ルート解決を使用した VPN ルートの制限
このトピックでは、PE ルーターとルート リフレクタでルート解決を設定し、PE ルーターがサービス ルーターから制限された数のプレフィックスを受け入れるまでを設定することで、VPN ルートを制限するCEについて説明します。
例: PE ルーターでのルート解決の設定
この例では、特定のルーティング テーブルからルートを受ルーティング テーブルを設定する方法を示しています。また、特定のインポート ポリシーを使用してルートをルーティング テーブル解決テーブルを生成するポリシーを設定する方法も示しています。
要件
開始する前に、以下のいずれかの例に示すように、レイヤー 3 VPN を設定します。
概要
IPv4 ルート拡張を実現する 1 つの方法は、転送テーブルBGP追加する方法を変更する方法です。デフォルトでは、ルーティング プロトコル プロセス(rpd)により、inet.0 および inet.3 のすべてのルートが解決ツリーに追加されます。これには通常、解決済み IPv4 プロトコル ルートBGPが含まれます。これによりメモリ消費が増加する可能性があります。この例では、IPv4 ルートの拡張を向上するために、Junos OS を設定して、解決済み BGP ルートが解決ツリーに追加されない方法を示しています。これを実現するには、ルート解決テーブルにインポート ポリシーを適用します。これにより、inet.0 からのアクセス ルートBGP受け入れされません。
この設定は、レイヤー 3 VPN 内のすべての PE(プロバイダ エッジ)ルーターに適用します。
構成
CLI構成の迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI [edit]
にコピー アンド ペーストします。
PE ルーター
set policy-options policy-statement protocol-bgp from protocol bgp set policy-options policy-statement protocol-bgp then reject set routing-options resolution rib inet.0 import protocol-bgp
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI CLI ガイド 」 の「 設定 モードでの CLI エディターの使用 」を 参照してください。
ルート解決を設定するには、以下の手順にアクセスします。
デバイスを設定ルーティング ポリシー。
[edit policy-options policy-statement protocol-bgp] user@PE# set from protocol bgp user@PE# set then reject
以下のポリシーをルーティング ポリシーします。
[edit routing-options resolution] user@PE# set rib inet.0 import protocol-bgp
デバイスの設定が完了したら、設定をコミットします。
[edit] user@PE# commit
結果
および コマンドを発行して設定を show policy-options
確認 show routing-options
します。
user@PE# show policy-options policy-statement protocol-bgp { from protocol bgp; then reject; }
user@PE# show routing-options resolution { rib inet.0 { import protocol-bgp; } }
検証
次のコマンドを実行して、設定が正常に動作されていることを確認します。
例: ルート リフレクタでのルート解決の設定
この例では、ルート リフレクタ(RR)のデフォルト解決動作を、inet.3 ではなくネクスト ホップ解決に inet.0 を使用する方法を示しています。
要件
開始する前に、以下のいずれかの例に示すように、レイヤー 3 VPN を設定します。
概要
ルート解決の 1 つのシナリオは、RR から PE(プロバイダ エッジ)ルーターにラベルスイッチ パスが設定されている場合、または PE ルーターが RR としかピアリングない場合です。その結果、ルートが非表示にされる可能性があります。この問題を解決するには、ネクスト ホップ解決に inet.0 を使用するデフォルトの解決動作を変更できます。
デフォルトでは、bgp.l3vpn.0 ルーティング テーブルVPN-IPv4 ユニキャスト ルートすべてが保存されます。この表は、PE ルーターと R を含め、レイヤー 3 VPN が設定されているルーター上に示されています。
レイヤー 3 VPN ルーターが別のレイヤー 3 VPN ルーターからルートを受信すると、そのルートは bgp.l3vpn.0 ルーターにルーティング テーブル。このルートは、inet.3 サービス 内の情報を使用してルーティング テーブル。つまり、BGP がテーブル bgp.l3vpn.0 宛てのルートを受信すると、プロトコルのネクスト ホップ(受信 BGP nexthop)は、inet.3 テーブルから再帰的に決定された転送ネクストホップを持つという意味です。結果として得られるルートが IPv4 routing-instance-name形式に変換され、VRF インポート ポリシーと一致する場合、すべての .inet.0 ルーティング テーブルに再分配されます。
カスタマー エッジ(CE resolution rib bgp.l3vpn.0 resolution-ribs inet.0
)ルーターを接続しない RR では、この設定により、bgp.l3vpn.0 のルートが inet.3 の情報を使用してルートを解決するのではなく、inet.0 内の情報を使用します。この設定は、デバイスのルーターに直接接続されているルーターでCEする必要があります。つまり、PE ルーターでは resolution rib bgp.l3vpn.0 resolution-ribs inet.0
使用しないのです。
inet.0 と inet.3 の両方を使用する場合は、 で 示す両方を設定する必要があります set resolution rib bgp.l3vpn.0 resolution-ribs [inet.0 inet.3]
。
この例では、ポリシーによって POLICY-limit-resolve-routes
ルート解決が制限され、ルート解決によって学習されたルートIS-IS。インポート ポリシーを除外した場合は、inet.0 内のすべてのルートが評価され、プロトコルのネクスト ホップの解決に使用される可能性があります。すべてのエントリーに対して解決しない場合は、ポリシーを使用して、ルート解決に使用されるテーブルからルートのサブセットをフィルタリングします。
一般的な例の 1 つは、inet.0 内のすべてのルート(デフォルト ルート(0/0)を除く)に対して解決する場合です。
この設定 import
でステートメントが使用されている場合でも、ルートはインポートまたはコピーされません。設定では、ルート import policy-name
解決のために考慮できるルートのセットが制限されます。
この resolution rib bgp.l3vpn.0 resolution-ribs inet.0
設定は、RR がBGPパスにない場合に便利です。つまり、RR にイングレス LSP はありません。RSVP がラベル シグナリング プロトコルで、RSVP がエッジ ルーターでフル メッシュに設定されている場合を考慮します。RR がルートを反映できる必要があります。これを行うには、BGPの再解決可能性チェックを実行する必要があります。レイヤー 3 VPN ルートを受信したが、ネクストホープが inet.3 テーブルに含されていない場合、そのルートを解決できません。ルーターが転送パス内にないので、有効な回避策は inet.0 の情報を使用します。inet.0 のメトリック情報は、転送に使用できないにもかかわらず、最適なルートを選択する場合に便利です。
別のアプローチは、LSP が RR に確実にプロビジョニングされる方法です。これは LDP を設定すると自動的に行われます。
構成
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI [edit]
にコピー アンド ペーストします。
ルート リフレクタ
set routing-options resolution rib bgp.l3vpn.0 resolution-ribs inet.0 set routing-options resolution rib inet.0 import POLICY-limit-resolve-routes set policy-options policy-statement POLICY-limit-resolve-routes term isis from protocol isis set policy-options policy-statement POLICY-limit-resolve-routes term isis then accept set policy-options policy-statement POLICY-limit-resolve-routes then reject
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI CLI エディター の使用 」を 参照してください。
ルート解決を設定するには、以下の手順にアクセスします。
bgp.l3vpn.0 を設定して、inet.3 ではなく inet.0 の情報を使用してルートを解決します。
[edit routing-options resolution rib bgp.l3vpn.0] user@RR# set resolution-ribs inet.0
(オプション)デバイスを設定ルーティング ポリシー。
[edit policy-options policy-statement POLICY-limit-resolve-routes] user@RR# set term isis from protocol isis user@RR# set term isis then accept user@RR# set then reject
(オプション)ポリシーを適用します。
[edit routing-options resolution rib inet.0] user@RR# set import POLICY-limit-resolve-routes
デバイスの設定が完了したら、設定をコミットします。
[edit] user@RR# commit
結果
および コマンドを発行して設定を show policy-options
確認 show routing-options
します。
user@RR# show policy-options policy-statement POLICY-limit-resolve-routes { term isis { from protocol isis; then accept; } then reject; }
user@RR# show routing-options resolution { rib bgp.l3vpn.0 { resolution-ribs inet.0; } rib inet.0 { import POLICY-limit-resolve-routes; } }
検証
次のコマンドを実行して、設定が正常に動作されていることを確認します。
レイヤー 3 VPN の各ルーターから 受け入CEとプレフィックスの数を制限する
ルーティング テーブルにインストールできるプレフィックスとパスの数に最大制限を設定できます。プレフィックスとパスの制限を使用して、VPN内の1つのルーターから受信したプレフィックスCEパスの数を抑制できます。プレフィックスとパスの制限は動的ルーティング プロトコルにのみ適用され、静的ルートやインターフェイス ルートには適用されません。
アクセス ルーターからの PE ルーターが受け入れるパスCEするには、次のステートメントを含 maximum-paths
にします。
maximum-paths path-limit <log-interval interval | log-only | threshold percentage>;
このステートメントを設定できる階層レベルのリストについては、このステートメントの ステートメントサマリ セクションを参照してください。
警告メッセージ を生成するログ のみオプションを指定します(アドバイザリの制限)。しきい値 オプションを 指定して、制限に達する前に警告を生成します。ログ メッセージ 間の最小間隔を 設定するには、 log-interval オプションを指定します。
ルート制限には、アドバイザリと必須の 2 つのモードがあります。アドバイザリに制限が付き、警告がトリガーされます。必須制限は、制限に達した後の追加ルートを拒否します。
ルート制限を適用すると、予測不能な動的ルーティング プロトコルの動作が発生する可能性があります。たとえば、制限に達し、ルートが拒否された場合、ルート数が上限を下回ったBGPは、拒否したルートを再インストールできません。BGPを消去する必要がある場合があります。
アクセス ルーターから PE ルーターが受け入れるプレフィックス数を制限CE、 ステートメントを含 maximum-prefixes
にします。
maximum-prefixes prefix-limit <log-interval interval | log-only | threshold percentage>;
このステートメントを設定できる階層レベルのリストについては、このステートメントの ステートメントサマリ セクションを参照してください。
ルート制限には、アドバイザリと必須の 2 つのモードがあります。アドバイザリに制限が付き、警告がトリガーされます。必須制限は、制限に達した後の追加ルートを拒否します。
ルート制限を適用すると、予測不能な動的ルーティング プロトコルの動作が発生する可能性があります。たとえば、制限に達し、ルートが拒否された場合、ルート数が上限を下回ったBGPは、拒否したルートを再インストールできません。BGPを消去する必要がある場合があります。
警告メッセージをトリガーする以外に、必須のパスまたはプレフィックス制限は、制限に達すると、追加のパスまたはプレフィックスを拒否します。
パスまたはプレフィックスの制限を設定すると、ルーティング プロトコルの動作が予測不能になる可能性があります。
また、最大パスとステートメントの両方に 対して以下の オプションを maximum-prefixes
設定できます。
log-interval — ログ メッセージの送信間隔を指定します。このオプションでは、警告メッセージのみ(アドバイザリ制限)を生成します。
ログ メッセージ 間の最小間隔を 設定するには、 log-interval オプションを指定します。
ログのみ — 警告メッセージのみを生成します。ルーティング テーブルに格納されているパスまたはプレフィックスの数に制限はありません。
しきい値 — 最大パスまたはプレフィックスの指定した割合に達した後に警告メッセージを生成します。