Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de directivas para la tabla VRF en enrutadores PE en VPN

En cada enrutador PE, debe definir políticas que definan cómo se importan y exportan las rutas desde la tabla VRF del enrutador. En estas directivas, debe definir el destino de la ruta y, opcionalmente, puede definir el origen de la ruta.

Para configurar la directiva para las tablas VRF, realice los pasos descritos en las secciones siguientes:

Configuración del destino de ruta

Como parte de la configuración de directivas para la tabla de enrutamiento VPN, debe definir un destino de ruta, que define de qué VPN forma parte la ruta. Cuando configure diferentes tipos de servicios VPN (VPN de capa 2, VPN de capa 3, EVPN o VPLS) en el mismo enrutador PE, asegúrese de asignar valores de destino de ruta únicos para evitar la posibilidad de agregar información de ruta y señalización a la tabla de enrutamiento VPN incorrecta.

Para configurar el destino de ruta, incluya la target opción en la community instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

name es el nombre de la comunidad.

community-id es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:

  • as-number:number, donde as-number es un número de AS (un valor de 2 bytes) y number es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).

  • ip-address:number, donde ip-address es una dirección IPv4 (un valor de 4 bytes) y number es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en la router-id instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.

Configuración del origen de la ruta

En las políticas de importación y exportación de la tabla VRF del enrutador de PE, puede asignar opcionalmente el origen de la ruta (también conocido como sitio de origen) para las rutas VRF de un enrutador de PE mediante una política de exportación de VRF aplicada a las actualizaciones de ruta IPv4 de VPN de BGP externo multiprotocolo (MP-EBGP) enviadas a otros enrutadores PE.

La coincidencia en el atributo de origen de ruta asignado en la política de importación de VRF de un PE receptor ayuda a garantizar que las rutas VPN-IPv4 aprendidas a través de las actualizaciones de MP-EBGP de un PE no se vuelvan a importar al mismo sitio VPN desde un PE diferente conectado al mismo sitio.

Para configurar un origen de ruta, siga estos pasos:

  1. Incluya la community instrucción con la origin opción:

    Puede incluir esta instrucción en los siguientes niveles jerárquicos:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    name es el nombre de la comunidad.

    community-id es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:

    • as-number:number, donde as-number es un número de AS (un valor de 2 bytes) y number es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).

    • ip-address:number, donde ip-address es una dirección IPv4 (un valor de 4 bytes) y number es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en la router-id instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.

  2. Incluya la comunidad en la política de importación para la tabla VRF del enrutador PE configurando la community instrucción con el identificador definido en el community-id paso 1 en el nivel de [edit policy-options policy-statement import-policy-name term import-term-name from] jerarquía. Consulte Configuración de una política de importación para la tabla VRF del enrutador PE.

    Si la cláusula de from la política no especifica una condición de comunidad, no se puede confirmar la instrucción en la vrf-import que se aplica la directiva. La operación de confirmación de Junos OS no pasa la comprobación de validación.

  3. Incluya la comunidad en la política de exportación para la tabla VRF del enrutador PE configurando la community instrucción con el identificador definido en el community-id paso 1 en el nivel de [edit policy-options policy-statement export-policy-name term export-term-name then] jerarquía. Consulte Configuración de una política de exportación para la tabla VRF del enrutador PE.

Consulte Configuración del origen de ruta para VPN para ver un ejemplo de configuración.

Configuración de una directiva de importación para la tabla VRF del enrutador PE

Cada VPN puede tener una política que defina cómo se importan las rutas a la tabla VRF del enrutador PE. Se aplica una política de importación a las rutas recibidas de otros enrutadores PE en la VPN. Una política debe evaluar todas las rutas recibidas a través de la sesión de IBGP con el enrutador PE par. Si las rutas coinciden con las condiciones, la ruta se instala en la tabla VRF del routing-instance-name.inet.0 enrutador PE. Una política de importación debe contener un segundo término que rechace todas las demás rutas.

A menos que una política de importación contenga solo una then reject instrucción, debe incluir una referencia a una comunidad. De lo contrario, cuando intente confirmar la configuración, se producirá un error en la confirmación. Puede configurar varias políticas de importación.

Una política de importación determina qué importar a una tabla VRF especificada en función de las rutas VPN aprendidas de los enrutadores PE remotos a través del IBGP. La sesión de IBGP se configura en el nivel jerárquico [edit protocols bgp] . Si también configura una directiva de importación en el nivel de [edit protocols bgp] jerarquía, las directivas de importación en el nivel de [edit policy-options] jerarquía y el [edit protocols bgp] nivel de jerarquía se combinan mediante una operación lógica AND. Esto le permite filtrar el tráfico como grupo.

Para configurar una directiva de importación para la tabla VRF del enrutador PE, siga estos pasos:

  1. Para definir una política de importación, incluya la policy-statement instrucción. Para todos los enrutadores PE, una política de importación siempre debe incluir la policy-statement instrucción, como mínimo:

    Puede incluir la policy-statement instrucción en los siguientes niveles jerárquicos:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    La import-policy-name política evalúa todas las rutas recibidas a través de la sesión de IBGP con el otro enrutador PE. Si las rutas coinciden con las condiciones de la from instrucción, la ruta se instala en la tabla VRF .inet.0 del routing-instance-nameenrutador PE. El segundo término en la política rechaza todas las demás rutas.

    Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.

  2. Opcionalmente, puede utilizar una expresión regular para definir un conjunto de comunidades que se utilizarán para la directiva de importación de VRF.

    Por ejemplo, puede configurar lo siguiente mediante la community instrucción en el nivel de [edit policy-options policy-statement policy-statement-name] jerarquía:

    Tenga en cuenta que no puede configurar una expresión regular como parte de una comunidad extendida de destino de ruta. Para obtener más información acerca de cómo configurar expresiones regulares para comunidades, vea Cómo se evalúan las comunidades BGP y las comunidades extendidas en condiciones de coincidencia de directivas de enrutamiento.

  3. Para configurar una directiva de importación, incluya la vrf-import instrucción:

    Puede incluir esta instrucción en los siguientes niveles jerárquicos:

    • [edit routing-instances routing-instance-name]

    • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Configuración de una política de exportación para la tabla VRF del enrutador PE

Cada VPN puede tener una política que defina cómo se exportan las rutas desde la tabla VRF del enrutador PE. Se aplica una política de exportación a las rutas enviadas a otros enrutadores PE en la VPN. Una política de exportación debe evaluar todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o Protocolo de información de enrutamiento [RIP], o rutas estáticas). Si las rutas coinciden con las condiciones, se les agrega el destino de la comunidad especificado (que es el destino de la ruta) y se exportan a los enrutadores de PE remotos. Una política de exportación debe contener un segundo término que rechace todas las demás rutas.

Las directivas de exportación definidas en la instancia de enrutamiento VPN son las únicas directivas de exportación que se aplican a la tabla VRF. Cualquier política de exportación que defina en la sesión de IBGP entre los enrutadores PE no tiene ningún efecto en la tabla VRF. Puede configurar varias directivas de exportación.

Para configurar una directiva de exportación para la tabla VRF del enrutador PE, siga estos pasos:

  1. Para todos los enrutadores PE, una política de exportación debe distribuir las rutas VPN hacia y desde los enrutadores CE conectados de acuerdo con el tipo de protocolo de enrutamiento que configure entre los enrutadores CE y PE dentro de la instancia de enrutamiento.

    Para definir una política de exportación, incluya la policy-statement instrucción. Una política de exportación siempre debe incluir la policy-statement declaración, como mínimo:

    Nota:

    La configuración de la instrucción es un requisito para las directivas de community add exportación de VRF de VPN de capa 2. Si cambia la community add instrucción a la community set instrucción, el enrutador en la salida del vínculo VPN de capa 2 podría interrumpir la conexión.

    Nota:

    Al configurar VPN de multidifusión de borrador rosado que funcionan en modo específico del origen y al usar la vrf-export instrucción para especificar la directiva de exportación, esta directiva debe tener un término que acepte rutas de la tabla de enrutamiento vrf-name.mdt.0. Este término garantiza la detección automática de PE adecuada mediante la familia de inet-mdt direcciones.

    Al configurar VPN de multidifusión draft-rosen que funcionan en modo específico del origen y utilizan la vrf-target instrucción, la directiva de exportación de VRF se genera automáticamente y acepta automáticamente rutas de la tabla de enrutamiento vrf-name.mdt.0.

    Puede incluir la policy-statement instrucción en los siguientes niveles jerárquicos:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    La export-policy-name política evalúa todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o RIP, o rutas estáticas). Si las rutas coinciden con las condiciones de la from instrucción, se les agrega el destino de comunidad especificado en la then community add instrucción y se exportan a los enrutadores de PE remotos. El segundo término en la política rechaza todas las demás rutas.

    Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.

  2. Para aplicar la directiva, incluya la vrf-export instrucción:

    Puede incluir esta instrucción en los siguientes niveles jerárquicos:

    • [edit routing-instances routing-instance-name]

    • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Aplicación de las directivas de exportación de VRF y BGP

Cuando se aplica una política de exportación de VRF como se describe en Configuración de una política de exportación para la tabla VRF del enrutador de PE, las rutas desde instancias de enrutamiento VPN se anuncian a otros enrutadores de PE según esta política, mientras que la política de exportación de BGP se ignora.

Si incluye la vpn-apply-export instrucción en la configuración de BGP, se aplican las directivas de exportación VRF y de grupo BGP o exportación de vecinos (VRF primero, luego BGP) antes de anunciar rutas en las tablas de enrutamiento VPN a otros enrutadores PE.

Nota:

Cuando un dispositivo PE también actúa como reflector de ruta (RR) o enrutador de límite de sistema autónomo (ASBR) en una VPN de operador a operador o interAS, se omite la manipulación del salto siguiente en la política vrf-export.

Cuando incluya la vpn-apply-export instrucción, tenga en cuenta lo siguiente:

  • Las rutas importadas en la tabla de enrutamiento bgp.l3vpn.0 conservan los atributos de las rutas originales (por ejemplo, una ruta OSPF sigue siendo una ruta OSPF incluso cuando está almacenada en la tabla de enrutamiento bgp.l3vpn.0). Debe tener esto en cuenta cuando configure una política de exportación para conexiones entre un enrutador de PE de IBGP y un enrutador de PE, un reflector de ruta y un enrutador de PE, o enrutadores del mismo nivel de enrutador de límite de AS (ASBR).

  • De forma predeterminada, todas las rutas de la tabla de enrutamiento bgp.l3vpn.0 se exportan a los pares del IBGP. Si la última instrucción de la política de exportación es denegar todo y si la política de exportación no coincide específicamente en las rutas de la tabla de enrutamiento bgp.l3vpn.0, no se exportará ninguna ruta.

Para aplicar las directivas de exportación de VRF y BGP a rutas VPN, incluya la vpn-apply-export instrucción:

Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.

Configuración de un destino VRF

Incluir la vrf-target instrucción en la configuración de una comunidad de destino de VRF hace que se generen políticas predeterminadas de importación y exportación de VRF que acepten y etiqueten rutas con la comunidad de destino especificada. Aún puede crear políticas más complejas configurando explícitamente las políticas de importación y exportación de VRF. Estas directivas invalidan las directivas predeterminadas generadas al configurar la vrf-target instrucción.

Si no configura las import opciones y export de la vrf-target instrucción, la cadena de comunidad especificada se aplicará en ambas direcciones. Las import palabras clave y export le dan más flexibilidad, lo que le permite especificar una comunidad diferente para cada dirección.

La sintaxis de la comunidad de destino de VRF no es un nombre. Debe especificarlo en el formato target:x:y. No se puede especificar un nombre de comunidad porque esto también requeriría que configure los miembros de la comunidad para esa comunidad mediante la policy-options instrucción. Si define las instrucciones, puede configurar las políticas de policy-options importación y exportación de VRF como de costumbre. El propósito de la vrf-target instrucción es simplificar la configuración permitiéndole configurar la mayoría de las instrucciones en el [edit routing-instances] nivel jerárquico.

Para configurar un destino VRF, incluya la vrf-target instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

A continuación se muestra un ejemplo de cómo puede configurar la vrf-target instrucción:

Para configurar la vrf-target instrucción con las export opciones y import , incluya las instrucciones siguientes:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]