Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Überblick über den Richtlinienrahmen

Das Junos-Betriebssystem (Junos OS) stellt ein Richtlinien-Framework bereit, bei dem es sich um eine Sammlung von Junos® OS-Richtlinien handelt, mit denen Sie Routing-Informationsflüsse und Pakete steuern können.

Die Richtlinienarchitektur von Junos OS ist einfach und unkompliziert. Die tatsächliche Implementierung jeder Richtlinie erhöht jedoch die Komplexität der Richtlinie und erhöht die Leistung und Flexibilität der Funktionen Ihres Routers. Die Konfiguration einer Richtlinie hat erhebliche Auswirkungen auf den Fluss von Routing-Informationen oder Paketen innerhalb und durch den Router. Sie können z. B. eine Routingrichtlinie konfigurieren, die nicht zulässt, dass Routen, die einem bestimmten Kunden zugeordnet sind, in der Routingtabelle platziert werden. Aufgrund dieser Routing-Richtlinie werden die Kundenrouten nicht verwendet, um Datenpakete an verschiedene Ziele weiterzuleiten, und die Routen werden nicht vom Routing-Protokoll an Nachbarn angekündigt.

Bevor Sie eine Richtlinie konfigurieren, legen Sie fest, was Sie damit erreichen möchten, und verstehen Sie genau, wie Sie Ihr Ziel mithilfe der verschiedenen Übereinstimmungsbedingungen und -aktionen erreichen können. Stellen Sie außerdem sicher, dass Sie die Standardrichtlinien und -aktionen für die von Ihnen konfigurierte Richtlinie verstehen.

Routing-Richtlinie und Firewall-Filter

Der Richtlinienrahmen setzt sich aus den folgenden Richtlinien zusammen:

  • Routing-Richtlinie: Ermöglicht es Ihnen, die Routing-Informationen zwischen den Routing-Protokollen und den Routing-Tabellen sowie zwischen den Routing-Tabellen und der Weiterleitungstabelle zu steuern. Alle Routing-Protokolle verwenden die Routing-Tabellen von Junos OS, um die erlernten Routen zu speichern und zu bestimmen, welche Routen sie in ihren Protokollpaketen ankündigen sollen. Mit der Routing-Richtlinie können Sie steuern, welche Routen die Routing-Protokolle in der Routing-Tabelle speichern und abrufen.

  • Firewall-Filterrichtlinie : Ermöglicht die Steuerung von Paketen, die den Router zu einem Netzwerkziel übertragen, sowie von Paketen, die für den Router bestimmt sind und von diesem gesendet werden.

    HINWEIS:

    Der Begriff Firewallfilterrichtlinie wird hier verwendet, um zu betonen, dass ein Firewallfilter eine Richtlinie ist und einige grundlegende Ähnlichkeiten mit einer Routingrichtlinie aufweist. Wenn im Rest dieses Handbuchs auf eine Firewallfilterrichtlinie Bezug genommen wird, wird jedoch der Begriff Firewallfilter verwendet.

Gründe für das Erstellen einer Routingrichtlinie

Im Folgenden sind typische Umstände aufgeführt, unter denen Sie die standardmäßigen Routingrichtlinien im Routingrichtlinienframework vorgreifen möchten, indem Sie Ihre eigenen Routingrichtlinien erstellen:

  • Sie möchten nicht, dass ein Protokoll alle Routen in die Routing-Tabelle importiert. Wenn die Routing-Tabelle bestimmte Routen nicht erkennt, können sie niemals zum Weiterleiten von Paketen verwendet und niemals in andere Routing-Protokolle umverteilt werden.

  • Sie möchten nicht, dass ein Routing-Protokoll alle aktiven Routen exportiert, die es lernt.

  • Sie möchten, dass ein Routingprotokoll aktive Routen ankündigt, die von einem anderen Routingprotokoll gelernt wurden, was manchmal auch als Routenumverteilung bezeichnet wird.

  • Sie möchten Routenmerkmale bearbeiten, z. B. den Voreinstellungswert, den AS-Pfad oder die Community. Sie können die Routenmerkmale ändern, um zu steuern, welche Route als aktive Route ausgewählt wird, um ein Ziel zu erreichen. Im Allgemeinen wird die aktive Route auch den Nachbarn eines Routers angekündigt.

  • Sie möchten die standardmäßigen BGP-Routen-Flap-Damping-Parameter ändern.

  • Sie möchten einen Lastenausgleich pro Paket durchführen.

  • Sie möchten Class of Service (CoS) aktivieren.

Router-Datenströme, die von Richtlinien betroffen sind

Die Junos OS-Richtlinien wirken sich auf die folgenden Router-Flows aus:

  • Fluss von Routing-Informationen zwischen den Routing-Protokollen und den Routing-Tabellen sowie zwischen den Routing-Tabellen und der Weiterleitungstabelle. Die Routing-Engine verarbeitet diesen Datenstrom. Routing-Informationen sind die Informationen über Routen, die von den Routing-Protokollen von den Nachbarn eines Routers gelernt wurden. Diese Informationen werden in Routing-Tabellen gespeichert und anschließend von den Routing-Protokollen an die Nachbarn des Routers weitergegeben. Routing-Richtlinien ermöglichen es Ihnen, den Fluss dieser Informationen zu steuern.

  • Fluss von Datenpaketen in und aus den physischen Schnittstellen des Routers. Die Packet Forwarding Engine verarbeitet diesen Datenstrom. Datenpakete sind Datenblöcke, die den Router passieren, wenn sie von einer Quelle zu einem Ziel weitergeleitet werden. Wenn ein Router ein Datenpaket auf einer Schnittstelle empfängt, bestimmt er, wohin das Paket weitergeleitet werden soll, indem er in der Weiterleitungstabelle nach der besten Route zu einem Ziel sucht. Der Router leitet das Datenpaket dann über die entsprechende Schnittstelle an sein Ziel weiter. Mit Firewall-Filtern können Sie den Fluss dieser Datenpakete steuern.

  • Fluss lokaler Pakete von den physischen Schnittstellen des Routers zur Routing-Engine. Die Routing-Engine verarbeitet diesen Datenstrom. Lokale Pakete sind Datenblöcke, die für den Router bestimmt sind oder von diesem gesendet werden. Lokale Pakete enthalten in der Regel Routingprotokolldaten, Daten für IP-Dienste wie Telnet oder SSH und Daten für administrative Protokolle wie das Internet Control Message Protocol (ICMP). Wenn die Routing-Engine ein lokales Paket empfängt, leitet sie das Paket an den entsprechenden Prozess oder an den Kernel weiter, die beide Teil der Routing-Engine sind, oder an die Paketweiterleitungs-Engine. Mit Firewall-Filtern können Sie den Fluss dieser lokalen Pakete steuern.

    HINWEIS:

    Im weiteren Verlauf dieses Kapitels bezieht sich der Begriff Pakete sowohl auf Datenpakete als auch auf lokale Pakete, sofern nicht ausdrücklich anders angegeben.

Abbildung 1 Zeigt die Datenströme durch den Router. Obwohl sich die Ströme stark voneinander unterscheiden, sind sie auch voneinander abhängig. Routing-Richtlinien bestimmen, welche Routen in der Weiterleitungstabelle platziert werden. Die Weiterleitungstabelle wiederum spielt eine wesentliche Rolle bei der Bestimmung der geeigneten physischen Schnittstelle, über die ein Paket weitergeleitet werden soll.

Abbildung 1: Routing-Informationsflüsse und PaketeRouting-Informationsflüsse und Pakete

Sie können Routing-Richtlinien konfigurieren, um zu steuern, welche Routen von den Routing-Protokollen in den Routing-Tabellen platziert werden, und um zu steuern, welche Routen die Routing-Protokolle aus den Routing-Tabellen ankündigen (siehe ).Abbildung 2 Die Routing-Protokolle kündigen aktive Routen nur aus den Routing-Tabellen an. (Eine aktive Route ist eine Route, die aus allen Routen in der Routing-Tabelle ausgewählt wird, um ein Ziel zu erreichen.)

Sie können Routingrichtlinien auch für Folgendes verwenden:

  • Ändern Sie bestimmte Routeneigenschaften, mit denen Sie steuern können, welche Route als aktive Route ausgewählt wird, um ein Ziel zu erreichen. Im Allgemeinen wird die aktive Route auch den Nachbarn eines Routers angekündigt.

  • Ändern Sie die standardmäßigen BGP-Werte für die Route-Flap-Dämpfung.

  • Führen Sie einen Lastenausgleich pro Paket durch.

  • Aktivieren Sie Class of Service (CoS).

Abbildung 2: Routing-Richtlinien zur Steuerung des Routing-InformationsflussesRouting-Richtlinien zur Steuerung des Routing-Informationsflusses

Sie können Firewall-Filter konfigurieren, um die folgenden Aspekte des Paketflusses zu steuern (siehe ):Abbildung 3

  • Welche Datenpakete an den physikalischen Schnittstellen angenommen und von diesen übertragen werden. Um den Fluss der Datenpakete zu steuern, wenden Sie Firewall-Filter auf die physischen Schnittstellen an.

  • Welche lokalen Pakete von den physischen Schnittstellen an die Routing-Engine übertragen werden. Um lokale Pakete zu steuern, wenden Sie Firewallfilter auf die Loopback-Schnittstelle an, die die Schnittstelle zur Routing-Engine darstellt.

Firewall-Filter bieten eine Möglichkeit, Ihren Router vor übermäßigem Datenverkehr zu schützen, der den Router zu einem Netzwerkziel leitet oder für die Routing-Engine bestimmt ist. Firewall-Filter, die lokale Pakete kontrollieren, können Ihren Router auch vor externen Vorfällen wie Denial-of-Service-Angriffen schützen.

Abbildung 3: Firewall-Filter zur Steuerung des PaketflussesFirewall-Filter zur Steuerung des Paketflusses

Kontrollpunkte

Alle Richtlinien bieten zwei Punkte, an denen Sie Routing-Informationen oder Pakete über den Router steuern können (siehe ).Abbildung 4 Mit diesen Kontrollpunkten können Sie Folgendes steuern:

  • Routing-Informationen vor und nach dem Platzieren in der Routing-Tabelle.

  • Datenpakete vor und nach einer Suche nach Weiterleitungstabellen.

  • Lokale Pakete vor und nach dem Empfang durch die Routing-Engine. ( scheint nur einen Kontrollpunkt darzustellen, aber aufgrund des bidirektionalen Flusses der lokalen Pakete existieren tatsächlich zwei Kontrollpunkte.)Abbildung 4

Abbildung 4: Politische KontrollpunktePolitische Kontrollpunkte

Da es zwei Kontrollpunkte gibt, können Sie Richtlinien konfigurieren, die die Routing-Informationen oder Datenpakete vor und nach ihrer Interaktion mit den jeweiligen Tabellen steuern, und Richtlinien, die lokale Pakete vor und nach ihrer Interaktion mit der Routing-Engine steuern. Import-Routing-Richtlinien steuern die Routing-Informationen, die in den Routing-Tabellen platziert werden, während Export-Routing-Richtlinien die Routing-Informationen steuern, die von den Routing-Tabellen angekündigt werden. Eingabe-Firewall-Filter steuern Pakete, die über eine Router-Schnittstelle empfangen werden, während Ausgabe-Firewall-Filter Pakete steuern, die von einer Router-Schnittstelle übertragen werden.

Richtlinienkomponenten

Alle Richtlinien bestehen aus den folgenden Komponenten, die Sie konfigurieren:

  • Übereinstimmungsbedingungen: Kriterien, anhand derer eine Route oder Pakete verglichen werden. Sie können ein oder mehrere Kriterien konfigurieren. Wenn alle Kriterien übereinstimmen, werden eine oder mehrere Aktionen angewendet.

  • Aktionen: Was passiert, wenn alle Kriterien übereinstimmen? Sie können eine oder mehrere Aktionen konfigurieren.

  • Begriffe: Benannte Strukturen, in denen Übereinstimmungsbedingungen und -aktionen definiert sind. Sie können einen oder mehrere Benennungen definieren.

Die Richtlinien-Framework-Software wertet jede ein- und ausgehende Route oder jedes Paket anhand der Übereinstimmungsbedingungen in einem Term aus. Wenn die Kriterien in den Übereinstimmungsbedingungen erfüllt sind, wird die definierte Aktion ausgeführt.

Im Allgemeinen vergleicht die Richtlinien-Framework-Software die Route oder das Paket mit den Übereinstimmungsbedingungen im ersten Term in der Richtlinie, fährt dann mit dem nächsten Term fort und so weiter. Daher ist die Reihenfolge, in der Sie Begriffe in einer Richtlinie anordnen, relevant.

Die Reihenfolge der Übereinstimmungsbedingungen innerhalb eines Begriffs ist nicht relevant, da eine Route oder ein Paket mit allen Übereinstimmungsbedingungen in einem Begriff übereinstimmen muss, damit eine Aktion ausgeführt wird.

Verwandte Themen