Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Propriedades de endereço da família de protocolo e interface

Esta seção discute como configurar a família de protocolos e as propriedades de endereço de interface.

Configure a família de protocolos

Uma família de protocolos é um grupo de propriedades lógicas dentro de uma configuração de interface. As famílias de protocolo incluem todos os protocolos que compõem um pacote de protocolos. Para usar um protocolo em um determinado pacote, você deve configurar toda a família de protocolos como uma propriedade lógica para uma interface.

As famílias de protocolo incluem os seguintes pacotes de protocolo comuns:

  • Inet — oferece suporte ao tráfego de protocolo IP, incluindo OSPF, BGP e Internet Control Message Protocol (ICMP).

  • Inet6 — oferece suporte ao tráfego de protocolo IPv6, incluindo RIP para IPv6 (RIPng), IS-IS e BGP.

  • ISO — oferece suporte ao tráfego IS-IS.

  • MPLS — oferece suporte ao MPLS.

Para configurar a família de protocolos para a interface lógica, inclua a family declaração, especificando a família selecionada.

Ao configurar a família de protocolos, preencha as seguintes tarefas sob a [edit interfaces interface-name unit logical-unit-number family family] hierarquia.

  • Configure MTU.

  • Configure a unidade e a família para que a interface possa transmitir e receber tráfego multicast apenas.

  • Desativar o envio de mensagens de redirecionamento pelo roteador.

  • Atribua um endereço a uma interface.

Atribua o endereço da interface

Você atribui um endereço a uma interface especificando o endereço ao configurar a família de protocolos. Para a família ou inet6 para a inet família, configure o endereço IP da interface. Para a iso família, configure um ou mais endereços para a interface de loopback. Para as famílias e vpls famílias, ethernet-switchingtccmplstnpvocê nunca configura um endereço.ccc

Para atribuir um endereço a uma interface, execute as seguintes etapas:

  1. Configure o endereço da interface no nível da [edit interfaces interface-name unit logical-unit-number family family] hierarquia.

    • Para configurar um endereço IP versão 4 (IPv4) em roteadores e switches, use a interface interface-name unit number family inet address a.b.c.d/nn declaração no nível de [edit interfaces] hierarquia.

      Você também pode atribuir vários endereços IPv4 na mesma interface.

    • Para configurar um endereço IP versão 6 (IPv6) em roteadores e switches, use a interface interface-name unit number family inet6 address aaaa:bbbb:...:zzzz/nn declaração no nível de [edit interfaces] hierarquia.

      Nota:

      • Você representa endereços IPv6 em notação hexadecimal usando uma lista separada de pontos de valores de 16 bits. O cólon duplo (::) representa todos os bits definidos para 0.

      • Você deve configurar manualmente o anúncio do roteador ou switch e anunciar o prefixo padrão para que a autoconfiguração funcione em uma interface específica.
  2. [Opcional] Definir o endereço de transmissão na rede ou sub-rede.
    Nota:

    O endereço de transmissão deve ter uma parte de host de todos os zeros ou todos os zeros. Você não pode especificar os endereços 0.0.0.0 ou 255.255.255.255.
  3. [Opcional] Para interfaces que transportam tráfego IPv6, configure o host para designar um identificador de interface IP versão 6 exclusivo de 64 Bits (EUI-64).

Configure endereços e interfaces padrão, primários e preferidos

As seções a seguir descrevem como configurar endereços e interfaces padrão, primárias e preferidas.

Endereços e interfaces padrão, primários e preferidos

O roteador tem um endereço padrão e uma interface primária; e interfaces têm endereços primários e preferidos.

O endereço padrão do roteador é usado como endereço de origem em interfaces não numeradas. O processo de protocolo de roteamento tenta selecionar o endereço padrão como ID do roteador, que é usado por protocolos, incluindo OSPF e BGP interno (IBGP).

A interface primária do roteador é a interface que os pacotes saem quando nenhum nome de interface é especificado e quando o endereço de destino não implica uma interface de saída específica.

O endereço principal de uma interface é usado por padrão como endereço local para pacotes de broadcast e multicast originados localmente e enviados pela interface. O endereço preferido de uma interface é o endereço local padrão usado para pacotes originados pelo roteador local para destinos na sub-rede.

Nota:

Você pode marcar explicitamente o IP de uma interface como principal e preferido usando uma declaração de configuração. Se uma interface for atribuída apenas a um único IP, esse endereço será considerado o endereço principal e preferido por padrão. Quando atribuídos vários endereços IP, nenhum dos quais está explicitamente configurado como primário, o endereço IP numericamente mais baixo é usado como endereço principal nessa interface.

O endereço padrão do roteador é escolhido usando a sequência a seguir:

  1. O endereço principal na interface lo0 de loopback que não 127.0.0.1 é usado.

  2. O endereço principal na interface primária é usado.

  3. Quando existem várias interfaces com endereços "primários" e "preferidos", a interface com o menor índice de interface é selecionada e o endereço principal é usado. Caso nenhum dos endereços IP da interface esteja explicitamente marcado com a primary declaração, o endereço numericamente mais baixo nessa interface é usado como endereço padrão do sistema.

  4. Qualquer interface restante com um endereço IP pode ser selecionada. Isso inclui o gerenciamento do roteador ou interfaces internas. Por isso, recomenda-se que você atribua um endereço de loopback ou configure explicitamente uma interface primária para controlar a seleção padrão de endereços.

Configure a interface primária para o roteador

A interface primária do roteador tem as seguintes características:

  • É a interface que os pacotes saem quando você digita um comando como o ping 255.255.255.255 — ou seja, um comando que não inclui um nome de interface (não há qualificação de interface type-0/0/0.0 ) e onde o endereço de destino não implica nenhuma interface de saída específica.

  • É a interface na qual aplicativos multicast executados localmente no roteador, como o Session Announcement Protocol (SAP), se juntam por padrão.

  • É a interface da qual o endereço local padrão é derivado para pacotes originados em uma interface não numerada se não houver endereços não 127 configurados na interface de loopback, lo0.

Por padrão, a interface com capacidade multicast com o endereço de menor índice é escolhida como a interface principal.

Para configurar uma interface diferente para ser a interface principal, inclua a primary declaração:

Você pode incluir esta declaração no seguinte nível de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family]

Configure o endereço principal para uma interface

O endereço principal em uma interface é o endereço que é usado por padrão como endereço local para pacotes de broadcast e multicast originados localmente e enviados a interface. Por exemplo, o endereço local nos pacotes enviados por um ping interface et-0/0/0.0 255.255.255.255 comando é o endereço principal na interface et-0/0/0.0. A bandeira de endereço principal também pode ser útil para selecionar o endereço local usado para pacotes enviados por interfaces não numeradas quando vários endereços não 127 estão configurados na interface de loopback. lo0 Por padrão, o endereço principal em uma interface é selecionado como o endereço local numericamente mais baixo configurado na interface.

Para definir um endereço primário diferente, inclua a primary declaração:

Você pode incluir esta declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family address address]

Configure o endereço preferido para uma interface

O endereço preferido em uma interface é o endereço local padrão usado para pacotes originados pelo roteador local para destinos na sub-rede. Por padrão, o endereço local numericamente mais baixo é escolhido. Por exemplo, se os endereços 172.16.1.1/12, 172.16.1.2/12e 172.16.1.3/12 estiverem configurados na mesma interface, o endereço preferido na sub-rede (por padrão 172.16.1.1) é usado como um endereço local quando você emite um ping 172.16.1.5 comando.

Para definir um endereço preferido diferente para a sub-rede, inclua a preferred declaração:

Você pode incluir esta declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family address address]

Comportamento operacional de interfaces com o mesmo endereço IPv4

Você pode configurar o mesmo endereço IP versão 4 (IPv4) em várias interfaces físicas. Quando você atribui o mesmo endereço IPv4 a várias interfaces físicas, o comportamento operacional dessas interfaces difere, dependendo se elas estão (implicitamente) ponto a ponto ou não.

Se você configurar o mesmo endereço IP em várias interfaces na mesma instância de roteamento, o sistema operacional aplica a configuração aleatoriamente em uma das interfaces. As outras interfaces permanecerão sem um endereço IP.

Os exemplos a seguir mostram a configuração de amostra de atribuir o mesmo endereço IPv4 a interfaces que são interfaces implícitas e explicitamente ponto a ponto. Os exemplos também mostram as show interfaces terse saídas de comando que correspondem às interfaces implícitas e explícitas ponto a ponto para exibir seu status operacional.

  1. Configurando o mesmo endereço IPv4 em duas interfaces não-P2P:

    A saída de amostra a seguir (para a configuração anterior) revela que apenas et-0/1/0.0 foi atribuído o mesmo endereço 203.0.113.1/24 IPv4 e seu link estado foi up, embora et-3/0/1.0 não tenha sido atribuído o endereço IPv4, embora seu link estado estivesse ativo, o que significa que ele só estará operacional quando receber um endereço IPv4 exclusivo que 203.0.113.1/24não.

    mostrar interfaces terse

  2. Configurando o mesmo endereço IPv4 em interfaces P2P (implícitas):

    A saída de amostra a seguir (para a configuração anterior) revela que ambos et-0/0/0.0 e et-0/0/3.0 foram atribuídos o mesmo endereço 203.0.113.1/24 IPv4 e que seus link estados estavam desligados. As interfaces estão em baixa devido a um problema com o enlace e não porque o mesmo endereço IPv4 é atribuído a ambas as interfaces. Espera-se que não mais do que uma das interfaces esteja ativa a qualquer momento (seguindo um esquema de redundância fora do escopo dos dispositivos Junos OS Evolved), porque ambas estão ativas podem causar efeitos adversos.

    mostrar interfaces terse

  3. Configurando o mesmo endereço IPv4 em várias instâncias de uma interface não-P2P:

    Em uma interface não P2P, você não pode configurar o mesmo endereço local em diferentes unidades de diferentes interfaces. Se você fizer isso, um erro de comprometimento será jogado e a configuração falhará.

  4. Configurando o mesmo endereço IPv4 em várias instâncias da mesma interface P2P:

    A saída de amostra a seguir (para a configuração anterior) revela que apenas uma interface é configurada com sucesso em interfaces P2P quando você tenta configurar o mesmo endereço IPv4 para várias instâncias de interfaces diferentes.

    mostrar interfaces terse

Configure interfaces não numeradas: visão geral

Visão geral das interfaces não numeradas

Quando você precisa conservar endereços IP, você pode configurar interfaces não numeradas. A configuração de uma interface sem números permite o processamento de IP na interface sem atribuir um endereço IP explícito à interface. Para a versão 6 de IP (IPv6), na qual a conservação de endereços não é uma grande preocupação, você pode configurar interfaces não numeradas para compartilhar a mesma sub-rede em várias interfaces.

As interfaces não numeradas IPv6 são suportadas apenas em interfaces Ethernet. As declarações que você usa para configurar uma interface não numerada dependem do tipo de interface que você está configurando: uma interface ponto a ponto ou uma interface Ethernet:

Configure uma interface ponto a ponto não numerada

Para configurar uma interface de ponto a ponto não numerada:

  1. No modo de configuração, vá para o nível de [edit interfaces interface-name unit logical-unit-number] hierarquia.
  2. Configure a família de protocolos, mas não inclua a address declaração.
Nota:

  • Ao configurar interfaces não numeradas, você deve garantir que um endereço de origem esteja configurado em uma interface no roteador. Este endereço é o endereço padrão. Recomendamos que você faça isso atribuindo um endereço à interface de loopback (lo0), conforme descrito na configuração da interface de loopback.

    Quando você configura um endereço roteável na lo0 interface, esse endereço é sempre o endereço padrão. Isso é ideal porque a interface de loopback é independente de quaisquer interfaces físicas e, portanto, é sempre acessível.

Configure uma interface de Ethernet ou Demux não numerada

Para configurar uma interface Ethernet ou demultiplexing (demux) não numerada:

  1. No modo de configuração, vá para o nível de [edit interfaces interface-name unit logical-unit-number family family-name] hierarquia.
  2. Para configurar uma interface Ethernet ou demux não numerada, inclua a unnumbered-address declaração na configuração.
  3. (Opcional) Para especificar a interface Ethernet não numerada como a interface de next-hop para uma rota estática configurada, inclua a qualified-next-hop declaração no nível de [edit routing-options static route destination-prefix] hierarquia. Esse recurso permite especificar preferências e métricas independentes para rotas estáticas no próximo salto.
Nota:

  • A unnumbered-address declaração atualmente oferece suporte à configuração de interfaces de demux não numeradas apenas para a família de endereços IP versão 4 (IPv4). Você pode configurar interfaces Ethernet não numeradas para famílias de endereçoS IPv4 e IPv6.

  • A interface que você configura não tem um borrows endereço IP atribuído de outra interface e, portanto, é conhecida como borrower interface. A interface a partir da qual o endereço IP é emprestado é chamada donor interfacede . unnumbered-address Na declaração, interface-name especifica a interface do doador. Para uma interface Ethernet não numerada, a interface do doador pode ser uma interface Ethernet ou loopback que tem um número de unidade lógica e endereço IP configurado e não é em si uma interface sem número. Para uma interface ip demux não numerada, a interface do doador pode ser uma interface de ethernet ou loopback que tem um número de unidade lógica e endereço IP configurado e não é em si uma interface sem número. Além disso, para ethernet ou demux, a interface do doador e a interface do tomador devem ser membros da mesma instância de roteamento e do mesmo sistema lógico.

  • Quando você configura uma interface Ethernet ou demux não numerada, o endereço IP da interface do doador torna-se o endereço de origem em pacotes gerados pela interface não numerada.

  • Você pode configurar uma rota de host que aponta para uma interface Ethernet ou demux não numerada.

Configure um endereço secundário como um endereço de origem preferido para interfaces Ethernet ou Demux não numeradas

Quando uma interface de loopback com vários endereços IP secundários é configurada como a interface do doador para uma interface Ethernet ou demultiplexing (demux) não numerada, você pode especificar opcionalmente qualquer um dos endereços secundários da interface de loopback como o endereço de origem preferido para a interface Ethernet ou demux não numerada. Esse recurso permite que você use um endereço IP diferente do endereço IP principal em algumas das interfaces Ethernet ou demux não numeradas em sua rede.

Configurar um endereço secundário em uma interface de doadores de loopback como o endereço de origem preferido para interfaces Ethernet ou demux não numeradas:

  1. No modo de configuração, vá para o nível de [edit interfaces interface-name unit logical-unit-number family family-name] hierarquia.
  2. Inclua a opção preferred-source-address na unnumbered-address declaração:
Nota:

As considerações a seguir se aplicam quando você configura um endereço de origem preferido em uma interface Ethernet ou demux não numerada:

  • A unnumbered-address declaração atualmente oferece suporte à configuração de um endereço de origem preferido apenas para a família de endereços IP versão 4 (IPv4) para interfaces de demux e para famílias de endereços IPv4 e IP versão 6 (IPv6) para interfaces Ethernet.

  • Se você não especificar o endereço de origem preferido, o roteador usará o endereço IP primário padrão da interface do doador.

  • Você não pode excluir um endereço em uma interface de loopback de doadores enquanto ele está sendo usado como o endereço de origem preferido para uma interface Ethernet ou demux não numerada.

Restrições para configurações de interface de ethernet não numeradas

Os seguintes requisitos e restrições se aplicam quando você configura interfaces Ethernet não numeradas:

  • A unnumbered-address declaração atualmente oferece suporte à configuração de interfaces Ethernet não numeradas para famílias de endereços IP versão 4 (IPv4) e IP versão 6 (IPv6).

  • Você pode atribuir um endereço IP apenas a uma interface Ethernet que ainda não está configurada como uma interface sem números.

  • Você deve configurar um ou mais endereços IP na interface do doador para uma interface Ethernet sem números.

  • Você não pode configurar a interface do doador para uma interface Ethernet não numerada como sem número.

  • Uma interface Ethernet não numerada não oferece suporte à configuração das seguintes address opções de declaração: arp, broadcast, , primary, preferredou vrrp-group.

  • Você pode executar o Protocolo de Gerenciamento de Grupos de Internet (IGMP) e o Módulo de Interface Física (PIM) apenas em interfaces Ethernet não numeradas que enfrentam diretamente o host e não têm vizinhos PIM a jusante. Você não pode executar IGMP ou PIM em interfaces Ethernet não numeradas que atuam como interfaces upstream em uma topologia PIM.

  • Você pode executar o OSPF em interfaces Ethernet não numeradas configuradas como uma conexão ponto a ponto (P2P). No entanto, você não pode executar OSPF ou IS-IS em interfaces Ethernet não numeradas que não estão configuradas como P2P.

    Para distribuição de estado de enlace usando um protocolo de gateway interior (IGP), garanta que o OSPF seja habilitado na interface do doador para uma configuração de interface sem números para que o endereço IP do doador possa ser alcançado para estabelecer sessões de OSPF.

Nota:

Se você configurar o mesmo endereço em várias interfaces na mesma instância de roteamento, o sistema operacional usa apenas a primeira configuração. Nesse cenário, as configurações de endereço restantes são ignoradas e podem deixar interfaces sem um endereço. Uma interface que não tem um endereço atribuído não pode ser usada como uma interface de doadores para uma interface Ethernet sem número.

Por exemplo, na configuração a seguir, a configuração de endereço da interface et-0/0/1.0 é ignorada:

Exemplo: exibir a configuração da interface Ethernet sem número

Propósito

Para exibir a interface não numerada configurada no nível de [edit interfaces interface-name unit logical-unit-number] hierarquia:

  • Interface não numerada — et-1/0/0

  • Interface de doadores — et-0/0/0

  • Endereço da interface do doador — 4.4.4.1/24

A interface não numerada "empresta" um endereço IP da interface do doador.

Ação

  • Execute o show comando no nível de [edit] hierarquia.

Exemplo: exibir o endereço de origem preferido configurado para uma interface de ethernet não numerada

Propósito

Para exibir a configuração do endereço de origem preferido para uma interface não numerada no nível de [edit interfaces interface-name unit logical-unit-number family inet] hierarquia:

  • Interface sem número — et-4/0/0/0

  • Interface de doadores — lo0

  • Endereço primário da interface do doador — 2.2.2.1/32

  • Endereço secundário da interface do doador — 3.3.3.1/32

Ação

  • Execute o show comando no nível de [edit] hierarquia.

Significado

A interface lo0 de loopback é a interface do doador da qual uma interface et-4/0/0 Ethernet não numerada "empresta" um endereço IP.

O exemplo mostra um dos endereços secundários da interface de loopback, 3.3.3.1, como o endereço de origem preferido para a interface Ethernet sem número.

Exemplo: exibir a configuração para a interface de ethernet não numerada como o próximo salto para uma rota estática

Propósito

Para exibir a interface não numerada configurada como o próximo salto para a rota estática no nível de [edit interfaces interface-name unit logical-unit-number family inet] hierarquia:

  • Interface sem número — et-0/0/0/0

  • Interface de doadores — lo0

  • Endereço primário da interface do doador — 5.5.5.1/32

  • Endereço secundário da interface do doador — 6.6.6.1/32

  • Rota estática — 7.7.7.1/32

Ação

  • Execute o show comando no nível de [edit] hierarquia.

  • A configuração a seguir permite que o kernel instale uma rota estática para atender a 7.7.7.1/32 com um próximo salto por meio de interface não numerada et-0/0/0.0.

Significado

Neste exemplo, et-0/0/0 está a interface não numerada. Uma interface lo0de loopback é a interface do doador da qual et-0/0/0 "empresta" um endereço IP. O exemplo também configura uma rota estática para 7.7.7.1/32 com um próximo salto através de uma interface et-0/0/0.0não numerada.

MTU de protocolo

Visão geral

O MTU de protocolo padrão depende do seu dispositivo e do tipo de interface. Quando você configura inicialmente uma interface, o MTU de protocolo é calculado automaticamente. Se você alterar o MTU de mídia posteriormente, o MTU de protocolo nas famílias de endereços existentes muda automaticamente.

Se você reduzir o tamanho do MTU de mídia, mas uma ou mais famílias de endereços já estiverem configuradas e ativas na interface, você também deve reduzir o tamanho do MTU do protocolo. Se você aumentar o tamanho do MTU de protocolo, você deve garantir que o tamanho do MTU de mídia seja igual ou maior do que a soma do MTU do protocolo e a sobrecarga de encapsulamento.

Se você não configurar um MPLS MTU, o Junos OS Evolved deriva o MPLS MTU da interface física MTU. A partir desse valor, o software subtrai a sobrecarga e o espaço específicos para encapsulamento para o número máximo de rótulos que podem ser empurrados no Mecanismo de Encaminhamento de Pacotes. O software fornece três rótulos de quatro bytes cada, para um total de 12 bytes.

Em outras palavras, a fórmula usada para determinar o MPLS MTU é a seguinte:

Você pode configurar o MTU de protocolo em todas as interfaces de túnel.

Configure o MTU de protocolo

Nota:

Alterar o MTU de mídia ou o MTU de protocolo faz com que uma interface seja excluída e adicionada novamente. Isso faz com que o link aba.

Para configurar o MTU de protocolo:

  1. No modo de configuração, vá para o nível de [edit interfaces interface-name unit logical-unit-number] hierarquia.
  2. Inclua a mtu declaração para cada família que você deseja configurar com um valor MTU não padrão.

    Se você configurar o MTU de protocolo para qualquer família, o valor configurado será aplicado a todas as famílias configuradas na interface lógica.

    Nota:

    Se você está configurando o MTU de protocolo para famílias e inet6 famílias inet na mesma interface lógica, você deve configurar o mesmo valor para ambas as famílias. Não recomendamos configurar diferentes valores de tamanho de MTU para inet famílias inet6 configuradas na mesma interface lógica.

Desativar a remoção de bytes de endereço e controle

Para algumas interfaces, os bytes de endereço e controle são removidos por padrão antes que o pacote seja encapsulado em um túnel.

No entanto, você pode desativar a remoção de bytes de endereço e controle.

Para desativar a remoção de bytes de endereço e controle, inclua a keep-address-and-control declaração:

Você pode incluir esta declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family ccc]

Veja também

Desativar a transmissão de mensagens de redirecionamento em uma interface

Por padrão, a interface envia mensagens de redirecionamento de protocolo. Para desativar o envio dessas mensagens em uma interface, inclua a no-redirects declaração:

Você pode incluir esta declaração no seguinte nível de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family]

Para desativar o envio de mensagens de redirecionamento de protocolo para todo o roteador ou switch, inclua a no-redirects declaração no nível de [edit system] hierarquia.

Aplique um filtro em uma interface

Definir grupos de interface em filtros de firewall

Ao aplicar um filtro de firewall, você pode definir uma interface para fazer parte de um grupo de interface. Os pacotes recebidos nessa interface são marcados como parte do grupo. Em seguida, você pode combinar esses pacotes usando a interface-group declaração de correspondência, conforme descrito nas políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego.

Para definir a interface como parte de um grupo de interface, inclua a group declaração:

Você pode incluir esta declaração nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family filter]

Nota:

O número 0 não é um número de grupo de interface válido.

Encaminhamento baseado em filtro na interface de saída

Se os pacotes espelhados por porta devem ser distribuídos para várias interfaces de monitoramento ou coleta, com base nos padrões nos cabeçalhos de pacotes, é útil configurar um filtro de encaminhamento baseado em filtro (FBF) na interface de saída espelhada por porta.

Quando um filtro FBF é instalado como um filtro de saída, um pacote que é encaminhado ao filtro já passou por pelo menos uma pesquisa de rota. Depois que o pacote é classificado na interface de saída pelo filtro FBF, ele é redirecionado para outra tabela de roteamento para uma busca adicional de rotas. Para evitar o looping de pacotes dentro do Mecanismo de Encaminhamento de Pacotes, a pesquisa de rota na última tabela de roteamento (designada por uma instância de roteamento da FBF) deve resultar em um próximo salto diferente de qualquer próximo salto especificado em uma tabela que já foi aplicada ao pacote.

Se uma interface de entrada for configurada para FBF, a busca de origem será desativada para esses pacotes que vão para uma instância de roteamento diferente, uma vez que a tabela de roteamento não está configurada para lidar com a aparência da origem.

Aplique um filtro em uma interface

Para aplicar filtros de firewall em uma interface, inclua a filter declaração:

Para aplicar um único filtro, inclua a input declaração:

Para aplicar uma lista de filtros para avaliar pacotes recebidos em uma interface, inclua a input-list declaração.

Você pode incluir até 16 nomes de filtro em uma lista de entrada.

Para aplicar uma lista de filtros para avaliar pacotes transmitidos em uma interface, inclua a output-list declaração.

Quando você aplica filtros usando a input-list declaração ou a output-list declaração, um novo filtro é criado com o nome <interface-name>.<unit-direction>. Este filtro é exclusivamente específico da interface.

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family family]

family Na declaração, a família de protocolo pode serccc, inet6inet, , mplsou vpls.

group Na declaração, especifique o número do grupo de interface para associar ao filtro.

input Na declaração, liste o nome de um filtro de firewall a ser avaliado quando os pacotes forem recebidos na interface.

input-list Na declaração, liste os nomes dos filtros para avaliar quando os pacotes são recebidos na interface. Você pode incluir até 16 nomes de filtro.

output Na declaração, liste o nome de um filtro de firewall a ser avaliado quando os pacotes são transmitidos na interface.

Nota:

Os filtros de firewall da família MPLS aplicados na interface de saída não são suportados no roteador PTX10003, devido à limitação do produto.

output-list Na declaração, liste os nomes dos filtros para avaliar quando os pacotes são transmitidos na interface. Você pode incluir até 16 nomes de filtro.

Se você aplicar o filtro à interface lo0, ele é aplicado a pacotes recebidos ou transmitidos pelo Mecanismo de Roteamento.

Para obter mais informações sobre filtros de firewall, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego. Para obter mais informações sobre filtros MPLS, consulte o guia de usuário de aplicativos MPLS.

Exemplo: filtro de entrada para tráfego VPLS

Exemplo: encaminhamento baseado em filtro na interface de saída

O exemplo a seguir ilustra a configuração do encaminhamento baseado em filtro na interface de saída. Neste exemplo, o fluxo de pacotes segue esse caminho:

  1. Um pacote chega à interface et-1/2/0.0 com endereços 10.50.200.1 de origem e destino e 10.50.100.1, respectivamente.

  2. A busca da rota na tabela inet.0 de roteamento aponta para a interface et-0/0/3.0de saída.

  3. O filtro de saída instalado redireciona et-0/0/3.0 o pacote para a tabela fbf.inet.0de roteamento.

  4. O pacote combina a fbf.inet.0 entrada 10.50.100.0/25 na tabela e o pacote finalmente deixa o roteador da interfaceet-2/0/0.0.

Habilite o uso da classe de origem e da classe de destino

Visão geral de uso da classe de origem e da classe de destino

Para interfaces que transportam IP versão 4 (IPv4), VERSÃO IP 6 (IPv6), MPLS ou tráfego de faturamento peer AS, você pode manter a contagem de pacotes com base nos pontos de entrada e saída para tráfego que passa pela sua rede. Os pontos de entrada e saída são identificados por prefixos de origem e destino agrupados em conjuntos de desarticulação definidos como classes de origem e classes de destino. Você pode definir aulas com base em uma variedade de parâmetros, como roteamento de vizinhos, sistemas autônomos e filtros de rota.

A contabilidade de uso de classe de origem (SCU) conta com pacotes enviados aos clientes realizando uma busca no endereço de origem IP. A SCU possibilita rastrear o tráfego originado de prefixos específicos no núcleo do provedor e destinados a prefixos específicos na borda do cliente. Você deve habilitar a contabilidade de SCU nas interfaces físicas de entrada e saída, e a rota para a origem do pacote deve estar localizada na tabela de encaminhamento.

Nota:

Nem a contabilidade de SCU nem de classe de destino (DCU) funciona com rotas de interface diretamente conectadas. O uso da classe de origem não conta pacotes provenientes de fontes com rotas diretas na tabela de encaminhamento, devido às limitações da arquitetura de software.

O uso da classe de destino (DCU) conta com pacotes dos clientes realizando uma busca no endereço de destino IP . A DCU possibilita rastrear o tráfego originário da borda do cliente e destinado a prefixos específicos no roteador de núcleo do provedor.

Nota:

Recomendamos que você pare o tráfego de rede em uma interface antes de modificar a configuração de DCU ou SCU para essa interface. Modificar a configuração de DCU ou SCU sem parar o tráfego pode corromper as estatísticas de DCU ou SCU. Antes de reiniciar o tráfego depois de modificar a configuração, entre no clear interfaces statistics comando.

A Figura 1 ilustra uma rede ISP. Nesta topologia, você pode usar a DCU para contar pacotes que os clientes enviam para prefixos específicos. Por exemplo, você pode ter três contadores, um por cliente, que contam os pacotes destinados a prefixo 210.210/16 e 220.220/16.

Você pode usar o SCU para contar pacotes que o provedor envia de prefixos específicos. Por exemplo, você pode contar os pacotes enviados a partir do prefixo 210.210/16 e 215.215/16 que são transmitidos em uma interface de saída específica.

Figura 1: Contabilidade de prefixo com aulas Prefix Accounting with Source and Destination Classes de origem e destino

Você pode configurar até 126 aulas de origem e 126 aulas de destino. Para cada interface na qual você permite o uso da classe de destino e a utilização da classe de origem, o sistema operacional mantém um contador específico de interface para cada classe correspondente até o limite de 126 classes.

Nota:

Para pacotes de trânsito que saem do roteador pelo túnel, recursos de caminho de encaminhamento, como RPF, filtragem de tabela de encaminhamento, uso de classe de origem e uso da classe de destino não são suportados nas interfaces que você configura como interface de saída para tráfego de túnel. Para filtragem de firewall, é necessário permitir que os pacotes de túnel de saída por meio do filtro de firewall sejam aplicados ao tráfego de entrada na interface que é a interface next-hop em direção ao destino do túnel.
Nota:

Realizar a contabilidade da DCU quando um serviço de saída é habilitado produz um comportamento inconsistente na configuração a seguir:

  • A entrada SCU e a DCU estão configuradas na interface de entrada de pacotes.

  • A saída de SCU está configurada na interface de saída de pacotes.

  • Os serviços de interface são habilitados na interface de saída.

Para um pacote de entrada com prefixos de origem e destino que correspondam às classes SCU e DCU configuradas no roteador, os contadores SCU e DCU serão incrementados. Esse comportamento não é prejudicial ou negativo. No entanto, é inconsistente com pacotes não atendidos, na medida em que apenas a contagem de SCU será incrementada (porque a classe SCU ID substituirá o ID da classe DCU neste caso).

Para habilitar a contagem de pacotes em uma interface, inclua a accounting declaração:

direction pode ser um dos seguintes:

  • input— Configure pelo menos um ponto de ingresso esperado.

  • output— Configure pelo menos um ponto de saída esperado.

  • input output— Em uma única interface, configure pelo menos um ponto de entrada esperado e um ponto de saída esperado.

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

[edit interfaces interface-name unit logical-unit-number family (inet | inet6 | mpls)]

Para que o SCU funcione, você deve configurar pelo menos uma interface de entrada e pelo menos uma interface de saída.

Depois de habilitar a contabilidade em uma interface, o sistema operacional mantém contadores de pacotes para essa interface, com contadores separados para inet, inet6e mpls famílias de protocolo. Em seguida, você deve configurar os atributos de classe de origem e classe de destino em declarações de ação de políticas, que devem ser incluídas nas políticas de exportação da tabela de encaminhamento.

Nota:

Ao configurar declarações de ação de políticas, você pode configurar apenas uma classe de origem para cada rota correspondente. Em outras palavras, mais de uma classe de origem não pode ser aplicada à mesma rota.

Você pode configurar a contabilidade de SCU para VPNs de Camada 3 configuradas com a vrf-table-label declaração. Inclua a source-class-usage declaração no nível da [edit routing-instances routing-instance-name vrf-table-label] hierarquia. A source-class-usage declaração neste nível de hierarquia é suportada apenas para o tipo de instância de roteamento e encaminhamento virtual (VRF).

Nota:

Você não pode habilitar contadores de DCU na interface comutação de rótulos (LSI) que é criada dinamicamente quando a vrf-table-label declaração é configurada dentro de um VRF.

Habilite o uso da classe de origem e da classe de destino

Figura 2: Contabilidade de prefixo com aulas Prefix Accounting with Source and Destination Classes de origem e destino

Antes de habilitar o uso da classe de origem (SCU) e o uso da classe de destino (DCU), você deve configurar a saída de DCU e SCU em uma interface:

Para habilitar a utilização da classe de origem e da classe de destino:

  1. Preencha a configuração do SCU

    Os roteadores de origem A e B usam endereços de loopback como os prefixos a serem monitorados. A maioria das tarefas de configuração e monitoramento real ocorrem no SCU do roteador de trânsito.

    O endereço de loopback no Roteador A contém a origem do prefixo que deve ser atribuído ao SCU de classe A de origem no roteador. No entanto, nenhum processamento de SCU acontece neste roteador. Portanto, configure o Roteador A para o roteamento básico do OSPF e inclua sua interface e interface et-0/0/2 de loopback no processo OSPF.


  3. Aplique a política na tabela de encaminhamento, configurando uma declaração de política de filtro de rota que corresponda aos prefixos dos endereços de loopback dos roteadores A e B.

    Por último, aplique a política na tabela de encaminhamento.

    O Roteador SCU lida com a maior parte da atividade neste exemplo. No Roteador SCU, habilite o uso de classe fonte nas interfaces de entrada e saída no nível de [edit interfaces interface-name unit unit-number family inet accounting] hierarquia. Certifique-se de especificar o tráfego esperado: entrada, saída ou, neste caso, ambos.

    Quando você configura uma declaração de política de filtro de rota que combina os prefixos dos endereços de loopback dos roteadores A e B. Inclua declarações na política que classifica pacotes do Roteador A em um grupo nomeado scu-class-a e pacotes do Roteador B em uma segunda classe nomeada scu-class-b. Observe o uso eficiente de uma única política contendo vários termos.

  4. Configure o roteador B.

    Assim como o roteador A fornece um prefixo de origem, o endereço de loopback do Roteador B combina com o prefixo atribuído no scu-class-b SCU do roteador. Mais uma vez, nenhum processamento de SCU acontece neste roteador, então configure o roteador B para roteamento osPF básico e inclua sua interface e interface et-0/0/4 de loopback no processo OSPF.

  5. Configure uma interface virtual de túnel de loopback em um roteador de borda de provedor equipado com um PIC de túnel.

    Você pode usar SCU e DCU para contar pacotes em VPNs de Camada 3. Para habilitar a contagem de pacotes para implementações de VPN de Camada 3 no ponto de saída do túnel MPLS, você deve configurar uma interface virtual de túnel de loopback (vt) no roteador PE, mapear o tipo de instância de roteamento e encaminhamento virtual (VRF) para a interface virtual do túnel de loopback e enviar o tráfego recebido da VPN para fora da interface de saída da classe de origem, conforme mostrado no exemplo a seguir:

    Enabling Packet Counting for Layer 3 VPNs
[edit interfaces]
vt-0/3/0 {
    unit 0 {
        family inet {
            accounting {
                source-class-usage {
                    input;
                }
            }
        }
    }
}

  6. Mapeie o tipo de instância VRF para a interface virtual de túnel de loopback.

    Você pode configurar a contabilidade de SCU para VPNs de Camada 3 configuradas com a vrf-table-label declaração. Inclua a source-class-usage declaração no nível da [edit routing-instances routing-instance-name vrf-table-label] hierarquia. A source-class-usage declaração neste nível de hierarquia é suportada apenas para o tipo de instância de roteamento e encaminhamento virtual (VRF). A DCU não tem suporte quando a vrf-table-label declaração está configurada.

  7. Envie o tráfego recebido da VPN para fora da interface de saída da classe de origem.

Entender o Broadcast direcionado

A transmissão direcionada é um processo de inundação de uma sub-rede alvo com pacotes IP de transmissão de Camada 3 originários de uma sub-rede diferente. A intenção da broadcast direcionada é inundar a sub-rede alvo com os pacotes de broadcast em uma interface LAN sem transmitir para toda a rede. A transmissão direcionada é configurada com várias opções na interface de saída do roteador ou switch, e os pacotes IP são transmitidos apenas na interface LAN (saída). A transmissão direcionada ajuda você a implementar tarefas de administração remota, como backups e LAN wake-on (WOL) em uma interface LAN, e oferece suporte a instâncias de roteamento e encaminhamento virtual (VRF).

Os pacotes IP de broadcast de Camada 3 regulares originários de uma sub-rede são transmitidos na mesma sub-rede. Quando esses pacotes IP chegam a uma sub-rede diferente, eles são encaminhados ao Mecanismo de Roteamento (a ser encaminhado a outros aplicativos). Por causa disso, tarefas de administração remotas, como backups, não podem ser executadas em uma sub-rede específica por meio de outra sub-rede. Como uma solução alternativa, você pode permitir a transmissão direcionada para encaminhar pacotes de broadcast que se originam de uma sub-rede diferente.

Os pacotes IP de broadcast de Camada 3 têm um endereço IP de destino que é um endereço de broadcast válido para a sub-rede alvo. Esses pacotes IP atravessam a rede da mesma forma que os pacotes IP unicast até chegar à sub-rede de destino, da seguinte forma:

  1. Na sub-rede de destino, se o roteador recebedor tiver como alvo a transmissão habilitada na interface de saída, os pacotes IP são encaminhados para uma interface de saída e o Mecanismo de Roteamento ou apenas para uma interface de saída.
  2. Os pacotes IP são então traduzidos em pacotes IP de broadcast, que inundam a sub-rede alvo apenas através da interface LAN, e todos os hosts na sub-rede alvo recebem os pacotes IP. Os pacotes são descartados Se nenhuma interface LAN existir,
  3. A etapa final da sequência depende da transmissão direcionada:
    • Se a transmissão direcionada não for habilitada no roteador receptor, os pacotes IP são tratados como pacotes IP de transmissão de Camada 3 regulares e são encaminhados ao Mecanismo de Roteamento.
    • Se a transmissão direcionada for habilitada sem nenhuma opção, os pacotes IP serão encaminhados ao Mecanismo de Roteamento.

Você pode configurar a transmissão direcionada para encaminhar os pacotes IP apenas para uma interface de saída. Isso é útil quando o roteador é alagado com pacotes para processar, ou tanto para uma interface de saída quanto para o Mecanismo de Roteamento.

Nota:

Qualquer filtro de firewall configurado na interface de loopback do Mecanismo de Roteamento (lo0) não pode ser aplicado a pacotes IP que são encaminhados ao Mecanismo de Roteamento como resultado de uma transmissão direcionada. Isso ocorre porque os pacotes de broadcast são encaminhados como inundação de tráfego next-hop e não como tráfego local de next-hop, e você pode aplicar um filtro de firewall apenas para rotas locais de next-hop para tráfego direcionado ao Mecanismo de Roteamento.

Configure Targeted Broadcast

As seções a seguir explicam como configurar a transmissão direcionada em uma interface de saída e suas opções:

Configure o Broadcast direcionado e suas opções

Você pode configurar a transmissão direcionada em uma interface de saída com diferentes opções.

Qualquer uma dessas configurações é aceitável:

  • Você pode permitir que os pacotes IP destinados a um endereço de transmissão de Camada 3 sejam encaminhados na interface de saída e envie uma cópia dos pacotes IP ao Mecanismo de Roteamento.

  • Você pode permitir que os pacotes IP sejam encaminhados apenas na interface de saída.

Observe que os pacotes são transmitidos apenas se a interface de saída for uma interface LAN.

Para configurar a broadcast direcionada e suas opções:

  1. Configure a interface física.
  2. Configure o número da unidade lógica no nível de [edit interfaces interface-name hierarquia.
  3. Configure a família de protocolo como inet no nível de [edit interfaces interface-name unit interface-unit-number hierarquia.
  4. Configure a transmissão direcionada no nível de [edit interfaces interface-name unit interface-unit-number family inet hierarquia.
  5. Especifique uma das seguintes opções:

    • Permita que pacotes IP destinados a um endereço de transmissão de Camada 3 sejam encaminhados na interface de saída e envie uma cópia dos pacotes IP ao Mecanismo de Roteamento.

    • Permita que os pacotes IP sejam encaminhados apenas na interface de saída.

Exibir opções de configuração de broadcast direcionado

Os tópicos de exemplo a seguir exibem opções de configuração de broadcast direcionadas:

Exemplo: encaminhe pacotes IP na interface de saída e para o mecanismo de roteamento

Propósito

Exibir a configuração quando a transmissão direcionada for configurada na interface de saída para encaminhar os pacotes IP na interface de saída e enviar uma cópia dos pacotes IP ao Mecanismo de Roteamento.

Ação

Para exibir a configuração, execute o show comando no [edit interfaces interface-name unit interface-unit-number family inet] local onde o nome da interface está et-2/0/0, o valor da unidade é definido para 0, e a família de protocolos está definida para inet.

Exemplo: encaminhe pacotes IP apenas na interface de saída

Propósito

Exibir a configuração quando a transmissão direcionada for configurada na interface de saída para encaminhar apenas os pacotes IP na interface de saída.

Ação

Para exibir a configuração, execute o show comando no [edit interfaces interface-name unit interface-unit-number family inet] local onde o nome da interface está et-2/0/0, o valor da unidade é definido para 0, e a família de protocolos está definida para inet.