Limitar las rutas VPN mediante la resolución de rutas
En este tema se describe la limitación de las rutas VPN mediante la configuración de la resolución de ruta en enrutadores PE y reflectores de ruta, y mediante la configuración del enrutador PE para aceptar un número limitado de prefijos de un enrutador CE.
Ejemplo: configuración de la resolución de ruta en enrutadores PE
En este ejemplo se muestra cómo configurar una tabla de enrutamiento para aceptar rutas de tablas de enrutamiento específicas. También muestra cómo configurar una tabla de enrutamiento para usar directivas de importación específicas para producir una tabla de resolución de rutas para resolver rutas.
Requisitos
Antes de comenzar, configure una VPN de capa 3, como se muestra en uno de los siguientes ejemplos:
Visión general
Un método para lograr el escalado de rutas IPv4 es modificar la forma en que se agregan las rutas BGP a las tablas de reenvío. De forma predeterminada, el proceso de protocolo de enrutamiento (rpd) agrega todas las rutas de inet.0 e inet.3 al árbol de resolución. Normalmente, esto incluye las rutas BGP IPv4 resueltas, que pueden aumentar el consumo de memoria. Para lograr un mejor escalado de las rutas IPv4, en este ejemplo se muestra cómo configurar Junos OS para que las rutas BGP resueltas no se agreguen al árbol de resolución. Esto se consigue aplicando una política de importación en la tabla de resolución de rutas, lo que garantiza que no acepta ninguna ruta BGP de inet.0.
Aplicaría esta configuración a todos los enrutadores perimetrales del proveedor (PE) en la VPN de capa 3.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
Enrutador PE
set policy-options policy-statement protocol-bgp from protocol bgp set policy-options policy-statement protocol-bgp then reject set routing-options resolution rib inet.0 import protocol-bgp
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar la resolución de ruta:
Configure la directiva de enrutamiento.
[edit policy-options policy-statement protocol-bgp] user@PE# set from protocol bgp user@PE# set then reject
Aplique la directiva de enrutamiento.
[edit routing-options resolution] user@PE# set rib inet.0 import protocol-bgp
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@PE# commit
Resultados
Confirme la configuración emitiendo los show policy-options comandos y show routing-options .
user@PE# show policy-options
policy-statement protocol-bgp {
from protocol bgp;
then reject;
}
user@PE# show routing-options
resolution {
rib inet.0 {
import protocol-bgp;
}
}
Verificación
Confirme que la configuración funciona correctamente ejecutando los siguientes comandos:
Ejemplo: configuración de la resolución de ruta en reflectores de ruta
En este ejemplo se muestra cómo cambiar el comportamiento de resolución predeterminado en un reflector de ruta (RR) para usar inet.0 para la resolución del salto siguiente en lugar de inet.3.
Requisitos
Antes de comenzar, configure una VPN de capa 3, como se muestra en uno de los siguientes ejemplos:
Visión general
Un escenario para la resolución de rutas es cuando tiene una ruta de conmutación de etiquetas configurada desde un RR a un enrutador perimetral de proveedor (PE), o cuando los enrutadores PE solo se emparejan con el RR. Esto puede hacer que las rutas se oculten. Para resolver este problema, puede cambiar el comportamiento de resolución predeterminado para utilizar inet.0 para la resolución del salto siguiente.
De forma predeterminada, la tabla de enrutamiento bgp.l3vpn.0 almacena todas las rutas de unidifusión VPN-IPv4. Esta tabla está presente en cualquier enrutador que tenga configuradas VPN de capa 3, incluidos los enrutadores PE y los RR.
Cuando un enrutador VPN de capa 3 recibe una ruta de otro enrutador VPN de capa 3, coloca la ruta en su tabla de enrutamiento bgp.l3vpn.0. La ruta se resuelve con la información de la tabla de enrutamiento inet.3. Esto significa que cuando BGP recibe una ruta destinada a la tabla bgp.l3vpn.0, el protocolo nexthop (BGP recibido nexthop) tiene su nexthop de reenvío determinado recursivamente a partir de la tabla inet.3. La ruta resultante se convierte al formato IPv4 y se redistribuye a todas las routing-instance-nametablas de enrutamiento .inet.0 si coincide con la directiva de importación de VRF.
En un RR sin enrutadores perimetrales de cliente (CE) adjuntos, la configuración hace que las resolution rib bgp.l3vpn.0 resolution-ribs inet.0 rutas en bgp.l3vpn.0 usen la información de inet.0 en lugar de inet.3 para resolver rutas. No debe utilizar esta configuración en un enrutador que esté conectado directamente a un enrutador CE. En otras palabras, no lo use resolution rib bgp.l3vpn.0 resolution-ribs inet.0 en un enrutador PE.
Si desea que se utilicen tanto inet.0 como inet.3, debe configurar ambos, como en set resolution rib bgp.l3vpn.0 resolution-ribs [inet.0 inet.3].
En este ejemplo, la política POLICY-limit-resolve-routes limita la resolución de ruta solo a las rutas aprendidas a través de IS-IS. Si omite la directiva de importación, todas las rutas de inet.0 se evalúan y se pueden utilizar para resolver el próximo salto del protocolo. Si no desea resolver todas las entradas, utilice una directiva para filtrar un subconjunto de las rutas de las tablas que se utilizan para la resolución de rutas.
Un ejemplo común es cuando se resuelve con todas las rutas en inet.0, excepto la ruta predeterminada (0/0).
Aunque la import instrucción se utiliza en esta configuración, no se importa ni copia ninguna ruta. Más bien, la import policy-name configuración limita el conjunto de rutas posibles que se pueden considerar para la resolución de rutas.
La resolution rib bgp.l3vpn.0 resolution-ribs inet.0 configuración es útil cuando un BGP RR no está en la ruta de reenvío. En otras palabras, no hay LSP de entrada en el RR. Considere el caso en el que RSVP es el protocolo de señalización de etiquetas y RSVP está configurado con malla completa en los enrutadores de borde. El RR debe ser capaz de reflejar las rutas. Para ello, se espera que BGP realice una comprobación de resolubilidad de ruta. Si se recibe una ruta VPN de capa 3 pero el siguiente salto no está en la tabla inet.3, la ruta no se puede resolver. Dado que el enrutador no está en la ruta de reenvío, una solución eficaz es utilizar la información de inet.0. La información métrica de inet.0 es útil para elegir la mejor ruta, aunque no se puede utilizar para el reenvío.
Un enfoque alternativo es asegurarse de que los LSP se aprovisionen al RR. Esto sucede automáticamente si configura LDP.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
Reflector de ruta
set routing-options resolution rib bgp.l3vpn.0 resolution-ribs inet.0 set routing-options resolution rib inet.0 import POLICY-limit-resolve-routes set policy-options policy-statement POLICY-limit-resolve-routes term isis from protocol isis set policy-options policy-statement POLICY-limit-resolve-routes term isis then accept set policy-options policy-statement POLICY-limit-resolve-routes then reject
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar la resolución de ruta:
Configure bgp.l3vpn.0 para usar la información de inet.0 en lugar de inet.3 para resolver rutas.
[edit routing-options resolution rib bgp.l3vpn.0] user@RR# set resolution-ribs inet.0
(Opcional) Configure la directiva de enrutamiento.
[edit policy-options policy-statement POLICY-limit-resolve-routes] user@RR# set term isis from protocol isis user@RR# set term isis then accept user@RR# set then reject
(Opcional) Aplique la directiva.
[edit routing-options resolution rib inet.0] user@RR# set import POLICY-limit-resolve-routes
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@RR# commit
Resultados
Confirme la configuración emitiendo los show policy-options comandos y show routing-options .
user@RR# show policy-options
policy-statement POLICY-limit-resolve-routes {
term isis {
from protocol isis;
then accept;
}
then reject;
}
user@RR# show routing-options
resolution {
rib bgp.l3vpn.0 {
resolution-ribs inet.0;
}
rib inet.0 {
import POLICY-limit-resolve-routes;
}
}
Verificación
Confirme que la configuración funciona correctamente ejecutando los siguientes comandos:
Limitación del número de rutas y prefijos aceptados desde enrutadores CE en VPN de capa 3
Puede configurar un límite máximo en el número de prefijos y rutas que se pueden instalar en las tablas de enrutamiento. Mediante los límites de prefijos y rutas, puede reducir el número de prefijos y rutas recibidas de un enrutador CE en una VPN. Los límites de prefijos y rutas de acceso solo se aplican a los protocolos de enrutamiento dinámico y no se aplican a las rutas estáticas o de interfaz.
Para limitar el número de rutas aceptadas por un enrutador PE desde un enrutador CE, incluya la maximum-paths instrucción:
maximum-paths path-limit <log-interval interval | log-only | threshold percentage>;
Para obtener una lista de los niveles de jerarquía en los que puede configurar esta instrucción, vea la sección resumen de instrucción de esta instrucción.
Especifique la opción de solo registro para generar solo mensajes de advertencia (un límite de advertencia). Especifique la opción de umbral para generar advertencias antes de que se alcance el límite. Especifique la opción de intervalo de registro para configurar el intervalo de tiempo mínimo entre los mensajes de registro.
Hay dos modos para los límites de ruta: consultivo y obligatorio. Un límite de advertencia activa advertencias. Un límite obligatorio rechaza rutas adicionales después de alcanzar el límite.
La aplicación de un límite de ruta puede dar lugar a un comportamiento impredecible del protocolo de enrutamiento dinámico. Por ejemplo, cuando se alcanza el límite y se rechazan rutas, BGP no puede volver a instalar las rutas rechazadas después de que el número de rutas vuelva a caer por debajo del límite. Es posible que sea necesario borrar las sesiones BGP.
Para limitar el número de prefijos aceptados por un enrutador PE desde un enrutador CE, incluya la maximum-prefixes instrucción:
maximum-prefixes prefix-limit <log-interval interval | log-only | threshold percentage>;
Para obtener una lista de los niveles de jerarquía en los que puede configurar esta instrucción, vea la sección resumen de instrucción de esta instrucción.
Hay dos modos para los límites de ruta: consultivo y obligatorio. Un límite de advertencia activa advertencias. Un límite obligatorio rechaza rutas adicionales después de alcanzar el límite.
La aplicación de un límite de ruta puede dar lugar a un comportamiento impredecible del protocolo de enrutamiento dinámico. Por ejemplo, cuando se alcanza el límite y se rechazan rutas, BGP no puede volver a instalar las rutas rechazadas después de que el número de rutas vuelva a caer por debajo del límite. Es posible que sea necesario borrar las sesiones BGP.
Una ruta obligatoria o límite de prefijo, además de activar un mensaje de advertencia, rechaza cualquier ruta o prefijo adicional una vez que se alcanza el límite.
Establecer un límite de ruta o prefijo puede dar como resultado un comportamiento impredecible del protocolo de enrutamiento dinámico.
También puede configurar las siguientes opciones tanto para las rutas maximum-prefixes máximas como para las instrucciones:
log-interval: especifica el intervalo al que se envían los mensajes de registro. Esta opción solo genera mensajes de advertencia (un límite de advertencia).
Especifique la opción de intervalo de registro para configurar el intervalo de tiempo mínimo entre los mensajes de registro.
solo registro: solo genera mensajes de advertencia. No se limita el número de rutas o prefijos almacenados en las tablas de enrutamiento.
threshold: genera mensajes de advertencia después de alcanzar el porcentaje especificado de las rutas o prefijos máximos.