VPN의 PE 라우터에서 VRF 테이블에 대한 정책 구성
각 PE 라우터에서 라우터의 VRF 테이블로 경로를 가져오고 내보내는 방법을 정의하는 정책을 정의해야 합니다. 이러한 정책에서 경로 대상을 정의해야 하며, 선택적으로 경로 원본을 정의할 수 있습니다.
VRF 테이블에 대한 정책을 구성하려면 다음 섹션에서 단계를 수행합니다.
경로 대상 구성
VPN 라우팅 테이블 대한 정책 구성의 일환으로 경로 대상을 정의해야 하며, 경로가 의 일부인 VPN을 정의합니다. 동일한 PE 라우터에 다양한 유형의 VPN 서비스(레이어 2 VPN, 레이어 3 VPN, EVPN 또는 VPLS)를 구성할 때, 고유한 경로 대상 값을 할당하여 잘못된 VPN 라우팅 테이블 경로 및 신호 정보를 추가할 가능성을 피해야 합니다.
경로 대상을 구성하려면 문에 target
community
옵션을 포함합니다.
community name members target:community-id;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
커뮤니티의 이름입니다.
community-id
커뮤니티 식별자입니다. 다음 형식 중 하나로 지정합니다.
as-number
:number
, 여기서as-number
AS 번호(2바이트 값)와number
4바이트 community 값입니다. AS 번호는 범위 1~65,535일 수 있습니다. ISP 자체 또는 고객의 자체 AS 번호인 IANA가 할당된 비인기 AS 번호를 사용하는 것이 좋습니다. community 값은 범위 0에서 4,294,967,295(232 – 1)의 숫자가 될 수 있습니다.ip-address
:number
, 여기서ip-address
IPv4 주소(4바이트 값)와number
2바이트 community 값입니다. IP 주소는 전 세계적으로 고유한 유니캐스트 주소일 수 있습니다. 할당된 접두사 범위에서router-id
비민주적 주소인 문에서 구성한 주소를 사용하는 것이 좋습니다. community 값은 1~65,535 범위의 숫자가 될 수 있습니다.
경로 원본 구성
PE 라우터의 VRF 테이블에 대한 가져오기 및 내보내기 정책에서 다른 PE 라우터로 전송되는 멀티프로토콜 외부 BGP(MP-EBGP) VPN IPv4 경로 업데이트에 적용되는 VRF 내보내기 정책을 사용하여 PE 라우터의 VRF 경로에 경로 원본(원본 사이트라고도 함)을 선택적으로 할당할 수 있습니다.
수신 PE의 VRF 가져오기 정책에서 할당된 경로 원본 속성과 일치하면 하나의 PE에서 MP-EBGP 업데이트를 통해 학습된 VPN-IPv4 경로가 동일한 사이트에 연결된 다른 PE의 동일한 VPN 사이트에 다시 지정되지 않도록 하는 데 도움이 됩니다.
경로 원본을 구성하려면 다음 단계를 완료하십시오.
옵션으로
community
origin
문을 포함합니다.community name members origin:community-id;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
커뮤니티의 이름입니다.community-id
커뮤니티 식별자입니다. 다음 형식 중 하나로 지정합니다.as-number
:number
, 여기서as-number
AS 번호(2바이트 값)와number
4바이트 community 값입니다. AS 번호는 범위 1~65,535일 수 있습니다. ISP 자체 또는 고객의 자체 AS 번호인 IANA가 할당된 비인기 AS 번호를 사용하는 것이 좋습니다. community 값은 범위 0에서 4,294,967,295(232 – 1)의 숫자가 될 수 있습니다.ip-address
:number
, 여기서ip-address
IPv4 주소(4바이트 값)와number
2바이트 community 값입니다. IP 주소는 전 세계적으로 고유한 유니캐스트 주소일 수 있습니다. 할당된 접두사 범위에서router-id
비민주적 주소인 문에서 구성한 주소를 사용하는 것이 좋습니다. community 값은 1~65,535 범위의 숫자가 될 수 있습니다.
계층 수준에서 1단계에 정의된 식별자를 가진
community-id
문을 구성community
하여 PE 라우터의 VRF 테이블에 대한 가져오기 정책에서 커뮤니티를[edit policy-options policy-statement import-policy-name term import-term-name from]
포함합니다. PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성을 참조하십시오.정책의
from
절이 커뮤니티 조건을vrf-import
지정하지 않으면 정책이 적용되는 문을 커밋할 수 없습니다. Junos OS 커밋 작업은 검증 검사를 통과하지 않습니다.계층 수준에서 1단계에 정의된 식별자를 가진
community-id
문을 구성community
하여 PE 라우터의 VRF 테이블에 대한 내보내기 정책에 커뮤니티를[edit policy-options policy-statement export-policy-name term export-term-name then]
포함합니다. PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성을 참조하십시오.
구성 예에 대한 VPN의 경로 원본 구성을 참조하십시오.
PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성
각 VPN은 PE 라우터의 VRF 테이블로 경로를 가져오는 방법을 정의하는 정책을 가질 수 있습니다. 가져오기 정책은 VPN의 다른 PE 라우터에서 수신한 경로에 적용됩니다. 정책은 피어 PE 라우터와의 IBGP 세션을 통해 수신된 모든 경로를 평가해야 합니다. 경로가 조건과 일치하면 PE 라우터의 routing-instance-name.inet.0
VRF 테이블에 경로가 설치됩니다. 가져오기 정책에는 다른 모든 경로를 거부하는 두 번째 용어가 포함되어야 합니다.
가져오기 정책에 명령문만 then reject
포함하지 않는 한 커뮤니티에 대한 참조를 포함해야 합니다. 그렇지 않으면 구성을 커밋하려고 하면 커밋이 실패합니다. 여러 가져오기 정책을 구성할 수 있습니다.
가져오기 정책은 IBGP를 통해 원격 PE 라우터에서 학습한 VPN 경로를 기반으로 지정된 VRF 테이블로 가져올 사항을 결정합니다. IBGP 세션은 계층 수준에서 구성 [edit protocols bgp]
됩니다. 또한 계층 수준에서 가져오기 정책을 [edit protocols bgp]
구성하는 경우, 계층 수준과 [edit protocols bgp]
계층 수준의 가져오기 정책은 [edit policy-options]
논리적 AND 연산을 통해 결합됩니다. 이를 통해 트래픽을 그룹으로 필터링할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 가져오기 정책을 구성하려면 다음 단계를 따릅니다.
가져오기 정책을 정의하려면 문을 포함합니다
policy-statement
. 모든 PE 라우터의 경우, 가져오기 정책은 항상 최소한 문을 포함policy-statement
해야 합니다.policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }
다음 계층 수준에서 문을 포함할
policy-statement
수 있습니다.[edit policy-options]
[edit logical-systems logical-system-name policy-options]
이
import-policy-name
정책은 다른 PE 라우터와 함께 IBGP 세션을 통해 수신된 모든 경로를 평가합니다. 경로가 명령문의from
조건과 일치하면 PE 라우터의 routing-instance-name.inet.0 VRF 테이블에 경로가 설치됩니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.
선택적으로 정규식을 사용하여 VRF 가져오기 정책에 사용할 커뮤니티 집합을 정의할 수 있습니다.
예를 들어 계층 수준에서 문을 사용하여
community
다음을[edit policy-options policy-statement policy-statement-name]
구성할 수 있습니다.[edit policy-options vrf-import-policy-sample] community high-priority members *:50
경로 대상 확장 커뮤니티의 일부로 정규식을 구성할 수 없습니다. 커뮤니티에 대한 정규 표현식을 구성하는 방법에 대한 자세한 내용은 BGP 커뮤니티 및 확장 커뮤니티를 정의하는 방법 이해를 참조하십시오.
가져오기 정책을 구성하려면 문을 포함합니다
vrf-import
.vrf-import import-policy-name;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성
각 VPN은 PE 라우터의 VRF 테이블에서 경로를 내보내는 방법을 정의하는 정책을 가질 수 있습니다. 내보내기 정책은 VPN의 다른 PE 라우터로 전송되는 경로에 적용됩니다. 내보내기 정책은 CE 라우터와의 라우팅 프로토콜 세션을 통해 수신된 모든 경로를 평가해야 합니다. (이 세션은 BGP, OSPF 또는 RIP(Routing Information Protocol) 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 조건과 일치하면 지정된 community 대상(경로 대상)이 추가되고 원격 PE 라우터로 내보냅니다. 내보내기 정책에는 다른 모든 경로를 거부하는 두 번째 용어가 포함되어야 합니다.
VPN 라우팅 인스턴스 내에서 정의된 내보내기 정책은 VRF 테이블에 적용되는 유일한 내보내기 정책입니다. PE 라우터 간의 IBGP 세션에서 정의하는 모든 내보내기 정책은 VRF 테이블에 영향을 미치지 않습니다. 여러 내보내기 정책을 구성할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 내보내기 정책을 구성하려면 다음 단계를 따릅니다.
모든 PE 라우터의 경우, 내보내기 정책은 라우팅 인스턴스 내에서 CE와 PE 라우터 간에 구성하는 라우팅 프로토콜 유형에 따라 연결된 CE 라우터로 가는 VPN 경로를 배포해야 합니다.
내보내기 정책을 정의하려면 문을 포함합니다
policy-statement
. 내보내기policy-statement
정책은 최소한 항상 문을 포함해야 합니다.policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }
참고:문을 구성하는
community add
것은 레이어 2 VPN VRF 내보내기 정책의 요구 사항입니다. 문을 문으로community set
변경community add
하면 레이어 2 VPN 링크 송신의 라우터가 연결을 끊을 수 있습니다.참고:소스 특정 모드에서 작동하고 문을 사용하여
vrf-export
내보내기 정책을 지정하는 draft-rosen 멀티캐스트 VPN을 구성할 때, 정책에는 vrf-name.mdt.0 라우팅 테이블 경로를 수용하는 용어가 있어야 합니다. 이 용어는 주소 패밀리를 사용하여 적절한 PE 자동 검색을inet-mdt
보장합니다.소스별 모드에서 작동하고 문을 사용하는
vrf-target
draft-rosen 멀티캐스트 VPN을 구성하면 VRF 내보내기 정책이 자동으로 생성되고 vrf-name.mdt.0 라우팅 테이블 경로를 자동으로 수락합니다.다음 계층 수준에서 문을 포함할
policy-statement
수 있습니다.[edit policy-options]
[edit logical-systems logical-system-name policy-options]
이
export-policy-name
정책은 CE 라우터와의 라우팅 프로토콜 세션을 통해 수신된 모든 경로를 평가합니다. (이 세션은 BGP, OSPF 또는 RIP 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 명령문의from
조건과 일치하면 문에then community add
지정된 커뮤니티 대상이 추가되고 원격 PE 라우터로 내보냅니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.
정책을 적용하려면 문을 포함합니다
vrf-export
.vrf-export export-policy-name;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
VRF 내보내기 및 BGP 내보내기 정책 모두 적용
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성에 설명된 대로 VRF 내보내기 정책을 적용하면 VPN 라우팅 인스턴스의 경로가 이 정책을 기반으로 다른 PE 라우터에 보급되는 반면 BGP 내보내기 정책은 무시됩니다.
BGP 구성에 문을 포함 vpn-apply-export
하면 경로가 VPN 라우팅 테이블에 다른 PE 라우터에 보급되기 전에 VRF 내보내기 및 BGP 그룹 또는 이웃 내보내기 정책 모두 적용됩니다(VRF 우선, 다음 BGP).
PE 디바이스가 Carrier-over-Carrier 또는 AS 간 VPN에서 경로 리플렉터(RR) 또는 ASBR(Autonomous System Boundary Router) 역할을 할 때 vrf 내보내기 정책의 다음 홉 조작은 무시됩니다.
명령문을 vpn-apply-export
포함할 때는 다음 사항을 유의하십시오.
bgp.l3vpn.0으로 가져오기된 경로는 라우팅 테이블 원래 경로의 속성을 유지합니다(예: OSPF 경로는 bgp.l3vpn.0 라우팅 테이블 저장된 경우에도 OSPF 경로로 유지됩니다). IBGP PE 라우터와 PE 라우터, 경로 리플렉터 및 PE 라우터 또는 AS 경계 라우터(ASBR) 피어 라우터 간의 연결에 대한 내보내기 정책을 구성할 때 이를 알아야 합니다.
기본적으로 bgp.l3vpn.0 라우팅 테이블 모든 경로는 IBGP 피어로 내보냅니다. 내보내기 정책의 마지막 문이 모두 거부되고 내보내기 정책이 bgp.l3vpn.0 라우팅 테이블 경로와 구체적으로 일치하지 않으면 경로가 내보내지지 않습니다.
VRF 내보내기 및 BGP 내보내기 정책을 모두 VPN 경로에 vpn-apply-export
적용하려면 문을 포함합니다.
vpn-apply-export;
이 문을 포함할 수 있는 계층 수준 목록은 이 문에 대한 문 요약 섹션을 참조하십시오.
VRF 대상 구성
vrf-target
VRF 대상 커뮤니티 구성에 문을 포함하면 지정된 대상 커뮤니티의 경로를 수락하고 태그하는 기본 VRF 가져오기 및 내보내기 정책이 생성됩니다. VRF 가져오기 및 내보내기 정책을 명시적으로 구성하여 더 복잡한 정책을 생성할 수 있습니다. 이러한 정책은 문을 구성할 때 생성된 기본 정책을 재정의합니다vrf-target
.
명령문의 import
vrf-target
및 export
옵션을 구성하지 않으면 지정된 커뮤니티 문자열이 양방향으로 적용됩니다. 및 export
키워드는 import
더 많은 유연성을 제공하여 각 방향에 대해 다른 커뮤니티를 지정할 수 있도록 합니다.
VRF 대상 커뮤니티의 구문은 이름이 아닙니다. 은(는) 형식 target:x:y
으로 지정해야 합니다. 또한 문을 사용하여 policy-options
해당 커뮤니티에 대해 커뮤니티 멤버를 구성해야 하므로 커뮤니티 이름을 지정할 수 없습니다. 문을 정의 policy-options
하면 VRF 가져오기 및 내보내기 정책만 평소대로 구성할 수 있습니다. 문의 목적은 vrf-target
계층 수준에서 대부분의 문을 구성할 수 있도록 하여 구성을 [edit routing-instances]
단순화하는 것입니다.
VRF 대상을 구성하려면 문을 포함합니다 vrf-target
.
vrf-target community;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
문을 구성하는 vrf-target
방법의 예는 다음과 같습니다.
[edit routing-instances sample] vrf-target target:69:102;
및 import
옵션으로 export
문을 구성 vrf-target
하려면 다음 문을 포함합니다.
vrf-target { export community-name; import community-name; }
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]