Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral da estrutura de políticas

O sistema operacional Junos® (Junos OS) fornece uma estrutura de políticas, que é uma coleção de políticas do Junos OS que permite controlar fluxos de informações e pacotes de roteamento.

A arquitetura de políticas do Junos OS é simples e simples. No entanto, a implementação real de cada política adiciona camadas de complexidade à política, além de adicionar energia e flexibilidade aos recursos do seu roteador. Configurar uma política tem um grande impacto no fluxo de informações ou pacotes de roteamento dentro e por meio do roteador. Por exemplo, você pode configurar uma política de roteamento que não permite que rotas associadas a um determinado cliente sejam colocadas na tabela de roteamento. Como resultado dessa política de roteamento, as rotas dos clientes não são usadas para encaminhar pacotes de dados para vários destinos e as rotas não são anunciadas pelo protocolo de roteamento aos vizinhos.

Antes de configurar uma política, determine o que deseja realizar com ela e entenda minuciosamente como alcançar seu objetivo usando as várias condições e ações da partida. Além disso, certifique-se de entender as políticas e ações padrão para a política que você está configurando.

Política de roteamento e filtros de firewall

A estrutura de políticas é composta pelas seguintes políticas:

  • Política de roteamento — permite que você controle as informações de roteamento entre os protocolos de roteamento e as tabelas de roteamento e entre as tabelas de roteamento e a tabela de encaminhamento. Todos os protocolos de roteamento usam as tabelas de roteamento Junos OS para armazenar as rotas que aprendem e determinar quais rotas devem anunciar em seus pacotes de protocolo. A política de roteamento permite controlar quais roteamentos os protocolos de roteamento armazenam e recuperam da tabela de roteamento.

  • Política de filtro de firewall — permite controlar pacotes que transitam pelo roteador para um destino de rede e pacotes destinados e enviados pelo roteador.

    Nota:

    O termo política de filtro de firewall é usado aqui para enfatizar que um filtro de firewall é uma política e compartilha algumas semelhanças fundamentais com uma política de roteamento. No entanto, ao se referir a uma política de filtro de firewall no restante deste manual, o termo filtro de firewall é usado.

Motivos para criar uma política de roteamento

As seguintes são circunstâncias típicas em que você pode querer prever as políticas de roteamento padrão na estrutura da política de roteamento, criando suas próprias políticas de roteamento:

  • Você não quer que um protocolo importe todas as rotas para a tabela de roteamento. Se a tabela de roteamento não aprender sobre determinadas rotas, elas nunca poderão ser usadas para encaminhar pacotes e nunca poderão ser redistribuídas em outros protocolos de roteamento.

  • Você não quer um protocolo de roteamento para exportar todas as rotas ativas que aprende.

  • Você quer um protocolo de roteamento para anunciar rotas ativas aprendidas com outro protocolo de roteamento, que às vezes é chamado de redistribuição de rotas.

  • Você quer manipular características de rota, como o valor de preferência, caminho AS ou comunidade. Você pode manipular as características de rota para controlar qual rota é selecionada como a rota ativa para chegar a um destino. Em geral, a rota ativa também é anunciada para os vizinhos de um roteador.

  • Você deseja alterar os parâmetros padrão de flap-damping de rota BGP.

  • Você deseja realizar o balanceamento de carga por pacote.

  • Você quer habilitar a classe de serviço (CoS).

Fluxos de roteador afetados por políticas

As políticas do Junos OS afetam os seguintes fluxos de roteador:

  • Fluxo de informações de roteamento entre os protocolos de roteamento e as tabelas de roteamento e entre as tabelas de roteamento e a tabela de encaminhamento. O mecanismo de roteamento lida com esse fluxo. As informações de roteamento são as informações sobre as rotas aprendidas pelos protocolos de roteamento dos vizinhos de um roteador. Essas informações são armazenadas em tabelas de roteamento e, posteriormente, anunciadas pelos protocolos de roteamento aos vizinhos do roteador. As políticas de roteamento permitem que você controle o fluxo dessas informações.

  • Fluxo de pacotes de dados dentro e fora das interfaces físicas do roteador. O mecanismo de encaminhamento de pacotes lida com esse fluxo. Os pacotes de dados são partes de dados que transitam pelo roteador enquanto são encaminhados de uma fonte para um destino. Quando um roteador recebe um pacote de dados em uma interface, ele determina onde encaminhar o pacote olhando na tabela de encaminhamento para a melhor rota para um destino. Em seguida, o roteador encaminha o pacote de dados em direção ao seu destino por meio da interface apropriada. Os filtros de firewall permitem controlar o fluxo desses pacotes de dados.

  • Fluxo de pacotes locais das interfaces físicas do roteador e do mecanismo de roteamento. O mecanismo de roteamento lida com esse fluxo. Os pacotes locais são partes de dados destinados ou enviados pelo roteador. Os pacotes locais geralmente contêm dados de protocolo de roteamento, dados para serviços IP, como Telnet ou SSH, e dados para protocolos administrativos, como o Protocolo de Mensagem de Controle de Internet (ICMP). Quando o mecanismo de roteamento recebe um pacote local, ele encaminha o pacote para o processo apropriado ou para o kernel, que faz parte do Mecanismo de Roteamento ou para o Mecanismo de Encaminhamento de Pacotes. Os filtros de firewall permitem controlar o fluxo desses pacotes locais.

    Nota:

    No restante deste capítulo, o termo pacotes refere-se a dados e pacotes locais, a menos que seja explicitamente declarado o contrário.

Figura 1 ilustra os fluxos pelo roteador. Embora os fluxos sejam muito diferentes uns dos outros, eles também são interdependentes. As políticas de roteamento determinam quais rotas são colocadas na tabela de encaminhamento. A tabela de encaminhamento, por sua vez, tem um papel essencial na determinação da interface física apropriada através da qual encaminhar um pacote.

Figura 1: Fluxos de informações e pacotes de roteamentoFluxos de informações e pacotes de roteamento

Você pode configurar políticas de roteamento para controlar quais roteamentos os protocolos de roteamento colocam nas tabelas de roteamento e controlar quais roteamento os protocolos de roteamento anunciam das tabelas de roteamento (ver Figura 2). Os protocolos de roteamento anunciam rotas ativas apenas das tabelas de roteamento. (Uma rota ativa é uma rota escolhida de todas as rotas da tabela de roteamento para chegar a um destino.)

Você também pode usar políticas de roteamento para fazer o seguinte:

  • Altere características de rota específicas, que permitem controlar qual rota é selecionada como a rota ativa para chegar a um destino. Em geral, a rota ativa também é anunciada para os vizinhos de um roteador.

  • Altere para os valores padrão de amortecimento de flap de rota BGP.

  • Realize balanceamento de carga por pacote.

  • Habilitar a classe de serviço (CoS).

Figura 2: Políticas de roteamento para controlar o fluxo de informações de roteamentoPolíticas de roteamento para controlar o fluxo de informações de roteamento

Você pode configurar filtros de firewall para controlar os seguintes aspectos do fluxo de pacotes (ver Figura 3):

  • Quais pacotes de dados são aceitos e transmitidos das interfaces físicas. Para controlar o fluxo de pacotes de dados, você aplica filtros de firewall às interfaces físicas.

  • Quais pacotes locais são transmitidos das interfaces físicas e para o Mecanismo de Roteamento. Para controlar pacotes locais, você aplica filtros de firewall na interface de loopback, que é a interface ao Mecanismo de Roteamento.

Os filtros de firewall fornecem um meio de proteger seu roteador contra o tráfego excessivo que transita pelo roteador até um destino de rede ou destinado ao Mecanismo de Roteamento. Filtros de firewall que controlam pacotes locais também podem proteger seu roteador contra incidentes externos, como ataques de negação de serviço.

Figura 3: Filtros de firewall para controlar o fluxo de pacotesFiltros de firewall para controlar o fluxo de pacotes

Pontos de controle

Todas as políticas fornecem dois pontos em que você pode controlar informações ou pacotes de roteamento pelo roteador (ver Figura 4). Esses pontos de controle permitem que você controle o seguinte:

  • Informações de roteamento antes e depois de colocadas na tabela de roteamento.

  • Pacotes de dados antes e depois de uma busca na tabela de encaminhamento.

  • Pacotes locais antes e depois de serem recebidos pelo Mecanismo de Roteamento. (Figura 4 parece representar apenas um ponto de controle, mas devido ao fluxo bidirecional dos pacotes locais, dois pontos de controle realmente existem.)

Figura 4: Pontos de controle de políticasPontos de controle de políticas

Como existem dois pontos de controle, você pode configurar políticas que controlam as informações de roteamento ou pacotes de dados antes e depois de sua interação com suas respectivas tabelas, e políticas que controlam pacotes locais antes e depois de sua interação com o Mecanismo de Roteamento. As políticas de roteamento de importação controlam as informações de roteamento colocadas nas tabelas de roteamento, enquanto as políticas de roteamento de exportação controlam as informações de roteamento anunciadas das tabelas de roteamento. O firewall de entrada filtra pacotes de controle que são recebidos em uma interface de roteador, enquanto o firewall de saída filtra pacotes de controle transmitidos a partir de uma interface de roteador.

Componentes da política

Todas as políticas são compostas pelos seguintes componentes que você configura:

  • Condições de correspondência — Critérios em relação aos quais uma rota ou pacotes são comparados. Você pode configurar um ou mais critérios. Se todos os critérios corresponderem, uma ou mais ações serão aplicadas.

  • Ações — O que acontece se todos os critérios corresponderem. Você pode configurar uma ou mais ações.

  • Termos — Estruturas nomeadas nas quais as condições e ações de correspondência são definidas. Você pode definir um ou mais termos.

O software de estrutura de política avalia cada rota ou pacote de entrada e saída em relação às condições de correspondência em um termo. Se os critérios nas condições de correspondência forem atendidos, a ação definida será tomada.

Em geral, o software de estrutura de política compara a rota ou o pacote com as condições de correspondência no primeiro termo da política, depois vai para o próximo termo e assim por diante. Portanto, a ordem em que você organiza termos em uma política é relevante.

A ordem das condições de correspondência em um termo não é relevante porque uma rota ou pacote deve corresponder a todas as condições de correspondência em um termo para que uma ação seja tomada.