Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Example: Configuração do encaminhamento baseado em filtro para uma interface de saída específica ou endereço IP de destino

Entender o encaminhamento baseado em filtro para uma interface de saída específica ou endereço IP de destino

O roteamento baseado em políticas (também conhecido como encaminhamento baseado em filtro) refere-se ao uso de filtros de firewall que são aplicados a uma interface para combinar com determinadas características de cabeçalho IP e rotear apenas esses pacotes correspondentes de maneira diferente dos pacotes que normalmente seriam roteados.

A partir do Junos OS Release 12.2, você pode usar then next-interface, then next-ipou then next-ip6 como uma ação em um filtro de firewall. A partir de condições específicas de correspondência, endereços IPv4 e IPv6 ou um nome de interface podem ser especificados como a ação de resposta a uma correspondência.

O conjunto de condições de correspondência pode ser o seguinte:

  • Propriedades de Camada 3 (por exemplo, o endereço IP de origem ou destino ou o byte TOS)

  • Propriedades de Camada 4 (por exemplo, a porta de origem ou destino)

A rota para determinado endereço IPv4 ou IPv6 precisa estar presente na tabela de roteamento para que o roteamento baseado em políticas entre em vigor. Da mesma forma, a rota por uma determinada interface precisa estar presente na tabela de encaminhamento para next-interface que medidas entrem em vigor. Isso pode ser alcançado configurando um protocolo de gateway interior (IGP), como OSPF ou IS-IS, para anunciar rotas de Camada 3.

O filtro de firewall combina as condições e encaminha o pacote para um dos seguintes:

  • Um endereço IPv4 (usando a ação do filtro de next-ip firewall)

  • Um endereço IPv6 (usando a ação do filtro de next-ip6 firewall)

  • Uma interface (usando a ação do filtro de next-interface firewall)

Suponha, por exemplo, que você queira oferecer serviços aos seus clientes, e que os serviços residam em diferentes servidores. Um exemplo de serviço pode ser hospedado DNS ou FTP hospedado. Conforme o tráfego do cliente chega ao dispositivo de roteamento Juniper Networks, você pode usar o encaminhamento baseado em filtro para enviar tráfego aos servidores aplicando uma condição de correspondência em um endereço MAC ou um endereço IP ou simplesmente uma interface de entrada e enviar os pacotes para uma determinada interface de saída associada ao servidor apropriado. Alguns de seus destinos podem ser endereços IPv4 ou IPv6, nesse caso o ou next-ip6 ação next-ip é útil.

Opcionalmente, você pode associar as interfaces de saída ou endereços IP com instâncias de roteamento.

Por exemplo:

Example: Configurando o encaminhamento baseado em filtro para uma interface de saída específica

Este exemplo mostra como usar then next-interface como uma ação em um filtro de firewall.

Requisitos

Este exemplo tem os seguintes requisitos de hardware e software:

  • Plataforma de roteamento universal 5G da Série MX como o dispositivo de roteamento com o filtro de firewall configurado.

  • Junos OS Versão 12.2 em execução no dispositivo de roteamento com o filtro de firewall configurado.

  • O filtro com a (ou next-ip) ação next-interface só pode ser aplicado a uma interface hospedada em um Trio MPC. Se você aplicar o filtro a uma DPC baseada em chip I, a operação de comprometimento falhará.

  • A interface de saída referida na ação next-interface interface-name pode ser hospedada em um Trio MPC ou um DPC baseado em I-chip.

Visão geral

Neste exemplo, o Dispositivo R1 tem dois endereços de interface de loopback configurados: 172,16,1,1 e 172,16,2,2.

No dispositivo R2, um filtro de firewall tem vários termos configurados. Cada termo combina um dos endereços de origem no tráfego de entrada e roteia o tráfego para interfaces de saída especificadas. As interfaces de saída são configuradas como interfaces marcadas por VLAN entre o dispositivo R2 e o dispositivo R3.

O IS-IS é usado para conectividade entre os dispositivos.

Figura 1 mostra a topologia usada neste exemplo.

Figura 1: Encaminhamento baseado em filtro para interfaces de saída especificadasEncaminhamento baseado em filtro para interfaces de saída especificadas

Este exemplo mostra a configuração no dispositivo R2.

Topologia

Cópia de

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.

Dispositivo R2

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Use o editor de CLI no modo de configuração o Guia de usuário do Junos OS CLI.

Para configurar o dispositivo R2:

  1. Configure as interfaces.

  2. Configure o filtro de firewall.

  3. Habilite o IS-IS nas interfaces.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfacese show firewallshow protocols nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando os caminhos usados

Propósito

Certifique-se de que os caminhos esperados sejam usados ao enviar tráfego do dispositivo R1 para o dispositivo R4.

Ação

No dispositivo R1, entre no traceroute comando.

Significado

A saída mostra que o segundo salto muda, dependendo do endereço de origem usado no traceroute comando.

Para verificar esse recurso, uma operação de roteamento de rastreamento é realizada no Dispositivo R1 ao Dispositivo R4. Quando o endereço IP de origem é 172.16.1.1,1, os pacotes são encaminhados pela interface ge-2/1/1.0 no dispositivo R2. Quando o endereço IP de origem é 172.16.2.2, os pacotes são encaminhados pela interface ge-2/1/1.1 no dispositivo R2.

Example: Configuração do encaminhamento baseado em filtro para um endereço IP de destino específico

Este exemplo mostra como usar then next-ip como uma ação em um filtro de firewall.

Requisitos

Este exemplo tem os seguintes requisitos de hardware e software:

  • Plataforma de roteamento universal 5G da Série MX como o dispositivo de roteamento com o filtro de firewall configurado.

  • Junos OS Versão 12.2 em execução no dispositivo de roteamento com o filtro de firewall configurado.

  • O filtro com a (ou next-ip) ação next-interface só pode ser aplicado a uma interface hospedada em um Trio MPC. Se você aplicar o filtro a uma DPC baseada em chip I, a operação de comprometimento falhará.

  • A interface de saída referida na ação de nome da interface da próxima interface pode ser hospedada em um Trio MPC ou um DPC baseado em chip I.

Visão geral

Neste exemplo, o Dispositivo R2 tem duas instâncias de roteamento interconectadas com links físicos. O tráfego de determinadas fontes deve ser direcionado através do enlace superior para inspeção por um otimizador de tráfego, que age de maneira transparente na camada IP. Quando o otimizador de tráfego falha, o tráfego se move para o enlace inferior. Os fluxos na direção R1>R3 e R3>R1 seguem caminhos idênticos.

Figura 2 mostra a topologia usada neste exemplo.

Figura 2: Encaminhamento baseado em filtro para interfaces de saída especificadasEncaminhamento baseado em filtro para interfaces de saída especificadas

No dispositivo R2, um filtro de firewall é aplicado à interface ge-1/0/8 na direção de entrada. O segundo termo combina com os endereços de origem específicos 10.0.0.0/24, e roteia o tráfego para o endereço 192.168.0.3. Esse endereço resolve o next-hop 192.168.20.2. Se o enlace conectado à interface ge-1/1/0 cair, o endereço 192.168.0.3 resolverá para next-hop 192.168.30.2.

No dispositivo R2, um filtro de firewall é aplicado à interface ge-1/0/0 na direção de entrada. O segundo termo combina com o destino específico endereços 10.0.0.0/24, e roteia o tráfego para atender a 192.168.0.2. Esse endereço resolve o next-hop 192.168.20.1. Se o enlace conectado à interface ge-1/3/8 cair, o endereço 192.168.0.2 resolverá para next-hop 192.168.30.1.

Nota:

O endereço configurado usando a ação next-ip não é resolvido automaticamente. Nas interfaces Ethernet, presume-se que o endereço configurado seja resolvido usando um protocolo de roteamento ou rotas estáticas.

O BGP interno (IBGP) é usado entre o dispositivo R2-VR1 e o dispositivo R2-VR2. O BGP externo (EBGP) é usado entre o dispositivo R1 e o dispositivo R2-VR1, bem como entre o dispositivo R2-VR2 e o dispositivo R3.

As operações de BGP prossseguem da seguinte forma:

  • R2-VR1 aprende 10/8 a partir de R1, e 0/0 a partir de R2-VR2.

  • R2-VR2 aprende 0/0 a partir de R3, e 10/8 a partir de R2-VR1.

  • R1 anuncia 10/8 e recebe 0/0 de R2-VR1.

  • R3 anuncia 0/0 e recebe 10/8 de R2-VR2.

O filtro de firewall aplicado ao dispositivo R2 precisa permitir o tráfego de plano de controle para as interfaces diretamente conectadas, neste caso as sessões de EBGP.

Este exemplo mostra a configuração no dispositivo R2.

Topologia

Cópia de

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.

Dispositivo R1

Dispositivo R2

Dispositivo R3

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Use o editor de CLI no modo de configuração o Guia de usuário do Junos OS CLI.

Para configurar o dispositivo R2:

  1. Configure as interfaces.

  2. Configure a instância de roteamento.

  3. Configure o roteamento estático e BGP.

  4. Configure os filtros de firewall.

  5. Configure a política de roteamento.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfacese show firewallshow protocols nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando os caminhos usados

Propósito

Certifique-se de que os caminhos esperados sejam usados ao enviar tráfego do dispositivo R1 para o dispositivo R3.

Ação

No dispositivo R1, insira o traceroute comando antes e depois da falha do enlace

Antes da falha do otimizador de tráfego

Após falha do otimizador de tráfego

Significado

A saída mostra que o segundo salto muda, dependendo do endereço de origem usado no traceroute comando.

Para verificar esse recurso, uma operação de roteamento de rastreamento é realizada no Dispositivo R1 ao Dispositivo R3. Quando o endereço IP de origem é 10.0.0.1, os pacotes são encaminhados para fora da interface ge-1/1/0.0 no dispositivo R2. Quando o endereço IP de origem é 10.1.0.1, os pacotes são encaminhados para fora da interface ge-1/1.0 no dispositivo R2.

Quando o enlace entre ge-1/1/0 e ge-1/3/8 falha, os pacotes com endereço IP de origem 10.0.0.1 são encaminhados para fora da interface ge-1/1/1.0 no dispositivo R2.