Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Propriedades de endereço de interface e família de protocolos

Esta seção discute como configurar a família de protocolos e as propriedades de endereço de interface.

Configure a família de protocolos

Uma família de protocolos é um grupo de propriedades lógicas dentro de uma configuração de interface. As famílias de protocolo incluem todos os protocolos que compõem um conjunto de protocolos. Para usar um protocolo em um determinado conjunto, você deve configurar toda a família de protocolo como uma propriedade lógica para uma interface.

As famílias de protocolo incluem as seguintes suítes de protocolo comuns:

  • Inet — oferece suporte ao tráfego de protocolo IP, incluindo OSPF, BGP e Internet Control Message Protocol (ICMP).

  • Inet6 — oferece suporte ao tráfego de protocolo IPv6, incluindo RIP para IPv6 (RIPng), IS-IS e BGP.

  • ISO — oferece suporte ao tráfego IS-IS.

  • MPLS — oferece suporte ao MPLS.

Para configurar a família de protocolo para a interface lógica, inclua a family declaração, especificando a família selecionada.

Ao configurar a família de protocolo, preencha as seguintes tarefas sob a [edit interfaces interface-name unit logical-unit-number family family] hierarquia.

  • Configure MTU.

  • Configure a unidade e a família para que a interface possa transmitir e receber apenas tráfego multicast.

  • Desativar o envio de mensagens de redirecionamento pelo roteador.

  • Atribua um endereço a uma interface.

Atribua o endereço da interface

Você atribui um endereço a uma interface especificando o endereço ao configurar a família de protocolo. Para a inet família ou inet6 a família, configure o endereço IP da interface. Para a iso família, configure um ou mais endereços para a interface de loopback. Para as famílias, mplsvpls tnptccethernet-switchinge para as cccfamílias, você nunca configura um endereço.

Para atribuir um endereço a uma interface, execute as seguintes etapas:

  1. Configure o endereço da interface no nível de [edit interfaces interface-name unit logical-unit-number family family] hierarquia.

    • Para configurar um endereço IP versão 4 (IPv4) em roteadores e switches, use a interface interface-name unit number family inet address a.b.c.d/nn declaração no nível de [edit interfaces] hierarquia.

      Você também pode atribuir vários endereços IPv4 na mesma interface.

    • Para configurar um endereço IP versão 6 (IPv6) em roteadores e switches, use a interface interface-name unit number family inet6 address aaaa:bbbb:...:zzzz/nn declaração no nível de [edit interfaces] hierarquia.

      Nota:

      • Você representa endereços IPv6 em notação hexadecimal usando uma lista separada de pontos de valores de 16 bits. O cólon duplo (::) representa todos os bits definidos para 0.

      • Você deve configurar manualmente o anúncio do roteador ou switch e anunciar o prefixo padrão para que a autoconfiguração funcione em uma interface específica.
  2. [Opcional] Definir o endereço de transmissão na rede ou sub-rede.
    Nota:

    O endereço de transmissão deve ter uma parte de host de todos os ones ou todos os zeros. Você não pode especificar os endereços 0.0.0.0 ou 255.255.255.255.
  3. [Opcional] Para interfaces que transportam tráfego IPv6, configure o host para atribuir a si mesmo um identificador de interface IP versão 6 exclusivo de 64 Bits (EUI-64).

Configure endereços e interfaces padrão, primários e preferidos

As seções a seguir descrevem como configurar endereços e interfaces padrão, primários e preferidos.

Endereços e interfaces padrão, primários e preferidos

O roteador tem um endereço padrão e uma interface primária; e interfaces têm endereços primários e preferidos.

O endereço padrão do roteador é usado como endereço fonte em interfaces não numeradas. O processo de protocolo de roteamento tenta selecionar o endereço padrão como ID do roteador, que é usado por protocolos, incluindo OSPF e BGP interno (IBGP).

A interface principal do roteador é a interface que os pacotes saem quando nenhum nome de interface é especificado e quando o endereço de destino não implica uma interface de saída específica.

O endereço principal de uma interface é usado por padrão como endereço local para pacotes de broadcast e multicast originados localmente e enviados para fora da interface. O endereço preferido de uma interface é o endereço local padrão usado para pacotes originados pelo roteador local para destinos na sub-rede.

Nota:

Você pode marcar explicitamente o IP de uma interface como primário e preferido usando uma declaração de configuração. Se uma interface for atribuída apenas a um único IP, esse endereço será considerado o endereço principal e preferido por padrão. Quando atribuídos vários endereços IP, nenhum dos quais está explicitamente configurado como primário, o endereço IP numericamente mais baixo é usado como endereço principal nessa interface.

O endereço padrão do roteador é escolhido usando a seguinte sequência:

  1. O endereço principal na interface lo0 de loopback que não 127.0.0.1 é usado.

  2. O endereço principal na interface primária é usado.

  3. Quando existem várias interfaces com endereços "primários" e "preferidos", a interface com o menor índice de interface é selecionada e o endereço principal é usado. Caso nenhum dos endereços IP da interface esteja explicitamente marcado com a primary declaração, o endereço numericamente mais baixo dessa interface é usado como endereço padrão do sistema.

  4. Qualquer interface restante com um endereço IP pode ser selecionada. Isso inclui o gerenciamento ou interfaces internas do roteador. Por esse motivo, é recomendável atribuir um endereço de loopback ou configurar explicitamente uma interface primária para controlar a seleção de endereços padrão.

Configure a interface primária para o roteador

A interface principal do roteador tem as seguintes características:

  • É a interface que os pacotes saem quando você digita um comando como ping 255.255.255.255 — ou seja, um comando que não inclui um nome de interface (não há qualificação de interface type-0/0/0.0 ) e onde o endereço de destino não implica nenhuma interface de saída em particular.

  • É a interface em que aplicativos multicast executados localmente no roteador, como o Session Announcement Protocol (SAP), se juntam ao grupo por padrão.

  • É a interface da qual o endereço local padrão é derivado para pacotes originados em uma interface não numerada se não houver endereços não 127 configurados na interface de loopback, lo0.

Por padrão, a interface multicast com o endereço de menor índice é escolhida como a interface principal.

Para configurar uma interface diferente para ser a interface principal, inclua a primary declaração:

Você pode incluir esta declaração no seguinte nível de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family]

Configure o endereço principal para uma interface

O endereço principal em uma interface é o endereço que é usado por padrão como endereço local para pacotes de broadcast e multicast originados localmente e enviados a interface. Por exemplo, o endereço local nos pacotes enviados por um ping interface et-0/0/0.0 255.255.255.255 comando é o endereço principal na interface et-0/0/0.0. A bandeira de endereço principal também pode ser útil para selecionar o endereço local usado para pacotes enviados interfaces não numeradas quando vários endereços não-127 são configurados na interface de loopback. lo0 Por padrão, o endereço principal em uma interface é selecionado como o endereço local numericamente mais baixo configurado na interface.

Para definir um endereço primário diferente, inclua a primary declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family address address]

Configure o endereço preferido para uma interface

O endereço preferido em uma interface é o endereço local padrão usado para pacotes originados pelo roteador local para destinos na sub-rede. Por padrão, o endereço local numericamente mais baixo é escolhido. Por exemplo, se os endereços 172.16.1.1/12e 172.16.1.2/12172.16.1.3/12 estiverem configurados na mesma interface, o endereço preferido na sub-rede (por padrão172.16.1.1) é usado como endereço local quando você emite um ping 172.16.1.5 comando.

Para definir um endereço preferido diferente para a sub-rede, inclua a preferred declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family address address]

Comportamento operacional de interfaces com o mesmo endereço IPv4

Você pode configurar o mesmo endereço IP versão 4 (IPv4) em várias interfaces físicas. Quando você atribui o mesmo endereço IPv4 a várias interfaces físicas, o comportamento operacional dessas interfaces difere, dependendo se elas estão (implicitamente) ponto a ponto ou não.

Se você configurar o mesmo endereço IP em várias interfaces na mesma instância de roteamento, o sistema operacional aplica a configuração aleatoriamente em uma das interfaces. As outras interfaces permanecerão sem um endereço IP.

Os exemplos a seguir mostram a configuração de amostra de atribuir o mesmo endereço IPv4 a interfaces que são interfaces implícitas e explicitamente ponto a ponto. Os exemplos também mostram as show interfaces terse saídas de comando que correspondem às interfaces implícitas e explícitas de ponto a ponto para exibir seu status operacional.

  1. Configurando o mesmo endereço IPv4 em duas interfaces não-P2P:

    A saída de amostra a seguir (para a configuração anterior) revela que apenas et-0/1/0.0 foi atribuído o mesmo endereço 203.0.113.1/24 IPv4 e seu link estado foi up, embora et-3/0/1.0 não tenha sido atribuído o endereço IPv4, embora seu link estado estivesse ativo, o que significa que ele só estará operacional quando receber um endereço IPv4 exclusivo que 203.0.113.1/24não.

    terse de interfaces de exibição

  2. Configuração do mesmo endereço IPv4 em interfaces P2P (implícitas):

    A saída de amostra a seguir (para a configuração anterior) revela que ambos et-0/0/0.0 e et-0/0/3.0 foram atribuídos o mesmo endereço 203.0.113.1/24 IPv4 e que seus link estados estavam desativados. As interfaces estão em baixa devido a um problema com o link e não porque o mesmo endereço IPv4 é atribuído a ambas as interfaces. Espera-se que não mais do que uma das interfaces esteja ativa a qualquer momento (seguindo um esquema de redundância fora do escopo dos dispositivos Evolved do Junos OS), porque ambas estarem ativas podem causar efeitos adversos.

    terse de interfaces de exibição

  3. Configurando o mesmo endereço IPv4 em várias instâncias de uma interface não-P2P:

    Em uma interface não P2P, você não pode configurar o mesmo endereço local em diferentes unidades de diferentes interfaces. Se você fizer isso, um erro de confirmação será jogado e a configuração falhará.

  4. Configurando o mesmo endereço IPv4 em várias instâncias da mesma interface P2P:

    A saída de amostra a seguir (para a configuração anterior) revela que apenas uma interface é configurada com sucesso em interfaces P2P quando você tenta configurar o mesmo endereço IPv4 para várias instâncias de diferentes interfaces.

    terse de interfaces de exibição

Configure interfaces não numeradas: visão geral

Visão geral de interfaces não numeradas

Quando você precisa conservar endereços IP, você pode configurar interfaces não numeradas. A configuração de uma interface sem números permite o processamento de IP na interface sem atribuir um endereço IP explícito à interface. Para a versão IP 6 (IPv6), na qual a conservação de endereços não é uma grande preocupação, você pode configurar interfaces não numeradas para compartilhar a mesma sub-rede em várias interfaces.

As interfaces IPv6 sem número são suportadas apenas em interfaces Ethernet. As declarações que você usa para configurar uma interface sem número dependem do tipo de interface que você está configurando: uma interface ponto a ponto ou uma interface Ethernet:

Configure uma interface de ponto a ponto sem número

Para configurar uma interface de ponto a ponto não numerada:

  1. No modo de configuração, vá para o nível de [edit interfaces interface-name unit logical-unit-number] hierarquia.
  2. Configure a família de protocolo, mas não inclua a address declaração.
Nota:

  • Ao configurar interfaces não numeradas, você deve garantir que um endereço de origem esteja configurado em uma interface no roteador. Este endereço é o endereço padrão. Recomendamos que você faça isso atribuindo um endereço à interface de loopback (lo0), conforme descrito na configuração da interface de loopback.

    Quando você configura um endereço roteável na lo0 interface, esse endereço é sempre o endereço padrão. Isso é ideal porque a interface de loopback é independente de qualquer interface física e, portanto, é sempre acessível.

Configure uma interface de ethernet ou demux sem números

Para configurar uma interface Ethernet ou demultiplexing (demux) não numerada:

  1. No modo de configuração, vá para o nível de [edit interfaces interface-name unit logical-unit-number family family-name] hierarquia.
  2. Para configurar uma interface Ethernet ou demux não numerada, inclua a unnumbered-address declaração na configuração.
  3. (Opcional) Para especificar a interface Ethernet não numerada como a interface de próximo salto para uma rota estática configurada, inclua a qualified-next-hop declaração no nível de [edit routing-options static route destination-prefix] hierarquia. Esse recurso permite que você especifique preferências e métricas independentes para rotas estáticas no próximo salto.
Nota:

  • A unnumbered-address declaração atualmente oferece suporte à configuração de interfaces de demux não numeradas apenas para a família de endereços IP versão 4 (IPv4). Você pode configurar interfaces Ethernet não numeradas para famílias de endereçoS IPv4 e IPv6.

  • A interface que você configura para ser nãonumerada borrows de um endereço IP atribuído de outra interface e, portanto, é referida como borrower interface. A interface a partir da qual o endereço IP é emprestado é referida como donor interface. Na declaração unnumbered-address , interface-name especifica a interface do doador. Para uma interface Ethernet sem números, a interface do doador pode ser uma interface Ethernet ou loopback que tem um número de unidade lógica e endereço IP configurado e não é em si uma interface sem número. Para uma interface de demux IP sem números, a interface do doador pode ser uma interface de ethernet ou loopback que tem um número de unidade lógica e endereço IP configurado e não é em si uma interface sem número. Além disso, para ethernet ou demux, a interface de doadores e a interface de tomador devem ser membros da mesma instância de roteamento e do mesmo sistema lógico.

  • Quando você configura uma interface Ethernet ou demux não numerada, o endereço IP da interface do doador torna-se o endereço fonte em pacotes gerados pela interface não numerada.

  • Você pode configurar uma rota de host que aponta para uma interface Ethernet ou demux sem números.

Configure um endereço secundário como endereço de origem preferido para interfaces de ethernet ou demux não numeradas

Quando uma interface de loopback com vários endereços IP secundários é configurada como a interface do doador para uma interface de Ethernet ou demultiplexing (demux) não numerada, você pode especificar opcionalmente qualquer um dos endereços secundários da interface de loopback como o endereço de origem preferido para a interface Ethernet ou demux não numerada. Esse recurso permite que você use um endereço IP diferente do endereço IP principal em algumas das interfaces Ethernet ou demux não numeradas em sua rede.

Para configurar um endereço secundário em uma interface de doador de loopback como o endereço de origem preferido para interfaces Ethernet ou demux não numeradas:

  1. No modo de configuração, vá para o nível de [edit interfaces interface-name unit logical-unit-number family family-name] hierarquia.
  2. Inclua a opção preferred-source-address na unnumbered-address declaração:
Nota:

As considerações a seguir se aplicam quando você configura um endereço de origem preferido em uma interface Ethernet ou demux não numerada:

  • A unnumbered-address declaração atualmente oferece suporte à configuração de um endereço de origem preferido apenas para a família de endereços IP versão 4 (IPv4) para interfaces de demux, e para as famílias de endereços IPv4 e IP versão 6 (IPv6) para interfaces Ethernet.

  • Se você não especificar o endereço de origem preferido, o roteador usa o endereço IP primário padrão da interface do doador.

  • Você não pode excluir um endereço em uma interface de loopback de doadores enquanto ele estiver sendo usado como endereço de origem preferido para uma interface Ethernet ou demux não numerada.

Restrições para configurações de interface de ethernet sem número

Os seguintes requisitos e restrições se aplicam quando você configura interfaces Ethernet não numeradas:

  • A unnumbered-address declaração atualmente oferece suporte à configuração de interfaces Ethernet não numeradas para famílias de endereços IP versão 4 (IPv4) e IP versão 6 (IPv6).

  • Você pode atribuir um endereço IP apenas a uma interface Ethernet que ainda não está configurada como uma interface sem números.

  • Você deve configurar um ou mais endereços IP na interface do doador para uma interface Ethernet sem números.

  • Você não pode configurar a interface do doador para uma interface Ethernet sem números.

  • Uma interface Ethernet sem números não oferece suporte à configuração das seguintes address opções de declaração: arp, broadcast, , primary, preferredou vrrp-group.

  • Você pode executar o Protocolo de Gerenciamento de Grupos de Internet (IGMP) e o Módulo de Interface Física (PIM) apenas em interfaces Ethernet não numeradas que enfrentam diretamente o host e não têm vizinhos PIM downstream. Você não pode executar o IGMP ou o PIM em interfaces Ethernet não numeradas que atuam como interfaces upstream em uma topologia PIM.

  • Você pode executar o OSPF em interfaces Ethernet não numeradas configuradas como uma conexão ponto a ponto (P2P). No entanto, você não pode executar o OSPF ou o IS-IS em interfaces Ethernet não numeradas que não estão configuradas como P2P.

    Para distribuição de estado de enlace usando um protocolo de gateway interior (IGP), certifique-se de que o OSPF esteja habilitado na interface do doador para uma configuração de interface sem números para que o endereço IP do doador possa ser alcançado para estabelecer sessões de OSPF.

Nota:

Se você configurar o mesmo endereço em várias interfaces na mesma instância de roteamento, o sistema operacional usa apenas a primeira configuração. Nesse cenário, as configurações de endereço restantes são ignoradas e podem deixar interfaces sem um endereço. Uma interface que não tenha um endereço atribuído não pode ser usada como interface de doador para uma interface Ethernet sem números.

Por exemplo, na configuração a seguinte configuração de endereço da interface et-0/0/1.0 é ignorada:

Exemplo: exibir a configuração da interface de ethernet sem número

Propósito

Para exibir a interface não numerada configurada no nível de [edit interfaces interface-name unit logical-unit-number] hierarquia:

  • Interface sem número — et-1/0/0

  • Interface de doadores — et-0/0/0

  • Endereço de interface de doadores — 4.4.4.1/24

A interface não numerada "toma empréstimos" de um endereço IP da interface do doador.

Ação

  • Execute o show comando no nível de [edit] hierarquia.

Exemplo: exibir o endereço de origem preferida configurado para uma interface de ethernet sem número

Propósito

Para exibir a configuração do endereço de origem preferido para uma interface não numerada no nível de [edit interfaces interface-name unit logical-unit-number family inet] hierarquia:

  • Interface sem número — et-4/0/0

  • Interface de doadores — lo0

  • Endereço primário da interface do doador — 2.2.2.1/32

  • Endereço secundário de interface de doadores — 3.3.3.1/32

Ação

  • Execute o show comando no nível de [edit] hierarquia.

Significado

A interface lo0 de loopback é a interface de doadores da qual uma interface et-4/0/0 Ethernet não numerada "toma empréstimos" em um endereço IP.

O exemplo mostra um dos endereços secundários da interface de loopback, 3.3.3.1, como o endereço de origem preferido para a interface Ethernet não numerada.

Exemplo: exibir a configuração para a interface de ethernet não numerada como o próximo salto para uma rota estática

Propósito

Para exibir a interface sem número configurada como o próximo salto para a rota estática no nível de [edit interfaces interface-name unit logical-unit-number family inet] hierarquia:

  • Interface sem número — et-0/0/0

  • Interface de doadores — lo0

  • Endereço primário da interface de doadores — 5,5,5,1/32

  • Endereço secundário de interface de doadores — 6,6,6,1/32

  • Rota estática — 7,7,7,1/32

Ação

  • Execute o show comando no nível de [edit] hierarquia.

  • A configuração a seguir permite que o kernel instale uma rota estática para atender a 7.7.7.1/32 com um próximo salto através de uma interface não numerada et-0/0/0,0.

Significado

Neste exemplo, et-0/0/0 está a interface sem números. Uma interface de loopback, lo0é a interface de doadores da qual et-0/0/0 "empresta" um endereço IP. O exemplo também configura uma rota estática para 7.7.7.1/32 com um próximo salto através de uma interface et-0/0/0.0não numerada.

MTU de protocolo

Visão geral

O MTU de protocolo padrão depende do seu dispositivo e do tipo de interface. Quando você configura inicialmente uma interface, o MTU de protocolo é calculado automaticamente. Se posteriormente você mudar a MTU de mídia, o MTU de protocolo em famílias de endereços existentes muda automaticamente.

Se você reduzir o tamanho da MTU de mídia, mas uma ou mais famílias de endereços já estiverem configuradas e ativas na interface, você também deve reduzir o tamanho do MTU do protocolo. Se você aumentar o tamanho do MTU de protocolo, você deve garantir que o tamanho da MTU de mídia seja igual ou maior do que a soma do MTU de protocolo e a sobrecarga de encapsulamento.

Você pode configurar o MTU de protocolo em todas as interfaces de túnel.

Protocolo MTU para MPLS

Se você não configurar um MPLS MTU, o Junos OS Evolved deriva o MPLS MTU da interface física MTU. A partir desse valor, o software subtrai a sobrecarga e o espaço específicos para encapsulamento para o número máximo de rótulos que podem ser empurrados no Mecanismo de encaminhamento de pacotes. O software oferece três rótulos de quatro bytes cada, para um total de 12 bytes.

Em outras palavras, a fórmula usada para determinar o MPLS MTU é a seguinte:

Desabilito da remoção de bytes de endereço e controle

Para algumas interfaces, os bytes de endereço e controle são removidos por padrão antes que o pacote seja encapsulado em um túnel.

No entanto, você pode desabilitar a remoção de bytes de endereço e controle.

Para desativar a remoção de bytes de endereço e controle, inclua a keep-address-and-control declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family ccc]

Veja também

Desativar a transmissão de mensagens de redirecionamento em uma interface

Por padrão, a interface envia mensagens de redirecionamento de protocolo. Para desativar o envio dessas mensagens em uma interface, inclua a no-redirects declaração:

Você pode incluir esta declaração no seguinte nível de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family]

Para desativar o envio de mensagens de redirecionamento de protocolo para todo o roteador ou switch, inclua a no-redirects declaração no nível hierárquico [edit system] .

Aplique um filtro em uma interface

Definir grupos de interface em filtros de firewall

Ao aplicar um filtro de firewall, você pode definir uma interface para fazer parte de um grupo de interface. Os pacotes recebidos nessa interface são marcados como sendo parte do grupo. Em seguida, você pode combinar esses pacotes usando a interface-group declaração de correspondência, conforme descrito nas políticas de roteamento, filtros de firewall e guia de usuário de policiais de tráfego.

Para definir a interface como parte de um grupo de interface, inclua a group declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family filter]

Nota:

O número 0 não é um número de grupo de interface válido.

Encaminhamento baseado em filtro na interface de saída

Se os pacotes espelhados por porta devem ser distribuídos para várias interfaces de monitoramento ou coleta, com base nos padrões em cabeçalhos de pacotes, é útil configurar um filtro de encaminhamento baseado em filtro (FBF) na interface de saída de espelhamento de porta.

Quando um filtro FBF é instalado como um filtro de saída, um pacote que é encaminhado para o filtro já passou por pelo menos uma pesquisa de rota. Depois que o pacote é classificado na interface de saída pelo filtro FBF, ele é redirecionado para outra tabela de roteamento para uma pesquisa de rota adicional. Para evitar o looping de pacotes dentro do Mecanismo de encaminhamento de pacotes, a pesquisa de rota na última tabela de roteamento (designada por uma instância de roteamento da FBF) deve resultar em um próximo salto diferente de qualquer próximo salto especificado em uma tabela que já foi aplicada ao pacote.

Se uma interface de entrada estiver configurada para FBF, a busca de origem será desativada para esses pacotes que vão para uma instância de roteamento diferente, uma vez que a tabela de roteamento não está configurada para lidar com a busca de fonte.

Aplique um filtro em uma interface

Para aplicar filtros de firewall em uma interface, inclua a filter declaração:

Para aplicar um único filtro, inclua a input declaração:

Para aplicar uma lista de filtros para avaliar os pacotes recebidos em uma interface, inclua a input-list declaração.

Você pode incluir até 16 nomes de filtro em uma lista de entrada.

Para aplicar uma lista de filtros para avaliar pacotes transmitidos em uma interface, inclua a output-list declaração.

Quando você aplica filtros usando a input-list declaração ou a output-list declaração, um novo filtro é criado com o nome <interface-name>.<unit-direction>. Este filtro é exclusivamente específico da interface.

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family]

family No comunicado, a família de protocolo pode serccc, inetouinet6mplsvpls.

group Na declaração, especifique o número do grupo de interface para associar ao filtro.

input Na declaração, liste o nome de um filtro de firewall a ser avaliado quando os pacotes forem recebidos na interface.

input-list Na declaração, liste os nomes dos filtros para avaliar quando os pacotes são recebidos na interface. Você pode incluir até 16 nomes de filtro.

output Na declaração, liste o nome de um filtro de firewall a ser avaliado quando os pacotes forem transmitidos na interface.

Nota:

Os filtros de firewall da família MPLS aplicados na interface de saída não são suportados no roteador PTX10003, devido à limitação do produto.

output-list Na declaração, liste os nomes dos filtros para avaliar quando os pacotes são transmitidos na interface. Você pode incluir até 16 nomes de filtro.

Se você aplicar o filtro à interface lo0, ele é aplicado a pacotes recebidos ou transmitidos pelo Mecanismo de Roteamento.

Para obter mais informações sobre filtros de firewall, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego. Para obter mais informações sobre filtros MPLS, consulte o Guia de usuário de aplicativos MPLS.

Exemplo: Filtro de entrada para tráfego VPLS

Exemplo: encaminhamento baseado em filtro na interface de saída

O exemplo a seguir ilustra a configuração do encaminhamento baseado em filtro na interface de saída. Neste exemplo, o fluxo de pacotes segue esse caminho:

  1. Um pacote chega à interface et-1/2/0.0 com endereços 10.50.200.1 de origem e destino e 10.50.100.1, respectivamente.

  2. A busca de rota em pontos de tabela inet.0 de roteamento para interface de et-0/0/3.0saída.

  3. O filtro de saída instalado no et-0/0/3.0 redirecionamento do pacote para a tabela fbf.inet.0de roteamento.

  4. O pacote corresponde à fbf.inet.0 entrada 10.50.100.0/25 na tabela, e o pacote finalmente deixa o roteador da interfaceet-2/0/0.0.

Habilite a classe de origem e a utilização da classe de destino

Visão geral da classe de origem e da classe de destino

Para interfaces que transportam IP versão 4 (IPv4), versão IP 6 (IPv6), MPLS ou tráfego de faturamento peer AS, você pode manter a contagem de pacotes com base nos pontos de entrada e saída para tráfego que passa pela sua rede. Os pontos de entrada e saída são identificados por prefixos de origem e destino agrupados em conjuntos desarticulados definidos como classes de origem e aulas de destino. Você pode definir aulas com base em uma variedade de parâmetros, como roteamento de vizinhos, sistemas autônomos e filtros de rota.

A contabilidade da classe de origem (SCU) conta com pacotes enviados aos clientes realizando uma busca no endereço de origem IP. A SCU possibilita rastrear o tráfego originado de prefixos específicos no núcleo do provedor e destinados a prefixos específicos na borda do cliente. Você deve habilitar a contabilidade SCU nas interfaces físicas de entrada e saída, e a rota para a origem do pacote deve estar localizada na tabela de encaminhamento.

Nota:

Nem a contabilidade da SCU nem da classe de destino (DCU) funciona com rotas de interface conectadas diretamente. O uso de classe de origem não conta os pacotes provenientes de fontes com rotas diretas na tabela de encaminhamento, devido às limitações da arquitetura de software.

O uso de classe de destino (DCU) conta com pacotes dos clientes realizando uma busca no endereço de destino IP. A DCU possibilita rastrear o tráfego originado na borda do cliente e destinado a prefixos específicos no roteador de núcleo do provedor.

Nota:

Recomendamos que você interrompe o tráfego de rede em uma interface antes de modificar a configuração de DCU ou SCU para essa interface. Modificar a configuração de DCU ou SCU sem parar o tráfego pode comprometer as estatísticas de DCU ou SCU. Antes de reiniciar o tráfego depois de modificar a configuração, entre no clear interfaces statistics comando.

A Figura 1 ilustra uma rede ISP. Nesta topologia, você pode usar o DCU para contar pacotes que os clientes enviam para prefixos específicos. Por exemplo, você pode ter três contadores, um por cliente, que contam os pacotes destinados a prefixo 210.210/16 e 220.220/16.

Você pode usar o SCU para contar pacotes que o provedor envia de prefixos específicos. Por exemplo, você pode contar os pacotes que são enviados do prefixo 210.210/16 e 215.215/16 que são transmitidos em uma interface de saída específica.

Figura 1: Contabilidade de prefixo com aulas Prefix Accounting with Source and Destination Classes de origem e destino

Você pode configurar até 126 aulas de origem e 126 aulas de destino. Para cada interface em que você permite o uso da classe de destino e o uso de classe fonte, o sistema operacional mantém um contador específico de interface para cada classe correspondente até o limite de 126 classes.

Nota:

Para pacotes de trânsito que saem do roteador pelo túnel, recursos de caminho de encaminhamento como RPF, filtragem de tabela de encaminhamento, uso de classe de origem e uso de classe de destino não são suportados nas interfaces que você configura como interface de saída para tráfego de túneis. Para filtragem de firewall, você deve permitir que os pacotes de túnel de saída por meio do filtro de firewall aplicado ao tráfego de entrada na interface que é a interface de próximo salto em direção ao destino do túnel.
Nota:

Realizar a contabilidade de DCU quando um serviço de saída é habilitado produz um comportamento inconsistente na configuração a seguir:

  • Tanto a entrada SCU quanto a DCU estão configuradas na interface de entrada de pacotes.

  • A saída de SCU está configurada na interface de saída de pacotes.

  • Os serviços de interface estão habilitados na interface de saída.

Para um pacote de entrada com prefixos de origem e destino que correspondam às classes SCU e DCU configuradas no roteador, os contadores SCU e DCU serão incrementados. Esse comportamento não é prejudicial ou negativo. No entanto, é inconsistente com pacotes não atendidos, na medida em que apenas a contagem de SCU será incrementada (porque a ID da classe SCU substituirá o ID da classe DCU neste caso).

Para habilitar a contagem de pacotes em uma interface, inclua a accounting declaração:

direction pode ser um dos seguintes:

  • input— Configure pelo menos um ponto de entrada esperado.

  • output— Configure pelo menos um ponto de saída esperado.

  • input output— Em uma única interface, configure pelo menos um ponto de entrada esperado e um ponto de saída esperado.

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family (inet | inet6 | mpls)]

Para que a SCU funcione, você deve configurar pelo menos uma interface de entrada e pelo menos uma interface de saída.

Depois de habilitar a contabilidade em uma interface, o sistema operacional mantém contadores de pacotes para essa interface, com contadores separados para inet, inet6e mpls famílias de protocolo. Em seguida, você deve configurar os atributos de classe de origem e classe de destino em declarações de ação de políticas, que devem ser incluídas nas políticas de exportação da tabela de encaminhamento.

Nota:

Ao configurar declarações de ação de política, você pode configurar apenas uma classe de origem para cada rota correspondente. Em outras palavras, mais de uma classe de origem não pode ser aplicada na mesma rota.

Você pode configurar a contabilidade SCU para VPNs de Camada 3 configuradas com a vrf-table-label declaração. Inclua a source-class-usage declaração no nível hierárquica [edit routing-instances routing-instance-name vrf-table-label] . A source-class-usage declaração neste nível de hierarquia é suportada apenas para o tipo de instância de roteamento e encaminhamento virtual (VRF).

Nota:

Você não pode habilitar contadores de DCU na interface comutada por rótulos (LSI) que é criada dinamicamente quando a vrf-table-label declaração é configurada dentro de um VRF.

Habilite a classe de origem e a utilização da classe de destino

Figura 2: Contabilidade de prefixo com aulas Prefix Accounting with Source and Destination Classes de origem e destino

Antes de habilitar o uso de classe de origem (SCU) e o uso de classe de destino (DCU), você deve configurar a saída de DCU e SCU em uma interface:

Para permitir a utilização de classe de origem e classe de destino:

  1. Preencha a configuração do SCU

    Os roteadores de origem A e B usam endereços de loopback como prefixos a serem monitorados. A maioria das tarefas de configuração e monitoramento real ocorrem no SCU do roteador de trânsito.

    O endereço de loopback no Roteador A contém a origem do prefixo que deve ser atribuído à classe A de origem no SCU do roteador. No entanto, nenhum processamento de SCU acontece neste roteador. Portanto, configure o Roteador A para o roteamento básico de OSPF e inclua sua interface e interface et-0/0/2 de loopback no processo OSPF.


  3. Aplique a política na tabela de encaminhamento, configurando uma declaração de política de filtro de rota que corresponda aos prefixos dos endereços de loopback dos roteadores A e B.

    Por último, aplique a política na tabela de encaminhamento.

    O SCU do roteador lida com a maior parte da atividade neste exemplo. No Roteador SCU, habilite o uso de classe fonte nas interfaces de entrada e saída no nível hierárquico [edit interfaces interface-name unit unit-number family inet accounting] . Certifique-se de especificar o tráfego esperado: entrada, saída ou, neste caso, ambos.

    Quando você configura uma declaração de política de filtro de rota que corresponde aos prefixos dos endereços de loopback dos roteadores A e B. Inclua declarações na política que classifica pacotes do Roteador A em um grupo nomeado scu-class-a e pacotes do Roteador B em uma segunda classe nomeada scu-class-b. Observe o uso eficiente de uma única política que contenha vários termos.

  4. Configure o roteador B.

    Assim como o Roteador A fornece um prefixo de origem, o endereço loopback do Roteador B corresponde ao prefixo atribuído no scu-class-b Roteador SCU. Novamente, nenhum processamento de SCU acontece neste roteador, então configure o Roteador B para o roteamento básico de OSPF e inclua sua interface e interface et-0/0/4 de loopback no processo OSPF.

  5. Configure uma interface virtual de túnel de loopback em um roteador de borda de provedor equipado com um PIC de túnel.

    Você pode usar SCU e DCU para contar pacotes em VPNs de Camada 3. Para permitir a contagem de pacotes para implementações vpn de Camada 3 no ponto de saída do túnel MPLS, você deve configurar uma interface virtual de túnel de loopback (vt) no roteador PE, mapear o tipo de instância de roteamento e encaminhamento virtual (VRF) para a interface virtual de túnel de loopback e enviar o tráfego recebido da VPN para fora da interface de saída de classe de origem, conforme mostrado no exemplo a seguir:

  6. Mapeie o tipo de instância VRF para a interface virtual de túnel de loopback.

    Você pode configurar a contabilidade SCU para VPNs de Camada 3 configuradas com a vrf-table-label declaração. Inclua a source-class-usage declaração no nível hierárquica [edit routing-instances routing-instance-name vrf-table-label] . A source-class-usage declaração neste nível de hierarquia é suportada apenas para o tipo de instância de roteamento e encaminhamento virtual (VRF). A DCU não é suportada quando a vrf-table-label declaração está configurada.

  7. Envie o tráfego recebido da VPN para fora da interface de saída de classe de origem.

Visão geral

A transmissão direcionada é um processo de inundação de uma sub-rede alvo com pacotes IP de transmissão L3 originários de uma sub-rede diferente. A intenção da transmissão direcionada é inundar a sub-rede alvo com os pacotes de broadcast em uma interface LAN sem transmitir para toda a rede.

A transmissão orientada por IP é uma técnica em que um pacote de broadcast é enviado para uma sub-rede remota específica e depois transmitido dentro dessa sub-rede. Você pode usar a transmissão orientada por IP para facilitar o gerenciamento remoto da rede enviando pacotes de broadcast para hosts em uma sub-rede especificada sem transmitir para toda a rede. Os pacotes de transmissão orientados por IP são transmitidos apenas na sub-rede alvo. O restante da rede trata pacotes de transmissão orientados por IP como pacotes unicast e os encaminha de acordo.

A transmissão direcionada é configurada com várias opções na interface de saída do roteador ou switch, e os pacotes IP são transmitidos apenas na interface LAN (saída). A transmissão direcionada ajuda você a implementar tarefas de administração remota, como backups e LAN (WOL) em uma interface LAN, e oferece suporte a instâncias VRF.

Os pacotes IP de transmissão L3 regulares originários de uma sub-rede são transmitidos na mesma sub-rede. Quando esses pacotes IP chegam a uma sub-rede diferente, os pacotes são encaminhados ao Mecanismo de Roteamento (a serem encaminhados a outros aplicativos). Assim, tarefas de administração remota, como backups, não podem ser realizadas em uma sub-rede específica por meio de outra sub-rede. Como uma solução alternativa, você pode permitir a transmissão direcionada para encaminhar pacotes de broadcast que se originam de uma sub-rede diferente.

Os pacotes IP de broadcast L3 têm um endereço IP de destino que é um endereço de broadcast válido para a sub-rede alvo. Esses pacotes IP atravessam a rede da mesma forma que os pacotes IP unicast até que os pacotes cheguem à sub-rede de destino, da seguinte forma:

  1. Na sub-rede de destino, se o roteador receptor tiver direcionado a broadcast habilitado na interface de saída, os pacotes IP serão encaminhados para uma interface de saída e o Mecanismo de Roteamento ou apenas para uma interface de saída.
  2. Os pacotes IP são então traduzidos em pacotes IP de broadcast, que inundam a sub-rede alvo apenas através da interface LAN, e todos os hosts na sub-rede alvo recebem os pacotes IP. Os pacotes são descartados se nenhuma interface LAN existir.
  3. A etapa final da sequência depende da transmissão direcionada:
    • Se a transmissão direcionada não estiver habilitada no roteador receptor, os pacotes ip são tratados como pacotes IP de transmissão de Camada 3 regulares e são encaminhados ao Mecanismo de Roteamento.
    • Se a transmissão direcionada for habilitada sem nenhuma opção, os pacotes IP serão encaminhados ao Mecanismo de Roteamento.

Você pode configurar a transmissão direcionada para encaminhar os pacotes IP apenas para uma interface de saída. O encaminhamento é útil quando o roteador é inundado com pacotes para processar, ou tanto para uma interface de saída quanto para o Mecanismo de Roteamento.

Qualquer filtro de firewall configurado no lo0 do Mecanismo de Roteamento não pode ser aplicado a pacotes IP que são encaminhados ao Mecanismo de Roteamento como resultado de uma transmissão direcionada. A razão é que os pacotes de transmissão são encaminhados como tráfego next-hop de inundação e não como tráfego local de próximo salto. Você pode aplicar um filtro de firewall apenas em rotas locais de próximo salto para tráfego direcionado ao Mecanismo de Roteamento.

Visão geral da broadcast direcionada

Os pacotes de broadcast direcionados têm um endereço IP de destino que é um endereço de broadcast válido para a sub-rede que é o alvo da transmissão direcionada (a sub-rede alvo). A intenção de uma transmissão direcionada é inundar a sub-rede alvo com os pacotes de broadcast sem transmitir para toda a rede. Os pacotes de broadcast direcionados não podem se originar da sub-rede alvo.

Quando você envia um pacote de transmissão direcionado, enquanto viaja para a sub-rede alvo, a rede o encaminha da mesma maneira que encaminha um pacote unicast. Quando o pacote chega a um switch que está diretamente conectado à sub-rede alvo, o switch verifica se a transmissão direcionada está habilitada na interface que está diretamente conectada à sub-rede alvo:

  • Se a transmissão direcionada for habilitada nessa interface, o switch transmite o pacote nessa sub-rede reescrevendo o endereço IP de destino como o endereço IP de transmissão configurado para a sub-rede. O switch converte o pacote em um pacote de transmissão de camada de enlace que todos os hostes da rede processam.

  • Se a transmissão direcionada for desabilitada na interface que está diretamente conectada à sub-rede alvo, o switch derruba o pacote.

Implementação de broadcast direcionada

Você configura a transmissão direcionada por sub-rede, permitindo a transmissão direcionada na interface L3 da VLAN da sub-rede. Quando o switch conectado a essa sub-rede recebe um pacote que tem o endereço IP de transmissão da sub-rede como endereço de destino, o switch transmite o pacote para todos os hosts na sub-rede.

Por padrão, a transmissão direcionada é desativada.

Quando habilitar a transmissão direcionada

A transmissão direcionada é desativada por padrão. Habilite a transmissão direcionada quando quiser realizar serviços de gerenciamento remoto ou administração, como backups ou tarefas wol em hosts em uma sub-rede que não tenha uma conexão direta com a Internet.

Permitir a transmissão direcionada em uma sub-rede afeta apenas os hosts dentro dessa sub-rede. Apenas pacotes recebidos na interface L3 da sub-rede que têm o endereço IP de transmissão da sub-rede, pois o endereço de destino é inundado na sub-rede.

Quando não permitir a transmissão direcionada

Normalmente, você não permite a transmissão direcionada em sub-redes que têm conexões diretas com a Internet. Desativar a transmissão direcionada na interface L3 de uma sub-rede afeta apenas essa sub-rede. Se você desabilitar a transmissão direcionada em uma sub-rede e um pacote que tem o endereço IP de broadcast dessa sub-rede chegar ao switch, o switch derruba o pacote de transmissão.

Se uma sub-rede tiver uma conexão direta com a Internet, permitir a transmissão direcionada nela aumenta a suscetibilidade da rede a ataques do DoS.

Um invasor malicioso pode falsificar um endereço IP de origem para enganar uma rede para identificar o invasor como legítimo. O invasor pode então enviar transmissões direcionadas com pacotes de eco (ping) ICMP. Quando os hosts da rede com transmissão direcionada habilitados recebem os pacotes de eco do ICMP, os hosts enviam respostas à vítima que tem o endereço IP de origem falsificado. As respostas criam uma série de respostas de ping em um ataque do DoS que pode sobrecarregar o endereço de origem falsificado conhecido como ataque de firewall. Outro ataque do DoS comum em redes expostas com transmissão direcionada habilitada é um ataque fraggle . O ataque é semelhante a um ataque de firewall, exceto que o pacote malicioso é um pacote de eco UDP em vez de um pacote de eco ICMP.

Configure Targeted Broadcast

Configure Targeted Broadcast

Você pode configurar a transmissão direcionada em uma interface de saída com diferentes opções.

Qualquer uma dessas configurações é aceitável:

  • Você pode permitir que os pacotes de broadcast IP destinados a um endereço de Camada 3 sejam encaminhados pela interface de saída e enviem uma cópia dos pacotes de broadcast IP para o Mecanismo de Roteamento.

  • Você pode permitir que os pacotes de broadcast IP sejam encaminhados apenas pela interface de saída.

Observe que os pacotes são transmitidos apenas se a interface de saída for uma interface LAN.

Para configurar a transmissão direcionada e suas opções:

  1. Configure a interface.

    ou

  2. Configure o número da unidade lógica no nível de [edit interfaces interface-name hierarquia.
  3. Configure a família de protocolo como inet no nível de [edit interfaces interface-name unit interface-unit-number hierarquia.
  4. Configure a transmissão direcionada no nível de [edit interfaces interface-name unit interface-unit-number family inet hierarquia.
  5. Encaminhe pacotes de transmissão IP para um endereço de Camada 3:
    1. pela interface de saída e enviar uma cópia dos mesmos pacotes para o Mecanismo de Roteamento.

      ou

    2. apenas pela interface de saída.

Opções de configuração de broadcast direcionadas para display

Os tópicos de exemplo a seguir exibem opções de configuração de broadcast direcionadas:

Encaminhe pacotes de broadcast IP na interface de saída e para o mecanismo de roteamento

Propósito

Exibir a configuração quando a transmissão direcionada estiver configurada na interface de saída para encaminhar os pacotes de transmissão IP na interface de saída e enviar uma cópia dos mesmos pacotes para o Mecanismo de Roteamento.

Ação

Para exibir a configuração para irb, execute o show comando no [edit interfaces irb unit interface-unit-number family inet].

Encaminhe pacotes de broadcast IP apenas na interface de saída

Propósito

Exibir a configuração quando a transmissão direcionada estiver configurada na interface de saída para encaminhar apenas os pacotes de transmissão IP na interface de saída.

Ação

Para exibir a configuração, execute o show comando na [edit interfaces irb unit interface-unit-number family inet].