VPN의 PE 라우터에 대한 VRF 테이블에 대한 정책 구성
각 PE 라우터에서 경로를 라우터의 VRF 테이블로 가져오고 내보내는 방법을 정의하는 정책을 정의해야 합니다. 이러한 정책에서 경로 대상을 정의해야 하며 선택적으로 경로 원본을 정의할 수 있습니다.
VRF 테이블에 대한 정책을 구성하려면 다음 섹션의 단계를 수행합니다.
경로 대상 구성
VPN 라우팅 테이블에 대한 정책 구성의 일부로, 경로가 속하는 VPN을 정의하는 경로 대상을 정의해야 합니다. 동일한 PE 라우터에서 서로 다른 유형의 VPN 서비스(레이어 2 VPN, 레이어 3 VPN, EVPN 또는 VPLS)를 구성할 때, 잘못된 VPN 라우팅 테이블에 경로 및 신호 정보가 추가될 가능성을 방지하기 위해 고유한 경로 대상 라우팅 테이블을 할당해야 합니다.
경로 대상을 구성하려면 문에 옵션을 포함 target 합니다.community
community name members target:community-id;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit policy-options][edit logical-systems logical-system-name policy-options]
name 커뮤니티의 이름입니다.
community-id 커뮤니티의 식별자입니다. 다음 형식 중 하나로 지정합니다.
as-number:number, 여기서as-number는 AS 번호(2바이트 값)이고number는 4바이트 커뮤니티 값입니다. AS 번호는 1에서 65,535까지의 범위일 수 있습니다. IANA에서 할당한 비프라이빗 AS 번호, 가급적 ISP 자체 또는 고객의 자체 AS 번호를 사용하는 것이 좋습니다. 커뮤니티 값은 0에서 4,294,967,295(232 – 1) 사이의 숫자일 수 있습니다.ip-address:number, 여기서ip-address는 IPv4 주소(4바이트 값)이고number는 2바이트 커뮤니티 값입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소일 수 있습니다. 할당된 접두사 범위에서 비공개 주소인 문에서router-id구성한 주소를 사용하는 것이 좋습니다. 커뮤니티 값은 1에서 65,535 사이의 숫자일 수 있습니다.
경로 원본 구성
PE 라우터의 VRF 테이블에 대한 가져오기 및 내보내기 정책에서, 다른 PE 라우터로 전송되는 멀티프로토콜 외부 BGP(MP-EBGP) VPN IPv4 경로 업데이트에 적용된 VRF 내보내기 정책을 사용하여 PE 라우터의 VRF 경로에 대한 경로 원본(원본 사이트라고도 함)을 선택적으로 할당할 수 있습니다.
수신 PE의 VRF 가져오기 정책에서 할당된 경로 원본 속성을 일치시키면 한 PE에서 MP-EBGP 업데이트를 통해 학습된 VPN-IPv4 경로가 동일한 사이트에 연결된 다른 PE에서 동일한 VPN 사이트로 다시 가져오지 않도록 하는 데 도움이 됩니다.
경로 원본을 구성하려면 다음 단계를 완료하십시오.
다음 옵션과 함께 문을 포함
community합니다:origincommunity name members origin:community-id;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit policy-options][edit logical-systems logical-system-name policy-options]
name커뮤니티의 이름입니다.community-id커뮤니티의 식별자입니다. 다음 형식 중 하나로 지정합니다.as-number:number, 여기서as-number는 AS 번호(2바이트 값)이고number는 4바이트 커뮤니티 값입니다. AS 번호는 1에서 65,535까지의 범위일 수 있습니다. IANA에서 할당한 비프라이빗 AS 번호, 가급적 ISP 자체 또는 고객의 자체 AS 번호를 사용하는 것이 좋습니다. 커뮤니티 값은 0에서 4,294,967,295(232 – 1) 사이의 숫자일 수 있습니다.ip-address:number, 여기서ip-address는 IPv4 주소(4바이트 값)이고number는 2바이트 커뮤니티 값입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소일 수 있습니다. 할당된 접두사 범위에서 비공개 주소인 문에서router-id구성한 주소를 사용하는 것이 좋습니다. 커뮤니티 값은 1에서 65,535 사이의 숫자일 수 있습니다.
계층 수준에서
[edit policy-options policy-statement import-policy-name term import-term-name from]1단계에서 정의된 식별자를 사용하여community-id문을 구성community하여 PE 라우터의 VRF 테이블에 대한 가져오기 정책에 커뮤니티를 포함합니다. PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성을 참조하십시오.정책의
from절이 커뮤니티 조건을 지정하지 않는 경우,vrf-import정책이 적용되는 문을 커밋할 수 없습니다. Junos OS 커밋 작업이 검증 검사를 통과하지 못합니다.계층 수준에서
[edit policy-options policy-statement export-policy-name term export-term-name then]1단계에서 정의한 식별자를 사용하여community-id문을 구성community하여 PE 라우터의 VRF 테이블에 대한 내보내기 정책에 커뮤니티를 포함합니다. PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성을 참조하십시오.
구성 예는 VPN의 경로 원본 구성을 참조하십시오.
PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성
각 VPN은 경로를 PE 라우터의 VRF 테이블로 가져오는 방법을 정의하는 정책을 가질 수 있습니다. VPN의 다른 PE 라우터에서 수신한 경로에 가져오기 정책이 적용됩니다. 정책은 피어 PE 라우터와의 IBGP 세션을 통해 수신된 모든 경로를 평가해야 합니다. 경로가 조건과 일치하면 경로가 PE 라우터의 routing-instance-name.inet.0 VRF 테이블에 설치됩니다. 가져오기 정책에는 다른 모든 경로를 거부하는 두 번째 용어가 포함되어야 합니다.
가져오기 정책이 문만 then reject 포함하지 않는 한 커뮤니티에 대한 참조를 포함해야 합니다. 그렇지 않으면 구성을 커밋하려고 하면 커밋이 실패합니다. 여러 가져오기 정책을 구성할 수 있습니다.
가져오기 정책은 IBGP를 통해 원격 PE 라우터에서 학습한 VPN 경로를 기반으로 지정된 VRF 테이블로 가져올 대상을 결정합니다. IBGP 세션은 계층 수준에서 구성됩니다.[edit protocols bgp] 또한 계층 수준에서 [edit protocols bgp] 가져오기 정책을 구성하는 경우, 계층 수준과 [edit protocols bgp] 계층 수준의 가져오기 정책 [edit policy-options] 은 논리적 AND 연산을 통해 결합됩니다. 이를 통해 트래픽을 그룹으로 필터링할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 가져오기 정책을 구성하려면 다음 단계를 따르십시오.
가져오기 정책을 정의하려면 문을 포함합니다.
policy-statement모든 PE 라우터의 경우, 가져오기 정책은 항상 최소한 다음 문을policy-statement포함해야 합니다.policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }다음 계층 수준에서 문을 포함
policy-statement할 수 있습니다.[edit policy-options][edit logical-systems logical-system-name policy-options]
이 정책은
import-policy-name다른 PE 라우터와의 IBGP 세션을 통해 수신된 모든 경로를 평가합니다. 경로가 문의 조건from과 일치하면 경로는 PE 라우터의 routing-instance-name.inet.0 VRF 테이블에 설치됩니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.
선택적으로 정규식을 사용하여 VRF 가져오기 정책에 사용할 커뮤니티 집합을 정의할 수 있습니다.
예를 들어, 계층 수준에서 문을
community사용하여 다음을 구성할 수 있습니다.[edit policy-options policy-statement policy-statement-name][edit policy-options vrf-import-policy-sample] community high-priority members *:50
정규 표현식은 route target 확장 커뮤니티의 일부로 구성할 수 없습니다. 커뮤니티에 대한 정규 표현식을 구성하는 방법에 대한 자세한 내용은 라우팅 정책 일치 조건에서 BGP 커뮤니티와 확장된 커뮤니티를 평가하는 방법을 참조하십시오.
가져오기 정책을 구성하려면 다음 문을 포함합니다.
vrf-importvrf-import import-policy-name;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성
각 VPN은 PE 라우터의 VRF 테이블에서 경로를 내보내는 방법을 정의하는 정책을 가질 수 있습니다. 내보내기 정책은 VPN의 다른 PE 라우터로 전송되는 경로에 적용됩니다. 내보내기 정책은 CE 라우터와의 라우팅 프로토콜 세션을 통해 수신된 모든 경로를 평가해야 합니다. (이 세션은 BGP, OSPF 또는 RIP[Routing Information Protocol] 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 조건과 일치하면 지정된 커뮤니티 대상(경로 대상)이 추가되고 원격 PE 라우터로 내보내집니다. 내보내기 정책에는 다른 모든 경로를 거부하는 두 번째 용어가 포함되어야 합니다.
VPN 라우팅 인스턴스 내에 정의된 내보내기 정책은 VRF 테이블에 적용되는 유일한 내보내기 정책입니다. PE 라우터 간의 IBGP 세션에서 정의하는 모든 내보내기 정책은 VRF 테이블에 영향을 미치지 않습니다. 여러 내보내기 정책을 구성할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 내보내기 정책을 구성하려면 다음 단계를 따르십시오.
모든 PE 라우터의 경우, 내보내기 정책은 라우팅 인스턴스 내에서 CE 라우터와 PE 라우터 간에 구성하는 라우팅 프로토콜 유형에 따라 연결된 CE 라우터와 VPN 경로를 배포해야 합니다.
내보내기 정책을 정의하려면 명령문을 포함합니다.
policy-statement내보내기 정책에는 항상 최소한 다음 명령문이 포함되어야 합니다.policy-statementpolicy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }참고:문 구성
community add은 레이어 2 VPN VRF 내보내기 정책의 요구 사항입니다. 문을 문community set으로 변경community add하면 레이어 2 VPN 링크 송신에 있는 라우터가 연결을 끊을 수 있습니다.참고:소스별 모드에서 작동하는 draft-rosen 멀티캐스트 VPN을 구성하고 문을 사용하여
vrf-export내보내기 정책을 지정하는 경우, 정책에는 vrf-name.mdt.0 라우팅 테이블의 경로를 허용하는 용어가 있어야 합니다. 이 용어는 주소 패밀리를 사용하여 적절한 PE 자동 검색을 보장합니다.inet-mdt소스별 모드에서 작동하는 draft-rosen 멀티캐스트 VPN을 구성하고 문을
vrf-target사용하면 VRF 내보내기 정책이 자동으로 생성되고 vrf-name.mdt.0 라우팅 테이블의 경로를 자동으로 수락합니다.다음 계층 수준에서 문을 포함
policy-statement할 수 있습니다.[edit policy-options][edit logical-systems logical-system-name policy-options]
이 정책은
export-policy-nameCE 라우터와의 라우팅 프로토콜 세션을 통해 수신된 모든 경로를 평가합니다. (이 세션은 BGP, OSPF, RIP 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 문의 조건from과 일치하면 문에then community add지정된 커뮤니티 대상이 추가되고 원격 PE 라우터로 내보내집니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.
정책을 적용하려면 다음 문을 포함합니다.
vrf-exportvrf-export export-policy-name;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
VRF 내보내기 및 BGP 내보내기 정책 모두 적용
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성에 설명된 대로 VRF 내보내기 정책을 적용할 때, VPN 라우팅 인스턴스의 경로는 이 정책을 기반으로 다른 PE 라우터에 보급되는 반면, BGP 내보내기 정책은 무시됩니다.
BGP 구성에 문을 포함 vpn-apply-export 하면 VPN 라우팅 테이블에서 경로가 다른 PE 라우터에 보급되기 전에 VRF 내보내기 및 BGP 그룹 또는 neighbor 내보내기 정책이 모두 적용됩니다(VRF 먼저, BGP).
PE 디바이스가 Carrier-over-Carrier 또는 Inter-AS VPN에서 경로 리플렉터(RR) 또는 ASBR(Autonomous System Boundary 라우터) 역할도 수행하는 경우 vrf-내보내기 정책의 다음 홉 조작은 무시됩니다.
명령문을 포함 vpn-apply-export 할 때 다음 사항에 유의하십시오.
bgp.l3vpn.0 라우팅 테이블로 가져온 경로는 원래 경로의 속성을 유지합니다(예를 들어, OSPF 경로는 bgp.l3vpn.0 라우팅 테이블에 저장된 경우에도 OSPF 경로로 유지됨). IBGP PE 라우터와 PE 라우터, 경로 리플렉터와 PE 라우터 또는 AS 경계 라우터(ASBR) 피어 라우터 간의 연결을 위한 내보내기 라우터를 구성할 때 이 사실을 인지해야 합니다.
기본적으로 bgp.l3vpn.0 라우팅 테이블의 모든 경로는 IBGP 피어로 내보내집니다. 내보내기 정책의 마지막 문이 deny all이고 내보내기 정책이 bgp.l3vpn.0 라우팅 테이블의 경로에서 구체적으로 일치하지 않으면 경로를 내보내지 않습니다.
VRF 내보내기 및 BGP 내보내기 정책을 모두 VPN 경로에 적용하려면 다음 문을 포함합니다.vpn-apply-export
vpn-apply-export;
이 문을 포함할 수 있는 계층 수준 목록은 이 문에 대한 문 요약 섹션을 참조하십시오.
VRF 대상 구성
VRF 대상 커뮤니티 구성에 명령문을 포함 vrf-target 하면 지정된 대상 커뮤니티로 경로를 수락하고 태그하는 기본 VRF 가져오기 및 내보내기 정책이 생성됩니다. VRF 가져오기 및 내보내기 정책을 명시적으로 구성하여 더 복잡한 정책을 만들 수도 있습니다. 이러한 정책은 문을 구성할 때 생성되는 기본 정책을 재정의합니다.vrf-target
명령문의 and export 옵션을 vrf-target 구성 import 하지 않으면 지정된 커뮤니티 문자열이 양방향으로 적용됩니다. and export 키워드는 import 더 많은 유연성을 제공하여 각 방향에 대해 다른 커뮤니티를 지정할 수 있습니다.
VRF 대상 커뮤니티의 구문은 이름이 아닙니다. 형식으로 지정해야 합니다.target:x:y 커뮤니티 이름을 지정할 수 없습니다. 문을 사용하여 해당 커뮤니티에 대한 커뮤니티 구성원을 구성해야 하기 때문입니다.policy-options 명령문을 정의 policy-options 하면 평소와 같이 VRF 가져오기 및 내보내기 정책을 구성할 수 있습니다. 이 vrf-target 문의 목적은 계층 수준에서 대부분의 문을 구성할 수 있도록 하여 구성을 단순화하는 것입니다.[edit routing-instances]
VRF 대상을 구성하려면 다음 명령문을 포함합니다.vrf-target
vrf-target community;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
문을 구성 vrf-target 하는 방법의 예는 다음과 같습니다.
[edit routing-instances sample] vrf-target target:69:102;
and import 옵션을 사용하여 export 문을 구성 vrf-target 하려면 다음 문을 포함합니다.
vrf-target { export community-name; import community-name; }
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]