SCU/DCU: source-class usage/destination-class usage POC驗證

2019-03-24 18:24:00
admin
原創
2169

1. 客戶需求

客戶有全國性的骨干網, PE 設備位于集團總部, CE 為各省分支機構出口。 PE-CE 采用 BGP 互聯, PE 有兩個出口, CE PE 發帶兩種 community BGP 路由,要求 PE community-1 的源地址流量選擇出口 1 出去,對 community-2 的源地址流量選擇出口 2 出去。一般 community 是查路由表時使用 , 查路由表只看目的地址,策略路由可以通過 ACL 匹配源地址,但 ACL 是在路由表查詢之前發生的,那時流量沒有 community 屬性,所以通過策略路由無法解決這個需求。

2. SCU/DCU 簡介

SCU/DCU Juniper 路由器私有特性, SCU/DCU: source-classusage/destination-class usage 我們可以根據路由的屬性區分數據包,例如,根據 BGP 的屬性,前綴信息等,將這一類具有相同的路由特征的數據包分類,并且根據這個分類進行進一步的數據層面的控制,可以用來:

對定義的 class 進行數據包統計和管理

對定義的 class 進行限速

對定義的 class 部署 QOS 策略

對定義的 SCU 進行 FBF 策略路由控制

簡單點說,在一個 transit AS 的路由器上,想對出 AS 的流量進行策略控制,可以使用 DCU ,相對入 AS 的流量進行策略控制,可以使用 SCU

在本次 POC 的客戶需求中,我們就是利用了 SCU 來進行 FBF 策略路由控制。

3. 測試拓撲描述


選用 vMX18.3 來模擬 PE CE 兩臺設備, vMX14.1 模擬 2 ISP ,外聯一臺 vQFX17.4 模擬到服務器。

為了簡化配置便于測試, PE vQFX 4 臺設備運行 OSPF ,將上半截的所有網段跑通。

PE-CE 之間運行 EBGP ,在 CE 設備上將 192.168.1/24 192.168.2/24 分別打上不同的 community 導入到 BGP 協議內,通過 EBGP 發送給 PE

ISP1 ISP2 兩臺設備上寫默認路由指向 PE 設備。

2 臺客戶端電腦為 vMX14.1 ,寫默認路由指向相應的 CE 接口。

服務器為 Linux ,寫默認路由到 vQFX 接口。

4. 配置和驗證

4.1. 路由配置

4.1.1. 上半截 OSPF 配置(部分)

[email protected]#show protocols ospf

area 0.0.0.0 {

    interface lo0.0 {

        passive;

    }

    interface ge-0/0/2.0 {

        interface-type p2p;

    }

    interface ge-0/0/3.0 {

        interface-type p2p;

    }

    interface ge-0/0/1.0 {

        interface-type p2p;

    }

}

4.1.2. CE 導入靜態路由

[email protected]# showpolicy-options

policy-statementdirect-bgp {

    term 1 {

         from {

            protocol direct;

            route-filter 192.168.1.0/24 exact;

        }

        then {

            community add client1;

            accept;

        }

    }

    term 2 {

        from {

            protocol direct;

            route-filter 192.168.2.0/24 exact;

        }

        then {

            community add client2;

            accept;

        }

    }

}

communityclient1 members 100:100;

communityclient2 members 200:200;     

4.2. SCU 策略

1、 先按照不同 community 打上不同的類

[email protected]#show policy-options

policy-statementassign-class {

    term 1 {

        from community client1;

        then {

            source-class classe1;

            accept;

        }

    }

    term 2 {

        from community client2;

        then {

            source-class classe2;

            accept;

        }

    }

}

2、 根據不同的類直接寫下一跳

[email protected]#show firewall

filter fbf {

    term 1 {

        from {

            source-class classe1;

        }

        then {

            next-ip 10.0.1.2/32;

        }

    }

    term2 {

        from {

            source-class classe2;

        }

        then {

            next-ip 10.0.2.2/32;

        }

    }

    term 3 {

        then accept;

    }

}

這里的設計為簡單解決用戶需求,實際上還可以設置 FBF 策略,將下一跳指向不同的 instance ,會更復雜一點。

3、 將轉發類的區分導入轉發表

[email protected]#show routing-options

autonomous-system65001;

forwarding-table{

    export assign-class;

}

4、 filter 應用到轉發表的出方向

[email protected]#show forwarding-options

family inet {

    filter {

        output fbf;

    }

}

5、 CE 相對應的接口配置源類使用記賬

[email protected]#show interfaces

ge-0/0/1 {

    unit 0 {

        family inet {

            accounting {

                source-class-usage {

                    input;

                }

            }

            address 10.0.0.1/24;

        }

    }

}

如果不在這里打開 accounting ,那么將不會生效。

4.3. 驗證

[email protected]#run traceroute 10.0.5.2

traceroute to10.0.5.2 (10.0.5.2), 30 hops max, 40 byte packets

 1   192.168.1.1 (192.168.1.1)   8.907ms   2.410 ms   1.512 ms

 2   10.0.0.1 (10.0.0.1)   3.003 ms   2.258 ms   2.426 ms

 3   10.0.1.2 (10.0.1.2)   7.915 ms   3.607 ms   2.509 ms

 4   10.0.3.1 (10.0.3.1)   108.962ms   195.581 ms   306.283 ms

 5   10.0.5.2 (10.0.5.2)   192.930ms   202.918 ms   199.827 ms

Client1 ISP1 出口

[email protected]#run traceroute 10.0.5.2

traceroute to10.0.5.2 (10.0.5.2), 30 hops max, 40 byte packets

 1   192.168.2.1 (192.168.2.1)   8.537ms   1.450 ms   1.371 ms

 2   10.0.0.1 (10.0.0.1)   2.620 ms   2.313 ms   2.022 ms

 3   10.0.2.2 (10.0.2.2)   9.501 ms   3.210 ms   2.987 ms

 4   10.0.4.1 (10.0.4.1)   126.354ms   204.247 ms   198.227 ms

 5   10.0.5.2 (10.0.5.2)   199.662ms   201.307 ms   197.346 ms

Client2 ISP2 出口

POC 完成既定效果。

繼續驗證:

[email protected]#run show route 192.168/22 extensive    

inet.0: 18destinations, 18 routes (18 active, 0 holddown, 0 hidden)

192.168.1.0/24(1 entry, 1 announced)

TSI:

KRT in-kernel192.168.1.0/24 -> {10.0.0.2}

Source class: classe1

        *BGP     Preference: 170/-101

                Next hop type: Router, Next hopindex: 591

                Address: 0xccd55d0

                Next-hop reference count: 6

                Source: 10.0.0.2

                Next hop: 10.0.0.2 viage-0/0/1.0, selected

                Session Id: 0x140

                State: <Active Ext>

                Local AS: 65001 Peer AS: 65000

                Age: 4:06:24

                Validation State: unverified

                Task: BGP_65000.10.0.0.2

                Announcement bits (1): 0-KRT

                AS path: 65000 I

                Communities: 100:100

                Accepted

                Localpref: 100

                Router ID: 2.2.2.2      

192.168.2.0/24(1 entry, 1 announced)

TSI:

KRT in-kernel192.168.2.0/24 -> {10.0.0.2}

Source class: classe2

        *BGP     Preference: 170/-101

                Next hop type: Router, Next hopindex: 591

                Address: 0xccd55d0

                Next-hop reference count: 6

                Source: 10.0.0.2

                Next hop: 10.0.0.2 viage-0/0/1.0, selected

                Session Id: 0x140

                State: <Active Ext>

                Local AS: 65001 Peer AS: 65000

                Age: 4:06:24

                Validation State: unverified

                Task: BGP_65000.10.0.0.2

                Announcement bits (1): 0-KRT

                AS path: 65000 I

                Communities: 200:200

                Accepted

                Localpref: 100

                Router ID: 2.2.2.2      

兩條來自客戶端的路由已經打上不同的類。





發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
街机金蟾捕鱼礼包激活码 四肖三期必开 浙江站华东15选5预测 福彩电子投注 吉林快三开奖查询 最新短线股票 星辰娱乐电玩城 深圳股票融资 十一选五稳赚技巧 秒速时时彩精准计划 福利彩票快乐8 湖北快3奖金多少 排列三试机号今天是什 排列三字谜 全球彩票app下载 a股是什么股票 十一选五浙江十一选