Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Example: Configuração do encaminhamento baseado em filtros em sistemas lógicos

Este exemplo mostra como configurar o encaminhamento baseado em filtro em um sistema lógico. O filtro classifica os pacotes para determinar seu caminho de encaminhamento dentro do dispositivo de roteamento de entrada.

Requisitos

Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.

Visão geral

O encaminhamento baseado em filtros é suportado para IP versão 4 (IPv4) e versão IP 6 (IPv6).

Use o encaminhamento baseado em filtro para a seleção de provedores de serviços quando os clientes tiverem conectividade internet fornecida por diferentes ISPs e ainda compartilharem uma camada de acesso comum. Quando uma mídia compartilhada (como um modem a cabo) é usada, um mecanismo na camada de acesso comum olha para endereços de Camada 2 ou Camada 3 e distingue entre os clientes. Você pode usar o encaminhamento baseado em filtro quando a camada de acesso comum for implementada usando uma combinação de switches de Camada 2 e um único roteador.

Com o encaminhamento baseado em filtro, todos os pacotes recebidos em uma interface são considerados. Cada pacote passa por um filtro que tem condições de correspondência. Se as condições de correspondência forem atendidas por um filtro e você tiver criado uma instância de roteamento, o encaminhamento baseado em filtros é aplicado a um pacote. O pacote é encaminhado com base no próximo salto especificado na instância de roteamento. Para rotas estáticas, o próximo salto pode ser um LSP específico.

Nota:

A correspondência do filtro de uso de classe fonte e as verificações de encaminhamento de caminho reverso unicast não são suportadas em uma interface configurada com encaminhamento baseado em filtro (FBF).

Para configurar o encaminhamento baseado em filtro, execute as seguintes tarefas:

  • Crie um filtro de correspondência em um roteador ou switch de entrada. Para especificar um filtro de correspondência, inclua a filter filter-name declaração no nível de [edit firewall] hierarquia. Um pacote que passa pelo filtro é comparado com um conjunto de regras para classificá-lo e determinar sua adesão em um conjunto. Uma vez classificado, o pacote é encaminhado para uma tabela de roteamento especificada na ação de aceitação na linguagem de descrição do filtro. A tabela de roteamento encaminha o pacote para o próximo salto que corresponde à entrada do endereço de destino na tabela.

  • Crie instâncias de roteamento que especifiquem a(s) tabela(s) de roteamento para a qual um pacote é encaminhado e o destino para o qual o pacote é encaminhado no [edit routing-instances] nível da hierarquia.[edit logical-systems logical-system-name routing-instances] Por exemplo:

  • Crie um grupo de tabela de roteamento que adiciona rotas de interface às instâncias de roteamento de encaminhamento usadas no encaminhamento baseado em filtro (FBF), bem como à instância inet.0de roteamento padrão. Essa parte da configuração resolve as rotas instaladas nas instâncias de roteamento para conexões próximas diretamente nessa interface. Crie o grupo da tabela de roteamento no nível da [edit routing-options] hierarquia.[edit logical-systems logical-system-name routing-options]

Nota:

Especifique inet.0 como uma das instâncias de roteamento em que as rotas de interface são importadas. Se a instância inet.0 padrão não for especificada, as rotas de interface não serão importadas para a instância de roteamento padrão.

Este exemplo mostra um filtro de pacote que direciona o tráfego do cliente para um roteador next-hop nos domínios, SP 1 ou SP 2, com base no endereço de origem do pacote.

Se o pacote tiver um endereço de origem atribuído a um cliente SP 1, o encaminhamento baseado em destino ocorre usando a tabela de roteamento sp1-route.inet.0. Se o pacote tiver um endereço de origem atribuído a um cliente SP 2, o encaminhamento baseado em destino ocorrerá usando a tabela de roteamento sp2-route-table.inet.0. Caso um pacote não corresponda a nenhuma dessas condições, o filtro aceita o pacote e o encaminhamento baseado em destino ocorre usando a tabela de roteamento padrão inet.0.

Uma maneira de fazer o encaminhamento baseado em filtro funcionar dentro de um sistema lógico é configurar o filtro de firewall no sistema lógico que recebe os pacotes. Outra maneira é configurar o filtro de firewall no roteador principal e, em seguida, fazer referência ao sistema lógico no filtro de firewall. Este exemplo usa a segunda abordagem. As instâncias de roteamento específicas estão configuradas no sistema lógico. Como cada instância de roteamento tem sua própria tabela de roteamento, você também precisa fazer referência às instâncias de roteamento no filtro do firewall. A sintaxe parece a seguinte:

Topologia

Figura 1 mostra a topologia usada neste exemplo.

No Logical System P1, um filtro de entrada classifica os pacotes recebidos do Logical System PE3 e do Logical System PE4. Os pacotes são roteados com base nos endereços de origem. Os pacotes com endereços de origem nas redes 10.1.1.0/24 e 10.1.2.0/24 são roteados para o Logical System PE1. Os pacotes com endereços de origem nas redes 10.2.1.0/24 e 10.2.2.0/24 são roteados para o Logical System PE2.

Figura 1: Sistemas lógicos com encaminhamento baseado em filtroSistemas lógicos com encaminhamento baseado em filtro

Para estabelecer conectividade, o OSPF está configurado em todas as interfaces. Para fins de demonstração, os endereços da interface de loopback são configurados nos dispositivos de roteamento para representar redes nas nuvens.

A Configuração rápida da CLI seção mostra toda a configuração para todos os dispositivos da topologia. A Configurando as instâncias de roteamento no Sistema Lógico P1 e Configurando o filtro de firewall no roteador principal as seções mostram a configuração passo a passo do dispositivo de roteamento de entrada, Logical System P1.

Cópia de

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.

Configurando o filtro de firewall no roteador principal

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar o filtro de firewall no roteador principal:

  1. Configure os endereços de origem para clientes SP1.

  2. Configure as ações que são tomadas quando os pacotes são recebidos com os endereços de origem especificados.

    Para rastrear a ação do filtro de firewall, uma ação de log está configurada. A tabela de roteamento sp1-route-table.inet.0 no Logical System P1 roteia os pacotes.

  3. Configure os endereços de origem para clientes SP2.

  4. Configure as ações que são tomadas quando os pacotes são recebidos com os endereços de origem especificados.

    Para rastrear a ação do filtro de firewall, uma ação de log está configurada. A tabela de roteamento sp2-route-table.inet.0 no Logical System P1 roteia o pacote.

  5. Configure a ação a ser tomada quando os pacotes são recebidos de qualquer outro endereço de origem.

    Todos esses pacotes são simplesmente aceitos e roteados usando a tabela de roteamento unicast IPv4 padrão, inet.0.

Configurando as instâncias de roteamento no Sistema Lógico P1

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar as instâncias de roteamento em um sistema lógico:

  1. Configure as interfaces no sistema lógico.

  2. Atribua o filtro de classify-customers firewall à interface do roteador lt-1/2/0,10 como um filtro de pacote de entrada.

  3. Configure a conectividade, usando um protocolo de roteamento ou roteamento estático.

    Como uma prática recomendada, desabilitar o roteamento na interface de gerenciamento.

  4. Crie as instâncias de roteamento.

    Essas instâncias de roteamento são mencionadas no filtro de classify-customers firewall.

    O tipo de instância de encaminhamento fornece suporte para o encaminhamento baseado em filtros, onde as interfaces não estão associadas a instâncias. Todas as interfaces pertencem à instância padrão, nesse caso o Logical System P1.

  5. Resolva as rotas instaladas nas instâncias de roteamento para próximos hops conectados diretamente.

  6. Junte as tabelas de roteamento para formar um grupo de tabela de roteamento.

    A primeira tabela de roteamento, inet.0, é a tabela de roteamento principal, e as tabelas de roteamento adicionais são as tabelas de roteamento secundários.

    A tabela de roteamento principal determina a família de endereços do grupo de tabela de roteamento, neste caso O IPv4.

  7. Aplique o grupo da tabela de roteamento ao OSPF.

    Isso faz com que as rotas OSPF sejam instaladas em todas as tabelas de roteamento do grupo.

  8. Se você terminar de configurar o dispositivo, comprometa a configuração.

Resultados

Confirme sua configuração emitindo os e show logical-systems P1 comandosshow firewall.

Verificação

Confirme que a configuração está funcionando corretamente.

Pingando com endereços de origem especificados

Propósito

Envie alguns pacotes de ICMP pela rede para testar o filtro de firewall.

Ação

  1. Faça login no Logical System PE3.

  2. Execute o ping comando, pingando a interface lo0.3 no Logical System PE1.

    O endereço configurado nesta interface é 172.16.1.1.

    Especifique o endereço de origem 10.1.2.1, que é o endereço configurado na interface lo0.1 no Logical System PE3.

  3. Faça login no Logical System PE4.

  4. Execute o ping comando, pingando a interface lo0.4 no Logical System PE2.

    O endereço configurado nesta interface é 172.16.2.2.

    Especifique o endereço de origem 10.2.1.1, que é o endereço configurado na interface lo0.2 no Logical System PE4.

Significado

O envio desses pings ativa as ações de filtro de firewall.

Verificando o filtro de firewall

Propósito

Certifique-se de que as ações do filtro de firewall surtiram efeito.

Ação

  1. Faça login no Logical System P1.

  2. Execute o show firewall log comando no Logical System P1.