Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

경로 대상 필터링

이 주제에서는 정적, BGP 및 프록시 BGP 경로 대상 필터링 구성에 대해 설명하고 VPN에 대한 경로 대상 필터링 구성에 대한 예를 제공합니다.

VPN에 대한 정적 경로 대상 필터링 구성

BGP VPN 경로 대상 확장 커뮤니티(RFC 4360, BGP 확장 커뮤니티 속성)는 VPN 멤버십을 결정하는 데 사용됩니다. 정적 경로 대상 필터링은 멤버 PE 라우터의 부족으로 인해 VPN 경로가 필요하지 않은 네트워크 일부에서 리소스가 소비되는 것을 방지하는 데 도움이 됩니다(RFC 4684, Border Gateway Protocol/멀티프로토콜 레이블 스위칭(BGP/MPLS) 인터넷 프로토콜(IP) VPN에 대한 제한된 경로 배포) ). 라우터는 RT-Constrain 프로토콜로 경로를 생성하여 RT-Constrain NLRI와 일치하는 경로 대상을 포함하는 VPN 경로 수신에 대한 관심을 나타낼 수 있습니다.

VPN에 대한 정적 경로 대상 필터링 구성 방법:

  • route-target-filter 계층 수준에서 문을 [edit routing-options rib bgp.rtarget.0 static] 구성합니다.

    다음 예는 route-target-filter 문을 구성할 수 있는 방법을 보여줍니다.

  • 명령을 사용하여 경로 대상 필터링 정보를 표시할 show bgp group rtf detail 수 있습니다.

VPN에 대한 정적 경로 대상 필터링을 통한 네트워크 리소스 사용 감소

BGP VPN 경로 대상 확장 커뮤니티(RFC 4360, BGP 확장 커뮤니티 속성)는 VPN 멤버십을 결정하는 데 사용됩니다. 정적 경로 대상 필터링은 멤버 PE 라우터의 부족으로 인해 VPN 경로가 필요하지 않은 네트워크 일부에서 리소스가 소비되는 것을 방지하는 데 도움이 됩니다(RFC 4684, Border Gateway Protocol/멀티프로토콜 레이블 스위칭(BGP/MPLS) 인터넷 프로토콜(IP) VPN에 대한 제한된 경로 배포) ). 라우터는 RT-Constrain 프로토콜로 경로를 생성하여 RT-Constrain NLRI와 일치하는 경로 대상을 포함하는 VPN 경로 수신에 대한 관심을 나타낼 수 있습니다.

일반적으로 RT-Constrain 기능이 제대로 작동하려면 네트워크 전체에 광범위하게 구축되어야 합니다. 그렇지 않은 경우, 기능이 덜 유용합니다. 비 RT-Constrain 스피커를 마주하는 RT-Constrain BGP 스피커 기능을 지원하지 않는 피어를 대신하여 다른 RT-Constrain 스피커에 기본 RT-Constrain 경로를 보급해야 하기 때문입니다. 이는 기본 RT-Constrain 경로로 인해 PE 라우터와 모든 개입 PE 라우터가 모든 VPN 경로를 수신해야 하기 때문에 지원되지 않는 네트워크 부분에서 기능의 리소스 절약 이점을 효과적으로 제거합니다.

정적 RT-Constrain 기능을 사용하면 네트워크에 RT-Constrain 기능을 부분적으로 구축할 수 있습니다. 이 기능은 RT-Constrain이 구성된 네트워크의 경계에서 활성화됩니다. 그러나 일부 BGP VPN 피어는 RT-Constrain(일반적으로 PE 라우터)을 지원하지 않습니다. 이러한 PE 라우터의 경로 대상은 라우터에서 정적으로 구성되어야 합니다. 이러한 경로 대상은 RT-Constrain 프로토콜을 사용하여 보급됩니다.

프록시 RT-Constrain 기능을 사용하면 프로토콜을 지원하지 않는 BGP VPN 피어가 경로 대상을 자동으로 발견하고 보급할 수 있습니다. 그러나 이 기능은 대칭적 경로 대상만 지원할 수 있습니다. 예를 들어, VRF 라우팅 인스턴스에 대한 경로 대상 가져오기 및 내보내기는 동일합니다. 그러나 허브 앤 스포크 VPN의 경우 내보내기 및 경로 대상은 동일하지 않습니다. 이 시나리오에서 내보내기 및 내보내기 경로 대상은 RT-Constrain 프로토콜에서 보급되도록 정적으로 구성될 수 있습니다.

VPN에 대한 BGP 경로 대상 필터링 구성

BGP 경로 대상 필터링을 사용하면 VPN 경로를 필요한 라우터에만 배포할 수 있습니다. BGP 경로 대상 필터링이 구성된 VPN 네트워크에서 BGP는 모든 VPN 경로를 모든 VPN 피어 라우터에 배포합니다.

BGP 경로 대상 필터링에 대한 자세한 내용은 RFC 4684, Border Gateway Protocol/멀티프로토콜 레이블 스위칭(BGP/MPLS) 인터넷 프로토콜(IP) VPN에 대한 제한된 경로 배포를 참조하십시오.

다음 섹션에서는 BGP 경로 대상 필터링에 대한 개요와 VPN을 위한 구성 방법을 설명합니다.

BGP 경로 대상 필터링 개요

PE 라우터는 경로 리플렉터로 구성되거나 EBGP 세션을 실행하지 않는 한, 로컬 VRF 가져오기 정책에 지정된 대로 경로 대상 확장 community를 포함하지 않는 모든 VPN 경로를 폐기합니다. 이는 Junos OS 기본 동작입니다.

그러나 VPN 경로를 저장하지 않도록 명시적으로 구성되지 않는 한, VPN 주소 패밀리를 위한 경로 리플렉터 또는 경계 라우터로 구성된 모든 라우터는 서비스 프로바이더의 네트워크에 존재하는 모든 VPN 경로를 저장해야 합니다. 또한 PE 라우터는 경로 대상 확장 커뮤니티를 포함하지 않는 경로를 자동으로 삭제할 수 있지만 경로 업데이트가 계속 생성되고 수신됩니다.

BGP 경로 대상 필터링은 VPN 경로 및 경로 업데이트를 수신하는 라우터의 수를 줄임으로써 VPN 실행과 관련된 오버헤드의 양을 제한하는 데 도움이 됩니다. BGP 경로 대상 필터링은 VPN에 직접 참여하지 않는 경로 리플렉터 또는 AS 경계 라우터가 많은 네트워크에서 VPN 관련 관리 트래픽을 줄이는 데 가장 효과적입니다(CE 디바이스의 PE 라우터 역할을 하지 않음).

BGP 경로 대상 필터링은 표준 UPDATE 메시지를 사용하여 라우터 간에 경로 대상 확장 커뮤니티를 배포합니다. UPDATE 메시지를 사용하면 BGP가 표준 루프 감지 메커니즘, 경로 선택, 정책 지원 및 데이터베이스 교환 구현을 사용할 수 있습니다.

VPN에 대한 BGP 경로 대상 필터링 구성

BGP 경로 대상 필터링은 bgp.rtarget.0 라우팅 테이블 저장된 주소 패밀리의 route-target 교환을 통해 활성화됩니다. 주소 패밀리를 route-target 기반으로 경로 대상 NLRI(주소 패밀리 지표 [AFI]=1, 후속 AFI[SAFI]=132)가 피어와 협상됩니다.

로컬로 구성된 VRF 인스턴스 시스템에서 BGP는 정책에서 vrf-import 참조되는 대상에 해당하는 로컬 경로를 자동으로 생성합니다.

BGP 경로 대상 필터링을 구성하려면 문을 포함합니다 family route-target .

이 문을 포함할 수 있는 계층 수준 목록은 이 문에 대한 문 요약 섹션을 참조하십시오.

, external-pathsprefix-limit 문은 advertise-default다음과 같이 BGP 경로 대상 필터링 구성에 영향을 미칩니다.

  • 문은 advertise-default 라우터가 기본 경로 대상 경로(0:0:0/0)를 보급하고 더 구체적인 모든 경로를 억제하도록 합니다. 이것은 PE 라우터로만 작용하는 이웃으로 구성된 BGP 그룹의 경로 리플렉터에서만 사용할 수 있습니다. PE 라우터는 종종 경로 리플렉터에 모든 경로를 보급해야 합니다.

    기본 경로가 아닌 모든 경로 대상 광고를 억제하면 경로 리플렉터와 PE 라우터 간에 교환되는 정보의 양이 줄어듭니다. 이 Junos OS 또한 비데폴트 경로가 수신되지 않는 한 종속성 정보를 유지하지 않음으로써 경로 대상 보급 오버헤드를 줄이는 데 도움이 됩니다.

  • 문(기본 값 1)은 external-paths 라우터가 지정된 경로 대상을 참조하는 VPN 경로를 보급하도록 합니다. 지정한 번호는 VPN 경로를 수신하는 외부 피어 라우터(현재 해당 경로 대상을 보급)의 수를 결정합니다.

  • 명령문은 prefix-limit 피어 라우터에서 수신할 수 있는 접두사 수를 제한합니다.

, advertise-defaultexternal-path 문은 route-targetRIB-OUT 상태에 영향을 미치며 동일한 BGP 그룹을 공유하는 피어 라우터 간에 일관되어야 합니다. 명령문은 prefix-limit 수신 측에만 영향을 미치며 BGP 그룹의 다른 피어 라우터 간에 다른 설정을 가질 수 있습니다.

예: VPN에 대한 BGP 경로 대상 필터링

BGP 경로 대상 필터링은 적절한 BGP 계층 수준에서 문을 구성 family route-target 하여 활성화됩니다. 이 문을 사용하면 bgp.rtarget.0 라우팅 테이블 저장되는 새로운 route-target 주소 패밀리를 교환할 수 있습니다.

다음 구성은 다음과 같은 제목의 to_vpn04BGP 그룹에 대한 BGP 경로 대상 필터링을 구성하는 방법을 보여줍니다.

다음 구성은 BGP 경로 대상 필터링에서 제공하는 기능을 활용하기 위해 로컬 VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스 몇 가지를 구성하는 방법을 보여줍니다. 이 구성을 기반으로 BGP는 VRF 가져오기 정책에서 참조되는 경로 대상에 해당하는 로컬 경로를 자동으로 생성합니다(문으로 정의된 대상에 vrf-target 주의).

show route table bgp.rtarget.0 show 명령을 실행하여 BGP 경로 대상 필터링 구성을 확인합니다.

show 경로 대상 접두사에 대한 명령 디스플레이 형식은 다음과 입니다.

첫 번째 숫자는 이 광고를 보낸 라우터의 AS(Autonomous System)를 나타냅니다. 디스플레이의 나머지 부분에서는 확장된 커뮤니티에 대한 Junos show 명령 규칙을 따릅니다.

명령의 show route table bgp-rtarget.0 출력은 로컬에서 생성되고 원격으로 생성된 경로를 표시합니다.

처음 두 항목은 두 개의 로컬 VRF 라우팅 인스턴스(vpn1 및)에 대해 구성된 경로 대상에 vpn2해당합니다.

  • 200:200:101/96—라우팅 인스턴스의 vpn1 커뮤니티 200:101

  • 200:200:102/96—라우팅 인스턴스의 vpn2 커뮤니티 200:102

마지막 두 항목은 BGP 피어로부터 수신된 접두사입니다.

  • 200:200:103/96-이 커뮤니티(200:103)로 태그 처리된 경로가 피어 10.255.14.174 링되도록 보급해야 한다고 로컬 라우터에 알릴 수 있습니다. t3-0/0/0.0

  • 200:200:104/96-이 커뮤니티(200:104)로 태그 처리된 경로가 피어 10.255.14.174 링되도록 보급해야 한다고 로컬 라우터에 알릴 수 있습니다. t3-0/0/0.0

예: VPN에 대한 BGP 경로 대상 필터링 구성

BGP 경로 대상 필터링은 VPN 경로 및 경로 업데이트를 수신하는 라우터의 수를 줄여 VPN 실행과 관련된 오버헤드의 양을 제한하는 데 도움이 됩니다. BGP 경로 대상 필터링은 VPN에 직접 참여하지 않는 경로 리플렉터 또는 AS 경계 라우터가 많은 네트워크에서 VPN 관련 관리 트래픽을 줄이는 데 가장 효과적입니다(CE 디바이스의 PE 라우터 역할을 하지 않음).

그림 1 은 VPN 그룹에 대한 BGP 경로 대상 필터링으로 구성된 네트워크에 대한 토폴로지를 보여줍니다.

그림 1: VPN 그룹에 대해 활성화된 BGP 경로 대상 필터링 BGP Route Target Filtering Enabled for a Group of VPNs

다음 섹션은 VPN 그룹에 대한 BGP 경로 대상 필터링 구성 방법을 설명합니다.

라우터 PE1에서 BGP 경로 대상 필터링 구성

이 섹션에서는 이 예에서 라우터 PE1에서 BGP 경로 대상 필터링을 활성화하는 방법을 설명합니다.

다음과 같이 라우터 PE1에서 라우팅 옵션을 구성합니다.

라우터 PE1에서 BGP 프로토콜을 다음과 같이 구성합니다.

vpn1 다음과 같이 라우팅 인스턴스를 구성합니다.

라우터 PE1에서 vpn2 라우팅 인스턴스를 다음과 같이 구성합니다.

이 구성을 구현한 후에는 명령을 실행할 때 다음이 show route table bgp.rtarget.0 표시됩니다.

라우터 PE2에서 BGP 경로 대상 필터링 구성

이 섹션에서는 이 예에서 라우터 PE2에서 BGP 경로 대상 필터링을 활성화하는 방법을 설명합니다.

다음과 같이 라우터 PE2에서 라우팅 옵션을 구성합니다.

라우터 PE2에서 BGP 프로토콜을 다음과 같이 구성합니다.

라우터 PE2에서 vpn1 라우팅 인스턴스를 다음과 같이 구성합니다.

라우터 PE2에서 vpn2 라우팅 인스턴스를 다음과 같이 구성합니다.

라우터 PE2에서 vpn3 라우팅 인스턴스를 다음과 같이 구성합니다.

이러한 방식으로 라우터 PE2를 구성한 후에는 명령을 실행할 때 다음을 show route table bgp.rtarget.0 볼 수 있습니다.

경로 리플렉터에서 BGP 경로 대상 필터링 구성

이 섹션은 이 예의 경로 리플렉터에서 BGP 경로 대상 필터링을 활성화하는 방법을 보여줍니다.

경로 리플렉터에서 라우팅 옵션을 다음과 같이 구성합니다.

경로 리플렉터에서 BGP 프로토콜을 다음과 같이 구성합니다.

이러한 방식으로 경로 리플렉터를 구성한 후에는 명령을 실행할 때 다음을 show route table bgp.rtarget.0 볼 수 있습니다.

라우터 PE3에서 BGP 경로 대상 필터링 구성

다음 섹션에서는 이 예에서 라우터 PE3에서 BGP 경로 대상 필터링을 활성화하는 방법을 설명합니다.

다음과 같이 라우터 PE3에서 라우팅 옵션을 구성합니다.

라우터 PE3에서 BGP 프로토콜을 다음과 같이 구성합니다.

라우터 PE3에서 vpn1 라우팅 인스턴스를 다음과 같이 구성합니다.

라우터 PE3에서 vpn3 라우팅 인스턴스를 다음과 같이 구성합니다.

라우터 PE3에서 vpn4 라우팅 인스턴스를 다음과 같이 구성합니다.

이러한 방식으로 라우터 PE3를 구성한 후에는 명령을 실행할 때 다음을 show route table bgp.rtarget.0 볼 수 있습니다.

예: VPN에 대한 BGP 경로 대상 필터링에 대한 내보내기 정책 구성

이 예는 BGP 경로 대상 필터링(경로 대상 제약 또는 RTC라고도 함)에 대한 내보내기 라우팅 정책 구성하는 방법을 보여줍니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • BGP 경로 대상 필터링을 지원하는 4개의 주니퍼 네트웍스 디바이스.

  • 프록시 BGP 경로 필터링을 위해 구성된 하나 이상의 디바이스에서 릴리스 12.2 이상을 Junos OS. 이 예에서는 경로 리플렉터에서 프록시 BGP 경로 필터링을 명시적으로 구성합니다.

BGP 경로 대상 필터링에 대한 내보내기 정책을 구성하기 전에 다음 개념을 숙지하고 이해해야 합니다.

개요

BGP 경로 대상 필터링을 사용하면 네트워크 전체에 경로 대상 멤버십(RT 구성원) 광고를 배포하여 네트워크 리소스 소비를 줄일 수 있습니다. BGP는 RT 멤버십 정보를 사용하여 VPN 경로를 네트워크에서 필요한 디바이스로만 보냅니다. 다른 유형의 BGP 도달 가능성과 마찬가지로 라우팅 정책 적용하여 대상 필터링 경로를 라우팅하여 네트워크에 영향을 줄 수 있습니다. 경로 대상 필터링이 구성된 경우, 경로 대상 필터링 경로의 흐름을 제한하면 이 RT 멤버십에 의해 끌 수 있는 VPN 경로도 제한됩니다. 이 정책을 구성하려면 다음이 포함됩니다.

  • 경로 대상 접두사 목록을 정의하는 필터 생성.

  • BGP 경로 대상 필터링에 사용할 경로 대상 필터의 하위 집합을 선택하는 정책 생성.

경로 대상 접두사 목록을 정의하려면 다음을 수행합니다.

  • 계층 수준에서 문을 [edit policy-options] 구성 rtf-prefix-list 하여 사용할 경로 대상 접두사 목록의 이름과 하나 이상의 경로 대상 접두사의 이름을 지정합니다. 이 구성을 사용하면 디바이스가 사용할 수신 경로 대상 필터링 경로를 지정한 다음 네트워크 전체에 배포할 수 있습니다.

라우팅 정책 구성하고 해당 정책에 경로 대상 접두사 목록을 적용하려면 다음 정책 옵션을 지정할 수 있습니다.

  • family route-target—(옵션) route-target family 일치 조건은 일치하는 BGP 경로 대상 필터링 경로를 지정합니다. 문에서 이 기준을 정의합니다 from . 이 예는 일치 조건을 사용하여 family route-target 내보내기 정책을 만드는 방법을 보여줍니다.

    참고:

    Juniper 구성 시 family route-target inet.3 테이블을 사용하여 다음 홉 주소를 해결합니다.

  • protocol route-target—(선택 사항) route-target 프로토콜 일치 조건은 수신 경로가 일치해야 하는 기준을 정의합니다. 문에서 이 기준을 정의합니다 from . 이 문은 주로 정책을 로컬로 생성된 경로 대상 필터링 경로로 제한하는 데 유용합니다.

    참고:

    명령을 사용하여 show route table bgp.rtarget.0 프록시 BGP 경로 대상 필터링 경로를 볼 때 수신 경로에 대한 BGP 프로토콜과 로컬 경로 대상 필터링 경로에 대한 경로 대상 프로토콜 경로가 표시됩니다.

  • rtf-prefix-list name-rtf-prefix-list 문은 이미 정책에 구성한 경로 대상 접두사 목록을 적용합니다. 문에서 이 기준을 정의합니다 from .

토폴로지 다이어그램

그림 2 는 이 예에서 사용된 토폴로지 를 보여줍니다.

그림 2: BGP 경로 대상 필터링 내보내기 정책 토폴로지 BGP Route Target Filtering Export Policy Topology

이 예에서 BGP 경로 대상 필터링은 경로 리플렉터(디바이스 RR1 및 디바이스 RR2) 및 프로바이더는 에지(PE) 디바이스 PE2에서 구성됩니다. 다른 PE인 디바이스 PE1은 BGP 경로 대상 필터링을 지원하지 않습니다. 프록시 BGP 경로 대상 필터링은 또한 경로 리플렉터와 디바이스 PE1 사이의 피어링 세션에서 구성되어 디바이스 PE1에서 처리되는 VPN 경로 업데이트 수를 최소화합니다. 디바이스 PE2에는 4개의 VPN(vpn1, vpn2, vpn3, vpn4)이 구성되어 있으며 디바이스 PE1에는 2개의 VPN이 구성됩니다(vpn1 및 vpn2). 샘플 토폴로지에서 모든 디바이스는 AS(Autonomous System) 203에 참여하고, 최단 경로 우선(OSPF)은 구성된 내부 게이트웨이 프로토콜(IGP)이며, LDP는 VPN에서 사용하는 신호 전송 프로토콜입니다. 이 예에서는 VPN 라우팅 및 포워딩(VRF) 인스턴스에서 정적 경로를 사용하여 VPN 경로를 생성합니다. 이는 OSPF 또는 BGP와 같은 고객 에지(CE) 프로토콜에 PE를 사용하는 대신 수행됩니다.

이 예에서는 vpn3 경로가 디바이스 RR1에 보급되는 것을 방지하기 위해 디바이스 PE2에서 내보내기 정책을 구성하여 디바이스 PE2에서 디바이스 PE1로 보급되는 경로를 추가로 제어합니다. 일치 조건을 지정 family route-target 하고, 경로 대상 접두사 목록을 정의하고, 기준을 정의하여 경로 대상 접두사 목록을 적용하는 rtf-prefix-list 정책을 생성합니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.

디바이스 PE1

디바이스 RR1

디바이스 RR2

디바이스 PE2

디바이스 PE1 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 PE1 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. OSPF를 구성합니다.

  6. VPN 라우팅 인스턴스를 구성합니다.

  7. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , , show protocolsshow routing-optionsshow routing-instances 명령을 입력show interfaces하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 RR1 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 RR1 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. 디바이스 PE2와의 피어링 세션에서 BGP 경로 대상 필터링을 구성합니다.

  6. 디바이스 PE1과의 피어링 세션에서 프록시 BGP 경로 대상 필터링을 구성합니다.

  7. OSPF를 구성합니다.

  8. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , show protocolsshow routing-options 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 RR2 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 RR2 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. 디바이스 PE2와의 피어링 세션에서 BGP 경로 대상 필터링을 구성합니다.

  6. 디바이스 PE1과의 피어링 세션에서 프록시 BGP 경로 대상 필터링을 구성합니다.

  7. OSPF를 구성합니다.

  8. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , show protocolsshow routing-options 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 PE2 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 PE2 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. OSPF를 구성합니다.

  6. VPN 라우팅 인스턴스를 구성합니다.

  7. 내보내기 라우팅 정책 구성하고 적용합니다.

  8. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , , show protocols, show policy-optionsshow routing-optionsshow routing-instances 명령을 입력show interfaces하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

확인

구성이 제대로 작동하는지 확인합니다.

디바이스 RR1에 대한 bgp.rtarget.0 라우팅 테이블의 경로 대상 필터링 경로 확인

목적

vpn3에 대한 경로 접두사가 디바이스 RR1의 bgp.rtarget.0 테이블에 없는지 확인합니다. 디바이스 PE2의 내보내기 정책이 디바이스 RR1에 vpn3 경로 보급을 방지하기 위해 적용되었기 때문에 디바이스 RR1은 이러한 광고를 수신해서는 안 됩니다.

작업

운영 모드에서 명령을 입력합니다 show route advertising-protocol bgp 10.255.165.220 table bgp.rtarget.0 .

의미

bgp.rtartget.0 테이블은 vpn3의 경로 접두사인 203:203:103/96을 표시하지 않습니다. 즉, 내보내기 정책이 올바르게 적용되었음을 의미합니다.

디바이스 RR2에 대한 bgp.rtarget.0 라우팅 테이블의 경로 대상 필터링 경로 확인

목적

vpn3에 대한 경로 접두사가 디바이스 RR2의 bgp.rtarget.0 테이블에 있는지 확인합니다. 내보내기 정책이 디바이스 PE2에 적용되지 않아 디바이스 RR2에 vpn3 경로가 보급되는 것을 방지하기 때문에 디바이스 RR2는 모든 VPN에서 광고를 수신해야 합니다.

작업

운영 모드에서 명령을 입력합니다 show route advertising-protocol bgp 10.255.165.28 table bgp.rtarget.0 .

의미

bgp.rtartget.0 테이블에는 모든 VPN에 대한 경로 접두사가 표시됩니다.

예: 경로 필터에 대한 레이어 3 VPN 프로토콜 체계 한정자 구성

이 예는 BGP 가져오기 정책에 대한 family 한정자를 구성하여 BGP 가져오기 정책의 범위를 제어하는 방법을 보여줍니다. 제품군 한정자 은(는) 유형 inet, , inet6, inet-vpn또는 inet6-vpn의 경로를 지정합니다.

요구 사항

이 예는 Junos OS 릴리스 10.0 이상 을 사용합니다.

시작하기 전에 다음을 수행합니다.

개요

패밀리 한정자로 인해 경로 필터가 하나의 특정 체계만 일치하게 됩니다. 여기에 표시된 것처럼 패밀리 한정자 없이 IPv4 경로 필터를 구성할 때 경로 필터는 및 경로와 inet-vpn 일치합니다inet.

마찬가지로 여기에 표시된 대로 패밀리 한정자 없이 IPv6 경로 필터를 구성할 때 경로 필터는 및 경로와 inet6-vpn 일치합니다inet6.

패밀리 경로와 패밀리 inet inet-vpn 경로 모두에 대해 BGP 세션이 구성되고 이 BGP 세션에 대한 가져오기 정책이 구성된 경우를 고려합니다. 즉, 패밀리 inet 경로와 패밀리 inet-vpn 경로가 수신될 때 동일한 가져오기 정책을 공유합니다. 정책 용어는 다음과 같이 보일 수 있습니다.

이 경로 필터 로직은 0.0.0.0의 경로와 IPv4 주소 부분이 0.0.0.0인 경로와 inet-vpn 일치 inet 합니다. 경로의 inet-vpn 8바이트 경로 구분자 부분은 route-filter 일치에서 고려되지 않습니다. 이는 Junos OS 릴리스 10.0에서 소개된 Junos OS 동작의 변화입니다.

정책이 두 가지 유형의 경로를 모두 일치시키지 않도록 하려면 정책에 패밀리 한정자를 추가합니다. route-filter가 경로만 inet 일치하도록 하려면 제품군 inet 정책 한정자를 추가합니다. route-filter가 경로만 inet-vpn 일치하도록 하려면 제품군 inet-vpn 정책 한정자를 추가합니다.

family 한정자는 route-filter가 평가되기 전에 평가됩니다. 따라서 체계 일치가 실패하면 route-filter가 평가되지 않습니다. 가족 및 제품군 inet6 inet6-vpn에도 동일한 논리가 적용됩니다. 예제에서 inet6 사용되는 경로 필터는 IPv6 주소를 사용해야 합니다. 패밀리 한정자 사용 시 효율성이 향상될 수 있습니다. 대부분의 다른 한정자 이전에 패밀리 한정자가 테스트되어 바람직하지 않은 패밀리의 경로를 빠르게 제거하기 때문입니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.

inet 예시

Inet-vpn 예시

inet6 예시

Inet6-vpn 예시

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

플로우 맵 구성 방법:

  1. family 한정자를 구성합니다.

  2. 경로 필터를 구성합니다.

  3. 정책 작업을 구성합니다.

  4. 정책을 적용합니다.

결과

구성 모드에서 및 show policy-options 명령을 실행하여 구성을 show protocols 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

특정 경로 필터 정책이 필요한 모든 프로토콜 체계에 대한 절차를 반복합니다.

확인

구성을 확인하려면 다음 명령을 실행합니다.

  • show route advertising-protocol bgp neighbor detail

  • show route instance instance-name detail

VPN에 대한 프록시 BGP 경로 대상 필터링 이해하기

BGP 경로 대상 필터링(경로 대상 제약 또는 RTC라고도 함)을 사용하면 VPN 경로를 필요한 디바이스에만 배포할 수 있습니다. BGP 경로 대상 필터링이 구성된 VPN 네트워크에서 BGP는 모든 VPN 피어 디바이스에 모든 VPN 경로를 배포하며, 이는 네트워크 리소스에 부담을 줄 수 있습니다. 경로 대상 필터링 기능은 VPN 경로 및 VPN 라우팅 업데이트를 수신하는 디바이스의 수를 줄여 VPN 실행과 관련된 오버헤드 양을 제한하기 위해 도입되었습니다. BGP 경로 대상 필터링을 위한 Junos OS 구현은 RFC 4684, Constrained Route Distribution for Border Gateway Protocol/MultiProtocol Label Switching (BGP/MPLS) Internet Protocol (IP) Virtual Private Networks (VPNs)를 기반으로 합니다.

경로 대상 필터링이 널리 구축되지 않은 네트워크 환경이 있거나 일부 디바이스가 경로 대상 필터링을 지원하지 않는 경우 어떻게 해야 합니까? 예를 들어, 경로 대상 필터링이 활성화된 BGP 스피커 을(를) 지원하지 않거나 경로 대상 필터링이 구성되지 않은 BGP 스피커 피어링할 수 있습니다. 이 경우, 경로 대상 필터링이 구성된 BGP 스피커 피어를 대신하여 기본 경로 대상 구성원(RT 구성원)을 보급해야 합니다. 필터링을 지원하는 디바이스가 이제 필터를 지원하지 않는 디바이스로 모든 VPN 경로를 보내야 하기 때문에 경로 대상 필터링 리소스 절감이 실현되지 않습니다. 프록시 BGP 경로 대상 필터링(또는 프록시 RTC)은 경로 대상 필터링을 지원하지 않는 디바이스에 대한 RT 멤버십 생성을 허용합니다. 이를 통해 불완전하게 구축되거나 완전히 지원되지 않는 네트워크에서 경로 대상 필터링을 쉽게 구축할 수 있습니다.

프록시 BGP 경로 대상 필터링을 사용하면 수신된 BGP VPN 경로에서 생성된 프록시 RT 멤버십 광고를 네트워크의 다른 디바이스로 배포할 수 있습니다. 이는 프록시 광고라고 합니다. 디바이스가 경로 대상 필터링 기능 없이 피어를 대신하여 RT 멤버십을 생성하기 때문입니다. 프록시 BGP 경로 대상 필터링은 특정 BGP 스피커 내보내는 BGP 경로 대상 확장 커뮤니티를 사용하여 경로 대상을 생성합니다. 생성된 프록시 RTC 경로는 bgp.rtarget.0 라우팅 테이블 저장됩니다.

프록시 RTC 경로를 생성하는 데 어떤 VPN 경로가 사용되는지 제어하는 정책을 구성할 수도 있습니다. 이는 프록시 디바이스에서 어떤 RT 멤버십이 생성되는지 제어하는 데 도움이 될 수 있습니다. 또한 프록시 RTC와 관련된 메모리 오버헤드를 줄이기 위한 정책을 구성할 수 있습니다. 프록시 RTC는 RT 멤버십 생성에 사용할 정책에 의해 허용되는 경우에만 VPN별 경로 기준으로 추가 메모리를 사용합니다.

예: VPN에 대한 프록시 BGP 경로 대상 필터링 구성

이 예는 프록시 BGP 경로 대상 필터링(프록시 경로 대상 제약 또는 프록시 RTC라고도 함)을 구성하는 방법을 보여줍니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • M Series, MX 시리즈 또는 T 시리즈 라우터의 조합이 될 수 있는 4개의 주니퍼 네트웍스 디바이스.

  • 프록시 BGP 경로 필터링을 위해 구성된 하나 이상의 디바이스에서 릴리스 12.2 이상을 Junos OS. 이 예에서는 경로 리플렉터에서 프록시 BGP 경로 필터링을 명시적으로 구성합니다.

프록시 BGP 경로 대상 필터링을 구성하기 전에 다음 개념을 숙지하고 이해해야 합니다.

개요

경로 대상 필터링은 필요하지 않은 VPN 경로를 수신하는 네트워크의 디바이스 수를 줄입니다. 프록시 BGP 경로 대상 필터링을 통해 네트워크는 기능이 현재 지원되지 않는 위치에서 경로 대상 필터링을 활용할 수 있습니다. 이 기능을 구성하면 네트워크가 완전히 지원되는 BGP 경로 대상 필터링 시 사용할 수 있는 동일한 네트워크 리소스의 많은 절감을 실현할 수 있습니다.

프록시 BGP 경로 대상 필터링을 구성하려면 디바이스에 BGP 경로 대상 필터링을 지원하지 않는 디바이스에 프록시 경로 대상 구성원(RT 구성원) 광고를 배포하는 문을 포함합니다 family route-target proxy-generate . 프록시 BGP 경로 대상 필터링 경로는 bgp.rtarget.0 라우팅 테이블 저장됩니다.

프록시 BGP 경로 대상 필터링은 BGP 경로 대상 필터링 기능을 지원하지 않는 디바이스에 대한 RT 멤버십 광고를 생성하기 위한 것입니다. proxy-generate 문이 존재하지만 경로 대상 패밀리가 BGP 피어와 협상되면 프록시 생성 기능이 비활성화됩니다. 이를 통해 그룹 내 피어의 일부가 경로 대상 필터링을 지원하지만 다른 피어는 지원하지 않는 BGP 피어 그룹의 구성을 단순화할 수 있습니다. 이러한 예시에서 문은 family route-target proxy-generate BGP 피어 그룹 구성의 일부가 될 수 있습니다.

참고:

네트워크에 프록시 BGP 경로 대상 필터링을 구축할 때 BGP advertise-default 경로 대상 필터링에 대한 문은 디바이스가 기본 경로 대상 경로(0:0:0/0)를 보급하고 더 구체적인 모든 경로를 억제하도록 합니다. 하나의 디바이스에 구성된 프록시 BGP 경로 대상 필터링이 있고 하나 이상의 피어가 BGP 경로 대상 필터링 구성의 일부로 구성된 명령문을 가지고 advertise-default 있는 경우, advertise-default 구성은 무시됩니다.

토폴로지 다이어그램

그림 3 은 이 예에서 사용된 토폴로지 를 보여줍니다.

그림 3: 프록시 BGP 경로 대상 필터링 토폴로지 Proxy BGP Route Target Filtering Topology

이 예에서 BGP 경로 대상 필터링은 경로 리플렉터(디바이스 RR1 및 디바이스 RR2) 및 공급자 에지(PE) 디바이스 PE2에서 구성되지만 다른 PE, 디바이스 PE1은 BGP 경로 대상 필터링 기능을 지원하지 않습니다. 디바이스 PE2에는 4개의 VPN이 구성됩니다(vpn1, vpn2, vpn3 및 vpn4). 디바이스 PE1에는 구성된 두 개의 VPN(vpn1 및 vpn2)이 있으므로 이 디바이스는 vpn1 및 vpn2에 대한 경로 업데이트를 수신하는 데만 관심이 있습니다. 현재, 이는 두 경로 리플렉터(디바이스 RR1 및 디바이스 RR2)가 디바이스 PE1과 함께 들어오는 모든 VPN 경로(vpn1~vpn4)에 대한 정보를 학습하고 공유하기 때문에 불가능합니다. 샘플 토폴로지에서 모든 디바이스는 AS(Autonomous System) 203에 참여하고, 최단 경로 우선(OSPF)은 구성된 내부 게이트웨이 프로토콜(IGP)이며, LDP는 VPN에서 사용하는 신호 전송 프로토콜입니다. 이 예에서는 VPN 라우팅 및 포워딩(VRF) 인스턴스에서 정적 경로를 사용하여 VPN 경로를 생성합니다. 이는 OSPF 또는 BGP와 같은 고객 에지(CE) 프로토콜에 PE를 사용하는 대신 수행됩니다.

디바이스 PE1에서 처리되는 VPN 경로 업데이트의 수를 최소화하기 위해 각 경로 리플렉터에서 프록시 BGP 경로 대상 필터링을 구성하는 문을 포함합니다 family route-target proxy-generate . 각 경로 리플렉터는 디바이스 PE1과 피어링 세션을 가지며 코어에 대한 경로 대상 필터링을 지원합니다. 그러나 디바이스 PE1은 경로 대상 필터링을 지원하지 않으므로 모든 VPN 업데이트를 수신하므로 디바이스 PE1에서 네트워크 리소스 절감을 실현하지 못합니다. 디바이스 PE1에 직면한 피어링 세션에서 프록시 BGP 경로 대상 필터링을 구성함으로써 디바이스 PE1에 의해 처리된 VPN 업데이트 수를 제한하고, 경로 리플렉터는 네트워크 전체에서 디바이스 PE1에 대한 프록시 BGP 경로 대상 경로를 생성합니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.

디바이스 PE1

디바이스 RR1

디바이스 RR2

디바이스 PE2

디바이스 PE1 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 PE1 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. OSPF를 구성합니다.

  6. VPN 라우팅 인스턴스를 구성합니다.

  7. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , , show protocolsshow routing-optionsshow routing-instances 명령을 입력show interfaces하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 RR1 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 RR1 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. 디바이스 PE2와의 피어링 세션에서 BGP 경로 대상 필터링을 구성합니다.

  6. 디바이스 PE1과의 피어링 세션에서 프록시 BGP 경로 대상 필터링을 구성합니다.

  7. OSPF를 구성합니다.

  8. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , show protocolsshow routing-options 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 RR2 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 RR2 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. 디바이스 PE2와의 피어링 세션에서 BGP 경로 대상 필터링을 구성합니다.

  6. 디바이스 PE1과의 피어링 세션에서 프록시 BGP 경로 대상 필터링을 구성합니다.

  7. OSPF를 구성합니다.

  8. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , show protocolsshow routing-options 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 PE2 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 PE2 구성:

  1. 인터페이스를 구성합니다.

  2. 경로 구분자와 AS 번호를 구성합니다.

  3. LDP는 VPN에서 사용하는 신호 프로토콜로 구성합니다.

  4. BGP를 구성합니다.

  5. OSPF를 구성합니다.

  6. VPN 라우팅 인스턴스를 구성합니다.

  7. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드에서 , , show protocolsshow routing-optionsshow routing-instances 명령을 입력show interfaces하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

확인

구성이 제대로 작동하는지 확인합니다.

프록시 BGP 경로 대상 경로 확인

목적

프록시 BGP 경로 대상 경로가 디바이스 RR1의 bgp.rtarget.0 테이블에 표시되는지 확인합니다.

작업

운영 모드에서 명령을 입력 show route table bgp.rtartget.0 하여 프록시 BGP 경로 대상을 표시합니다.

의미

디바이스 RR1은 피어 디바이스 PE1을 대신하여 프록시 BGP 경로 대상 경로를 생성하고 있습니다. 프록시 BGP 경로 대상 경로는 프로토콜 및 기본 설정 [RTarget/5] 및 경로 대상 유형 Proxy으로 식별됩니다.