VPN 경로 배포
이 주제는 BGP, MPLS 신호 및 정책에서 경로 정보를 처리하도록 라우터를 구성하는 것에 대해 설명합니다.
VPN을 위한 라우팅 정보 교환 활성화
레이어 2 VPN, 레이어 3 VPN, 가상 라우터 라우팅 인스턴스, VPLS, EVPN 및 레이어 2 서킷이 제대로 작동하려면 서비스 프로바이더의 PE 및 P 라우터가 라우팅 정보를 교환할 수 있어야 합니다. 이를 위해서는 이러한 라우터에서 IGP(예: OSPF 또는 IS-IS) 또는 정적 경로를 구성해야 합니다. IGP는 VPN에 사용되는 라우팅 인스턴스 내에서가 아니라 계층 수준에서, 즉 계층 수준이 아닌 [edit routing-instances] 계층 수준에서 라우팅 프로토콜 프로세스의 [edit protocols] 마스터 인스턴스에서 구성합니다.
PE 라우터를 구성할 때, 영역 경계에서 PE 라우터의 루프백 주소에 대한 요약을 구성하지 마십시오. 각 PE 라우터의 루프백 주소는 별도의 경로로 나타나야 합니다.
VPN에서 PE 라우터 간 IBGP 세션 구성
PE 라우터가 VPN에서 시작하고 종료되는 경로에 대한 정보를 교환할 수 있도록 PE 라우터 간에 IBGP 세션을 구성해야 합니다. PE 라우터는 이 정보에 의존하여 원격 사이트로 향하는 트래픽에 어떤 레이블을 사용할지 결정합니다.
다음과 같이 VPN에 대한 IBGP 세션을 구성합니다.
[edit protocols]
bgp {
group group-name {
type internal;
local-address ip-address;
family evpn {
signaling;
}
family (inet-vpn | inet6-vpn) {
unicast;
}
family l2vpn {
signaling;
}
neighbor ip-address;
}
}
문의 IP 주소 local-address 는 로컬 PE 라우터의 루프백 인터페이스 주소입니다. VPN에 대한 IBGP 세션은 루프백 주소를 통해 실행됩니다. (계층 수준에서 루프백 인터페이스도 [edit interfaces] 구성해야 합니다.)
문의 IP 주소 neighbor 는 이웃 PE 라우터의 루프백 주소입니다. RSVP 시그널링을 사용하는 경우, 이 IP 주소는 MPLS LSP를 구성할 때 계층 수준에서 명령문 [edit mpls label-switched-path lsp-path-name] 에 지정한 to 주소와 동일합니다.
family 명령문을 사용하여 레이어 2 VPN, VPLS, EVPN 또는 레이어 3 VPN에 대한 IBGP 세션을 구성할 수 있습니다.
레이어 2 VPN 및 VPLS에 대한 IBGP 세션을 구성하려면 계층 수준에서 문을
[edit protocols bgp group group-name family l2vpn]포함합니다signaling.[edit protocols bgp group group-name family l2vpn] signaling;
EVPN을 위한 IBGP 세션을 구성하려면 계층 수준에서 문을
[edit protocols bgp group group-name family evpn]포함합니다signaling.[edit protocols bgp group group-name family evpn] signaling;
레이어 3 VPN에 대한 IPv4 IBGP 세션을 구성하려면 계층 수준에서 문을
[edit protocols bgp group group-name family inet-vpn]구성합니다unicast.[edit protocols bgp group group-name family inet-vpn] unicast;
레이어 3 VPN에 대한 IPv6 IBGP 세션을 구성하려면 계층 수준에서 문을
[edit protocols bgp group group-name family inet6-vpn]구성합니다unicast.[edit protocols bgp group group-name family inet6-vpn] unicast;
동일한 피어 그룹 내에서 및 family inet-vpn 또는 둘 family inet6-vpn 다를 family inet6 구성할 family inet 수 있습니다. 이를 통해 동일한 피어 그룹 내에서 IPv4 및 IPv4 VPN 경로 또는 IPv6 및 IPv6 VPN 경로를 모두 지원할 수 있습니다.
VPN에 대한 집계 레이블 구성
VPN에 대한 어그리게이션 레이블을 사용하면 주니퍼 네트웍스 라우팅 플랫폼에서 수신 레이블 집합(피어 라우터에서 수신한 레이블)을 수신 레이블 집합에서 선택된 단일 포워딩 레이블로 집계할 수 있습니다. 단일 포워딩 레이블은 해당 레이블 세트에 대한 단일 다음 홉에 해당합니다. 레이블 어그리게이션은 라우터가 검사해야 하는 VPN 레이블의 수를 줄입니다.
레이블 집합이 집계 포워딩 레이블을 공유하려면 동일한 FEC(포워딩 동등성 클래스)에 속해야 합니다. 레이블이 지정된 패킷은 동일한 대상 송신 인터페이스를 가져야 합니다.
문과 community community-name 함께 aggregate-label 문을 포함하면 공통 원본 커뮤니티와 접두사를 지정할 수 있습니다. 피어 PE의 정책에 따라 설정된 이러한 접두사는 피어 PE 라우터의 FEC를 나타냅니다.
대상 커뮤니티가 원본 커뮤니티 대신 실수로 설정된 경우 송신 PE에서 포워딩 문제가 발생할 수 있습니다. 피어 PE의 모든 접두사는 동일한 FEC에 있는 것으로 나타나므로 동일한 VPN의 지정된 PE 뒤에 있는 모든 CE 라우터에 대한 단일 내부 레이블이 생성됩니다.
레이어 3 VPN 네트워크에서 경로 리플렉터와 함께 작동하기 위해 주니퍼 네트웍스 M10i 라우터는 경로가 다음과 같은 경우에만 수신 레이블 세트를 집계합니다.
동일한 피어 라우터에서 수신됩니다.
원본 커뮤니티가 동일해야 합니다.
동일한 다음 홉이 있어야 합니다.
경로 리플렉터는 다른 BGP 피어에서 발생한 경로를 해당 경로의 다음 홉을 변경하지 않고 다른 BGP 피어로 전달하기 때문에 다음 홉 요구 사항이 중요합니다.
VPN에 대한 집계 레이블을 구성하려면 aggregate-label 문을 포함합니다.
aggregate-label { community community-name; }
이 명령문을 포함할 수 있는 계층 수준의 목록은 이 명령문의 요약을 참조하십시오.
커뮤니티를 구성하는 방법에 대한 자세한 내용은 라우팅 정책 일치 조건으로 BGP 커뮤니티, 확장 커뮤니티 및 대규모 커뮤니티 이해를 참조하십시오.
VPN에 대한 신호 프로토콜 및 LSP 구성
VPN이 작동하려면 프로바이더 에지(PE) 라우터와 프로바이더(P) 라우터에서 신호 프로토콜(LDP 또는 RSVP)을 활성화해야 합니다. 또한 수신 및 송신 라우터 간에 LSP(Label-Switched Path)를 구성해야 합니다. 전형적인 VPN 구성에서는 각 PE 라우터에서 VPN에 참여하는 다른 모든 PE 라우터로 LSP를 풀 메시로 구성해야 합니다.
MPLS와 관련된 모든 구성과 마찬가지로, 고집적 고속 이더넷 PIC를 통해 PE 라우터의 코어 대면 인터페이스를 구성할 수 없습니다.
신호 전송 프로토콜을 활성화하려면 다음 섹션 중 하나의 단계를 수행합니다.
VPN 시그널링에 LDP 사용
VPN 신호에 LDP를 사용하려면 PE 및 프로바이더(P) 라우터에서 다음 단계를 수행합니다.
계층 수준에서 문을 포함하여
ldp서비스 프로바이더의 네트워크 코어에 있는 인터페이스에서 LDP를[edit protocols]구성합니다.PE 라우터 간 또는 PE와 P 라우터 간의 인터페이스에서만 LDP를 구성해야 합니다. 이를 "코어 대면" 인터페이스로 생각할 수 있습니다. PE와 고객 에지(CE) 라우터 간의 인터페이스에서 LDP를 구성할 필요가 없습니다.
[edit] protocols { ldp { interface type-fpc/pic/port; } }계층 수준에서 문을 포함하여 LDP를 활성화한 인터페이스( 1단계에서 구성한 인터페이스)에서 MPLS 주소 패밀리를
family mpls[edit interfaces type-fpc/pic/port unit logical-unit-number]구성합니다.[edit] interfaces { type-fpc/pic/port { unit logical-unit-number { family mpls; } } }각 PE 및 P 라우터에서 OSPF 또는 IS-IS(Intermediate System to Intermediate System)를 구성합니다.
이러한 프로토콜은 VPN에 사용되는 라우팅 인스턴스 내에서가 아니라 라우팅 프로토콜의 마스터 인스턴스에서 구성합니다.
최단 경로 우선(OSPF)을
ospf구성하려면 계층 수준에서 명령문을 포함하십시오[edit protocols]. 최소한 라우터의 인터페이스 중 하나 이상에서 백본 영역을 구성해야 합니다.[edit] protocols { ospf { area 0.0.0.0 { interface type-fpc/pic/port; } } }IS-IS(Intermediate System to Intermediate System)를 구성하려면 계층 수준에서 명령문을
[edit protocols]포함isis하고 계층 수준에서 루프백 인터페이스와 국제 표준화 기구(ISO) 체계를[edit interfaces]구성합니다. 최소한 라우터에서 IS-IS를 활성화하고, 라우터의 인터페이스(가급적 루프백 인터페이스 lo0) 중 하나에서 NET (Network Entity Title)을 구성하고, IS-IS를 실행하려는 모든 인터페이스에서 ISO 패밀리를 구성해야 합니다. IS-IS(Intermediate System to Intermediate System)를 활성화하면 레벨 1과 레벨 2가 기본값으로 활성화됩니다. 다음은 최소 IS-IS 구성입니다.address문address에서 는 NET입니다.[edit] interfaces { lo0 { unit logical-unit-number { family iso { address address; } } } type-fpc/pic/port { unit logical-unit-number { family iso; } } } protocols { isis { interface all; } }
VPN 시그널링에 RSVP 사용
VPN 신호에 RSVP를 사용하려면 다음 단계를 수행하십시오.
각 PE 라우터에서 트래픽 엔지니어링을 구성합니다.
이를 위해서는 트래픽 엔지니어링(IS-IS 또는 OSPF)을 지원하는 IGP(Interior Gateway Protocol)를 구성하고 해당 프로토콜에 대한 트래픽 엔지니어링 지원을 활성화해야 합니다.
최단 경로 우선(OSPF) 트래픽 엔지니어링 지원을 활성화하려면 계층 수준에서
[edit protocols ospf]문을 포함합니다traffic-engineering.[edit protocols ospf] traffic-engineering { shortcuts; }IS-IS(Intermediate System to Intermediate System)의 경우, 트래픽 엔지니어링 지원이 기본적으로 활성화되어 있습니다.
각 PE 및 P 라우터에서 레이블 스위치 경로(LSP)에 참여하는 인터페이스에서 RSVP를 활성화합니다.
PE 라우터에서 이러한 인터페이스는 LSP에 대한 수신 및 송신 지점입니다. P 라우터에서 이러한 인터페이스는 PE 라우터 간에 LSP를 연결합니다. 이 인터페이스는 LSP의 일부가 아니기 때문에 PE와 CE 라우터 사이의 인터페이스에서 RSVP를 활성화하지 마십시오.
PE 및 P 라우터에서 RSVP를 구성하려면 계층 수준에서 문을
[edit protocols rsvp]포함합니다interface. RSVP를 활성화하는 각 인터페이스에 대해 하나의interface문을 포함합니다.[edit protocols] rsvp { interface interface-name; interface interface-name; }각 PE 라우터에서 LSP의 송신 지점인 PE 라우터로 MPLS LSP를 구성합니다.
이를 위해 계층 수준에서 및
label-switched-path명령문을[edit protocols mpls]포함합니다interface.[edit protocols] mpls { interface interface-name; label-switched-path path-name { to ip-address; } }to문에서 원격 PE 라우터의 주소인 LSP 송신 지점의 주소를 지정합니다.interface문에서 인터페이스 이름(물리적 및 논리적 부분 모두)을 지정합니다. LSP와 연결된 인터페이스에 대해 하나의interface문을 포함합니다.계층 수준에서 동일한 인터페이스
[edit interfaces]의 논리적 부분을 구성할 때, 및family mpls문도family inet구성해야 합니다:[edit interfaces] interface-name { unit logical-unit-number { family inet; family mpls; } }LSP에 참여하는 모든 P 라우터에서 계층 수준에서 문을 포함하여 MPLS를
interface활성화합니다[edit mpls].LSP에 대한 각 연결에 대해 하나의
interface문을 포함합니다.[edit] mpls { interface interface-name; interface interface-name; }계층 수준에서 문을 포함하여 PE와 CE 라우터 간의 인터페이스에서 MPLS를
interface활성화합니다[edit mpls].이를 통해 PE 라우터는 LSP로 들어오는 트래픽에 MPLS 레이블을 할당하거나 LSP에서 나가는 트래픽에서 레이블을 제거할 수 있습니다.
[edit] mpls { interface interface-name; }MPLS 구성에 대한 자세한 내용은 MPLS 신호 LSP에 대한 수신 라우터 구성을 참조하십시오.
참조
VPN의 PE 라우터에서 VRF 테이블에 대한 정책 구성
각 PE 라우터에서 라우터의 VRF 테이블로 경로를 가져오고 내보내는 방법을 정의하는 정책을 정의해야 합니다. 이러한 정책에서는 경로 대상을 정의해야 하며, 선택적으로 경로 출처를 정의할 수 있습니다.
VRF 테이블에 대한 정책을 구성하려면 다음 섹션의 단계를 수행합니다.
- 라우트 대상 구성
- 경로 원본 구성
- PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성
- PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성
- VRF 내보내기 및 BGP 내보내기 정책 모두 적용
- VRF 대상 구성
라우트 대상 구성
VPN 라우팅 테이블에 대한 정책 구성의 일부로, 경로가 속한 VPN을 정의하는 경로 대상을 정의해야 합니다. 동일한 PE 라우터에서 다양한 유형의 VPN 서비스(레이어 2 VPN, 레이어 3 VPN, EVPN 또는 VPLS)를 구성할 때, 경로 및 신호 전송 정보가 잘못된 VPN 라우팅 테이블에 추가되지 않도록 고유한 경로 대상 값을 할당해야 합니다.
라우트 대상을 구성하려면 문에서 옵션을 포함합니다target.community
community name members target:community-id;
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit policy-options][edit logical-systems logical-system-name policy-options]
name 은(는) 커뮤니티의 이름입니다.
community-id 은(는) 커뮤니티의 식별자입니다. 다음 형식 중 하나로 지정합니다.
as-number:number, 여기서as-number는 AS 번호(2바이트 값)이고number은(는) 4바이트 community 값입니다. AS 번호는 1에서 65,535까지의 범위에 있을 수 있습니다. IANA에서 할당한 비개인 AS 번호(가급적 ISP 자체 또는 고객의 자체 AS 번호)를 사용하는 것이 좋습니다. 커뮤니티 값은 0에서 4,294,967,295(232 – 1) 범위의 숫자일 수 있습니다.ip-address:number, 여기서ip-address는 IPv4 주소(4바이트 값)이고number는 2바이트 community 값입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소가 될 수 있습니다. 문에router-id구성한 주소(할당된 접두사 범위 내의 비개인 주소)를 사용하는 것이 좋습니다. 커뮤니티 값은 1에서 65,535 사이의 숫자일 수 있습니다.
경로 원본 구성
PE 라우터의 VRF 테이블에 대한 가져오기 및 내보내기 정책에서, 다른 PE 라우터로 전송되는 멀티프로토콜 외부 BGP(MP-EBGP) VPN IPv4 경로 업데이트에 적용된 VRF 내보내기 정책을 사용하여 PE 라우터의 VRF 경로에 대한 경로 원본(원본 사이트라고도 함)을 선택적으로 할당할 수 있습니다.
수신 PE의 VRF 가져오기 정책에서 할당된 경로 원본 속성을 일치시키면 한 PE에서 MP-EBGP 업데이트를 통해 학습된 VPN-IPv4 경로를 동일한 사이트에 연결된 다른 PE에서 동일한 VPN 사이트로 다시 가져오지 않도록 하는 데 도움이 됩니다.
경로 출처를 구성하려면 다음 단계를 완료합니다.
옵션과
communityorigin함께 문을 포함합니다.community name members origin:community-id;
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit policy-options][edit logical-systems logical-system-name policy-options]
name은(는) 커뮤니티의 이름입니다.community-id은(는) 커뮤니티의 식별자입니다. 다음 형식 중 하나로 지정합니다.as-number:number, 여기서as-number는 AS 번호(2바이트 값)이고number은(는) 4바이트 community 값입니다. AS 번호는 1에서 65,535까지의 범위에 있을 수 있습니다. IANA에서 할당한 비개인 AS 번호(가급적 ISP 자체 또는 고객의 자체 AS 번호)를 사용하는 것이 좋습니다. 커뮤니티 값은 0에서 4,294,967,295(232 – 1) 범위의 숫자일 수 있습니다.ip-address:number, 여기서ip-address는 IPv4 주소(4바이트 값)이고number는 2바이트 community 값입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소가 될 수 있습니다. 문에router-id구성한 주소(할당된 접두사 범위 내의 비개인 주소)를 사용하는 것이 좋습니다. 커뮤니티 값은 1에서 65,535 사이의 숫자일 수 있습니다.
계층 수준에서 1
[edit policy-options policy-statement import-policy-name term import-term-name from]단계에서 정의된 식별자로community-id문을 구성community하여 PE 라우터의 VRF 테이블에 대한 가져오기 정책에 커뮤니티를 포함합니다. PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성을 참조하십시오.정책
from조항이 커뮤니티 조건을vrf-import지정하지 않으면 정책이 적용되는 문을 커밋할 수 없습니다. Junos OS 커밋 작업이 유효성 검사를 통과하지 못합니다.계층 수준에서 1
[edit policy-options policy-statement export-policy-name term export-term-name then]단계에서 정의된 식별자로community-id문을 구성community하여 PE 라우터의 VRF 테이블에 대한 내보내기 정책에 커뮤니티를 포함합니다. PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성을 참조하십시오.
구성 예제는 VPN에 대한 경로 원본 구성을 참조하십시오.
PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성
각 VPN은 PE 라우터의 VRF 테이블로 경로를 가져오는 방법을 정의하는 정책을 가질 수 있습니다. 가져오기 정책은 VPN의 다른 PE 라우터에서 수신한 경로에 적용됩니다. 정책은 피어 PE 라우터와의 IBGP 세션을 통해 수신된 모든 경로를 평가해야 합니다. 경로가 조건과 일치하는 경우 경로는 PE 라우터 routing-instance-name.inet.0 의 VRF 테이블에 설치됩니다. 가져오기 정책은 다른 모든 경로를 거부하는 두 번째 용어를 포함해야 합니다.
가져오기 정책에 문만 then reject 포함되어 있지 않는 한, 커뮤니티에 대한 참조를 포함해야 합니다. 그렇지 않으면 구성을 커밋하려고 할 때 커밋이 실패합니다. 여러 가져오기 정책을 구성할 수 있습니다.
가져오기 정책은 IBGP를 통해 원격 PE 라우터에서 학습된 VPN 경로를 기반으로 지정된 VRF 테이블로 무엇을 가져올지 결정합니다. IBGP 세션은 계층 수준에서 구성됩니다[edit protocols bgp]. 계층 수준에서 가져오기 정책을 [edit protocols bgp] 구성하는 경우, 계층 수준과 [edit protocols bgp] 계층 수준의 가져오기 정책은 [edit policy-options] 논리적 AND 연산을 통해 결합됩니다. 이렇게 하면 트래픽을 그룹으로 필터링할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 가져오기 정책을 구성하려면 다음 단계를 따르십시오.
가져오기 정책을 정의하려면 문을 포함합니다
policy-statement. 모든 PE 라우터의 경우, 가져오기 정책은 항상 최소한 문을 포함policy-statement해야 합니다.policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }다음 계층 수준에서 명령문을 포함
policy-statement시킬 수 있습니다.[edit policy-options][edit logical-systems logical-system-name policy-options]
정책은
import-policy-name다른 PE 라우터와의 IBGP 세션을 통해 수신된 모든 경로를 평가합니다. 경로가 문의 조건from과 일치하는 경우 경로는 PE 라우터 routing-instance-name의 .inet.0 VRF 테이블에 설치됩니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.
선택적으로 정규 표현식을 사용하여 VRF 가져오기 정책에 사용할 커뮤니티 집합을 정의할 수 있습니다.
예를 들어, 계층 수준에서 문을
[edit policy-options policy-statement policy-statement-name]사용하여community다음을 구성할 수 있습니다.[edit policy-options vrf-import-policy-sample] community high-priority members *:50
정규 표현식을 경로 대상 확장 커뮤니티의 일부로 구성할 수 없습니다. 커뮤니티에 대한 정규 표현식을 구성하는 방법에 대한 자세한 내용은 라우팅 정책 일치 조건에서 BGP 커뮤니티 및 확장 커뮤니티를 평가하는 방법을 참조하십시오.
가져오기 정책을 구성하려면 문을 포함합니다.
vrf-importvrf-import import-policy-name;
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성
각 VPN은 PE 라우터의 VRF 테이블에서 경로를 내보내는 방법을 정의하는 정책을 가질 수 있습니다. 내보내기 정책은 VPN의 다른 PE 라우터로 전송되는 경로에 적용됩니다. 내보내기 정책은 고객 에지(CE) 라우터와의 라우팅 프로토콜 세션을 통해 수신된 모든 경로를 평가해야 합니다. (이 세션은 BGP, OSPF 또는 RIP[Routing Information Protocol] 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 조건과 일치하면 지정된 커뮤니티 대상(경로 대상)이 추가되고 원격 PE 라우터로 내보내집니다. 내보내기 정책에는 다른 모든 경로를 거부하는 두 번째 용어가 포함되어야 합니다.
VPN 라우팅 인스턴스 내에 정의된 내보내기 정책은 VRF 테이블에 적용되는 유일한 내보내기 정책입니다. PE 라우터 간의 IBGP 세션에서 정의하는 모든 내보내기 정책은 VRF 테이블에 아무런 영향을 미치지 않습니다. 여러 내보내기 정책을 구성할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 내보내기 정책을 구성하려면 다음 단계를 따르십시오.
모든 PE 라우터의 경우, 내보내기 정책은 라우팅 인스턴스 내에서 CE와 PE 라우터 간에 구성하는 라우팅 프로토콜 유형에 따라 연결된 CE 라우터와 VPN 경로를 배포해야 합니다.
내보내기 정책을 정의하려면 문을 포함합니다
policy-statement. 내보내기 정책은 항상 최소한 문을 포함policy-statement해야 합니다:policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }메모:문 구성
community add은 레이어 2 VPN VRF 내보내기 정책의 요구 사항입니다. 문을 문으로community set변경community add하면 레이어 2 VPN 링크의 송신 라우터가 연결을 끊을 수 있습니다.메모:소스별 모드에서 작동하는 draft-rosen 멀티캐스트 VPN을 구성하고 내보내기 정책을 지정하기 위해 명령문을 사용하는
vrf-export경우, 정책에는 vrf-name.mdt.0 라우팅 테이블의 경로를 수용하는 용어가 있어야 합니다. 이 용어는 주소 패밀리를inet-mdt사용하여 적절한 PE 자동 검색을 보장합니다.소스 특정 모드에서 작동하고 문을 사용하는 draft-rosen 멀티캐스트 VPN을
vrf-target구성하고 문을 사용하면 VRF 내보내기 정책이 자동으로 생성되고 vrf-name.mdt.0 라우팅 테이블의 경로를 자동으로 수락합니다.다음 계층 수준에서 명령문을 포함
policy-statement시킬 수 있습니다.[edit policy-options][edit logical-systems logical-system-name policy-options]
이
export-policy-name정책은 CE 라우터와의 라우팅 프로토콜 세션을 통해 수신된 모든 경로를 평가합니다. (이 세션은 BGP, OSPF, RIP 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 문의 조건from과 일치하면 문에then community add지정된 커뮤니티 대상이 추가되고 원격 PE 라우터로 내보내집니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.
정책을 적용하려면 문을 포함합니다.
vrf-exportvrf-export export-policy-name;
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
VRF 내보내기 및 BGP 내보내기 정책 모두 적용
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성에 설명된 대로 VRF 내보내기 정책을 적용하면 VPN 라우팅 인스턴스의 경로가 이 정책에 따라 다른 PE 라우터에 보급되는 반면 BGP 내보내기 정책은 무시됩니다.
BGP 구성에 명령문을 포함 vpn-apply-export 하면 VPN 라우팅 테이블에서 다른 PE 라우터로 경로가 광고되기 전에 VRF 내보내기 정책과 BGP 그룹 또는 이웃 내보내기 정책이 모두 적용됩니다(VRF 먼저, BGP 순).
PE 디바이스가 Carrier-over-Carrier 또는 AS 간 VPN에서 경로 리플렉터(RR) 또는 ASBR(Autonomous System Boundary Router)의 역할도 하는 경우, vrf-export 정책의 next-hop manipulation은 무시됩니다.
명령문을 포함할 vpn-apply-export 때는 다음 사항에 유의해야 합니다.
bgp.l3vpn.0 라우팅 테이블로 가져온 경로는 원래 경로의 속성을 유지합니다(예를 들어, OSPF 경로는 bgp.l3vpn.0 라우팅 테이블에 저장되어 있어도 OSPF 경로로 유지됩니다). IBGP PE 라우터와 PE 라우터, 경로 리플렉터와 PE 라우터 또는 AS 경계 라우터(ASBR) 피어 라우터 간의 연결에 대한 내보내기 정책을 구성할 때 이 점을 알고 있어야 합니다.
기본적으로 bgp.l3vpn.0 라우팅 테이블의 모든 경로는 IBGP 피어로 내보내집니다. 내보내기 정책의 마지막 문이 모두 거부이고 내보내기 정책이 bgp.l3vpn.0 라우팅 테이블의 경로와 구체적으로 일치하지 않으면 경로가 내보내지지 않습니다.
VRF 내보내기 및 BGP 내보내기 정책을 모두 VPN 경로에 적용하려면 다음과 같은 vpn-apply-export 명령문을 포함합니다.
vpn-apply-export;
이 명령문을 포함할 수 있는 계층 수준의 목록은 이 명령문에 대한 요약 섹션을 참조하십시오.
VRF 대상 구성
VRF 대상 community의 구성에 vrf-target 명령문을 포함하면 지정된 대상 community의 경로를 수락하고 태그를 지정하는 기본 VRF 가져오기 및 내보내기 정책이 생성됩니다. VRF 가져오기 및 내보내기 정책을 명시적으로 구성하여 더 복잡한 정책을 생성할 수 있습니다. 이러한 정책은 문을 구성할 때 생성되는 기본 정책을 재정의합니다 vrf-target .
문의 및 export 옵션을 vrf-target 구성 import 하지 않으면 지정된 커뮤니티 문자열이 양방향으로 적용됩니다. 및 export 키워드는 import 더 많은 유연성을 제공하므로 각 방향에 대해 다른 커뮤니티를 지정할 수 있습니다.
VRF 대상 커뮤니티의 구문은 이름이 아닙니다. 형식으로 target:x:y지정해야 합니다. 커뮤니티 이름을 지정할 수 없습니다. 이는 또한 문을 사용하여 해당 커뮤니티에 대한 커뮤니티 구성원을 구성해야 하기 policy-options 때문입니다. 명령문을 정의 policy-options 하면 평소와 같이 VRF 가져오기 및 내보내기 정책을 구성할 수 있습니다. 문의 목적은 vrf-target 계층 수준에서 대부분의 문을 구성할 수 있도록 허용하여 구성을 단순화하는 [edit routing-instances] 것입니다.
VRF 대상을 구성하려면 문을 포함합니다.vrf-target
vrf-target community;
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
문을 구성할 vrf-target 수 있는 방법의 예는 다음과 같습니다.
[edit routing-instances sample] vrf-target target:69:102;
및 import 옵션으로 vrf-target export 문을 구성하려면 다음 문을 포함합니다.
vrf-target { export community-name; import community-name; }
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
VPN에 대한 경로 출처 구성
경로 오리진을 사용하여 오리진 커뮤니티로 표시된 한 고객 에지(CE) 라우터에서 학습한 경로가 동일한 AS의 다른 CE 라우터에서 해당 라우터로 다시 광고되는 것을 방지할 수 있습니다.
이 예에서 경로 origin은 origin community로 표시된 CE 라우터 A에서 학습된 경로가 AS 200에 의해 CE Router E에 다시 보급되는 것을 방지하는 데 사용됩니다. 예제 토폴로지는 그림 1에 나와 있습니다.
이 토폴로지에서 고객 에지(CE) 라우터 A와 고객 에지(CE) 라우터 E는 동일한 AS(AS200)에 있습니다. 이들은 EBGP를 사용하여 각각의 프로바이더 에지(PE) 라우터, PE Router B 및 PE Router D와 경로를 교환합니다. 두 CE 라우터는 역으로 연결됩니다.
다음 섹션에서는 VPN 그룹의 경로 출처를 구성하는 방법에 대해 설명합니다.
- CE 라우터 A에서 원본 커뮤니티 구성
- CE 라우터 A에서 커뮤니티 구성
- CE 라우터 A에 정책 명령문 적용
- PE 라우터 D에서의 정책 구성
- PE 라우터 D에서의 커뮤니티 구성
- PE 라우터 D에 정책 적용
CE 라우터 A에서 원본 커뮤니티 구성
다음 섹션에서는 이 예에서 원본 사이트 커뮤니티가 있는 경로를 PE 라우터 B에 광고하도록 CE 라우터 A를 구성하는 방법을 설명합니다.
이 예에서는 직접 경로가 보급되도록 구성되지만 모든 경로를 구성할 수 있습니다.
고객 에지(CE) 라우터 A에서 community를 통해 my-soo 경로를 광고하는 정책을 다음과 같이 구성합니다.
[edit]
policy-options {
policy-statement export-to-my-isp {
term a {
from {
protocol direct;
}
then {
community add my-soo;
accept;
}
}
}
}
CE 라우터 A에서 커뮤니티 구성
고객 에지( my-soo CE) 라우터 A에서 다음과 같이 커뮤니티를 구성합니다.
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
CE 라우터 A에 정책 명령문 적용
다음과 같이 export-to-my-isp 정책 명령문을 고객 에지(CE) 라우터 A의 EBGP 피어링에 내보내기 정책으로 적용합니다:
[edit]
protocols {
bgp {
group my_isp {
export export-to-my-isp;
}
}
}
명령을 실행 show route receive-protocol bgp detail 하면 커뮤니티가 있는 PE 라우터 B my-soo 에서 유래한 다음 경로를 볼 수 있습니다.
user@host> show route receive-protocol bgp 10.12.99.2 detail
inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden)
* 10.12.33.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
10.12.99.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 10.255.71.177/32 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 192.168.64.0/21 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
__juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0
hidden)
PE 라우터 D에서의 정책 구성
고객 에지(CE) 라우터 A에 의해 태그된 커뮤니티가 있는 경로가 my-soo 고객 에지(CE) 라우터 E에 광고되는 것을 방지하는 PE 라우터 D에 다음과 같은 정책을 구성합니다.
[edit]
policy-options {
policy-statement soo-ce1-policy {
term a {
from {
community my-soo;
then {
reject;
}
}
}
}
}
PE 라우터 D에서의 커뮤니티 구성
PE 라우터 D의 커뮤니티를 다음과 같이 구성합니다.
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
PE 라우터 D에 정책 적용
고객 에지(CE) 라우터 A에서 학습한 경로가 고객 에지(CE) 라우터 E에 광고되는 것을 방지하려면(두 라우터가 이러한 경로를 직접 통신할 수 있음), PE 라우터 D 및 고객 에지(CE) 라우터 E EBGP 세션vpn_blue에 내보내기 정책으로 정책 문을 적용합니다soo-ce1-policy.
명령을 사용하여 PE 라우터 D에서 EBGP 세션을 봅니다 show routing-instances .
user@host# show routing-instances
vpn_blue {
instance-type vrf;
interface fe-2/0/0.0;
vrf-target target:100:200;
protocols {
bgp {
group ce2 {
advertise-peer-as;
peer-as 100;
neighbor 10.12.99.6;
}
}
}
}
다음과 같이 PE 라우터 D 및 CE 라우터 E EBGP 세션 vpn_blue 에 내보내기 정책으로 정책 문을 적용합니다soo-ce1-policy.
[edit routing-instances]
vpn_blue {
protocols {
bgp {
group ce2{
export soo-ce1-policy;
}
}
}
}