Encaminhamento baseado em pacotes
Um dispositivo SRX opera em dois modos diferentes: modo de pacote e modo de fluxo. No modo de fluxo, o SRX processa todo o tráfego analisando o estado ou a sessão do tráfego. Isso também é chamado de processamento stateful do tráfego. No modo pacote, o SRX processa o tráfego por pacote. Isso também é conhecido como processamento stateless de tráfego.
Entender o processamento baseado em pacotes
Pacotes que entram e saem de um dispositivo da Juniper Networks que executa o Junos OS podem passar por processamento baseado em pacotes. O processamento de pacotes baseado em pacotes ou stateless trata pacotes de forma discreta. Cada pacote é avaliado individualmente para tratamento. O encaminhamento baseado em pacotes stateless é realizado em uma base de pacote por pacote, sem considerar as informações de fluxo ou estado. Cada pacote é avaliado individualmente para tratamento.
A Figura 1 mostra o fluxo de tráfego para o encaminhamento baseado em pacotes.
À medida que os pacotes entram no dispositivo, classificadores, filtros e policiais são aplicados a ele. Em seguida, a interface de saída para o pacote é determinada por meio de uma busca de rotas. Assim que a interface de saída do pacote for encontrada, os filtros são aplicados e o pacote é enviado para a interface de saída, onde está enfileirado e programado para transmissão.
O encaminhamento baseado em pacotes não requer nenhuma informação sobre pacotes anteriores ou subsequentes que pertençam a uma determinada conexão, e qualquer decisão de permitir ou negar tráfego é específica do pacote. Essa arquitetura tem o benefício do dimensionamento massivo porque encaminha pacotes sem acompanhar fluxos ou estado individuais.
Começando pelo Junos OS Release 15.1X49-D100, para o SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550M e SRX650, o tamanho máximo de captura de pacotes é expandido para 1520 bytes para permitir capturas de 1500 bytes de dados e o cabeçalho Ethernet de 12 byte da Juniper."
Entender serviços seletivos baseados em pacotes sem estado
Serviços seletivos baseados em pacotes sem estado permitem que você use o encaminhamento baseado em fluxo e baseado em pacotes simultaneamente em um sistema. Você pode direcionar o tráfego seletivamente que requer encaminhamento stateless baseado em pacotes para evitar o encaminhamento stateful baseado em fluxo usando filtros de firewall stateless, também conhecidos como listas de controle de acesso (ACLs). O tráfego não tão direcionado segue o caminho padrão de encaminhamento baseado em fluxo. Contornar o encaminhamento baseado em fluxo pode ser útil para o tráfego para o qual você deseja explicitamente evitar restrições de escala de sessão de fluxo.
Por padrão, os dispositivos Juniper Networks Security que executam o Junos OS usam o encaminhamento baseado em fluxo. Serviços seletivos baseados em pacotes sem estado permitem que você configure o dispositivo para fornecer apenas processamento baseado em pacotes para tráfego selecionado com base em termos de filtro de entrada. Outro tráfego é processado para encaminhamento baseado em fluxo. Contornar o encaminhamento baseado em fluxo é útil para implantações em que você deseja evitar restrições de escala de sessão e custos de criação e manutenção de sessões.
Quando você configura o dispositivo para processamento seletivo baseado em pacotes sem estado, os pacotes que entram no sistema são tratados de maneira diferente, dependendo de determinadas condições:
Se um pacote satisfaz as condições de correspondência especificadas em termos de filtro de entrada, ele é marcado para o modo de pacote e todos os recursos de modo de pacote configurados são aplicados a ele. Não são aplicados recursos de segurança baseados em fluxo. Isso os ignora.
Se um pacote não tiver sido sinalizado para o modo de pacote, ele passa por processamento normal. Todos os serviços, exceto MPLS, podem ser aplicados a esse tráfego.
A Figura 2 mostra o fluxo de tráfego com serviços seletivos baseados em pacotes sem estado ignorando o processamento baseado em fluxo.
Quando o pacote entra em uma interface, os filtros de pacote de entrada configurados na interface são aplicados.
Se o pacote atender às condições especificadas no filtro de firewall, um modificador de
packet-mode
ação será definido no pacote. O modificador de ação em modo de pacote atualiza um campo de bits no buffer de chave de pacote — este campo de bits é usado para determinar se o encaminhamento baseado em fluxo precisa ser ignorado. Como resultado, o pacote com o modificador de ação do modo de pacote ignora completamente o encaminhamento baseado em fluxo. A interface de saída para o pacote é determinada por meio de uma busca de rotas. Assim que a interface de saída do pacote for encontrada, os filtros são aplicados e o pacote é enviado para a interface de saída, onde está enfileirado e programado para transmissão.Se o pacote não corresponder às condições especificadas neste termo de filtro, ele será avaliado em relação a outros termos configurados no filtro. Se, após todos os termos serem avaliados, um pacote não corresponda a termos em um filtro, o pacote será descartado silenciosamente. Para evitar que os pacotes sejam descartados, você configura um termo no filtro especificando uma ação para aceitar todos os pacotes.
Um conjunto definido de serviços stateless está disponível com serviços seletivos baseados em pacotes stateless:
Roteamento IPv4 (protocolos unicast e multicast)
Classe de serviço (CoS)
Fragmentação e interleavamento de enlace (LFI)
Encapsulamento de roteamento genérico (GRE)
Comutação de Camada 2
Comutação de rótulos multiprotocol (MPLS)
Filtros de firewall stateless
Protocolo de transporte comprimido em tempo real (CRTP)
Embora o tráfego que exija serviços MPLS deve ser processado no modo pacote, em algumas circunstâncias pode ser necessário aplicar simultaneamente determinados serviços a esse tráfego que só podem ser fornecidos no modo de fluxo, como inspeção stateful, NAT e IPsec. Para direcionar o sistema a processar o tráfego em modos de fluxo e pacote, você deve configurar várias instâncias de roteamento conectadas por uma interface de túnel. Uma instância de roteamento deve ser configurada para processar os pacotes no modo de fluxo e a outra instância de roteamento deve ser configurada para processar os pacotes no modo pacote. Quando você usa uma interface de túnel para conectar instâncias de roteamento, o tráfego entre essas instâncias de roteamento é injetado novamente no caminho de encaminhamento e ele pode ser reprocessado usando um método de encaminhamento diferente.
Visão geral seletiva da configuração de serviços baseados em pacotes sem estado
Esse recurso tem suporte para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500 e vSRX. Você configura serviços seletivos baseados em pacotes stateless usando os filtros de firewall stateless, também conhecidos como listas de controle de acesso (ACLs). Você classifica o tráfego para encaminhamento baseado em pacotes especificando condições de correspondência nos filtros de firewall e configurando um packet-mode
modificador de ação para especificar a ação. Assim que as condições e ações de correspondência são definidas, os filtros de firewall são aplicados a interfaces relevantes.
Para configurar um filtro de firewall:
Quando o pacote entra em uma interface, os filtros de pacote de entrada configurados na interface são aplicados. Se o pacote combinar com as condições especificadas e packet-mode
a ação for configurada, o pacote ignora completamente o encaminhamento baseado em fluxo.
Ao configurar filtros, fique atento à ordem dos termos dentro do filtro de firewall. Os pacotes são testados em cada termo na ordem em que ele está listado na configuração. Quando as primeiras condições de correspondência são encontradas, a ação associada a esse termo é aplicada ao pacote e a avaliação do filtro de firewall termina, a menos que o next term
modificador de ação seja incluído. Se a ação next term
for incluída, o pacote de correspondência é então avaliado em relação ao próximo termo no filtro de firewall; caso contrário, o pacote de correspondência não é avaliado em relação aos termos subseqüentes no filtro de firewall.
Ao configurar filtros de firewall para serviços seletivos baseados em pacotes stateless:
Identifique o tráfego com precisão que precisa contornar o fluxo para evitar quedas desnecessárias de pacotes.
Certifique-se de aplicar o filtro de firewall com ação do modo pacote em todas as interfaces envolvidas no caminho de fluxo baseado em pacotes.
Certifique-se de configurar o tráfego TCP vinculado ao host para usar o encaminhamento baseado em fluxo — exclua esse tráfego ao especificar condições de correspondência para o termo de filtro de firewall que contém o
packet-mode
modificador de ação. Qualquer tráfego TCP vinculado ao host configurado para contornar o fluxo é descartado. O processamento do modo de fluxo assíncronos não é suportado com serviços seletivos baseados em pacotes stateless.Configure filtros de pacote de entrada (não saída) com o
packet-mode
modificador de ação.
Os filtros de firewall aninhados (configurando um filtro no prazo de outro filtro) não são suportados com serviços seletivos baseados em pacotes stateless.
Alguns cenários típicos de implantação em que você pode configurar serviços seletivos baseados em pacotes sem estado são os seguintes:
Fluxo de tráfego entre interfaces lan privadas e WAN, como para tráfego intranet, onde o encaminhamento de ponta a ponta é baseado em pacotes
Fluxo de tráfego entre lan privada e interfaces WAN não tão seguras, onde o tráfego usa o encaminhamento baseado em pacotes e baseado em fluxo para tráfego seguro e não tão seguro, respectivamente
Fluxo de tráfego entre a interface lan privada e WAN com failover para WAN IPsec baseada em fluxo quando o enlace WAN privado está desligado
Fluxo de tráfego da LAN baseada em fluxo para a WAN MPLS baseada em pacotes
Exemplo: configurar serviços seletivos baseados em pacotes sem estado para encaminhamento de ponta a ponta baseado em pacotes
Este exemplo mostra como configurar serviços seletivos baseados em pacotes sem estado para o encaminhamento de ponta a ponta baseado em pacotes. Esse recurso é suportado nos dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500 e vSRX
Requisitos
Antes de começar:
Entenda como configurar filtros de firewall stateless.
Estabeleça conectividade básica. .
Visão geral
Neste exemplo, você configura os endereços IP para as interfaces em cada um dos dispositivos. Para R0 é 10.1.1.2/24 ; para R1 são 10,1,1,1/24, 10,2,1,1/24 e 203,0.113,1/30; para R2 é 203.0.113.2/30; e para R3 é 10.2.1.2/24. Você cria rotas estáticas e associa endereços next-hop para os dispositivos da seguinte forma: R0 é 10.1.1.2, R1 é 198.51.100.2, R2 é 203.0.113.1, e R3 é 10.2.1.1.
Em seguida, no dispositivo R1 você configura uma zona chamada não confiável e atribuí-la à interface ge-0/0/3. Você também cria uma zona chamada confiança e atribui interfaces ge-0/0/1 e ge-0/0/2 a ela. Você configura zonas de confiança e não confiáveis para permitir que todos os serviços de aplicativos suportados como serviços de entrada. Você permite que o tráfego de qualquer endereço de origem, endereço de destino e aplicativo passe entre as zonas.
Em seguida, você cria o filtro de fluxo de desvio do filtro de firewall e define os termos bypass-flow-term-1 e bypass-flow-term-2 que combinam o tráfego entre interfaces internas ge-0/0/1 e ge-0/0/2 e que contêm o modificador de ação do modo pacote. Você define o termo aceitar descanso para aceitar todo o tráfego restante. Por fim, você aplica o filtro de fluxo de desvio do filtro de firewall em interfaces internas ge-0/0/1 e ge-0/0/2 (não na interface externa). Como resultado, todo o tráfego interno ignora o encaminhamento baseado em fluxo e o tráfego de e para a Internet não ignora o encaminhamento baseado em fluxo.
A Figura 3 mostra a topologia de rede usada neste exemplo.
As filiais da sua empresa estão conectadas entre si por meio de uma WAN privada. Para esse tráfego interno, o encaminhamento de pacotes é necessário porque a segurança não é um problema. Assim, para esse tráfego, você decide configurar serviços seletivos baseados em pacotes stateless para contornar o encaminhamento baseado em fluxo. O tráfego restante, de e para a Internet, usa o encaminhamento baseado em fluxo.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entre no commit
modo de configuração.
{device R0} [edit] set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.2/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R1} set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.1/24 set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30 set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2 set security zones security-zone untrust interfaces ge-0/0/3 set security zones security-zone trust interfaces ge-0/0/1 set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy Internet-traffic match source-address any destination-address any application any set security policies from-zone trust to-zone untrust policy Internet-traffic then permit set security policies from-zone untrust to-zone trust policy Incoming-traffic match source-address any destination-address any application any set security policies from-zone untrust to-zone trust policy Incoming-traffic then permit set security policies from-zone trust to-zone trust policy Intrazone-traffic match source-address any destination-address any application any set security policies from-zone trust to-zone trust policy Intrazone-traffic then permit set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 from source-address 10.1.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term–1 from destination-address 10.2.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 then packet-mode set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from source-address 10.2.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from destination-address 10.1.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 then packet-mode set firewall family inet filter bypass-flow-filter term accept-rest then accept set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet filter input bypass-flow-filer set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet filter input bypass-flow-filer
{device R2} set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 10.1.1.2/30 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R3} [edit] set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.21.1.2/24 set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar serviços seletivos baseados em pacotes stateless para encaminhamento de ponta a ponta baseado em pacotes:
Configure os endereços IP para as interfaces nos dispositivos R0, R1, R2 e R3.
{device R0} [edit] user@host#
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.2/24
{device R1} [edit] user@host#
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.1/24
user@host#set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.1/24
user@host#set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30
{device R2} [edit] user@host#
set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30
{device R3} [edit] user@host#
set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.2/24
Crie rotas estáticas e associe os endereços next-hop apropriados para dispositivos R0, R1, R2 e R3.
{device R0} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R1} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 203.0.113.1
{device R2} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2
{device R3} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
Configure zonas de segurança e atribua interfaces.
{device R1} [edit] user@host#
set security zones security-zone untrust interfaces ge-0/0/3
user@host#set security zones security-zone trust interfaces ge-0/0/1
user@host#set security zones security-zone trust interfaces ge-0/0/2
Configure serviços de aplicativos para zonas.
{device R1} [edit] user@host#
set security zones security-zone trust host-inbound-traffic system-services all
user@host#set security zones security-zone untrust host-inbound-traffic system-services all
Configure uma política de segurança
{device R1} [edit] user@host#
set security policies from-zone trust to-zone untrust policy Internet-traffic match source-address any destination-address any application any
user@host#set security policies from-zone trust to-zone untrust policy Internet-traffic then permit
user@host#set security policies from-zone untrust to-zone trust policy Incoming-traffic match source-address any destination-address any application any
user@host#set security policies from-zone untrust to-zone trust policy Incoming-traffic then permit
user@host#set security policies from-zone trust to-zone trust policy Intrazone-traffic match source-address any destination-address any application any
user@host#set security policies from-zone trust to-zone trust policy Intrazone-traffic then permit
Crie um filtro de firewall e defina termos para todo o tráfego de encaminhamento baseado em pacotes.
{device R1} [edit] user@host#
set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 from source-address 10.1.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term–1 from destination-address 10.2.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 then packet-mode
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from source-address 10.2.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from destination-address 10.1.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 then packet-mode
Especifique outro termo para o tráfego restante.
{device R1} [edit] user@host#
set firewall family inet filter bypass-flow-filter term accept-rest then accept
Aplique o filtro de firewall em interfaces relevantes.
{device R1} [edit] user@host#
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet filter input bypass-flow-filer
user@host#set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet filter input bypass-flow-filer
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces
e show routing-options
show firewall
nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
{device R0} [edit] user@host# show interfaces ge-0/0/1 { description “Internal 1” unit 0 { family inet { address 10.1.1.2/24 } } }
{device R0} [edit] user@host# show routing-options static { route 0.0.0.0/0 next-hop 10.1.1.1; }
{device R2} [edit] user@host# show interfaces ge-0/0/3 { description “Internet” unit 0 { family inet { address 203.0.113.2/30; } } }
{device R2} [edit] user@host# show routing-options static { route 0.0.0.0/0 next-hop 203.0.113.1; }
{device R3} [edit] user@host# show interfaces ge-0/0/2 { description “Internal 2” unit 0 { family inet { address 10.2.1.2/24; } } }
{device R3} user@host# show routing-options static { route 0.0.0.0/0 next-hop 10.2.1.1; }
{device R1} [edit] user@host# show interfaces ge-0/0/1 { description “internal 1” unit 0 { family inet { filter { input bypass-flow-filter; } address 10.1.1.1/24; } } } ge-0/0/2 { description “Internal 2” unit 0 { family inet { filter { input bypass-flow-filter; } address 10.2.1.1/24; } } } ge-0/0/3 { description “Internet” unit 0 { family inet { address 203.0.113.1/30; } } } {device R1} [edit] user@host# show routing-options static { route 0.0.0.0/0 next-hop 203.0.113.1; } {device R1} [edit] user@host# show firewall family inet { filter bypass-flow-filter { term bypass-flow-term-1 { from { source-address { 10.1.1.0/24; } destination-address { 10.2.1.0/24; } } then packet-mode; } term bypass-flow-term-2 { from { source-address { 10.2.1.0/24; } destination-address { 10.1.1.0/24; } } then packet-mode; } term accept-rest { then accept; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
- Verificando a configuração de ponta a ponta baseada em pacotes
- Verificando o estabelecimento de sessão no tráfego intranet
- Verificando o estabelecimento de sessão no tráfego da Internet
Verificando a configuração de ponta a ponta baseada em pacotes
Propósito
Verifique se os serviços seletivos baseados em pacotes sem estado estão configurados.
Ação
Desde o modo de configuração, entre noshow interfaces
, show routing-options
, show security zones
show security policies
e show firewall
comandos.
Verifique se a saída mostra a configuração pretendida do filtro de firewall, interfaces e políticas.
Verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert
comando.
Verificando o estabelecimento de sessão no tráfego intranet
Propósito
Verifique se as sessões são estabelecidas quando o tráfego é transmitido para interfaces dentro da Intranet.
Ação
Para verificar se as sessões estão estabelecidas, execute as seguintes tarefas:
No dispositivo
R1
, entre no comando do modoclear security flow session all
operacional para limpar todas as sessões de fluxo de segurança existentes.No dispositivo
R0
, insira o comando de modoping
operacional para transmitir tráfego ao dispositivoR3
.No dispositivo
R1
, com o tráfego transmitindo de dispositivosR0
até oR3
fimR1
, entre no comando do modoshow security flow session
operacional.Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
Para verificar sessões estabelecidas, certifique-se de entrar no show security flow session
comando enquanto o ping
comando está enviando e recebendo pacotes.
A partir do Junos OS Release 15.1X49-D30 e do Junos OS Release 17.3R1, os resumos do fluxo de sessão incluem IDs de sessão de CP.
{device R0} user@host> ping 192.0.2.2 -c 10
PING 192.0.2.2 (192.0.2.2) 56(84) bytes of data. 64 bytes from 192.0.2.2: icmp_seq=1 ttl=63 time=6.07 ms 64 bytes from 192.0.2.2: icmp_seq=2 ttl=63 time=4.24 ms 64 bytes from 192.0.2.2: icmp_seq=3 ttl=63 time=2.85 ms 64 bytes from 192.0.2.2: icmp_seq=4 ttl=63 time=6.14 ms ...
{device R1} user@host>show security flow session
Flow Sessions on FPC10 PIC1: Session ID: 410000077, Policy name: Internet-traffic/5, Timeout: 2, Valid In: 198.51.100.1/3 --> 192.0.2.2/32055;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000198 Out: 192.0.2.2/32055 --> 198.51.100.1/3;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000198 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000079, Policy name: Internet-traffic/5, Timeout: 2, Valid In: 198.51.100.1/5 --> 192.0.2.2/32055;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000163 Out: 192.0.2.2/32055 --> 198.51.100.1/5;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000163 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000090, Policy name: Internet-traffic/5, Timeout: 4, Valid In:198.51.100.1/7 --> 192.0.2.2/32055;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000088 Out: 192.0.2.2/32055 --> 198.51.100.1/7;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000088 Total sessions: 1
A saída mostra o tráfego transmitindo de R0
para R3
e nenhuma sessão é estabelecida. Neste exemplo, você aplicou o modificador de ação bypass-flow-filter
em interfaces Internal 1
e Internal 2
o tráfego Intranet da sua empresa.packet-mode
Essa saída verifica se o tráfego entre as duas interfaces está contornando corretamente o encaminhamento baseado em fluxo e, portanto, nenhuma sessão é estabelecida.
Verificando o estabelecimento de sessão no tráfego da Internet
Propósito
Verifique se as sessões são estabelecidas quando o tráfego é transmitido para a Internet.
Ação
Para verificar se o tráfego para a Internet está usando o encaminhamento baseado em fluxo e sessões são estabelecidas, execute as seguintes tarefas:
No dispositivo
R1
, entre no comando do modoclear security flow session all
operacional para limpar todas as sessões de fluxo de segurança existentes.No dispositivo
R0
, insira o comando de modoping
operacional para transmitir tráfego ao dispositivoR2
.No dispositivo
R1
, com o tráfego transmitindo deR0
atéR2
o outroR1
, entre no comando do modoshow security flow session
operacional.
Para verificar sessões estabelecidas, certifique-se de entrar no show security flow session
comando enquanto o ping
comando está enviando e recebendo pacotes.
{device R0} user@host> ping 203.0.113.6
PING 203.0.113.6 (203.0.113.6): 56 data bytes 64 bytes from 203.0.113.6: icmp_seq=0 ttl=63 time=2.326 ms 64 bytes from 203.0.113.6: icmp_seq=1 ttl=63 time=2.569 ms 64 bytes from 203.0.113.6: icmp_seq=2 ttl=63 time=2.565 ms 64 bytes from 203.0.113.6: icmp_seq=3 ttl=63 time=2.563 ms 64 bytes from 203.0.113.6: icmp_seq=4 ttl=63 time=2.306 ms 64 bytes from 203.0.113.6: icmp_seq=5 ttl=63 time=2.560 ms 64 bytes from 203.0.113.6: icmp_seq=6 ttl=63 time=4.130 ms 64 bytes from 203.0.113.6: icmp_seq=7 ttl=63 time=2.316 ms ...
{device R1} user@host> show security flow session
Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
A saída mostra o tráfego transmitindo de dispositivos R0
para R1
sessões estabelecidas. Neste exemplo, você não aplicou o modificador packet-mode
de ação bypass-flow-filter
na interface Internet
para o tráfego de Internet da sua empresa. Essa saída verifica se o tráfego para a Internet está usando corretamente o encaminhamento baseado em fluxo e, portanto, as sessões são estabelecidas.
Transmita tráfego do dispositivo R3
para R2
e use os comandos nesta seção para verificar sessões estabelecidas.
Exemplo: configurar serviços seletivos baseados em pacotes sem estado para encaminhamento baseado em pacotes e baseados em fluxo
Este exemplo mostra como configurar serviços seletivos baseados em pacotes sem estado para encaminhamento baseado em pacotes e baseados em fluxo. Esse recurso tem suporte para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500 e vSRX.
Requisitos
Antes de começar:
Entenda como configurar filtros de firewall stateless.
Estabeleça conectividade básica. .
Visão geral
Neste exemplo, você configura os endereços IP para as interfaces em cada um dos dispositivos. Para o dispositivo R0 como 198.51.100.9/24; para R1 são198.51.100.10/24 e 203.0.113.5/24; e para R2 é 203.0.113.9/24. No dispositivo R1, você define uma interface de serviço interna lt-0/0/0 entre instâncias de roteamento e configura uma relação de peer entre dois dispositivos virtuais. Em seguida, você cria duas zonas de segurança, zona de VR primária e zona Internet-VR, atribua interfaces relacionadas a elas e as configura para permitir que todos os aplicativos e protocolos suportados.
Em seguida, você configura políticas e especifica que todos os pacotes são permitidos. Você configura uma instância de roteamento de dispositivos virtuais Internet-VR e atribui interfaces para encaminhamento baseado em fluxo. Você habilita o OSPF nos dispositivos R0, R1 e R2. No dispositivo R2, você configura o filtro de desvio de filtro com o termo bypass-flow-term que contém o modificador de ação do modo pacote. Como você não especificou nenhuma condição de correspondência, este filtro se aplica a todo o tráfego que atravessa as interfaces nas quais é aplicado.
Por fim, no dispositivo R1 você aplica o filtro de desvio de filtro de firewall em interfaces internas ge-0/0/2.0 e lt-0/0/0.0. Você não aplica o filtro nas interfaces associadas à instância de roteamento Internet-VR. Como resultado, todo o tráfego que atravessa as interfaces LAN associadas à instância primária de roteamento usa o encaminhamento baseado em pacotes e todo o tráfego que atravessa a instância de roteamento Internet-VR usa encaminhamento baseado em fluxo.
A Figura 4 mostra a topologia de rede usada neste exemplo.
A interface voltada para a LAN privada não precisa de serviços de segurança, mas a interface voltada para a WAN precisa de segurança. Neste exemplo, você decide configurar o encaminhamento baseado em pacotes e baseado em fluxo para tráfego seguro e não tão seguro, configurando duas instâncias de roteamento — uma lidando com o encaminhamento baseado em pacotes e a outra lidando com o encaminhamento baseado em fluxo.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entre no commit
modo de configuração.
{device R0} set interfaces description “Connect to Primary VR” ge-0/0/2 unit 0 family inet address 198.51.100.9/24 set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
{device R1} set interfaces description “Connect to R0” ge-0/0/2 unit 0 family inet address 198.51.100.10/24 set interfaces description “Connect to R2” ge-0/0/3 unit 0 family inet address 203.0.113.5/24 set interfaces lt-0/0/0 unit 0 encapsulation frame-relay dlci 100 peer-unit 1 family inet address 192.0.2.1/16 set interfaces lt-0/0/0 unit 1 encapsulation frame-relay dlci 100 peer-unit 0 family inet address 192.0.2.2/16 set security zones security-zone Primary-VR-zone host-inbound-traffic system-services all set security zones security-zone Primary-VR-zone host-inbound-traffic protocols all set security zones security-zone Primary-VR-zone interfaces ge-0/0/2.0 set security zones security-zone Primary-VR-zone interfaces lt-0/0/0.0 set security zones security-zone Internet-VR-zone host-inbound-traffic system-services all set security zones security-zone Internet-VR-zone host-inbound-traffic protocols all set security zones security-zone Internet-VR-zone interfaces ge-0/0/3.0 set security zones security-zone Internet-VR-zone interfaces lt-0/0/0.1 set security policies default-policy permit-all set routing-instances Internet-VR instance-type virtual-router interface lt-0/0/0.1 set routing-instances Internet-VR instance-type virtual-router interface ge-0/0/3.0 set protocols ospf area 0.0.0.0 interface ge-0/0/2.0 set protocols ospf area 0.0.0.0 interface lt-0/0/0.0 set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface lt-0/0/0.1 set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface ge-0/0/3.0 set firewall family inet filter bypass-flow-filter term bypass-flow-term then accept set firewall family inet filter bypass-flow-filter term bypass-flow-term then packet-mode set interfaces ge-0/0/2 unit 0 family inet filter input bypass-flow-filter set interfaces lt-0/0/0 unit 0 family inet filter input bypass-flow-filter
{device R2} set interfaces description “Connect to Internet-VR” ge-0/0/3 unit 0 family inet address 203.0.113.9/24 set protocols ospf area 0.0.0.0 interface ge-0/0/3
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar serviços seletivos baseados em pacotes stateless para encaminhamento de ponta a ponta baseado em pacotes:
Configure os endereços IP para as interfaces.
{device R0} [edit] user@host#
set interfaces description “Connect to Primary VR” ge-0/0/2 unit 0 family inet address 198.51.100.9/24
{device R1} [edit] user@host#
set interfaces description “Connect to R0” ge-0/0/2 unit 0 family inet address 198.51.100.10/24
user@host#set interfaces description “Connect to R2” ge-0/0/3 unit 0 family inet address 203.0.113.5/24
{device R2} [edit] user@host#
set interfaces description “Connect to Internet-VR” ge-0/0/3 unit 0 family inet address 203.0.113.9/24
Defina uma interface de serviço interna entre instâncias de roteamento.
{device R1} [edit] user@host#
set interfaces lt-0/0/0 unit 0 encapsulation frame-relay dlci 100 peer-unit 1 family inet address 192.0.2.1/16
user@host#set interfaces lt-0/0/0 unit 1 encapsulation frame-relay dlci 100 peer-unit 0 family inet address 192.0.2.2/16
Configure zonas de segurança.
{device R1} [edit] user@host#
set security zones security-zone Primary-VR-zone host-inbound-traffic system-services all
user@host#set security zones security-zone Primary-VR-zone host-inbound-traffic protocols all
user@host#set security zones security-zone Primary-VR-zone interfaces ge-0/0/2.0
user@host#set security zones security-zone Primary-VR-zone interfaces lt-0/0/0.0
user@host#set security zones security-zone Internet-VR-zone host-inbound-traffic system-services all
user@host#set security zones security-zone Internet-VR-zone host-inbound-traffic protocols all
user@host#set security zones security-zone Internet-VR-zone interfaces ge-0/0/3.0
user@host#set security zones security-zone Internet-VR-zone interfaces lt-0/0/0.1
Configure políticas.
{device R1} [edit] user@host#
set security policies default-policy permit-all
Configure uma instância de roteamento de dispositivos virtuais.
{device R1} [edit] user@host#
set routing-instances Internet-VR instance-type virtual-router interface lt-0/0/0.1
user@host#set routing-instances Internet-VR instance-type virtual-router interface ge-0/0/3.0
Habilite o OSPF em todas as interfaces da rede.
{device R0} [edit] user@host#
set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
{device R1 for Primary-VR} [edit] user@host#
set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
user@host#set protocols ospf area 0.0.0.0 interface lt-0/0/0.0
{device R1 for Internet-VR} [edit] user@host#
set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface lt-0/0/0.1
user@host#set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface ge-0/0/3.0
{device R2} [edit] user@host#
set protocols ospf area 0.0.0.0 interface ge-0/0/3
Crie um filtro de firewall e defina um termo para tráfego de encaminhamento baseado em pacotes.
{device R1} [edit] user@host#
set firewall family inet filter bypass-flow-filter term bypass-flow-term then accept
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term then packet-mode
Aplique o filtro de firewall em interfaces relevantes.
{device R1} [edit] user@host#
set interfaces ge-0/0/2 unit 0 family inet filter input bypass-flow-filter
user@host#set interfaces lt-0/0/0 unit 0 family inet filter input bypass-flow-filter
Resultados
A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces
, show protocols
show security
e show routing-instances
show firewall
comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
{device R0} [edit] user@host# show interfaces ge-0/0/2 { description “Connect to Primary-VR” unit 0 { family inet { address 198.51.100.9/24 } } }
{device R0} [edit] user@host# show protocols ospf { area 0.0.0.0/0 { interface ge-0/0/2.0; } }
{device R2} [edit] user@host# show interfaces ge-0/0/3 { description “Connect to Internet-VR” unit 0 { family inet { address 203.0.113.9/24; } } }
{device R2} [edit] user@host# show protocols ospf { area 0.0.0.0/0 { interface ge-0/0/3.0; } }
{device R1} [edit] user@host# show interfaces ge-0/0/2 { description “Connect to R0” unit 0 { family inet { filter { input bypass-flow-filter; } address 198.51.100.10/24; } } } lt-0/0/0 { unit 0 { encapsulation frame-relay; dlci 100; peer-unit 1; family inet { filter { input bypass-flow-filter } address 192.0.2.1/16; } } unit 1{ encapsulation frame-relay; dlci 100; peer-unit 0; family inet { address 192.0.2.2/16 ; } } } {device R1} [edit] user@host# show protocols ospf { area 0.0.0.0/0 { interface ge-0/0/2.0; interface lt-0/0/0.0; } } {device R1} [edit] user@host# show firewall filter bypass-flow-filter { term bypass-flow-term { then { packet-mode; accept; } } }
{device R1} [edit] user@host# show routing-instances Internet-VR { instance-type virtual-router; interface lt-0/0/0.1; interface ge-0/0/3.0; protocols { ospf { area 0.0.0.0 { interface ge-0/0/3.0; lt-0/0/0.1; } } } }
{device R1} [edit] user@host# show security security zone Primary-VR-zone { host-inbound-traffic { system-services { all; { protocols { all; { { intefaces { ge-0/0/2.0; lt-0/0/0.0; { { security zone Internet-VR-zone { host-inbound-traffic { system-services { all; { protocols { all; } } intefaces { ge-0/0/3.0; lt-0/0/0.1; { { policies { default-policy { permit-all; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
- Verificando a configuração baseada em pacotes e baseada em fluxo
- Verificação do estabelecimento de sessão no tráfego de LAN
- Verificando o estabelecimento de sessão no tráfego da Internet
Verificando a configuração baseada em pacotes e baseada em fluxo
Propósito
Verifique se os serviços seletivos baseados em pacotes sem estado estão configurados para encaminhamento baseado em pacotes e baseados em fluxo.
Ação
Desde o modo de configuração, entre noshow interfaces
, show protocols
, show security
show routing-instances
e show firewall
comandos.
Verifique se a saída mostra a configuração pretendida do filtro de firewall, instâncias de roteamento, interfaces e políticas.
Verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert
comando.
Verificação do estabelecimento de sessão no tráfego de LAN
Propósito
Verifique se as sessões são estabelecidas quando o tráfego é transmitido em interfaces dentro da LAN.
Ação
Para verificar se as sessões estão estabelecidas, execute as seguintes tarefas:
No dispositivo
R1
, do modo operacional, entre noclear security flow session all
comando para limpar todas as sessões de fluxo de segurança existentes.No dispositivo
R0
, desde o modo operacional entra noping
comando para transmitir tráfego ao dispositivoPrimary-VR
.No dispositivo
R1
, com o tráfego transmitindo de dispositivosR0
por ,R1
desde o modo operacional entra noshow security flow session
comando.
Para verificar sessões estabelecidas, garanta que você insira o show security flow session
comando enquanto o ping
comando está enviando e recebendo pacotes.
{device R0} user@host> ping 192.0.2.1
PING 192.0.2.1 (192.0.2.1): 56 data bytes 64 bytes from 192.0.2.1: icmp_seq=0 ttl=63 time=2.208 ms 64 bytes from 192.0.2.1: icmp_seq=1 ttl=63 time=2.568 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=63 time=2.573 ms 64 bytes from 192.0.2.1: icmp_seq=3 ttl=63 time=2.310 ms 64 bytes from 192.0.2.1: icmp_seq=4 ttl=63 time=1.566 ms 64 bytes from 192.0.2.1: icmp_seq=5 ttl=63 time=1.569 ms ...
{device R1} user@host> show security flow session
0 sessions displayed
A saída mostra o tráfego transmitindo de R0
para Primary-VR
e nenhuma sessão é estabelecida. Neste exemplo, você aplicou o modificador de ação bypass-flow-filter
em interfaces ge-0/0/0
e lt-0/0/0.0
o tráfego LAN da sua empresa.packet-mode
Essa saída verifica se o tráfego entre as duas interfaces está contornando corretamente o encaminhamento baseado em fluxo e, portanto, nenhuma sessão é estabelecida.
Verificando o estabelecimento de sessão no tráfego da Internet
Propósito
Verifique se as sessões são estabelecidas quando o tráfego é transmitido para a Internet.
Ação
Para verificar se o tráfego para a Internet está usando o encaminhamento baseado em fluxo e sessões são estabelecidas, execute as seguintes tarefas:
No dispositivo
R1
, do modo operacional, entre noclear security flow session all
comando para limpar todas as sessões de fluxo de segurança existentes.No dispositivo
R0
, desde o modo operacional entra noping
comando para transmitir tráfego ao dispositivoR2
.No dispositivo
R1
, com o tráfego transmitindo deR0
atéR2
o outroR1
, do modo operacional entra noshow security flow session
comando.root@host> show security flow session Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
Para verificar sessões estabelecidas, garanta que você insira o show security flow session
comando enquanto o ping
comando está enviando e recebendo pacotes.
{device R0} user@host> ping 192.0.2.1 -c 10
PING 60.0.0.1 (60.0.0.1) 56(84) bytes of data. 64 bytes from 192.0.2.1: icmp_seq=1 ttl=64 time=1.98 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=64 time=1.94 ms 64 bytes from 192.0.2.1: icmp_seq=3 ttl=64 time=1.92 ms 64 bytes from 192.0.2.1: icmp_seq=4 ttl=64 time=1.89 ms ...
{device R1} user@host> show security flow session
Session ID: 189900, Policy name: default-policy/2, Timeout: 2 In: 198.51.100.9/0 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/0;icmp, If: ge-0/0/3.0 Session ID: 189901, Policy name: default-policy/2, Timeout: 2 In: 198.51.100.9/1 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/1;icmp, If: ge-0/0/3.0 Session ID: 189902, Policy name: default-policy/2, Timeout: 4 In: 198.51.100.9/2 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/2;icmp, If: ge-0/0/3.0 3 sessions displayed
A saída mostra o tráfego transmitindo de dispositivos R0
para R2
sessões estabelecidas. Neste exemplo, você não aplicou o modificador packet-mode
de ação bypass-flow-filter
na instância Internet-VR
de roteamento para o tráfego de Internet da sua empresa. Essa saída verifica se o tráfego para a Internet está usando corretamente o encaminhamento baseado em fluxo e, portanto, as sessões são estabelecidas.
Observe que as sessões só são estabelecidas quando o tráfego está fluindo entre lt-0/0/0.1
e ge-0/0/3
não quando o tráfego está fluindo entre ge-0/0/2
e lt-0/0/0.0
.