Distribución de rutas VPN
En este tema se describe la configuración de un enrutador para manejar la información de ruta en BGP, señalización MPLS y políticas.
Habilitar el intercambio de información de enrutamiento para VPN
Para que las VPN de capa 2, VPN de capa 3, instancias de enrutamiento de enrutador virtual, VPLS, EVPN y circuitos de capa 2 funcionen correctamente, los enrutadores PE y P del proveedor de servicios deben poder intercambiar información de enrutamiento. Para que esto suceda, debe configurar un IGP (como OSPF o IS-IS) o rutas estáticas en estos enrutadores. El IGP se configura en la instancia maestra del proceso de protocolo de enrutamiento en el [edit protocols]
nivel jerárquico, no dentro de la instancia de enrutamiento utilizada para la VPN, es decir, no en el nivel de [edit routing-instances]
jerarquía.
Cuando configure el enrutador de PE, no configure ningún resumen de las direcciones de circuito cerrado del enrutador de PE en el límite de área. La dirección de circuito cerrado de cada enrutador PE debe aparecer como una ruta separada.
Configuración de sesiones de IBGP entre enrutadores PE en VPN
Debe configurar una sesión de IBGP entre los enrutadores de PE para permitir que los enrutadores de PE intercambien información sobre las rutas que se originan y terminan en la VPN. Los enrutadores PE se basan en esta información para determinar qué etiquetas usar para el tráfico destinado a sitios remotos.
Configure una sesión de IBGP para la VPN de la siguiente manera:
[edit protocols] bgp { group group-name { type internal; local-address ip-address; family evpn { signaling; } family (inet-vpn | inet6-vpn) { unicast; } family l2vpn { signaling; } neighbor ip-address; } }
La dirección IP de la local-address
instrucción es la dirección de la interfaz de circuito cerrado en el enrutador PE local. La sesión de IBGP para la VPN se ejecuta a través de la dirección de circuito cerrado. (También debe configurar la interfaz de circuito cerrado en el nivel de [edit interfaces]
jerarquía).
La dirección IP de la neighbor
instrucción es la dirección de circuito cerrado del enrutador PE vecino. Si utiliza la señalización RSVP, esta dirección IP es la misma dirección que especificó en la to
instrucción en el nivel de [edit mpls label-switched-path lsp-path-name]
jerarquía al configurar el LSP de MPLS.
La family
instrucción le permite configurar la sesión de IBGP para VPN de capa 2, VPLS, EVPN o para VPN de capa 3.
Para configurar una sesión de IBGP para VPN de capa 2 y VPLS, incluya la
signaling
instrucción en el nivel de[edit protocols bgp group group-name family l2vpn]
jerarquía:[edit protocols bgp group group-name family l2vpn] signaling;
Para configurar una sesión de IBGP para EVPN, incluya la
signaling
instrucción en el nivel de[edit protocols bgp group group-name family evpn]
jerarquía:[edit protocols bgp group group-name family evpn] signaling;
Para configurar una sesión de IBGP IPv4 para VPN de capa 3, configure la
unicast
instrucción en el nivel de[edit protocols bgp group group-name family inet-vpn]
jerarquía:[edit protocols bgp group group-name family inet-vpn] unicast;
Para configurar una sesión de IBGP IPv6 para VPN de capa 3, configure la
unicast
instrucción en el nivel de[edit protocols bgp group group-name family inet6-vpn]
jerarquía:[edit protocols bgp group group-name family inet6-vpn] unicast;
Puede configurar ambos family inet
y family inet-vpn
/o ambos family inet6
y family inet6-vpn
dentro del mismo grupo del mismo par. Esto le permite habilitar la compatibilidad con rutas VPN IPv4 e IPv4 o rutas VPN IPv6 e IPv6 dentro del mismo grupo par.
Configuración de etiquetas agregadas para VPN
Las etiquetas agregadas para VPN permiten que una plataforma de enrutamiento de Juniper Networks agregue un conjunto de etiquetas entrantes (etiquetas recibidas de un enrutador par) en una única etiqueta de reenvío seleccionada del conjunto de etiquetas entrantes. La etiqueta de reenvío simple corresponde a un único salto siguiente para ese conjunto de etiquetas. La agregación de etiquetas reduce el número de etiquetas VPN que el enrutador debe examinar.
Para que un conjunto de etiquetas comparta una etiqueta de reenvío agregada, deben pertenecer a la misma clase de equivalencia de reenvío (FEC). Los paquetes etiquetados deben tener la misma interfaz de salida de destino.
Incluir la community
community-name
instrucción con la aggregate-label
instrucción permite especificar prefijos con una comunidad de origen común. Establecidos por política en el PE par, estos prefijos representan un FEC en el enrutador de PE par.
Si la comunidad de destino se establece por error en lugar de la comunidad de origen, pueden producirse problemas de reenvío en el PE de salida. Todos los prefijos del PE par aparecerán en la misma FEC, lo que dará como resultado una única etiqueta interna para todos los enrutadores CE detrás de un PE dado en la misma VPN.
Para trabajar con reflectores de ruta en redes VPN de capa 3, el enrutador M10i de Juniper Networks agrega un conjunto de etiquetas entrantes solo cuando las rutas:
Se reciben del mismo enrutador par
Tener el mismo sitio de la comunidad de origen
Tener el mismo próximo salto
El requisito del siguiente salto es importante porque los reflectores de ruta reenvían rutas originadas desde diferentes pares de BGP a otro par BGP sin cambiar el siguiente salto de esas rutas.
Para configurar etiquetas de agregado para VPN, incluya la instrucción aggregate-label :
aggregate-label { community community-name; }
Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea el resumen de instrucción de esta instrucción.
Para obtener información acerca de cómo configurar una comunidad, consulte Descripción de comunidades BGP, comunidades extendidas y comunidades grandes como condiciones de coincidencia de directivas de enrutamiento.
Configuración de un protocolo de señalización y LSP para VPN
Para que las VPN funcionen, debe habilitar un protocolo de señalización, ya sea el LDP o RSVP en los enrutadores perimetrales del proveedor (PE) y en los enrutadores del proveedor (P). También debe configurar rutas de conmutación de etiquetas (LSP) entre los enrutadores de entrada y salida. En una configuración típica de VPN, debe configurar los LSP de cada enrutador PE a todos los demás enrutadores PE que participan en la VPN en una malla completa.
Al igual que con cualquier configuración que implique MPLS, no puede configurar ninguna de las interfaces orientadas al núcleo en los enrutadores PE mediante PIC de Fast Ethernet densas.
Para habilitar un protocolo de señalización, realice los pasos de una de las secciones siguientes:
Uso de LDP para la señalización VPN
Para utilizar LDP para la señalización VPN, realice los pasos siguientes en los enrutadores de PE y de proveedor (P):
Configure LDP en las interfaces del núcleo de la red del proveedor de servicios incluyendo la
ldp
instrucción en el[edit protocols]
nivel jerárquico.Debe configurar LDP solo en las interfaces entre enrutadores PE o entre enrutadores PE y P. Puede pensar en estas como las interfaces "orientadas al núcleo". No es necesario configurar LDP en la interfaz entre el PE y los enrutadores perimetrales del cliente (CE).
[edit] protocols { ldp { interface type-fpc/pic/port; } }
Configure la familia de direcciones MPLS en las interfaces en las que habilitó LDP (las interfaces que configuró en el paso 1) incluyendo la
family mpls
instrucción en el nivel de[edit interfaces type-fpc/pic/port unit logical-unit-number]
jerarquía.[edit] interfaces { type-fpc/pic/port { unit logical-unit-number { family mpls; } } }
Configure OSPF o IS-IS en cada enrutador PE y P.
Estos protocolos se configuran en la instancia maestra del protocolo de enrutamiento, no dentro de la instancia de enrutamiento utilizada para la VPN.
Para configurar OSPF, incluya la
ospf
instrucción en el nivel jerárquico[edit protocols]
. Como mínimo, debe configurar un área troncal en al menos una de las interfaces del enrutador.[edit] protocols { ospf { area 0.0.0.0 { interface type-fpc/pic/port; } } }
Para configurar IS-IS, incluya la
isis
instrucción en el nivel de[edit protocols]
jerarquía y configure la interfaz de circuito cerrado y la familia de la Organización Internacional de Normalización (ISO) en el nivel de[edit interfaces]
jerarquía. Como mínimo, debe habilitar IS-IS en el enrutador, configurar un título de entidad de red (NET) en una de las interfaces del enrutador (preferiblemente la interfaz de circuito cerrado, lo0) y configurar la familia ISO en todas las interfaces en las que desee que se ejecute IS-IS. Cuando se habilita IS-IS, el nivel 1 y el nivel 2 se habilitan de forma predeterminada. La siguiente es la configuración mínima de IS-IS. En laaddress
instrucción,address
está la NET.[edit] interfaces { lo0 { unit logical-unit-number { family iso { address address; } } } type-fpc/pic/port { unit logical-unit-number { family iso; } } } protocols { isis { interface all; } }
Uso de RSVP para la señalización VPN
Para usar RSVP para la señalización VPN, realice los pasos siguientes:
En cada enrutador PE, configure la ingeniería de tráfico.
Para ello, debe configurar un protocolo de puerta de enlace interior (IGP) que admita la ingeniería de tráfico (ya sea IS-IS u OSPF) y habilitar la compatibilidad de ingeniería de tráfico para ese protocolo.
Para habilitar la compatibilidad con ingeniería de tráfico de OSPF, incluya la
traffic-engineering
instrucción en el nivel jerárquico[edit protocols ospf]
:[edit protocols ospf] traffic-engineering { shortcuts; }
Para IS-IS, la compatibilidad con ingeniería de tráfico está habilitada de forma predeterminada.
En cada enrutador PE y P, habilite RSVP en las interfaces que participan en la ruta de conmutación de etiquetas (LSP).
En el enrutador PE, estas interfaces son los puntos de entrada y salida al LSP. En el enrutador P, estas interfaces conectan el LSP entre los enrutadores PE. No habilite RSVP en la interfaz entre el PE y los enrutadores CE, ya que esta interfaz no forma parte del LSP.
Para configurar RSVP en los enrutadores PE y P, incluya la
interface
instrucción en el nivel de[edit protocols rsvp]
jerarquía. Incluya unainterface
instrucción para cada interfaz en la que esté habilitando RSVP.[edit protocols] rsvp { interface interface-name; interface interface-name; }
En cada enrutador PE, configure un LSP MPLS en el enrutador PE que es el punto de salida del LSP.
Para ello, incluya las
interface
instrucciones ylabel-switched-path
en el nivel jerárquico[edit protocols mpls]
:[edit protocols] mpls { interface interface-name; label-switched-path path-name { to ip-address; } }
En la
to
instrucción, especifique la dirección del punto de salida del LSP, que es una dirección en el enrutador de PE remoto.En la
interface
instrucción, especifique el nombre de la interfaz (tanto la parte física como la lógica). Incluya unainterface
instrucción para la interfaz asociada con el LSP.Cuando configure la parte lógica de la misma interfaz en el
[edit interfaces]
nivel de jerarquía, también debe configurar lasfamily inet
instrucciones yfamily mpls
:[edit interfaces] interface-name { unit logical-unit-number { family inet; family mpls; } }
En todos los enrutadores P que participen en el LSP, habilite MPLS incluyendo la
interface
instrucción en el nivel jerárquico[edit mpls]
.Incluya una
interface
instrucción para cada conexión al LSP.[edit] mpls { interface interface-name; interface interface-name; }
Active MPLS en la interfaz entre los enrutadores PE y CE incluyendo la
interface
instrucción en el nivel de[edit mpls]
jerarquía.Hacer esto permite al enrutador PE asignar una etiqueta MPLS al tráfico que entra en el LSP o quitar la etiqueta del tráfico que sale del LSP.
[edit] mpls { interface interface-name; }
Para obtener información acerca de la configuración de MPLS, consulte Configuración del enrutador de entrada para LSP con señal MPLS.
Ver también
Configuración de directivas para la tabla VRF en enrutadores PE en VPN
En cada enrutador PE, debe definir políticas que definan cómo se importan y exportan las rutas desde la tabla VRF del enrutador. En estas directivas, debe definir el destino de la ruta y, opcionalmente, puede definir el origen de la ruta.
Para configurar la directiva para las tablas VRF, realice los pasos descritos en las secciones siguientes:
- Configuración del destino de ruta
- Configuración del origen de la ruta
- Configuración de una directiva de importación para la tabla VRF del enrutador PE
- Configuración de una política de exportación para la tabla VRF del enrutador PE
- Aplicación de las directivas de exportación de VRF y BGP
- Configuración de un destino VRF
Configuración del destino de ruta
Como parte de la configuración de directivas para la tabla de enrutamiento VPN, debe definir un destino de ruta, que define de qué VPN forma parte la ruta. Cuando configure diferentes tipos de servicios VPN (VPN de capa 2, VPN de capa 3, EVPN o VPLS) en el mismo enrutador PE, asegúrese de asignar valores de destino de ruta únicos para evitar la posibilidad de agregar información de ruta y señalización a la tabla de enrutamiento VPN incorrecta.
Para configurar el destino de ruta, incluya la target
opción en la community
instrucción:
community name members target:community-id;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
es el nombre de la comunidad.
community-id
es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:
as-number
:number
, dondeas-number
es un número de AS (un valor de 2 bytes) ynumber
es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).ip-address
:number
, dondeip-address
es una dirección IPv4 (un valor de 4 bytes) ynumber
es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en larouter-id
instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.
Configuración del origen de la ruta
En las políticas de importación y exportación de la tabla VRF del enrutador de PE, puede asignar opcionalmente el origen de la ruta (también conocido como sitio de origen) para las rutas VRF de un enrutador de PE mediante una política de exportación de VRF aplicada a las actualizaciones de ruta IPv4 de VPN de BGP externo multiprotocolo (MP-EBGP) enviadas a otros enrutadores PE.
La coincidencia en el atributo de origen de ruta asignado en la política de importación de VRF de un PE receptor ayuda a garantizar que las rutas VPN-IPv4 aprendidas a través de las actualizaciones de MP-EBGP de un PE no se vuelvan a importar al mismo sitio VPN desde un PE diferente conectado al mismo sitio.
Para configurar un origen de ruta, siga estos pasos:
Incluya la
community
instrucción con laorigin
opción:community name members origin:community-id;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
name
es el nombre de la comunidad.community-id
es el identificador de la comunidad. Especifíquelo en uno de los siguientes formatos:as-number
:number
, dondeas-number
es un número de AS (un valor de 2 bytes) ynumber
es un valor de comunidad de 4 bytes. El número de AS puede estar en el rango de 1 a 65,535. Le recomendamos que utilice un número de AS no privado asignado por la IANA, preferiblemente el número de AS propio del ISP o del cliente. El valor de comunidad puede ser un número en el rango de 0 a 4,294,967,295 (232 – 1).ip-address
:number
, dondeip-address
es una dirección IPv4 (un valor de 4 bytes) ynumber
es un valor de comunidad de 2 bytes. La dirección IP puede ser cualquier dirección de unidifusión única globalmente. Se recomienda usar la dirección que configure en larouter-id
instrucción, que es una dirección no privada en el intervalo de prefijos asignado. El valor de comunidad puede ser un número en el rango de 1 a 65,535.
Incluya la comunidad en la política de importación para la tabla VRF del enrutador PE configurando la
community
instrucción con el identificador definido en elcommunity-id
paso 1 en el nivel de[edit policy-options policy-statement import-policy-name term import-term-name from]
jerarquía. Consulte Configuración de una política de importación para la tabla VRF del enrutador PE.Si la cláusula de
from
la política no especifica una condición de comunidad, no se puede confirmar la instrucción en lavrf-import
que se aplica la directiva. La operación de confirmación de Junos OS no pasa la comprobación de validación.Incluya la comunidad en la política de exportación para la tabla VRF del enrutador PE configurando la
community
instrucción con el identificador definido en elcommunity-id
paso 1 en el nivel de[edit policy-options policy-statement export-policy-name term export-term-name then]
jerarquía. Consulte Configuración de una política de exportación para la tabla VRF del enrutador PE.
Consulte Configuración del origen de ruta para VPN para ver un ejemplo de configuración.
Configuración de una directiva de importación para la tabla VRF del enrutador PE
Cada VPN puede tener una política que defina cómo se importan las rutas a la tabla VRF del enrutador PE. Se aplica una política de importación a las rutas recibidas de otros enrutadores PE en la VPN. Una política debe evaluar todas las rutas recibidas a través de la sesión de IBGP con el enrutador PE par. Si las rutas coinciden con las condiciones, la ruta se instala en la tabla VRF del routing-instance-name.inet.0
enrutador PE. Una política de importación debe contener un segundo término que rechace todas las demás rutas.
A menos que una política de importación contenga solo una then reject
instrucción, debe incluir una referencia a una comunidad. De lo contrario, cuando intente confirmar la configuración, se producirá un error en la confirmación. Puede configurar varias políticas de importación.
Una política de importación determina qué importar a una tabla VRF especificada en función de las rutas VPN aprendidas de los enrutadores PE remotos a través del IBGP. La sesión de IBGP se configura en el nivel jerárquico [edit protocols bgp]
. Si también configura una directiva de importación en el nivel de [edit protocols bgp]
jerarquía, las directivas de importación en el nivel de [edit policy-options]
jerarquía y el [edit protocols bgp]
nivel de jerarquía se combinan mediante una operación lógica AND. Esto le permite filtrar el tráfico como grupo.
Para configurar una directiva de importación para la tabla VRF del enrutador PE, siga estos pasos:
Para definir una política de importación, incluya la
policy-statement
instrucción. Para todos los enrutadores PE, una política de importación siempre debe incluir lapolicy-statement
instrucción, como mínimo:policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }
Puede incluir la
policy-statement
instrucción en los siguientes niveles jerárquicos:[edit policy-options]
[edit logical-systems logical-system-name policy-options]
La
import-policy-name
política evalúa todas las rutas recibidas a través de la sesión de IBGP con el otro enrutador PE. Si las rutas coinciden con las condiciones de lafrom
instrucción, la ruta se instala en la tabla VRF .inet.0 del routing-instance-nameenrutador PE. El segundo término en la política rechaza todas las demás rutas.Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Opcionalmente, puede utilizar una expresión regular para definir un conjunto de comunidades que se utilizarán para la directiva de importación de VRF.
Por ejemplo, puede configurar lo siguiente mediante la
community
instrucción en el nivel de[edit policy-options policy-statement policy-statement-name]
jerarquía:[edit policy-options vrf-import-policy-sample] community high-priority members *:50
Tenga en cuenta que no puede configurar una expresión regular como parte de una comunidad extendida de destino de ruta. Para obtener más información acerca de cómo configurar expresiones regulares para comunidades, vea Cómo se evalúan las comunidades BGP y las comunidades extendidas en condiciones de coincidencia de directivas de enrutamiento.
Para configurar una directiva de importación, incluya la
vrf-import
instrucción:vrf-import import-policy-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de una política de exportación para la tabla VRF del enrutador PE
Cada VPN puede tener una política que defina cómo se exportan las rutas desde la tabla VRF del enrutador PE. Se aplica una política de exportación a las rutas enviadas a otros enrutadores PE en la VPN. Una política de exportación debe evaluar todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o Protocolo de información de enrutamiento [RIP], o rutas estáticas). Si las rutas coinciden con las condiciones, se les agrega el destino de la comunidad especificado (que es el destino de la ruta) y se exportan a los enrutadores de PE remotos. Una política de exportación debe contener un segundo término que rechace todas las demás rutas.
Las directivas de exportación definidas en la instancia de enrutamiento VPN son las únicas directivas de exportación que se aplican a la tabla VRF. Cualquier política de exportación que defina en la sesión de IBGP entre los enrutadores PE no tiene ningún efecto en la tabla VRF. Puede configurar varias directivas de exportación.
Para configurar una directiva de exportación para la tabla VRF del enrutador PE, siga estos pasos:
Para todos los enrutadores PE, una política de exportación debe distribuir las rutas VPN hacia y desde los enrutadores CE conectados de acuerdo con el tipo de protocolo de enrutamiento que configure entre los enrutadores CE y PE dentro de la instancia de enrutamiento.
Para definir una política de exportación, incluya la
policy-statement
instrucción. Una política de exportación siempre debe incluir lapolicy-statement
declaración, como mínimo:policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }
Nota:La configuración de la instrucción es un requisito para las directivas de
community add
exportación de VRF de VPN de capa 2. Si cambia lacommunity add
instrucción a lacommunity set
instrucción, el enrutador en la salida del vínculo VPN de capa 2 podría interrumpir la conexión.Nota:Al configurar VPN de multidifusión de borrador rosado que funcionan en modo específico del origen y al usar la
vrf-export
instrucción para especificar la directiva de exportación, esta directiva debe tener un término que acepte rutas de la tabla de enrutamiento vrf-name.mdt.0. Este término garantiza la detección automática de PE adecuada mediante la familia deinet-mdt
direcciones.Al configurar VPN de multidifusión draft-rosen que funcionan en modo específico del origen y utilizan la
vrf-target
instrucción, la directiva de exportación de VRF se genera automáticamente y acepta automáticamente rutas de la tabla de enrutamiento vrf-name.mdt.0.Puede incluir la
policy-statement
instrucción en los siguientes niveles jerárquicos:[edit policy-options]
[edit logical-systems logical-system-name policy-options]
La
export-policy-name
política evalúa todas las rutas recibidas a través de la sesión de protocolo de enrutamiento con el enrutador CE. (Esta sesión puede utilizar los protocolos de enrutamiento BGP, OSPF o RIP, o rutas estáticas). Si las rutas coinciden con las condiciones de lafrom
instrucción, se les agrega el destino de comunidad especificado en lathen community add
instrucción y se exportan a los enrutadores de PE remotos. El segundo término en la política rechaza todas las demás rutas.Para obtener más información acerca de la creación de directivas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Para aplicar la directiva, incluya la
vrf-export
instrucción:vrf-export export-policy-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Aplicación de las directivas de exportación de VRF y BGP
Cuando se aplica una política de exportación de VRF como se describe en Configuración de una política de exportación para la tabla VRF del enrutador de PE, las rutas desde instancias de enrutamiento VPN se anuncian a otros enrutadores de PE según esta política, mientras que la política de exportación de BGP se ignora.
Si incluye la vpn-apply-export
instrucción en la configuración de BGP, se aplican las directivas de exportación VRF y de grupo BGP o exportación de vecinos (VRF primero, luego BGP) antes de anunciar rutas en las tablas de enrutamiento VPN a otros enrutadores PE.
Cuando un dispositivo PE también actúa como reflector de ruta (RR) o enrutador de límite de sistema autónomo (ASBR) en una VPN de operador a operador o interAS, se omite la manipulación del salto siguiente en la política vrf-export.
Cuando incluya la vpn-apply-export
instrucción, tenga en cuenta lo siguiente:
Las rutas importadas en la tabla de enrutamiento bgp.l3vpn.0 conservan los atributos de las rutas originales (por ejemplo, una ruta OSPF sigue siendo una ruta OSPF incluso cuando está almacenada en la tabla de enrutamiento bgp.l3vpn.0). Debe tener esto en cuenta cuando configure una política de exportación para conexiones entre un enrutador de PE de IBGP y un enrutador de PE, un reflector de ruta y un enrutador de PE, o enrutadores del mismo nivel de enrutador de límite de AS (ASBR).
De forma predeterminada, todas las rutas de la tabla de enrutamiento bgp.l3vpn.0 se exportan a los pares del IBGP. Si la última instrucción de la política de exportación es denegar todo y si la política de exportación no coincide específicamente en las rutas de la tabla de enrutamiento bgp.l3vpn.0, no se exportará ninguna ruta.
Para aplicar las directivas de exportación de VRF y BGP a rutas VPN, incluya la vpn-apply-export
instrucción:
vpn-apply-export;
Para obtener una lista de los niveles jerárquicos en los que puede incluir esta instrucción, vea la sección de resumen de instrucción de esta instrucción.
Configuración de un destino VRF
Incluir la vrf-target
instrucción en la configuración de una comunidad de destino de VRF hace que se generen políticas predeterminadas de importación y exportación de VRF que acepten y etiqueten rutas con la comunidad de destino especificada. Aún puede crear políticas más complejas configurando explícitamente las políticas de importación y exportación de VRF. Estas directivas invalidan las directivas predeterminadas generadas al configurar la vrf-target
instrucción.
Si no configura las import
opciones y export
de la vrf-target
instrucción, la cadena de comunidad especificada se aplicará en ambas direcciones. Las import
palabras clave y export
le dan más flexibilidad, lo que le permite especificar una comunidad diferente para cada dirección.
La sintaxis de la comunidad de destino de VRF no es un nombre. Debe especificarlo en el formato target:x:y
. No se puede especificar un nombre de comunidad porque esto también requeriría que configure los miembros de la comunidad para esa comunidad mediante la policy-options
instrucción. Si define las instrucciones, puede configurar las políticas de policy-options
importación y exportación de VRF como de costumbre. El propósito de la vrf-target
instrucción es simplificar la configuración permitiéndole configurar la mayoría de las instrucciones en el [edit routing-instances]
nivel jerárquico.
Para configurar un destino VRF, incluya la vrf-target
instrucción:
vrf-target community;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
A continuación se muestra un ejemplo de cómo puede configurar la vrf-target
instrucción:
[edit routing-instances sample] vrf-target target:69:102;
Para configurar la vrf-target
instrucción con las export
opciones y import
, incluya las instrucciones siguientes:
vrf-target { export community-name; import community-name; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración del origen de ruta para VPN
Puede usar el origen de la ruta para evitar que las rutas aprendidas de un enrutador perimetral del cliente (CE) marcado con la comunidad de origen se anuncien desde otro enrutador CE en el mismo AS.
En el ejemplo, el origen de la ruta se utiliza para evitar que las rutas aprendidas del enrutador A de CE marcadas con la comunidad de origen se anuncien de nuevo al enrutador E de CE por AS 200. La topología de ejemplo se muestra en la figura 1.

En esta topología, el enrutador CE A y el enrutador CE E están en el mismo AS (AS200). Utilizan EBGP para intercambiar rutas con sus respectivos enrutadores de borde de proveedor (PE), el enrutador de PE B y el enrutador de PE D. Los dos enrutadores CE tienen una conexión posterior.
En las secciones siguientes se describe cómo configurar el origen de la ruta para un grupo de VPN:
- Configuración del sitio de la comunidad de origen en el enrutador CE A
- Configuración de la comunidad en el enrutador CE A
- Aplicación de la declaración de directiva en el enrutador CE A
- Configuración de la directiva en el enrutador PE D
- Configuración de la comunidad en el enrutador PE D
- Aplicación de la directiva en el enrutador de PE D
Configuración del sitio de la comunidad de origen en el enrutador CE A
En la siguiente sección se describe cómo configurar el enrutador A de CE para anunciar rutas con una comunidad de sitio de origen al enrutador B de PE para este ejemplo.
En este ejemplo, las rutas directas están configuradas para anunciarse, pero se puede configurar cualquier ruta.
Configure una política para anunciar rutas con my-soo
comunidad en el enrutador A de CE de la siguiente manera:
[edit] policy-options { policy-statement export-to-my-isp { term a { from { protocol direct; } then { community add my-soo; accept; } } } }
Configuración de la comunidad en el enrutador CE A
Configure la comunidad en el my-soo
enrutador A de CE de la siguiente manera:
[edit] policy-options { community my-soo { members origin:100:1; } }
Aplicación de la declaración de directiva en el enrutador CE A
Aplique la declaración de política de exportar a mi ISP como una política de exportación al emparejamiento EBGP en el enrutador CE A de la siguiente manera:
[edit] protocols { bgp { group my_isp { export export-to-my-isp; } } }
Cuando ejecute el show route receive-protocol bgp detail
comando, debería ver las siguientes rutas originadas desde el enrutador B de PE con my-soo
comunidad:
user@host> show route receive-protocol bgp 10.12.99.2 detail inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden) inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden) * 10.12.33.0/30 (2 entries, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 10.12.99.0/30 (2 entries, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 * 10.255.71.177/32 (1 entry, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 * 192.168.64.0/21 (1 entry, 1 announced) Nexthop: 10.12.99.2 AS path: 100 I Communities: origin:100:1 iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) __juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
Configuración de la directiva en el enrutador PE D
Configure una política en el enrutador de PE D que impida que las rutas con my-soo
comunidad etiquetada por el enrutador A de CE se anuncien al enrutador CE E de la siguiente manera:
[edit] policy-options { policy-statement soo-ce1-policy { term a { from { community my-soo; then { reject; } } } } }
Configuración de la comunidad en el enrutador PE D
Configure la comunidad en el enrutador PE D de la siguiente manera:
[edit] policy-options { community my-soo { members origin:100:1; } }
Aplicación de la directiva en el enrutador de PE D
Para evitar que las rutas aprendidas del enrutador A de CE se anuncien al enrutador E de CE (los dos enrutadores pueden comunicar estas rutas directamente), aplique la soo-ce1-policy
instrucción de política como una política de exportación a la sesión vpn_blue
EBGP del enrutador PE D y del enrutador CE E.
Vea la sesión de EBGP en el enrutador PE D usando el show routing-instances
comando.
user@host# show routing-instances vpn_blue { instance-type vrf; interface fe-2/0/0.0; vrf-target target:100:200; protocols { bgp { group ce2 { advertise-peer-as; peer-as 100; neighbor 10.12.99.6; } } } }
Aplique la declaración de soo-ce1-policy
política como una política de exportación a la sesión vpn_blue
EBGP del enrutador PE D y del enrutador CE E de la siguiente manera:
[edit routing-instances] vpn_blue { protocols { bgp { group ce2{ export soo-ce1-policy; } } } }