet exemple.

Configurez les options de routage sur le réflecteur de route comme suit :

Configurez le protocole BGP sur le réflecteur de route comme suit :

Une fois que vous avez configuré le réflecteur de route de cette manière, vous devriez voir ce qui suit lorsque vous émettez la show route table bgp.rtarget.0 commande :

Configurer le filtrage des cibles de routage BGP sur le routeur PE3

La section suivante explique comment activer le filtrage des cibles de routage BGP sur le routeur PE3 pour cet exemple.

Configurez les options de routage sur le routeur PE3 comme suit :

Configurez le protocole BGP sur le routeur PE3 comme suit :

Configurez l’instance de vpn1 routage sur le routeur PE3 comme suit :

Configurez l’instance de vpn3 routage sur le routeur PE3 comme suit :

Configurez l’instance de vpn4 routage sur le routeur PE3 comme suit :

Une fois que vous avez configuré le routeur PE3 de cette manière, vous devriez voir ce qui suit lorsque vous émettez la show route table bgp.rtarget.0 commande :

Exemple : configuration d’une stratégie d’exportation pour le filtrage des cibles de routage BGP pour les VPN

Cet exemple montre comment configurer une stratégie de routage d’exportation pour le filtrage des cibles de routage BGP (également appelé contrainte de route cible ou RTC).

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Quatre équipements Juniper Networks qui prennent en charge le filtrage des cibles de routage BGP.

  • Junos OS Version 12.2 ou ultérieure sur un ou plusieurs équipements configurés pour le filtrage de routage BGP proxy. Dans cet exemple, vous configurez explicitement le filtrage de routage proxy BGP sur les réflecteurs de route.

Avant de configurer une stratégie d’exportation pour le filtrage des cibles de routage BGP, assurez-vous de bien connaître et de comprendre les concepts suivants :

Aperçu

Le filtrage des cibles de routage BGP vous permet de réduire la consommation de ressources réseau en distribuant des publicités d’appartenance à la cible de routage (appartenance RT) sur l’ensemble du réseau. BGP utilise les informations d’appartenance RT pour envoyer des routes VPN uniquement aux équipements qui en ont besoin sur le réseau. Comme pour d’autres types d’accessibilité BGP, vous pouvez appliquer une stratégie de routage pour acheminer les routes de filtrage des cibles afin d’influencer le réseau. Lorsque le filtrage des cibles de routage est configuré, la restriction du flux des routes de filtrage des cibles de routage restreint également les routes VPN susceptibles d’être attirées par cette appartenance RT. La configuration de cette stratégie implique :

  • Créer un filtre qui définit la liste des préfixes de route cible.

  • Création d’une stratégie pour sélectionner un sous-ensemble des filtres cibles de route à utiliser pour le filtrage de cibles de routage BGP.

Pour définir la liste des préfixes de route cible :

  • Vous configurez l’instruction rtf-prefix-list au niveau de la [edit policy-options] hiérarchie pour spécifier le nom de la liste de préfixes cibles de routage et un ou plusieurs préfixes cibles de route à utiliser. Cette configuration vous permet de spécifier les routes entrantes de filtrage des cibles que l’équipement utilisera, puis de les distribuer sur l’ensemble du réseau.

Pour configurer la stratégie de routage et appliquer la liste de préfixes de routage cible à cette stratégie, vous pouvez spécifier les options de stratégie suivantes :

  • family route-target— (Facultatif) La condition de correspondance de la famille de routes et de cibles spécifie les routes de filtrage des cibles de routage BGP correspondantes. Vous définissez ce critère dans l’énoncé from . Cet exemple montre comment créer une stratégie d’exportation à l’aide de la condition de family route-target correspondance.

    Note:

    Juniper utilise la table inet.3 pour résoudre l’adresse du saut suivant lorsqu’elle family route-target est configurée.

  • protocol route-target—(Facultatif) La condition de correspondance du protocole route-cible définit les critères auxquels un routage entrant doit correspondre. Vous définissez ce critère dans l’énoncé from . Cette déclaration est principalement utile pour restreindre la stratégie aux routes de filtrage des cibles de routage générées localement.

    Note:

    Lorsque vous utilisez la commande pour afficher les show route table bgp.rtarget.0 routes de filtrage des cibles de routage proxy BGP, vous verrez le protocole BGP pour les routes reçues et les routes de protocole cible de routage pour les routes de filtrage de cibles de routes locales.

  • rtf-prefix-list name: l’instruction rtf-préfixe-list applique la liste des préfixes cibles de route que vous avez déjà configurés à la stratégie. Vous définissez ce critère dans l’énoncé from .

Diagramme de topologie

La figure 2 illustre la topologie utilisée dans cet exemple.

Figure 2 : topologie des stratégies d’exportation BGP Route Target Filtering Export Policy Topology de routage BGP

Dans cet exemple, le filtrage des cibles de routage BGP est configuré sur les réflecteurs de route (équipement RR1 et ÉQUIPEMENT RR2) et sur l’équipement pe2 de périphérie du fournisseur (PE). L’autre PE, l’équipement PE1, ne prend pas en charge le filtrage des cibles de routage BGP. Le filtrage des cibles de routage proxy BGP est également configuré sur les sessions d’appairage entre les réflecteurs de route et l’équipement PE1 afin de minimiser le nombre de mises à jour de route VPN traitées par l’équipement PE1. L’équipement PE2 dispose de quatre VPN configurés (vpn1, vpn2, vpn3 et vpn4), et l’équipement PE1 dispose de deux VPN configurés (vpn1 et vpn2). Dans l’exemple de topologie, tous les équipements participent au système autonome (AS) 203, OSPF est le protocole IGP (Interior Gateway Protocol) configuré et LDP le protocole de signalisation utilisé par les VPN. Dans cet exemple, nous utilisons des routes statiques dans les instances de routage et de transfert VPN (VRF) pour générer des routes VPN. Cela se fait au lieu d’utiliser un protocole PE to Customer Edge (CE) comme OSPF ou BGP.

Dans cet exemple, vous contrôlez davantage les routes annoncées de l’équipement PE2 vers l’équipement PE1 en configurant une stratégie d’exportation sur l’équipement PE2 pour empêcher la publicité des routes VPN3 vers l’équipement RR1. Vous créez une stratégie qui spécifie la family route-target condition de correspondance, définit la liste des préfixes cibles de routage et applique la liste des préfixes cibles de route en définissant les rtf-prefix-list critères.

Configuration

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Équipement PE1

Équipement RR1

Équipement RR2

Équipement PE2

Configuration du PE1 de l’équipement

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement PE1 :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez OSPF.

  6. Configurez les instances de routage VPN.

  7. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols, show routing-optionset les show routing-instances commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration de l’équipement RR1

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement RR1 :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez le filtrage des cibles de routage BGP sur la session d’appairage avec l’équipement PE2.

  6. Configurez le filtrage de cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.

  7. Configurez OSPF.

  8. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocolset show routing-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration de l’équipement RR2

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement RR2 :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez le filtrage des cibles de routage BGP sur la session d’appairage avec l’équipement PE2.

  6. Configurez le filtrage de cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.

  7. Configurez OSPF.

  8. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocolset show routing-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration du PE2 de l’équipement

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer le PE2 de l’équipement :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez OSPF.

  6. Configurez les instances de routage VPN.

  7. Configurez et appliquez la stratégie de routage d’exportation.

  8. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocolsshow policy-options, , show routing-optionset les show routing-instances commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des routes de filtrage des cibles de route dans la table de routage bgp.rtarget.0 pour l’équipement RR1

But

Vérifiez que le préfixe de routage pour vpn3 ne se trouve pas dans la table bgp.rtarget.0 de l’équipement RR1. Étant donné qu’une politique d’exportation sur l’équipement PE2 a été appliquée pour empêcher la publicité des routes vpn3 vers l’équipement RR1, l’équipement RR1 ne devrait pas recevoir ces publicités.

Action

Depuis le mode opérationnel, saisissez la show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0 commande.

Sens

La table bgp.rtartget.0 n’affiche pas 203:203:103/96, qui est le préfixe de routage pour vpn3. Cela signifie que la politique d’exportation a été appliquée correctement.

Vérification des routes de filtrage des cibles de route dans la table de routage bgp.rtarget.0 pour l’équipement RR2

But

Vérifiez que le préfixe de route pour vpn3 se trouve dans la table bgp.rtarget.0 de l’équipement RR2. Étant donné qu’aucune politique d’exportation n’a été appliquée sur l’équipement PE2 pour empêcher la publicité des routes VPN3 vers l’équipement RR2, l’équipement RR2 doit recevoir des publicités de tous les VPN.

Action

Depuis le mode opérationnel, saisissez la show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0 commande.

Sens

Le tableau bgp.rtartget.0 affiche les préfixes de route de tous les VPN.

Exemple : configuration des qualificatifs de la famille de protocoles VPN de couche 3 pour les filtres de routage

Cet exemple montre comment contrôler la portée des stratégies d’importation BGP en configurant un qualificatif de famille pour la stratégie d’importation BGP. Le qualificatif de la famille spécifie des routes de type inet, inet6, inet-vpnou inet6-vpn.

Exigences

Cet exemple utilise Junos OS version 10.0 ou ultérieure.

Avant de commencer :

Aperçu

Les qualificatifs familiaux font qu’un filtre de routage ne correspond qu’à une famille spécifique. Lorsque vous configurez un filtre de routage IPv4 sans qualificatif de famille, comme illustré ici, le filtre de routage correspond inet à celui-ci.inet-vpn

De même, lorsque vous configurez un filtre de routage IPv6 sans qualificatif de famille, comme illustré ici, le filtre de routage correspond inet6 à celui-ci.inet6-vpn

Prenons le cas où une session BGP a été configurée à la fois pour les routes familiales inet et les routes familiales inet-vpn , et une stratégie d’importation a été configurée pour cette session BGP. Cela signifie que les routes familiales et familiales inet inet-vpn , lorsqu’elles sont reçues, partagent la même politique d’importation. Le terme de la politique peut se résumer comme suit :

Cette logique de filtre de routage correspond à une inet route 0.0.0.0 et à une route dont la portion d’adresse inet-vpn IPv4 est 0.0.0.0. La portion de routage de 8 octets de la inet-vpn route n’est pas prise en compte dans la correspondance route-filtre. Il s’agit d’un changement du comportement de Junos OS introduit dans la version 10.0 de Junos OS.

Si vous ne souhaitez pas que votre stratégie corresponde aux deux types de routes, ajoutez un qualificatif de famille à votre police. Pour que le filtre de routage corresponde uniquement inet aux routes, ajoutez le qualificatif de stratégie de famille inet . Pour que le filtre de routage corresponde uniquement inet-vpn aux routes, ajoutez le qualificatif de stratégie de famille inet-vpn .

Le qualificatif de la famille est évalué avant l’évaluation du filtre de route. Ainsi, le filtre de routage n’est pas évalué en cas d’échec de la correspondance de la famille. La même logique s’applique à la famille inet6 et à la famille inet6-vpn. Le filtre de route utilisé dans l’exemple inet6 doit utiliser une adresse IPv6. Il y a un gain d’efficacité potentiel dans l’utilisation d’un qualificatif familial parce que le qualificatif familial est testé avant la plupart des autres qualificatifs, éliminant rapidement les routes des familles non souhaitées.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

exemple inet

Exemple Inet-vpn

exemple inet6

Exemple Inet6-vpn

Procédure étape par étape

L’exemple suivant exige que vous parcouriez différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer un plan de flux :

  1. Configurez le qualificatif de la famille.

  2. Configurez le filtre de routage.

  3. Configurez les actions de stratégie.

  4. Appliquez la politique.

Résultats

À partir du mode de configuration, confirmez votre configuration en publiant la show protocols commande and show policy-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Répétez la procédure pour chaque famille de protocoles pour lesquelles vous avez besoin d’une stratégie de filtre de routage spécifique.

Vérification

Pour vérifier la configuration, exécutez les commandes suivantes :

  • show route advertising-protocol bgp neighbor detail

  • show route instance instance-name detail

Comprendre le filtrage des cibles de routage BGP proxy pour les VPN

Le filtrage des cibles de routage BGP (également connu sous le nom de contrainte de routage cible, ou RTC) vous permet de distribuer les routes VPN uniquement aux équipements qui en ont besoin. Dans les réseaux VPN sans filtrage de cible BGP configuré, BGP distribue toutes les routes VPN à tous les équipements VPN homologues, ce qui peut affecter les ressources réseau. La fonctionnalité de filtrage des cibles de routage a été introduite pour réduire le nombre d’équipements recevant des routes VPN et des mises à jour de routage VPN, ce qui a pour effet de limiter les frais associés à l’exécution d’un VPN. L’implémentation de Junos OS pour le filtrage des cibles de routage BGP est basée sur la RFC 4684, Constrained Route Distribution for Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs).

Que se passe-t-il si vous disposez d’un environnement réseau où le filtrage des cibles de routage n’est pas largement déployé, ou si certains équipements ne prennent pas en charge le filtrage des cibles de routage ? Par exemple, vous pouvez avoir un haut-parleur BGP avec filtrage de cible de route activé qui est appairé avec un haut-parleur BGP qui ne prend pas en charge ou ne dispose pas de filtrage de cible de routage configuré. Dans ce cas, l’orateur BGP avec filtrage de cible de route configuré doit annoncer l’appartenance de la cible de routage par défaut (appartenance RT) au nom de son homologue. Les économies de ressources réalisées par le filtrage des cibles de routage ne sont pas réalisées, car l’équipement prenant en charge le filtrage doit désormais envoyer toutes les routes VPN à l’équipement qui ne prend pas en charge le filtre. Le filtrage des cibles de routage BGP proxy (ou Proxy RTC) permet la génération d’appartenance RT pour les équipements qui ne prennent pas en charge le filtrage des cibles de routage. Cela facilite le déploiement du filtrage des cibles de route dans les réseaux où il n’est pas déployé de manière incomplète ou non entièrement prise en charge.

Le filtrage des cibles de routage BGP proxy vous permet de distribuer les publicités d’appartenance proxy RT créées à partir des routes VPN BGP reçues vers d’autres équipements du réseau qui en ont besoin. Ces publicités sont connues sous le nom de publicités proxy, car l’équipement crée l’appartenance RT pour le compte de ses pairs sans la fonctionnalité de filtrage de la cible de routage. Le filtrage des cibles de routage BGP proxy utilise des communautés étendues de route cible BGP qui sont exportées vers un haut-parleur BGP spécifique pour générer les cibles de route. Les routes RTC proxy générées sont stockées dans la table de routage bgp.rtarget.0.

Vous pouvez également configurer une stratégie pour contrôler les routes VPN utilisées pour générer les routes RTC proxy. Cela peut aider à contrôler l’appartenance RT générée par l’équipement de proxy. En outre, vous pouvez configurer une stratégie pour réduire la charge de mémoire associée au RTC proxy. Le RTC proxy utilise de la mémoire supplémentaire sur une base de routage VPN uniquement lorsqu’il est autorisé par une stratégie d’être utilisé pour générer une adhésion RT.

Exemple : configuration du filtrage de cible de routage BGP proxy pour les VPN

Cet exemple montre comment configurer le filtrage des cibles de routage proxy BGP (également connu sous le nom de contrainte de routage proxy ou proxy RTC).

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Quatre équipements Juniper Networks pouvant être une combinaison de routeurs M Series, MX Series ou T Series.

  • Junos OS Version 12.2 ou ultérieure sur un ou plusieurs équipements configurés pour le filtrage de routage BGP proxy. Dans cet exemple, vous configurez explicitement le filtrage de routage proxy BGP sur les réflecteurs de route.

Avant de configurer le filtrage des cibles de routage BGP proxy, assurez-vous de bien connaître et de comprendre les concepts suivants :

Aperçu

Le filtrage des cibles de routage réduit le nombre d’équipements d’un réseau qui reçoivent des routes VPN qui ne sont pas nécessaires. Le filtrage des cibles de routage BGP proxy permet aux réseaux de tirer parti du filtrage des cibles de routage dans des endroits où la fonctionnalité n’est pas actuellement prise en charge. En configurant cette fonctionnalité, vous pouvez réaliser un grand nombre des mêmes économies de ressources réseau que celles dont vous disposez si votre réseau prend entièrement en charge le filtrage des cibles de routage BGP.

Pour configurer le filtrage des cibles de routage BGP proxy, vous incluez l’instruction family route-target proxy-generate sur les équipements qui distribueront des publicités d’appartenance à la cible de routage proxy (APPARTENANCE RT) pour les équipements qui ne prennent pas en charge le filtrage des cibles de routage BGP. Les routes de filtrage des cibles de routage proxy BGP sont ensuite stockées dans la table de routage bgp.rtarget.0.

Le filtrage des cibles de routage BGP proxy est destiné à créer des annonces d’appartenance RT pour les équipements qui ne prennent pas en charge la fonctionnalité de filtrage des cibles de routage BGP. Si l’instruction proxy-generate est présente, mais que la famille de routes cibles est négociée avec l’homologue BGP, la fonctionnalité de génération de proxy est désactivée. Cela permet de simplifier la configuration des groupes d’homologues BGP où une partie des pairs du groupe prend en charge le filtrage des cibles de routage, mais d’autres non. Dans un tel cas, l’instruction family route-target proxy-generate peut faire partie de la configuration du groupe d’homologues BGP.

Note:

Lorsque vous déployez le filtrage de cible de routage BGP proxy dans votre réseau, l’instruction advertise-default de filtrage des cibles de routage BGP fait en sorte que l’équipement annonce le routage cible de routage par défaut (0:0:0/0) et supprime toutes les routes qui sont plus spécifiques. Si le filtrage de cible de routage BGP proxy est configuré sur un équipement et qu’un ou plusieurs pairs ont configuré l’instruction dans le advertise-default cadre de leur configuration de filtrage des cibles de routage BGP, la configuration par défaut est ignorée.

Diagramme de topologie

La figure 3 illustre la topologie utilisée dans cet exemple.

Figure 3 : topologie de filtrage des cibles de routage BGP proxy Proxy BGP Route Target Filtering Topology

Dans cet exemple, le filtrage des cibles de routage BGP est configuré sur les réflecteurs de route (équipement RR1 et équipement RR2) et sur l’équipement pe pe2 de périphérie fournisseur (PE), mais l’autre PE, équipement PE1, ne prend pas en charge la fonctionnalité de filtrage des cibles de routage BGP. L’équipement PE2 dispose de quatre VPN configurés (vpn1, vpn2, vpn3 et vpn4). L’équipement PE1 dispose de deux VPN configurés (vpn1 et vpn2), de sorte que cet équipement n’est intéressé que par les mises à jour de routage pour vpn1 et VPN2. À l’heure actuelle, cela est impossible, car les réflecteurs de route (équipement RR1 et équipement RR2) apprennent et partagent des informations sur tous les routes VPN entrantes (vpn1 à vpn4) avec l’équipement PE1. Dans l’exemple de topologie, tous les équipements participent au système autonome (AS) 203, OSPF est le protocole IGP (Interior Gateway Protocol) configuré et LDP le protocole de signalisation utilisé par les VPN. Dans cet exemple, nous utilisons des routes statiques dans les instances de routage et de transfert VPN (VRF) pour générer des routes VPN. Cela se fait au lieu d’utiliser un protocole PE to Customer Edge (CE) comme OSPF ou BGP.

Pour réduire le nombre de mises à jour de route VPN traitées par l’équipement PE1, vous devez inclure l’instruction de configuration du family route-target proxy-generate filtrage cible de route BGP proxy sur chaque réflecteur de route. Chaque réflecteur de route dispose d’une session d’appairage avec l’équipement PE1 et prend en charge le filtrage des cibles de routage vers le cœur. Toutefois, l’équipement PE1 ne prend pas en charge le filtrage des cibles de routage, de sorte que les économies de ressources réseau ne sont pas réalisées par l’équipement PE1 puisqu’il reçoit toutes les mises à jour VPN. En configurant le filtrage des cibles de routage BGP proxy sur les sessions d’appairage face à l’équipement PE1, vous limitez le nombre de mises à jour VPN traitées par l’équipement PE1, et les réflecteurs de route génèrent les routes cibles de routage BGP proxy pour l’équipement PE1 sur l’ensemble du réseau.

Configuration

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Équipement PE1

Équipement RR1

Équipement RR2

Équipement PE2

Configuration du PE1 de l’équipement

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement PE1 :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez OSPF.

  6. Configurez les instances de routage VPN.

  7. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols, show routing-optionset les show routing-instances commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration de l’équipement RR1

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement RR1 :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez le filtrage des cibles de routage BGP sur la session d’appairage avec l’équipement PE2.

  6. Configurez le filtrage de cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.

  7. Configurez OSPF.

  8. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols et show routing-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration de l’équipement RR2

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer l’équipement RR2 :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez le filtrage des cibles de routage BGP sur la session d’appairage avec l’équipement PE2.

  6. Configurez le filtrage de cible de routage BGP proxy sur la session d’appairage avec l’équipement PE1.

  7. Configurez OSPF.

  8. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocolset show routing-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration du PE2 de l’équipement

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer le PE2 de l’équipement :

  1. Configurez les interfaces.

  2. Configurez le dissociateur de route et le numéro AS.

  3. Configurez LDP comme protocole de signalisation utilisé par le VPN.

  4. Configurez BGP.

  5. Configurez OSPF.

  6. Configurez les instances de routage VPN.

  7. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols, show routing-optionset les show routing-instances commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des routes cibles de routage BGP proxy

But

Vérifiez que les routes cibles de routage BGP proxy sont affichées dans la table bgp.rtarget.0 sur l’équipement RR1.

Action

Depuis le mode opérationnel, saisissez la show route table bgp.rtartget.0 commande pour afficher les cibles de route BGP proxy.

Sens

L’équipement RR1 génère les routes cibles de routage BGP proxy pour le compte de son équipement PE1 homologue. Les routes cibles de routage BGP proxy sont identifiées avec le protocole et la préférence [RTarget/5] et le type de route cible de Proxy.