Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Distribución de rutas VPN

En este tema se describe la configuración de un enrutador para manejar la información de ruta en BGP, señalización MPLS y políticas.

Habilitar el intercambio de información de enrutamiento para VPN

Para que las VPN de capa 2, VPN de capa 3, instancias de enrutamiento de enrutador virtual, VPLS, EVPN y circuitos de capa 2 funcionen correctamente, los enrutadores PE y P del proveedor de servicios deben poder intercambiar información de enrutamiento. Para que esto suceda, debe configurar un IGP (como OSPF o IS-IS) o rutas estáticas en estos enrutadores. El IGP se configura en la instancia maestra del proceso de protocolo de enrutamiento en el [edit protocols] nivel jerárquico, no dentro de la instancia de enrutamiento utilizada para la VPN, es decir, no en el nivel de [edit routing-instances] jerarquía.

Cuando configure el enrutador de PE, no configure ningún resumen de las direcciones de circuito cerrado del enrutador de PE en el límite de área. La dirección de circuito cerrado de cada enrutador PE debe aparecer como una ruta separada.

Configuración de sesiones de IBGP entre enrutadores PE en VPN

Debe configurar una sesión de IBGP entre los enrutadores de PE para permitir que los enrutadores de PE intercambien información sobre las rutas que se originan y terminan en la VPN. Los enrutadores PE se basan en esta información para determinar qué etiquetas usar para el tráfico destinado a sitios remotos.

Configure una sesión de IBGP para la VPN de la siguiente manera:

La dirección IP de la local-address instrucción es la dirección de la interfaz de circuito cerrado en el enrutador PE local. La sesión de IBGP para la VPN se ejecuta a través de la dirección de circuito cerrado. (También debe configurar la interfaz de circuito cerrado en el nivel de [edit interfaces] jerarquía).

La dirección IP de la neighbor instrucción es la dirección de circuito cerrado del enrutador PE vecino. Si utiliza la señalización RSVP, esta dirección IP es la misma dirección que especificó en la to instrucción en el nivel de [edit mpls label-switched-path lsp-path-name] jerarquía al configurar el LSP de MPLS.

La family instrucción le permite configurar la sesión de IBGP para VPN de capa 2, VPLS, EVPN o para VPN de capa 3.

  • Para configurar una sesión de IBGP para VPN de capa 2 y VPLS, incluya la signaling instrucción en el nivel de [edit protocols bgp group group-name family l2vpn] jerarquía:

  • Para configurar una sesión de IBGP para EVPN, incluya la signaling instrucción en el nivel de [edit protocols bgp group group-name family evpn] jerarquía:

  • Para configurar una sesión de IBGP IPv4 para VPN de capa 3, configure la unicast instrucción en el nivel de [edit protocols bgp group group-name family inet-vpn] jerarquía:

  • Para configurar una sesión de IBGP IPv6 para VPN de capa 3, configure la unicast instrucción en el nivel de [edit protocols bgp group group-name family inet6-vpn] jerarquía:

Nota:

Puede configurar ambos family inet y family inet-vpn /o ambos family inet6 y family inet6-vpn dentro del mismo grupo del mismo par. Esto le permite habilitar la compatibilidad con rutas VPN IPv4 e IPv4 o rutas VPN IPv6 e IPv6 dentro del mismo grupo par.

Configuración de etiquetas agregadas para VPN

Las etiquetas agregadas para VPN permiten que una plataforma de enrutamiento de Juniper Networks agregue un conjunto de etiquetas entrantes (etiquetas recibidas de un enrutador par) en una única etiqueta de reenvío seleccionada del conjunto de etiquetas entrantes. La etiqueta de reenvío simple corresponde a un único salto siguiente para ese conjunto de etiquetas. La agregación de etiquetas reduce el número de etiquetas VPN que el enrutador debe examinar.

Para que un conjunto de etiquetas comparta una etiqueta de reenvío agregada, deben pertenecer a la misma clase de equivalencia de reenvío (FEC). Los paquetes etiquetados deben tener la misma interfaz de salida de destino.

Incluir la community community-name instrucción con la aggregate-label instrucción permite especificar prefijos con una comunidad de origen común. Establecidos por política en el PE par, estos prefijos representan un FEC en el enrutador de PE par.

CAUTELA:

Si la comunidad de destino se establece por error en lugar de la comunidad de origen, pueden producirse problemas de reenvío en el PE de salida. Todos los prefijos del PE par aparecerán en la misma FEC, lo que dará como resultado una única etiqueta interna para todos los enrutadores CE detrás de un PE dado en la misma VPN.

Para trabajar con reflectores de ruta en redes VPN de capa 3, el enrutador M10i de Juniper Networks agrega un conjunto de etiquetas entrantes solo cuando las rutas:

  • Se reciben del mismo enrutador par

  • Tener el mismo sitio de la comunidad de origen

  • Tener el mismo próximo salto

El requisito del siguiente salto es importante porque los reflectores de ruta reenvían rutas originadas desde diferentes pares de BGP a otro par BGP sin cambiar el siguiente salto de esas rutas.

Para configurar etiquetas de agregado para VPN, incluya la instrucción aggregate-label :

Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea el resumen de instrucción de esta instrucción.

Para obtener información acerca de cómo configurar una comunidad, consulte Descripción de comunidades BGP, comunidades extendidas y comunidades grandes como condiciones de coincidencia de directivas de enrutamiento.

Configuración de un protocolo de señalización y LSP para VPN

Para que las VPN funcionen, debe habilitar un protocolo de señalización, ya sea el LDP o RSVP en los enrutadores perimetrales del proveedor (PE) y en los enrutadores del proveedor (P). También debe configurar rutas de conmutación de etiquetas (LSP) entre los enrutadores de entrada y salida. En una configuración típica de VPN, debe configurar los LSP de cada enrutador PE a todos los demás enrutadores PE que participan en la VPN en una malla completa.

Nota:

Al igual que con cualquier configuración que implique MPLS, no puede configurar ninguna de las interfaces orientadas al núcleo en los enrutadores PE mediante PIC de Fast Ethernet densas.

Para habilitar un protocolo de señalización, realice los pasos de una de las secciones siguientes:

Uso de LDP para la señalización VPN

Para utilizar LDP para la señalización VPN, realice los pasos siguientes en los enrutadores de PE y de proveedor (P):

  1. Configure LDP en las interfaces del núcleo de la red del proveedor de servicios incluyendo la ldp instrucción en el [edit protocols] nivel jerárquico.

    Debe configurar LDP solo en las interfaces entre enrutadores PE o entre enrutadores PE y P. Puede pensar en estas como las interfaces "orientadas al núcleo". No es necesario configurar LDP en la interfaz entre el PE y los enrutadores perimetrales del cliente (CE).

  2. Configure la familia de direcciones MPLS en las interfaces en las que habilitó LDP (las interfaces que configuró en el paso 1) incluyendo la family mpls instrucción en el nivel de [edit interfaces type-fpc/pic/port unit logical-unit-number] jerarquía.

  3. Configure OSPF o IS-IS en cada enrutador PE y P.

    Estos protocolos se configuran en la instancia maestra del protocolo de enrutamiento, no dentro de la instancia de enrutamiento utilizada para la VPN.

    • Para configurar OSPF, incluya la ospf instrucción en el nivel jerárquico [edit protocols] . Como mínimo, debe configurar un área troncal en al menos una de las interfaces del enrutador.

    • Para configurar IS-IS, incluya la isis instrucción en el nivel de [edit protocols] jerarquía y configure la interfaz de circuito cerrado y la familia de la Organización Internacional de Normalización (ISO) en el nivel de [edit interfaces] jerarquía. Como mínimo, debe habilitar IS-IS en el enrutador, configurar un título de entidad de red (NET) en una de las interfaces del enrutador (preferiblemente la interfaz de circuito cerrado, lo0) y configurar la familia ISO en todas las interfaces en las que desee que se ejecute IS-IS. Cuando se habilita IS-IS, el nivel 1 y el nivel 2 se habilitan de forma predeterminada. La siguiente es la configuración mínima de IS-IS. En la address instrucción, address está la NET.

Uso de RSVP para la señalización VPN

Para usar RSVP para la señalización VPN, realice los pasos siguientes:

  1. En cada enrutador PE, configure la ingeniería de tráfico.

    Para ello, debe configurar un protocolo de puerta de enlace interior (IGP) que admita la ingeniería de tráfico (ya sea IS-IS u OSPF) y habilitar la compatibilidad de ingeniería de tráfico para ese protocolo.

    Para habilitar la compatibilidad con ingeniería de tráfico de OSPF, incluya la traffic-engineering instrucción en el nivel jerárquico [edit protocols ospf] :

    Para IS-IS, la compatibilidad con ingeniería de tráfico está habilitada de forma predeterminada.

  2. En cada enrutador PE y P, habilite RSVP en las interfaces que participan en la ruta de conmutación de etiquetas (LSP).

    En el enrutador PE, estas interfaces son los puntos de entrada y salida al LSP. En el enrutador P, estas interfaces conectan el LSP entre los enrutadores PE. No habilite RSVP en la interfaz entre el PE y los enrutadores CE, ya que esta interfaz no forma parte del LSP.

    Para configurar RSVP en los enrutadores PE y P, incluya la interface instrucción en el nivel de [edit protocols rsvp] jerarquía. Incluya una interface instrucción para cada interfaz en la que esté habilitando RSVP.

  3. En cada enrutador PE, configure un LSP MPLS en el enrutador PE que es el punto de salida del LSP.

    Para ello, incluya las interface instrucciones y label-switched-path en el nivel jerárquico [edit protocols mpls] :

    En la to instrucción, especifique la dirección del punto de salida del LSP, que es una dirección en el enrutador de PE remoto.

    En la interface instrucción, especifique el nombre de la interfaz (tanto la parte física como la lógica). Incluya una interface instrucción para la interfaz asociada con el LSP.

    Cuando configure la parte lógica de la misma interfaz en el [edit interfaces] nivel de jerarquía, también debe configurar las family inet instrucciones y family mpls :

  4. En todos los enrutadores P que participen en el LSP, habilite MPLS incluyendo la interface instrucción en el nivel jerárquico [edit mpls] .

    Incluya una interface instrucción para cada conexión al LSP.

  5. Active MPLS en la interfaz entre los enrutadores PE y CE incluyendo la interface instrucción en el nivel de [edit mpls] jerarquía.

    Hacer esto permite al enrutador PE asignar una etiqueta MPLS al tráfico que entra en el LSP o quitar la etiqueta del tráfico que sale del LSP.

    Para obtener información acerca de la configuración de MPLS, consulte Configuración del enrutador de entrada para LSP con señal MPLS.

Configuración de directivas para la tabla VRF en enrutadores PE en VPN

En cada enrutador PE, debe definir políticas que definan cómo se importan y exportan las rutas desde la tabla VRF del enrutador. En estas directivas, debe definir el destino de la ruta y, opcionalmente, puede definir el origen de la ruta.

Para configurar la directiva para las tablas VRF, realice los pasos descritos en las secciones siguientes:

Configuración del destino de ruta

Como parte de la configuración de directivas para la tabla de enrutamiento VPN, debe definir un destino de ruta, que define de qué VPN forma parte la ruta. Cuando configure diferentes tipos de servicios VPN (VPN de capa 2, VPN de capa 3, EVPN o VPLS) en el mismo enrutador PE, asegúrese de asignar valores de destino de ruta únicos para evitar la posibilidad de agregar información de ruta y señalización a la tabla de enrutamiento VPN incorrecta.

Para configurar el destino de ruta, incluya la target opción en la community instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

name es el nombre de la comunidad.

community-id es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:

  • as-number:number, donde as-number es un número de AS (un valor de 2 bytes) y number es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).

  • ip-address:number, donde ip-address es una dirección IPv4 (un valor de 4 bytes) y number es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en la router-id instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.

Configuración del origen de la ruta

En las políticas de importación y exportación de la tabla VRF del enrutador de PE, puede asignar opcionalmente el origen de la ruta (también conocido como sitio de origen) para las rutas VRF de un enrutador de PE mediante una política de exportación de VRF aplicada a las actualizaciones de ruta IPv4 de VPN de BGP externo multiprotocolo (MP-EBGP) enviadas a otros enrutadores PE.

La coincidencia en el atributo de origen de ruta asignado en la política de importación de VRF de un PE receptor ayuda a garantizar que las rutas VPN-IPv4 aprendidas a través de las actualizaciones de MP-EBGP de un PE no se vuelvan a importar al mismo sitio VPN desde un PE diferente conectado al mismo sitio.

Para configurar un origen de ruta, siga estos pasos:

  1. Incluya la community instrucción con la origin opción:

    Puede incluir esta instrucción en los siguientes niveles jerárquicos:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    name es el nombre de la comunidad.

    community-id es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:

    • as-number:number, donde as-number es un número de AS (un valor de 2 bytes) y number es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).

    • ip-address:number, donde ip-address es una dirección IPv4 (un valor de 4 bytes) y number es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en la router-id instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.

  2. Incluya la comunidad en la política de importación para la tabla VRF del enrutador PE configurando la community instrucción con el identificador definido en el community-id paso 1 en el nivel de [edit policy-options policy-statement import-policy-name term import-term-name from] jerarquía. Consulte Configuración de una política de importación para la tabla VRF del enrutador PE.

    Si la cláusula de from la política no especifica una condición de comunidad, no se puede confirmar la instrucción en la vrf-import que se aplica la directiva. La operación de confirmación de Junos OS no pasa la comprobación de validación.

  3. Incluya la comunidad en la política de exportación para la tabla VRF del enrutador PE configurando la community instrucción con el identificador definido en el community-id paso 1 en el nivel de [edit policy-options policy-statement export-policy-name term export-term-name then] jerarquía. Consulte Configuración de una política de exportación para la tabla VRF del enrutador PE.

Consulte Configuración del origen de ruta para VPN para ver un ejemplo de configuración.

Configuración de una directiva de importación para la tabla VRF del enrutador PE

Cada VPN puede tener una política que defina cómo se importan las rutas a la tabla VRF del enrutador PE. Se aplica una política de importación a las rutas recibidas de otros enrutadores PE en la VPN. Una política debe evaluar todas las rutas recibidas a través de la sesión de IBGP con el enrutador PE par. Si las rutas coinciden con las condiciones, la ruta se instala en la tabla VRF del routing-instance-name.inet.0 enrutador PE. Una política de importación debe contener un segundo término que rechace todas las demás rutas.

A menos que una política de importación contenga solo una then reject instrucción, debe incluir una referencia a una comunidad. De lo contrario, cuando intente confirmar la configuración, se producirá un error en la confirmación. Puede configurar varias políticas de importación.

Una política de importación determina qué importar a una tabla VRF especificada en función de las rutas VPN aprendidas de los enrutadores PE remotos a través del IBGP. La sesión de IBGP se configura en el nivel jerárquico [edit protocols bgp] . Si también configura una directiva de importación en el nivel de [edit protocols bgp] jerarquía, las directivas de importación en el nivel de [edit policy-options] jerarquía y el [edit protocols bgp] nivel de jerarquía se combinan mediante una operación lógica AND. Esto le permite filtrar el tráfico como grupo.

Para configurar una directiva de importación para la tabla VRF del enrutador PE, siga estos pasos:

  1. Para definir una política de importación, incluya la policy-statement instrucción. Para todos los enrutadores PE, una política de importación siempre debe incluir la policy-statement instrucción, como mínimo:

    Puede incluir la policy-statement instrucción en los siguientes niveles jerárquicos:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    La import-policy-name política evalúa todas las rutas recibidas a través de la sesión de IBGP con el otro enrutador PE. Si las rutas coinciden con las condiciones de la from instrucción, la ruta se instala en la tabla VRF .inet.0 del routing-instance-nameenrutador PE. El segundo término en la política rechaza todas las demás rutas.

    Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.

  2. Opcionalmente, puede utilizar una expresión regular para definir un conjunto de comunidades que se utilizarán para la directiva de importación de VRF.

    Por ejemplo, puede configurar lo siguiente mediante la community instrucción en el nivel de [edit policy-options policy-statement policy-statement-name] jerarquía:

    Tenga en cuenta que no puede configurar una expresión regular como parte de una comunidad extendida de destino de ruta. Para obtener más información acerca de cómo configurar expresiones regulares para comunidades, vea Cómo se evalúan las comunidades BGP y las comunidades extendidas en condiciones de coincidencia de directivas de enrutamiento.

  3. Para configurar una directiva de importación, incluya la vrf-import instrucción:

    Puede incluir esta instrucción en los siguientes niveles jerárquicos:

    • [edit routing-instances routing-instance-name]

    • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Configuración de una política de exportación para la tabla VRF del enrutador PE

Cada VPN puede tener una política que defina cómo se exportan las rutas desde la tabla VRF del enrutador PE. Se aplica una política de exportación a las rutas enviadas a otros enrutadores PE en la VPN. Una política de exportación debe evaluar todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o Protocolo de información de enrutamiento [RIP], o rutas estáticas). Si las rutas coinciden con las condiciones, se les agrega el destino de la comunidad especificado (que es el destino de la ruta) y se exportan a los enrutadores de PE remotos. Una política de exportación debe contener un segundo término que rechace todas las demás rutas.

Las directivas de exportación definidas en la instancia de enrutamiento VPN son las únicas directivas de exportación que se aplican a la tabla VRF. Cualquier política de exportación que defina en la sesión de IBGP entre los enrutadores PE no tiene ningún efecto en la tabla VRF. Puede configurar varias directivas de exportación.

Para configurar una directiva de exportación para la tabla VRF del enrutador PE, siga estos pasos:

  1. Para todos los enrutadores PE, una política de exportación debe distribuir las rutas VPN hacia y desde los enrutadores CE conectados de acuerdo con el tipo de protocolo de enrutamiento que configure entre los enrutadores CE y PE dentro de la instancia de enrutamiento.

    Para definir una política de exportación, incluya la policy-statement instrucción. Una política de exportación siempre debe incluir la policy-statement declaración, como mínimo:

    Nota:

    La configuración de la instrucción es un requisito para las directivas de community add exportación de VRF de VPN de capa 2. Si cambia la community add instrucción a la community set instrucción, el enrutador en la salida del vínculo VPN de capa 2 podría interrumpir la conexión.

    Nota:

    Al configurar VPN de multidifusión de borrador rosado que funcionan en modo específico del origen y al usar la vrf-export instrucción para especificar la directiva de exportación, esta directiva debe tener un término que acepte rutas de la tabla de enrutamiento vrf-name.mdt.0. Este término garantiza la detección automática de PE adecuada mediante la familia de inet-mdt direcciones.

    Al configurar VPN de multidifusión draft-rosen que funcionan en modo específico del origen y utilizan la vrf-target instrucción, la directiva de exportación de VRF se genera automáticamente y acepta automáticamente rutas de la tabla de enrutamiento vrf-name.mdt.0.

    Puede incluir la policy-statement instrucción en los siguientes niveles jerárquicos:

    • [edit policy-options]

    • [edit logical-systems logical-system-name policy-options]

    La export-policy-name política evalúa todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o RIP, o rutas estáticas). Si las rutas coinciden con las condiciones de la from instrucción, se les agrega el destino de comunidad especificado en la then community add instrucción y se exportan a los enrutadores de PE remotos. El segundo término en la política rechaza todas las demás rutas.

    Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.

  2. Para aplicar la directiva, incluya la vrf-export instrucción:

    Puede incluir esta instrucción en los siguientes niveles jerárquicos:

    • [edit routing-instances routing-instance-name]

    • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Aplicación de las directivas de exportación de VRF y BGP

Cuando se aplica una política de exportación de VRF como se describe en Configuración de una política de exportación para la tabla VRF del enrutador de PE, las rutas desde instancias de enrutamiento VPN se anuncian a otros enrutadores de PE según esta política, mientras que la política de exportación de BGP se ignora.

Si incluye la vpn-apply-export instrucción en la configuración de BGP, se aplican las directivas de exportación VRF y de grupo BGP o exportación de vecinos (VRF primero, luego BGP) antes de anunciar rutas en las tablas de enrutamiento VPN a otros enrutadores PE.

Nota:

Cuando un dispositivo PE también actúa como reflector de ruta (RR) o enrutador de límite de sistema autónomo (ASBR) en una VPN de operador a operador o interAS, se omite la manipulación del salto siguiente en la política vrf-export.

Cuando incluya la vpn-apply-export instrucción, tenga en cuenta lo siguiente:

  • Las rutas importadas en la tabla de enrutamiento bgp.l3vpn.0 conservan los atributos de las rutas originales (por ejemplo, una ruta OSPF sigue siendo una ruta OSPF incluso cuando está almacenada en la tabla de enrutamiento bgp.l3vpn.0). Debe tener esto en cuenta cuando configure una política de exportación para conexiones entre un enrutador de PE de IBGP y un enrutador de PE, un reflector de ruta y un enrutador de PE, o enrutadores del mismo nivel de enrutador de límite de AS (ASBR).

  • De forma predeterminada, todas las rutas de la tabla de enrutamiento bgp.l3vpn.0 se exportan a los pares del IBGP. Si la última instrucción de la política de exportación es denegar todo y si la política de exportación no coincide específicamente en las rutas de la tabla de enrutamiento bgp.l3vpn.0, no se exportará ninguna ruta.

Para aplicar las directivas de exportación de VRF y BGP a rutas VPN, incluya la vpn-apply-export instrucción:

Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.

Configuración de un destino VRF

Incluir la vrf-target instrucción en la configuración de una comunidad de destino de VRF hace que se generen políticas predeterminadas de importación y exportación de VRF que acepten y etiqueten rutas con la comunidad de destino especificada. Aún puede crear políticas más complejas configurando explícitamente las políticas de importación y exportación de VRF. Estas directivas invalidan las directivas predeterminadas generadas al configurar la vrf-target instrucción.

Si no configura las import opciones y export de la vrf-target instrucción, la cadena de comunidad especificada se aplicará en ambas direcciones. Las import palabras clave y export le dan más flexibilidad, lo que le permite especificar una comunidad diferente para cada dirección.

La sintaxis de la comunidad de destino de VRF no es un nombre. Debe especificarlo en el formato target:x:y. No se puede especificar un nombre de comunidad porque esto también requeriría que configure los miembros de la comunidad para esa comunidad mediante la policy-options instrucción. Si define las instrucciones, puede configurar las políticas de policy-options importación y exportación de VRF como de costumbre. El propósito de la vrf-target instrucción es simplificar la configuración permitiéndole configurar la mayoría de las instrucciones en el [edit routing-instances] nivel jerárquico.

Para configurar un destino VRF, incluya la vrf-target instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

A continuación se muestra un ejemplo de cómo puede configurar la vrf-target instrucción:

Para configurar la vrf-target instrucción con las export opciones y import , incluya las instrucciones siguientes:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

Configuración del origen de ruta para VPN

Puede usar el origen de la ruta para evitar que las rutas aprendidas de un enrutador perimetral del cliente (CE) marcado con la comunidad de origen se anuncien desde otro enrutador CE en el mismo AS.

En el ejemplo, el origen de la ruta se utiliza para evitar que las rutas aprendidas del enrutador A de CE marcadas con la comunidad de origen se anuncien de nuevo al enrutador E de CE por AS 200. La topología de ejemplo se muestra en la figura 1.

Figura 1: Ejemplo de topología de red del sitio de origen Network Topology of Site of Origin Example

En esta topología, el enrutador CE A y el enrutador CE E están en el mismo AS (AS200). Utilizan EBGP para intercambiar rutas con sus respectivos enrutadores de borde de proveedor (PE), el enrutador de PE B y el enrutador de PE D. Los dos enrutadores CE tienen una conexión posterior.

En las secciones siguientes se describe cómo configurar el origen de la ruta para un grupo de VPN:

Configuración del sitio de la comunidad de origen en el enrutador CE A

En la siguiente sección se describe cómo configurar el enrutador A de CE para anunciar rutas con una comunidad de sitio de origen al enrutador B de PE para este ejemplo.

Nota:

En este ejemplo, las rutas directas están configuradas para anunciarse, pero se puede configurar cualquier ruta.

Configure una política para anunciar rutas con my-soo comunidad en el enrutador A de CE de la siguiente manera:

Configuración de la comunidad en el enrutador CE A

Configure la comunidad en el my-soo enrutador A de CE de la siguiente manera:

Aplicación de la declaración de directiva en el enrutador CE A

Aplique la declaración de política de exportar a mi ISP como una política de exportación al emparejamiento EBGP en el enrutador CE A de la siguiente manera:

Cuando ejecute el show route receive-protocol bgp detail comando, debería ver las siguientes rutas originadas desde el enrutador B de PE con my-soo comunidad:

Configuración de la directiva en el enrutador PE D

Configure una política en el enrutador de PE D que impida que las rutas con my-soo comunidad etiquetada por el enrutador A de CE se anuncien al enrutador CE E de la siguiente manera:

Configuración de la comunidad en el enrutador PE D

Configure la comunidad en el enrutador PE D de la siguiente manera:

Aplicación de la directiva en el enrutador de PE D

Para evitar que las rutas aprendidas del enrutador A de CE se anuncien al enrutador E de CE (los dos enrutadores pueden comunicar estas rutas directamente), aplique la soo-ce1-policy instrucción de política como una política de exportación a la sesión vpn_blueEBGP del enrutador PE D y del enrutador CE E.

Vea la sesión de EBGP en el enrutador PE D usando el show routing-instances comando.

Aplique la declaración de soo-ce1-policy política como una política de exportación a la sesión vpn_blue EBGP del enrutador PE D y del enrutador CE E de la siguiente manera: