Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Aperçu du cadre stratégique

Le système d’exploitation Junos (Junos OS) fournit une infrastructure de stratégies, qui est un ensemble de stratégies Junos ® OS qui vous permet de contrôler les flux d’informations de routage et de paquets.

L’architecture des stratégies de Junos OS est simple et directe. Cependant, la mise en œuvre réelle de chaque stratégie ajoute des couches de complexité à la stratégie tout en ajoutant de la puissance et de la flexibilité aux capacités de votre routeur. La configuration d’une stratégie a un impact majeur sur le flux d’informations de routage ou de paquets à l’intérieur et à travers le routeur. Par exemple, vous pouvez configurer une stratégie de routage qui n’autorise pas le placement de routes associées à un client particulier dans la table de routage. En conséquence de cette stratégie de routage, les routes client ne sont pas utilisées pour transférer des paquets de données vers diverses destinations et les routes ne sont pas annoncées par le protocole de routage aux voisins.

Avant de configurer une stratégie, déterminez ce que vous souhaitez accomplir avec elle et comprenez bien comment atteindre votre objectif à l’aide des différentes conditions et actions de correspondance. Assurez-vous également de bien comprendre les stratégies et les actions par défaut de la stratégie que vous configurez.

Stratégie de routage et filtres de pare-feu

Le cadre stratégique est composé des politiques suivantes :

  • Routing policy (Stratégie de routage) : vous permet de contrôler les informations de routage entre les protocoles de routage et les tables de routage, ainsi qu’entre les tables de routage et la table de transfert. Tous les protocoles de routage utilisent les tables de routage de Junos OS pour stocker les routes qu’ils apprennent et pour déterminer les routes qu’ils doivent annoncer dans leurs paquets de protocole. La stratégie de routage vous permet de contrôler les routes que les protocoles de routage stockent et récupèrent à partir de la table de routage.

  • Firewall filter policy (Stratégie de filtre de pare-feu ) : permet de contrôler les paquets transitant par le routeur vers une destination réseau, ainsi que les paquets destinés et envoyés par le routeur.

    REMARQUE :

    Le terme stratégie de filtre de pare-feu est utilisé ici pour souligner qu’un filtre de pare-feu est une stratégie et partage des similitudes fondamentales avec une stratégie de routage. Toutefois, lorsque l’on fait référence à une stratégie de filtre de pare-feu dans le reste de ce manuel, le terme filtre de pare-feu est utilisé.

Raisons de créer une stratégie de routage

Voici des circonstances typiques dans lesquelles vous pouvez préempter les stratégies de routage par défaut dans l’infrastructure de stratégie de routage en créant vos propres stratégies de routage :

  • Vous ne souhaitez pas qu’un protocole importe tous les itinéraires dans la table de routage. Si la table de routage n’apprend pas certaines routes, elles ne peuvent jamais être utilisées pour transférer des paquets et ne peuvent jamais être redistribuées dans d’autres protocoles de routage.

  • Vous ne voulez pas qu’un protocole de routage exporte toutes les routes actives qu’il apprend.

  • Vous souhaitez qu’un protocole de routage annonce les routes actives apprises à partir d’un autre protocole de routage, ce que l’on appelle parfois la redistribution de route.

  • Vous souhaitez manipuler les caractéristiques de route, telles que la valeur de préférence, le chemin AS ou la communauté. Vous pouvez manipuler les caractéristiques de l’itinéraire pour contrôler quel itinéraire est sélectionné comme itinéraire actif pour atteindre une destination. En général, la route active est également annoncée aux voisins d’un routeur.

  • Vous souhaitez modifier les paramètres par défaut d’amortissement des volets de route BGP.

  • Vous souhaitez effectuer un équilibrage de charge par paquet.

  • Vous souhaitez activer la classe de service (CoS).

Flux de routeurs affectés par les stratégies

Les stratégies Junos OS affectent les flux de routeur suivants :

  • Flux d’informations de routage entre les protocoles de routage et les tables de routage et entre les tables de routage et la table de transfert. Le moteur de routage gère ce flux. Les informations de routage sont les informations sur les routes apprises par les protocoles de routage auprès des voisins d’un routeur. Ces informations sont stockées dans des tables de routage et sont ensuite annoncées par les protocoles de routage aux voisins du routeur. Les stratégies de routage vous permettent de contrôler le flux de ces informations.

  • Flux de paquets de données entrant et sortant des interfaces physiques du routeur. Le moteur de transfert de paquets gère ce flux. Les paquets de données sont des blocs de données qui transitent par le routeur lorsqu’ils sont transférés d’une source à une destination. Lorsqu’un routeur reçoit un paquet de données sur une interface, il détermine où transférer le paquet en recherchant dans la table de transfert le meilleur itinéraire vers une destination. Le routeur transmet ensuite le paquet de données vers sa destination via l’interface appropriée. Les filtres de pare-feu vous permettent de contrôler le flux de ces paquets de données.

  • Flux de paquets locaux depuis les interfaces physiques du routeur et vers le moteur de routage. Le moteur de routage gère ce flux. Les paquets locaux sont des blocs de données destinés ou envoyés par le routeur. Les paquets locaux contiennent généralement des données de protocole de routage, des données pour les services IP tels que Telnet ou SSH, et des données pour des protocoles administratifs tels que l’Internet Control Message Protocol (ICMP). Lorsque le moteur de routage reçoit un paquet local, il transmet le paquet au processus approprié ou au noyau, qui font tous deux partie du moteur de routage, ou au moteur de transfert de paquets. Les filtres de pare-feu vous permettent de contrôler le flux de ces paquets locaux.

    REMARQUE :

    Dans le reste de ce chapitre, le terme « paquets » désigne à la fois les données et les paquets locaux, sauf indication contraire explicite.

Figure 1 illustre les flux transitant par le routeur. Bien que les flux soient très différents les uns des autres, ils sont également interdépendants. Les stratégies de routage déterminent quels itinéraires sont placés dans la table de transfert. La table de transfert, à son tour, joue un rôle essentiel dans la détermination de l’interface physique appropriée par laquelle transférer un paquet.

Figure 1 : Flux d’informations de routage et de paquetsFlux d’informations de routage et de paquets

Vous pouvez configurer des stratégies de routage pour contrôler les routes placées par les protocoles de routage dans les tables de routage et pour contrôler les routes que les protocoles de routage annoncent à partir des tables de routage (reportez-vous à la section Figure 2). Les protocoles de routage annoncent les routes actives uniquement à partir des tables de routage. (Un itinéraire actif est un itinéraire choisi parmi tous les itinéraires de la table de routage pour atteindre une destination.)

Vous pouvez également utiliser des stratégies de routage pour effectuer les opérations suivantes :

  • Modifiez les caractéristiques d’itinéraire spécifiques, ce qui vous permet de contrôler l’itinéraire sélectionné comme itinéraire actif pour atteindre une destination. En général, la route active est également annoncée aux voisins d’un routeur.

  • Remplacez les valeurs par défaut d’amortissement des volets de route BGP.

  • Effectuez un équilibrage de charge par paquet.

  • Activez la classe de service (CoS).

Figure 2 : Stratégies de routage pour contrôler le flux d’informations de routageStratégies de routage pour contrôler le flux d’informations de routage

Vous pouvez configurer des filtres de pare-feu pour contrôler les aspects suivants du flux de paquets (reportez-vous à la section Figure 3) :

  • Quels paquets de données sont acceptés et transmis à partir des interfaces physiques. Pour contrôler le flux de paquets de données, appliquez des filtres de pare-feu aux interfaces physiques.

  • Les paquets locaux transmis depuis les interfaces physiques vers le moteur de routage. Pour contrôler les paquets locaux, appliquez des filtres de pare-feu sur l’interface de bouclage, qui est l’interface du moteur de routage.

Les filtres de pare-feu permettent de protéger votre routeur contre le trafic excessif transitant par le routeur vers une destination réseau ou à destination du moteur de routage. Les filtres de pare-feu qui contrôlent les paquets locaux peuvent également protéger votre routeur contre les incidents externes tels que les attaques par déni de service.

Figure 3 : Filtres de pare-feu pour contrôler le flux de paquetsFiltres de pare-feu pour contrôler le flux de paquets

Points de contrôle

Toutes les stratégies prévoient deux points où vous pouvez contrôler les informations de routage ou les paquets via le routeur (reportez-vous à la section Figure 4). Ces points de contrôle vous permettent de contrôler les éléments suivants :

  • Informations de routage avant et après leur placement dans la table de routage.

  • Paquets de données avant et après une recherche dans la table de transfert.

  • Paquets locaux avant et après leur réception par le moteur de routage. Figure 4 ( semble ne représenter qu’un seul point de contrôle, mais en raison du flux bidirectionnel des paquets locaux, deux points de contrôle existent en réalité.)

Figure 4 : Points de contrôle des stratégiesPoints de contrôle des stratégies

Étant donné qu’il existe deux points de contrôle, vous pouvez configurer des stratégies qui contrôlent les informations de routage ou les paquets de données avant et après leur interaction avec leurs tables respectives, ainsi que des stratégies qui contrôlent les paquets locaux avant et après leur interaction avec le moteur de routage. Les stratégies de routage d’importation contrôlent les informations de routage placées dans les tables de routage, tandis que les stratégies de routage d’exportation contrôlent les informations de routage publiées à partir des tables de routage. Les filtres de pare-feu d’entrée contrôlent les paquets reçus sur une interface de routeur, tandis que les filtres de pare-feu de sortie contrôlent les paquets transmis à partir d’une interface de routeur.

Composants de la stratégie

Toutes les stratégies sont composées des composants suivants que vous configurez :

  • Conditions de correspondance : critères par rapport auxquels une route ou des paquets sont comparés. Vous pouvez configurer un ou plusieurs critères. Si tous les critères correspondent, une ou plusieurs actions sont appliquées.

  • Actions : que se passe-t-il si tous les critères correspondent. Vous pouvez configurer une ou plusieurs actions.

  • Terms (Terms) : structures nommées dans lesquelles des conditions d’appariement et des actions sont définies. Vous pouvez définir un ou plusieurs termes.

Le logiciel Policy Framework évalue chaque route ou paquet entrant et sortant par rapport aux conditions de correspondance d’un terme. Si les critères des conditions de correspondance sont remplis, l’action définie est effectuée.

En général, le logiciel d’infrastructure de stratégie compare le routage ou le paquet aux conditions de correspondance du premier terme de la stratégie, puis passe au terme suivant, et ainsi de suite. Par conséquent, l’ordre dans lequel vous organisez les conditions dans une politique est pertinent.

L’ordre des conditions de correspondance au sein d’un terme n’est pas pertinent, car une route ou un paquet doit correspondre à toutes les conditions de correspondance d’un terme pour qu’une action soit effectuée.