Configuración de directivas para la tabla VRF en enrutadores PE en VPN
En cada enrutador PE, debe definir políticas que definan cómo se importan y exportan las rutas desde la tabla VRF del enrutador. En estas directivas, debe definir el destino de la ruta y, opcionalmente, puede definir el origen de la ruta.
Para configurar la directiva para las tablas VRF, realice los pasos descritos en las secciones siguientes:
Configuración del destino de ruta
Como parte de la configuración de directivas para la tabla de enrutamiento VPN, debe definir un destino de ruta, que define de qué VPN forma parte la ruta. Cuando configure diferentes tipos de servicios VPN (VPN de capa 2, VPN de capa 3, EVPN o VPLS) en el mismo enrutador PE, asegúrese de asignar valores de destino de ruta únicos para evitar la posibilidad de agregar información de ruta y señalización a la tabla de enrutamiento VPN incorrecta.
Para configurar el destino de ruta, incluya la target
opción en la community
instrucción:
community name members target:community-id;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
es el nombre de la comunidad.
community-id
es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:
as-number
:number
, dondeas-number
es un número de AS (un valor de 2 bytes) ynumber
es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).ip-address
:number
, dondeip-address
es una dirección IPv4 (un valor de 4 bytes) ynumber
es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en larouter-id
instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.
Configuración del origen de la ruta
En las políticas de importación y exportación de la tabla VRF del enrutador de PE, puede asignar opcionalmente el origen de la ruta (también conocido como sitio de origen) para las rutas VRF de un enrutador de PE mediante una política de exportación de VRF aplicada a las actualizaciones de ruta IPv4 de VPN de BGP externo multiprotocolo (MP-EBGP) enviadas a otros enrutadores PE.
La coincidencia en el atributo de origen de ruta asignado en la política de importación de VRF de un PE receptor ayuda a garantizar que las rutas VPN-IPv4 aprendidas a través de las actualizaciones de MP-EBGP de un PE no se vuelvan a importar al mismo sitio VPN desde un PE diferente conectado al mismo sitio.
Para configurar un origen de ruta, siga estos pasos:
Incluya la
community
instrucción con laorigin
opción:community name members origin:community-id;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
es el nombre de la comunidad.community-id
es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:as-number
:number
, dondeas-number
es un número de AS (un valor de 2 bytes) ynumber
es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).ip-address
:number
, dondeip-address
es una dirección IPv4 (un valor de 4 bytes) ynumber
es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en larouter-id
instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.
Incluya la comunidad en la política de importación para la tabla VRF del enrutador PE configurando la
community
instrucción con el identificador definido en elcommunity-id
paso 1 en el nivel de[edit policy-options policy-statement import-policy-name term import-term-name from]
jerarquía. Consulte Configuración de una política de importación para la tabla VRF del enrutador PE.Si la cláusula de
from
la política no especifica una condición de comunidad, no se puede confirmar la instrucción en lavrf-import
que se aplica la directiva. La operación de confirmación de Junos OS no pasa la comprobación de validación.Incluya la comunidad en la política de exportación para la tabla VRF del enrutador PE configurando la
community
instrucción con el identificador definido en elcommunity-id
paso 1 en el nivel de[edit policy-options policy-statement export-policy-name term export-term-name then]
jerarquía. Consulte Configuración de una política de exportación para la tabla VRF del enrutador PE.
Consulte Configuración del origen de ruta para VPN para ver un ejemplo de configuración.
Configuración de una directiva de importación para la tabla VRF del enrutador PE
Cada VPN puede tener una política que defina cómo se importan las rutas a la tabla VRF del enrutador PE. Se aplica una política de importación a las rutas recibidas de otros enrutadores PE en la VPN. Una política debe evaluar todas las rutas recibidas a través de la sesión de IBGP con el enrutador PE par. Si las rutas coinciden con las condiciones, la ruta se instala en la tabla VRF del routing-instance-name.inet.0
enrutador PE. Una política de importación debe contener un segundo término que rechace todas las demás rutas.
A menos que una política de importación contenga solo una then reject
instrucción, debe incluir una referencia a una comunidad. De lo contrario, cuando intente confirmar la configuración, se producirá un error en la confirmación. Puede configurar varias políticas de importación.
Una política de importación determina qué importar a una tabla VRF especificada en función de las rutas VPN aprendidas de los enrutadores PE remotos a través del IBGP. La sesión de IBGP se configura en el nivel jerárquico [edit protocols bgp]
. Si también configura una directiva de importación en el nivel de [edit protocols bgp]
jerarquía, las directivas de importación en el nivel de [edit policy-options]
jerarquía y el [edit protocols bgp]
nivel de jerarquía se combinan mediante una operación lógica AND. Esto le permite filtrar el tráfico como grupo.
Para configurar una directiva de importación para la tabla VRF del enrutador PE, siga estos pasos:
Para definir una política de importación, incluya la
policy-statement
instrucción. Para todos los enrutadores PE, una política de importación siempre debe incluir lapolicy-statement
instrucción, como mínimo:policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }
Puede incluir la
policy-statement
instrucción en los siguientes niveles jerárquicos:[edit policy-options]
[edit logical-systems logical-system-name policy-options]
La
import-policy-name
política evalúa todas las rutas recibidas a través de la sesión de IBGP con el otro enrutador PE. Si las rutas coinciden con las condiciones de lafrom
instrucción, la ruta se instala en la tabla VRF .inet.0 del routing-instance-nameenrutador PE. El segundo término en la política rechaza todas las demás rutas.Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Opcionalmente, puede utilizar una expresión regular para definir un conjunto de comunidades que se utilizarán para la directiva de importación de VRF.
Por ejemplo, puede configurar lo siguiente mediante la
community
instrucción en el nivel de[edit policy-options policy-statement policy-statement-name]
jerarquía:[edit policy-options vrf-import-policy-sample] community high-priority members *:50
Tenga en cuenta que no puede configurar una expresión regular como parte de una comunidad extendida de destino de ruta. Para obtener más información acerca de cómo configurar expresiones regulares para comunidades, vea Cómo se evalúan las comunidades BGP y las comunidades extendidas en condiciones de coincidencia de directivas de enrutamiento.
Para configurar una directiva de importación, incluya la
vrf-import
instrucción:vrf-import import-policy-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de una política de exportación para la tabla VRF del enrutador PE
Cada VPN puede tener una política que defina cómo se exportan las rutas desde la tabla VRF del enrutador PE. Se aplica una política de exportación a las rutas enviadas a otros enrutadores PE en la VPN. Una política de exportación debe evaluar todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o Protocolo de información de enrutamiento [RIP], o rutas estáticas). Si las rutas coinciden con las condiciones, se les agrega el destino de la comunidad especificado (que es el destino de la ruta) y se exportan a los enrutadores de PE remotos. Una política de exportación debe contener un segundo término que rechace todas las demás rutas.
Las directivas de exportación definidas en la instancia de enrutamiento VPN son las únicas directivas de exportación que se aplican a la tabla VRF. Cualquier política de exportación que defina en la sesión de IBGP entre los enrutadores PE no tiene ningún efecto en la tabla VRF. Puede configurar varias directivas de exportación.
Para configurar una directiva de exportación para la tabla VRF del enrutador PE, siga estos pasos:
Para todos los enrutadores PE, una política de exportación debe distribuir las rutas VPN hacia y desde los enrutadores CE conectados de acuerdo con el tipo de protocolo de enrutamiento que configure entre los enrutadores CE y PE dentro de la instancia de enrutamiento.
Para definir una política de exportación, incluya la
policy-statement
instrucción. Una política de exportación siempre debe incluir lapolicy-statement
declaración, como mínimo:policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }
Nota:La configuración de la instrucción es un requisito para las directivas de
community add
exportación de VRF de VPN de capa 2. Si cambia lacommunity add
instrucción a lacommunity set
instrucción, el enrutador en la salida del vínculo VPN de capa 2 podría interrumpir la conexión.Nota:Al configurar VPN de multidifusión de borrador rosado que funcionan en modo específico del origen y al usar la
vrf-export
instrucción para especificar la directiva de exportación, esta directiva debe tener un término que acepte rutas de la tabla de enrutamiento vrf-name.mdt.0. Este término garantiza la detección automática de PE adecuada mediante la familia deinet-mdt
direcciones.Al configurar VPN de multidifusión draft-rosen que funcionan en modo específico del origen y utilizan la
vrf-target
instrucción, la directiva de exportación de VRF se genera automáticamente y acepta automáticamente rutas de la tabla de enrutamiento vrf-name.mdt.0.Puede incluir la
policy-statement
instrucción en los siguientes niveles jerárquicos:[edit policy-options]
[edit logical-systems logical-system-name policy-options]
La
export-policy-name
política evalúa todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o RIP, o rutas estáticas). Si las rutas coinciden con las condiciones de lafrom
instrucción, se les agrega el destino de comunidad especificado en lathen community add
instrucción y se exportan a los enrutadores de PE remotos. El segundo término en la política rechaza todas las demás rutas.Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Para aplicar la directiva, incluya la
vrf-export
instrucción:vrf-export export-policy-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Aplicación de las directivas de exportación de VRF y BGP
Cuando se aplica una política de exportación de VRF como se describe en Configuración de una política de exportación para la tabla VRF del enrutador de PE, las rutas desde instancias de enrutamiento VPN se anuncian a otros enrutadores de PE según esta política, mientras que la política de exportación de BGP se ignora.
Si incluye la vpn-apply-export
instrucción en la configuración de BGP, se aplican las directivas de exportación VRF y de grupo BGP o exportación de vecinos (VRF primero, luego BGP) antes de anunciar rutas en las tablas de enrutamiento VPN a otros enrutadores PE.
Cuando un dispositivo PE también actúa como reflector de ruta (RR) o enrutador de límite de sistema autónomo (ASBR) en una VPN de operador a operador o interAS, se omite la manipulación del salto siguiente en la política vrf-export.
Cuando incluya la vpn-apply-export
instrucción, tenga en cuenta lo siguiente:
Las rutas importadas en la tabla de enrutamiento bgp.l3vpn.0 conservan los atributos de las rutas originales (por ejemplo, una ruta OSPF sigue siendo una ruta OSPF incluso cuando está almacenada en la tabla de enrutamiento bgp.l3vpn.0). Debe tener esto en cuenta cuando configure una política de exportación para conexiones entre un enrutador de PE de IBGP y un enrutador de PE, un reflector de ruta y un enrutador de PE, o enrutadores del mismo nivel de enrutador de límite de AS (ASBR).
De forma predeterminada, todas las rutas de la tabla de enrutamiento bgp.l3vpn.0 se exportan a los pares del IBGP. Si la última instrucción de la política de exportación es denegar todo y si la política de exportación no coincide específicamente en las rutas de la tabla de enrutamiento bgp.l3vpn.0, no se exportará ninguna ruta.
Para aplicar las directivas de exportación de VRF y BGP a rutas VPN, incluya la vpn-apply-export
instrucción:
vpn-apply-export;
Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.
Configuración de un destino VRF
Incluir la vrf-target
instrucción en la configuración de una comunidad de destino de VRF hace que se generen políticas predeterminadas de importación y exportación de VRF que acepten y etiqueten rutas con la comunidad de destino especificada. Aún puede crear políticas más complejas configurando explícitamente las políticas de importación y exportación de VRF. Estas directivas invalidan las directivas predeterminadas generadas al configurar la vrf-target
instrucción.
Si no configura las import
opciones y export
de la vrf-target
instrucción, la cadena de comunidad especificada se aplicará en ambas direcciones. Las import
palabras clave y export
le dan más flexibilidad, lo que le permite especificar una comunidad diferente para cada dirección.
La sintaxis de la comunidad de destino de VRF no es un nombre. Debe especificarlo en el formato target:x:y
. No se puede especificar un nombre de comunidad porque esto también requeriría que configure los miembros de la comunidad para esa comunidad mediante la policy-options
instrucción. Si define las instrucciones, puede configurar las políticas de policy-options
importación y exportación de VRF como de costumbre. El propósito de la vrf-target
instrucción es simplificar la configuración permitiéndole configurar la mayoría de las instrucciones en el [edit routing-instances]
nivel jerárquico.
Para configurar un destino VRF, incluya la vrf-target
instrucción:
vrf-target community;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
A continuación se muestra un ejemplo de cómo puede configurar la vrf-target
instrucción:
[edit routing-instances sample] vrf-target target:69:102;
Para configurar la vrf-target
instrucción con las export
opciones y import
, incluya las instrucciones siguientes:
vrf-target { export community-name; import community-name; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]