VPN ルートの分散
このトピックでは、ルート情報を処理するルーターの設定についてBGP、MPLSについて説明します。
VPN のルーティング情報交換の有効化
レイヤー 2 VPN、レイヤー 3 VPN、仮想ルーター ルーティング インスタンス、VPLS、EVPN、レイヤー 2 サーキットを適切に機能するには、サービス プロバイダの PE ルーターと P ルーターがルーティング情報を交換できる必要があります。これを実行するには、ルーター上でIGP(OSPF、IS-ISなど)または静的ルートを設定する必要があります。ルーティング プロトコル プロセスのマスター インスタンス上に IGP を、VPN に使用されるルーティング インスタンス内ではなく、階層レベルで設定 [edit protocols] [edit routing-instances] します。
PE ルーターを設定する場合、エリア 境界で PE ルーターのループバック アドレスのサマリ化を設定しません。各 PE ルーターのループバック アドレスは、別々のルートとして表示される必要があります。
VPN 内の PE ルーター間の IBGP セッションの設定
PE ルーター間の IBGP セッションを設定して、VPN で開始および終端するルートに関する情報を PE ルーターが交換できる必要があります。PE ルーターは、この情報を利用して、リモート サイト宛のトラフィックに使用するラベルを決定します。
VPN の IBGP セッションを次のように設定します。
[edit protocols]
bgp {
group group-name {
type internal;
local-address ip-address;
family evpn {
signaling;
}
family (inet-vpn | inet6-vpn) {
unicast;
}
family l2vpn {
signaling;
}
neighbor ip-address;
}
}
ステートメント内の IP local-address アドレスは、ローカル PE ルーター上のループバック インターフェイスのアドレスです。VPN の IBGP セッションは、ループバック アドレスを使用して実行されます。(階層レベルでループバック インターフェイスも [edit interfaces] 設定する必要があります)。
ステートメント内の IP neighbor アドレスは、隣接する PE ルーターのループバック アドレスです。RSVP シグナリングを使用している場合、この IP アドレスは、 LSP の設定時に階層レベルで ステートメントで指定したアドレスと同MPLS to [edit mpls label-switched-path lsp-path-name] されます。
ステートメント family を使用して、レイヤー2 VPN、VPLS、EVPN、またはレイヤー3 VPNのIBGPセッションを設定できます。
レイヤー 2 VPN および VPLS の IBGP セッションを設定するには、ステートメントを階層
signalingレベルに[edit protocols bgp group group-name family l2vpn]含てます。[edit protocols bgp group group-name family l2vpn] signaling;
EVPN の IBGP セッションを設定するには、ステートメント
signalingを階層レベルに[edit protocols bgp group group-name family evpn]含める:[edit protocols bgp group group-name family evpn] signaling;
レイヤー 3 VPN の IPv4 IBGP セッションを設定するには、階層
unicastレベルでステートメント[edit protocols bgp group group-name family inet-vpn]を設定します。[edit protocols bgp group group-name family inet-vpn] unicast;
レイヤー 3 VPN の IPv6 IBGP セッションを設定するには、階層
unicastレベルでステートメント[edit protocols bgp group group-name family inet6-vpn]を設定します。[edit protocols bgp group group-name family inet6-vpn] unicast;
同じピア family inet グループ family inet-vpn 内でも、両方 family inet6 とも family inet6-vpn 設定できます。これにより、同じピア グループ内で、IPv4 および IPv4 VPN ルート、または IPv6 と IPv6 の両方の VPN ルートのサポートを有効にできます。
VPN の集約ラベルの設定
VPN の集約ラベルを使用すると、ジュニパーネットワークス ルーティング プラットフォームでは、受信ラベルセット(ピア ルーターから受信したラベル)を、受信ラベル セットから選択された 1 つの転送ラベルに集約できます。単一の転送ラベルは、そのラベル セットの単一のネクスト ホップに対応しています。ラベル アグリゲーションにより、ルーターが検証する必要がある VPN ラベルの数が減少します。
集約フォワーディング ラベルを共有するラベル セットについては、同じ転送同等クラス(FEC)に属している必要があります。ラベル付けされたパケットは、同じ宛先エグレス インターフェイスを持つ必要があります。
ステートメントに community community-name ステートメントを含 aggregate-label め、共通の発生元コミュニティを持つプレフィックスを指定できます。ピア PE 上のポリシーで設定されたこれらのプレフィックスは、ピア PE ルーター上の FEC を表します。
ターゲット コミュニティが起点コミュニティではなく誤って設定されている場合、エグレス PE での問題の転送に問題が発生する可能性があります。ピア PE からのプレフィックスはすべて同じ FEC にあると見なされます。その結果、同じ VPN 内の特定の PE の背後にあるすべての CE ルーターに対して単一の内部ラベルが作成されます。
レイヤー 3 VPN ネットワークでルート リフレクタを使用するには、ルートがジュニパーネットワークス M10i時にのみ受信ラベルのセットを集約します。
同じピア ルーターから受信される
同じ発生源コミュニティを持つ
同じネクスト ホップを持つ
ルート リフレクタは、ルートのネクスト ホップを変更することなく、異なる BGP ピアから別の BGP ピア へ発信されたルートを転送するために、ネクスト ホップ要件が重要です。
VPN の集約ラベルを設定するには、次のアグリゲート ラベル ステートメントを含 にします。
aggregate-label { community community-name; }
このステートメントを含める階層レベルのリストについては、このステートメントのステートメントサマリを参照してください。
コミュニティーを構成する方法については、「 コミュニティーのネットワークBGP拡張コミュニティー、大規模コミュニティーをルーティング ポリシーの一致条件として理解する 」 を参照してください。
VPN のシグナリング プロトコルと LSP の設定
VPN を機能するには、プロバイダ エッジ(PE)ルーター上の LDP または RSVP、およびプロバイダ(P)ルーター上でシグナリング プロトコルを有効にする必要があります。また、受信ルーターとエグレス ルーター間の LSP(ラベルスイッチ パス)を設定する必要があります。一般的な VPN 設定では、フル メッシュの VPN に参加している他のすべての PE ルーターに、各 PE ルーターから LSP を設定する必要があります。
ネットワークに関連する設定MPLS、高密度の高速イーサネットICを経由してPEルーター上のコア側インターフェイスを設定することはできません。
シグナリング プロトコルを有効にするには、以下のいずれかのセクションで手順を実行します。
VPN シグナリングでの LDP の使用
VPN シグナリングに LDP を使用するには、PE およびプロバイダ(P)ルーターで次の手順を実行します。
階層レベルに ステートメントを含めて、サービス プロバイダ ネットワークのコア内のインターフェイスで LDP
ldpを[edit protocols]設定します。LDP は、PE ルーター間のインターフェース、または PE ルーターと P ルーター間のインターフェースでのみ設定する必要があります。これらを「コアに直面する」インターフェイスと考えても良い方法です。PE ルーターと(リモート)ルーター間のインターフェイスで LDP を設定カスタマー エッジ必要CE。
[edit] protocols { ldp { interface type-fpc/pic/port; } }階層レベルに ステートメントを含めて、LDP(ステップ 1で設定したインターフェイス)を有効にしたインターフェイス上に MPLS アドレス ファミリーを
family mpls[edit interfaces type-fpc/pic/port unit logical-unit-number]設定します。[edit] interfaces { type-fpc/pic/port { unit logical-unit-number { family mpls; } } }各 PE OSPF P IS-ISの設定または設定を行います。
これらのプロトコルは、VPNに使用されるルーティング インスタンス内ではなく、ルーティング プロトコルのマスター インスタンスで設定します。
設定をOSPF、 階層レベルに
ospfステートメントを[edit protocols]含める必要があります。少なくとも、ルーターのインターフェイスの少なくとも 1 つでバックボーン エリアを設定する必要があります。[edit] protocols { ospf { area 0.0.0.0 { interface type-fpc/pic/port; } } }設定するにはIS-IS階層レベルに ステートメントを含め、階層レベルでループバック インターフェイスと ISO(標準化国際組織)ファミリー
isis[edit protocols]を[edit interfaces]設定します。少なくとも、ルーター上で IS-IS を有効にし、ルーターのインターフェイスの 1 つ(好ましいループバック インターフェイス、lo0)でネットワーク エンティティ タイトル(NET)を設定し、IS-IS を実行するすべてのインターフェイスで ISO ファミリーを設定する必要があります。IS-ISを有効にすると、レベル 1 とレベル 2 はデフォルトで有効になります。最小構成の構成IS-IS以下に示します。ステートメントaddress内はaddressNET です。[edit] interfaces { lo0 { unit logical-unit-number { family iso { address address; } } } type-fpc/pic/port { unit logical-unit-number { family iso; } } } protocols { isis { interface all; } }
VPN シグナリングでの RSVP の使用
RSVP を VPN シグナリングに使用するには、次の手順に従います。
各 PE ルーターで、ポリシーをトラフィック制御。
これを行うには、トラフィック制御(IS-IS または OSPF)をサポートする内部ゲートウェイ プロトコル(IGP)を設定し、そのプロトコルの トラフィック制御 サポートを有効にする必要があります。
ネットワーク サポートをOSPF トラフィック制御するには、階層レベル
traffic-engineeringに ステートメントを[edit protocols ospf]含める:[edit protocols ospf] traffic-engineering { shortcuts; }デフォルトIS-ISではトラフィック制御は有効になっています。
各 PE および P ルーターで、ラベルスイッチ パス(LSP)に参加するインターフェイスで RSVP を有効にします。
PE ルーターでは、これらのインターフェイスは LSP へのイングレス/エグレス ポイントです。P ルーターでは、これらのインターフェイスが PE ルーター間の LSP を接続します。このインターフェイスは LSP の一部ではないので、PE ルーターとCEのインターフェイスで RSVP を有効にしてください。
PE ルーターおよび P ルーターで RSVP を設定するには、ステートメントを階層
interfaceレベルに[edit protocols rsvp]含める必要があります。interfaceRSVP を有効にする各インターフェイスに 1 つのステートメントを含める。[edit protocols] rsvp { interface interface-name; interface interface-name; }各 PE ルーターで、LSP のエグレス MPLSである PE ルーターに LSP を設定します。
これを行うには、
interfaceとlabel-switched-pathステートメントを階層レベルに[edit protocols mpls]含てます。[edit protocols] mpls { interface interface-name; label-switched-path path-name { to ip-address; } }ステートメントで、リモート PE ルーター上のアドレスである LSP のエグレス ポイントのアドレス
toを指定します。ステートメントで
interface、インターフェイスの名前を指定します(物理部分と論理部分の両方)。interfaceLSP に関連付けられているインターフェイスに 1 つのステートメントを含める。階層レベルで同じインターフェイスの論理部分を設定する場合は、
[edit interfaces]および ステートメントもfamily inet設定family mplsする必要があります。[edit interfaces] interface-name { unit logical-unit-number { family inet; family mpls; } }LSP に参加するすべての P ルーターで、 階層レベルに ステートメントMPLS
interfaceを有効にします[edit mpls]。interfaceLSP への接続ごとに 1 つのステートメントを含める。[edit] mpls { interface interface-name; interface interface-name; }階層MPLSステートメントを含めて、PE とCE間の
interfaceインターフェイス上で有効[edit mpls]にします。これにより、PE ルーターは LSP に入るトラフィックに MPLS ラベルを割り当て、LSP から出たトラフィックからそのラベルを削除できます。
[edit] mpls { interface interface-name; }ホストの設定について、詳MPLS MPLS信号 LSP 用のイングレス ルーターの設定 を 参照してください。
詳細については、
VPN の PE ルーター上の VRF テーブルのポリシーの設定
各 PE ルーターで、ルーターの VRF テーブルへのルートのインポート方法およびルーターの VRF テーブルからのエクスポート方法を定義するポリシーを定義する必要があります。これらのポリシーでは、ルート ターゲットを定義する必要があります。また、必要に応じてルートの起点を定義できます。
VRF テーブルのポリシーを設定するには、以下のセクションで手順を実行します。
- ルート ターゲットの設定
- ルート起点の設定
- PE ルーターの VRF テーブルのインポート ポリシーの設定
- PE ルーターの VRF テーブルのエクスポート ポリシーの設定
- VRF エクスポートと仮想エクスポート ポリシー BGP適用
- VRF ターゲットの設定
ルート ターゲットの設定
VPN ポリシー ポリシー 設定の一環としてルーティング テーブル、ルート ターゲットを定義する必要があります。このルートは、 の一部である VPN を定義します。異なるタイプの VPN サービス(レイヤー 2 VPN、レイヤー 3 VPN、EVPN、または VPLS)を同じ PE ルーターで設定する場合、必ず一意のルート ターゲット値を割り当て、ルート情報やシグナリング情報を間違った VPN ルーティング テーブル に追加しないようにしてください。
ルート ターゲットを設定するには、 ステートメントに target オプションを含 community める:
community name members target:community-id;
このステートメントは、以下の階層レベルに含めできます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
name はコミュニティの名前です。
community-id は、コミュニティの識別子です。以下のいずれかの形式で指定します。
as-number:numberはas-number、1 AS番号(2 バイトの値)でnumber、4 バイトのコミュニティ値です。番号AS 1~65,535の範囲内で指定できます。割り当てIANA非プライベートの AS 番号を使用することをお勧めします。好ましいのは ISP が所有する番号または顧客の電話番号ASです。コミュニティー値には、0~4,294,967,295 の範囲内の数値を指定できます(232 – 1)。ip-address:numberはip-address、IPv4 アドレス(4 バイト値)でnumber、2 バイトのコミュニティ値です。IP アドレスには、グローバルで一意のユニキャスト アドレスを任意に指定できます。ステートメントで設定したアドレスを使用することをお勧めします。ステートメントは、割り当てられたプレフィックス範囲の非プライベートrouter-idアドレスです。コミュニティ値には、1~65,535 の範囲の数値を指定できます。
ルート起点の設定
PE ルーターの VRF テーブルのインポート ポリシーとエクスポート ポリシーでは、他の PE ルーターに送信されたマルチプロトコル外部 BGP(MP-EBGP)VPN IPv4 ルート更新に適用された VRF エクスポート ポリシーを使用して、PE ルーターの VRF ルートにルートの起点(起点サイトとも呼ばれる)をオプションで割り当てできます。
受信 PE の VRF インポート ポリシーで割り当てられたルート起点属性を照合することで、1 つの PE から MP-EBGP アップデートを通じて学習した VPN-IPv4 ルートが、同じサイトに接続された別の PE から同じ VPN サイトに再送信されません。
ルート起点を設定するには、以下の手順に従います。
ステートメントに
communityオプションを含originめる:community name members origin:community-id;
このステートメントは、以下の階層レベルに含めできます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
nameはコミュニティの名前です。community-idは、コミュニティの識別子です。以下のいずれかの形式で指定します。as-number:numberはas-number、フィールドAS(2 バイト値)でnumber、4 バイトのコミュニティ値です。番号AS 1~65,535の範囲内で指定できます。割り当てIANA非プライベートの AS 番号を使用することをお勧めします。好ましいのは ISP が所有する番号または顧客の電話番号ASです。コミュニティー値には、0~4,294,967,295 の範囲内の数値を指定できます(232 – 1)。ip-address:numberはip-address、IPv4 アドレス(4 バイト値)でnumber、2 バイトのコミュニティ値です。IP アドレスには、グローバルで一意のユニキャスト アドレスを任意に指定できます。ステートメントで設定したアドレスを使用することをお勧めします。ステートメントは、割り当てられたプレフィックス範囲の非プライベートrouter-idアドレスです。コミュニティ値には、1~65,535 の範囲の数値を指定できます。
階層レベルでステップ 1 で定義された識別子を使用してステートメントを設定することで、PE ルーターの VRF テーブルのインポート ポリシーにコミュニティ
communitycommunity-idを[edit policy-options policy-statement import-policy-name term import-term-name from]含みます。PE ルーターの VRF テーブルのインポート ポリシーの設定 を参照してください。ポリシーの節でコミュニティ条件が指定されていない場合、ポリシーが適用されたステートメント
fromvrf-importはコミットできません。コミットJunos OSは、検証チェックに合格しません。階層レベルでステップ 1 で定義された識別子を使用してステートメントを設定することで、PE ルーターの VRF テーブルのエクスポート ポリシーにコミュニティ
communitycommunity-idを[edit policy-options policy-statement export-policy-name term export-term-name then]含める。PE ルーターの VRF テーブルのエクスポート ポリシーの設定 を参照してください。
設定 例については、「 VPN のルート起点 の設定 」を参照してください。
PE ルーターの VRF テーブルのインポート ポリシーの設定
各 VPN には、PE ルーターの VRF テーブルにルートをインポートする方法を定義するポリシーを設定できます。VPN 内の他の PE ルーターから受信したルートにインポート ポリシーが適用されます。ポリシーは、ピア PE ルーターとの IBGP セッションで受信したルートすべてを評価する必要があります。ルートが条件と一致する場合、ルートは PE ルーターの VRF テーブルに routing-instance-name.inet.0 インストールされます。インポート ポリシーには、他のすべてのルートを拒否する 2 番目の用語を含む必要があります。
インポート ポリシーにステートメントだけが含まれている場合を含める場合を含める場合は、コミュニティへの then reject リファレンスを含める必要があります。そうしないと、設定をコミットするとコミットが失敗します。複数のインポート ポリシーを設定できます。
インポート ポリシーは、IBGP を介してリモート PE ルーターから学習した VPN ルートに基づいて、指定された VRF テーブルにインポートする方法を決定します。IBGP セッションは、階層レベルで [edit protocols bgp] 設定されています。階層レベルでインポート ポリシーも設定した場合は、階層レベルのインポート ポリシーと階層レベルが論理 AND 操作を通して [edit protocols bgp] [edit policy-options] [edit protocols bgp] 結合されます。これにより、トラフィックをグループとしてフィルタリングできます。
PE ルーターの VRF テーブルにインポート ポリシーを設定するには、以下の手順に従います。
インポート ポリシーを定義するには、 ステートメントを含
policy-statementめる。すべての PE ルーターの場合、インポート ポリシーは必ずステートメントを含policy-statementめる必要があります。policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }ステートメントは、
policy-statement以下の階層レベルに含めできます。[edit policy-options][edit logical-systems logical-system-name policy-options]
この
import-policy-nameポリシーは、IBGP セッションで他の PE ルーターと受信したルートすべてを評価します。ルートがステートメント内の条件と一致する場合、ルートは PE ルーターのfromrouting-instance-name .inet.0 VRF テーブルにインストールされます。ポリシーの 2 番目の用語は、他のすべてのルートを拒否します。ポリシー作成の詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」 を参照してください。
必要に応じて正規表現を使用して、VRF インポート ポリシーに使用するコミュニティのセットを定義できます。
たとえば、 階層レベルの ステートメントを
community使用して、以下を[edit policy-options policy-statement policy-statement-name]設定できます。[edit policy-options vrf-import-policy-sample] community high-priority members *:50
ルート ターゲットの拡張コミュニティの一部として正規表現を設定することはできません。コミュニティーの正規表現を設定する方法の詳細については、「 コミュニティーおよび拡張コミュニティーを定義する方法BGP を参照してください 。
インポート ポリシーを設定するには、 ステートメントを含
vrf-importします。vrf-import import-policy-name;
このステートメントは、以下の階層レベルに含めできます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
PE ルーターの VRF テーブルのエクスポート ポリシーの設定
各 VPN には、PE ルーターの VRF テーブルからルートをエクスポートする方法を定義するポリシーを設定できます。VPN 内の他の PE ルーターに送信されるルートにエクスポート ポリシーが適用されます。エクスポート ポリシーは、ルーティング プロトコル セッションと同じルーターで受信したルートCE必要があります。(このセッションでは、RIP(BGP、OSPF ルーティング情報プロトコル(RIP)ルーティング プロトコル、スタティック ルートを使用できます)。ルートが条件に一致すると、指定されたコミュニティ ターゲット(ルート ターゲット)が追加され、リモート PE ルーターにエクスポートされます。エクスポート ポリシーには、他のすべてのルートを拒否する 2 番目の用語を含む必要があります。
VPN ルーティング インスタンス内で定義されたエクスポート ポリシーは、VRF テーブルに適用される唯一のエクスポート ポリシーです。PE ルーター間の IBGP セッションで定義したエクスポート ポリシーは、VRF テーブルには効果がありません。複数のエクスポート ポリシーを設定できます。
PE ルーターの VRF テーブルに対してエクスポート ポリシーを設定するには、以下の手順に従います。
すべての PE ルーターについて、エクスポート ポリシーは、ルーティング インスタンス内の CE ルーターと PE ルーター間で設定するルーティング プロトコルのタイプに従って、接続された CE ルーターとの間で VPN ルートを配信する必要があります。
エクスポート ポリシーを定義するには、 ステートメントを含
policy-statementめる。エクスポート ポリシーは、少なくとも次のようにpolicy-statementステートメントを含める必要があります。policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }メモ:ステートメントの設定
community addは、レイヤー 2 VPN VRF エクスポート ポリシーに関する要件です。ステートメントを ステートメントに変更した場合、レイヤー 2 VPN リンクのエグレスのルーターが接続community addcommunity setをドロップする可能性があります。メモ:source-specific モードで動作する draft-rosen マルチキャスト VPN を設定し、ステートメントを使用してエクスポート ポリシーを指定する場合、ポリシーには
vrf-exportvrf-name.mdt.0 ルーティング テーブル からのルートを受け入れる条件が必要です。この用語は、アドレス ファミリーを使用した適切な PE 自動検出inet-mdtを保証します。ソース固有モードで動作する draft-rosen マルチキャスト VPN を設定し、 ステートメントを使用すると、VRF エクスポート ポリシーが自動的に生成され
vrf-target、vrf-name.mdt.0 ルーティング テーブル からのルートを自動的に受け入れされます。ステートメントは、
policy-statement以下の階層レベルに含めできます。[edit policy-options][edit logical-systems logical-system-name policy-options]
この
export-policy-nameポリシーは、ルーティング プロトコル セッションとルーティング ルーターで受信したルートCEします。(このセッションでは、ルーティング プロトコルBGPルーティングOSPF RIP ルーティング プロトコル、スタティック ルートを使用できます)。ルートがステートメント内の条件と一致する場合、ステートメントで指定されたコミュニティ ターゲットが追加され、リモート PE ルーターにfromthen community addエクスポートされます。ポリシーの 2 番目の用語は、他のすべてのルートを拒否します。ポリシー作成の詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」 を参照してください。
ポリシーを適用するには、 ステートメントを含
vrf-exportします。vrf-export export-policy-name;
このステートメントは、以下の階層レベルに含めできます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
VRF エクスポートと仮想エクスポート ポリシー BGP適用
PE ルーターの VRFテーブルのエクスポート ポリシーの設定 で説明されている VRF エクスポート ポリシーを適用すると、VPN ルーティング インスタンスからのルートは、このポリシーに基づいて他の PE ルーターにアドバタイズされます。一方、BGP エクスポート ポリシーは無視されます。
BGP 設定にステートメントを含める場合、他の PE ルーターへの VPN ルーティング テーブルでルートがアドバタイズされる前に、VRF エクスポート ポリシーと BGP グループまたはネイバーエクスポート ポリシーの両方が(VRF 最初に、BGP)適用されます。 vpn-apply-export
PE デバイスがキャリアオーバーキャリアまたは AS 間 VPN でルート リフレクタ(RR)または ASBR(自律システム 境界ルーター)として機能している場合、vrf-export ポリシーでのネクストホップ操作は無視されます。
ステートメントを含 vpn-apply-export める場合、以下の点に注意してください。
bgp.l3vpn.0 ルーティング テーブル にインポートされたルートは、元のルートの属性を保持します(たとえば、OSPF ルートは bgp.l3vpn.0 ルーティング テーブル に保存されている場合でも、OSPF ルートは保持されます)。IBGP PEルーターとPEルーター、ルートリフレクタとPEルーター、または ASBR(AS境界ルーター)ピア ルーター間の接続に対してエクスポート ポリシーを設定する場合は、この点に注意してください。
デフォルトでは、bgp.l3vpn.0 サーバー内のすべてのルートルーティング テーブル IBGP ピアにエクスポートされます。最後のエクスポート ポリシー ステートメントですべてが拒否され、エクスポート ポリシーが bgp.l3vpn.0 ルーティング テーブル 内のルートで特に一致しない場合、ルートはエクスポートされません。
VRF エクスポートとエクスポート ポリシーのBGP VPN ルートに適用するには、次のステートメントを含 vpn-apply-export める必要があります。
vpn-apply-export;
このステートメントを含める階層レベルのリストについては、このステートメントの ステートメントサマリ セクションを参照してください。
VRF ターゲットの設定
VRF ターゲット コミュニティの設定にステートメントを含め設定すると、指定されたターゲット コミュニティでルートを受け入れてタグ付けするデフォルト VRF インポート ポリシーとエクスポート ポリシーが生成 vrf-target されます。VRF のインポート ポリシーとエクスポート ポリシーを明示的に設定することで、さらに複雑なポリシーを作成できます。これらのポリシーは、ステートメントの設定時に生成されるデフォルト ポリシーを上書き vrf-target します。
ステートメントのおよびオプションを設定しない場合、 import export 指定されたコミュニティ文字列が両方 vrf-target 向に適用されます。and import キーワード export を使って柔軟性を高め、各方向に異なるコミュニティを指定できます。
VRF ターゲット コミュニティの構文は名前ではありません。指定する形式を指定する必要があります target:x:y 。ステートメントを使用してそのコミュニティーのコミュニティー メンバーを構成する必要もため、コミュニティー名を指定 policy-options することはできません。ステートメントを定義 policy-options する場合は、通常どおり VRF のインポート ポリシーとエクスポート ポリシーを設定できます。ステートメントの目的は、ほとんどのステートメントを階層レベルで設定できるようにして、 vrf-target 設定を [edit routing-instances] 簡素化することでした。
VRF ターゲットを設定するには、 ステートメントを含 vrf-target します。
vrf-target community;
このステートメントは、以下の階層レベルに含めできます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
ステートメントの設定例は次 vrf-target のとおりです。
[edit routing-instances sample] vrf-target target:69:102;
と オプションを vrf-target 使用して export ステートメントを設定 import するには、次のステートメントを含にします。
vrf-target { export community-name; import community-name; }
このステートメントは、以下の階層レベルに含めできます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
VPN のルート起点の設定
ルート起点を使用して、オリジン コミュニティでマークされた 1 つの カスタマー エッジ(CE)ルーターから学習されたルートが、同じ AS 内の別の CE ルーターからアドバタイズされるのを防AS。
この例では、ルートの起点を使用して、200年内にルーターEにアドバタイズされCE ASされたCEルーター Aから学習されたルートがCE防止します。トポロジーの例を図 1 に示します。
このトポロジーでは、ルーター CE AとCEルーターEが同じAS(AS200)内にいます。EBGP を使用して、それぞれの PE(プロバイダ エッジ)ルーター、PE ルーター B、PE ルーター D とルートを交換します。この 2 CE ルーターにはバック接続があります。
以下のセクションでは、VPN グループのルート起点を設定する方法について説明します。
- ルーター A 上のオリジン CEの設定
- リモート ルーター A 上CEの設定
- ルーター A のポリシー ステートメントCE適用
- PE ルーター D でのポリシーの設定
- PE ルーター D でのコミュニティの設定
- PE ルーター D にポリシーを適用する
ルーター A 上のオリジン CEの設定
次のセクションでは、この例の PE ルーター B にCE元コミュニティでルートをアドバタイズするルーター A の設定方法について説明します。
この例では、直接ルートはアドバタイズするように設定されますが、任意のルートを設定できます。
ルーター A 上のコミュニティとルートをアドバタイズ my-soo するCEを次のように設定します。
[edit]
policy-options {
policy-statement export-to-my-isp {
term a {
from {
protocol direct;
}
then {
community add my-soo;
accept;
}
}
}
}
リモート ルーター A CEの設定
以下のように my-soo ルーター A のCEを設定します。
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
ルーター A のポリシー ステートメントCE適用
次のように、export-to-my-isp ポリシー ステートメントをエクスポート ポリシーとして、デバイス ルーター A 上の EBGP ピアリングCE適用します。
[edit]
protocols {
bgp {
group my_isp {
export export-to-my-isp;
}
}
}
コマンドを発行すると、コミュニティを持つ PE ルーター B から発信された次のルート show route receive-protocol bgp detail が表示 my-soo されます。
user@host> show route receive-protocol bgp 10.12.99.2 detail
inet.0: 16 destinations, 16 routes (15 active, 0 holddown, 1 hidden)
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
vpn_blue.inet.0: 8 destinations, 10 routes (8 active, 0 holddown, 0 hidden)
* 10.12.33.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
10.12.99.0/30 (2 entries, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 10.255.71.177/32 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
* 192.168.64.0/21 (1 entry, 1 announced)
Nexthop: 10.12.99.2
AS path: 100 I
Communities: origin:100:1
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
mpls.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
bgp.l3vpn.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
inet6.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
__juniper_private1__.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0
hidden)
PE ルーター D でのポリシーの設定
CE ルーター A によってタグ付けされたコミュニティでルートがルーター E にアドバタイズされるのを防ぐ PE ルーター D にポリシーを設定CEに my-soo 従います。
[edit]
policy-options {
policy-statement soo-ce1-policy {
term a {
from {
community my-soo;
then {
reject;
}
}
}
}
}
PE ルーター D でのコミュニティの設定
PE ルーター D のコミュニティを次のように設定します。
[edit]
policy-options {
community my-soo {
members origin:100:1;
}
}
PE ルーター D にポリシーを適用する
CE ルーター A から学習されたルートが CE ルーター E にアドバタイズされるのを防ぐために(2 台のルーターがこれらのルートを直接通信できます)、ポリシー ステートメントを PE ルーター D および CE ルーター soo-ce1-policy E EBGP セッションにエクスポート ポリシーとして適用します。 vpn_blue
コマンドを使用して、PEルーターDのEBGPセッションを表示 show routing-instances します。
user@host# show routing-instances
vpn_blue {
instance-type vrf;
interface fe-2/0/0.0;
vrf-target target:100:200;
protocols {
bgp {
group ce2 {
advertise-peer-as;
peer-as 100;
neighbor 10.12.99.6;
}
}
}
}
次のようにポリシー ステートメントを PE ルーター D にエクスポート ポリシーとして適用し soo-ce1-policy CE E EBGP セッション vpn_blue に適用します。
[edit routing-instances]
vpn_blue {
protocols {
bgp {
group ce2{
export soo-ce1-policy;
}
}
}
}