Filtros de firewall em sistemas lógicos
Os filtros de firewall fornecem regras que definem aceitar ou descartar pacotes que estão transitando por uma interface. Para obter mais informações, veja os seguintes tópicos:
Entender como usar filtros de firewall padrão
- Usando filtros de firewall padrão para afetar pacotes locais
- Usando filtros de firewall padrão para afetar pacotes de dados
Usando filtros de firewall padrão para afetar pacotes locais
Em um roteador, você pode configurar uma interface física de loopback, lo0, e um ou mais endereços na interface. A interface de loopback é a interface do Mecanismo de Roteamento, que executa e monitora todos os protocolos de controle. A interface de loopback transporta apenas pacotes locais. Os filtros de firewall padrão aplicados à interface de loopback afetam os pacotes locais destinados ou transmitidos do Mecanismo de Roteamento.
Quando você cria uma interface de loopback adicional, é importante aplicar um filtro a ele para que o Mecanismo de Roteamento seja protegido. Recomendamos que, ao aplicar um filtro na interface de loopback, você inclua a declaração de grupos aplicáveis . Isso garante que o filtro seja herdado automaticamente em todas as interfaces de loopback, incluindo lo0 e outras interfaces de loopback.
Fontes confiáveis
O uso típico de um filtro de firewall stateless padrão é para proteger os processos e recursos do Mecanismo de Roteamento contra pacotes maliciosos ou não confiáveis. Para proteger os processos e recursos de propriedade do Mecanismo de Roteamento, você pode usar um filtro de firewall stateless padrão que especifica quais protocolos e serviços, ou aplicativos, podem chegar ao Mecanismo de Roteamento. Aplicar esse tipo de filtro na interface de loopback garante que os pacotes locais sejam de uma fonte confiável e protege os processos em execução no Mecanismo de Roteamento contra um ataque externo.
Prevenção contra enchentes
Você pode criar filtros de firewall stateless padrão que limitam determinado tráfego de TCP e ICMP destinados ao mecanismo de roteamento. Um roteador sem esse tipo de proteção é vulnerável a ataques de inundação de TCP e ICMP, que também são chamados de ataques de negação de serviço (DoS). Por exemplo:
Um ataque de inundação de TCP de pacotes SYN iniciando solicitações de conexão pode sobrecarregar o dispositivo até que ele não possa mais processar solicitações de conexão legítimas, resultando em negação de serviço.
Uma inundação de ICMP pode sobrecarregar o dispositivo com tantas solicitações de eco (solicitações de ping) que gasta todos os seus recursos respondendo e não pode mais processar tráfego de rede válido, resultando também em negação de serviço.
Aplicar os filtros de firewall apropriados ao mecanismo de roteamento protege contra esses tipos de ataques.
Usando filtros de firewall padrão para afetar pacotes de dados
Os filtros de firewall padrão que você aplica às interfaces de trânsito do seu roteador avaliam apenas os pacotes de dados do usuário que transitam o roteador de uma interface diretamente para outra enquanto são encaminhados de uma fonte para um destino. Para proteger a rede como um todo contra acesso não autorizado e outras ameaças em interfaces específicas, você pode aplicar interfaces de trânsito de roteador de filtros de firewall.
Veja também
Exemplo: configurar um filtro de firewall stateless para proteger um sistema lógico contra inundações de ICMP
Este exemplo mostra como configurar um filtro de firewall stateless que protege contra ataques de negação de serviço do ICMP em um sistema lógico.
Requisitos
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Visão geral
Este exemplo mostra um filtro de firewall stateless chamado protect-RE que policia pacotes ICMP. Isso icmp-policer limita a taxa de tráfego dos pacotes ICMP a 1.000.000 bps e o tamanho da explosão para 15.000 bytes. Pacotes que excedem a taxa de tráfego são descartados.
O policial é incorporado à ação de um termo de filtro chamado icmp-term.
Neste exemplo, um ping é enviado de um roteador físico conectado diretamente para a interface configurada no sistema lógico. O sistema lógico aceita os pacotes ICMP se eles forem recebidos a uma taxa de até 1 Mbps (limite de largura de banda). O sistema lógico derruba todos os pacotes de ICMP quando essa taxa é excedida. A burst-size-limit declaração aceita explosões de tráfego de até 15 Kbps. Se as explosões excederem esse limite, todos os pacotes serão descartados. Quando a taxa de fluxo diminui, os pacotes ICMP são novamente aceitos.
Topologia
A Figura 1 mostra a topologia usada neste exemplo.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Use o Editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar um filtro de firewall ICMP em um sistema lógico:
Configure a interface no sistema lógico.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
Permita explicitamente que pacotes ICMP sejam recebidos na interface.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
Crie o policial.
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
Aplique o policial a um termo de filtro.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
Aplique o policial na interface lógica do sistema.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@host# commit
Resultados
Confirme sua configuração emitindo o show logical-systems LS1 comando.
user@host# show logical-systems LS1
interfaces {
so-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
Verificação
Confirme que a configuração está funcionando corretamente.
Verificar se o ping funciona a menos que os limites sejam excedidos
Propósito
Certifique-se de que a interface lógica do sistema esteja protegida contra ataques DoS baseados em ICMP.
Ação
Faça login em um sistema que tenha conectividade com o sistema lógico e execute o ping comando.
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
Significado
Quando você envia um ping normal, o pacote é aceito. Quando você envia um pacote de ping que excede o limite do filtro, o pacote é descartado.
Exemplo: configurar o encaminhamento baseado em filtro em sistemas lógicos
Este exemplo mostra como configurar o encaminhamento baseado em filtro em um sistema lógico. O filtro classifica os pacotes para determinar seu caminho de encaminhamento dentro do dispositivo de roteamento de entrada.
Requisitos
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Visão geral
O encaminhamento baseado em filtros é suportado para IP versão 4 (IPv4) e versão IP 6 (IPv6).
Use o encaminhamento baseado em filtro para a seleção de provedores de serviços quando os clientes tiverem conectividade internet fornecida por diferentes ISPs e ainda compartilharem uma camada de acesso comum. Quando uma mídia compartilhada (como um modem a cabo) é usada, um mecanismo na camada de acesso comum olha para endereços de Camada 2 ou Camada 3 e distingue entre os clientes. Você pode usar o encaminhamento baseado em filtro quando a camada de acesso comum for implementada usando uma combinação de switches de Camada 2 e um único roteador.
Com o encaminhamento baseado em filtro, todos os pacotes recebidos em uma interface são considerados. Cada pacote passa por um filtro que tem condições de correspondência. Se as condições de correspondência forem atendidas por um filtro e você tiver criado uma instância de roteamento, o encaminhamento baseado em filtros é aplicado a um pacote. O pacote é encaminhado com base no próximo salto especificado na instância de roteamento. Para rotas estáticas, o próximo salto pode ser um LSP específico.
A correspondência do filtro de uso de classe fonte e as verificações de encaminhamento de caminho reverso unicast não são suportadas em uma interface configurada com encaminhamento baseado em filtro (FBF).
Para configurar o encaminhamento baseado em filtro, execute as seguintes tarefas:
Crie um filtro de correspondência em um roteador ou switch de entrada. Para especificar um filtro de correspondência, inclua a
filter filter-namedeclaração no nível de[edit firewall]hierarquia. Um pacote que passa pelo filtro é comparado com um conjunto de regras para classificá-lo e determinar sua adesão em um conjunto. Uma vez classificado, o pacote é encaminhado para uma tabela de roteamento especificada na ação de aceitação na linguagem de descrição do filtro. A tabela de roteamento encaminha o pacote para o próximo salto que corresponde à entrada do endereço de destino na tabela.Crie instâncias de roteamento que especifiquem a(s) tabela(s) de roteamento para a qual um pacote é encaminhado e o destino para o qual o pacote é encaminhado no
[edit routing-instances]nível da hierarquia.[edit logical-systems logical-system-name routing-instances]Por exemplo:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }Crie um grupo de tabela de roteamento que adiciona rotas de interface às instâncias de roteamento de encaminhamento usadas no encaminhamento baseado em filtro (FBF), bem como à instância
inet.0de roteamento padrão. Essa parte da configuração resolve as rotas instaladas nas instâncias de roteamento para conexões próximas diretamente nessa interface. Crie o grupo da tabela de roteamento no nível da[edit routing-options]hierarquia.[edit logical-systems logical-system-name routing-options]
Especifique inet.0 como uma das instâncias de roteamento em que as rotas de interface são importadas. Se a instância inet.0 padrão não for especificada, as rotas de interface não serão importadas para a instância de roteamento padrão.
Este exemplo mostra um filtro de pacote que direciona o tráfego do cliente para um roteador next-hop nos domínios, SP 1 ou SP 2, com base no endereço de origem do pacote.
Se o pacote tiver um endereço de origem atribuído a um cliente SP 1, o encaminhamento baseado em destino ocorre usando a tabela de roteamento sp1-route.inet.0. Se o pacote tiver um endereço de origem atribuído a um cliente SP 2, o encaminhamento baseado em destino ocorrerá usando a tabela de roteamento sp2-route-table.inet.0. Caso um pacote não corresponda a nenhuma dessas condições, o filtro aceita o pacote e o encaminhamento baseado em destino ocorre usando a tabela de roteamento padrão inet.0.
Uma maneira de fazer o encaminhamento baseado em filtro funcionar dentro de um sistema lógico é configurar o filtro de firewall no sistema lógico que recebe os pacotes. Outra maneira é configurar o filtro de firewall no roteador principal e, em seguida, fazer referência ao sistema lógico no filtro de firewall. Este exemplo usa a segunda abordagem. As instâncias de roteamento específicas estão configuradas no sistema lógico. Como cada instância de roteamento tem sua própria tabela de roteamento, você também precisa fazer referência às instâncias de roteamento no filtro do firewall. A sintaxe parece a seguinte:
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
Topologia
A Figura 2 mostra a topologia usada neste exemplo.
No Logical System P1, um filtro de entrada classifica os pacotes recebidos do Logical System PE3 e do Logical System PE4. Os pacotes são roteados com base nos endereços de origem. Os pacotes com endereços de origem nas redes 10.1.1.0/24 e 10.1.2.0/24 são roteados para o Logical System PE1. Os pacotes com endereços de origem nas redes 10.2.1.0/24 e 10.2.2.0/24 são roteados para o Logical System PE2.
baseado em filtro
Para estabelecer conectividade, o OSPF está configurado em todas as interfaces. Para fins de demonstração, os endereços da interface de loopback são configurados nos dispositivos de roteamento para representar redes nas nuvens.
A seção de configuração rápida da CLI mostra toda a configuração para todos os dispositivos da topologia. A configuração das instâncias de roteamento no Sistema Lógico P1 e a configuração do filtro de firewall nas seções do roteador principal mostram a configuração passo a passo do dispositivo de roteamento de entrada, Logical System P1.
Configuração
- Configuração rápida da CLI
- Configurando o filtro de firewall no roteador principal
- Configurando as instâncias de roteamento no Sistema Lógico P1
- Resultados
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia [edit] .
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
Configurando o filtro de firewall no roteador principal
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar o filtro de firewall no roteador principal:
Configure os endereços de origem para clientes SP1.
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
Configure as ações que são tomadas quando os pacotes são recebidos com os endereços de origem especificados.
Para rastrear a ação do filtro de firewall, uma ação de log está configurada. A tabela de roteamento sp1-route-table.inet.0 no Logical System P1 roteia os pacotes.
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
Configure os endereços de origem para clientes SP2.
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
Configure as ações que são tomadas quando os pacotes são recebidos com os endereços de origem especificados.
Para rastrear a ação do filtro de firewall, uma ação de log está configurada. A tabela de roteamento sp2-route-table.inet.0 no Logical System P1 roteia o pacote.
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
Configure a ação a ser tomada quando os pacotes são recebidos de qualquer outro endereço de origem.
Todos esses pacotes são simplesmente aceitos e roteados usando a tabela de roteamento unicast IPv4 padrão, inet.0.
[edit firewall filter classify-customers term default] user@host# set then accept
Configurando as instâncias de roteamento no Sistema Lógico P1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no guia de usuário da CLI.
Para configurar as instâncias de roteamento em um sistema lógico:
Configure as interfaces no sistema lógico.
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
Atribua o filtro de
classify-customersfirewall à interface do roteador lt-1/2/0,10 como um filtro de pacote de entrada.[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
Configure a conectividade, usando um protocolo de roteamento ou roteamento estático.
Como uma prática recomendada, desabilitar o roteamento na interface de gerenciamento.
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
Crie as instâncias de roteamento.
Essas instâncias de roteamento são mencionadas no filtro de
classify-customersfirewall.O tipo de instância de encaminhamento fornece suporte para o encaminhamento baseado em filtros, onde as interfaces não estão associadas a instâncias. Todas as interfaces pertencem à instância padrão, nesse caso o Logical System P1.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
Resolva as rotas instaladas nas instâncias de roteamento para próximos hops conectados diretamente.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
Junte as tabelas de roteamento para formar um grupo de tabela de roteamento.
A primeira tabela de roteamento, inet.0, é a tabela de roteamento principal, e as tabelas de roteamento adicionais são as tabelas de roteamento secundários.
A tabela de roteamento principal determina a família de endereços do grupo de tabela de roteamento, neste caso O IPv4.
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
Aplique o grupo da tabela de roteamento ao OSPF.
Isso faz com que as rotas OSPF sejam instaladas em todas as tabelas de roteamento do grupo.
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
Se você terminar de configurar o dispositivo, comprometa a configuração.
[edit] user@host# commit
Resultados
Confirme sua configuração emitindo os e show logical-systems P1 comandosshow firewall.
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show logical-systems P1
interfaces {
lt-1/2/0 {
unit 10 {
encapsulation ethernet;
peer-unit 9;
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
unit 13 {
encapsulation ethernet;
peer-unit 14;
family inet {
address 172.16.0.13/30;
}
}
unit 17 {
encapsulation ethernet;
peer-unit 18;
family inet {
address 172.16.0.17/30;
}
}
}
}
protocols {
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
}
routing-instances {
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.13;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.17;
}
}
}
}
routing-options {
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
}
Verificação
Confirme que a configuração está funcionando corretamente.
Pingando com endereços de origem especificados
Propósito
Envie alguns pacotes de ICMP pela rede para testar o filtro de firewall.
Ação
Faça login no Logical System PE3.
user@host> set cli logical-system PE3 Logical system: PE3
Execute o
pingcomando, pingando a interface lo0.3 no Logical System PE1.O endereço configurado nesta interface é 172.16.1.1.
Especifique o endereço de origem 10.1.2.1, que é o endereço configurado na interface lo0.1 no Logical System PE3.
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
Faça login no Logical System PE4.
user@host:PE3> set cli logical-system PE4 Logical system: PE4
Execute o
pingcomando, pingando a interface lo0.4 no Logical System PE2.O endereço configurado nesta interface é 172.16.2.2.
Especifique o endereço de origem 10.2.1.1, que é o endereço configurado na interface lo0.2 no Logical System PE4.
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
Significado
O envio desses pings ativa as ações de filtro de firewall.
Verificando o filtro de firewall
Propósito
Certifique-se de que as ações do filtro de firewall surtiram efeito.
Ação
Faça login no Logical System P1.
user@host> set cli logical-system P1 Logical system: P1
Execute o
show firewall logcomando no Logical System P1.user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1