Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Многопротокольные BGP

Понимание многопротокольной BGP

Многопротокольное BGP (MP-BGP) является расширением BGP, позволяющим BGP данные маршрутов для нескольких сетевых уровней и семейок адресов. Маршрутизаторы MP-BGP могут переносить одноадростные маршруты, используемые для многоафровой маршрутки отдельно от маршрутов, используемых для одноастной IP-forwarding.

Чтобы включить BGP MP-BGP, необходимо настроить BGP данные о доступности сетевого уровня (NLRI) для семей адресов, кроме одноандной IPv4, включив в нее family inet следующие сведения:

Чтобы позволить MP-BGP переносить NLRI для семейства адресов IPv6, включим в себя family inet6 утверждение:

Только на маршрутизаторах, чтобы включить MP-BGP для переноса NLRI виртуальной частной сети (VPN) 3-го уровня для семейства адресов IPv4, включите family inet-vpn утверждение:

Только на маршрутизаторах, чтобы включить MP-BGP для переноса NLRI 3-го уровня VPN для семейства адресов IPv6, включим в себя family inet6-vpn утверждение:

Только на маршрутизаторах, чтобы включить сигнализацию MP-BGP многоавестную VPN NLRI для семейства адресов IPv4 и включить сигнализацию VPN, включив в себя family inet-mvpn утверждение:

Чтобы позволить MP-BGP переносить многоандовые VPN NLRI для семейства адресов IPv6 и включать сигнализацию VPN, включим в себя family inet6-mvpn утверждение:

Дополнительные сведения о многопротокольной многопротокольной BGP многоавтомарной сети VPN см. в руководстве пользователя по Junos OS многокастных протоколов.

Список уровней иерархии, на которых можно включить эти утверждения, см. в разделах сводка утверждения для этих утверждениех.

Прим.:

Если изменить семейство адресов, указанное на уровне иерархии, то все текущие BGP на устройстве маршрутов будут отброшены, а затем повторно [edit protocols bgp family] установлены.

В Junos OS 9.6 и более поздних версиях можно указать значение петель для определенной BGP адресов.

По умолчанию BGP одноадростные маршруты, используемые для одноавтоматной forwarding. Для настройки BGP одноранговых узлах для переноса только многоастных маршрутов, закажите multicast этот параметр. Чтобы настроить два BGP, чтобы они переносят одно- и многоавегурные маршруты, укажите any этот параметр.

При настройке BGP MP-BGP маршруты MP-BGP в различные таблицы маршрутов. Каждая таблица маршрутов определяется по семейство протоколов или индикатору семейства адресов (AFI) и идентификатору последующего семейства адресов (SAFI).

В следующем списке показаны все возможные комбинации AFI и SAFI:

  • AFI=1, SAFI=1, однонастная трансляция IPv4

  • AFI=1, SAFI=2, многоавестная трансляция IPv4

  • AFI=1, SAFI=128, однонастная трансляция L3VPN IPv4

  • AFI=1, SAFI=129, многоавальный L3VPN IPv4

  • AFI=2, SAFI=1, однонастная трансляция IPv6

  • AFI=2, SAFI=2, многоавестная трансляция IPv6

  • AFI=25, SAFI=65, BGP-VPLS/BGP-L2VPN

  • AFI=2, SAFI=128, однонастная трансляция L3VPN IPv6

  • AFI=2, SAFI=129, многоандная трансляция L3VPN IPv6

  • AFI=1, SAFI=132, RT-Constrain

  • AFI=1, SAFI=133, Flow-spec

  • AFI=1, SAFI=134, Flow-spec

  • AFI=3, SAFI=128, CLNS VPN

  • AFI=1, SAFI=5, NG-MVPN IPv4

  • AFI=2, SAFI=5, NG-MVPN IPv6

  • AFI=1, SAFI=66, MDT-SAFI

  • AFI=1, SAFI=4, помеченный IPv4

  • AFI=2, SAFI=4, помеченный IPv6 (6PE)

Маршруты, установленные в таблице маршрутов inet.2, могут быть экспортироваться равноправным узлам MP-BGP, поскольку они используют SAFI, определяя их в качестве маршрутов для многоафровых источников. Маршруты, установленные в таблице маршрутизации inet.0, можно экспортировать только на стандартные BGP узлам.

Таблица маршрутов inet.2 должна явную подмножество маршрутов, которые имеются в inet.0, поскольку маловероятно, что будет иметься маршрут к многоадревму источнику, на который нельзя было бы отправить однонаправный трафик. В таблице маршрутов inet.2 хранится одноадростные маршруты, которые используются для проверки многоандной маршрутной переадности и дополнительные сведения о доступности, которые были BGP MP-BGP для многоадростных обновлений NLRI. Таблица маршрутов inet.2 автоматически создается при настройке MP-BGP (путем установки NLRI any в).

Если включить BGP MP-BGP, можно сделать следующее:

Ограничение числа префиксов, полученных в одноранговом BGP одноранговом сеансе

Можно ограничить количество префиксов, полученных в течение сеанса узел BGP и сообщений с ограничением скорости регистрации, когда число введенных префиксов превышает установленный предел. Можно также разорвать пиринг, когда число префиксов превышает предел.

Чтобы настроить ограничение числа префиксов, которые можно получить в течение BGP сеанса, включим в себя prefix-limit утверждение:

Список уровней иерархии, на которых можно включить это утверждение, см. в разделе Сводка утверждения для этого утверждения.

Для maximum number укажите значение в диапазоне от 1 до 4 294 967 295. При превышении указанного максимального количества префиксов отправляется сообщение системного журнала.

Если включить утверждение, сеанс будет разорвано при превышении максимального количества teardown префиксов. Если указать процентное соотношение, сообщения регистрируются, когда число префиксов превышает процент указанного максимального предела. После разрыва сеанса он будет повторно восстановиться через короткое время (если не ввести idle-timeout утверждение). При включив утверждение, сеанс может быть неавным на протяжении определенного времени idle-timeout или навсегда. Если forever указано, сеанс будет повторно восстановиться только после выдачи clear bgp neighbor команды. Если включить утверждение и указать процент, избыточные маршруты отброшены, когда число префиксов drop-excess <percentage> превышает процентное соотношение. Если включить утверждение и указать процент, избыточные маршруты будут скрыты, когда число префиксов hide-excess <percentage> превышает процентное соотношение. Если процентное соотношение изменено, маршруты переоценяются автоматически.

Прим.:

В Junos OS выпуска 9.2 и более поздних версий можно также настроить ограничение на количество префиксов, которые можно принять во время узел BGP сеанса. Дополнительные сведения Ограничение числа префиксов, принятых на одноранговом BGP одноранговом сеансе см. в .

Ограничение числа префиксов, принятых на одноранговом BGP одноранговом сеансе

В Junos OS версии 9.2 и более поздних можно ограничить количество префиксов, которые можно принять в течение узел BGP сеанса. После превышения указанного предела отправляется сообщение системного журнала. Можно также указать сброс BGP сеанса, если превышен предел количества указанных префиксов.

Чтобы настроить предел числа префиксов, которые можно принять на узел BGP сеансе, включим в себя accepted-prefix-limit утверждение:

Список уровней иерархии, на которых можно включить это утверждение, см. в разделе Сводка утверждения для этого утверждения.

Для maximum number укажите значение в диапазоне от 1 до 4 294 967 295.

Включит утверждение для узел BGP сеанса, когда число принятых префиксов teardown превышает настроенный предел. Можно также включить значение в процентах от 1 до 100, чтобы иметь сообщение системного журнала, когда число принятых префиксов превышает этот процент максимального предела. По умолчанию BGP сеанс, который был перезагружается, будет повторно восстановиться за короткое время. Включите утверждение, чтобы BGP сеанс не был повторно установлен в течение idle-timeout указанного периода времени. Можно настроить значение времени от 1 до 2400 минут. Включите параметр, BGP сеанс повторного сеанса, пока forever не будет выдана clear bgp neighbor команда. Если включить утверждение и указать процент, избыточные маршруты отброшены, когда число префиксов drop-excess <percentage> превышает процентное соотношение. Если включить утверждение и указать процент, избыточные маршруты будут скрыты, когда число префиксов hide-excess <percentage> превышает процентное соотношение. Если процентное соотношение изменено, маршруты переоценяются автоматически.

Прим.:

Если включена неполная активная маршрутная (NSR) и происходит переключение на резервную модуль маршрутизации происходит автоматическое перезапуск одноранговых BGP, отключающихся автоматически. Пуск одноранговых узла перезагружается, даже если idle-timeout forever конфигурирована заявка.

Прим.:

Кроме того, можно настроить ограничение на количество префиксов, которые можно получить противоположность принятым) в узел BGP сеансе. Дополнительные сведения Ограничение числа префиксов, полученных в одноранговом BGP одноранговом сеансе см. в .

Настройка BGP таблиц маршрутов

При приеме BGP или многоарендной NLRI маршрут устанавливается в соответствующую таблицу (или для одноарендной, или inet.0 для многоарендной). inet6.0inet.2inet6.2 Чтобы добавить однонастройные префиксы к одноафровому и многоафровому таблицам, можно настроить несколько BGP маршрутов. Это полезно, если не удается выполнить многоастеривную согласование NLRI.

Для настройки BGP таблиц маршрутов включаем rib-group утверждение:

Список уровней иерархии, на которых можно включить это утверждение, см. в разделе Сводка утверждения для этого утверждения.

Разрешение маршрутов к устройствам маршрутов PE, расположенным в других AS

Можно разрешить размещать помеченные маршруты в таблице маршрутов для inet.3 разрешения маршрута. Эти маршруты затем решаются для подключений устройства маршрутов на границе сети поставщика (PE), где удаленная PE расположена через другую автономную систему (AS). Чтобы устройство маршрутов PE устанавливалось в экземпляре маршрутов VPN-маршрутов и экземпляра переадранки (VRF), следующим переходом должен быть маршрут, хранимый в inet.3 таблице.

Чтобы разрешить маршруты в таблице inet.3 маршрутов, включим в себя resolve-vpn утверждение:

Список уровней иерархии, на которых можно включить это утверждение, см. в разделе Сводка утверждения для этого утверждения.

Разрешение маршрутов с маркировкой и без маркировки

Обмен маршрутами с маркировкой и без маркировки может быть допустим за один сеанс. Помеченные маршруты помещаются в таблицу маршрутов inet.3 или inet6.3, а однонаправные маршруты с маркировкой и без маркировки могут быть отправлены или получены устройством маршрутов.

Чтобы разрешить обмен как маркными, так и без маркировки маршрутов, включите в себя rib утверждение:

Список уровней иерархии, на которых можно включить это утверждение, см. в разделе Сводка утверждения для этого утверждения.

Примере: Настройка маршрутов IPv6 BGP по транспорту IPv4

В этом примере демонстрируется экспорт префиксов IPv6 и IPv4 через соединение IPv4, где обе стороны настроены с интерфейсом IPv4.

Требования

До настройки этого примера специальная настройка после инициализации устройства не требуется.

Обзор

При экспорте префиксов IPv6 BGP помните следующее:

  • BGP получает префиксы следующего перехода с помощью префикса IPv4, сооображенного с IPv6. Например, префикс следующего перехода IPv4 преобразуется в префикс следующего перехода 10.19.1.1 IPv6:ffff:10.19.1.1.

    Прим.:

    Должен быть активный маршрут к следующему переходу IPv4-mapped IPv6 для экспорта префиксов IPv6 BGP.

  • Соединение IPv6 необходимо настроить по ссылке. Подключение должно быть либо туннелем IPv6, либо конфигурацией с двумя стеками. В этом примере используется двойное стек.

  • При настройке префиксов IPv4-mapped IPv6 используйте маску длиной больше 96 бит.

  • Настройте статический маршрут, если необходимо использовать обычные префиксы IPv6. В данном примере используются статические маршруты.

Рис. 1 показывает примерную топологию.

Рис. 1: Топология для настройки маршрутов IPv6 BGP по транспорту IPv4Топология для настройки маршрутов IPv6 BGP по транспорту IPv4

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Устройство R1

Устройство R2

Устройство R3

Настройка устройства R1

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Настройка устройства R1:

  1. Настройте интерфейсы, включая адрес IPv4 и адрес IPv6.

  2. Настройка EBGP.

  3. В BGP однонастный и IPv6 IPv6. .

    По умолчанию однонастные маршруты IPv4 включены. Конфигурация показана для полноты.

  4. Настройте политику маршрутов.

  5. Настройте несколько статических маршрутов.

  6. Настройте номер автономной системы (AS).

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show policy-options и show protocolsshow routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации. Повторите настройку устройств R2 и Device R3, изменив при необходимости имена интерфейсов и IP-адреса.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка статуса соседа

Цель

Убедитесь BGP что BGP однонастные маршруты IPv6.

Действий

В рабочем режиме введите show bgp neighbor команду.

Смысл

Различные вхождения в выходных данных показывают, что BGP для передачи однонастных inet6-unicast маршрутов IPv6.

Проверка таблицы маршрутов

Цель

Убедитесь, что устройство R2 имеет BGP в таблице маршрутов inet6.0.

Действий

В рабочем режиме введите show route protocol bgp inet6.0 команду.

Обзор объявления маршрутов IPv4 BGP сеансов IPv6

В сети IPv6 сеть BGP объявление сведений о доступности сетевого уровня IPv6 через сеанс IPv6 между BGP равноправными узлами. В более ранних выпусках Junos OS поддерживался обмен только семействами одноастных, inet6 multicast и inet6. Эта функция позволяет обмениваться всеми семействами BGP адресов. В среде с двумя стеками с ядром IPv6. эта функция позволяет BGP одноандной доступности IPv4 со следующим переходом IPv4 через сеанс IPv6 BGP.

Эта функция существует только BGP IPv6, где IPv4 настроен на обеих конечных точках. Адрес может быть адресом обратной связи или любым local-ipv4-address адресом ipv4 для сеанса EBGP с IBGP или нескольким переходом. Для внешних адресов с одним переходом BGP, которые не являются частью BGP конфедераций, если настроенный локальный адрес IPv4 напрямую не подключен, сеанс BGP закрывается и остается неающим и создается ошибка, отображивая в выходных данных show bgp neighbor команды.

Чтобы включить рекламу маршрута IPv4 по сеансу IPv6, настройте local-ipv4-address следующим образом:

Прим.:

Данная функция не может быть настроена для семейок одноандной, многоарендной и inet6 или inet6 с маркировкой "unicast address", поскольку BGP уже имеет возможность объявлять эти семейства адресов через сеанс IPv6 BGP.

Настройка используется только когда BGP маршруты со следующим local-ipv4-address переходом. Когда IBGP объявляет маршруты, которые были выучаемы от равноправных пользователей EBGP или отражателя маршрутов BGP своим клиентам, BGP не меняет маршрут следующего перехода, игнорирует настроенный и использует исходный следующий переход local-ipv4-address IPv4.

Примере: Объявления маршрутов IPv4 по сеансам BGP IPv6

В данном примере показано, как объявлять маршруты IPv4 по BGP IPv6. В среде с двумя стеками с ядром IPv6 необходимо получить доступ к удаленным хостам IPv4. Поэтому BGP IPv4 маршруты со следующими переходами IPv4 для BGP равноправных BGP сеансов с использованием адресов источника и назначения IPv6. Эта функция позволяет BGP одноандной доступности IPv4 при следующем переходе IPv4 через IPv6 BGP сеансах.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Три маршрутизатора с возможностью двойного стека

  • Junos OS версии 16.1 или более поздней версии, запущенной на всех устройствах

Перед тем, как включить объявления IPv4 по BGP IPv6, убедитесь, что:

  1. Настройте интерфейсы устройств.

  2. Настройте сдвоевую стековую конфигурацию на всех устройствах.

Обзор

Начиная с выпуска 16.1, Junos OS, BGP объявление одноаректной доступности IPv4 со следующим переходом IPv4 через сеанс IPv6 BGP. В более ранних Junos OS выпусков BGP, в сеансах IPv6 о них можно было объявлять только одноаректную, многоавестную и инет6-семейства с маркировкой BGP. Эта функция позволяет BGP все семейства BGP адресов через сеанс IPv6. Можно включить BGP маршруты IPv4 со следующими переходами IPv4 для BGP равноправных сеансе IPv6. Настройка используется только когда BGP маршруты со следующим local-ipv4-address переходом.

Прим.:

Данная функция не может быть настроена для семейок одноандной, многоарендной и inet6 или inet6 с маркировкой "unicast address", поскольку BGP уже имеет возможность объявлять эти семейства адресов через сеанс IPv6 BGP.

Топологии

В Рис. 2 сеансе внешнего BGP IPv6 между маршрутизаторами R1 и R2 запущен сеанс IPv6. Сеанс IPv6 IBGP установлен между маршрутизатором R2 и маршрутизатором R3. Статические маршруты IPv4 перераспределяются BGP маршрутизатора R1. Чтобы перераспределить маршруты IPv4 через IPv6 BGP, новая функция должна быть включена на всех маршрутизаторах уровня [edit protocols bgp address family] иерархии.

Рис. 2: Объявления маршрутов IPv4 по сеансам BGP IPv6Объявления маршрутов IPv4 по сеансам BGP IPv6

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Маршрутизатор М1

Маршрутизатор М2

Маршрутизатор R3

Настройка маршрутизатора М1

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Информацию о навигации по интерфейс командной строки см. в интерфейс командной строки редактора в режиме конфигурации в руководстве интерфейс командной строки пользователя.

Настройка маршрутизатора М1:

Прим.:

Повторите эту процедуру для других маршрутизаторов после изменения соответствующих имен интерфейсов, адресов и других параметров.

  1. Настройте интерфейсы с адресами IPv4 и IPv6.

  2. Настройте адрес обратной связи.

  3. Настройте статический маршрут IPv4, который должен быть объявлен.

  4. Настройте автономную систему для BGP хостов.

  5. Настройте EBGP на внешних границных маршрутизаторах.

  6. Включить функцию для объявления adddress 140.1.1.1 для IPv4 по BGP сеансов IPv6.

  7. Определите политику p1, чтобы принять все статические маршруты.

  8. Примените политику p1 к группе EBGP ebgp-v6.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show protocols и show routing-optionsshow policy-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства сфиксировать конфигурацию.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка работы BGP сеанса

Цель

Убедитесь BGP что на настроенных интерфейсах BGP запущен сеанс BGP активен для каждого адреса соседа.

Действий

В рабочем режиме show bgp summary запустите команду на маршрутизаторе М1.

Смысл

Сеанс BGP запущен, и BGP равноправный пиринг установлен.

Проверка объявления адреса IPv4

Цель

Убедитесь, что маршрутизатор М1 объявляет настроенный адрес IPv4 настроенным BGP соседям.

Действий

В рабочем режиме show route advertising-protocol bgp ::150.1.1.2 запустите команду на маршрутизаторе М1.

Смысл

Статический маршрут IPv4 объявляется соседнему маршрутизатору BGP R2.

Проверка получения маршрутизатором BGP-соседом R2 объявленного адреса IPv4

Цель

Убедитесь, что маршрутизатор R2 получает адрес IPv4, который маршрутизатор М1 сообщает соседнему BGP через IPv6.

Действий
Смысл

Присутствие статического маршрута IPv4 в таблице маршрутов маршрутизатора М2 указывает на то, что он получает объявленные маршруты IPv4 от маршрутизатора R1.

Понимание перераспределения маршрутов IPv4 с последующим переходом IPv6 в BGP

В сети, которая преимущественно передает трафик IPv6, при необходимости необходимо маршрутировать маршруты IPv4. Например, интернет-поставщик услуг с сетью, которая может быть только IPv6, но имеет клиентов, которые все еще маршрутют трафик IPv4. В данном случае необходимо обслуживать таких клиентов и перенанакать трафик IPv4 по сети IPv6. Как описано в RFC 5549, информация о доступности IPv4 уровень сети с трафиком IPv6 Next Hop IPv4 туннелется из оборудования клиента (CPE) на шлюзы IPv4-over-IPv6. Эти шлюзы объявляются устройствам CPE посредством любых адресов электронной почты. Затем шлюзы создают динамические туннели IPv4-over-IPv6 для удаленных УСТРОЙСТВ CPE и объявляют агрегированные маршруты IPv4 для управления трафиком.

Прим.:

Функция динамического туннеля IPv4-over-IPv6 не поддерживает унифицированный ISSU в Junos OS версии 17.3R1.

Отражатели маршрутов (RS) с программируемым интерфейсом подключаются через IBGP к маршрутизаторам шлюза и маршрутам хоста с адресом IPv6 в качестве следующего перехода. Эти RS объявляют адреса IPv4/32, чтобы ввести информацию о туннеле в сеть. Маршрутизаторы шлюза создают динамические туннели IPv4-over-IPv6 к границе удаленного клиента-поставщика. Маршрутизатор шлюза также объявляет агрегированные маршруты IPv4 для управления трафиком. Затем RR объявляет исходные маршруты туннеля IsP. Когда RR удаляет туннельный маршрут, BGP также происходит перезапись маршрута, что приводит к разрывам туннеля и к недостижимо CPE. Маршрутизатор шлюза также не может использовать агрегированные маршруты IPv4 и маршруты источника туннеля IPv6, когда удаляются все агрегированные маршруты, которые являются источником маршрутов. Маршрутизатор шлюза отправляет маршрут имущий маршрут, когда модуль передачи пакетов линекорректная карта, чтобы перенаправить трафик другим маршрутизаторам шлюза.

Для поддержки маршрутов IPv4 со следующим переходом IPv6 представлены следующие расширения:

BGP кодивка следующего перехода

BGP расширена возможностью кодировки следующего перехода, которая используется для отправки маршрутов IPv4 со следующими переходами IPv6. Если эта возможность недоступна для удаленного однорангового узла, BGP группирующую данной возможности одноранговых пользователей и удаляет BGP семейства без возможности кодировки из списка сведений о доступности согласуемого сетевого уровня (NLRI). Junos OS разрешает только одну таблицу разрешения, например inet.0. Чтобы разрешить IPv4 BGP маршруты со следующими переходами IPv6, BGP создает новое дерево разрешения. Эта функция позволяет в Junos OS маршрутов иметь деревья с несколькими разрешениями.

Помимо RFC 5549, объявления сведений о доступности IPv4 уровень сети с IPv6 Следующий переход новый инкапсуляцию сообщества, указанного в RFC 5512, в BGP инкапсуляцию идентификатора семейства адресов (SAFI) и атрибут инкапсуляции туннеля BGP введен для определения семейства адресов адреса следующего перехода адреса. Сообщество инкапсуляции указывает тип туннелей, необходимый для создания веского узла. Когда BGP получает маршруты IPv4 с адресом следующего перехода IPv6 и сообществом инкапсуляции V4oV6, BGP создает динамические туннели IPv4-over-IPv6. Если BGP получает маршруты без сообщества инкапсуляции, BGP маршруты решаются без создания туннеля V4oV6.

На уровне иерархии доступно новое действие политики dynamic-tunnel-attributes dyan-attribute для поддержки новой расширенной инкапсуляции. [edit policy-statement policy name term then]

Локализация туннеля

Динамическая туннельная инфраструктура улучшена локализацией туннелей для поддержки большего числа туннелей. Существует необходимость в локализации туннеля, чтобы обеспечить отказоустойчивость для обработки трафика при сбойе якоря. Одно или несколько шасси могут делать резервную копию друг друга и позволять процессу протокола маршрутизации (rpd) управлять трафиком от точки отказа к резервному шасси. Шасси объявляет в сеть только эти агрегированные префиксы вместо отдельных адресов обратной связи.

Обработка туннеля

В туннелях IPv4 по IPv6 используется динамическая туннельная инфраструктура наряду с туннельным якорем для поддержки требуемого масштабирования шасси. Туннельное состояние локализовано в модуль передачи пакетов и другие движки переад мощности пакетов перенаправляют трафик на якорь туннеля.

Ветвь туннеля

Ветвь туннеля или инкапсуляция туннеля пересылает сетевой трафик на узел клиента. Когда состояние туннеля имеется на модуль передачи пакетов, на который поступил трафик, процесс протокола маршрутизации (rpd) использует следующую процедуру для перераспределения маршрутов IPv4 по туннелям IPv6:
Рис. 3: Обработка вского туннеля, когда состояние туннеля доступно на том же PFEОбработка вского туннеля, когда состояние туннеля доступно на том же PFE
Рис. 4: Обработка в обращение с туннелю, когда туннельное состояние находится на другом PFEОбработка в обращение с туннелю, когда туннельное состояние находится на другом PFE
  1. Инкапсулирует трафик IPv4 внутри загона IPv6.

    Максимальное принудление MTU передачи выполняется перед инкапсуляцией. Если размер инкапсулированного пакета превышает туннельный MTU и пакет IPv4 не установлен, пакет фрагментируется, DF-bit инкапсулируется.

  2. Использует балансировку нагрузки трафика на основе геширования на внутренние задающие пакеты.

  3. Перенаправление трафика на адрес назначения IPv6. Адрес IPv6 взят из загона IPv6.

Туннельный откат

Туннельный поток передает трафик с оборудования на стороне сети с территории клиента.
Рис. 5: Обработка на egress-туннеле, когда состояние туннеля доступно на том же PFEОбработка на egress-туннеле, когда состояние туннеля доступно на том же PFE
Рис. 6: Обработка на egress туннеля, когда состояние туннеля доступно на удаленном PFEОбработка на egress туннеля, когда состояние туннеля доступно на удаленном PFE
  1. Декапсулирует пакет IPv4, присутствующий в пакете IPv6.

  2. Проводит проверку с целью убедиться, что пара IPv6 и IPv4 соответствует информации, которая использовалась для настройки туннеля.

  3. Ищет адрес назначения IPv4 в декапсулированного пакета iPv4 и перенаправления пакета на указанный адрес IPv4.

Балансировка нагрузки туннеля и закрепление модуль передачи пакетов обработки сбоев

Необходимо модуль передачи пакетов обработку сбоя, чтобы избежать нуль-маршрутной фильтрации туннельного трафика, закрепленного модуль передачи пакетов. Локализация туннеля включает в себя использование BGP для глобального устранения сбоя. Туннельный трафик переадресуется от точки отказа на другое резервное шасси, которое содержит одинаковое состояние туннеля. Для балансировки нагрузки трафика шасси настроено на объявление различных многокризисных (MED) значений для каждого префикса, так что только трафик для одной четвертой части туннеля проходит через каждое шасси. Аналогичным образом трафик CPE обрабатывается за счет настройки одинакового набора адресов anycast на каждом шасси и управления только одной четвертой частью трафика по направлению к каждому шасси.

Якорная модуль передачи пакетов является одним объектом, который обрабатывает все процессы для туннеля. Якорный выбор модуль передачи пакетов через статическое и предоставление, привязанный к модуль передачи пакетов интерфейсам. При от выходите из работы одного из механизмов переадментации пакетов, он помегает все механизмы пересылания пакетов на линовой карте и передает эту информацию процессу протокола маршрутизации и другим daemons. Процесс протокола маршрутизации BGP удаление префиксов, которые закреплены на сбойных модуль передачи пакетов, и адреса IPv6, присвоенные модуль передачи пакетов неавтометным каналам. В этих объявлениях трафик перенанакается на другое резервное шасси. Когда сбой модуль передачи пакетов снова, шасси пометит модуль передачи пакетов как и обновляет up процесс протокола маршрутизации. Процесс протокола маршрутизации BGP равноправных узлам обновлений, которые туннели, закрепленные на определенном модуль передачи пакетов, теперь доступны для трафика маршрутизации. Этот процесс может занять несколько минут для масштабной настройки туннеля. Поэтому этот механизм встроен в систему для обеспечения минимальной потери трафика при коммутации трафика Ack обратно на исходное шасси.

Статистика потока туннельной петли

Динамическая туннельная инфраструктура использует потоки обратной связи модуль передачи пакетов для зацикления пакета после инкапсуляции. Поскольку полоса пропускания этого потока обратной связи ограничена, необходимо отслеживать производительность потоков туннельной обратной связи.

Для отслеживания статистики потока обратной связи используется операционная команда, которая отображает статистику агрегированного потока обратной связи, включая скорость переадрегирования, скорость отпадающего пакета и show pfe statistics traffic detail скорость передачи byte.

Настройка BGP перераспределение маршрутов IPv4 с адресами следующего перехода IPv6

Начиная с 17.3R1 выпуска, Junos OS устройства могут перенаадратить трафик IPv4 только по сети IPv6, которая обычно не может перенаадратить трафик IPv4. Как описано в RFC 5549, трафик IPv4 туннелется от устройств CPE к шлюзам IPv4-over-IPv6. Эти шлюзы объявляются устройствам CPE посредством любых адресов электронной почты. Затем шлюзы создают динамические туннели IPv4-over-IPv6 для удаленного оборудования в помещениях клиента и объявляют агрегированные маршруты IPv4 для управления трафиком. Отражатели маршрутов с программируемыми интерфейсами вводят информацию о туннеле в сеть. Отражатели маршрутов подключаются через IBGP к маршрутизаторам шлюза, которые объявляют адреса IPv4 маршрутов хоста с адресами IPv6 в качестве следующего перехода.

Прим.:

Функция динамического туннеля IPv4-over-IPv6 не поддерживает унифицированный ISSU в Junos OS версии 17.3R1.

Прежде чем начать настройку BGP маршруты IPv4 с адресами следующего перехода IPv6, необходимо сделать следующее:

  1. Настройте интерфейсы устройств.

  2. Настройте OSPF или любой другой IGP протокол.

  3. Настройте MPLS и LDP.

  4. Настройте BGP.

Чтобы настроить BGP маршруты IPv4 с адресами следующего перехода IPv6:

  1. Настройте расширенный параметр кодиния следующего узла для BGP групп с равноправными узлами IPv6 для маршрутов семейства адресов IPv4 через сеанс IPv6.
  2. Настройте динамические туннели IPv4-over-IPv6 и определите их атрибуты для перенаададки трафика IPv4 по сети, которая относится только к IPv6. Трафик IPv4 туннелется от устройств CPE к шлюзам IPv4-over-IPv6.
  3. Настройте атрибуты туннеля.

    Например, настройте динамический туннель со first_tunnel следующими атрибутами:

  4. Определите политику, связываемую настроенного профиля атрибута динамического туннеля со списком префиксов или фильтром маршрута.

    Например, определите dynamic_tunnel_policy для связываия атрибутов динамического first_tunnel туннеля только с заголовком трафика с конкретным маршрутом 2.2.2.2/32.

  5. Экспорт определенной политики.

    Например, экспорт настроенной политики dynamic_tunnel_policy.

Включение сигнализации VPN уровня 2 и VPLS

Можно включить BGP для переноса сообщений VPN уровня 2 и VPLS NLRI.

Чтобы включить сигнализацию VPN и VPLS, включим в себя family утверждение:

Список уровней иерархии, на которых можно включить это утверждение, см. в разделе Сводка утверждения для этого утверждения.

Для настройки максимального количества префиксов включаем prefix-limit утверждение:

Список уровней иерархии, на которых можно включить это утверждение, см. в разделе Сводка утверждения для этого утверждения.

При уображении максимального количества префиксов при их подмене занося в журнал сообщение. Если включить teardown утверждение, сеанс будет разорвано при максимальном количестве префиксов. Если указать процентное соотношение, сообщения регистрируются, когда число префиксов достигает этого процентного соотношения. После того, как сеанс будет разорвано, он будет рестабилизован через короткое время. Включив утверждение, чтобы сеанс не был включен в течение указанного количества idle-timeout времени или навсегда. Если forever указать, сеанс будет повторно восстановиться только после использования clear bgp neighbor команды. Если включить утверждение и указать процент, избыточные маршруты отброшены, когда число префиксов drop-excess <percentage> превышает процентное соотношение. Если включить утверждение и указать процент, избыточные маршруты будут скрыты, когда число префиксов hide-excess <percentage> превышает процентное соотношение. Если процентное соотношение изменено, маршруты переоценяются автоматически.

Понимание BGP маршрутов потока для фильтрации трафика

Маршрут потока – это агрегирование условий совпадения для IP-пакетов. Маршруты потока распространяются по сети с помощью сообщений о доступности сетевого уровня (NLRI) и устанавливаются в таблицу маршрутов instance-name.inetflow.0 потока. Пакеты могут проходить через потоки только при условии, при условии совпадения.

Маршруты потока и фильтры межсетевых экранов аналогичны тем, что фильтруют пакеты, основанные на их компонентах, и выполняют действие по совпадающих пакетам. Маршруты потока обеспечивают возможности фильтрации и ограничения скорости трафика подобно фильтрам межсетевых экранов. Кроме того, можно распространять потоковые маршруты по различным автономным системам.

Маршруты потока распространяются BGP посредством сообщений NLRI, технических характеристик потока. Необходимо включить BGP эти NLR.

Начиная с Junos OS выпуска 15.1, выполняются изменения, чтобы расширить поддержку безостановочной активной маршрутизации (NSR) для существующих семейств inet-flow и inetvpn-flow и расширить проверку маршрутов для BGP flowpec per draft-ietf-idr-bgp-flowspec-oid-01. В составе этого усовершенствования представлены два новых утверждения. См. "Принудительное обеспечение-first-as"и "no-install".

Прим.:

Начиная с Junos OS 16.1 поддержка IPv6 расширена до BGP потока, который разрешает распространение правил спецификации потока трафика для пакетов IPv6 и VPN-IPv6. BGP потока автоматизирует координацию правил фильтрации трафика, чтобы распределенная атака DoS во время беспроцессной активной маршрутации (NSR).

Начиная с Junos OS выпуска 16.1R1, BGP потока поддерживает действие фильтрации по extended-community маркировке трафика. Для трафика IPv4 Junos OS значение бит кода DiffServ (DSCP) транзитного пакета IPv4 на соответствующее значение расширенного сообщества. Для пакетов IPv6 Junos OS первые шесть битов поля передачи пакета IPv6 к соответствующему значению traffic class расширенного сообщества.

Начиная с версии cRPD 20.3R1, маршруты потока и правила регулирования, распространяемые через спецификацию потока NLRI BGP, загружаются в ядро Linux через структуру Netfilter Linux в средах cRPD.

Условия совпадения для маршрутов потока

Необходимо указать условия, которые должны соответствовать пакету до того, как действие в утверждение then будет принято для маршрутного потока. Для принятия мер должны соответствовать все from условия в утверждениях. Порядок указания условий совпадения не является важным, поскольку пакет должен соответствовать всем условиям за один и тот же срок.

Чтобы настроить условие совпадения, включите match утверждение на [edit routing-options flow] иерархическому уровне.

Табл. 1 описывает условия совпадения маршрутов потока.

Табл. 1: Условия совпадения маршрута потока

Условие совпадения

Описание

destination prefix prefix-offset number

Поле IP-адреса назначения.

Можно использовать дополнительное поле, которое доступно только на Junos с расширенными MPC, настроенными для режима, для указания количества битов, которые должны быть пропущены до Junos OS при подмене prefix-offsetenhanced-ip префикса IPv6.

destination-port number

Поле порта назначения TCP или протокола датаграмм пользователя (UDP). Нельзя указать одно и то port же время и условия destination-port совпадения.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также указаны номера портов): afsbgp(1483), (179), biff (512), bootpcbootps (68), cmd (67), (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2106), exec (512), fingerftp (79), ftp-data (21), (20), http (80) httpsidentimap (443), (113), (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-propkrbupdate (754), (760), kshell (544), ldaplogin (513), mobileip-agentmobilip-mn (434), msdp (435), (639), netbios-dgm (138) (138), (533), (435), (435), netbios-nsnetbios-ssnnfsd 137), (139), (2049), nntp (119), ntalk (518), ntppop3 (123), pptp (110), (1723), printer (515), radacct (1813), radiusrip (520), rkinit (2108), smtp (25), snmp (161) snmptrapsnpp (162), (444), socks (1080), sshsunrpc (22), (111), syslog (514), tacacs-dstalk (65), (517), telnettftptimed (23), (525), who (513), xdmcpzephyr-clt (177), (2103) или zephyr-hm (2104).

dscp number

Код DSCP. Протокол DiffServ использует тип обслуживания (ToS) в IP-загоне. Наиболее значимые шесть битов этого byte образуют DSCP.

Можно указать DSCP в виде хексических или десятичных форматов.

flow-label numeric-expression

Соотнося со значением метки потока. Значение этого поля варьируется от 0 до 1048575.

Данное условие совпадения поддерживается только Junos устройства с расширенными MPC, настроенными для работы в enhanced-ip режиме. Это условие совпадения не поддерживается для IPv4.

fragment type

Поле типа фрагмента. Ключевые слова группируются по типу фрагментов, с которыми они связаны:

  • dont-fragment

    Прим.:

    Этот параметр не поддерживается для IPv6.

  • first-fragment

  • is-fragment

  • last-fragment

  • not-a-fragment

Данное условие совпадения поддерживается только Junos OS устройства с расширенными MPC, настроенными для работы в enhanced-ip режиме.

icmp-code numbericmp6-code icmp6-code-value;

Поле кода ICMP. Это значение или ключевое слово предоставляет более конкретные сведения, чем icmp-type . Поскольку значение этого значения зависит от связанного icmp-type значения, необходимо указать icmp-type вместе с icmp-code .

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей). Ключевые слова группируются по типу ICMP, с которыми они связаны:

  • проблема с параметром: ip-header-bad (0) required-option-missing (1)

  • Перенаправить: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • превышение времени: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • Недоступен: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-neededhost-precedence-violation (4), (14), host-unreachablehost-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (15), precedence-cutoff-in-effectprotocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number icmp6-type icmp6-type-value

Поле типа пакета ICMP. Обычно это совпадение указывается в сочетании с утверждением match, чтобы определить protocol протокол, используемый на порте.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей): echo-reply(0), echo-request (8), info-reply (16), info-requestmask-request (15), mask-reply (17), parameter-problem (18), (12), redirectrouter-advertisement (5), router-solicit (9), source-quench (10), time-exceeded (11), timestamp (13), timestamp-reply (14) или unreachable (3).

packet-length number

Общая длина IP-пакета.

port number

Поле порта источника или назначения TCP или UDP. Нельзя указать в одном и том же термине как совпадение, так и условие portdestination-portsource-port совпадения.

В качестве цифрового значения можно указать один из указанных в списке текстовых destination-port синонимов.

protocol number

Поле протокола IP. В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей): ah, egp(8), esp (50), gre (47), icmpigmp (2), ipipipv6 (4), ospf (41), pim (89), (103), rsvp (46), tcp (6) или udp  (17).

Это условие совпадения поддерживается для IPv6 только Junos устройства с расширенными MPC, настроенными для enhanced-ip режима.

source prefixprefix-offset number

Поле IP-адреса источника.

Можно использовать дополнительное поле, которое доступно только на Junos с расширенными MPC, настроенными для режима, для указания количества битов, которые должны быть пропущены до Junos OS при подмене prefix-offsetenhanced-ip префикса IPv6.

source-port number

Поле порта источника TCP или UDP. Нельзя указать условия portsource-port совпадения в одном и том же термине.

В текстовом поле можно указать один из текстовых синнимов, указанных в destination-port списке.

tcp-flag type

Формат TCP-загона.

Действия для маршрутов потока

Можно указать действие, необходимое, если пакет соответствует условиям, настроенным в маршруте потока. Для настройки действия включите then утверждение на уровне [edit routing-options flow] иерархии.

Табл. 2 описывает действия маршрутов потока.

Табл. 2: Модификаторы действия маршрута потока

Модификатор действий или действий

Описание

Действия

accept

Примите пакет. Это значение по умолчанию.

discard

Тихо отбросьте пакет без отправки сообщения протокола управления Интернетом (ICMP).

community

Замените все сообщества в маршруте указанными сообществами.

значение метки

Установите значение DSCP для трафика, который соответствует данному потоку. Укажите значение от 0 до 63. Это действие поддерживается только на Junos устройствах с расширенными MPC, настроенными для работы в enhanced-ip режиме.

next term

Пере последующие условия совпадения для оценки.

routing-instance extended-community

Укажите экземпляр маршрутов, на который переадлилась бы пакетов.

rate-limit bits-per-second

Ограничь полосу пропускания на маршруте потока. Express the limit in bits per second (bps). Начиная Junos OS версии 16.1R4, диапазон ограничений по скорости находится [от 0 до 100000000000000].

sample

Образец трафика на маршруте потока.

Проверка маршрутов потока

Маршрутизатор Junos OS поток маршрутов в таблицу маршрутизации потока, только если они были подтверждены с помощью процедуры подтверждения. Маршрутизатор модуль маршрутизации проверку перед установкой маршрутов в таблицу маршрутизации потока.

Маршруты потока, полученные с помощью BGP информации о доступности сетевого уровня (NLRI) подтверждаются до установки в таблицу маршрутов основного экземпляра instance.inetflow.0 потока. Процедура проверки описана в проекте правил ietf-idr-flow-spec-09.txt, Распространение правил спецификаций потока. Можно обойти процесс проверки маршрутов потока, используя BGP NLRI, и использовать собственную определенную политику импорта.

Для отслеживания операций проверки включим утверждение validation на [edit routing-options flow] уровне иерархии.

Поддержка алгоритма BGP потоков-спецификаций версии 7 и более поздних версий

По умолчанию Junos OS использует алгоритм упорядочения терминов, определенный в версии 6 проекта спецификации BGP потока. В Junos OS выпуска 10.0 и более поздних версий можно настроить маршрутизатор на соответствие алгоритму терминирования, который был впервые определен в версии 7 спецификации потока BGP и поддерживается через RFC 5575, Распространениемаршрутов спецификации потока.

на практике:

Рекомендуется настроить Junos OS использовать алгоритм терминирования, который был впервые определен в версии 7 проекта спецификации потока BGP потоков. Рекомендуется также настроить Junos OS использовать один и тот же алгоритм упорядочения для всех экземпляров маршрутов, настроенных на маршрутизаторе.

Чтобы настроить BGP использовать алгоритм потока-спецификации, впервые определенный в версии 7 интернет-проекта, включите утверждение на standard[edit routing-options flow term-order] уровне иерархии.

Чтобы вернуться к использованию алгоритма упорядочения терминов, определенного в версии 6, включите утверждение legacy на [edit routing-options flow term-order] уровне иерархии.

Прим.:

Настроенный термин порядок имеет только локальное значение. То есть, термин "порядок" не распространяется с маршрутами потока, отосланными на удаленные BGP равноправных BGP, порядок терминов которых полностью определяется конфигурацией собственного порядка срока. Поэтому необходимо осторожно настраивать действие, зависящие от порядка, если не известно о настройке терминов для next term удаленных одноранговых устройств. Локальный next term может отличаться от next term настроенного на удаленном одноранговом одноранговом сайте.

Прим.:

На Junos OS Evolved next term не может появиться последний срок действия. Термин фильтра, который определяется как действие, но не имеет настроенных условий next term совпадения, не поддерживается.

Начиная с Junos OS 16.1, можно не применять фильтр к трафику, flowspec полученному на определенных интерфейсах. Новый термин добавляется в начале фильтра, который принимает любой flowspec пакет, полученный на этих интерфейсах. Новый термин является переменной, которая создает список исключений терминов, присоединенных к фильтру таблица переадресации в составе фильтра спецификаций потока.

Чтобы исключить применяемый фильтр к трафику, полученному на определенных интерфейсах, необходимо сначала настроить a на таких интерфейсах, включив на уровне иерархии утверждение группы фильтров семейства, а затем присоединить фильтр к группе интерфейсов, включив в него утверждение на иерархическому flowspecgroup-idinetgroup-id[edit interfaces]flowspecflow interface-group group-id exclude[edit routing-options] уровне. С помощью утверждения можно настроить только по group-id одному экземпляру set routing-options flow interface-group group-id маршрутов.

Примере: Включение BGP маршрутов, относяющихся к потоку-спецификации

В данном примере показано, как BGP передачу сообщений о доступности сетевого уровня (NLRI) в соответствии с техническими характеристиками потока.

Требования

Перед началом работы:

  • Настройте интерфейсы устройств.

  • Настройка протокола внутреннего шлюза (IGP).

  • Настройте BGP.

  • Настройте политику маршрутов, которая экспортирует маршруты (например, прямые маршруты или IGP маршруты) из таблицы маршрутов в BGP.

Обзор

Распространение сведений о фильтрации межсетевых экранов в рамках одного BGP позволяет динамически распространять фильтры межсетевых экранов против отказ в обслуживании (DOS) атак на автономные системы. Маршруты потока инкапсулированы в NLRI, спецификацию потока и распространяются через сеть или виртуальные частные сети (VPN), обмениваясь информацией, подобной фильтрам. Маршруты потока – это агрегирование условий совпадения и итоги действий для пакетов. Они обеспечивают возможности фильтрации трафика и ограничения скорости, подобно фильтрам межсетевых экранов. Маршруты одноадростного потока поддерживаются для экземпляров по умолчанию, экземпляров vpn-маршрутов и переадранки (VRF) и экземпляров виртуального маршрутизатора.

Политики импорта и экспорта могут применяться к семейство или семейство NLRI, влияя на маршруты потока, принятые или объявленные, подобно тому, как политики импорта и экспорта применяются к другим BGP inet flowinet-vpn flow семействам. Единственное отличие заключается в том, что конфигурация политики потока должна включать утверждение rib inetflow.0 from. Это утверждение приводит к применении политики к маршрутам потока. Исключение из этого правила имеет место, если в политике имеется только утверждение then reject или then accept утверждение no, а также отсутствие from утверждения. Затем политика влияет на все маршруты, включая однонастный IP-поток и IP-поток.

Фильтры маршрута потока сначала настраиваются на маршрутизаторе статически, с набором критериев соответствия, за которым следуют действия, которые необходимо принять. Затем, в дополнение к (или) настраивается между BGP family inet unicast и его family inet flowfamily inet-vpn flow одноранговых узлами.

По умолчанию маршруты статически настроенного потока (фильтры межсетевых экранов) объявляются другим BGP-устройствам с поддержкой family inet flowfamily inet-vpn flow или NLRI.

Перед установкой фильтра межсетевых экранов в таблицу маршрутизации потока приемное устройство с включенным BGP выполняет процесс instance-name.inetflow.0 проверки. Процедура проверки описана в RFC 5575, Распространение правил спецификации потока.

Получаюющее BGP устройство принимает маршрут потока, если оно проходит по следующим критериям:

  • Источник маршрута потока соответствует источнику лучшего совпадать однонаправленного маршрута для адреса назначения, встроенного в маршрут.

  • По сравнению с адресом назначения маршрута потока, для которого активный маршрут был получен от другой автономной системы следующего перехода, нет более специфических однонаправленных маршрутов.

Первый критерий позволяет убедиться, что фильтр объявляется следующим переходом, используемым одноавстной переадреастройой для адреса назначения, встроенного в маршрут потока. Например, если маршрут потока дается в качестве 10.1.1.1, proto=6, порт=80, то получаюющее BGP-устройство выбирает более конкретный однонаправленный маршрут в таблице одноаправленной маршрутки, который соответствует префиксу назначения 10.1.1.1/32. В таблице одноастной маршрутов, содержащей 10.1/16 и 10.1.1/24, последний выбирается в качестве однонастного маршрута для сравнения. Рассматривается только запись активного однонастного маршрута. Это следует концепции о том, что маршрут потока является действительным, если он объявлен источником лучшего одноадростного маршрута.

Второй критерий адресует ситуации, в которых данный адресный блок распределяется для различных образований. Потоки, которые решают наиболее оптимальный одноадреатический маршрут , который является агрегным маршрутом, принимаются, только если они не охватывают более конкретные маршруты, маршруты, маршруты к различным автономным системам следующего перехода.

Можно обойти процесс проверки маршрутов потока, используя BGP NLRI, и использовать собственную определенную политику импорта. Когда BGP передает сообщения NLRI в соответствии с спецификацией потока, утверждение на уровне иерархии не содержит процедуру проверки маршрута потока после того, как пакеты принимаются no-validate[edit protocols bgp group group-name family inet flow] политикой. Политику импорта можно настроить так, чтобы она совпадала с атрибутами назначения и пути (сообщество, следующий переход и путь AS). Можно указать действие, необходимое, если пакет соответствует условиям, настроенным в маршруте потока. Для настройки действия включите утверждение на уровне [edit routing-options flow] иерархии. Тип NLRI спецификации потока включает в себя такие компоненты, как префикс назначения, префикс источника, протокол и порты, как определено в RFC 5575. Политика импорта может фильтровать входящий маршрут, используя атрибуты пути и адрес назначения в спецификации потока NLRI. Политика импорта не может фильтровать другие компоненты в RFC 5575.

Спецификация потока определяет необходимые расширения протокола для адресации наиболее распространенных приложений одноавтоматной фильтрации IPv4 и VPN. Такой же механизм можно использовать повторно и добавить новые критерии соответствия для устранения подобной фильтрации для других BGP адресов (например, одноарусная трансляция IPv6).

После установки маршрута потока в таблице он также добавляется в список фильтров межсетевых экранов inetflow.0 в ядре.

Только на маршрутизаторах сообщения NLRI с техническими характеристиками потока поддерживаются в VPN. VPN сравнивает целевое расширенное сообщество маршрутов в NLRI с политикой импорта. При совпадении VPN может начать использовать маршруты потока для фильтрации и ограничения скорости пакетного трафика. Маршруты полученного потока устанавливаются в таблицу маршрутов instance-name.inetflow.0 потока. Маршруты потока также могут распространяться по всей сети VPN и совместно использовать vpn. Чтобы включить многопротокольную BGP (MP-BGP) для переноса потока-спецификации NLRI для семейства адресов, включите утверждение на inet-vpnflow уровне [edit protocols bgp group group-name family inet-vpn] иерархии. Маршруты потока VPN поддерживаются только для экземпляра по умолчанию. Маршруты потока, настроенные для VPN с семейством, не проверяются автоматически, поэтому утверждение не поддерживается на inet-vpnno-validate[edit protocols bgp group group-name family inet-vpn] иерархической уровне. Если маршруты потока настроены локально между устройствами в одной AS, проверка не требуется.

Политики импорта и экспорта могут применяться к NLRI, влияя на маршруты потока, принятые или объявленные, аналогично тому, как политики импорта и экспорта применяются к другим BGP family inet flowfamily inet-vpn flow семействам. Единственное отличие заключается в том, что конфигурация политики потока должна включать from rib inetflow.0 утверждение. Это утверждение приводит к применении политики к маршрутам потока. Исключение из этого правила имеет место, если в политике имеется только утверждение then reject или then accept утверждение no, а также отсутствие from утверждения. Затем политика влияет на все маршруты, включая однонастный IP-поток и IP-поток.

В данном примере показано, как настроить следующие экспортные политики:

  • Политика, допуская объявление маршрутов потока, заданных фильтром маршрутов. Объявляется только маршруты потока, на которые распространяется блок 10.13/16. Эта политика не влияет на однонастные маршруты.

  • Политика, которая позволяет объявлять соседним маршрутизаторам все маршруты одноавказного и потока.

  • Политика, откланяя все маршруты (одноададные или потоки), объявляться соседнему маршрутизатору.

Топологии

Конфигурации

Настройка статического маршрута потока

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Для настройки узел BGP сеансов:

  1. Настройте условия совпадения.

  2. Настройте действие.

  3. (Рекомендуется) Для алгоритма спецификации потока настройте стандартный термин.

    В термине "алгоритм упорядочения по умолчанию", как указано в проекте RFC 6-й версии, термин с менее специфическими условиями поиска совпадений всегда оценивается перед термином с более конкретными условиями. Это приводит к того, что не будет оцениваться термин с более специфическими условиями совпадения. Версия 7 RFC 5575 изменена на алгоритм таким образом, что более конкретные условия совпадения будут оцениваться до менее специфических условий совпадения. Для обратной совместимости поведение по умолчанию не изменяется Junos OS, даже если более новый алгоритм более уместен. Чтобы использовать более новый алгоритм, включим term-order standard в конфигурацию утверждение. Это утверждение поддерживается в Junos OS версии 10.0 и более поздних.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show routing-options команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Маршруты объявления потока, заданные фильтром маршрута

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Для настройки узел BGP сеансов:

  1. Настройте BGP группу.

  2. Настройте политику потока.

  3. Настройте номер локальной автономной системы (AS).

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show protocols команд show policy-options и show routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Объявления всех маршрутов одноавстной и маршрутной маршрутов

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Для настройки узел BGP сеансов:

  1. Настройте BGP группу.

  2. Настройте политику потока.

  3. Настройте номер локальной автономной системы (AS).

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show protocols команд show policy-options и show routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Объявления маршрутов одноавстной и маршрутной маршрутов

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Для настройки узел BGP сеансов:

  1. Настройте BGP группу.

  2. Настройте политику потока.

  3. Настройте номер локальной автономной системы (AS).

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show protocols команд show policy-options и show routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Ограничение количества маршрутов потока, установленных в таблице маршрутов

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Прим.:

Применение предела маршрута может привести к непредсказуемому поведению протокола динамического маршрута. Например, когда предел достигнут и маршруты отклоняется, BGP не обязательно пытаться переустановить отклоненные маршруты после того, как число маршрутов опускается ниже предельного. BGP для решения этой проблемы может потребоваться очистка сеансов.

Для ограничения маршрутов потока:

  1. Установите верхний предел для числа префиксов, установленных в inetflow.0 таблице.

  2. Установите пороговое значение 50 процентов, когда при установке 500 маршрутов в системный журнал заносялось предупреждение.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show routing-options команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Ограничение количества префиксов, полученных в одноранговом BGP одноранговом сеансе

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Прим.:

Можно одновременно включить либо teardown <percentage>drop-excess <percentage> параметры утверждения, либо hide-excess<percentage> параметры утверждения.

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Настройка ограничения префикса для конкретного соседа обеспечивает более предсказуемый контроль, через который одноранговая ранговая фиксатор может объявлять количество маршрутов потока.

Для ограничения числа префиксов:

  1. Установите предел 1000 BGP от соседа 10.12.99.2.

  2. Настройте соседний сеанс или префиксы для выполнения либо , или параметра утверждения, когда сеанс или teardown <percentage>drop-excess <percentage> префиксы достигают своего hide-excess<percentage> предела.

    Если указать утверждение и указать процентное соотношение, сообщения будут регистрироваться, когда число префиксов teardown <percentage> достигнет этого процентного соотношения. После того, как сеанс будет разбит, сеанс будет восстановиться через некоторое время, если не включит idle-timeout утверждение.

    Если указать утверждение и процентное соотношение, избыточные маршруты будут отброшены, когда число префиксов drop-excess <percentage> превышает это процентное соотношение

    Если указать утверждение и процентное соотношение, избыточные маршруты будут скрыты, если число префиксов hide-excess <percentage> превышает это процентное соотношение.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show protocols команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка NLRI

Цель

Посмотрите, включена ли NLRI для соседнего устройства.

Действий

В рабочем режиме запустите show bgp neighbor 10.12.99.5 команду. На посмотрите inet-flow выходные данные.

Проверка маршрутов

Цель

Посмотрите на маршруты потока. В примере выходных данных показан маршрут потока, который был BGP и маршрут потока, настроенный статически.

Для маршрутов локально настроенного потока (настроенных на уровне иерархии) маршруты [edit routing-options flow] устанавливаются протоколом потока. Таким образом, маршруты потока можно отобразить, указать таблицу, например in или show route table inetflow.0show route table instance-name.inetflow.0 where is the instance-name routing instance name. Или можно отобразить все локально настроенные маршруты потока через несколько экземпляров маршрутов, выведя show route protocol flow команду.

Если маршрут потока не настроен локально, но получен от узел BGP маршрутизатора, этот маршрут потока заносится в таблицу маршрутов BGP. Маршруты потока можно отобразить, указав таблицу или запущенную таблицу, которая отображает все BGP show route protocol bgp маршруты (поток и не-поток).

Действий

В рабочем режиме запустите show route table inetflow.0 команду.

Смысл

Маршрут потока представляет собой термин фильтра межсетевых экранов. При настройке маршрута потока необходимо указать условия совпадения и действия. В атрибутах совпадения можно найти адрес источника, адрес назначения и другие классификаторы, такие как порт и протокол. Для одного маршрута потока, который содержит несколько условий совпадения, все условия совпадения инкапсулированы в поле префикса маршрута. При подаче команды на маршруте потока поле префикса маршрута отображается со всеми условиями show route10.12.44.1,* совпадения. match destination 10.12.44.1/32 Если префикс в выходных данных был, это *,10.12.44.1 означает, что условие совпадения match source 10.12.44.1/32 было. Если условия совпадения содержат как источник, так и назначение, звездочка заменяется адресом.

Номера терминов-заказов указывают на последовательность терминов (маршрутов потока), оцениваемого в фильтре межсетевых экранов. Команда show route extensive отображает действия для каждого термина (маршрут).

Проверка подтверждения потока

Цель

Отображение сведений о маршруте потока.

Действий

В рабочем режиме запустите show route flow validation detail команду.

Проверка фильтров межсетевых экранов

Цель

Отобразить фильтры межсетевых экранов, установленные в ядре.

Действий

В рабочем режиме запустите show firewall команду.

Проверка системного журнала при превышении количества разрешенных маршрутов потока

Цель

Если настроен предел количества установленных маршрутов потока, как описано в описании, просмотр сообщения системного журнала, когда Ограничение количества маршрутов потока, установленных в таблице маршрутов достигнуто пороговое значение.

Действий

В рабочем режиме запустите show log <message> команду.

Проверка ведения системного журнала при превышении количества префиксов, полученных в одноранговом BGP одноранговом сеансе

Цель

Если настроен предел количества установленных маршрутов потока, как описано в описании, просмотр сообщения системного журнала, когда Ограничение количества префиксов, полученных в одноранговом BGP одноранговом сеансе достигнуто пороговое значение.

Действий

В рабочем режиме запустите show log message команду.

Если указан параметр teradown <percentage> утверждения:

Если указан параметр drop-excess <percentage> утверждения:

Если указан параметр hide-excess <percentage> утверждения:

Примере: Настройка BGP маршрутов спецификаций потока IPv6

В данном примере показано, как настроить спецификацию потока IPv6 для фильтрации трафика. BGP потока можно использовать для автоматизации координации между доменами и внутри домена правил фильтрации трафика, чтобы отказ в обслуживании атак.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Два серия MX маршрутизатора

  • Junos OS версии 16.1 или более поздней

Перед тем, как BGP маршруты спецификации потока IPv6:

  1. Настройте IP-адреса на интерфейсах устройств.

  2. Настройте BGP.

  3. Настройте политику маршрутов, которая экспортирует маршруты (например, статические маршруты, прямые маршруты или IGP маршруты) из таблицы маршрутов в BGP.

Обзор

Спецификация потока обеспечивает защиту отказ в обслуживании атак и ограничивает плохой трафик, расходуя пропускную способность и останавливая его около источника. В более ранних Junos OS, правила спецификации потока распространялись для IPv4 по BGP в качестве сведений о доступности сетевого уровня. Начиная с Junos OS 16.1, функция спецификации потока поддерживается в семейство IPv6 и разрешает распространение правил спецификации потока трафика для IPv6 и IPv6 VPN.

Топологии

Рис. 7 показывает примерную топологию. Маршрутизаторы М1 и М2 принадлежат разным автономным системам. Спецификация потока IPv6 настраивается на маршрутизаторе М2. Весь входящий трафик фильтруется в зависимости от условий, определенных условий спецификации потока, и трафик рассматривается по-разному в зависимости от заданного действия. В этом примере отбрасывается весь заголовок трафика на abcd::11:11:11:10/128, который соответствует условиям спецификации потока; в то время как трафик, предназначенный для abcd::11:11:11:30/128, и соответствие условиям спецификации потока принято.

Рис. 7: Настройка BGP для переноса маршрутов потока IPv6Настройка BGP для переноса маршрутов потока IPv6

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Маршрутизатор М1

Маршрутизатор М2

Настройка маршрутизатора М2

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Информацию о навигации по интерфейс командной строки см. в интерфейс командной строки редактора в режиме конфигурации в руководстве интерфейс командной строки пользователя.

Для настройки маршрутизатора М2:

Прим.:

Повторите эту процедуру для маршрутизатора М1 после изменения соответствующих имен интерфейсов, адресов и других параметров.

  1. Настройте интерфейсы с адресами IPv6.

  2. Настройте адрес обратной связи IPv6.

  3. Настройте ID маршрутизатора и номер автономной системы (AS).

  4. Настройте сеанс одноранговой связи EBGP между маршрутизатором М1 и маршрутизатором М2.

  5. Настройте статический маршрут и следующий переход. Таким образом, маршрут добавляется в таблицу маршрутов для проверки функции в данном примере.

  6. Укажите условия спецификации потока.

  7. Настройте действие discard для отбрасывания пакетов, которые соответствуют указанным условиям совпадения.

  8. Укажите условия спецификации потока.

  9. Настройте действие accept для принятия пакетов, совпадают с указанными условиями

  10. Определите политику, которая позволяет BGP статические маршруты.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show protocols и show routing-optionsshow policy-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка наличия маршрутов спецификации потока IPv6 в таблице inet6flow

Цель

Отобразить маршруты в таблице в маршрутизаторах М1 и R2 и проверить, что BGP inet6flow изучил маршруты потока.

Действий

В рабочем режиме show route table inet6flow.0 extensive запустите команду на маршрутизаторе М1.

В рабочем режиме show route table inet6flow.0 extensive запустите команду на маршрутизаторе М2.

Смысл

Присутствие маршрутов abcd::11:11:11:10/128 и abcd::11:11:11:30/128 в таблице подтверждает, что inet6flow BGP изучил маршруты потока.

Проверка сводной BGP информации

Цель

Проверьте правильность BGP конфигурации.

Действий

В рабочем режиме show bgp summary запустите команду на маршрутизаторах М1 и М2.

Смысл

Убедитесь, что таблица содержит BGP соседа, и одноранговой сеанс был установлен со своим inet6.0 BGP соседом.

Проверка подтверждения потока

Цель

Отображение сведений о маршруте потока.

Действий

В рабочем режиме show route flow validation запустите команду на маршрутизаторе М1.

Смысл

Выходные данные отображают маршруты потока в inet6.0 таблице.

Проверка спецификации потока маршрутов IPv6

Цель

Отобразить число пакетов, которые были отброшены и приняты на основании маршрутов, указанных в спецификации потока.

Действий

В рабочем режиме show firewall filter_flowspec_default_inet6_ запустите команду на маршрутизаторе М2.

Смысл

Выходные данные указывают на то, что пакеты, предназначенные для abcd::11:11:11:10/128, отбрасываются и 88826 пакетов приняты для маршрута abcd::11:11:11:11:30/128.

Настройка BGP потока Спецификации Действия Перенаправление на IP для DDoS трафика

Начиная с Junos OS выпуска 18.4R1, BGP спецификации потока, как описано в проекте BGP Flow-Spec Internet draft-ietf-idr-flowspec-redirect-ip-02.txt, перенаправление на IP-действие поддерживается. Перенаправление на действие IP использует расширенное BGP для обеспечения параметров фильтрации трафика для DDoS в сетях поставщиков услуг. При перенаправлении устаревших спецификаций потока на IP BGP атрибут nexthop. Junos OS объявляет перенаправление к действию спецификации IP-потока с использованием расширенного сообщества по умолчанию. Эта функция необходима для поддержки цепочки служб в виртуальном шлюзе управления сервисами (vSCG). Перенаправление на IP-действие позволяет направить трафик, заявляющий соответствие спецификации потока, на глобально допустимый адрес, который может быть подключен к устройству фильтрации, которое может фильтровать DDoS трафик и посылать чистый трафик на выходное устройство.

Прежде чем начать перенаправление трафика на IP для BGP маршрутов спецификации потока, сделайте следующее:

  1. Настройте интерфейсы устройств.

  2. Настройте OSPF или любой другой IGP протокол.

  3. Настройте MPLS и LDP.

  4. Настройте BGP.

Настройте перенаправление на функцию IP, используя BGP расширенным сообществом.

  1. Настройте перенаправление на IP-действие для статических маршрутов спецификации потока IPv4, как указано в проекте интернет-проекта BGP Flow-Spec, проекте проект-ietf-idr-flowspec-redirect-ip-02.txt, Redirect to IP Action.

    Junos OS объявляет перенаправление к действию спецификации IP-потока с помощью расширенного перенаправления сообщества на IP по умолчанию. Вправляемые устройства обнаруживают и отправляют трафик DDoS на указанный IP-адрес.

    Например, перенаправлять трафик DDoS на адрес IPv4 10.1.1.1.

  2. Настройте перенаправление на действие IP для статических маршрутов спецификации потока IPv6.

    Например, перенаправляет трафик DDoS на адрес IPv6 1002:db8::

  3. Определите политику фильтрации трафика от определенного BGP сообщества.

    Например, определите политику p1 для фильтрации трафика от BGP сообщества redirip.

  4. Определите политику, устанавливаемую, добавляемую или удаляемую BGP сообщества, а также укажите расширенное сообщество.

    Например, определите политику p1 для определения, добавления или удаления community reidirip и расширенного сообщества для перенаправления трафика на IP-адрес 10.1.1.1.

  5. Настройте BGP таблицу VRF.inet.0 для разрешения маршрутов спецификации потока VRF, включив утверждение на уровне иерархии.

Настройте перенаправление устаревшей спецификации потока на функцию IP с помощью атрибута nexthop.

Прим.:

Нельзя настроить политики для перенаправления трафика на IP-адрес, используя BGP расширенным сообществом и устаревшим перенаправлением на IP-адрес следующего перехода.

  1. Настройте перенаправление устаревших спецификаций потока на IP, указанный в проекте проекта Интернет-проект-ietf-idr-flowspec-redirect-ip-00.txt , BGP Flow-Spec Extended Community for Traffic Redirect to IP Next Hop include at the hierarchy level.

  2. Определите политику, которая будет соответствовать атрибуту следующего перехода.

    Например, определите политику p1 для перенаправления трафика на IP-адрес следующего перехода 10.1.1.1.

  3. Определите политику для задания, добавления или удаления BGP, используя устаревшие спецификации потока, следующий перенаправление атрибута перехода на IP-действие.

    Например, определите политику p1, установите, добавьте или удалите BGP сообщества redirnh, чтобы перенаправить трафик DDoS на IP-адрес следующего перехода 10.1.1.1.

Таблица истории выпусков
Версия
Описание
20.3R1
Начиная с версии cRPD 20.3R1, маршруты потока и правила регулирования, распространяемые через спецификацию потока NLRI BGP, загружаются в ядро Linux через структуру Netfilter Linux в средах cRPD.
16.1R4
Начиная Junos OS версии 16.1R4, диапазон ограничений по скорости находится [от 0 до 100000000000000].
16.1
Начиная с Junos OS 16.1 поддержка IPv6 расширена до BGP потока, который разрешает распространение правил спецификации потока трафика для пакетов IPv6 и VPN-IPv6.
16.1
Начиная с Junos OS выпуска 16.1R1, BGP потока поддерживает действие фильтрации по extended-community маркировке трафика.
16.1
Начиная с Junos OS 16.1, можно не применять фильтр к трафику, flowspec полученному на определенных интерфейсах.
15.1
Начиная с Junos OS выпуска 15.1, выполняются изменения, чтобы расширить поддержку безостановочной активной маршрутизации (NSR) для существующих семейств inet-flow и inetvpn-flow и расширить проверку маршрутов для BGP flowpec per draft-ietf-idr-bgp-flowspec-oid-01.