Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general del marco de políticas

El sistema operativo Junos (Junos OS) proporciona un marco de políticas, que es una colección de directivas de Junos® OS que permite controlar flujos de información de enrutamiento y paquetes.

La arquitectura de políticas de Junos OS es simple y directa. Sin embargo, la implementación real de cada política agrega capas de complejidad a la política, además de agregar potencia y flexibilidad a las capacidades de su enrutador. La configuración de una política tiene un gran impacto en el flujo de información de enrutamiento o paquetes dentro y a través del enrutador. Por ejemplo, puede configurar una directiva de enrutamiento que no permita colocar rutas asociadas a un cliente determinado en la tabla de enrutamiento. Como resultado de esta política de enrutamiento, las rutas del cliente no se utilizan para reenviar paquetes de datos a varios destinos y las rutas no se anuncian mediante el protocolo de enrutamiento a los vecinos.

Antes de configurar una política, determine lo que quiere lograr con ella y comprenda a fondo cómo lograr su objetivo utilizando las diversas condiciones y acciones de coincidencia. Además, asegúrese de que comprende las directivas y acciones predeterminadas de la directiva que está configurando.

Política de enrutamiento y filtros de firewall

El marco de políticas se compone de las siguientes políticas:

  • Política de enrutamiento: permite controlar la información de enrutamiento entre los protocolos de enrutamiento y las tablas de enrutamiento, así como entre las tablas de enrutamiento y la tabla de reenvío. Todos los protocolos de enrutamiento utilizan las tablas de enrutamiento de Junos OS para almacenar las rutas que aprenden y para determinar qué rutas deben anunciar en sus paquetes de protocolo. La directiva de enrutamiento permite controlar en qué rutas se almacenan y recuperan los protocolos de enrutamiento de la tabla de enrutamiento.

  • Política de filtro de firewall : le permite controlar los paquetes que transitan por el enrutador hacia un destino de red y los paquetes destinados y enviados por el enrutador.

    Nota:

    El término directiva de filtro de firewall se utiliza aquí para enfatizar que un filtro de firewall es una política y comparte algunas similitudes fundamentales con una política de enrutamiento. Sin embargo, cuando se hace referencia a una directiva de filtro de firewall en el resto de este manual, se utiliza el término filtro de firewall .

Razones para crear una directiva de enrutamiento

Las siguientes son circunstancias típicas en las que es posible que desee tener preferencia sobre las directivas de enrutamiento predeterminadas en el marco de directivas de enrutamiento mediante la creación de sus propias directivas de enrutamiento:

  • No desea que un protocolo importe todas las rutas en la tabla de enrutamiento. Si la tabla de enrutamiento no aprende acerca de ciertas rutas, nunca se pueden usar para reenviar paquetes y nunca se pueden redistribuir en otros protocolos de enrutamiento.

  • No desea que un protocolo de enrutamiento exporte todas las rutas activas que aprende.

  • Desea que un protocolo de enrutamiento anuncie las rutas activas aprendidas de otro protocolo de enrutamiento, lo que a veces se denomina redistribución de ruta.

  • Desea manipular las características de la ruta, como el valor de preferencia, la ruta del AS o la comunidad. Puede manipular las características de la ruta para controlar qué ruta se selecciona como ruta activa para llegar a un destino. En general, la ruta activa también se anuncia a los vecinos de un enrutador.

  • Desea cambiar los parámetros predeterminados de amortiguación de aletas de ruta BGP.

  • Desea realizar un equilibrio de carga por paquete.

  • Desea habilitar la clase de servicio (CoS).

Flujos de enrutador afectados por las directivas

Las políticas de Junos OS afectan a los siguientes flujos de enrutador:

  • Flujo de información de enrutamiento entre los protocolos de enrutamiento y las tablas de enrutamiento y entre las tablas de enrutamiento y la tabla de reenvío. El motor de enrutamiento controla este flujo. La información de enrutamiento es la información sobre las rutas aprendidas por los protocolos de enrutamiento de los vecinos de un enrutador. Esta información se almacena en tablas de enrutamiento y posteriormente es anunciada por los protocolos de enrutamiento a los vecinos del enrutador. Las políticas de enrutamiento le permiten controlar el flujo de esta información.

  • Flujo de paquetes de datos dentro y fuera de las interfaces físicas del enrutador. El motor de reenvío de paquetes controla este flujo. Los paquetes de datos son fragmentos de datos que transitan por el enrutador a medida que se reenvían desde un origen a un destino. Cuando un enrutador recibe un paquete de datos en una interfaz, determina dónde reenviar el paquete buscando en la tabla de reenvío la mejor ruta a un destino. Luego, el enrutador reenvía el paquete de datos hacia su destino a través de la interfaz adecuada. Los filtros de firewall le permiten controlar el flujo de estos paquetes de datos.

  • Flujo de paquetes locales desde las interfaces físicas del enrutador hasta el motor de enrutamiento. El motor de enrutamiento controla este flujo. Los paquetes locales son fragmentos de datos destinados o enviados por el enrutador. Los paquetes locales suelen contener datos de protocolo de enrutamiento, datos para servicios IP como Telnet o SSH, y datos para protocolos administrativos como el Protocolo de mensajes de control de Internet (ICMP). Cuando el motor de enrutamiento recibe un paquete local, reenvía el paquete al proceso apropiado o al núcleo, que forman parte del motor de enrutamiento, o al motor de reenvío de paquetes. Los filtros de firewall le permiten controlar el flujo de estos paquetes locales.

    Nota:

    En el resto de este capítulo, el término paquetes se refiere tanto a los datos como a los paquetes locales, a menos que se indique explícitamente lo contrario.

Figura 1 Ilustra los flujos a través del enrutador. Aunque los flujos son muy diferentes entre sí, también son interdependientes. Las políticas de enrutamiento determinan qué rutas se colocan en la tabla de reenvío. La tabla de reenvío, a su vez, tiene un papel integral en la determinación de la interfaz física adecuada a través de la cual reenviar un paquete.

Figura 1: Flujos de información de enrutamiento y paquetesFlujos de información de enrutamiento y paquetes

Puede configurar directivas de enrutamiento para controlar qué rutas colocan los protocolos de enrutamiento en las tablas de enrutamiento y para controlar qué rutas anuncian los protocolos de enrutamiento en las tablas de enrutamiento (consulte ).Figura 2 Los protocolos de enrutamiento anuncian rutas activas sólo desde las tablas de enrutamiento. (Una ruta activa es una ruta que se elige entre todas las rutas de la tabla de enrutamiento para llegar a un destino).

También puede usar directivas de enrutamiento para hacer lo siguiente:

  • Cambie las características específicas de la ruta, lo que le permite controlar qué ruta se selecciona como la ruta activa para llegar a un destino. En general, la ruta activa también se anuncia a los vecinos de un enrutador.

  • Cambie a los valores predeterminados de amortiguación de aletas de ruta BGP.

  • Realice el equilibrio de carga por paquete.

  • Habilitar clase de servicio (CoS).

Figura 2: Políticas de enrutamiento para controlar el flujo de información de enrutamientoPolíticas de enrutamiento para controlar el flujo de información de enrutamiento

Puede configurar filtros de firewall para controlar los siguientes aspectos del flujo de paquetes (consulte ):Figura 3

  • Qué paquetes de datos se aceptan y transmiten desde las interfaces físicas. Para controlar el flujo de paquetes de datos, aplique filtros de firewall a las interfaces físicas.

  • Qué paquetes locales se transmiten desde las interfaces físicas y al motor de enrutamiento. Para controlar los paquetes locales, aplique filtros de firewall en la interfaz de circuito cerrado, que es la interfaz del motor de enrutamiento.

Los filtros de firewall proporcionan un medio para proteger el enrutador del tráfico excesivo que transita por el enrutador hacia un destino de red o destinado al motor de enrutamiento. Los filtros de firewall que controlan los paquetes locales también pueden proteger su enrutador de incidentes externos, como ataques de denegación de servicio.

Figura 3: Filtros de firewall para controlar el flujo de paquetesFiltros de firewall para controlar el flujo de paquetes

Puntos de control

Todas las directivas proporcionan dos puntos en los que puede controlar la información de enrutamiento o los paquetes a través del enrutador (consulte ).Figura 4 Estos puntos de control le permiten controlar lo siguiente:

  • Información de enrutamiento antes y después de colocarla en la tabla de enrutamiento.

  • Paquetes de datos antes y después de una búsqueda en la tabla de reenvío.

  • Paquetes locales antes y después de que el motor de enrutamiento los reciba. (Parece representar solo un punto de control, pero debido al flujo bidireccional de los paquetes locales, en realidad existen dos puntos de control).Figura 4

Figura 4: Puntos de control de políticasPuntos de control de políticas

Dado que hay dos puntos de control, puede configurar directivas que controlen la información de enrutamiento o los paquetes de datos antes y después de su interacción con sus respectivas tablas, y directivas que controlen los paquetes locales antes y después de su interacción con el motor de enrutamiento. Las políticas de enrutamiento de importación controlan la información de enrutamiento que se coloca en las tablas de enrutamiento, mientras que las políticas de enrutamiento de exportación controlan la información de enrutamiento que se anuncia desde las tablas de enrutamiento. Los filtros de firewall de entrada controlan los paquetes que se reciben en una interfaz de enrutador, mientras que los filtros de firewall de salida controlan paquetes que se transmiten desde una interfaz de enrutador.

Componentes de políticas

Todas las directivas se componen de los siguientes componentes que usted configura:

  • Condiciones de coincidencia: criterios con los que se comparan una ruta o paquetes. Puede configurar uno o varios criterios. Si todos los criterios coinciden, se aplican una o más acciones.

  • Acciones: qué sucede si todos los criterios coinciden. Puede configurar una o varias acciones.

  • Términos: estructuras con nombre en las que se definen condiciones y acciones coincidentes. Puede definir uno o varios términos.

El software del marco de políticas evalúa cada ruta o paquete entrante y saliente en comparación con las condiciones de coincidencia en un término. Si se cumplen los criterios de las condiciones de coincidencia, se realiza la acción definida.

En general, el software del marco de políticas compara la ruta o el paquete con las condiciones de coincidencia del primer término de la política, luego pasa al siguiente término y así sucesivamente. Por lo tanto, el orden en el que organiza los términos en una política es relevante.

El orden de las condiciones de coincidencia dentro de un término no es relevante porque una ruta o paquete debe coincidir con todas las condiciones de coincidencia en un término para que se tome una acción.