VPN 경로 배포
이 주제에서는 네트워크, BGP(Border Gateway Protocol), 시그널링 및 정책에서 라우팅 정보를 처리하기 MPLS 대해 설명하고 있습니다.
VPN을 위한 라우팅 정보 교환 활성화
Layer 2 VPN, Layer 3 VPN, 가상 라우터 라우팅 인스턴스, VPLS, EVPNs 및 Layer 2 회로가 제대로 작동하려면 서비스 제공업체의 PE 및 P 라우터가 라우팅 정보를 교환할 수 있어야 합니다. 이를 위해 라우터에서 IGP 라우터에서 IGP(최단 경로 우선(OSPF) 또는 IS-IS(Intermediate System to Intermediate System) 라우터)를 구성해야 합니다. VPN에 IGP 계층 수준이 아닌 계층 수준에서의 라우팅 프로토콜 프로세스의 마스터 인스턴스에서 서비스를 [edit protocols]
[edit routing-instances]
구성합니다.
PE 라우터를 구성할 때 영역 경계에서 PE 라우터의 루프백 주소 요약을 구성하지 않습니다. 각 PE 라우터의 루프백 주소는 별도의 경로로 나타나야 합니다.
VPN에서 PE 라우터 간 IBGP 세션 구성
PE 라우터가 VPN에서 시작 및 종료되는 경로에 대한 정보를 교환할 수 있도록 PE 라우터 간에 IBGP 세션을 구성해야 합니다. PE 라우터는 이 정보를 토대하여 원격 사이트로 예정된 트래픽에 어떤 레이블을 사용할지 결정합니다.
VPN을 위한 IBGP 세션을 다음과 같이 구성합니다.
[edit protocols] bgp { group group-name { type internal; local-address ip-address; family evpn { signaling; } family (inet-vpn | inet6-vpn) { unicast; } family l2vpn { signaling; } neighbor ip-address; } }
명령문의 IP 주소는 로컬 PE 라우터의 local-address
루프백 인터페이스의 주소입니다. VPN을 위한 IBGP 세션은 루프백 주소를 통해 실행됩니다. (또한 계층 수준에서 루프백 인터페이스를 [edit interfaces]
구성해야 합니다.)
명령문의 IP 주소는 이웃 PE 라우터의 neighbor
루프백 주소입니다. RSVP 시그널링을 사용하는 경우, 이 IP 주소는 LSP를 구성할 때 계층 수준에서 명령문에 지정한 to
[edit mpls label-switched-path lsp-path-name]
MPLS 주소입니다.
이 family
명령문을 통해 Layer 2 VPN, VPLS, EVPNs 또는 Layer 3 VPN에 대한 IBGP 세션을 구성할 수 있습니다.
Layer 2 VPN 및 VPLS를 위한 IBGP 세션을 구성하기 위해 계층 수준에서
signaling
[edit protocols bgp group group-name family l2vpn]
명령문을 포함합니다.[edit protocols bgp group group-name family l2vpn] signaling;
EVPNs를 위한 IBGP 세션을 구성하기 위해 계층 수준에서
signaling
[edit protocols bgp group group-name family evpn]
명령문을 포함합니다.[edit protocols bgp group group-name family evpn] signaling;
Layer 3 VPN을 위한 IPv4 IBGP 세션을 구성하기 위해 계층 수준에서
unicast
[edit protocols bgp group group-name family inet-vpn]
명령문을 구성합니다.[edit protocols bgp group group-name family inet-vpn] unicast;
Layer 3 VPN을 위한 IPv6 IBGP 세션을 구성하기 위해 계층 수준에서
unicast
[edit protocols bgp group group-name family inet6-vpn]
명령문을 구성합니다.[edit protocols bgp group group-name family inet6-vpn] unicast;
동일한 피어 그룹 내에서 또는 둘 family inet
family inet-vpn
family inet6
family inet6-vpn
모두를 구성할 수 있습니다. 이를 통해 동일한 피어 그룹 내에서 IPv4 및 IPv4 VPN 경로 또는 IPv6 및 IPv6 VPN 경로를 모두 지원할 수 있습니다.
VPN을 위한 통합 레이블 구성
VPN에 대한 어그리게이트 레이블을 사용하면 주니퍼 네트웍스 라우팅 플랫폼에서 수신 레이블 세트(피어 라우터에서 수신한 레이블)를 수신 레이블 집합에서 선택된 단일 포우링 레이블로 통합할 수 있습니다. 단일 포우링 레이블은 해당 레이블 집합에 대한 단일 다음 홉에 대응합니다. Label Aggregation은 라우터에서 검사해야 하는 VPN 레이블의 수를 줄입니다.
통합 포링 레이블을 공유하기 위한 레이블 집합은 동일한 FEC(Forwarding Equivalence Class)에 속해야 합니다. 라벨링된 패킷은 동일한 대상 egress 인터페이스를 가지고 있어야 합니다.
명령문이 있는 명령문을 포함하면 공통 오리진 커뮤니티가 있는 community
community-name
aggregate-label
Prefix를 지정할 수 있습니다. 피어 PE의 정책에 따라 설정된 이러한 프리픽스는 피어 PE 라우터의 FEC를 나타내며,
표적 커뮤니티가 오리진 커뮤니티가 아니라 실수로 설정된 경우, egress PE에서 문제를 전달할 수 있습니다. 피어 PE의 모든 프리픽스가 동일한 FEC에 있는 것으로 나타나 동일한 VPN에서 고객 에지(CE) 라우터에 대한 단일 내부 레이블이 생성됩니다.
Layer 3 VPN 네트워크에서 루트 리프터(route reflectors)와 연동하기 위해 주니퍼 네트웍스 M10i 라우터는 라우팅이 있을 때만 수신 레이블 세트를 집계합니다.
동일한 피어 라우터로부터 수신
동일한 원본 커뮤니티 사이트가 있는 경우
동일한 다음 홉 사용
다음 홉 요구 사항은 루트 리포지터가 해당 경로의 다음 홉을 변경하지 않고도 서로 다른 BGP(Border Gateway Protocol) 피어에서 다른 BGP(Border Gateway Protocol) 피어로 전달했기 때문에 중요합니다.
VPN에 대한 통합 레이블을 구성하기 위해 통합 레이블문을 포함하십시오.
aggregate-label { community community-name; }
이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문에 대한 명령문 요약을 참조합니다.
커뮤니티 구성 방법에 대한 자세한 내용은 라우팅 정책 일치 조건으로 BGP(Border Gateway Protocol) 커뮤니티, 확장 커뮤니티 및 대규모 커뮤니티 이해 를 참조하십시오.
VPN을 위한 시그널링 프로토콜 및 LSP 구성
VPN이 작동하려면 제공업체 에지(PE) 라우터와 제공업체(P) 라우터에서 LDP 또는 RSVP와 같은 시그널링 프로토콜을 활성화해야 합니다. 또한 ingress 및 egress 라우터 간에 LSP(Label-Switched Path)를 구성해야 합니다. 일반적인 VPN 구성에서는 각 PE 라우터에서 풀 메시에서 VPN에 참여하는 다른 PE 라우터에 대한 LSP를 구성해야 합니다.
모든 구성과 MPLS 고밀도 Fast Ethernet PICs를 통해 PE 라우터의 코어 대면 인터페이스를 구성할 수 없습니다.
시그널링 프로토콜을 활성화하려면 다음 섹션 중 하나에서 단계를 수행합니다.
VPN 신호 전송에 LDP 사용
VPN 시그널링을 위해 LDP를 사용했다면 PE 및 제공업체(P) 라우터에서 다음 단계를 수행합니다.
계층 수준에서 명령문을 포함해 서비스 제공업체 네트워크의 코어 인터페이스에서 LDP를
ldp
[edit protocols]
구성합니다.PE 라우터 간 또는 PE 및 P 라우터 사이의 인터페이스에서만 LDP를 구성해야 합니다. 이를 "코어 대면( core-facing)" 인터페이스로 생각하면 됩니다. PE와 고객 에지(고객 에지(CE)) 라우터 사이의 인터페이스에서 LDP를 구성할 고객 에지(CE) 필요가 없습니다.
[edit] protocols { ldp { interface type-fpc/pic/port; } }
계층 MPLS 명령문을 포함해 LDP(1단계에서 구성한 인터페이스)를활성화한 인터페이스에서 MPLS 주소 패밀리를
family mpls
[edit interfaces type-fpc/pic/port unit logical-unit-number]
구성합니다.[edit] interfaces { type-fpc/pic/port { unit logical-unit-number { family mpls; } } }
각 최단 경로 우선(OSPF) 및 P IS-IS(Intermediate System to Intermediate System) 구성하거나 구성합니다.
VPN에 사용되는 라우팅 인스턴스가 아닌 라우팅 프로토콜의 마스터 인스턴스에서 이러한 프로토콜을 구성합니다.
구성 최단 경로 우선(OSPF) 계층 수준에서
ospf
[edit protocols]
명령문을 포함해야 합니다. 최소한 라우터 인터페이스 중 하나에 백본 영역을 구성해야 합니다.[edit] protocols { ospf { area 0.0.0.0 { interface type-fpc/pic/port; } } }
구성하기 IS-IS(Intermediate System to Intermediate System) 계층 수준에서 명령문을 포함하고 계층 수준에서 루프백 인터페이스 및
isis
[edit protocols]
ISO(International Organization for Standardization) 패밀리를[edit interfaces]
구성합니다. 최소한 라우터에서 IS-IS(Intermediate System to Intermediate System) 활성화하고, 라우터 인터페이스 중 하나에 네트워크 엔티티 제목(NET)을 구성하고(루프백 인터페이스, lo0 등) 실행을 원하는 모든 인터페이스에서 ISO IS-IS(Intermediate System to Intermediate System) 구성해야 합니다. 이 옵션을 활성화하면 IS-IS(Intermediate System to Intermediate System) 레벨 1 및 Level 2가 기본적으로 활성화됩니다. 다음은 최소 구성 IS-IS(Intermediate System to Intermediate System) 입니다.address
명령문에는address
NET이 있습니다.[edit] interfaces { lo0 { unit logical-unit-number { family iso { address address; } } } type-fpc/pic/port { unit logical-unit-number { family iso; } } } protocols { isis { interface all; } }
VPN 시그널링을 위한 RSVP 사용
VPN 시그널링을 위해 RSVP를 사용 의 경우, 다음 단계를 수행합니다.
각 PE 라우터에서 트래픽 엔지니어링을 구성합니다.
이를 위해 트래픽 엔지니어링(IS-IS(Intermediate System to Intermediate System) 또는 최단 경로 우선(OSPF))을 지원하는 내부 게이트웨이 프로토콜(IGP)을 구성하고 해당 프로토콜에 대해 트래픽 엔지니어링 지원을 지원해야 합니다.
트래픽 최단 경로 우선(OSPF) 지원이 가능하도록하려면 계층 수준에서
traffic-engineering
[edit protocols ospf]
명령문을 포함해야 합니다.[edit protocols ospf] traffic-engineering { shortcuts; }
트래픽 IS-IS(Intermediate System to Intermediate System) 지원은 기본적으로 지원됩니다.
각 PE 및 P 라우터에서 LSP(Label-Switched Path)에 참여하는 인터페이스에서 RSVP를 활성화합니다.
PE 라우터에서 이들 인터페이스는 LSP에 대한 ingress 및 egress points입니다. P 라우터에서 이들 인터페이스는 PE 라우터 간에 LSP를 연결합니다. 이 인터페이스는 LSP에 구성되지 고객 에지(CE) PE와 라우터 간의 인터페이스에서 RSVP를 활성화하지 않습니다.
PE 및 P 라우터에서 RSVP를 구성하기 위해 계층 수준에서
interface
[edit protocols rsvp]
명령문을 포함합니다. RSVP를 활성화하는 각 인터페이스에interface
대한 1문을 포함합니다.[edit protocols] rsvp { interface interface-name; interface interface-name; }
각 PE 라우터에서 LSP의 MPLS 라우터에 대한 LSP를 구성합니다.
이를 위해 계층 수준에서의 명령문과
interface
label-switched-path
[edit protocols mpls]
명령문을 포함합니다.[edit protocols] mpls { interface interface-name; label-switched-path path-name { to ip-address; } }
명령문에서 원격 PE 라우터의 주소인
to
LSP의 egress point 주소를 지정합니다.명령문에서 인터페이스의 이름을 지정합니다(물리적 부분과
interface
논리적 부분).interface
LSP와 연관된 인터페이스에 대한 1문을 포함합니다.계층 수준에서 동일한 인터페이스의 논리적 부분을 구성할
[edit interfaces]
경우,family inet
family mpls
[edit interfaces] interface-name { unit logical-unit-number { family inet; family mpls; } }
LSP에 참여하는 모든 P 라우터에서 계층 MPLS 명령문을 포함해 모든
interface
기능을[edit mpls]
활성화합니다.interface
LSP에 대한 각 연결에 대한 1문을 포함합니다.[edit] mpls { interface interface-name; interface interface-name; }
계층 MPLS 명령문을 포함해 PE와 고객 에지(CE) 라우터 간의 인터페이스에서
interface
데이터시트(고객 에지(CE))를[edit mpls]
활성화합니다.이를 통해 PE 라우터는 LSP로 진입하는 트래픽에 MPLS 레이블을 할당하거나 LSP에서 나가는 트래픽에서 Label을 제거할 수 있습니다.
[edit] mpls { interface interface-name; }
네트워크 구성에 대한 자세한 MPLS 신호 전송 LSP용 Ingress 라우터 MPLS 를 참조하십시오.
다음 참조
VPN에서 PE 라우터의 VRF 테이블에 대한 정책 구성
각 PE 라우터에서 라우터의 VRF 테이블에서 루트를 가져오고 내보내는 방법을 정의하는 정책을 정의해야 합니다. 이러한 정책에서 경로 대상을 정의해야 합니다. 그리고 선택적으로 경로 원본을 정의할 수 있습니다.
VRF 테이블에 대한 정책을 구성하기 위해 다음 섹션에서 단계를 수행합니다.
- 경로 목표 구성
- 경로 원본 구성
- PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성
- PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성
- VRF 수출 및 수출 BGP(Border Gateway Protocol) 적용
- VRF 목표 설정
경로 목표 구성
VPN 라우팅 테이블에 대한 정책 구성의 일부로, 라우팅 대상을 정의해야 합니다. 경로의 일부가 VPN을 정의해야 합니다. 동일한 PE 라우터에서 서로 다른 유형의 VPN 서비스(Layer 2 VPN, Layer 3 VPN, EVPNs 또는 VPLS)를 구성할 경우, 잘못된 VPN 라우팅 테이블에 라우팅 및 시그널링 정보를 추가할 가능성을 피하기 위해 고유의 경로 목표 값을 할당해야 합니다.
경로 대상을 구성하기 위해 명령문에 target
옵션을 community
포함하십시오.
community name members target:community-id;
다음 계층 수준에 이 진술을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
커뮤니티의 이름입니다.
community-id
커뮤니티 식별자입니다. 다음과 같은 형식으로 지정하십시오.
as-number
:number
as-number
AS 번호(2-byte 값)는 어디에number
있으며, 4비트 커뮤니티 가치입니다. AS 수는 1에서 65,535까지의 범위에 있을 수 있습니다. ISP가 자체적으로 IANA(Internet Assigned Numbers Authority) AS 번호를 할당하지 않는 AS 번호를 사용하는 것이 좋습니다. 커뮤니티 가치는 0에서 4,294,967,295 (232 – 1)까지의 수가 될 수 있습니다.ip-address
:number
ip-address
IPv4 주소(4바트 값)는number
2바트 커뮤니티 가치입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소일 수 있습니다. 지정된 Prefix 범위의 비영리 주소인 명령문에서 구성하는 주소를router-id
사용하는 것이 좋습니다. 커뮤니티의 가치는 1점부터 65,535점까지의 범위에 있을 수 있습니다.
경로 원본 구성
PE 라우터의 VRF 테이블에 대한 임포트 및 내보내기 정책에서는 선택적으로 다른 PE 라우터로 전송되는 멀티프로토폴 외부 BGP(Border Gateway Protocol)(MP-EBGP) VPN IPv4 경로 업데이트에 적용된 VRF 내보내기 정책을 사용하여 PE 라우터의 VRF 경로에 대해 경로 원본(출처 사이트)을 지정할 수 있습니다.
PE의 VRF 임포트 정책에서 할당된 경로 원본 속성을 일치하면 한 PE의 MP-EBGP 업데이트를 통해 학습된 VPN-IPv4 경로가 동일한 사이트에 연결된 다른 PE의 동일한 VPN 사이트로 재지정되지 않도록 보장할 수 있습니다.
경로 원본을 구성하기 위해 다음 단계를 완료합니다.
다음과
community
같은 옵션과 함께 명령문을origin
포함합니다.community name members origin:community-id;
다음 계층 수준에 이 진술을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
커뮤니티의 이름입니다.community-id
커뮤니티 식별자입니다. 다음과 같은 형식으로 지정하십시오.as-number
:number
as-number
AS 번호(2-byte 값)는 어디에number
있으며, 4비트 커뮤니티 가치입니다. AS 수는 1에서 65,535까지의 범위에 있을 수 있습니다. ISP가 자체적으로 IANA(Internet Assigned Numbers Authority) AS 번호를 할당하지 않는 AS 번호를 사용하는 것이 좋습니다. 커뮤니티 가치는 0에서 4,294,967,295 (232 – 1)까지의 수가 될 수 있습니다.ip-address
:number
ip-address
IPv4 주소(4바트 값)는number
2바트 커뮤니티 가치입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소일 수 있습니다. 지정된 Prefix 범위의 비영리 주소인 명령문에서 구성하는 주소를router-id
사용하는 것이 좋습니다. 커뮤니티의 가치는 1점부터 65,535점까지의 범위에 있을 수 있습니다.
계층 수준에서 1단계에 정의된 식별자를 사용하여 명령문을 구성하여 PE 라우터의 VRF 테이블에 대한 가져오기 정책에
community
community-id
[edit policy-options policy-statement import-policy-name term import-term-name from]
커뮤니티를 포함하십시오. PE 라우터의 VRF테이블에 대한 가져오기 정책 구성을 참조합니다.정책 조항이 커뮤니티 조건을 지정하지 않으면 정책이 적용되는 진술을 커밋할
from
vrf-import
수 없습니다. Junos OS 검증 검사를 통과하지 않습니다.계층 수준에서 1단계에 정의된 식별자를 사용하여 명령문을 구성하여 PE 라우터의 VRF 테이블에 대한 내보내기 정책에
community
community-id
[edit policy-options policy-statement export-policy-name term export-term-name then]
커뮤니티를 포함하십시오. PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성을 참조합니다.
구성 예는 VPN의 경로 원본 구성을 참조합니다.
PE 라우터의 VRF 테이블에 대한 가져오기 정책 구성
각 VPN은 PE 라우터의 VRF 테이블로 루트를 가져오는 방법을 정의하는 정책을 수 있습니다. 가져오기 정책은 VPN의 다른 PE 라우터에서 수신된 경로에 적용됩니다. 정책은 피어 PE 라우터를 통해 IBGP 세션에서 수신된 모든 경로를 평가해야 합니다. 라우트가 조건과 일치하면 PE 라우터의 VRF 테이블에 routing-instance-name.inet.0
루트가 설치됩니다. 임포트 정책은 다른 모든 경로를 거부하는 두 번째 용어를 포함해야 합니다.
가져오기 정책에 명령문만 포함하지 않는 한 커뮤니티에 대한 then reject
참조를 포함해야 합니다. 그렇지 않으면 구성을 커밋하려고 할 때 커밋에 실패합니다. 여러 가져오기 정책을 구성할 수 있습니다.
가져오기 정책은 IBGP를 통해 원격 PE 라우터에서 학습된 VPN 경로를 기반으로 특정 VRF 테이블로 무엇을 가져올지 결정합니다. IBGP 세션은 계층 수준에서 [edit protocols bgp]
구성됩니다. 또한 계층 수준에서 가져오기 정책을 구성하는 경우 계층 수준에서 가져오기 정책과 계층 수준이 논리적 및 연산을 통해 [edit protocols bgp]
[edit policy-options]
[edit protocols bgp]
결합됩니다. 이를 통해 트래픽을 그룹으로 필터링할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 가져오기 정책을 구성하기 위해 다음 단계를 따르십시오.
가져오기 정책을 정의하기 위해 명령문을
policy-statement
포함합니다. 모든 PE 라우터의 경우, 임포트 정책은 항상 명령문을 포함해야policy-statement
합니다.policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }
다음 계층 수준으로
policy-statement
명령문을 포함할 수 있습니다.[edit policy-options]
[edit logical-systems logical-system-name policy-options]
정책은 다른 PE 라우터를 통해 IBGP 세션에서 수신된 모든
import-policy-name
경로를 평가합니다. 경로가 명령문의 조건과 일치하면from
라우팅이 PE routing-instance-name 라우터의 .inet.0 VRF 테이블에 설치됩니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 정책 사용자 가이드 를 참조하십시오.
선택적으로 정규 표현식을 사용하여 VRF 임포트 정책에 사용할 커뮤니티 집합을 정의할 수 있습니다.
예를 들어 계층 수준에서 명령문을 사용하여 다음을
community
[edit policy-options policy-statement policy-statement-name]
구성할 수 있습니다.[edit policy-options vrf-import-policy-sample] community high-priority members *:50
경로 대상 확장 커뮤니티의 일부로 정규 표현식을 구성할 수 없다는 점에 유의하십시오. 커뮤니티를 위해 정규 표현식을 구성하는 방법에 대한 자세한 내용은 커뮤니티 및 확장 커뮤니티를 정의하는 BGP(Border Gateway Protocol) 방법을 참조하십시오.
가져오기 정책을 구성하기 위해 다음
vrf-import
명령문을 포함합니다.vrf-import import-policy-name;
다음 계층 수준에 이 진술을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성
각 VPN은 PE 라우터의 VRF 테이블에서 루트를 내보낼 방법을 정의하는 정책을 수 있습니다. VPN의 다른 PE 라우터로 전송된 경로에 수출 정책이 적용됩니다. 수출 정책은 라우팅 프로토콜 세션에서 수신되는 모든 경로를 고객 에지(CE) 수 있습니다. (이 세션은 라우팅 BGP(Border Gateway Protocol), 최단 경로 우선(OSPF)[ 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 조건과 일치하면 지정된 커뮤니티 대상(경로 대상)이 추가되어 원격 PE 라우터로 내보낼 수 있습니다. 수출 정책은 다른 모든 경로를 거부하는 두 번째 용어를 포함해야 합니다.
VPN 라우팅 인스턴스 내에 정의된 내보내기 정책은 VRF 테이블에 적용되는 유일한 내보내기 정책입니다. PE 라우터 간의 IBGP 세션에 대해 정의하는 모든 내보내기 정책은 VRF 테이블에 영향을 미치지 않습니다. 여러 내보내기 정책을 구성할 수 있습니다.
PE 라우터의 VRF 테이블에 대한 내보내기 정책을 구성하기 위해 다음 단계를 따르십시오.
모든 PE 라우터의 경우, 수출 정책은 라우팅 인스턴스 내에서 고객 에지(CE) 및 PE 라우터 간에 구성하는 라우팅 프로토콜의 유형에 따라 연결된 고객 에지(CE) 라우터 간에 VPN 경로를 배포해야 합니다.
내보내기 정책을 정의하기 위해 명령문을
policy-statement
포함합니다. 수출 정책은 항상 최소한 다음policy-statement
명령문을 포함해야 합니다.policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }
참고:명령문 구성은 Layer 2 VPN VRF 수출 정책의 요구
community add
사항입니다. 명령문을 명령문으로 변경하면 Layer 2 VPN 링크의 egress에 있는 라우터가 연결을community add
community set
끊을 수 있습니다.참고:draft-rosen 멀티캐스트 VPN을 소스별 모드에서 작동하고 명령문을 사용하여 내보내기 정책을 지정할 때 정책은 vrf-name.mdt.0 라우팅 테이블의 경로를 수락하는 용어가 있어야
vrf-export
합니다. 이 용어는 주소 패밀리를 사용하여 적절한 PE 자동inet-mdt
확인을 보장합니다.draft-rosen 멀티캐스트 VPN을 소스별 모드에서 실행하고 명령문을 사용할 때 VRF 내보내기 정책은 자동으로 생성되고
vrf-target
vrf-name.mdt.0 라우팅 테이블의 경로를 자동으로 수락합니다.다음 계층 수준으로
policy-statement
명령문을 포함할 수 있습니다.[edit policy-options]
[edit logical-systems logical-system-name policy-options]
정책은 네트워크 라우터를 통해 라우팅 프로토콜 세션에서 수신되는 고객 에지(CE)
export-policy-name
평가합니다. (이 세션은 BGP(Border Gateway Protocol), 최단 경로 우선(OSPF) 라우팅 프로토콜 또는 정적 경로를 사용할 수 있습니다.) 경로가 명령문의 조건과 일치하면 명령문에 지정된 커뮤니티 대상이 추가되어 원격 PE 라우터로 내보낼from
then community add
수 있습니다. 정책의 두 번째 용어는 다른 모든 경로를 거부합니다.정책 생성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 정책 사용자 가이드 를 참조하십시오.
정책을 적용하기 위해 다음
vrf-export
진술을 포함해야 합니다.vrf-export export-policy-name;
다음 계층 수준에 이 진술을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
VRF 수출 및 수출 BGP(Border Gateway Protocol) 적용
PE 라우터의 VRF 테이블에 대한 내보내기 정책 구성에 설명된 VRF수출 정책을 적용하면, VPN 라우팅 인스턴스의 경로는 이 정책에 따라 다른 PE 라우터에 알린 반면, BGP(Border Gateway Protocol) 수출 정책은 무시됩니다.
BGP(Border Gateway Protocol) 구성에 명령문을 포함하면 VRF 내보내기 및 BGP(Border Gateway Protocol) 그룹 또는 이웃 수출 정책이 모두 적용됩니다(VRF 우선, BGP(Border Gateway Protocol)) 경로가 VPN 라우팅 테이블에 다른 PE 라우터에 알려지기 전에 vpn-apply-export
적용됩니다.
PE 디바이스가 Carrier-over-Carrier 또는 inter-AS VPN에서 RR(Route Reflector) 또는 ASBR(Autonomous System Boundary Router)의 역할을 하는 경우, vrf-export 정책의 넥스톰 조작은 무시됩니다.
진술을 vpn-apply-export
포함하면 다음에 유의하십시오.
bgp.l3vpn.0 라우팅 테이블로 가져오는 경로는 원래 경로의 속성을 그대로 유지됩니다(예를 들어 최단 경로 우선(OSPF) 라우팅은 bgp.l3vpn.0 라우팅 테이블에 저장되는 경우에도 최단 경로 우선(OSPF) 경로로 유지됩니다. IBGP PE 라우터와 PE 라우터 간의 연결에 대한 내보내기 정책을 구성할 때 이를 인식해야 합니다. 따라서 IBGP PE 라우터와 PE 라우터, 또는 ASBR(경계 라우터) 피어 라우터가 필요합니다.
기본적으로 bgp.l3vpn.0 라우팅 테이블의 모든 경로는 IBGP 피어로 내보낼 수 있습니다. 마지막 수출 정책 명세서가 모두 거부된 경우, 수출 정책이 bgp.l3vpn.0 라우팅 테이블의 경로와 구체적으로 일치하지 않는 경우, 그 어떤 경로도 내보낼 수 없습니다.
VRF 수출 및 BGP(Border Gateway Protocol) 정책을 VPN 경로에 모두 적용하기 위해 다음 명령문을 vpn-apply-export
포함해야 합니다.
vpn-apply-export;
이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문에 대한 명령문 요약 섹션을 참조하십시오.
VRF 목표 설정
VRF 대상 커뮤니티의 구성에 진술을 포함하면 기본 VRF 가져오기 및 내보내기 정책을 생성하여 지정된 대상 커뮤니티가 있는 경로를 허용하고 태그 vrf-target
지정합니다. VRF 가져오기 및 내보내기 정책을 명시적으로 구성하여 더욱 복잡한 정책을 만들 수 있습니다. 이러한 정책은 명령문을 구성할 때 생성된 기본 정책을 vrf-target
까다로워합니다.
명령문의 구성과 옵션을 구성하지 않으면 지정된 커뮤니티 문자열이 import
export
양방향으로 vrf-target
적용됩니다. 키워드와 키워드는 유연성을 향상하여 각 방향에 대해 서로 다른 import
export
커뮤니티를 지정할 수 있게 합니다.
VRF 대상 커뮤니티의 구문은 이름이 아닌 으로 지정해야 target:x:y
합니다. 이 명령문을 사용하여 커뮤니티 구성원을 구성하도록 요구하기 때문에 커뮤니티 이름을 지정할 수 policy-options
없습니다. 명령문을 정의하는 경우 VRF 가져오기 및 내보내기 정책을 평상시와 같이 policy-options
구성할 수 있습니다. 명령문의 목적은 계층 수준에서 대부분의 명령문을 구성할 수 있도록 하여 구성을 vrf-target
[edit routing-instances]
단순화하는 것입니다.
VRF 목표를 구성하기 위해 다음 vrf-target
진술을 포함합니다.
vrf-target community;
다음 계층 수준에 이 진술을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
명령문을 구성하는 vrf-target
방법의 예는 다음과 같습니다.
[edit routing-instances sample] vrf-target target:69:102;
및 옵션으로 명령문을 구성하기 위해 vrf-target
export
다음 import
명령문을 포함합니다.
vrf-target { export community-name; import community-name; }
다음 계층 수준에 이 진술을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
VPN을 위한 경로 원본 구성
루트 오리진을 사용하여 오리진 커뮤니티가 표시된 한 고객 에지(고객 에지(CE)) 라우터에서 학습한 라우트가 동일한 AS의 다른 고객 에지(CE) 라우터에서 학습되는 것을 방지할 수 있습니다.
예를 들어, 루트 원본은 AS 200년까지 발신 커뮤니티로 고객 에지(CE) 라우터 A에서 학습한 경로가 다시 고객 에지(CE) 것을 방지하는 데 사용됩니다. 예제 토폴로지는 그림 1에 표시하고 있습니다.
이 토폴로지에서 고객 에지(CE) 라우터 A와 고객 에지(CE) E는 AS200과 동일합니다. EBGP를 사용하여 해당 PE(Provider Edge) 라우터, PE 라우터 B 및 PE 라우터 D와 경로를 교환합니다. 2개의 고객 에지(CE) 라우터는 백 연결됩니다.
다음 섹션에서는 VPN 그룹에 대한 경로 원본을 구성하는 방법을 설명합니다.
- 라우터 A에서 오리진 커뮤니티 고객 에지(CE) 구성
- 라우터 A에서 커뮤니티 고객 에지(CE) 구성
- 라우터 A에 정책 고객 에지(CE) 적용
- PE 라우터 D에서 정책 구성
- PE 라우터 D에서 커뮤니티 구성
- PE 라우터 D에 정책 적용
라우터 A에서 오리진 커뮤니티 고객 에지(CE) 구성
다음 섹션에서는 원본 커뮤니티의 고객 에지(CE) 경로를 PE Router B에 알기 위해 라우터 A를 구성하는 방법을 설명합니다.
이 예에서는 직접 경로가 광고하도록 구성되지만 모든 루트를 구성할 수 있습니다.
라우터 A에 커뮤니티가 있는 경로를 광고하도록 고객 에지(CE) 다음과 같은 my-soo
정책을 구성합니다.
[edit] policy-options { policy-statement export-to-my-isp { term a { from { protocol direct; } then { community add my-soo; accept; } } } }
라우터 A에서 커뮤니티 고객 에지(CE) 구성
라우터 my-soo
A에 커뮤니티를 고객 에지(CE) 다음과 같이 구성합니다.
[edit] policy-options { community my-soo { members origin:100:1; } }
라우터 A에 정책 고객 에지(CE) 적용
export-to-my-isp 정책문을 다음과 같이 고객 에지(CE) 라우터 A의 EBGP 피어링에 내보내기 정책으로 적용합니다.
[edit] protocols { bgp { group my_isp { export export-to-my-isp; } } }
명령을 실행하면 PE Router B에서 시작된 커뮤니티가 있는 show route receive-protocol bgp detail
다음 경로가 my-soo
표시되어 있습니다.
user@host> show route receive-protocol bgp 10.12.99.2 detail inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden) inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden) * 10.12.33.0/30 (2 entries, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 10.12.99.0/30 (2 entries, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 * 10.255.71.177/32 (1 entry, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 * 192.168.64.0/21 (1 entry, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) __juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
PE 라우터 D에서 정책 구성
PE Router D에 정책을 구성하여 라우터 A에 의해 태그된 커뮤니티가 고객 에지(CE) 다음과 같이 고객 에지(CE) 라우터 E에 광고되지 my-soo
않도록 합니다.
[edit] policy-options { policy-statement soo-ce1-policy { term a { from { community my-soo; then { reject; } } } } }
PE 라우터 D에서 커뮤니티 구성
PE Router D에 커뮤니티를 다음과 같이 구성합니다.
[edit] policy-options { community my-soo { members origin:100:1; } }
PE 라우터 D에 정책 적용
고객 에지(CE) Router A가 고객 에지(CE) Router E로 광고되는 것을 방지하기 위해(두 라우터는 이러한 경로를 직접 통신할 수 있습니다), 정책문을 PE Router D 및 고객 에지(CE) soo-ce1-policy
Router EBGP 세션에 내보내기 정책으로 vpn_blue
적용합니다.
이 명령을 사용하여 PE 라우터 D의 EBGP 세션을 show routing-instances
확인합니다.
user@host# show routing-instances vpn_blue { instance-type vrf; interface fe-2/0/0.0; vrf-target target:100:200; protocols { bgp { group ce2 { advertise-peer-as; peer-as 100; neighbor 10.12.99.6; } } } }
정책문을 PE Router D 및 고객 에지(CE) Router EBGP 세션에 내보내기 정책으로 soo-ce1-policy
vpn_blue
적용합니다.
[edit routing-instances] vpn_blue { protocols { bgp { group ce2{ export soo-ce1-policy; } } } }