경로 확인을 사용한 VPN 경로 제한
이 주제는 PE 라우터 및 경로 리플렉터에서 경로 해결을 구성하고 CE 라우터에서 제한된 수의 접두사를 수락하도록 PE 라우터를 구성하여 VPN 경로를 제한하는 것에 대해 설명합니다.
예: PE 라우터에서 경로 확인 구성
이 예는 특정 라우팅 테이블의 경로를 수락하도록 라우팅 테이블을 구성하는 방법을 보여줍니다. 또한 특정 가져오기 정책을 사용하여 경로를 확인하는 경로 확인 테이블을 생성하도록 라우팅 테이블을 구성하는 방법도 보여줍니다.
요구 사항
시작하기 전에 다음 예제 중 하나에 표시된 것처럼 레이어 3 VPN을 구성합니다.
개요
IPv4 경로 확장을 달성하는 한 가지 방법은 BGP 경로가 포워딩 테이블에 추가되는 방식을 수정하는 것입니다. 기본적으로 라우팅 프로토콜 프로세스(rpd)는 inet.0 및 inet.3의 모든 경로를 확인 트리에 추가합니다. 일반적으로 여기에는 메모리 소비를 증가시킬 수 있는 확인된 IPv4 BGP 경로가 포함됩니다. IPv4 경로에 대한 더 나은 확장을 달성하기 위해, 이 예는 해결된 BGP 경로가 확인 트리에 추가되지 않도록 Junos OS를 구성하는 방법을 보여줍니다. 이는 경로 확인 테이블에 가져오기 정책을 적용하여 inet.0에서 BGP 경로를 수락하지 않도록 함으로써 수행됩니다.
이 구성을 레이어 3 VPN의 모든 프로바이더 에지(PE) 라우터에 적용합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.
PE 라우터
set policy-options policy-statement protocol-bgp from protocol bgp set policy-options policy-statement protocol-bgp then reject set routing-options resolution rib inet.0 import protocol-bgp
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 관한 정보는 CLI 사용자 가이드에서 구성 모드에서 CLI 편집기 사용을 참조하십시오.
경로 확인 구성 방법:
라우팅 정책 구성
[edit policy-options policy-statement protocol-bgp] user@PE# set from protocol bgp user@PE# set then reject
라우팅 정책 적용
[edit routing-options resolution] user@PE# set rib inet.0 import protocol-bgp
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@PE# commit
결과
및 show routing-options 명령을 실행하여 show policy-options 구성을 확인합니다.
user@PE# show policy-options
policy-statement protocol-bgp {
from protocol bgp;
then reject;
}
user@PE# show routing-options
resolution {
rib inet.0 {
import protocol-bgp;
}
}
확인
다음 명령을 실행하여 구성이 제대로 작동하는지 확인합니다.
예: 경로 리플렉터에서 경로 확인 구성
이 예는 다음 홉 해결에 inet.3 대신 inet.0을 사용하도록 경로 리플렉터(RR)의 기본 해상도 동작을 변경하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음 예제 중 하나에 표시된 것처럼 레이어 3 VPN을 구성합니다.
개요
경로 확인을 위한 한 가지 시나리오는 RR에서 프로바이더 에지(PE) 라우터로 레이블 스위칭 경로를 구성했거나 PE 라우터가 RR과만 피어링하는 경우입니다. 이로 인해 경로가 숨겨질 수 있습니다. 이 문제를 해결하려면 다음 홉 해결에 inet.0을 사용하도록 기본 확인 동작을 변경할 수 있습니다.
기본적으로 bgp.l3vpn.0 라우팅 테이블은 모든 VPN-IPv4 유니캐스트 경로를 저장합니다. 이 테이블은 PE 라우터 및 RR을 포함하여 레이어 3 VPN이 구성된 모든 라우터에 표시됩니다.
레이어 3 VPN 라우터는 다른 레이어 3 VPN 라우터로부터 경로를 수신하면 해당 경로를 bgp.l3vpn.0 라우팅 테이블에 배치합니다. 경로는 inet.3 라우팅 테이블의 정보를 사용하여 해결됩니다. 즉, BGP가 테이블 bgp.l3vpn.0으로 향하는 경로를 수신하면 프로토콜 다음 홉(수신된 BGP 다음 홉)은 inet.3 테이블에서 재귀적으로 결정된 포워딩 다음 홉을 갖습니다. 결과 경로는 IPv4 형식으로 변환되고 VRF 가져오기 정책과 일치하는 경우 모든 routing-instance-name.inet.0 라우팅 테이블에 재배포됩니다.
고객 에지(CE) 라우터가 연결되지 않은 RR에서 구성은 resolution rib bgp.l3vpn.0 resolution-ribs inet.0 bgp.l3vpn.0의 경로가 inet.3 대신 inet.0의 정보를 사용하여 경로를 해결하도록 합니다. CE 라우터에 직접 연결된 라우터에서는 이 구성을 사용해서는 안 됩니다. 달리 말해, PE 라우터에서 사용하지 resolution rib bgp.l3vpn.0 resolution-ribs inet.0 마십시오.
inet.0과 inet.3을 모두 사용하려면 에서 set resolution rib bgp.l3vpn.0 resolution-ribs [inet.0 inet.3]와 같이 둘 다 구성해야 합니다.
이 예에서 정책은 POLICY-limit-resolve-routes IS-IS(Intermediate System to Intermediate System)를 통해 학습된 경로로만 경로 확인을 제한합니다. 가져오기 정책을 생략하면 inet.0의 모든 경로가 평가되고 프로토콜 다음 홉을 해결하는 데 사용될 수 있습니다. 모든 항목에 대해 해결하지 않으려면 정책을 사용하여 경로 확인에 사용되는 테이블에서 경로의 하위 집합을 필터링합니다.
한 가지 일반적인 예는 기본 경로(0/0)를 제외한 inet.0의 모든 경로에 대해 확인하는 경우입니다.
import 이 구성에서는 문이 사용되지만, 경로를 가져오거나 복사하지 않습니다. 오히려 구성은 import policy-name 경로 해결을 위해 고려할 수 있는 가능한 경로 집합을 제한합니다.
BGP RR이 resolution rib bgp.l3vpn.0 resolution-ribs inet.0 전송 경로에 없을 때 구성이 유용합니다. 즉, RR에 수신 LSP가 없습니다. RSVP가 레이블 신호 프로토콜이고 RSVP가 에지 라우터에서 풀 메시로 구성된 경우를 생각해 보십시오. RR은 경로를 반영할 수 있어야 합니다. 이를 위해 BGP는 경로 확인 가능성 검사를 수행해야 합니다. 레이어 3 VPN 경로가 수신되었지만 다음 홉이 inet.3 테이블에 없는 경우, 경로를 확인할 수 없습니다. 라우터가 전송 경로에 있지 않기 때문에 효과적인 해결 방법은 inet.0의 정보를 사용하는 것입니다. inet.0의 메트릭 정보는 포워딩에 사용할 수 없더라도 최적의 경로를 선택하는 데 유용합니다.
또 다른 접근법은 LSP가 RR에 프로비저닝되도록 하는 것입니다. LDP를 구성하면 자동으로 수행됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.
루트 리플렉터
set routing-options resolution rib bgp.l3vpn.0 resolution-ribs inet.0 set routing-options resolution rib inet.0 import POLICY-limit-resolve-routes set policy-options policy-statement POLICY-limit-resolve-routes term isis from protocol isis set policy-options policy-statement POLICY-limit-resolve-routes term isis then accept set policy-options policy-statement POLICY-limit-resolve-routes then reject
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 관한 정보는 CLI 사용자 가이드에서 구성 모드에서 CLI 편집기 사용을 참조하십시오.
경로 확인 구성 방법:
경로를 확인할 때 inet.3 대신 inet.0의 정보를 사용하도록 bgp.l3vpn.0을 구성합니다.
[edit routing-options resolution rib bgp.l3vpn.0] user@RR# set resolution-ribs inet.0
(선택 사항) 라우팅 정책 구성
[edit policy-options policy-statement POLICY-limit-resolve-routes] user@RR# set term isis from protocol isis user@RR# set term isis then accept user@RR# set then reject
(선택 사항) 정책을 적용합니다.
[edit routing-options resolution rib inet.0] user@RR# set import POLICY-limit-resolve-routes
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@RR# commit
결과
및 show routing-options 명령을 실행하여 show policy-options 구성을 확인합니다.
user@RR# show policy-options
policy-statement POLICY-limit-resolve-routes {
term isis {
from protocol isis;
then accept;
}
then reject;
}
user@RR# show routing-options
resolution {
rib bgp.l3vpn.0 {
resolution-ribs inet.0;
}
rib inet.0 {
import POLICY-limit-resolve-routes;
}
}
확인
다음 명령을 실행하여 구성이 제대로 작동하는지 확인합니다.
레이어 3 VPN의 CE 라우터에서 허용되는 경로 및 접두사 수 제한
라우팅 테이블에 설치할 수 있는 접두사 및 경로 수에 대한 최대 제한을 구성할 수 있습니다. 접두사 및 경로 제한을 사용하여 VPN의 CE 라우터에서 수신하는 접두사 및 경로 수를 줄일 수 있습니다. 접두사 및 경로 제한은 동적 라우팅 프로토콜에만 적용되며 정적 또는 인터페이스 경로에는 적용되지 않습니다.
CE 라우터에서 PE 라우터가 허용하는 경로 수를 제한하려면 문을 포함합니다 maximum-paths .
maximum-paths path-limit <log-interval interval | log-only | threshold percentage>;
이 문을 구성할 수 있는 계층 수준 목록은 문 요약 섹션을 참조하십시오.
log-only 옵션을 지정하여 경고 메시지만 생성합니다(권고 제한). 한계에 도달하기 전에 경고를 생성하려면 threshold 옵션을 지정합니다. 로그 메시지 간의 최소 시간 간격을 구성하려면 log-interval 옵션을 지정합니다.
경로 제한에는 권고 모드와 필수의 두 가지 모드가 있습니다. 권고 제한은 경고를 트리거합니다. 필수 제한은 제한에 도달한 후 추가 경로를 거부합니다.
경로 제한을 적용하면 예측할 수 없는 동적 라우팅 프로토콜 동작이 발생할 수 있습니다. 예를 들어 제한에 도달하고 경로가 거부되면 경로 수가 다시 제한선 아래로 떨어진 후 BGP는 거부된 경로를 다시 설치하지 않을 수 있습니다. BGP 세션을 삭제해야 할 수 있습니다.
CE 라우터에서 PE 라우터가 허용하는 접두사 수를 제한하려면 다음과 같은 명령문을 포함하십시오.maximum-prefixes
maximum-prefixes prefix-limit <log-interval interval | log-only | threshold percentage>;
이 문을 구성할 수 있는 계층 수준 목록은 문 요약 섹션을 참조하십시오.
경로 제한에는 권고 모드와 필수의 두 가지 모드가 있습니다. 권고 제한은 경고를 트리거합니다. 필수 제한은 제한에 도달한 후 추가 경로를 거부합니다.
경로 제한을 적용하면 예측할 수 없는 동적 라우팅 프로토콜 동작이 발생할 수 있습니다. 예를 들어 제한에 도달하고 경로가 거부되면 경로 수가 다시 제한선 아래로 떨어진 후 BGP는 거부된 경로를 다시 설치하지 않을 수 있습니다. BGP 세션을 삭제해야 할 수 있습니다.
필수 경로 또는 접두사 제한은 경고 메시지를 트리거할 뿐만 아니라 제한에 도달하면 추가 경로 또는 접두사를 거부합니다.
경로 또는 접두사 제한을 설정하면 예측 불가능한 동적 라우팅 프로토콜 동작이 발생할 수 있습니다.
또한 maximum-paths 및 maximum-prefixes 명령문 모두에 대해 다음 옵션을 구성할 수 있습니다.
log-interval - 로그 메시지가 전송되는 간격을 지정합니다. 이 옵션은 경고 메시지만 생성합니다(권고 제한).
로그 메시지 간의 최소 시간 간격을 구성하려면 log-interval 옵션을 지정합니다.
log-only—경고 메시지만 생성합니다. 라우팅 테이블에 저장된 경로 또는 접두사의 수에는 제한이 없습니다.
threshold—최대 경로 또는 접두사의 지정된 비율에 도달한 후 경고 메시지를 생성합니다.