Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP multiprotocolo

Descripción de BGP multiprotocolo

El BGP multiprotocolo (MP-BGP) es una extensión de BGP que permite BGP transporte de la información de enrutamiento de varias capas de red y familias de direcciones. Los BGP MP pueden llevar las rutas de unidifusión utilizadas para el enrutamiento de multidifusión por separado de las rutas utilizadas para el reenvío de IP de unidifusión.

Para habilitar el BGP MP, configure BGP de manera que transporte la información de accesibilidad de la capa de red (NLRI) para las familias de direcciones family inet distintas de IPv4 de unidifusión, incluyendo la siguiente instrucción:

Para activar BGP MP para llevar NLRI para la familia de direcciones IPv6, incluya la family inet6 siguiente instrucción:

Únicamente en el caso de los enrutadores, para permitir que el MP-BGP transporte de una red privada virtual (VPN) de capa 3 para la familia de direcciones IPv4, incluya la family inet-vpn siguiente instrucción:

Únicamente en el caso de los enrutadores, para permitir que el módulo MP-BGP transporte la NLRI VPN de capa 3 para la familia de direcciones IPv6, incluya la family inet6-vpn instrucción:

Únicamente en los enrutadores, para permitir que el BGP MP lleve NLRI VPN de multidifusión para la familia de direcciones IPv4 y para habilitar la family inet-mvpn señalización VPN, incluya la siguiente instrucción:

Para permitir que el BGP MP lleve NLRI VPN de multidifusión para la familia de direcciones IPv6 y para habilitar la señalización family inet6-mvpn VPN, incluya la siguiente instrucción:

Para obtener más información acerca de VPN multiprotocolo multidifusión basadas en BGP, consulte la Guía del usuario de Junos os multicast Protocols.

Para obtener una lista de los niveles de jerarquía en los que puede incluir estas instrucciones, consulte las secciones de Resumen de extractos de estos extractos.

Nota:

Si cambia la familia de direcciones especificada en el [edit protocols bgp family] nivel de la jerarquía, se eliminarán y se restablecerán todas las sesiones de BGP actuales del dispositivo de enrutamiento.

En Junos OS versión 9,6 y posteriores, puede especificar un valor bucles para una familia específica de direcciones BGP.

De forma predeterminada, BGP iguales del mismo nivel sólo transportan rutas de unidifusión para fines de reenvío de unidifusión. Para configurar BGP iguales de manera que solo transporten rutas de multidifusión, especifique la multicast opción. Para configurar BGP iguales de manera que transporten rutas de unidifusión y de multidifusión, especifique la any opción.

Cuando se configura MP-BGP, BGP instala las rutas del BGP MP en distintas tablas de enrutamiento. Cada tabla de enrutamiento se identifica por la familia de protocolos o el indicador de familia de direcciones (AFI) y un identificador subsiguiente de familia de direcciones (SAFI).

En la siguiente lista se muestran todas las combinaciones posibles AFI y SAFI:

  • AFI = 1, SAFI = 1, unidifusión IPv4

  • AFI = 1, SAFI = 2, multidifusión IPv4

  • AFI = 1, SAFI = 128, L3VPN unicast de IPv4

  • AFI = 1, SAFI = 129, L3VPN de multidifusión IPv4

  • AFI = 2, SAFI = 1, unidifusión IPv6

  • AFI = 2, SAFI = 2, multidifusión IPv6

  • AFI = 25, SAFI = 65, BGP-VPLS/BGP-L2VPN

  • AFI = 2, SAFI = 128, L3VPN IPv6 unicast

  • AFI = 2, SAFI = 129, multidifusión de L3VPN IPv6

  • AFI = 1, SAFI = 132, RT-restringir

  • AFI = 1, SAFI = 133, especificación de flujo

  • AFI = 1,1, SAFI = 134, Flow-specs

  • AFI = 3, SAFI = 128, CLNS VPN

  • AFI = 1, SAFI = 5, GN-MVPN IPv4

  • AFI = 2, SAFI = 5, GN-MVPN IPv6

  • AFI = 1, SAFI = 66, MDT-SAFI

  • AFI = 1, SAFI = 4, con etiqueta IPv4

  • AFI = 2, SAFI = 4, etiquetada como IPv6 (6PE)

Las rutas instaladas en la tabla de enrutamiento inet. 2 solo se pueden exportar a los sistemas del mismo nivel BGP MP porque usan el SAFI, lo que los identifica como rutas a orígenes de multidifusión. Las rutas instaladas en la tabla de enrutamiento inet. 0 solo se pueden exportar a los BGP de los equipos del mismo nivel.

La tabla de enrutamiento inet. 2 debe ser un subconjunto de las rutas que tenga en inet. 0, ya que es poco probable que tenga una ruta a una fuente de multidifusión a la que no haya podido enviar tráfico de unidifusión. La tabla de enrutamiento inet. 2 almacena las rutas de unidifusión que se utilizan para las comprobaciones de reenvío de rutas de acceso inversas de multidifusión y la información de disponibilidad adicional obtenida por MP-BGP a partir de las actualizaciones de multidifusión NLRI. Al configurar el BGP anyMP, se crea automáticamente una tabla de enrutamiento inet. 2.

Cuando habilite el BGP MP, puede hacer lo siguiente:

Limitar el número de prefijos recibidos en una sesión BGP del mismo nivel

Puede limitar el número de prefijos recibidos en una sesión de par BGP y los mensajes con velocidad de registro limitada cuando el número de prefijos insertados supere un límite establecido. También puede recortar el emparejamiento cuando el número de prefijos supere el límite.

Para configurar un límite en el número de prefijos que se pueden recibir en una sesión de BGP, prefix-limit incluya la siguiente instrucción:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

Para maximum number , especifique un valor comprendido entre 1 y 4.294.967.295. Cuando se supera el número máximo especificado de prefijos, se envía un mensaje de registro del sistema.

Si incluye la teardown instrucción, la sesión se anulará cuando se supere el número máximo de prefijos. Si especifica un porcentaje, los mensajes se registrarán cuando el número de prefijos supere ese porcentaje del límite máximo especificado. Una vez desactivada la sesión, se restablece en un breve período de tiempo (a menos que idle-timeout incluya la instrucción). Si incluye la idle-timeout instrucción, la sesión se puede mantener presionada durante un periodo de tiempo especificado o para siempre. Si lo especifica forever, la sesión sólo se restablece después de emitir un clear bgp neighbor comando.

Nota:

En Junos OS versión 9,2 y posteriores, también puede configurar un límite para el número de prefijos que se pueden aceptar en una sesión de par BGP. Para obtener más información, Limitar el número de prefijos aceptados en una sesión de BGP del mismo nivelconsulte.

Limitar el número de prefijos aceptados en una sesión de BGP del mismo nivel

En Junos OS versión 9,2 y posteriores, puede limitar el número de prefijos que se pueden aceptar en una sesión de par BGP. Cuando se supere ese límite especificado, se enviará un mensaje de registro del sistema. También puede especificar que se restablezca la sesión de BGP si se supera el límite del número de prefijos especificados.

Para configurar un límite en el número de prefijos que pueden aceptarse en una sesión de par BGP, accepted-prefix-limit incluya la siguiente instrucción:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

Para maximum number , especifique un valor comprendido entre 1 y 4.294.967.295.

Incluya la teardown instrucción para restablecer la sesión par BGP cuando el número de prefijos aceptados supere el límite configurado. También puede incluir un valor porcentual del 1 al 100 para que se envíe un mensaje de registro del sistema cuando el número de prefijos aceptados supere el porcentaje del límite máximo. De forma predeterminada, una sesión de BGP que se restablece se vuelve a establecer en un plazo de tiempo breve. Incluya la idle-timeout instrucción para impedir que la sesión de BGP se restablezca durante un período de tiempo especificado. Puede configurar un valor de tiempo de espera de 1 a 2400 minutos. Incluya la forever opción de impedir que la sesión de BGP se restablezca hasta que se emita el clear bgp neighbor comando.

Nota:

Cuando el enrutamiento activo no detenido (INE) está habilitado y se produce un cambio en el motor de enrutamiento de la copia de seguridad, BGP iguales que estén fuera de servicio se reiniciarán automáticamente. Los elementos del mismo nivel se reiniciarán aunque idle-timeout forever la instrucción esté configurada.

Nota:

De manera alternativa, puede configurar un límite para el número de prefijos que se pueden recibir (en oposición a la aceptado) en una sesión de par BGP. Para obtener más información, Limitar el número de prefijos recibidos en una sesión BGP del mismo nivelconsulte.

Configuración BGP grupos de tablas de enrutamiento

Cuando una sesión de BGP recibe una NLRI de unidifusión o multidifusión, instala la ruta en la tabla adecuada ( inet.0 o inet6.0 para unidifusión, y inet.2 o inet6.2 para multidifusión). Para agregar prefijos de unidifusión a las tablas de unidifusión y de multidifusión, puede configurar BGP grupos de tablas de enrutamiento. Esto resulta útil si no se puede realizar la negociación de NLRI de multidifusión.

Para configurar BGP grupos de tablas de enrutamiento, rib-group incluya la siguiente instrucción:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

Resolución de rutas a dispositivos de enrutamiento de PE ubicados en otros

Puede permitir que las rutas etiquetadas se sitúen en la inet.3 tabla de enrutamiento para la resolución de ruta. Estas rutas se resuelven para las conexiones del dispositivo de enrutamiento perimetral de proveedor (PE), donde el PE remoto se encuentra en otro sistema autónomo (AS). Para que un dispositivo de enrutamiento PE Instale una ruta en la instancia de enrutamiento de enrutamiento y reenvío VPN (VRF), el siguiente salto debe resolverse en una ruta almacenada dentro de la inet.3 tabla.

Para resolver rutas en la inet.3 tabla de enrutamiento, incluya la resolve-vpn instrucción:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

Permitir rutas etiquetadas y sin etiqueta

Puede permitir que se intercambien tanto las rutas etiquetadas como las no etiquetadas en una sola sesión. Las rutas etiquetadas se colocan en la tabla de enrutamiento inet. 3 o inet 6.3, y las rutas de unidifusión con etiqueta y sin etiqueta pueden ser enviadas o recibidas por el dispositivo de enrutamiento.

Para permitir que se intercambien tanto las rutas etiquetadas como las no etiquetadas, rib incluya la instrucción:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

Ejemplo Configurar IPv6 BGP rutas a través de un transporte IPv4

En este ejemplo se muestra cómo exportar prefijos de IPv6 y IPv4 a través de una conexión IPv4, en la que ambos lados están configurados con una interfaz IPv4.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

Al exportar prefijos de BGP IPv6, tenga en cuenta lo siguiente:

  • BGP deriva los prefijos de próximo salto mediante el prefijo IPv6 asignado a IPv4. Por ejemplo, el prefijo 10.19.1.1 IPv4 de siguiente salto se traduce en el prefijo IPv6 Next-hop:: ffff: 10.19.1.1.

    Nota:

    Debe haber una ruta activa al siguiente salto IPv6 asignado por IPv4 para exportar los prefijos de BGP IPv6.

  • Debe configurarse una conexión IPv6 sobre el vínculo. La conexión debe ser un túnel IPv6 o una configuración de pila doble. El agrupamiento dual se utiliza en este ejemplo.

  • Cuando configure prefijos IPv6 asignados a IPv4, utilice una máscara de más de 96 bits.

  • Configure una ruta estática Si desea utilizar prefijos IPv6 normales. Este ejemplo utiliza rutas estáticas.

Figura 1muestra la topología de ejemplo.

Figura 1: Topología para configurar IPv6 BGP rutas a través de un transporte IPv4Topología para configurar IPv6 BGP rutas a través de un transporte IPv4

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Dispositivo R1

Dispositivo R2

Dispositivo R3

Configuración del dispositivo R1

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar el dispositivo R1:

  1. Configure las interfaces, incluida la dirección IPv4 y la dirección IPv6.

  2. Configure EBGP.

  3. Permitir que BGP lleve a cabo rutas IPv4 unidifusión e IPv6 de unidifusión. .

    Las rutas IPv4 de unidifusión están habilitadas de forma predeterminada. Aquí se muestra la configuración para que esté completa.

  4. Configure la Directiva de enrutamiento.

  5. Configure algunas rutas estáticas.

  6. Configure el sistema autónomo (AS) como número.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show policy-optionsescriba show protocolslos comandos show routing-options ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración. Repita la configuración en el dispositivo R2 y el dispositivo R3, y cambie los nombres y las direcciones IP, según sea necesario.

Comproba

Confirme que la configuración funciona correctamente.

Comprobar el estado del vecino

Purpose

Asegúrese de que BGP está habilitado para portar rutas de unidifusión IPv6.

Intervención

En modo operativo, escriba el show bgp neighbor comando.

Efectos

Las distintas ocurrencias de inet6-unicast en el resultado muestran que BGP está habilitado para portar rutas de unidifusión IPv6.

Comprobar la tabla de enrutamiento

Purpose

Asegúrese de que el dispositivo R2 tiene rutas BGP en su tabla de enrutamiento inet 6.0.

Intervención

En modo operativo, escriba el show route protocol bgp inet6.0 comando.

Introducción a las rutas IPv4 de publicidad a través de BGP IPv6

En una red IPv6, BGP suele anunciar información de alcance de red IPv6 en una sesión IPv6 entre BGP equipos del mismo nivel. En versiones anteriores, Junos OS admitía el intercambio de una unidifusión inet6, una multidifusión inet6 o una propiedad inet6 de una sola familia de direcciones de unidifusión. Esta característica permite el intercambio de todas BGP familias de direcciones. En un entorno de pila doble que tenga IPv6 en su núcleo. Esta característica permite que BGP anuncie el alcance de unidifusión IPv4 con IPv4 Next hop over a una sesión de BGP IPv6.

Esta característica es solo para sesiones de BGP IPv6, donde IPv4 está configurado en ambos puntos de conexión. local-ipv4-address Puede ser una dirección de bucle invertido o cualquier dirección IPv4 para una IBGP o una sesión de EBGP de varios saltos. Para los altavoces externos BGP de un solo salto que no forman parte de Confederaciones BGP, si la dirección IPv4 local configurada no está conectada directamente, la sesión BGP se cierra y permanece inactiva y se genera un error, que se muestra en show bgp neighbor el resultado del comando .

Para habilitar la publicidad de rutas IPv4 a través de local-ipv4-address una sesión IPv6, configure lo siguiente:

Nota:

No puede configurar esta característica para las familias de direcciones inet6 de unidifusión, multidifusión inet6 o inet6 con etiqueta de unidifusión, porque BGP ya tiene la capacidad de anunciar estas familias de direcciones a través de una sesión de BGP IPv6.

El configurado local-ipv4-address solo se utiliza cuando BGP anuncia rutas con salto propio. Cuando IBGP anuncia rutas aprendidas de EBGP de iguales o el reflector de enrutamiento anuncia BGP rutas a sus clientes, BGP no cambia el siguiente salto de ruta, omite el configurado local-ipv4-address, y usa el siguiente salto IPv4 original.

Ejemplo Anuncio de rutas IPv4 a través de sesiones de BGP de IPv6

En este ejemplo se muestra cómo anunciar rutas IPv4 a través de BGP sesión de IPv6. En un entorno de doble pila que tenga IPv6 en su núcleo, existe la necesidad de llegar a hosts IPv4 remotos. Por lo tanto, BGP anuncia rutas IPv4 con próximos saltos IPv4 para BGP los interlocutores a través de BGP sesiones que usan direcciones IPv6 de origen y destino. Esta característica permite que BGP anuncie la accesibilidad IPv4 de unidifusión con IPv4 Next hop over IPv6 BGP sesiones.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres enrutadores con capacidad de doble apilamiento

  • Junos OS la versión 16,1 o posterior que se ejecuta en todos los dispositivos

Antes de habilitar los anuncios de IPv4 a través de las sesiones de BGP de IPv6, asegúrese de lo siguiente:

  1. Configure las interfaces del dispositivo.

  2. Configure el apilamiento doble en todos los dispositivos.

Descripción general

A partir de la versión 16,1, Junos OS permite que BGP anuncie el alcance de unidifusión IPv4 con IPv4 Next hop over a una sesión BGP de IPv6. En versiones Junos OS anteriores, BGP sólo podía anunciar unidifusión, inet6 de multidifusión y inet6 de las familias de direcciones de unidifusión a través de sesiones de BGP IPv6. Esta característica permite BGP intercambiar todas las familias de direcciones BGP a través de una sesión IPv6. Puede permitir que BGP anuncien rutas IPv4 con próximos saltos IPv4 a BGP interlocutores en una sesión IPv6. El configurado local-ipv4-address solo se utiliza cuando BGP anuncia rutas con salto propio.

Nota:

No puede configurar esta característica para las familias de direcciones inet6 de unidifusión, multidifusión inet6 o inet6 con etiqueta de unidifusión, porque BGP ya tiene la capacidad de anunciar estas familias de direcciones a través de una sesión de BGP IPv6.

Topología

En Figura 2 , se ejecuta una sesión de BGP externa de IPv6 entre los enrutadores R1 y R2. Se establece una sesión IBGP IPv6 entre el enrutador R2 y el enrutador R3. Las rutas estáticas de IPv4 se redistribuyen al BGP en R1. Para redistribuir las rutas IPv4 sobre la sesión BGP de IPv6, la nueva característica debe estar habilitada en todos los enrutadores del nivel de [edit protocols bgp address family] jerarquía.

Figura 2: Anuncio de rutas IPv4 a través de sesiones de BGP de IPv6Anuncio de rutas IPv4 a través de sesiones de BGP de IPv6

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Enrutador R1

Enrutador R2

Enrutador R3

Configuración del enrutador R1

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.

Para configurar el enrutador R1:

Nota:

Repita este procedimiento para otros enrutadores después de modificar los nombres de interfaz, direcciones y otros parámetros adecuados.

  1. Configure las interfaces con direcciones IPv4 e IPv6.

  2. Configure la dirección de bucle invertido.

  3. Configure una ruta estática IPv4 que deba anunciarse.

  4. Configurar el sistema autónomo para hosts BGPs.

  5. Configure EBGP en los enrutadores de borde externos.

  6. Habilite esta característica para anunciar 140.1.1.1 IPv4 adddress a través de sesiones de BGP IPv6.

  7. Defina una directiva P1 para aceptar todas las rutas estáticas.

  8. Aplique la Directiva P1 en EBGP Group EBGP-V6.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show protocolsescriba show routing-optionslos comandos show policy-options ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando que la sesión BGP está en funcionamiento

Purpose

Compruebe que BGP se está ejecutando en las interfaces configuradas y que la sesión de BGP está activa para cada dirección de vecino.

Intervención

Desde el modo operativo, ejecute el show bgp summary comando en el enrutador R1.

Efectos

La sesión de BGP está en funcionamiento y se ha establecido BGP interconexión.

Comprobando que la dirección IPv4 se está anunciando

Purpose

Compruebe que el enrutador R1 anuncia la dirección IPv4 configurada a los vecinos BGP configurados.

Intervención

Desde el modo operativo, ejecute el show route advertising-protocol bgp ::150.1.1.2 comando en el enrutador R1.

Efectos

La ruta estática IPv4 se está anunciando al enrutador vecino BGP R2.

Comprobando que el enrutador vecino de BGP R2 recibe la dirección IPv4 anunciada

Purpose

Compruebe que el enrutador R2 recibe la dirección IPv4 que el enrutador R1 está anunciando hacia el vecino BGP a través de IPv6.

Intervención
Efectos

La presencia de la ruta IPv4 estática en la tabla de enrutamiento R2's del enrutador indica que está recibiendo las rutas IPv4 anunciadas desde el enrutador R1.

Descripción de la redistribución de rutas IPv4 con IPv6 Next hop into BGP

En una red que transporta principalmente tráfico IPv6, es necesario enrutar rutas IPv4 cuando sea necesario. Por ejemplo, Internet Operador de Telecomunicaciones que tenga una red sólo IPv6, pero que tenga clientes que enruten aún el tráfico IPv4. En este caso, es necesario satisfacer a dichos clientes y reenviar el tráfico IPv4 a través de una red IPv6. Tal como se describe en RFC 5549, anunciando información de accesibilidad de ipv4 capa de red con un próximo salto de IPv6 el tráfico de IPv4 se realiza por túnel desde los dispositivos CPE del equipo local o de cliente a las puertas de enlace IPv4 a través de IPv6. Estas puertas de enlace se anuncian a los dispositivos CPE a través de direcciones de difusión por proximidad. A continuación, los dispositivos de puerta de enlace crean túneles IPv4 sobre IPv6 dinámicos a dispositivos CPE remotos y anuncian rutas agregadas de IPv4 para dirigir el tráfico.

Nota:

La funcionalidad de túnel IPv4 a través de IPv6 dinámica no soporta la emisión unificada en Junos OS versiones de 17.3 R1.

Los catadióptricos de ruta (RR) con una interfaz programable se conectan a través de IBGP a los enrutadores de puerta de enlace y las rutas de host con dirección IPv6 como el siguiente salto. Estos RR anuncian las direcciones IPv4/32 para inyectar la información de túnel en la red. Los enrutadores de puerta de enlace crean túneles dinámicos IPv4 a través de IPv6 al perímetro del proveedor del cliente remoto. El enrutador de la puerta de enlace anuncia también las rutas de agregado de IPv4 para dirigir el tráfico. A continuación, el RR anuncia las rutas de origen del túnel al ISP. Cuando el RR quita la ruta de túnel, BGP también retira la ruta que hace que se deje de usar el túnel y que no se pueda alcanzar el CPE. El enrutador de la puerta de enlace también retira las rutas de agregado IPv4 y las rutas de origen de túnel IPv6 cuando se quitan todas las rutas de colaborador de agregados. El enrutador de la puerta de enlace envía la revocación de la ruta cuando el delimitador motor de reenvío de paquetes tarjeta de línea se redirige a otros enrutadores de puerta de enlace.

Las siguientes extensiones se introducen para admitir rutas de IPv4 con un próximo salto en IPv6:

BGP la codificación del próximo salto

BGP se extiende con la capacidad de codificación del próximo salto que se usa para enviar rutas IPv4 con próximos saltos en IPv6. Si esta capacidad no está disponible en el interlocutor remoto, el BGP agrupará a los interlocutores basándose en esta capacidad de codificación y quitará BGP familia sin capacidad de codificación de la lista de información de accesibilidad de la capa de red negociada (NLRI). Junos OS sólo permite una tabla de resolución como inet. 0. Para permitir rutas BGP IPv4 con IPv6 HOPS próximos saltos BGP crea un nuevo árbol de resolución. Esta característica permite que una tabla de enrutamiento Junos OS tenga varios árboles de resolución.

Además de RFC 5549, anuncio de información de accesibilidad de IPv4 capa de red con un próximo salto IPv6 una nueva comunidad de encapsulación especificada en RFC 5512, la encapsulación BGP siguiente identificador de familia de direcciones (Safi) y el atributo de encapsulación de túnel de BGP se introduce para determinar la familia de direcciones de la dirección de salto siguiente. La comunidad de encapsulación indica el tipo de túneles que debe crear el nodo de entrada. Cuando BGP recibe rutas IPv4 con la dirección de próximo salto de IPv6 y la comunidad de encapsulación V4oV6, BGP crea túneles dinámicos IPv4 a través de IPv6. Cuando BGP recibe rutas sin la comunidad de encapsulación, BGP rutas se resuelven sin crear el túnel V4oV6.

Una nueva acción dynamic-tunnel-attributes dyan-attribute de directiva está disponible en [edit policy-statement policy name term then] el nivel de jerarquía para admitir la nueva encapsulación extendida.

Localización de túnel

La infraestructura de túnel dinámico se ha mejorado con la localización de túnel para admitir un mayor número de túneles. Es necesario localizar el túnel para poder controlar el tráfico cuando se produce un error en el anclaje. Una o más de las copias de seguridad de los chasis y la del proceso de protocolo de enrutamiento (RPD) dirigen el tráfico alejándose del punto de fallo hasta el chasis de copia de seguridad. El chasis anuncia solamente estos prefijos agregados en lugar de las direcciones de bucle de retorno individuales en la red.

Control de túnel

Los túneles IPv4 a través de IPv6 utilizan la infraestructura de túnel dinámico junto con el anclaje de túnel para soportar la escala ancha de chasis requerida. El estado del túnel se localiza en una motor de reenvío de paquetes y los demás motores de reenvío de paquetes dirigen el tráfico hacia el delimitador de túnel.

Entrada de túnel

La entrada de túnel o la encapsulación de túnel reenvía el tráfico de red hacia el sitio del cliente. Cuando el estado del túnel está presente en el motor de reenvío de paquetes en el que se especifica el tráfico del chasis, el proceso de protocolo de enrutamiento (RPD) usa el siguiente procedimiento para redistribuir rutas IPv4 a través de túneles IPv6:
Figura 3: Tratamiento de la entrada de túnel cuando el estado del túnel está disponible en el mismo PFETratamiento de la entrada de túnel cuando el estado del túnel está disponible en el mismo PFE
Figura 4: Tratamiento de la entrada de túnel cuando el estado del túnel está en un PFE diferenteTratamiento de la entrada de túnel cuando el estado del túnel está en un PFE diferente
  1. Encapsula el tráfico IPv4 dentro del encabezado IPv6.

    La aplicación de la unidad de transmisión máxima (MTU) se realiza antes de la encapsulación. Si el tamaño del paquete encapsulado supera el UMT del túnel y DF-bit no se establece el paquete IPv4, el paquete se fragmenta y estos fragmentos se encapsulan.

  2. Utiliza el equilibrio de carga de tráfico basado en hash en los encabezados de paquetes internos.

  3. Envía el tráfico a la dirección IPv6 de destino. La dirección IPv6 se toma del encabezado IPv6.

Salida de túnel

Salida de túnel reenvía el tráfico del equipo local del cliente al lado de la red.
Figura 5: El control de salida de túnel cuando el estado de túnel está disponible en el mismo PFEEl control de salida de túnel cuando el estado de túnel está disponible en el mismo PFE
Figura 6: El control de salida de túnel cuando el estado de túnel está disponible en un PFE remotoEl control de salida de túnel cuando el estado de túnel está disponible en un PFE remoto
  1. Decapsulates el paquete IPv4 presente en el paquete IPv6.

  2. Realiza la comprobación antiphishing para garantizar que el par IPv6, IPv4 coincida con la información que se utilizó para configurar el túnel.

  3. Busca la dirección de destino IPv4 desde el encabezado IPv4 del paquete Decapsulated y reenvía el paquete a la dirección IPv4 especificada.

Control de errores de equilibrio de carga de túnel y motor de reenvío de paquetes de delimitadores

El motor de reenvío de paquetes error se debe manejar rápidamente para evitar el filtrado de ruta nula del tráfico de túnel anclado en el motor de reenvío de paquetes. La localización de túnel implica el uso de BGP anuncios para reparar el fallo de forma global. El tráfico de túnel se desvía del punto de fallo a otro chasis de copia de seguridad que contenga un estado de túnel idéntico. Para equilibrar la carga de tráfico, el chasis se configura para anunciar distintos valores discriminadores de varios salidas (MED) para cada uno de los conjuntos de prefijos, de modo que sólo el tráfico de una cuarta parte de los túneles atraviese cada chasis. El tráfico de CPE también se maneja de manera similar, configurando el mismo conjunto de direcciones de difusión por proximidad en cada chasis y supercarase sólo una cuarta parte de tráfico hacia cada chasis.

Motor de reenvío de paquetes de delimitación es la entidad única que realiza todo el procesamiento de un túnel. El delimitador motor de reenvío de paquetes selección se realiza a través del aprovisionamiento estático y se relaciona con el motor de reenvío de paquetes las interfaces físicas. Cuando uno de los motores de reenvío de paquetes deja de funcionar, el daemon marca todos los motores de reenvío de paquetes en la tarjeta de línea y comunica esta información al proceso de protocolo de enrutamiento de proceso de protocolo de enrutamiento y a otros daemons. El proceso de protocolo de enrutamiento envía BGP retiradas para los prefijos delimitados en el motor de reenvío de paquetes con errores y las direcciones IPv6 asignadas a la motor de reenvío de paquetes que está inactiva. Estos anuncios reenrutan el tráfico hacia otro chasis de copia de seguridad. Cuando el motor de reenvío de paquetes fallido, el chasis marca la motor de reenvío de paquetes como up y actualiza el proceso del Protocolo de enrutamiento. El proceso del Protocolo de enrutamiento se activa BGP las actualizaciones a sus iguales que los túneles a la motor de reenvío de paquetes específica están ahora disponibles para enrutar el tráfico. Este proceso puede tardar unos minutos para la configuración del túnel de gran escala. Por lo tanto Ack , el mecanismo se integra en el sistema para garantizar una mínima pérdida de tráfico a la vez que se cambia el tráfico al chasis original.

Estadísticas de secuencia de bucle invertido de túnel

La infraestructura de túnel dinámico utiliza secuencias de bucle invertido en motor de reenvío de paquetes para recorrer el paquete después de la encapsulación. Dado que el ancho de banda de esta secuencia de bucle invertido es limitado, es necesario supervisar el rendimiento de las secuencias de bucle invertido de túnel.

Para supervisar las estadísticas de la secuencia de bucle invertido, utilice el show pfe statistics traffic detail comando operativo que muestra las estadísticas de secuencias de bucle invertido agregadas, como la velocidad de envío, la velocidad del paquete de caída y la velocidad de bytes.

Configuración BGP para redistribuir rutas IPv4 con direcciones de próximos saltos en IPv6

A partir de la versión 17.3 R1, Junos OS dispositivos pueden reenviar el tráfico IPv4 a través de una red solo IPv6, que generalmente no puede reenviar el tráfico IPv4. Como se describe en RFC 5549, el tráfico de IPv4 se canaliza desde los dispositivos CPE a las puertas de enlace IPv4 a través de IPv6. Estas puertas de enlace se anuncian a los dispositivos CPE a través de direcciones de difusión por proximidad. A continuación, los dispositivos de puerta de enlace crean túneles IPv4 sobre IPv6 dinámicos en el equipo local del cliente remoto y anuncian rutas de agregado IPv4 para dirigir el tráfico. Los catadióptricos de ruta con interfaces programables inyectan la información de túnel en la red. Los catadióptricos se conectan a través de IBGP a enrutadores de puerta de enlace, que anuncian las direcciones IPv4 de rutas de host con direcciones IPv6 como el siguiente salto.

Nota:

La funcionalidad de túnel IPv4 a través de IPv6 dinámica no soporta la emisión unificada en Junos OS versiones de 17.3 R1.

Antes de empezar a configurar BGP para distribuir rutas IPv4 con las direcciones IPv6 de próximo salto, haga lo siguiente:

  1. Configure las interfaces del dispositivo.

  2. Configure OSPF o cualquier otro protocolo de IGP.

  3. Configure MPLS y LDP.

  4. Configure BGP.

Para configurar BGP para distribuir rutas IPv4 con las direcciones IPv6 de próximo salto:

  1. Configure la opción de codificación de siguiente salto extendida para grupos de BGP con interlocutores IPv6 para enrutar familias de direcciones IPv4 a través de una sesión IPv6.
  2. Configure túneles IPv4 a través de IPv6 dinámicos y defina sus atributos para reenviar el tráfico IPv4 a través de una red solo IPv6. El tráfico IPv4 se canaliza desde los dispositivos CPE a puertas de enlace IPv4 a través de IPv6.
  3. Configure los atributos de túnel.

    Por ejemplo, configure un túnel dinámico first_tunnel con los siguientes atributos:

  4. Defina una directiva para asociar el perfil de atributo de túnel dinámico configurado a una lista de prefijos o a un filtro de ruta.

    Por ejemplo, defina la política de dynamic_tunnel_policy para asociar los atributos de first_tunnel de túnel dinámico solo al encabezado de tráfico a una ruta específica 2.2.2.2/32.

  5. Exporte la Directiva definida.

    Por ejemplo, exporte la política de dynamic_tunnel_policy configurada.

Habilitar la señalización VPN y VPLS de capa 2

Puede habilitar BGP para transportar los mensajes VPN de capa 2 y VPLS NLRI.

Para activar la señalización VPN y VPLS, incluya family la siguiente instrucción:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

Para configurar un número máximo de prefijos, incluya prefix-limit la instrucción:

Para obtener una lista de los niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de Resumen de Estados de cuenta de este extracto.

Cuando se establece el número máximo de prefijos, se registra un mensaje cuando se alcanza ese número. Si incluye la teardown instrucción, la sesión se anula cuando se alcanza el número máximo de prefijos. Si especifica un porcentaje, se registrarán los mensajes cuando el número de prefijos alcance dicho porcentaje. Una vez que la sesión haya finalizado, se restablecerá en un breve lapso de tiempo. Incluye la idle-timeout instrucción de mantenimiento de la sesión durante un periodo de tiempo especificado o para siempre. Si lo especifica forever, la sesión sólo se restablece después de utilizar el clear bgp neighbor comando.

Descripción de rutas de flujo de BGP para el filtrado de tráfico

Una ruta de flujo es una adición de condiciones de coincidencia para paquetes IP. Las rutas de flujo se propagan a través de la red mediante mensajes de información de accesibilidad de capa de red (NLRI) de especificación de flujo y se instalan en la tabla de enrutamiento de flujo instance-name.inetflow.0 . Los paquetes pueden viajar a través de rutas de flujo solo si se cumplen condiciones de coincidencia específicas.

Las rutas de flujo y los filtros de firewall son similares en el que filtran paquetes según sus componentes y realiza una acción en los paquetes que coinciden. Las rutas de flujo proporcionan filtrado de tráfico y capacidades de limitación de velocidad de manera muy similar a los filtros de Firewall. Además, puede propagar las rutas de flujo en distintos sistemas autónomos.

Las rutas de flujo se propagan por BGP a través de mensajes de NLRI especificación de flujo. Debe permitir que BGP propaguen estas NLRIs.

A partir de Junos OS versión 15,1, se implementan cambios para extender la compatibilidad de enrutado activo (INE) para las familias existentes de flujo de inet y de flujo inetvpn, y para ampliar la validación de rutas para BGP FLOWSPEC por el draft-ietf-IDR-BGP-FLOWSPEC-OID-01. Como parte de esta mejora se incluyen dos nuevas instrucciones. Consulte " exigir", "primero como " y " no instalar".

Nota:

A partir de Junos OS versión 16,1, la compatibilidad con IPv6 se extiende a BGP especificación de flujo que permite la propagación de reglas de especificación de flujo de tráfico para paquetes IPv6 y VPN-IPv6. BGP de la especificación de flujo automatiza la coordinación de las reglas de filtrado de tráfico con el fin de mitigar los ataques de denegación de servicio distribuidos durante el tiempo no detenido de enrutamiento activo (INE).

La especificación de flujo BGP, que comienza con Junos OS Release 16.1 R1, extended-community admite la acción de filtrado de marcado de tráfico. Para el tráfico IPv4, Junos OS modifica los bits del punto de código DiffServ (DSCP) de un paquete IPv4 en tránsito al valor correspondiente de la comunidad extendida. En el caso de los paquetes IPv6, Junos OS modifica los primeros seis bits traffic class del campo del paquete IPv6 de transmisión, hasta el valor correspondiente de la comunidad extendida.

A partir de cRPD versión 20.3R1, las rutas de flujo y las reglas de políticas propagadas a través de BGP especificación de flujo NLRI se descargan en el núcleo de Linux a través de Linux Netfilter Framework en entornos cRPD.

Condiciones de correspondencia para las rutas de flujo

Puede especificar condiciones con las que debe coincidir el paquete antes de then que se realice la acción de la instrucción para una ruta de flujo. Todas las condiciones de from la instrucción deben coincidir para que se realice la acción. El orden en el que se especifican las condiciones de coincidencia no es importante, ya que un paquete debe cumplir todas las condiciones en un término para que se produzca una coincidencia.

Para configurar una condición de coincidencia, incluya match la instrucción en [edit routing-options flow] el nivel de jerarquía.

Tabla 1describe las condiciones de coincidencia de la ruta de flujo.

Tabla 1: Condiciones de coincidencia de ruta de flujo

Condición coincidir

Descriptiva

destination prefix prefix-offset number

Campo dirección IP de destino.

Puede usar el campo opcional, el cual solo está disponible en dispositivos Junos con MPC mejorados configurados para el modo, para especificar el número de bits que se deben omitir antes de que Junos OS comience a coincidir con un prefijo prefix-offsetenhanced-ip IPv6.

destination-port number

TCP o el campo de puerto de destino UDP (Protocolo de datagramas de usuario). No puede especificar las port condiciones de destination-port coincidencia con el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los números de puertos): afs(1483), bgp (179), biff (512), (68), (67), (514), (2401), (67), (53), ( bootpcbootpscmdcvspserverdhcpdomaineklogin 2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (), (544), (), (), (389), (513), () ekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldaploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-ns (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), ( netbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusrip 520), rkinit (2108), ( smtp 25), (), ( snmpsnmptrap 162), snpp (444), socks (1080), (22), (111), (514 sshsunrpcsyslogtacacs-dstalktelnettftptimedwhoxdmcpzephyr-cltzephyr-hm ), (65), (517), (23), (69), (525), (513), (177), (2103), o (2104).

dscp number

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (TDS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal o decimal.

flow-label numeric-expression

Coincide con el valor de la etiqueta de flujo. El valor de este campo varía de 0 a 1048575.

Esta condición de coincidencia solo se admite en dispositivos Junos con MPC mejorados configurados para el enhanced-ip modo. Esta condición de coincidencia no se admite para IPv4.

fragment type

Campo tipo de fragmento. Las palabras clave se agrupan por el tipo de fragmento con el que están asociadas:

  • dont-fragment

    Nota:

    Esta opción no es compatible con IPv6.

  • first-fragment

  • is-fragment

  • last-fragment

  • not-a-fragment

Esta condición de coincidencia solo se admite en Junos OS dispositivos con MPC mejorados configurados para el enhanced-ip modo. .

icmp-code numbericmp6-code icmp6-code-value;

Campo de código de ICMP. Este valor o palabra clave proporciona información más específica icmp-typeque. Dado que el significado del valor depende del icmp-type valor asociado, debe especificarlo icmp-type junto con icmp-code .

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip-header-bad (0), required-option-missing (1)

  • redirección: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • tiempo transcedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • inalcanzable: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), ( host-unreachable 1), ( host-unreachable-for-TOS 12), network-unreachable (0), ( network-unreachable-for-TOS 11), port-unreachable (3), (15), ( precedence-cutoff-in-effectprotocol-unreachable 2), source-host-isolated (8), source-route-failed (5)

icmp-type number icmp6-type icmp6-type-value

Campo tipo de paquete ICMP. Normalmente, esta coincidencia se especifica junto con la protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), ( parameter-problem 12), redirect (5), router-advertisement (9), router-solicit (10), ( source-quench 4), time-exceeded (11), timestamp (13), timestamp-reply (14) o unreachable (3).

packet-length number

Longitud total del paquete IP.

port number

Campo de puerto de destino o de origen TCP o UDP. No puede especificar tanto la port coincidencia como la destination-port condición o source-port coincidir en el mismo término.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

protocol number

Campo protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): ah, egp(8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), tcp (6) o udp  (17).

Esta condición de coincidencia solo se admite para IPv6 en dispositivos Junos con MPC mejorados configurados para el enhanced-ip modo.

source prefixprefix-offset number

Campo dirección IP de origen.

Puede usar el campo opcional, el cual solo está disponible en dispositivos Junos con MPC mejorados configurados para el modo, para especificar el número de bits que se deben omitir antes de que Junos OS comience a coincidir con un prefijo prefix-offsetenhanced-ip IPv6.

source-port number

Campo de puerto de origen TCP o UDP. No puede especificar las port condiciones source-port de coincidencia en el mismo término.

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

tcp-flag type

Formato de encabezado de TCP.

Acciones para rutas de flujo

Puede especificar la acción que debe llevarse a cabo si el paquete coincide con las condiciones que se han configurado en la ruta de flujo. Para configurar una acción, incluya la then instrucción en el [edit routing-options flow] nivel de jerarquía.

Tabla 2describe las acciones de ruta de flujo.

Tabla 2: Modificadores de acciones de ruta de flujo

Acción o modificador de acción

Descripción

Realizadas

accept

Aceptar un paquete. Este es el valor predeterminado.

discard

Descartar un paquete de forma silenciosa, sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

community

Reemplazar cualquier comunidad en la ruta con las comunidades especificadas.

marcar valor

Establezca un valor DSCP para el tráfico que coincida con este flujo. Especifique un valor entre 0 y 63. Esta acción solo se admite en dispositivos Junos con MPC mejorados configurados para el enhanced-ip modo.

next term

Continúe con la siguiente condición de coincidencia para evaluación.

routing-instance extended-community

Especifique una instancia de enrutamiento a la que se reenvían los paquetes.

rate-limit bits-per-second

Limite el ancho de banda en la ruta de flujo. Expresar el límite en bits por segundo (BPS). Comenzando con Junos OS versión 16.1 R4, el rango de límite de velocidad se encuentra entre [0 y 1 billón].

sample

Muestree el tráfico de la ruta de flujo.

Validación de rutas de flujo

El Junos OS instala rutas de flujo en la tabla de enrutamiento de flujo solo si se han validado mediante el procedimiento de validación. El motor de enrutamiento realiza la validación antes de las rutas de instalación en la tabla de enrutamiento de flujo.

Las rutas de flujo recibidas mediante los mensajes BGP la información de acceso a la capa de red (NLRI) se validan antes de instalarse instance.inetflow.0en la tabla de enrutamiento de instancias principal de flujo. El procedimiento de validación se describe en el draft-ietf-IDR-Flow-Spec-09. txt, diseminando las reglas de la especificación de flujo. Puede omitir el proceso de validación de las rutas de flujo mediante BGP mensajes NLRI y utilizar su propia Directiva de importación específica.

Para realizar un seguimiento de las operaciones validation de validación, [edit routing-options flow] incluya la instrucción en el nivel de jerarquía.

Compatibilidad con algoritmos de especificación de flujo de BGP versión 7 y posteriores

De forma predeterminada, el Junos OS utiliza el algoritmo de ordenación de términos definido en la versión 6 del borrador de la especificación de flujo de BGP. En Junos OS versión 10,0 y posteriores, puede configurar el enrutador para cumplir con el algoritmo de orden de términos definido en primer lugar en la versión 7 de las especificaciones de flujo de BGP y compatible mediante RFC 5575, diseminando rutas de especificación de flujo.

mejores prácticas:

Recomendamos que configure el Junos OS para que utilice el algoritmo de ordenación de términos que se define primero en la versión 7 del borrador de la especificación de flujo de BGP. También recomendamos que configure el Junos OS para que utilice el mismo algoritmo de ordenación de términos en todas las instancias de enrutamiento configuradas en un enrutador.

Para configurar BGP que utilice el algoritmo de especificación de flujo que se definió en primer lugar en la versión 7 standard del borrador [edit routing-options flow term-order] de Internet, incluya la instrucción en el nivel jerárquico.

Para volver a usar el algoritmo de ordenación de términos definido en la versión 6, legacy incluya la instrucción [edit routing-options flow term-order] en el nivel jerárquico.

Nota:

El orden de los términos configurado solo tiene un significado local. Es decir, el término orden no se propaga con las rutas de flujo enviadas al BGP remoto del mismo nivel, cuyo orden está determinado completamente por su configuración de orden de términos propia. Por lo tanto, debe tener cuidado a la hora de configurar la next term acción dependiente de orden cuando no conozca el término configuración de orden de los elementos remotos del mismo nivel. La configuración next term local podría diferir next term de la configurada en el elemento del mismo nivel remoto.

Nota:

En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

A partir de Junos OS versión 16,1, tiene la opción de no aplicar el flowspec filtro al tráfico recibido en interfaces específicas. Se agrega un nuevo término al principio del flowspec filtro que acepta cualquier paquete recibido en estas interfaces específicas. El nuevo término es una variable que crea una lista de exclusión de los términos adjuntos al filtro de la tabla de reenvío como parte del filtro de especificación de flujo.

Para excluir que el flowspec filtro se aplique al tráfico recibido en interfaces específicas, primero debe configurar una group-id en estas interfaces mediante la inclusión de la inet instrucción de grupo de filtro de familia group-id en el [edit interfaces] nivel de jerarquía y, luego, adjuntar el flowspec filtro con el grupo de interfaz mediante la inclusión de la flow interface-group group-id exclude instrucción en el [edit routing-options] nivel de jerarquía. Sólo puede configurar una group-id por cada instancia de ruta con set routing-options flow interface-group group-id la instrucción.

Ejemplo Cómo permitir que BGP lleven rutas de especificación de flujo

En este ejemplo se muestra cómo permitir que BGP lleve mensajes de información de acceso a la capa de red con especificación de flujo (NLRI).

Aplicables

Antes de empezar:

  • Configure las interfaces del dispositivo.

  • Configure un protocolo de puerta de enlace interior (IGP).

  • Configure BGP.

  • Configure una directiva de enrutamiento que exporte rutas (como rutas directas o rutas IGP) de la tabla de enrutamiento a BGP.

Descripción general

La propagación de información de filtros de cortafuegos como parte de BGP le permite propagar filtros de cortafuegos contra ataques de denegación de servicio (DOS) de forma dinámica a través de sistemas autónomos. Las rutas de flujo se encapsulan en la NLRI de especificación de flujo y se propagan a través de una red o redes privadas virtuales (VPN), compartiendo información de tipo filtro. Las rutas de flujo son una adición de condiciones de coincidencia y acciones resultantes para los paquetes. Le proporcionan funciones de filtrado de tráfico y limitación de velocidad, como los filtros de Firewall. Las rutas de flujo de unidifusión se admiten para la instancia predeterminada, las instancias de enrutamiento y reenvío VPN (VRF) y las instancias de enrutador virtual.

Las políticas de importación y exportación pueden aplicarse a inet flow los NLRI inet-vpn flow de familia o familia, lo que afecta a las rutas de flujo aceptadas o anunciadas, de manera similar a como las políticas de importación y exportación, se aplican a otras familias BGP. La única diferencia es que la configuración de la política de flujo debe rib inetflow.0 incluir la instrucción from. Esta instrucción hace que la Directiva se aplique a las rutas de flujo. Se produce una excepción a esta regla si la Directiva solo tiene then reject la then accept instrucción o, y from ninguna. A continuación, la directiva afecta a todas las rutas, incluida la unidifusión IP y el flujo IP.

Los filtros de enrutamiento de flujo se configuran primero en un enrutador de forma estática, con un conjunto de criterios coincidentes seguido de las acciones que se van a llevar a cabo. A continuación, además family inet unicastde family inet flow (o family inet-vpn flow) se configura entre este dispositivo compatible con BGP y sus homólogos.

De forma predeterminada, las rutas de flujo configuradas estáticamente (filtros de cortafuegos) se anuncian a otros family inet flow dispositivos family inet-vpn flow compatibles con BGP que admiten el o NLRI.

El dispositivo de BGP receptor realiza un proceso de validación antes de instalar el filtro del cortafuegos en la instance-name.inetflow.0tabla de enrutamiento de flujo. El procedimiento de validación se describe en RFC 5575, diseminando las reglas de la especificación de flujo.

El dispositivo receptor de BGP de recepción acepta una ruta de flujo si cumple los siguientes criterios:

  • El originador de una ruta de flujo coincide con el originador de la mejor ruta de unidifusión de coincidencia para la dirección de destino incrustada en la ruta.

  • No hay rutas de unidifusión específicas, cuando se comparan con la dirección de destino de la ruta de flujo, para la que se ha recibido la ruta activa desde otro sistema autónomo de próximo salto.

El primer criterio garantiza que el siguiente salto utilizado por el envío de unidifusión por la dirección de destino incrustada en la ruta de flujo está anunciando el filtro. Por ejemplo, si una ruta de flujo se proporciona como 10.1.1.1, proto = 6, puerto = 80, el dispositivo receptor habilitado para BGP seleccionará la ruta de unidifusión más específica en la tabla de enrutamiento de unidifusión que coincida con el prefijo de destino 10.1.1.1/32. En una tabla de enrutamiento de unidifusión que contiene 10.1/16 y 10.1.1/24, el último se elige como la ruta de unidifusión con la que se va a comparar. Solo se considera la entrada de ruta de unidifusión activa. Esto sigue el concepto de que una ruta de flujo es válida si es anunciada por el originador de la mejor ruta de unidifusión.

El segundo criterio aborda las situaciones en las que un bloque de direcciones determinado se asigna a distintas entidades. Los flujos que se resuelven como una ruta de unidifusión de mejor correspondencia, que es una ruta agregada, solo se aceptan si no abarcan más rutas específicas que se enrutan a sistemas autónomos de próximos saltos.

Puede omitir el proceso de validación de las rutas de flujo mediante BGP mensajes NLRI y utilizar su propia Directiva de importación específica. Cuando BGP está llevando mensajes de NLRI especificación de flujo, no-validate la instrucción en [edit protocols bgp group group-name family inet flow] el nivel de jerarquía omite el procedimiento de validación de ruta de flujo después de que una directiva acepte paquetes. Puede configurar la Directiva de importación para que coincida en la dirección de destino y los atributos de ruta, como comunidad, próximo salto y ruta. Puede especificar la acción que debe llevarse a cabo si el paquete coincide con las condiciones que se han configurado en la ruta de flujo. Para configurar una acción, incluya la instrucción en el [edit routing-options flow] nivel de jerarquía. El tipo NLRI de especificación de flujo incluye componentes como prefijo de destino, prefijo de origen, protocolo y puertos, tal y como se definen en RFC 5575. La Directiva de importación puede filtrar una ruta de entrada mediante los atributos de ruta de acceso y la dirección de destino en la NLRI especificación de flujo. La Directiva de importación no puede filtrar ningún otro componente de la RFC 5575.

La especificación de flujo define extensiones de protocolo requeridas para abordar las aplicaciones más comunes del filtrado de unidifusión y unidifusión de VPN de IPv4. Es posible reutilizar el mismo mecanismo y agregar nuevos criterios de coincidencia para abordar filtros similares para otras familias de direcciones BGP (por ejemplo, unidifusión IPv6).

Una vez instalada una ruta de flujo en inetflow.0 la tabla, también se agrega a la lista de filtros de firewall del núcleo.

Únicamente en los enrutadores, los mensajes de NLRI de especificación de flujo se admiten en VPN. La VPN compara la comunidad extendida de destino de ruta en NLRI con la política de importación. Si hay una coincidencia, la VPN puede empezar a usar las rutas de flujo para filtrar y limitar el tráfico de los paquetes. Las rutas de flujo recibidas se instalan en instance-name.inetflow.0la tabla de enrutamiento de flujo. Las rutas de flujo también se pueden propagar a través de una red VPN y compartirse entre VPN. Para habilitar el BGP multiprotocolo (MP-BGP) para llevar NLRI de especificación de flujo inet-vpn para la familia de direcciones flow , incluya la [edit protocols bgp group group-name family inet-vpn] instrucción en el nivel de jerarquía. Solo se admiten rutas de flujo VPN para la instancia predeterminada. Las rutas de flujo configuradas inet-vpn para VPN con la familia no se validan automáticamente, por lo no-validate que [edit protocols bgp group group-name family inet-vpn] la instrucción no se admite en el nivel de jerarquía. No es necesaria ninguna validación si las rutas de flujo se configuran localmente entre dispositivos en el mismo modo.

Las políticas de importación y exportación se pueden aplicar family inet flow a family inet-vpn flow la o NLRI, lo que afecta a las rutas de flujo aceptadas o a las que se anuncia, de manera similar a como las políticas de importación y exportación se aplican a otras familias BGP. La única diferencia es que la configuración de la política de flujo from rib inetflow.0 debe incluir la instrucción. Esta instrucción hace que la Directiva se aplique a las rutas de flujo. Se produce una excepción a esta regla si la Directiva solo tiene then reject la then accept instrucción o, y from ninguna. A continuación, la directiva afecta a todas las rutas, incluida la unidifusión IP y el flujo IP.

En este ejemplo se muestra cómo configurar las siguientes políticas de exportación:

  • Una directiva que permite el anuncio de rutas de flujo especificadas por un filtro de ruta. Solo se anuncian las rutas de flujo cubiertas por el bloque 10.13/16. Esta Directiva no afecta a las rutas de unidifusión.

  • Una directiva que permite que todas las rutas de unidifusión y de flujo se anuncien hacia el vecino.

  • Una directiva que impide que todas las rutas (unidifusión o flujo) se anuncien al vecino.

Topología

Automática

Configuración de una ruta de flujo estática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar las sesiones de par BGP:

  1. Configure las condiciones de coincidencia.

  2. Configure la acción.

  3. Opción Para el algoritmo de especificación de flujo, configure el orden de términos basado en estándares.

    En el algoritmo de ordenación de términos predeterminado, como se especifica en el borrador de RFC de la versión 6 de FLOWSPEC, un término con condiciones de coincidencia menos específicas siempre se evalúa antes que un término con condiciones coincidentes más específicas. Esto hace que no se evalúen nunca el término con condiciones coincidentes más específicas. La versión 7 de RFC 5575 hizo una revisión del algoritmo, por lo que las condiciones coincidentes más específicas se evalúan antes que las condiciones de coincidencia menos específicas. Por compatibilidad con versiones anteriores, el comportamiento predeterminado no se modifica en Junos OS, aunque tenga más sentido el algoritmo más nuevo. Para usar el algoritmo más nuevo, incluya term-order standard la instrucción en la configuración. Esta instrucción se admite en Junos OS versión 10,0 y posteriores.

Resultados

Desde el modo de configuración, escriba el show routing-options comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Rutas de flujo de anuncios especificadas por un filtro de ruta

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar las sesiones de par BGP:

  1. Configure el grupo BGP.

  2. Configure la política de flujo.

  3. Configure el sistema autónomo local (AS) como número.

Resultados

Desde el modo de configuración, escriba los show protocolscomandos, show policy-optionsy y show routing-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Publicidad de todas las rutas de difusión y flujo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar las sesiones de par BGP:

  1. Configure el grupo BGP.

  2. Configure la política de flujo.

  3. Configure el sistema autónomo local (AS) como número.

Resultados

Desde el modo de configuración, escriba los show protocolscomandos, show policy-optionsy y show routing-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

No anunciar ninguna ruta de transmisión o transmisión de flujo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar las sesiones de par BGP:

  1. Configure el grupo BGP.

  2. Configure la política de flujo.

  3. Configure el sistema autónomo local (AS) como número.

Resultados

Desde el modo de configuración, escriba los show protocolscomandos, show policy-optionsy y show routing-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Limitar el número de rutas de flujo instaladas en una tabla de enrutamiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Nota:

La aplicación de un límite de ruta podría producir un comportamiento de protocolo de ruta dinámica impredecible. Por ejemplo, una vez que se alcanza el límite y se rechazan las rutas, BGP no intenta volver a instalar necesariamente las rutas rechazadas después de que el número de rutas descienda por debajo del límite. Es posible que tenga que borrar BGP sesiones para resolver este problema.

Para limitar las rutas de flujo:

  1. Establezca un límite superior para el número de prefijos instalados inetflow.0 en la tabla.

  2. Establezca un valor umbral del 50 por ciento, en el que cuando se instalen las rutas 500, se registrará una advertencia en el registro del sistema.

Resultados

Desde el modo de configuración, escriba el show routing-options comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Limitar el número de prefijos recibidos en una sesión de interconexión de BGP

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

La configuración de un límite de prefijo para un vecino específico proporciona un control más predecible sobre qué elemento del mismo nivel puede anunciar cuántas rutas de flujo hay.

Para limitar el número de prefijos:

  1. Establezca un límite de 1000 BGP rutas de 10.12.99.2 de vecinos.

  2. Configure la sesión de vecino para que se desconecte cuando se alcance el número máximo de prefijos.

    Si especifica un porcentaje, como se muestra a continuación, los mensajes se registran cuando el número de prefijos llega a ese porcentaje.

    Una vez interrumpida la sesión, la sesión se restablecerá en poco tiempo, a menos que incluya idle-timeout la instrucción.

Resultados

Desde el modo de configuración, escriba el show protocols comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando el NLRI

Purpose

Consulte el NLRI habilitado para el vecino.

Intervención

Desde el modo operativo, ejecute show bgp neighbor 10.12.99.5 el comando. Busque inet-flow en la salida.

Comprobando rutas

Purpose

Fíjese en las rutas de flujo. El resultado de ejemplo muestra una ruta de flujo aprendida de BGP y una ruta de flujo configurada estáticamente.

En el caso de las rutas de flujo configuradas localmente (configuradas en el nivel de [edit routing-options flow] jerarquía), el protocolo de flujo instala las rutas. Por lo tanto, puede mostrar las rutas de flujo especificando la tabla, como show route table inetflow.0 o show route table instance-name.inetflow.0, donde instance-name es el nombre de instancia de enrutamiento. O bien, puede mostrar todas las rutas de flujo configuradas localmente en varias instancias show route protocol flow de enrutamiento mediante la ejecución del comando.

Si una ruta de flujo no está configurada localmente, sino que se recibe de la par BGP del enrutador, esta ruta de flujo se instala en la tabla de enrutamiento por BGP. Puede mostrar las rutas de flujo especificando la tabla o ejecutando show route protocol bgp, que muestra todas BGP rutas (flujo y no flujo).

Intervención

Desde el modo operativo, ejecute show route table inetflow.0 el comando.

Efectos

Una ruta de flujo representa una condición de un filtro de Firewall. Cuando se configura una ruta de flujo, se especifican las condiciones de coincidencia y las acciones. En los atributos de coincidencia, puede hacer coincidir una dirección de origen, una dirección de destino y otros calificadores, como el puerto y el protocolo. En el caso de una sola ruta de flujo que contiene varias condiciones de coincidencia, todas las condiciones de coincidencia se encapsulan en el campo Prefix de la ruta. Cuando se ejecuta el show route comando en una ruta de flujo, el campo Prefijo de la ruta se muestra con todas las condiciones de las coincidencias. 10.12.44.1,* significa que la condición coincidente es match destination 10.12.44.1/32. Si el prefijo del resultado era *,10.12.44.1, esto significaría que la condición coincidiría match source 10.12.44.1/32. Si las condiciones de coincidencia contienen tanto un origen como un destino, el asterisco se sustituye por la dirección.

Los números de orden de los términos indican la secuencia de los términos (rutas de flujo) que se evalúan en el filtro de Firewall. El show route extensive comando muestra las acciones de cada término (ruta).

Comprobación de la validación de flujo

Purpose

Mostrar información de la ruta de flujo.

Intervención

Desde el modo operativo, ejecute show route flow validation detail el comando.

Comprobación de filtros de Firewall

Purpose

Mostrar los filtros del firewall que están instalados en el núcleo.

Intervención

Desde el modo operativo, ejecute show firewall el comando.

Comprobación del registro del sistema cuando se sobrepasa el número de rutas de flujo permitidas

Purpose

Si configura un límite en el número de rutas de flujo instaladas, tal y Limitar el número de rutas de flujo instaladas en una tabla de enrutamientocomo se describe en, consulte el mensaje de registro del sistema cuando se alcance el umbral.

Intervención

Desde el modo operativo, ejecute show log <log-filename> el comando.

Comprobando el registro del sistema al superar el número de prefijos recibidos en una sesión de interconexión de BGP

Purpose

Si configura un límite en el número de rutas de flujo instaladas, tal y Limitar el número de prefijos recibidos en una sesión de interconexión de BGPcomo se describe en, consulte el mensaje de registro del sistema cuando se alcance el umbral.

Intervención

Desde el modo operativo, ejecute show log <log-filename> el comando.

Ejemplo Configurar BGP para transportar rutas de especificación de flujo IPv6

En este ejemplo se muestra cómo configurar la especificación de flujo de IPv6 para el filtrado de tráfico. BGP especificación de flujo puede utilizarse para automatizar la coordinación de reglas de filtrado de tráfico entre dominios y dominios con el fin de mitigar los ataques de denegación de servicio.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos enrutadores serie MX

  • Junos OS versión 16,1 o posterior

Antes de activar BGP para que transporten rutas de especificación de flujo IPv6:

  1. Configure direcciones IP en las interfaces del dispositivo.

  2. Configure BGP.

  3. Configure una directiva de enrutamiento que exporte rutas (como rutas estáticas, rutas directas o rutas de IGP) de la tabla de enrutamiento a BGP.

Descripción general

La especificación de flujo proporciona protección contra ataques de denegación de servicio y restringe el tráfico erróneo que consume el ancho de banda y lo detiene cerca del origen. En las versiones de Junos OS anteriores, las reglas de especificación de flujo se propagaron para IPv4 a través BGP como información de alcance de la capa de red. A partir de Junos OS versión 16,1, la función de especificación de flujo se admite en la familia IPv6 y permite la propagación de reglas de especificación de flujo de tráfico para VPN IPv6 e IPv6.

Topología

Figura 7muestra la topología de ejemplo. El enrutador R1 y el enrutador R2 pertenecen a sistemas autónomos diferentes. La especificación de flujo IPv6 está configurada en el enrutador R2. Todo el tráfico entrante se filtra según las condiciones de especificación de flujo, y el tráfico se trata de forma diferente según la acción especificada. En este ejemplo, se descarta todo el encabezado de tráfico de ABCD:: 11:11:11:10/128 que coincida con las condiciones de la especificación de flujo; mientras que el tráfico destinado a ABCD:: 11:11:11:30/128, que coincide con las condiciones de la especificación de flujo, es aceptado.

Figura 7: Configurar BGP para transportar rutas de flujo de IPv6Configurar BGP para transportar rutas de flujo de IPv6

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Enrutador R1

Enrutador R2

Configurando el enrutador R2

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.

Para configurar el enrutador R2:

Nota:

Repita este procedimiento para el enrutador R1 después de modificar los nombres de interfaz, direcciones y otros parámetros adecuados.

  1. Configure las interfaces con direcciones IPv6.

  2. Configure la dirección IPv6 de bucle invertido.

  3. Configure el ID del enrutador y el número de sistema autónomo (AS).

  4. Configure una sesión de interconexión a EBGP entre el enrutador R1 y el enrutador R2.

  5. Configure una ruta estática y un salto próximo. De este modo, se agrega una ruta a la tabla de enrutamiento para comprobar la característica de este ejemplo.

  6. Especifique las condiciones de especificación de flujo.

  7. Configure una discard acción para descartar los paquetes que coincidan con las condiciones de coincidencia especificadas.

  8. Especifique las condiciones de especificación de flujo.

  9. Configure una accept acción para aceptar paquetes que coincidan con las condiciones de coincidencia especificadas

  10. Definir una directiva que permita a BGP aceptar rutas estáticas.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show protocolsescriba show routing-optionslos comandos show policy-options ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación de la presencia de rutas de especificación de flujo IPv6 en la tabla inet6flow

Purpose

Muestre las rutas de la inet6flow tabla en el encaminador R1 y R2, y compruebe que BGP ha aprendido las rutas de flujo.

Intervención

Desde el modo operativo, ejecute el show route table inet6flow.0 extensive comando en el enrutador R1.

Desde el modo operativo, ejecute el show route table inet6flow.0 extensive comando en el enrutador R2.

Efectos

La presencia de las rutas ABCD:: 11:11:11:10/128 y ABCD:: 11:11:11:30/128 en inet6flow la tabla confirma que BGP ha aprendido las rutas de flujo.

Comprobación de la información de BGP Resumen

Purpose

Compruebe que la configuración del BGP es correcta.

Intervención

Desde el modo operativo, ejecute el show bgp summary comando en el enrutador R1 y R2.

Efectos

Compruebe que la inet6.0 tabla contiene el BGP dirección vecina y que se ha establecido una sesión de interconexión de sistemas de intercambio con su BGP vecino.

Comprobación de la validación de flujo

Purpose

Mostrar información de la ruta de flujo.

Intervención

Desde el modo operativo, ejecute el show route flow validation comando en el enrutador R1.

Efectos

El resultado muestra las rutas de flujo en inet6.0 la tabla.

Verificación de la especificación de flujo de rutas IPv6

Purpose

Muestra el número de paquetes que se descartan y aceptan en función de las rutas de especificación de flujo especificadas.

Intervención

Desde el modo operativo, ejecute el show firewall filter_flowspec_default_inet6_ comando en el enrutador R2.

Efectos

El resultado indica que los paquetes destinados a ABCD:: 11:11:11:10/128 se descartan y se han aceptado 88826 paquetes para la ruta ABCD:: 11:11:11:11:30/128.

Configuración de la acción de especificación de flujo BGP redirigir a IP para filtrar tráfico DDoS

A partir de Junos OS versión 18.4R1, BGP especificación de flujo tal y como se describe en BGP borrador de Internet de especificación de flujo draft-ietf-IDR-FLOWSPEC-Redirect-IP-02. txt, se admite la acción de redirigir a IP . La acción redirigir a IP utiliza la comunidad ampliada BGP para proporcionar opciones de filtrado de tráfico para la mitigación DDoS en redes de proveedores de servicios. La redirección de la especificación de flujo heredada a IP utiliza el atributo BGP NextHop. Junos OS anuncia la acción de especificación de redirección de flujo IP con la comunidad extendida de forma predeterminada. Esta característica es necesaria para admitir el encadenamiento de servicios en virtual Service control Gateway (vSCG). La acción redirigir a IP permite desviar el tráfico de especificación de flujo coincidente a una dirección de acceso global que podría estar conectada a un dispositivo de filtrado que puede filtrar el tráfico DDoS y enviar el tráfico limpio al dispositivo de salida.

Antes de comenzar a redirigir el tráfico a IP para rutas de especificación de flujo BGP, haga lo siguiente:

  1. Configure las interfaces del dispositivo.

  2. Configure OSPF o cualquier otro protocolo de IGP.

  3. Configure MPLS y LDP.

  4. Configure BGP.

Configure la característica de redirección a IP mediante el BGP comunidad extendida.

  1. Configure la acción redirigir a IP para rutas de especificación de flujo IPv4 estáticas tal como se especifica en el BGP borrador de Internet de especificación de flujo draft-ietf-IDR-FLOWSPEC-Redirect-IP-02. txt, redirigir a la acción de IP .

    Junos OS anuncia la acción de especificación de redirección de flujo IP utilizando de forma predeterminada la redirección de la comunidad extendida a IP. El dispositivo de entrada detecta y envía el tráfico DDoS a la dirección IP especificada.

    Por ejemplo, redirija el tráfico DDoS a la dirección IPv4 10.1.1.1.

  2. Configure la acción redirigir a IP para rutas de especificación de flujo IPv6 estáticas.

    Por ejemplo, redirija el tráfico DDoS a la dirección IPv6 1002: db8::

  3. Definir una directiva para filtrar el tráfico de una comunidad BGP específica.

    Por ejemplo, defina una directiva P1 para filtrar el tráfico de BGP comunidad redirip.

  4. Defina una directiva para definir, agregar o eliminar una BGP comunidad y especificar la comunidad extendida.

    Por ejemplo, defina una directiva P1 para establecer, agregar o eliminar un reidirip de comunidad y una comunidad extendida para redirigir el tráfico a la dirección IP 10.1.1.1.

  5. Configure BGP para usar la tabla VRF. inet. 0 para resolver rutas de especificación de flujo VRF en el nivel jerárquico.

Configure la característica de redirección de especificación de flujo heredada a IP con el atributo NextHop.

Nota:

No puede configurar políticas para redirigir el tráfico a una dirección IP mediante BGP comunidad extendida y el redireccionamiento heredado a la dirección IP del siguiente salto juntos.

  1. Configurar la redirección de especificación de flujo heredada a IP especificada en el borrador de Internet draft-ietf-IDR-FLOWSPEC-Redirect-IP-00. txt, BGP comunidad de flujo-especificación extendida para el redireccionamiento de tráfico al siguiente salto IP incluye en el nivel de jerarquía.

  2. Defina una directiva para que coincida con el atributo del siguiente salto.

    Por ejemplo, defina una directiva P1 para redirigir el tráfico a la dirección IP de próximo salto 10.1.1.1.

  3. Defina una política para definir, agregar o eliminar la BGP comunidad mediante la acción de redirección de atributo de próximo salto en la especificación de flujo a través de IP.

    Por ejemplo, defina una directiva P1 y establezca, agregue o elimine una BGP redirnh de la comunidad para redirigir el tráfico DDoS a la dirección IP 10.1.1.1 del siguiente salto.

Tabla de historial de versiones
Liberación
Descripción
20.3R1
A partir de cRPD versión 20.3R1, las rutas de flujo y las reglas de políticas propagadas a través de BGP especificación de flujo NLRI se descargan en el núcleo de Linux a través de Linux Netfilter Framework en entornos cRPD.
16.1R4
Comenzando con Junos OS versión 16.1 R4, el rango de límite de velocidad se encuentra entre [0 y 1 billón].
16.1
A partir de Junos OS versión 16,1, la compatibilidad con IPv6 se extiende a BGP especificación de flujo que permite la propagación de reglas de especificación de flujo de tráfico para paquetes IPv6 y VPN-IPv6.
16.1
La especificación de flujo BGP, que comienza con Junos OS Release 16.1 R1, extended-community admite la acción de filtrado de marcado de tráfico.
16.1
A partir de Junos OS versión 16,1, tiene la opción de no aplicar el flowspec filtro al tráfico recibido en interfaces específicas.
15.1
A partir de Junos OS versión 15,1, se implementan cambios para extender la compatibilidad de enrutado activo (INE) para las familias existentes de flujo de inet y de flujo inetvpn, y para ampliar la validación de rutas para BGP FLOWSPEC por el draft-ietf-IDR-BGP-FLOWSPEC-OID-01.