客户要将S85交换机替换为我司S9500E交换机,S85(V3版本)设备配置主要涉及BGP VPNV4聚合路由发布/过滤;现场将S85替换为S95E(V5版本)后发现VPNV4聚合路由配置不生效,S85(V3版本)关于VPNV4聚合路由发布/过滤的配置如下:
下述仅针对vpn实例FMIS_VPN下的10.135.120.0这条路由进行说明:
acl number 2503
rule 4 permit vpn-instance FMIS_VPN source 10.135.120.0 0
route-policy 1 permit node 20
if-match acl 2503
apply community 0:759 0:999
peer ST route-policy 1 export
peer ST filter-policy 2503 export
上述配置在S8500上可以正确匹配到VPN FMIS_VPN 中前缀为 10.135.120.0的路由,并且能够正确的打上团体属性0:759 0:999,且仅将这条路由发布给远端。
1、S9500E因为无法在VPN FMIS_VPN匹配到路由而无法正确发布/过滤,可通过修改相关配置来解决该问题;
1.1 对不同VPN的路由配置不同的团体属性,然后用匹配团体属性来代替原先的匹配VPN,来实现打上团体属性和过滤的需求。即将原来的一条acl规则按照不同的vpn拆分成多条acl规则,用来进行匹配相应的vpn路由。
以上例修改为例,在S9500E上需要如下修改:
ipv4-family vpn-instance FMIS_VPN
aggregate 10.135.120.0 255.255.248.0 attribute-policy FMIS_VPN
#含义:对聚合路由通过策略FMIS_VPN修改团体属性;
route-policy FMIS_VPN permit node 10
apply comm 2005:2005
#含义:定义策略FMIS_VPN,增加团体属性2005:2005。也就是说,对私网FMIS_VPN和团体属性2005:2005是一一对应的。
ip community-list 55 permit 2005:2005
#含义:定义团体列表55,匹配2005:2005
acl number 2005 name FMIS_VPN
rule 13 permit source 10.135.120.0 0
rule 15 deny
#含义:定义acl规则2005,只允许前缀10.135.120.0。(其他的vpn也定义相应的acl规则)
route-policy 1 permit node 10
if-match community 55
if-match acl 2005 //V7版本命令为if-if-match ip addresss acl 2005
apply cost 100 //增加这一行是由于目前V5/V7版本对于本地产生的聚合路由MED值为0,需要恢复成与S8500一致
apply community 0:759 0:999
#含义:定义策略1,如果匹配团体列表55和acl规则2005,则增加团体0:759 0:999。也就是说,对私网FMIS_VPN,只允许10.135.120.0这个前缀通过策略。和原配置符合,说白了就是把原配置的一条红色配置分解为新配置的两条蓝色配置。
route-policy 1 deny node 20 //只发布置位团体属性的聚合路由,其余不发布,实现过滤
peer YJJ-76 route-policy 1 export
对不同VPN的路由配置不同的团体属性,然后用匹配团体属性来代替原先的匹配VPN,来实现打上团体属性和过滤的需求。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作