Filtrage sélectif basé sur les classes sur les routeurs PTX
Filtrage sélectif basé sur les classes sur les routeurs PTX
Pour les routeurs et cartes de ligne PTX Series pris en charge, vous pouvez filtrer le trafic IPv4 et IPv6 en fonction de la classification source ou de destination (Utilisation de la classe source, SCU) et (Utilisation de la classe de destination, DCU). Ceci est utile car cela signifie que vous pouvez appliquer un filtre de manière sélective, sur un sous-ensemble de paquets dans une classe, plutôt que sur tous les paquets de la classe. En outre, le flux de paquets via le moteur de transfert de paquets (PFE) est optimisé et le filtrage est plus efficace.
Pour les fournisseurs de services, le filtrage basé sur les classes vous permet de fournir des services avancés tels que :
-
Manipulation du comportement par saut en ajustant la classe de transfert du paquet en fonction de la classe du paquet source ou de destination et d’autres critères de filtrage.
-
Limitation du débit de trafic vers certaines interfaces client, avec une forte perte de trafic (par exemple, en cas d’attaque DDoS). Normalement, vous devez déployer un filtre d’interface sortant pour limiter le débit du trafic. Toutefois, cela peut s’avérer inefficace, car le trafic traverse toujours la structure des systèmes distribués et consomme une bande passante limitée de la structure. L’inefficacité devient encore plus visible dans un système de mise en file d’attente de sortie virtuelle, comme PTX, où l’admission dans la file d’attente de sortie se produit avant l’exécution du filtre de sortie et toute action de suppression ultérieure dans le filtre de sortie nécessite une compensation : plus de trafic doit être admis dans la file d’attente, ce qui nécessite plus de bande passante de fabric et plus d’espace tampon sur puce de sortie (ce qui est une ressource limitée). Les filtres basés sur les classes sont exécutés dans le pipeline d’entrée avant l’admission des paquets dans la file d’attente de sortie. Ce mécanisme est recommandé par rapport aux filtres d’interface de sortie habituels, si vous prévoyez de laisser tomber de gros volumes de trafic vers certaines destinations.
Le filtrage basé sur les classes est également efficace pour les attaques par déni de service (DoS) « lentes et faibles » qui ciblent les ressources des applications et des serveurs en imitant les schémas de trafic normaux.
Pour prendre en charge le filtrage basé sur les classes, deux nouveaux points de liaison sont introduits dans la table de transfert pour les routeurs PTX : source-class et destination-class.
La hiérarchie CLI est affichée ici, où src-class-name ou dest-class-name est le nom du filtre que vous avez défini dans la stratégie correspondante.
routing-options forwarding-table source-class src-class-name family [inet | inet6] filter <filter-name>
routing-options forwarding-table destination-class dest-class-name family [inet | inet6] filter <filter-name>
Vous pouvez également configurer des filtres spécifiques à l’instance sur plusieurs classes SCU et DCU. Par défaut, un seul ensemble de compteurs et de mécanismes de contrôle est instancié pour un filtre. Dans le filtre spécifique à l’instance, un jeu distinct de compteurs et de mécanismes de contrôle est créé pour chaque point d’attache du filtre.
firewall family [inet | inet6] filter <filter name> instance-specific
Comprendre le filtrage basé sur les classes sur les routeurs PTX
Initialement, la fonctionnalité d’utilisation de la classe source (SCU) a été introduite pour fournir une répartition statistique du trafic envoyé vers une interface spécifique par préfixe d’origine (identifié par la classe source). À l’origine, l’utilisation de la classe de destination (DCU) a été introduite pour fournir une répartition statistique du trafic reçu sur une interface par préfixe de destination (identifié par la classe de destination).
Les classes source ou de destination sont affectées au paquet dans le processus de recherche source ou de destination. Par conséquent, les conditions de correspondance du filtre source et du filtre de destination ne peuvent être évaluées que si le filtre est exécuté après la recherche.
Les routeurs Juniper prennent en charge plusieurs points de liaison de filtre. Ceux qui peuvent exploiter le résultat de la classification source et de destination sont répertoriés ci-dessous, avec des instructions d’utilisation :
-
Filtre d’interface de sortie (set interfaces <nom de l’interface> filtre <output>d’inet de la famille . Pris en charge sur toutes les plates-formes PTX, mais déconseillé s’il est prévu qu’il élimine de gros volumes de trafic à l’état stable (par exemple, lors de la mise en œuvre d’un filtre d’atténuation des attaques DDoS). Le trafic d’attaque DDoS ignoré peut ne pas être compensé par un autre trafic ne correspondant pas aux critères d’attaque DDoS en raison de la bande passante limitée de la fabric et de l’espace tampon de sortie sur la puce.
-
Filtrer après table de transfert recherche de filtre (définir le filtre d’inet de la famille d’options de transfert <nom du filtre> sortie). Pris en charge sur les plates-formes Express 2 (PE) et Express 3 (ZX). Toutefois, les filtres sont instanciés dans le pipeline de sortie, de sorte que le comportement d’abandon est similaire à celui du filtre d’interface de sortie standard.
-
Point de liaison spécifique à la classe source ou de destination (set routing-options forwarding-table source-class src-class-name family [inet | inet6] filter <filter- name>). Pris en charge sur les plates-formes Express 2 (PE), Express 3 (ZX) et Express 4 (BT). Ce filtre est instancié dans le pipeline d’entrée. Il s’agit de l’option recommandée pour ignorer de gros volumes de trafic. Cette option est également recommandée si vous devez remplacer la classe de transfert et l’affectation ultérieure de la file d’attente de sortie. Dans un système de mise en file d’attente de sortie virtuelle, la file d’attente est sélectionnée dans le pipeline d’entrée et tout remplacement doit également se produire dans le pipeline d’entrée.
-
Notez que ces actions de filtre ne sont pas prises en charge dans le filtre lié au point de liaison spécifique à la classe source ou de destination :
-
instance_routage
-
Adresse IP suivante
-
interface suivante
-
décapsuler
-
encapsuler
-
-
Il n’est pas possible d’appliquer des filtres sélectifs basés sur des classes aux paquets liés à l’hôte.
-
Les paquets qui échouent aux recherches uRPF, mais qui sont restaurés par les filtres de défaillance uRPF ne sont pas soumis aux recherches SCU/DCU. Par conséquent, les filtres sélectifs basés sur les classes ne peuvent pas être appliqués sur de tels paquets.
-
Les filtres ne sont appliqués qu’aux paquets entrants sur des interfaces pour lesquelles la fonctionnalité SCU/DCU est activée. Cela signifie que les filtres seraient appliqués, que SCU soit configuré sur les interfaces de sortie ou non.
-
Les paquets pour lesquels un filtre sélectif basé sur les classes doit être appliqué peuvent entraîner une baisse des performances. La baisse des performances est fonction du débit de trafic entrant, de la taille moyenne des paquets et de la quantité de trafic soumis aux filtres. Toutefois, les paquets sur lesquels des filtres sélectifs basés sur les classes ne sont pas appliqués n’affectent pas les performances.
-
La comptabilisation DCU s’applique aux paquets abandonnés par les filtres.
-
La prise en compte des sorties SCU ne s’applique pas aux paquets abandonnés par les filtres.
-
Les filtres sélectifs basés sur des classes ne peuvent pas être utilisés avec un bouton spécifique à l’interface, car ce bouton ne s’applique qu’aux filtres attachés à l’interface.
-
Les listes (listes d’entrées/sorties) de filtres sélectifs basés sur des classes ne sont pas prises en charge.
-
Les systèmes logiques ne sont pas pris en charge.
-
Seuls IPv4 et IPv6 sont les protocoles de charge utile pris en charge. MPLS n’est pas pris en charge.
-
Si un paquet correspond à la fois aux filtres sélectifs basés sur les classes SCU et DCU, seul le dernier filtre (c’est-à-dire le filtre DCU) est appliqué au paquet, mais pas aux deux.
Exemple : Filtrage sélectif basé sur les classes (routeurs PTX)
Cet exemple montre comment appliquer des actions de pare-feu (ignorer, rejeter ou contrôler) à des flux de trafic IPv4 et IPv6 en fonction de la classification source ou de destination. Elle s’applique aux routeurs PTX10001-36MR, PTX10003-160C, PTX10003-80C, PTX10004 et PTX10008 exécutant la version 21.2 du système d’exploitation Junos Evolved, PTX10016 aux routeurs exécutant JUNOS Evolved OS version 21.4 ou PTX3000, PTX-5000, PTX1000, PTX10002, PTX10008 PTX10016 aux routeurs exécutant Junos OS version 21.2 ou ultérieure.
Conditions préalables
Cet exemple utilise BGP, car il peut être utilisé pour échanger des routes entre des périphériques dans une topologie de réseau composée de la périphérie client, de la périphérie du fournisseur et des routeurs du fournisseur. Reportez-vous à la section Présentation de la configuration BGP pour en savoir plus.
Présentation
Cet exemple utilise trois périphériques de routage : un équipement de périphérie client (CE), un équipement de périphérie fournisseur (PE) et un équipement de cur de fournisseur (P). La configuration du trafic IPv4 est illustrée et comprend deux ensembles de classes SCU et DCU, ainsi que les filtres de pare-feu. Dans la figure suivante, les préfixes IP /32 représentent les hôtes connectés respectivement aux routeurs CE (Customer Edge) et fournisseur (P).
Dans cet exemple, nous définissons deux classes de trafic : scu-1 et scu-2, le premier est affecté à des préfixes dans le sous-réseau 172.16.2.0/24 et le second est affecté à des préfixes dans le sous-réseau 172.16.3.0/24. D’autres préfixes n’ont pas d’affectations de classe. Comme illustré dans l’extrait de CLI suivant, une stratégie de routage est définie sur le routeur PE pour affecter des préfixes à scu-1 de classe source et scu-2 de classe source.
show policy-options
policy-statement scu-class {
term gold {
from {
route-filter 172.16.2.0/24 orlonger;
}
then source-class scu-1;
accept;
term silver {
from {
route-filter 172.16.3.0/24 orlonger;
}
then source-class scu-2;
accept;
}
Pour tenir compte du trafic entrant dans les interfaces de PE à partir de CE, la stratégie appelée dcu-class définie sur le routeur PE utilise des filtres de routage pour placer le trafic dans dcu-1, les autres préfixes n’ayant pas d’affectations de classe.
show policy-options
policy-statement dcu-class {
term gold {
from {
route-filter 172.16.5.0/24 orlonger;
}
then destination-class dcu-1;
accept;
}
Les stratégies sont ensuite appliquées à la table de transfert.
forwarding-table {
export [ dcu_class scu_class ];
}
Dans l’étape suivante, nous configurons un filtre sur le routeur PE.
show firewall {
family inet {
filter f1 {
term t1 {
from {
protocol icmp;
}
then {
count c1;
}
}
}
}
}
Et fixez ce filtre aux points de liaison de classe source et de destination spécifiques sur le routeur PE.
show routing-options forwarding-table
source-class scu-1 {
family inet {
filter {
f1;
}
}
}
destination-class dcu-1 {
family inet {
filter {
f1;
}
}
}
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande.
L’exemple utilise des routes statiques pour fournir des adresses d’interface de connectivité et de bouclage afin de tester l’opération.
Dispositif CE
set interfaces et-1/2/0 unit 0 family inet address 10.0.0.1/30 set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set interfaces lo0 unit 0 family inet address 172.16.0.1/32 set protocols bgp group ext type external set protocols bgp group ext export send-direct set protocols bgp group ext export send-static set protocols bgp group ext peer-as 200 set protocols bgp group ext neighbor 10.0.0.2 set policy-options policy-statement send-direct term 1 from protocol direct set policy-options policy-statement send-direct term 1 then accept set policy-options policy-statement send-static term 1 from protocol static set policy-options policy-statement send-static term 1 then accept set routing-options static route 10.1.0.0/30 next-hop 10.0.0.2 set routing-options autonomous-system 100
Appareil PE
set interfaces et-1/2/0 unit 0 family inet address 10.0.0.2/30 set interfaces et-1/2/1 unit 0 family inet accounting source-class-usage input set interfaces et-1/2/1 unit 0 family inet accounting destination-class-usage set interfaces et-1/2/1 unit 0 family inet address 10.1.0.1/30 set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols bgp group ext type external set protocols bgp group ext export send-direct set protocols bgp group ext neighbor 10.0.0.1 peer-as 100 set protocols bgp group ext neighbor 10.1.0.2 peer-as 300 set policy-options policy-statement dcu_class term gold from route-filter 172.16.5.0/24 orlonger set policy-options policy-statement dcu_class term gold then destination-class dcu-1 set policy-options policy-statement scu_class term gold from route-filter 172.16.2.0/24 orlonger set policy-options policy-statement scu_class term gold then source-class scu-1 set policy-options policy-statement scu_class term silver from route-filter 172.16.3.0/24 orlonger set policy-options policy-statement scu_class term silver then source-class scu-1 set policy-options policy-statement send-direct term 1 from protocol direct set policy-options policy-statement send-direct term 1 then accept set firewall family inet filter f1 term 0 from protocol icmp set firewall family inet filter f1 term 0 then count c1 set firewall family inet filter f1 term 0 then accept set routing-options autonomous-system 200 set routing-options forwarding-table export dcu_class set routing-options forwarding-table export scu_class
Appareil P
set interfaces et-1/2/1 unit 0 family inet address 10.1.0.2/30 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set interfaces lo0 unit 0 family inet address 172.16.0.3/32 set interfaces lo0 unit 0 family inet address 172.16.0.3/32 set interfaces lo0 unit 0 family inet address 172.16.0.3/32 set interfaces lo0 unit 0 family inet address 172.16.0.3/32 set interfaces lo0 unit 0 family inet address 172.16.0.3/32 set interfaces lo0 unit 0 family inet address 172.16.0.3/32 set protocols bgp group ext type external set protocols bgp group ext export send-direct set protocols bgp group ext export send-static set protocols bgp group ext peer-as 200 set protocols bgp group ext neighbor 10.1.0.1 set policy-options policy-statement send-direct term 1 from protocol direct set policy-options policy-statement send-direct term 1 then accept set policy-options policy-statement send-static term 1 from protocol static set policy-options policy-statement send-static term 1 then accept set routing-options static route 10.0.0.0/30 next-hop 10.1.0.1 set routing-options static route 172.16.2.0/24 discard set routing-options static route 172.16.3.0/24 discard set routing-options static route 172.16.4.0/24 discard set routing-options static route 172.16.5.0/24 discard set routing-options static route 172.16.6.0/24 discard set routing-options static route 172.16.7.0/24 discard set routing-options autonomous-system 300
Procédure étape par étape
Pour regrouper les préfixes source et de destination dans une classe de transfert :
-
Créez les interfaces de routeur sur le routeur PE.
[edit interfaces] set et-1/2/0 unit 0 family inet accounting source-class-usage output set et-1/2/0 unit 0 family inet address 10.0.0.2/30 set et-1/2/1 unit 0 family inet accounting source-class-usage input set et-1/2/1 unit 0 family inet accounting destination-class-usage set et-1/2/1 unit 0 family inet address 10.1.0.1/30 set lo0 unit 0 family inet address 192.168.0.2/32
-
Configurez BGP sur le routeur PE.
[edit] set protocols bgp group ext type external set protocols bgp group ext export send-direct set protocols bgp group ext neighbor 10.0.0.1 peer-as 100 set protocols bgp group ext neighbor 10.1.0.2 peer-as 300
-
Configurez le numéro du système autonome (AS) du routeur PE.
[edit] set routing-options autonomous-system 200
-
Configurez la stratégie DCU sur le routeur PE.
[edit] set policy-options policy-statement dcu_class term class-1 from route-filter 172.16.5.0/24 orlonger set policy-options policy-statement dcu_class term class-1 then destination-class dcu-1
-
Configurez la stratégie SCU sur le routeur PE.
[edit] set policy-options policy-statement scu_class term class-1 from route-filter 172.16.2.0/24 orlonger set policy-options policy-statement scu_class term class-1 then source-class scu-1
-
Appliquez les stratégies à la table de transfert sur le routeur PE.
[edit] set routing-options forwarding-table export dcu_class set routing-options forwarding-table export scu_class
-
Créez le filtre sur le routeur PE.
[edit] set firewall family inet filter f1 from protocol icmp then count c1
-
Liez le filtre aux points de liaison de classe source et de classe de destination sur le routeur PE.
Liaison du filtre à l’utilisation de la classe de destination.
[edit] set routing-options forwarding-table destination-class dcu-1 family inet filter f1
Liaison du filtre à l’utilisation de la classe source.
[edit] set routing-options forwarding-table source-class scu-1 family inet filter f1
-
(Facultatif) Configurez une stratégie de routage qui annonce les routes directes sur le routeur PE.
[edit] set policy-options policy-statement send-direct term 1 from protocol direct set policy-options policy-statement send-direct term 1 then accept
Résultats
À partir du mode de configuration , confirmez votre configuration en exécutant les show interfacescommandes , show protocols, show policy-optionset show routing-options sur le routeur PE. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
show interfaces
et-1/2/0 {
unit 0 {
family inet {
address 10.0.0.2/30;
}
}
}
et-1/2/1 {
unit 0 {
family inet {
accounting {
source-class-usage { input;
}
}
address 10.1.0.1/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.2/32;
}
}
}
show interface statistics et-1/2/0
Physical interface: et-1/2/0:0, Enabled, Physical link is Up
Interface index: 1087, SNMP ifIndex: 622
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled,
Source filtering: Disabled, Flow control: Enabled, Media type: Fiber Device flags : Present Running
Interface flags: SNMP-Traps
CoS queues : 8 supported, 8 maximum usable queues
Current address: e4:5d:37:4e:e8:40, Hardware address: e4:5d:37:4e:e8:40 Last flapped : 2021-03-16 09:33:43 PDT (03:39:51 ago)
Statistics last cleared: 2021-03-16 13:13:01 PDT (00:00:33 ago) Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps) Input errors: 0, Output errors: 0 Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 0
Errored blocks 0
PRBS Mode : Disabled
Interface transmit statistics: Disabled Link Degrade :
Link Monitoring : Disable
Logical interface et-1/2/0:0.0 (Index 1047) (SNMP ifIndex 673)
Flags: Up SNMP-Traps
Encapsulation: ENET2
Input packets : 14
Output packets: 6
Protocol inet, MTU: 1500
Flags: Sendbcast-pkt-to-re, SCU-out
Packets Bytes
Source class (packet-per-second) (bits-per-second)
scu-1 6 504
( 0)( 0)
Addresses, Flags: Is-Preferred Is-Primary
Destination: 44.4.4/24, Local: 44.4.4.4, Broadcast: 44.4.4.255
Protocol inet6, MTU: 1500
Flags: None, SCU-out
Packets Bytes
Source class (packet-per-second) (bits-per-second)
scu-1 0 0
( 0) ( 0)
Addresses, Flags: Is-Preferred Is-Primary
Destination: 4001::/64, Local: 4001::4001
Addresses, Flags: Is-Preferred
Destination: fe80::/64, Local: fe80::e65d:37ff:fe4e:e840
Protocol multiservice, MTU: Unlimited
Flags: None
show firewall Filter: f1 Counters: Name Bytes Packets c1 0 0 Filter: v4_instance_new-scu-scu-1 Counters: Name Bytes Packets c_v4_instance_new-scu-scu-1 504 6 Filter: v6_instance_new-scu-scu-1 Counters: Name Bytes Packets c_v6_instance_new-scu-scu-1 0 0
show policy-options
policy-statement dcu_class {
term class-1 {
from {
route-filter 172.16.5.0/24 orlonger;
}
then destination-class dcu-1;
}
}
policy-statement scu_class {
term class-1 {
from {
route-filter 172.16.2.0/24 orlonger;
}
then source-class scu-1;
}
}
policy-statement send-direct {
term 1 {
from protocol direct;
then accept;
}
}
show routing-options
autonomous-system 200;
forwarding-table {
export [ dcu_class scu_class ];
}Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.