Configuración de políticas para la tabla VRF en enrutadores de PE en VPN
En cada enrutador de PE, debe definir políticas que definan cómo se importan y exportan las rutas a la tabla VRF del enrutador. En estas políticas, debe definir el destino de la ruta y, opcionalmente, puede definir el origen de la ruta.
Para configurar la política para las tablas VRF, realice los pasos de las siguientes secciones:
Configuración del destino de ruta
Como parte de la configuración de políticas para la tabla de enrutamiento VPN, debe definir un destino de ruta, el cual define de qué VPN forma parte la ruta. Cuando configure diferentes tipos de servicios VPN (VPN de capa 2, VPN de capa 3, EVPN o VPLS) en el mismo enrutador de PE, asegúrese de asignar valores de destino de ruta únicos para evitar la posibilidad de agregar información de ruta y señalización a la tabla de enrutamiento VPN incorrecta.
Para configurar el destino de ruta, incluya la target opción en la community instrucción:
community name members target:community-id;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit policy-options][edit logical-systems logical-system-name policy-options]
name es el nombre de la comunidad.
community-id es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:
as-number:number, dondeas-numberes un número de AS (un valor de 2 bytes) ynumberes un valor de comunidad de 4 bytes. El número de AS puede estar en el intervalo de 1 a 65.535. Recomendamos que use un número de AS no privado asignado por la AANI, preferiblemente el número de AS del ISP o del cliente. El valor de la comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).ip-address:number, dondeip-addresses una dirección IPv4 (un valor de 4 bytes) ynumberes un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Le recomendamos que use la dirección que configure en la instrucción, que es una dirección no privada en elrouter-idintervalo de prefijos asignado. El valor de la comunidad puede ser un número en el rango de 1 a 65,535.
Configuración del origen de la ruta
Si lo desea, en las políticas de importación y exportación de la tabla VRF del enrutador de PE, puede asignar opcionalmente el origen de la ruta (también conocido como el sitio de origen) para las rutas VRF de un enrutador de PE mediante una política de exportación de VRF aplicada a las actualizaciones de ruta IPv4 de VPN de BGP externo multiprotocolo (MP-EBGP) enviadas a otros enrutadores PE.
La coincidencia en el atributo de origen de ruta asignado en la política de importación de VRF de un PE receptor ayuda a garantizar que las rutas VPN-IPv4 aprendidas a través de las actualizaciones de MP-EBGP de un PE no se vuelvan a importar al mismo sitio VPN desde un PE diferente conectado al mismo sitio.
Para configurar un origen de ruta, siga estos pasos:
Incluya la
communityinstrucción con laoriginopción:community name members origin:community-id;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit policy-options][edit logical-systems logical-system-name policy-options]
namees el nombre de la comunidad.community-ides el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:as-number:number, dondeas-numberes un número de AS (un valor de 2 bytes) ynumberes un valor de comunidad de 4 bytes. El número de AS puede estar en el intervalo de 1 a 65.535. Recomendamos que use un número de AS no privado asignado por la AANI, preferiblemente el número de AS del ISP o del cliente. El valor de la comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).ip-address:number, dondeip-addresses una dirección IPv4 (un valor de 4 bytes) ynumberes un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Le recomendamos que use la dirección que configure en la instrucción, que es una dirección no privada en elrouter-idintervalo de prefijos asignado. El valor de la comunidad puede ser un número en el rango de 1 a 65,535.
Incluya la comunidad en la política de importación para la tabla VRF del enrutador de PE configurando la
communityinstrucción con el identificador definido en elcommunity-idpaso 1 en el nivel jerárquico[edit policy-options policy-statement import-policy-name term import-term-name from]. Consulte Configuración de una política de importación para la tabla VRF del enrutador de PE.Si la cláusula de
fromla política no especifica una condición de comunidad, no se puede confirmar la instrucción en lavrf-importque se aplica la política. La operación de confirmación de Junos OS no pasa la comprobación de validación.Incluya la comunidad en la política de exportación para la tabla VRF del enrutador de PE configurando la
communityinstrucción con el identificador definido en elcommunity-idpaso 1 en el nivel jerárquico[edit policy-options policy-statement export-policy-name term export-term-name then]. Consulte Configuración de una política de exportación para la tabla VRF del enrutador de PE.
Consulte Configurar el origen de la ruta para VPN para ver un ejemplo de configuración.
Configuración de una política de importación para la tabla VRF del enrutador de PE
Cada VPN puede tener una política que defina cómo se importan las rutas a la tabla VRF del enrutador de PE. Se aplica una política de importación a las rutas recibidas de otros enrutadores de PE en la VPN. Una política debe evaluar todas las rutas recibidas a través de la sesión de IBGP con el enrutador de PE par. Si las rutas coinciden con las condiciones, la ruta se instala en la tabla VRF del routing-instance-name.inet.0 enrutador de PE. Una política de importación debe contener un segundo término que rechace todas las demás rutas.
A menos que una política de importación contenga solo una then reject instrucción, debe incluir una referencia a una comunidad. De lo contrario, cuando intente confirmar la configuración, se producirá un error en la confirmación. Puede configurar varias políticas de importación.
Una política de importación determina qué importar a una tabla VRF especificada en función de las rutas VPN aprendidas de los enrutadores de PE remotos a través del IBGP. La sesión de IBGP se configura en el [edit protocols bgp] nivel jerárquico. Si también configura una política de importación en el [edit protocols bgp] nivel de jerarquía, las políticas de importación en el [edit policy-options] nivel de jerarquía y el nivel de [edit protocols bgp] jerarquía se combinan a través de una operación lógica Y. Esto le permite filtrar el tráfico como grupo.
Para configurar una política de importación para la tabla VRF del enrutador de PE, siga estos pasos:
Para definir una política de importación, incluya la
policy-statementinstrucción. Para todos los enrutadores de PE, una política de importación siempre debe incluir lapolicy-statementinstrucción, como mínimo:policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }Puede incluir la
policy-statementinstrucción en los siguientes niveles de jerarquía:[edit policy-options][edit logical-systems logical-system-name policy-options]
La
import-policy-namepolítica evalúa todas las rutas recibidas a través de la sesión de IBGP con el otro enrutador de PE. Si las rutas coinciden con las condiciones de lafrominstrucción, la ruta se instala en la tabla .inet.0 VRF del routing-instance-nameenrutador de PE. El segundo término de la política rechaza todas las demás rutas.Para obtener más información acerca de cómo crear políticas, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y reguladores de políticas de tráfico.
Opcionalmente, puede utilizar una expresión regular para definir un conjunto de comunidades que se utilizarán para la política de importación de VRF.
Por ejemplo, podría configurar lo siguiente mediante la
communityinstrucción en el nivel de[edit policy-options policy-statement policy-statement-name]jerarquía:[edit policy-options vrf-import-policy-sample] community high-priority members *:50
Tenga en cuenta que no puede configurar una expresión regular como parte de una comunidad extendida de destino de ruta. Para obtener más información sobre cómo configurar expresiones regulares para comunidades, consulte Cómo se evalúan las comunidades BGP y las comunidades extendidas en condiciones de coincidencia de políticas de enrutamiento.
Para configurar una política de importación, incluya la
vrf-importinstrucción:vrf-import import-policy-name;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de una política de exportación para la tabla VRF del enrutador de PE
Cada VPN puede tener una política que defina cómo se exportan las rutas desde la tabla VRF del enrutador de PE. Se aplica una política de exportación a las rutas enviadas a otros enrutadores de PE en la VPN. Una política de exportación debe evaluar todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede usar el BGP, OSPF o los protocolos de enrutamiento del Protocolo de información de enrutamiento [RIP], o rutas estáticas). Si las rutas coinciden con las condiciones, se les agrega el destino de comunidad especificado (que es el destino de ruta) y se exportan a los enrutadores de PE remotos. Una política de exportación debe contener un segundo término que rechace todas las demás rutas.
Las políticas de exportación definidas en la instancia de enrutamiento VPN son las únicas políticas de exportación que se aplican a la tabla VRF. Cualquier política de exportación que defina en la sesión del IBGP entre los enrutadores de PE no tiene ningún efecto en la tabla VRF. Puede configurar varias políticas de exportación.
Para configurar una política de exportación para la tabla VRF del enrutador de PE, siga estos pasos:
Para todos los enrutadores PE, una política de exportación debe distribuir rutas VPN hacia y desde los enrutadores CE conectados de acuerdo con el tipo de protocolo de enrutamiento que configure entre los enrutadores CE y PE dentro de la instancia de enrutamiento.
Para definir una política de exportación, incluya la
policy-statementinstrucción. Una política de exportación siempre debe incluir lapolicy-statementinstrucción, como mínimo:policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }Nota:La configuración de la instrucción es un requisito para las
community addpolíticas de exportación de VRF de VPN de capa 2. Si cambia lacommunity addinstrucción a lacommunity setinstrucción, el enrutador en la salida del vínculo VPN de capa 2 podría interrumpir la conexión.Nota:Cuando se configuran VPN de multidifusión draft-rosen que funcionan en modo específico de fuente y se utiliza la
vrf-exportinstrucción para especificar la política de exportación, la política debe tener un término que acepte rutas de la tabla de enrutamiento vrf-name.mdt.0. Este término garantiza la detección automática de PE adecuada mediante la familia deinet-mdtdirecciones.Cuando se configuran VPN de multidifusión draft-rosen que funcionan en modo específico de fuente y se utiliza la
vrf-targetinstrucción, la política de exportación VRF se genera automáticamente y acepta automáticamente rutas de la tabla de enrutamiento vrf-name.mdt.0.Puede incluir la
policy-statementinstrucción en los siguientes niveles de jerarquía:[edit policy-options][edit logical-systems logical-system-name policy-options]
La
export-policy-namepolítica evalúa todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o RIP, o rutas estáticas). Si las rutas coinciden con las condiciones de lafrominstrucción, se les agrega el destino de comunidad especificado en lathen community addinstrucción y se exportan a los enrutadores de PE remotos. El segundo término de la política rechaza todas las demás rutas.Para obtener más información acerca de cómo crear políticas, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y reguladores de políticas de tráfico.
Para aplicar la política, incluya la
vrf-exportdeclaración:vrf-export export-policy-name;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Aplicación de las políticas de exportación de VRF y de BGP
Cuando se aplica una política de exportación de VRF como se describe en Configuración de una política de exportación para la tabla VRF del enrutador de PE, las rutas de las instancias de enrutamiento VPN se anuncian a otros enrutadores PE en función de esta política, mientras que la política de exportación del BGP se ignora.
Si incluye la instrucción en la configuración del BGP, se aplican tanto la vpn-apply-export exportación de VRF como las políticas de exportación de grupo o vecino del BGP (primero VRF y luego BGP) antes de que se anuncien las rutas en las tablas de enrutamiento de VPN a otros enrutadores PE.
Cuando un dispositivo PE también actúa como reflector de ruta (RR) o como enrutador de límite de sistema autónomo (ASBR) en una VPN de operadora sobre operadora o entre AS, se ignora la manipulación del salto siguiente en la política de vrf-export.
Cuando incluya la vpn-apply-export instrucción, tenga en cuenta lo siguiente:
Las rutas importadas a la tabla de enrutamiento bgp.l3vpn.0 conservan los atributos de las rutas originales (por ejemplo, una ruta OSPF sigue siendo una ruta OSPF incluso cuando está almacenada en la tabla de enrutamiento bgp.l3vpn.0). Debe tener esto en cuenta al configurar una política de exportación para conexiones entre un enrutador de PE de IBGP y un enrutador de PE, un reflector de ruta y un enrutador de PE, o enrutadores par enrutador de límite de AS (ASBR).
De forma predeterminada, todas las rutas de la tabla de enrutamiento bgp.l3vpn.0 se exportan a los pares del IBGP. Si la última instrucción de la política de exportación es denegar todo y si la política de exportación no coincide específicamente con las rutas de la tabla de enrutamiento bgp.l3vpn.0, no se exporta ninguna ruta.
Para aplicar las políticas de exportación de VRF y de BGP a rutas VPN, incluya la vpn-apply-export instrucción:
vpn-apply-export;
Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección Resumen de instrucciones para esta instrucción.
Configuración de un destino VRF
Incluir la vrf-target instrucción en la configuración de una comunidad de destino VRF hace que se generen políticas de importación y exportación de VRF predeterminadas que acepten y etiqueten rutas con la comunidad de destino especificada. Todavía puede crear políticas más complejas configurando explícitamente las políticas de importación y exportación de VRF. Estas políticas anulan las políticas predeterminadas generadas al configurar la vrf-target instrucción.
Si no configura las opciones y import export de la vrf-target instrucción, la cadena de comunidad especificada se aplica en ambas direcciones. Las import palabras clave y export le ofrecen más flexibilidad, lo que le permite especificar una comunidad diferente para cada dirección.
La sintaxis de la comunidad de destino de VRF no es un nombre. Debe especificarlo en el formato target:x:y. No se puede especificar un nombre de comunidad, ya que esto también requeriría configurar los miembros de la comunidad para esa comunidad mediante la policy-options instrucción. Si define las instrucciones, puede configurar las policy-options políticas de importación y exportación de VRF como de costumbre. El propósito de la vrf-target instrucción es simplificar la configuración al permitirle configurar la mayoría de las instrucciones en el [edit routing-instances] nivel de jerarquía.
Para configurar un destino VRF, incluya la vrf-target instrucción:
vrf-target community;
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
A continuación, se muestra un ejemplo de cómo configurar la vrf-target instrucción:
[edit routing-instances sample] vrf-target target:69:102;
Para configurar la vrf-target instrucción con las export opciones y import , incluya las siguientes instrucciones:
vrf-target { export community-name; import community-name; }
Puede incluir esta instrucción en los siguientes niveles de jerarquía:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]