Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Example: Configuração do encaminhamento baseado em filtro no endereço de origem

Este exemplo mostra como configurar o encaminhamento baseado em filtro (FBF), que às vezes também é chamado de roteamento baseado em políticas (PBR). O filtro classifica os pacotes para determinar seu caminho de encaminhamento dentro do dispositivo de roteamento de entrada.

O encaminhamento baseado em filtros é suportado para IP versão 4 (IPv4) e versão IP 6 (IPv6).

Requisitos

Nenhuma configuração especial além da inicialização de dispositivos é necessária para este exemplo.

Visão geral

Neste exemplo, usamos a FBF para a seleção de provedores de serviços quando os clientes têm conectividade de Internet fornecida por diferentes ISPs e ainda compartilham uma camada de acesso comum. Quando uma mídia compartilhada (como um modem a cabo) é usada, um mecanismo na camada de acesso comum olha para endereços de Camada 2 ou Camada 3 e distingue entre os clientes. Você pode usar o encaminhamento baseado em filtro quando a camada de acesso comum for implementada usando uma combinação de switches de Camada 2 e um único roteador.

Com a FBF, todos os pacotes recebidos em uma interface são considerados. Cada pacote passa por um filtro que tem condições de correspondência. Se as condições de correspondência forem atendidas por um filtro e você tiver criado uma instância de roteamento, a FBF será aplicada ao pacote. O pacote é encaminhado com base no próximo salto especificado na instância de roteamento. Para rotas estáticas, o próximo salto pode ser um LSP específico.

Nota:

A correspondência do filtro de uso de classe fonte e as verificações de encaminhamento de caminho reverso unicast não são suportadas em uma interface configurada para FBF.

Para configurar a FBF, execute as seguintes tarefas:

  • Crie um filtro de correspondência no dispositivo de entrada. Para especificar um filtro de correspondência, inclua a filter filter-name declaração no nível de [edit firewall] hierarquia. Um pacote que passa pelo filtro é comparado com um conjunto de regras para classificá-lo e determinar sua adesão em um conjunto. Uma vez classificado, o pacote é encaminhado para uma tabela de roteamento especificada na ação de aceitação na linguagem de descrição do filtro. A tabela de roteamento encaminha o pacote para o próximo salto que corresponde à entrada do endereço de destino na tabela.

  • Crie instâncias de roteamento que especifiquem a(s) tabela de roteamento para a qual um pacote é encaminhado e o destino para o qual o pacote é encaminhado no nível de [edit routing-instances] hierarquia. Por exemplo:

  • Crie um grupo RIB para compartilhar rotas de interface com as instâncias de roteamento de encaminhamento usadas no encaminhamento baseado em filtro (FBF). Essa parte da configuração resolve as rotas instaladas nas instâncias de roteamento para conexões próximas diretamente nessa interface. Crie o grupo da tabela de roteamento no nível da [edit routing-options] hierarquia.

Este exemplo mostra um filtro de pacote que direciona o tráfego do cliente para um roteador de next-hop nos domínios, SP1 ou SP2, com base no endereço de origem do pacote.

Se o pacote tiver um endereço de origem atribuído a um cliente SP1, o encaminhamento baseado em destino ocorrerá usando a tabela de roteamento sp1-route.inet.0. Se o pacote tiver um endereço de origem atribuído a um cliente SP2, o encaminhamento baseado em destino ocorre usando a tabela de roteamento sp2-route.inet.0. Caso um pacote não corresponda a nenhuma dessas condições, o filtro aceita o pacote e o encaminhamento baseado em destino ocorre usando a tabela de roteamento padrão inet.0.

Topologia

Figura 1 mostra a topologia usada neste exemplo.

No dispositivo P1, um filtro de entrada classifica os pacotes recebidos do Dispositivo PE3 e do Dispositivo PE4. Os pacotes são roteados com base nos endereços de origem. Os pacotes com endereços de origem nas redes 10.1.1.0/24 e 10.1.2.0/24 são roteados para o Dispositivo PE1. Os pacotes com endereços de origem nas redes 10.2.1.0/24 e 10.2.2.0/24 são roteados para o Dispositivo PE2.

Figura 1: Encaminhamento baseado em filtrosEncaminhamento baseado em filtros

Para estabelecer conectividade, o OSPF está configurado em todas as interfaces. Para fins de demonstração, os endereços da interface de loopback são configurados nos dispositivos de roteamento para representar redes nas nuvens.

A Configuração rápida da CLI seção mostra toda a configuração para todos os dispositivos da topologia. A Configuração do encaminhamento baseado em filtro no dispositivo P1 seção mostra a configuração passo a passo do dispositivo de roteamento de entrada, Dispositivo P1.

Cópia de

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.

Dispositivo P1

P2 do dispositivo

Dispositivo PE1

Pe2 do dispositivo

Dispositivo PE3

Dispositivo PE4

Configurando o filtro de firewall no P1

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o filtro de firewall no roteador ou switch principal:

  1. Configure os endereços de origem para clientes SP1.

  2. Configure as ações tomadas quando os pacotes são recebidos com os endereços de origem especificados; eles estão logados e são passados para a instância de roteamento de tabela de rotas sp1 para roteamento pela tabela de roteamento sp1-route-table.inet.0.

  3. Configure os endereços de origem para clientes SP2.

  4. Configure as ações tomadas quando os pacotes são recebidos com os endereços de origem especificados; eles estão logados e são passados para a instância de roteamento de tabela de rotas sp2 para roteamento pela tabela de roteamento sp2-route-table.inet.0.

  5. Configure a ação a tomar quando os pacotes são recebidos de qualquer outro endereço de origem; eles são aceitos e roteados usando a tabela de roteamento unicast IPv4 padrão, inet.0.

Configuração do encaminhamento baseado em filtro no dispositivo P1

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar as instâncias de roteamento:

  1. Configure as interfaces.

  2. Atribua o classify-customers filtro de firewall à interface do roteador fe-1/2/0.0 como um filtro de pacote de entrada.

  3. Configure a conectividade, usando um protocolo de roteamento ou roteamento estático.

    Como uma prática recomendada, desabilitar o roteamento na interface de gerenciamento.

  4. Crie as instâncias de roteamento mencionadas no filtro de classify-customers firewall. O tipo de instância de encaminhamento fornece suporte para o encaminhamento baseado em filtros, onde as interfaces não estão associadas a instâncias.

  5. Para cada instância de roteamento, defina uma rota padrão para encaminhar o tráfego para o próximo hop especificado (PE1 e PE2 neste exemplo).

  6. Associe as tabelas de roteamento para formar um grupo de tabela de roteamento. A primeira tabela de roteamento, inet.0, é a tabela de roteamento primária, e as outras são tabelas de roteamento secundários. A tabela de roteamento principal determina a família de endereços do grupo de tabela de roteamento, neste caso O IPv4.

  7. Especifique o grupo de tabela de roteamento de grupo fbf dentro da configuração OSPF para instalar rotas OSPF nas três tabelas de roteamento.

  8. Comprometa a configuração quando terminar.

Resultados

Confirme sua configuração emitindo osshow interfaces, show firewall, show protocolse show routing-optionsshow routing-instancescomandos.

Verificação

Confirme que a configuração está funcionando corretamente.

Pingando com endereços de origem especificados

Propósito

Envie alguns pacotes de ICMP pela rede para testar o filtro de firewall.

Ação

  1. Execute o ping comando, pingando a interface lo0.0 no dispositivo PE1.

    O endereço configurado nesta interface é 172.16.1.1.

    Especifique o endereço de origem 10.1.2.1, que é o endereço configurado na interface lo0.0 no dispositivo PE3.

  2. Execute o ping comando, pingando a interface lo0.0 no dispositivo PE2.

    O endereço configurado nesta interface é 172.16.2.2.

    Especifique o endereço de origem 10.2.1.1, que é o endereço configurado na interface lo0.0 no dispositivo PE4.

Significado

O envio desses pings ativa as ações de filtro de firewall.

Verificando o filtro de firewall

Propósito

Certifique-se de que as ações do filtro de firewall surtiram efeito.

Ação

  1. Execute o show firewall log comando no dispositivo P1.