Nesta página
Exemplo: Configuração do encaminhamento baseado em filtros em sistemas lógicos
Este exemplo mostra como configurar o encaminhamento baseado em filtro em um sistema lógico. O filtro classifica os pacotes para determinar seu caminho de encaminhamento dentro do dispositivo de roteamento de entrada.
Requisitos
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Visão geral
O encaminhamento baseado em filtros é suportado para IP versão 4 (IPv4) e versão IP 6 (IPv6).
Use o encaminhamento baseado em filtros para a seleção de provedores de serviços quando os clientes tiverem conectividade à Internet fornecida por diferentes ISPs, mas compartilhem uma camada de acesso comum. Quando um meio compartilhado (como um modem de cabo) é usado, um mecanismo na camada de acesso comum analisa endereços de Camada 2 ou Camada 3 e distingue entre os clientes. Você pode usar o encaminhamento baseado em filtros quando a camada de acesso comum é implementada usando uma combinação de switches de Camada 2 e um único roteador.
Com o encaminhamento baseado em filtros, são considerados todos os pacotes recebidos em uma interface. Cada pacote passa por um filtro que tem condições de correspondência. Se as condições de correspondência forem atendidas para um filtro e você tiver criado uma instância de roteamento, o encaminhamento baseado em filtro é aplicado a um pacote. O pacote é encaminhado com base no próximo salto especificado na instância de roteamento. Para rotas estáticas, o próximo salto pode ser um LSP específico.
A correspondência do filtro de uso da classe fonte e as verificações de encaminhamento de caminho reverso unicast não são suportadas em uma interface configurada com encaminhamento baseado em filtro (FBF).
Para configurar o encaminhamento baseado em filtro, execute as seguintes tarefas:
Crie um filtro de correspondência em um roteador ou switch de entrada. Para especificar um filtro de correspondência, inclua a declaração no nível de hierarquia.
filter filter-name[edit firewall]Um pacote que passa pelo filtro é comparado com um conjunto de regras para classificá-lo e determinar sua associação em um conjunto. Uma vez classificado, o pacote é encaminhado para uma tabela de roteamento especificada na ação de aceitação na linguagem de descrição do filtro. A tabela de roteamento encaminha o pacote para o próximo salto que corresponde à entrada do endereço de destino na tabela.Crie instâncias de roteamento que especifiquem a(s) tabela(s) de roteamento à qual um pacote é encaminhado e o destino para o qual o pacote é encaminhado no nível ou hierarquia.
[edit routing-instances][edit logical-systems logical-system-name routing-instances]Por exemplo:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }Crie um grupo de tabela de roteamento que adiciona rotas de interface às instâncias de roteamento de encaminhamento usadas no encaminhamento baseado em filtro (FBF), bem como à instância de roteamento padrão.
inet.0Essa parte da configuração resolve as rotas instaladas nas instâncias de roteamento para conectar diretamente próximos saltos nessa interface. Crie o grupo de tabela de roteamento no nível ou hierarquia.[edit routing-options][edit logical-systems logical-system-name routing-options]
Especifique como uma das instâncias de roteamento em que as rotas de interface são importadas.inet.0 Se a instância padrão não for especificada, as rotas de interface não serão importadas para a instância de roteamento padrão.inet.0
Este exemplo mostra um filtro de pacote que direciona o tráfego do cliente para um roteador de próximo salto nos domínios, SP 1 ou SP 2, com base no endereço fonte do pacote.
Se o pacote tiver um endereço fonte atribuído a um cliente SP 1, o encaminhamento baseado em destino ocorre usando a tabela de roteamento sp1-route-table.inet.0. Se o pacote tiver um endereço de origem atribuído a um cliente SP 2, o encaminhamento baseado em destino ocorre usando a tabela de roteamento sp2-route.inet.0. Se um pacote não corresponder a nenhuma dessas condições, o filtro aceita o pacote e o encaminhamento baseado em destino ocorre usando a tabela de roteamento padrão inet.0.
Uma maneira de fazer o encaminhamento baseado em filtro funcionar dentro de um sistema lógico é configurar o filtro de firewall no sistema lógico que recebe os pacotes. Outra maneira é configurar o filtro de firewall no roteador principal e, em seguida, fazer referência ao sistema lógico no filtro de firewall. Este exemplo usa a segunda abordagem. As instâncias de roteamento específicas estão configuradas dentro do sistema lógico. Como cada instância de roteamento tem sua própria tabela de roteamento, você também precisa consultar as instâncias de roteamento no filtro de firewall. A sintaxe parece a seguinte:
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
Topologia
Figura 1 mostra a topologia usada neste exemplo.
No Sistema Lógico P1, um filtro de entrada classifica os pacotes recebidos do Logical System PE3 e do Logical System PE4. Os pacotes são roteados com base nos endereços de origem. Os pacotes com endereços de origem nas redes 10.1.1.0/24 e 10.1.2.0/24 são roteados para o Logical System PE1. Os pacotes com endereços de origem nas redes 10.2.1.0/24 e 10.2.2.0/24 são roteados para o Logical System PE2.
Para estabelecer conectividade, o OSPF está configurado em todas as interfaces. Para fins de demonstração, os endereços da interface de loopback estão configurados nos dispositivos de roteamento para representar redes nas nuvens.
A seção mostra toda a configuração para todos os dispositivos da topologia.Configuração rápida da CLI A e as seções mostram a configuração passo a passo do dispositivo de roteamento de entrada, Logical System P1.Configuração das instâncias de roteamento no Sistema Lógico P1Configuração do filtro de firewall no roteador principal
Configuração
- Configuração rápida da CLI
- Configuração do filtro de firewall no roteador principal
- Configuração das instâncias de roteamento no Sistema Lógico P1
- Resultados
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia.[edit]
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
Configuração do filtro de firewall no roteador principal
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar o filtro de firewall no roteador principal:
Configure os endereços de origem para clientes SP1.
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
Configure as ações que são tomadas quando os pacotes são recebidos com os endereços de origem especificados.
Para rastrear a ação do filtro de firewall, uma ação de log está configurada. A tabela de roteamento sp1-route-table.inet.0 no Logical System P1 roteia os pacotes.
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
Configure os endereços de origem para clientes SP2.
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
Configure as ações que são tomadas quando os pacotes são recebidos com os endereços de origem especificados.
Para rastrear a ação do filtro de firewall, uma ação de log está configurada. A tabela de roteamento sp2-route-table.inet.0 no Logical System P1 roteia o pacote.
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
Configure a ação a ser tomada quando os pacotes forem recebidos de qualquer outro endereço de origem.
Todos esses pacotes são simplesmente aceitos e roteados usando a tabela de roteamento unicast IPv4 padrão, inet.0.
[edit firewall filter classify-customers term default] user@host# set then accept
Configuração das instâncias de roteamento no Sistema Lógico P1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar as instâncias de roteamento em um sistema lógico:
Configure as interfaces no sistema lógico.
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
Atribua o filtro de firewall à interface do roteador lt-1/2/0,10 como um filtro de pacote de entrada.
classify-customers[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
Configure a conectividade, usando um protocolo de roteamento ou roteamento estático.
Como uma prática recomendada, desabilitar o roteamento na interface de gerenciamento.
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
Crie as instâncias de roteamento.
Essas instâncias de roteamento são referenciadas no filtro de firewall.
classify-customersO tipo de instância de encaminhamento oferece suporte para o encaminhamento baseado em filtros, onde as interfaces não estão associadas a instâncias. Todas as interfaces pertencem à instância padrão, neste caso o Logical System P1.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
Resolva as rotas instaladas nas instâncias de roteamento para conectar diretamente os próximos saltos.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
Junte as tabelas de roteamento para formar um grupo de tabela de roteamento.
A primeira tabela de roteamento, inet.0, é a tabela de roteamento principal, e as tabelas de roteamento adicionais são as tabelas de roteamento secundárias.
A tabela de roteamento principal determina a família de endereços do grupo de tabela de roteamento, neste caso o IPv4.
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
Aplique o grupo da tabela de roteamento ao OSPF.
Isso faz com que as rotas OSPF sejam instaladas em todas as tabelas de roteamento do grupo.
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
Confirme sua configuração emitindo os comandos e os comandos.show firewallshow logical-systems P1
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show logical-systems P1
interfaces {
lt-1/2/0 {
unit 10 {
encapsulation ethernet;
peer-unit 9;
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
unit 13 {
encapsulation ethernet;
peer-unit 14;
family inet {
address 172.16.0.13/30;
}
}
unit 17 {
encapsulation ethernet;
peer-unit 18;
family inet {
address 172.16.0.17/30;
}
}
}
}
protocols {
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
}
routing-instances {
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.13;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.17;
}
}
}
}
routing-options {
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
Pinging com endereços de origem especificados
Propósito
Envie alguns pacotes de ICMP pela rede para testar o filtro de firewall.
Ação
Faça login no Logical System PE3.
user@host> set cli logical-system PE3 Logical system: PE3
Execute o comando, pingando a interface lo0.3 no Logical System PE1.
pingO endereço configurado nesta interface é 172.16.1.1.
Especifique o endereço fonte 10.1.2.1, que é o endereço configurado na interface lo0.1 no Logical System PE3.
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
Faça login no Logical System PE4.
user@host:PE3> set cli logical-system PE4 Logical system: PE4
Execute o comando, pingando a interface lo0.4 no Logical System PE2.
pingO endereço configurado nesta interface é 172.16.2.2.
Especifique o endereço fonte 10.2.1.1, que é o endereço configurado na interface lo0.2 no Logical System PE4.
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
Significado
O envio desses pings ativa as ações do filtro de firewall.
Verificando o filtro de firewall
Propósito
Certifique-se de que as ações do filtro de firewall surtiram efeito.
Ação
Faça login no Logical System P1.
user@host> set cli logical-system P1 Logical system: P1
Execute o comando no Logical System P1.
show firewall loguser@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1