Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP multiprotocolo

Descripción del BGP multiprotocolo

El BGP multiprotocolo (MP-BGP) es una extensión al BGP que permite al BGP transportar información de enrutamiento para varias capas de red y familias de direcciones. MP-BGP puede transportar las rutas de unidifusión utilizadas para el enrutamiento de multidifusión por separado de las rutas utilizadas para el reenvío de IP de unidifusión.

Para habilitar MP-BGP, configure el BGP para llevar información de accesibilidad de capa de red (NLRI) para familias de direcciones distintas de IPv4 de unidifusión mediante la inclusión de la family inet instrucción:

Para permitir que MP-BGP lleve NLRI para la familia de direcciones IPv6, incluya la family inet6 instrucción:

Solo en enrutadores, para permitir que MP-BGP lleve NLRI de red privada virtual (VPN) de capa 3 para la familia de direcciones IPv4, incluya la family inet-vpn instrucción:

Solo en enrutadores, para permitir que MP-BGP lleve NLRI VPN de capa 3 para la familia de direcciones IPv6, incluya la family inet6-vpn instrucción:

Solo en enrutadores, para permitir que MP-BGP lleve VPN NLRI de multidifusión para la familia de direcciones IPv4 y habilitar la señalización VPN, incluya la family inet-mvpn instrucción:

Para permitir que MP-BGP lleve NLRI vpn de multidifusión para la familia de direcciones IPv6 y habilitar la señalización VPN, incluya la family inet6-mvpn instrucción:

Para obtener más información acerca de VPN multiprotocolo de multidifusión basadas en BGP, consulte la Guía del usuario de protocolos de multidifusión de Junos OS.

Para obtener una lista de niveles de jerarquía en los que puede incluir estas instrucciones, consulte las secciones de resumen de instrucciones para estas instrucciones.

Nota:

Si cambia la familia de direcciones especificada en el [edit protocols bgp family] nivel de jerarquía, todas las sesiones de BGP actuales en el dispositivo de enrutamiento se eliminan y, luego, se vuelven a restablecer.

En la versión 9.6 y posteriores de Junos OS, puede especificar un valor de bucle para una familia de direcciones BGP específica.

De forma predeterminada, los pares bgp solo llevan rutas de unidifusión utilizadas para fines de reenvío de unidifusión. Para configurar pares bgp para que solo lleven rutas de multidifusión, especifique la multicast opción. Para configurar los pares del BGP para que transporten rutas de unidifusión y multidifusión, especifique la any opción.

Cuando se configura MP-BGP, el BGP instala las rutas MP-BGP en diferentes tablas de enrutamiento. Cada tabla de enrutamiento se identifica mediante la familia de protocolos o el indicador de familia de direcciones (AFI) y un identificador de familia de direcciones subsiguiente (SAFI).

La siguiente lista muestra todas las combinaciones posibles de AFI y SAFI:

  • AFI=1, SAFI=1, unidifusión IPv4

  • AFI=1, SAFI=2, multidifusión IPv4

  • AFI=1, SAFI=128, unidifusión IPv4 L3VPN

  • AFI=1, SAFI=129, multidifusión IPv4 L3VPN

  • AFI=2, SAFI=1, unidifusión IPv6

  • AFI=2, SAFI=2, multidifusión IPv6

  • AFI=25, SAFI=65, BGP-VPLS/BGP-L2VPN

  • AFI=2, SAFI=128, unidifusión IPv6 L3VPN

  • AFI=2, SAFI=129, multidifusión IPv6 L3VPN

  • AFI=1, SAFI=132, RT-Constrain

  • AFI=1, SAFI=133, especificaciones de flujo

  • AFI=1, SAFI=134, especificaciones de flujo

  • AFI=3, SAFI=128, CLNS VPN

  • AFI=1, SAFI=5, NG-MVPN IPv4

  • AFI=2, SAFI=5, NG-MVPN IPv6

  • AFI=1, SAFI=66, MDT-SAFI

  • AFI=1, SAFI=4, etiquetado como IPv4

  • AFI=2, SAFI=4, etiquetado como IPv6 (6PE)

Las rutas instaladas en la tabla de enrutamiento inet.2 solo se pueden exportar a pares DE MP-BGP porque utilizan la SAFI, identificándolas como rutas a fuentes de multidifusión. Las rutas instaladas en la tabla de enrutamiento inet.0 solo se pueden exportar a pares bgp estándar.

La tabla de enrutamiento inet.2 debe ser un subconjunto de las rutas que tiene en inet.0, ya que es poco probable que tenga una ruta a un origen de multidifusión al que no pueda enviar tráfico de unidifusión. La tabla de enrutamiento inet.2 almacena las rutas de unidifusión que se utilizan para las comprobaciones de reenvío de ruta inversa de multidifusión y la información de accesibilidad adicional aprendida por MP-BGP de las actualizaciones de multidifusión NLRI. Una tabla de enrutamiento inet.2 se crea automáticamente cuando se configura MP-BGP (estableciendo NLRI en any).

Cuando habilita MP-BGP, puede hacer lo siguiente:

Limitar el número de prefijos recibidos en una sesión de par bgp

Puede limitar la cantidad de prefijos recibidos en una sesión de par BGP y registrar mensajes limitados por velocidad cuando el número de prefijos insertados supera un límite establecido. También puede derribar el emparejamiento cuando el número de prefijos supera el límite.

Para configurar un límite para la cantidad de prefijos que se pueden recibir en una sesión de BGP, incluya la prefix-limit instrucción:

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.

Para maximum number, especifique un valor en el intervalo del 1 al 4.294.967.295. Cuando se supera el número máximo especificado de prefijos, se envía un mensaje de registro del sistema.

Si incluye la teardown instrucción, la sesión se desglosa cuando se supera el número máximo de prefijos. Si especifica un porcentaje, los mensajes se registran cuando el número de prefijos supera ese porcentaje del límite máximo especificado. Después de que se derribe la sesión, se restablece en poco tiempo (a menos que incluya la idle-timeout instrucción). Si incluye la idle-timeout instrucción, la sesión se puede mantener inactiva durante un tiempo especificado o para siempre. Si especifica forever, la sesión se restablecerá solo después de que emita un clear bgp neighbor comando. Si incluye la drop-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se pierde cuando el número de prefijos supera el porcentaje. Si incluye la hide-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se oculta cuando el número de prefijos supera el porcentaje. Si se modifica el porcentaje, las rutas se vuelven a evaluar automáticamente.

Nota:

En la versión 9.2 y posteriores de Junos OS, puede configurar alternativamente un límite para la cantidad de prefijos que se pueden aceptar en una sesión de par BGP. Para obtener más información, consulte Limitar el número de prefijos aceptados en una sesión de par BGP.

Limitar el número de prefijos aceptados en una sesión de par BGP

En la versión 9.2 y posteriores de Junos OS, puede limitar la cantidad de prefijos que se pueden aceptar en una sesión de par BGP. Cuando se supera ese límite especificado, se envía un mensaje de registro del sistema. También puede especificar para restablecer la sesión del BGP si se supera el límite del número de prefijos especificados.

Para configurar un límite para la cantidad de prefijos que se pueden aceptar en una sesión de par BGP, incluya la accepted-prefix-limit instrucción:

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.

Para maximum number, especifique un valor en el intervalo del 1 al 4.294.967.295.

Incluya la teardown instrucción para restablecer la sesión del par BGP cuando el número de prefijos aceptados supere el límite configurado. También puede incluir un valor de porcentaje del 1 al 100 para que se envíe un mensaje de registro del sistema cuando el número de prefijos aceptados supere ese porcentaje del límite máximo. De forma predeterminada, una sesión bgp que se restablece se restablece en poco tiempo. Incluya la idle-timeout instrucción para evitar que la sesión del BGP se restablezca durante un período de tiempo especificado. Puede configurar un valor de tiempo de espera de 1 a 2400 minutos. Incluya la forever opción para evitar que se restablezca la sesión del BGP hasta que emita el clear bgp neighbor comando. Si incluye la drop-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se pierde cuando el número de prefijos supera el porcentaje. Si incluye la hide-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se oculta cuando el número de prefijos supera el porcentaje. Si se modifica el porcentaje, las rutas se vuelven a evaluar automáticamente.

Nota:

Cuando se habilita el enrutamiento activo sin interrupción (NSR) y se produce una conmutación a un motor de enrutamiento de respaldo, se reinician automáticamente los pares bgp que están apagados. Los pares se reinician incluso si la idle-timeout forever instrucción está configurada.

Nota:

Como alternativa, puede configurar un límite para el número de prefijos que se pueden recibir (en lugar de aceptar) en una sesión de par BGP. Para obtener más información, consulte Limitar el número de prefijos recibidos en una sesión de par bgp.

Configuración de grupos de tabla de enrutamiento BGP

Cuando una sesión del BGP recibe una NLRI de unidifusión o multidifusión, instala la ruta en la tabla adecuada (inet.0 o inet6.0 para unidifusión o inet.2inet6.2 para multidifusión). Para agregar prefijos de unidifusión a las tablas de unidifusión y multidifusión, puede configurar grupos de tablas de enrutamiento BGP. Esto es útil si no puede realizar la negociación de NLRI de multidifusión.

Para configurar grupos de tablas de enrutamiento BGP, incluya la rib-group instrucción:

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.

Resolución de rutas a dispositivos de enrutamiento de PE ubicados en otros AS

Puede permitir que las rutas etiquetadas se coloquen en la tabla de enrutamiento para la inet.3 resolución de rutas. A continuación, estas rutas se resuelven para las conexiones de dispositivos de enrutamiento de borde del proveedor (PE) en las que el PE remoto se encuentra en otro sistema autónomo (AS). Para que un dispositivo de enrutamiento de PE instale una ruta en la instancia de enrutamiento y reenvío VPN (VRF), el siguiente salto debe resolverse en una ruta almacenada en la inet.3 tabla.

Para resolver rutas en la inet.3 tabla de enrutamiento, incluya la resolve-vpn instrucción:

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.

Permitir rutas etiquetadas y sin etiquetar

Puede permitir que las rutas etiquetadas y no etiquetadas se intercambien en una sola sesión. Las rutas etiquetadas se colocan en la tabla de enrutamiento inet.3 o inet6.3, y el dispositivo de enrutamiento puede enviar o recibir rutas de unidifusión etiquetadas y no etiquetadas.

Para permitir el intercambio de rutas etiquetadas y no etiquetadas, incluya la rib instrucción:

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.

Ejemplo: Configuración de rutas BGP IPv6 mediante transporte IPv4

En este ejemplo, se muestra cómo exportar prefijos IPv6 e IPv4 a través de una conexión IPv4 donde ambos lados están configurados con una interfaz IPv4.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

Tenga en cuenta lo siguiente al exportar prefijos BGP IPv6:

  • El BGP deriva prefijos de salto siguiente mediante el prefijo IPv6 asignado por IPv4. Por ejemplo, el prefijo 10.19.1.1 de salto siguiente IPv4 se traduce al prefijo de salto siguiente IPv6 ::ffff:10.19.1.1.

    Nota:

    Debe haber una ruta activa al próximo salto IPv6 asignado por IPv4 para exportar prefijos BGP IPv6.

  • Una conexión IPv6 debe configurarse a través del vínculo. La conexión debe ser un túnel IPv6 o una configuración de pila dual. En este ejemplo, se utiliza el apilamiento dual.

  • Cuando configure prefijos IPv6 asignados a IPv4, utilice una máscara que tenga más de 96 bits.

  • Configure una ruta estática si desea usar prefijos IPv6 normales. En este ejemplo, se utilizan rutas estáticas.

Figura 1 muestra la topología de ejemplo.

Figura 1: Topología para configurar rutas BGP IPv6 mediante transporte IPv4Topología para configurar rutas BGP IPv6 mediante transporte IPv4

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Dispositivo R1

Dispositivo R2

Dispositivo R3

Configuración del dispositivo R1

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar el dispositivo R1:

  1. Configure las interfaces, incluidas una dirección IPv4 y una dirección IPv6.

  2. Configure EBGP.

  3. Habilite el BGP para llevar rutas de unidifusión IPv4 e IPv6. .

    Las rutas de unidifusión IPv4 están habilitadas de forma predeterminada. La configuración se muestra aquí para mayor integridad.

  4. Configure la política de enrutamiento.

  5. Configure algunas rutas estáticas.

  6. Configure el número del sistema autónomo (AS).

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocolsy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración. Repita la configuración en los dispositivos R2 y R3, cambiando los nombres de interfaz y las direcciones IP, según sea necesario.

Verificación

Confirme que la configuración funciona correctamente.

Comprobación del estado del vecino

Propósito

Asegúrese de que el BGP esté habilitado para llevar rutas de unidifusión IPv6.

Acción

Desde el modo operativo, ingrese el show bgp neighbor comando.

Significado

Las diversas ocurrencias de inet6-unicast la salida muestran que el BGP está habilitado para transportar rutas de unidifusión IPv6.

Comprobación de la tabla de enrutamiento

Propósito

Asegúrese de que el dispositivo R2 tenga rutas BGP en su tabla de enrutamiento inet6.0.

Acción

Desde el modo operativo, ingrese el show route protocol bgp inet6.0 comando.

Descripción general de las rutas IPv4 publicitarias a través de sesiones IPv6 del BGP

En una red IPv6, el BGP suele anunciar información de accesibilidad de la capa de red IPv6 a través de una sesión IPv6 entre pares bgp. En versiones anteriores, Junos OS solo admite el intercambio de familias de direcciones de unidifusión inet6, multidifusión inet6 o inet6 etiquetadas como unidifusión. Esta función permite el intercambio de todas las familias de direcciones BGP. En un entorno de pila dual que tiene IPv6 en su núcleo. esta función permite que el BGP anuncie la accesibilidad de unidifusión IPv4 con el próximo salto IPv4 sobre una sesión de BGP IPv6.

Esta función es solo para sesiones IPv6 del BGP, donde IPv4 está configurado en ambos puntos de conexión. Puede local-ipv4-address ser una dirección de circuito cerrado o cualquier dirección ipv4 para una sesión de EBGP de IBGP o de varios saltos. Para los altavoces BGP externos de un solo salto que no forman parte de las confederaciones del BGP, si la dirección IPv4 local configurada no está conectada directamente, la sesión del BGP está cerrada y permanece inactiva y se genera un error, que se muestra en el resultado del show bgp neighbor comando.

Para habilitar la publicidad de ruta IPv4 en la sesión IPv6, configure local-ipv4-address lo siguiente:

Nota:

No puede configurar esta función para las familias de direcciones de unidifusión inet6, inet6 o inet6 etiquetadas como unidifusión, ya que el BGP ya tiene la capacidad de anunciar estas familias de direcciones a través de una sesión de BGP IPv6.

El configurado local-ipv4-address solo se usa cuando el BGP anuncia rutas con salto automático. Cuando el IBGP anuncia rutas aprendidas de pares de EBGP o el reflector de ruta anuncia rutas BGP a sus clientes, el BGP no cambia el salto siguiente de ruta, ignora el configurado local-ipv4-addressy utiliza el salto siguiente IPv4 original.

Ejemplo: Publicidad de rutas IPv4 a través de sesiones de BGP IPv6

En este ejemplo, se muestra cómo anunciar rutas IPv4 a través de la sesión del BGP IPv6. En un entorno de pila dual que tiene IPv6 en su núcleo, es necesario llegar a hosts IPv4 remotos. Por lo tanto, el BGP anuncia rutas IPv4 con los próximos saltos IPv4 a pares bgp a través de sesiones bgp mediante direcciones de origen y destino IPv6. Esta función permite que el BGP anuncie la accesibilidad de unidifusión IPv4 con el próximo salto IPv4 sobre las sesiones de BGP IPv6.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres enrutadores con capacidad de apilamiento dual

  • Junos OS versión 16.1 o posterior que se ejecuta en todos los dispositivos

Antes de habilitar anuncios IPv4 a través de sesiones de BGP IPv6, asegúrese de:

  1. Configure las interfaces del dispositivo.

  2. Configure el apilamiento dual en todos los dispositivos.

Descripción general

A partir de la versión 16.1, Junos OS permite que el BGP anuncie la accesibilidad de unidifusión IPv4 con el próximo salto IPv4 sobre una sesión de BGP IPv6. En versiones anteriores de Junos OS, el BGP solo podía anunciar unidifusión inet6, multidifusión inet6 e inet6 etiquetadas como familias de direcciones de unidifusión a través de sesiones de BGP IPv6. Esta función permite que el BGP intercambie todas las familias de direcciones BGP a través de una sesión IPv6. Puede permitir que el BGP anuncie rutas IPv4 con los próximos saltos IPv4 a pares bgp a través de la sesión IPv6. El configurado local-ipv4-address solo se usa cuando el BGP anuncia rutas con salto automático.

Nota:

No puede configurar esta función para las familias de direcciones de unidifusión inet6, inet6 o inet6 etiquetadas como unidifusión, ya que el BGP ya tiene la capacidad de anunciar estas familias de direcciones a través de una sesión de BGP IPv6.

Topología

En Figura 2, una sesión de BGP externa IPv6 se ejecuta entre los enrutadores R1 y R2. Se establece una sesión de IBGP IPv6 entre el enrutador R2 y el enrutador R3. Las rutas estáticas IPv4 se redistribuyen al BGP en R1. Para redistribuir las rutas IPv4 a través de la sesión del BGP IPv6, la nueva función debe estar habilitada en todos los enrutadores en el [edit protocols bgp address family] nivel jerárquico.

Figura 2: Publicidad de rutas IPv4 a través de sesiones de BGP IPv6Publicidad de rutas IPv4 a través de sesiones de BGP IPv6

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Enrutador R1

Enrutador R2

Enrutador R3

Configuración del enrutador R1

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI.

Para configurar el enrutador R1:

Nota:

Repita este procedimiento para otros enrutadores después de modificar los nombres de interfaz, las direcciones y otros parámetros adecuados.

  1. Configure las interfaces con direcciones IPv4 e IPv6.

  2. Configure la dirección de circuito cerrado.

  3. Configure una ruta estática IPv4 que debe anunciarse.

  4. Configure el sistema autónomo para hosts BGP.

  5. Configure EBGP en los enrutadores de borde externos.

  6. Habilite la función para anunciar IPv4 adddress 140.1.1.1 a través de sesiones IPv6 bgp.

  7. Defina una política p1 para aceptar todas las rutas estáticas.

  8. Aplique la política p1 en el grupo EBGP ebgp-v6.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show protocols, show routing-optionsy show policy-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar que la sesión del BGP esté activa

Propósito

Compruebe que el BGP se ejecuta en las interfaces configuradas y que la sesión del BGP está activa para cada dirección de vecino.

Acción

Desde el modo operativo, ejecute el comando en el show bgp summary enrutador R1.

Significado

La sesión del BGP está activa y en ejecución, y se establece el emparejamiento del BGP.

Verificar que se anuncia la dirección IPv4

Propósito

Verifique que el enrutador R1 anuncie la dirección IPv4 configurada a los vecinos del BGP configurados.

Acción

Desde el modo operativo, ejecute el comando en el show route advertising-protocol bgp ::150.1.1.2 enrutador R1.

Significado

La ruta estática IPv4 se anuncia al enrutador R2 vecino del BGP.

Verificar que el enrutador de vecino bgp R2 recibe la dirección IPv4 anunciada

Propósito

Verifique que el enrutador R2 reciba la dirección IPv4 que el enrutador R1 anuncia al vecino del BGP a través de IPv6.

Acción
Significado

La presencia de la ruta IPv4 estática en la tabla de enrutamiento del enrutador R2 indica que está recibiendo las rutas IPv4 anunciadas del enrutador R1.

Descripción de la redistribución de rutas IPv4 con salto siguiente IPv6 en BGP

En una red que transporta predominantemente tráfico IPv6, es necesario enrutar rutas IPv4 cuando sea necesario. Por ejemplo, un proveedor de servicios de Internet que tiene una red de solo IPv6, pero que tiene clientes que aún enrutan tráfico IPv4. En este caso, es necesario atender a dichos clientes y reenviar el tráfico IPv4 a través de una red IPv6. Como se describe en RFC 5549, la información de accesibilidad de la capa de red IPv4 publicitaria con un tráfico IPv6 de salto siguiente IPv4 se tuneliza desde dispositivos de equipos de instalaciones del cliente (CPE) a puertas de enlace IPv4 sobre IPv6. Estas puertas de enlace se anuncian a los dispositivos CPE mediante direcciones de difusión. Luego, los dispositivos de puerta de enlace crean túneles IPv4 sobre IPv6 dinámicos a dispositivos CPE remotos y anuncian rutas agregadas IPv4 para dirigir el tráfico.

Nota:

La función dinámica de túnel IPv4 sobre IPv6 no admite ISSU unificada en la versión 17.3R1 de Junos OS.

Los reflectores de ruta (RR) con una interfaz programable se conectan a través de IBGP a los enrutadores de puerta de enlace y las rutas de host con dirección IPv6 como el próximo salto. Estos RR anuncian las direcciones IPv4/32 para inyectar la información del túnel en la red. Los enrutadores de puerta de enlace crean túneles IPv4 sobre IPv6 dinámicos al borde del proveedor del cliente remoto. El enrutador de puerta de enlace también anuncia las rutas agregadas IPv4 para dirigir el tráfico. El RR anuncia entonces las rutas de origen del túnel al ISP. Cuando el RR elimina la ruta del túnel, el BGP también retira la ruta que hace que el túnel se derribe y el CPE sea inalcanzable. El enrutador de puerta de enlace también retira las rutas agregadas IPv4 y las rutas de origen del túnel IPv6 cuando se eliminan todas las rutas agregadas colaboradoras. El enrutador de puerta de enlace envía la ruta retirada cuando la tarjeta de línea del motor de reenvío de paquetes de ancla se cae, de modo que redirigirá el tráfico a otros enrutadores de puerta de enlace.

Las siguientes extensiones se introducen para admitir rutas IPv4 con un salto siguiente IPv6:

Codificación de salto siguiente bgp

El BGP se extiende con la capacidad de codificación de salto siguiente que se usa para enviar rutas IPv4 con los próximos saltos IPv6. Si esta capacidad no está disponible en el par remoto, el BGP agrupa a los pares según esta capacidad de codificación y elimina la familia BGP sin la capacidad de codificación de la lista de información de accesibilidad de capa de red negociada (NLRI). Junos OS solo permite una tabla de resolución, como inet.0. Para permitir rutas BGP IPv4 con los próximos saltos IPv6, el BGP crea un nuevo árbol de resolución. Esta función permite que una tabla de enrutamiento de Junos OS tenga varios árboles de resolución.

Además de RFC 5549, publicidad de información de accesibilidad de capa de red IPv4 con un salto siguiente IPv6 una nueva comunidad de encapsulación especificada en RFC 5512, se introduce el identificador de familia de direcciones posterior de encapsulación del BGP (SAFI) y el atributo de encapsulación de túnel BGP para determinar la familia de direcciones de la dirección del próximo salto. La comunidad de encapsulación indica el tipo de túneles que el nodo de entrada debe crear. Cuando el BGP recibe rutas IPv4 con dirección de salto siguiente IPv6 y la comunidad de encapsulación V4oV6, el BGP crea túneles dinámicos IPv4 sobre IPv6. Cuando el BGP recibe rutas sin la comunidad de encapsulación, las rutas BGP se resuelven sin crear el túnel V4oV6.

Una nueva acción dynamic-tunnel-attributes dyan-attribute de política está disponible en el [edit policy-statement policy name term then] nivel de jerarquía para admitir la nueva encapsulación extendida.

Localización de túnel

La infraestructura dinámica de túnel se mejora con la localización del túnel para admitir un mayor número de túneles. Hay una necesidad de localización de túnel para proporcionar resistencia para manejar el tráfico cuando el ancla falla. Uno o más chasis de respaldo entre sí y dejar que el proceso de protocolo de enrutamiento (rpd) dirija el tráfico lejos del punto de falla al chasis de respaldo. El chasis anuncia solo estos prefijos agregados en lugar de las direcciones de circuito cerrado individuales en la red.

Manipulación de túneles

Los túneles IPv4 a través de IPv6 utilizan la infraestructura dinámica de túnel junto con el anclaje de túnel para admitir la escala de ancho del chasis necesaria. El estado del túnel se localiza en un motor de reenvío de paquetes y los otros motores de reenvío de paquetes dirigen el tráfico al ancla del túnel.

Entrada de túnel

La entrada de túnel o encapsulación de túnel reenvía el tráfico de red hacia el sitio del cliente. Cuando el estado del túnel está presente en el motor de reenvío de paquetes en el que entró tráfico en el chasis, el proceso de protocolo de enrutamiento (rpd) utiliza el siguiente procedimiento para redistribuir las rutas IPv4 a través de túneles IPv6:
Figura 3: Manejo de entrada de túnel cuando el estado del túnel está disponible en el mismo PFEManejo de entrada de túnel cuando el estado del túnel está disponible en el mismo PFE
Figura 4: Gestión de entrada de túnel cuando el estado del túnel está en un PFE diferenteGestión de entrada de túnel cuando el estado del túnel está en un PFE diferente
  1. Encapsula el tráfico IPv4 dentro del encabezado IPv6.

    La aplicación máxima de la unidad de transmisión (MTU) se realiza antes de la encapsulación. Si el tamaño del paquete encapsulado supera la MTU del DF-bit túnel y no se establece el paquete IPv4, entonces el paquete está fragmentado y estos fragmentos se encapsulan.

  2. Usa equilibrio de carga de tráfico basado en hash en encabezados de paquetes internos.

  3. Reenvía el tráfico a la dirección IPv6 de destino. La dirección IPv6 se toma del encabezado IPv6.

Salida de túnel

La salida de túnel reenvía el tráfico desde el equipo de las instalaciones del cliente al lado de la red.
Figura 5: Manejo de salida de túnel cuando el estado del túnel está disponible en el mismo PFEManejo de salida de túnel cuando el estado del túnel está disponible en el mismo PFE
Figura 6: Manejo de salida de túnel cuando el estado del túnel está disponible en un PFE remotoManejo de salida de túnel cuando el estado del túnel está disponible en un PFE remoto
  1. Desencapsula el paquete IPv4 presente dentro del paquete IPv6.

  2. Realiza una comprobación antisofa para asegurarse de que el par IPv6 e IPv4 coincide con la información que se usó para configurar el túnel.

  3. Busca la dirección de destino IPv4 desde el encabezado IPv4 del paquete desencapsulado y reenvía el paquete a la dirección IPv4 especificada.

Equilibrio de carga de túnel y manipulación de fallas en el motor de reenvío de paquetes de anclaje

La falla del motor de reenvío de paquetes debe manejarse rápidamente para evitar el filtrado de ruta nula del tráfico de túnel anclado en el motor de reenvío de paquetes. La localización de túneles implica el uso de anuncios de BGP para reparar el error globalmente. El tráfico de túnel se desvía del punto de falla a otro chasis de respaldo que contiene el mismo estado de túnel. Para el equilibrio de carga de tráfico, el chasis está configurado para anunciar diferentes valores de discriminación de salida múltiple (MED) para cada uno de los conjuntos de prefijos de modo que solo el tráfico de una cuarta parte de los túneles pase por cada chasis. El tráfico CPE también se maneja de manera similar mediante la configuración del mismo conjunto de direcciones de transmisión en cada chasis y dirigir solo una cuarta parte del tráfico hacia cada chasis.

El motor de reenvío de paquetes de ancla es la única entidad que realiza todo el procesamiento de un túnel. La selección del motor de reenvío de paquetes de ancla se realiza a través del aprovisionamiento estático y está vinculada a las interfaces físicas del motor de reenvío de paquetes. Cuando uno de los motores de reenvío de paquetes falla, el demonio marca todos los motores de reenvío de paquetes en la tarjeta de línea y comunica esta información al proceso de protocolo de enrutamiento de protocolo de enrutamiento y otros demonios. El proceso de protocolo de enrutamiento envía retiros del BGP para los prefijos anclados en el motor de reenvío de paquetes con errores y las direcciones IPv6 asignadas al motor de reenvío de paquetes que está abajo. Estos anuncios redirigen el tráfico a otros chasis de respaldo. Cuando el motor de reenvío de paquetes con errores está activo de nuevo, el chasis marca el motor de reenvío de paquetes como up y actualiza el proceso del protocolo de enrutamiento. El proceso de protocolo de enrutamiento activa actualizaciones del BGP a sus pares que los túneles anclados al motor de reenvío de paquetes específico ya están disponibles para el tráfico de enrutamiento. Este proceso puede tardar minutos en configurar túneles a gran escala. Por lo tanto, el Ack mecanismo se integra en el sistema para garantizar una pérdida mínima de tráfico mientras conmuta el tráfico de vuelta al chasis original.

Estadísticas de secuencia de circuito cerrado de túnel

La infraestructura de túnel dinámico utiliza secuencias de circuito cerrado en el motor de reenvío de paquetes para bucles del paquete después de la encapsulación. Dado que el ancho de banda de esta secuencia de circuito cerrado está limitado, hay una necesidad de supervisar el rendimiento de las secuencias de circuito cerrado de túnel.

Para supervisar las estadísticas de la secuencia de circuito cerrado, utilice el comando show pfe statistics traffic detail operativo que muestra las estadísticas de secuencia de circuito cerrado agregadas, incluidas la velocidad de reenvío, la tasa de caída de paquetes y la velocidad de bytes.

Configuración del BGP para redistribuir rutas IPv4 con direcciones de salto siguiente IPv6

A partir de la versión 17.3R1, los dispositivos Junos OS pueden reenviar tráfico IPv4 a través de una red de solo IPv6, que generalmente no puede reenviar tráfico IPv4. Como se describe en RFC 5549, el tráfico IPv4 se tuneliza desde dispositivos CPE a puertas de enlace IPv4 sobre IPv6. Estas puertas de enlace se anuncian a los dispositivos CPE mediante direcciones de difusión. A continuación, los dispositivos de puerta de enlace crean túneles IPv4 sobre IPv6 dinámicos para equipos de las instalaciones del cliente remoto y anuncian rutas agregadas IPv4 para dirigir el tráfico. Los reflectores de ruta con interfaces programables insertan la información del túnel en la red. Los reflectores de ruta se conectan a través de IBGP a enrutadores de puerta de enlace, los cuales anuncian las direcciones IPv4 de las rutas de host con direcciones IPv6 como el próximo salto.

Nota:

La función dinámica de túnel IPv4 sobre IPv6 no admite ISSU unificada en la versión 17.3R1 de Junos OS.

Antes de comenzar a configurar el BGP para distribuir rutas IPv4 con direcciones de salto siguiente IPv6, haga lo siguiente:

  1. Configure las interfaces del dispositivo.

  2. Configure OSPF o cualquier otro protocolo IGP.

  3. Configure MPLS y LDP.

  4. Configure BGP.

Para configurar el BGP para distribuir rutas IPv4 con direcciones de salto siguiente IPv6:

  1. Configure la opción extendida de codificación de próximo salto para grupos BGP con pares IPv6 para enrutar familias de direcciones IPv4 a través de una sesión IPv6.
  2. Configure túneles IPv4 sobre IPv6 dinámicos y defina sus atributos para reenviar tráfico IPv4 a través de una red de solo IPv6. El tráfico IPv4 se tuneliza desde dispositivos CPE a puertas de enlace IPv4 sobre IPv6.
  3. Configure los atributos de túnel.

    Por ejemplo, configure un túnel first_tunnel dinámico con los siguientes atributos:

  4. Defina una política para asociar el perfil de atributo de túnel dinámico configurado a una lista de prefijos o un filtro de ruta.

    Por ejemplo, defina dynamic_tunnel_policy política para asociar los atributos de first_tunnel de túnel dinámico solo al encabezado de tráfico a una ruta específica 2.2.2.2/32.

  5. Exportar la política definida.

    Por ejemplo, exporte la política de dynamic_tunnel_policy configurada.

Habilitación de la señalización VPN y VPLS de capa 2

Puede habilitar el BGP para llevar mensajes NLRI VPN y VPLS de capa 2.

Para habilitar la señalización VPN y VPLS, incluya la family instrucción:

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.

Para configurar un número máximo de prefijos, incluya la prefix-limit instrucción:

Para obtener una lista de niveles de jerarquía en los que puede incluir esta instrucción, consulte la sección de resumen de instrucciones para esta instrucción.

Cuando se establece el número máximo de prefijos, se registra un mensaje cuando se alcanza ese número. Si incluye la teardown instrucción, la sesión se desintegró cuando se alcanza el número máximo de prefijos. Si especifica un porcentaje, los mensajes se registran cuando el número de prefijos alcanza ese porcentaje. Una vez que la sesión se derriba, se restablece en poco tiempo. Incluya la idle-timeout instrucción para mantener la sesión inactiva durante un tiempo especificado o para siempre. Si especifica forever, la sesión se restablecerá solo después de usar el clear bgp neighbor comando. Si incluye la drop-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se pierde cuando el número de prefijos supera el porcentaje. Si incluye la hide-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se oculta cuando el número de prefijos supera el porcentaje. Si se modifica el porcentaje, las rutas se vuelven a evaluar automáticamente.

Descripción de rutas de flujo bgp para filtrado de tráfico

Una ruta de flujo es una agregación de condiciones de coincidencia para paquetes IP. Las rutas de flujo se propagan a través de la red mediante mensajes de información de accesibilidad de capa de red (NLRI) de especificación de flujo e instalados en la tabla instance-name.inetflow.0de enrutamiento de flujo. Los paquetes solo pueden viajar por rutas de flujo si se cumplen condiciones de coincidencia específicas.

Las rutas de flujo y los filtros de firewall son similares en el sentido de que filtran paquetes según sus componentes y realizan una acción en los paquetes que coincidan. Las rutas de flujo ofrecen capacidades de filtrado de tráfico y limitación de velocidad, al igual que los filtros de firewall. Además, puede propagar rutas de flujo a través de diferentes sistemas autónomos.

El BGP propaga las rutas de flujo mediante mensajes NLRI de especificación de flujo. Debe habilitar el BGP para propagar estas NLRIs.

A partir de Junos OS versión 15.1, se implementan cambios para extender la compatibilidad de enrutamiento activo sin interrupciones (NSR) para familias existentes de flujo de inet-flow e inetvpn-flow, y extender la validación de ruta para el flowspec bgp por draft-ietf-idr-bgp-flowspec-oid-01. Como parte de esta mejora, se introducen dos instrucciones nuevas. Consulte aplicar primero yno instalar.

Nota:

A partir de Junos OS versión 16.1, la compatibilidad con IPv6 se extiende a la especificación de flujo BGP que permite la propagación de reglas de especificación de flujo de tráfico para paquetes IPv6 y VPN-IPv6. La especificación de flujo bgp automatiza la coordinación de las reglas de filtrado de tráfico para mitigar el ataque distribuido de denegación de servicio durante el enrutamiento activo sin interrupción (NSR).

A partir de Junos OS versión 16.1R1, la especificación de flujo del BGP admite la acción de filtrado de marcado extended-community de tráfico. Para el tráfico IPv4, Junos OS modifica los bits del punto de código DiffServ (DSCP) de un paquete IPv4 en tránsito al valor correspondiente de la comunidad extendida. Para paquetes IPv6, Junos OS modifica los primeros seis bits del traffic class campo del paquete IPv6 de transmisión al valor correspondiente de la comunidad extendida.

A partir de Junos OS versión 17.1R1, el BGP puede transportar mensajes de información de accesibilidad de capa de red de especificación de flujo (NLRI) en enrutadores serie PTX que tienen FPCC de tercera generación (FPC3-PTX-U2 y FPC3-PTX-U3 en PTX5000 y FPC3-SFF-PTX-U0 y FPC3-SFF-PTX-U1 en PTX3000) instalados. La propagación de información de filtros de firewall como parte del BGP le permite propagar filtros de firewall contra ataques de denegación de servicio (DOS) dinámicamente en sistemas autónomos.

A partir de Junos OS versión 17.2R1, el BGP puede transportar mensajes de información de accesibilidad de capa de red de especificación de flujo (NLRI) en enrutadores PTX1000 que tienen FPC de tercera generación instalados. La propagación de información de filtros de firewall como parte del BGP le permite propagar filtros de firewall contra ataques de denegación de servicio (DOS) dinámicamente en sistemas autónomos.

A partir de la versión 20.3R1 de cRPD, las rutas de flujo y las reglas de políticas propagadas a través de la especificación de flujo BGP NLRI se descargan al kernel de Linux a través del marco netfilter de Linux en entornos cRPD.

Condiciones de coincidencia para rutas de flujo

Especifique condiciones que el paquete debe coincidir antes de que se tome la acción en la then instrucción para una ruta de flujo. Todas las condiciones de la from instrucción deben coincidir para que se tome la medida. El orden en el que especifica condiciones de coincidencia no es importante, ya que un paquete debe coincidir con todas las condiciones de un término para que se produzca una coincidencia.

Para configurar una condición de coincidencia, incluya la match instrucción en el [edit routing-options flow] nivel de jerarquía.

Tabla 1 describe las condiciones de coincidencia de ruta de flujo.

Tabla 1: Condiciones de coincidencia de ruta de flujo

Condición de coincidencia

Descripción

destination prefix prefix-offset number

Campo de dirección de destino IP.

Puede usar el prefix-offset campo opcional, que solo está disponible en dispositivos Junos con MPC mejorados configurados para el modo, para enhanced-ip especificar el número de bits que se deben omitir antes de que Junos OS comience a coincidir con un prefijo IPv6.

destination-port number

Campo de puerto de destino tcp o protocolo de datagrama de usuario (UDP). No puede especificar las condiciones de coincidencia y destination-port de port coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21 ( ekshell 2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), (108) socks ( ssh 22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103) o zephyr-hm (2104).

dscp number

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal o decimal.

flow-label numeric-expression

Haga coincidir el valor de etiqueta de flujo. El valor de este campo varía del 0 al 1048575.

Esta condición de coincidencia solo se admite en dispositivos Junos con MPC mejoradas configuradas para el enhanced-ip modo. Esta condición de coincidencia no se admite para IPv4.

fragment type

Campo de tipo de fragmento. Las palabras clave se agrupan por el tipo de fragmento con el que están asociadas:

  • dont-fragment

    Nota:

    Esta opción no se admite para IPv6.

  • first-fragment

  • is-fragment

  • last-fragment

  • not-a-fragment

Esta condición de coincidencia solo se admite en dispositivos Junos OS con MPC mejoradas configuradas para el enhanced-ip modo.

icmp-code numbericmp6-code icmp6-code-value;

Campo de código ICMP. Este valor o palabra clave proporciona información más específica que icmp-type. Dado que el significado del valor depende del valor asociado icmp-type , debe especificar icmp-type junto con icmp-code.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

  • problema de parámetros: ip-header-bad (0), required-option-missing (1)

  • Redirigir: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • tiempo superado: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Inalcanzable: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number icmp6-type icmp6-type-value

Campo de tipo de paquete ICMP. Normalmente, especifica esta coincidencia junto con la protocol instrucción match para determinar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) o unreachable (3).

packet-length number

Longitud total del paquete IP.

port number

Campo de puerto de origen o destino TCP o UDP. No puede especificar tanto la port coincidencia como la destination-port condición o source-port coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

protocol number

Campo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah, egp(8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), tcp (6) o udp (17).

Esta condición de coincidencia solo se admite para IPv6 en dispositivos Junos con MPC mejoradas configuradas para el enhanced-ip modo.

source prefixprefix-offset number

Campo de dirección IP de origen.

Puede usar el prefix-offset campo opcional, que solo está disponible en dispositivos Junos con MPC mejorados configurados para el modo, para enhanced-ip especificar el número de bits que se deben omitir antes de que Junos OS comience a coincidir con un prefijo IPv6.

source-port number

Campo de puerto de origen TCP o UDP. No puede especificar las port condiciones de coincidencia y source-port en el mismo término.

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

tcp-flag type

Formato de encabezado TCP.

Acciones para rutas de flujo

Puede especificar la acción que debe realizar si el paquete coincide con las condiciones configuradas en la ruta de flujo. Para configurar una acción, incluya la then instrucción en el [edit routing-options flow] nivel de jerarquía.

Tabla 2 describe las acciones de ruta de flujo.

Tabla 2: Modificadores de acción de ruta de flujo

Modificador de acción o acción

Descripción

Acciones

accept

Acepte un paquete. Este es el valor predeterminado.

discard

Descarte un paquete de forma silenciosa, sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

community

Reemplace cualquier comunidad de la ruta por las comunidades especificadas.

valor de marca

Establezca un valor DSCP para el tráfico que coincida con este flujo. Especifique un valor del 0 al 63. Esta acción solo se admite en dispositivos Junos con MPC mejoradas configuradas para el enhanced-ip modo.

next term

Continúe con la siguiente condición de coincidencia para su evaluación.

routing-instance extended-community

Especifique una instancia de enrutamiento a la que se reenvían los paquetes.

rate-limit bits-per-second

Limite el ancho de banda en la ruta de flujo. Exprese el límite en bits por segundo (bps). A partir de Junos OS versión 16.1R4, el rango de límite de velocidad es de [0 a 1000000000000].

sample

Muestree el tráfico en la ruta de flujo.

Validación de rutas de flujo

Junos OS instala rutas de flujo en la tabla de enrutamiento de flujo solo si se validaron mediante el procedimiento de validación. El motor de enrutamiento realiza la validación antes de instalar rutas en la tabla de enrutamiento de flujo.

Las rutas de flujo recibidas mediante los mensajes de información de accesibilidad de capa de red BGP (NLRI) se validan antes de instalarse en la tabla instance.inetflow.0de enrutamiento de instancia principal de flujo. El procedimiento de validación se describe en el draft-ietf-idr-flow-spec-09.txt, Difusión de reglas de especificación de flujo. Puede omitir el proceso de validación para rutas de flujo mediante mensajes NLRI bgp y usar su propia política de importación específica.

Para rastrear las operaciones de validación, incluya la validation instrucción en el [edit routing-options flow] nivel de jerarquía.

Compatibilidad con el algoritmo de especificación de flujo del BGP versión 7 y posteriores

De forma predeterminada, Junos OS utiliza el algoritmo de orden de términos definido en la versión 6 del borrador de especificación de flujo bgp. En Junos OS versión 10.0 y posteriores, puede configurar el enrutador para que cumpla con el algoritmo de orden de términos definido primero en la versión 7 de la especificación de flujo bgp y compatible con RFC 5575, Difusión de rutas de especificación de flujo.

prácticas recomendadas:

Le recomendamos que configure Junos OS para que use el algoritmo de orden de términos definido primero en la versión 7 del borrador de especificación de flujo bgp. También recomendamos que configure Junos OS para que use el mismo algoritmo de orden de términos en todas las instancias de enrutamiento configuradas en un enrutador.

Para configurar el BGP para que use el algoritmo de especificación de flujo definido primero en la versión 7 del borrador de Internet, incluya la standard instrucción en el [edit routing-options flow term-order] nivel de jerarquía.

Para revertir al uso del algoritmo de orden de términos definido en la versión 6, incluya la legacy instrucción en el [edit routing-options flow term-order] nivel de jerarquía.

Nota:

El orden de términos configurado solo tiene importancia local. Es decir, el término orden no se propaga con rutas de flujo enviadas a los pares de BGP remotos, cuyo orden de término está completamente determinado por su propia configuración de orden de términos. Por lo tanto, debe tener cuidado al configurar la acción next term dependiente de la orden cuando no conoce la configuración de orden de término de los pares remotos. El local next term puede diferir de la next term configurada en el par remoto.

Nota:

En Junos OS Evolved, next term no puede aparecer como el último término de la acción. No se admite un término de filtro donde next term se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

A partir de Junos OS versión 16.1, tiene la opción de no aplicar el flowspec filtro al tráfico recibido en interfaces específicas. Al principio del flowspec filtro se agrega un nuevo término que acepta cualquier paquete recibido en estas interfaces específicas. El nuevo término es una variable que crea una lista de exclusión de términos adjuntos al filtro de tabla de reenvío como parte del filtro de especificación de flujo.

Para excluir el flowspec filtro de que se aplique al tráfico recibido en interfaces específicas, primero debe configurar una group-id en estas interfaces incluyendo la instrucción de grupo group-id de filtro de familia inet en el [edit interfaces] nivel de jerarquía y, luego, adjuntar el flowspec filtro con el grupo de interfaces mediante la inclusión de la flow interface-group group-id exclude instrucción en el [edit routing-options] nivel de jerarquía. Solo puede configurar una group-id por instancia de enrutamiento con la set routing-options flow interface-group group-id instrucción.

Ejemplo: Permitir que el BGP transporte rutas de especificación de flujo

En este ejemplo, se muestra cómo permitir que el BGP transporte mensajes de información de accesibilidad de capa de red de especificación de flujo (NLRI).

Requisitos

Antes de comenzar:

  • Configure las interfaces del dispositivo.

  • Configure un protocolo de puerta de enlace interior (IGP).

  • Configure BGP.

  • Configure una política de enrutamiento que exporta rutas (como rutas directas o rutas IGP) de la tabla de enrutamiento al BGP.

Descripción general

La propagación de información de filtros de firewall como parte del BGP le permite propagar filtros de firewall contra ataques de denegación de servicio (DOS) dinámicamente en sistemas autónomos. Las rutas de flujo se encapsulan en la NLRI de especificación de flujo y se propagan a través de una red o redes privadas virtuales (VPN), compartiendo información similar a un filtro. Las rutas de flujo son una agregación de condiciones de coincidencia y acciones resultantes para paquetes. Le proporcionan capacidades de filtrado de tráfico y limitación de velocidad, al igual que los filtros de firewall. Las rutas de flujo de unidifusión se admiten para la instancia predeterminada, las instancias de enrutamiento y reenvío de VPN (VRF) y las instancias de enrutador virtual.

Las políticas de importación y exportación se pueden aplicar a la NLRI de familia inet flow o familia inet-vpn flow , lo que afecta a las rutas de flujo aceptadas o anunciadas, de manera similar a la forma en que se aplican las políticas de importación y exportación a otras familias bgp. La única diferencia es que la configuración de la política de flujo debe incluir la instrucción from rib inetflow.0 . Esta instrucción hace que la política se aplique a las rutas de flujo. Una excepción a esta regla se produce si la política solo tiene la then reject instrucción o la then accept instrucción y no from . Luego, la política afecta a todas las rutas, incluidos la unidifusión IP y el flujo de IP.

Los filtros de ruta de flujo se configuran primero en un enrutador estáticamente, con un conjunto de criterios coincidentes seguidos de las acciones que se deben realizar. Luego, además family inet unicastde , family inet flow (o family inet-vpn flow) se configura entre este dispositivo habilitado para BGP y sus pares.

De forma predeterminada, las rutas de flujo configuradas estáticamente (filtros de firewall) se anuncian en otros dispositivos habilitados para BGP que admitan la family inet flow NLRI o family inet-vpn flow .

El dispositivo habilitado para BGP de recepción realiza un proceso de validación antes de instalar el filtro de firewall en la tabla instance-name.inetflow.0de enrutamiento de flujo. El procedimiento de validación se describe en RFC 5575, Difusión de reglas de especificación de flujo.

El dispositivo habilitado para BGP de recepción acepta una ruta de flujo si pasa los siguientes criterios:

  • El originador de una ruta de flujo coincide con el originador de la mejor ruta de unidifusión coincidente para la dirección de destino incrustada en la ruta.

  • No hay rutas de unidifusión más específicas, cuando se comparan con la dirección de destino de la ruta de flujo, para la cual se ha recibido la ruta activa desde un sistema autónomo de salto siguiente diferente.

El primer criterio garantiza que el siguiente salto que usa el reenvío de unidifusión para la dirección de destino incrustada en la ruta de flujo anuncie el filtro. Por ejemplo, si una ruta de flujo se da como 10.1.1.1, proto=6, port=80, el dispositivo habilitado para BGP de recepción selecciona la ruta de unidifusión más específica en la tabla de enrutamiento de unidifusión que coincida con el prefijo de destino 10.1.1.1/32. En una tabla de enrutamiento de unidifusión que contiene 10.1/16 y 10.1.1/24, esta última se elige como la ruta de unidifusión con la que compararse. Solo se tiene en cuenta la entrada de ruta de unidifusión activa. Esto sigue el concepto de que una ruta de flujo es válida si la anuncia el originador de la mejor ruta de unidifusión.

El segundo criterio aborda situaciones en las que un bloque de dirección determinado se asigna a distintas entidades. Los flujos que se resuelven a una ruta de unidifusión de mejor coincidencia que es una ruta agregada solo se aceptan si no cubren rutas más específicas que se enrutan a diferentes sistemas autónomos de salto siguiente.

Puede omitir el proceso de validación para rutas de flujo mediante mensajes NLRI bgp y usar su propia política de importación específica. Cuando el BGP lleva mensajes NLRI de especificación de flujo, la no-validate instrucción en el [edit protocols bgp group group-name family inet flow] nivel de jerarquía omite el procedimiento de validación de ruta de flujo después de que una política acepte los paquetes. Puede configurar la política de importación para que coincida con los atributos de ruta y dirección de destino, como la comunidad, el salto siguiente y la ruta del AS. Puede especificar la acción que debe realizar si el paquete coincide con las condiciones configuradas en la ruta de flujo. Para configurar una acción, incluya la instrucción en el [edit routing-options flow] nivel de jerarquía. El tipo NLRI de especificación de flujo incluye componentes como el prefijo de destino, el prefijo de origen, el protocolo y los puertos según se define en el RFC 5575. La política de importación puede filtrar una ruta de entrada mediante atributos de ruta y dirección de destino en la especificación de flujo NLRI. La política de importación no puede filtrar ningún otro componente en la RFC 5575.

La especificación de flujo define las extensiones de protocolo necesarias para abordar las aplicaciones más comunes de filtrado de unidifusión IPv4 y unidifusión VPN. El mismo mecanismo se puede reutilizar y agregar nuevos criterios de coincidencia para abordar el filtrado similar para otras familias de direcciones BGP (por ejemplo, unidifusión IPv6).

Después de instalar una ruta de flujo en la inetflow.0 tabla, también se agrega a la lista de filtros de firewall en el kernel.

Solo en enrutadores, los mensajes NLRI de especificación de flujo se admiten en VPN. La VPN compara la comunidad extendida de destino de ruta en la NLRI con la política de importación. Si hay una coincidencia, la VPN puede comenzar a usar las rutas de flujo para filtrar y limitar la velocidad del tráfico de paquetes. Las rutas de flujo recibidas se instalan en la tabla instance-name.inetflow.0de enrutamiento de flujo. Las rutas de flujo también se pueden propagar a través de una red VPN y compartirse entre VPN. Para permitir que el BGP multiprotocolo (MP-BGP) lleve NLRI de especificación de flujo para la inet-vpn familia de direcciones, incluya la flow instrucción en el [edit protocols bgp group group-name family inet-vpn] nivel de jerarquía. Las rutas de flujo VPN se admiten solo para la instancia predeterminada. Las rutas de flujo configuradas para VPN con familia inet-vpn no se validan automáticamente, por lo que la no-validate instrucción no se admite en el [edit protocols bgp group group-name family inet-vpn] nivel jerárquico. No se necesita validación si las rutas de flujo se configuran localmente entre dispositivos en un solo AS.

Las políticas de importación y exportación se pueden aplicar a la family inet flow NLRI o family inet-vpn flow , lo que afecta a las rutas de flujo aceptadas o anunciadas, similar a la forma en que se aplican las políticas de importación y exportación a otras familias bgp. La única diferencia es que la configuración de la política de flujo debe incluir la from rib inetflow.0 instrucción. Esta instrucción hace que la política se aplique a las rutas de flujo. Una excepción a esta regla se produce si la política solo tiene la then reject instrucción o la then accept instrucción y no from . Luego, la política afecta a todas las rutas, incluidos la unidifusión IP y el flujo de IP.

En este ejemplo, se muestra cómo configurar las siguientes políticas de exportación:

  • Política que permite el anuncio de rutas de flujo especificadas por un filtro de ruta. Solo se anuncian las rutas de flujo cubiertas por el bloque 10.13/16. Esta política no afecta a las rutas de unidifusión.

  • Una política que permite que todas las rutas de unidifusión y flujo se anuncien al vecino.

  • Una política que no permite que todas las rutas (unidifusión o flujo) se anuncien al vecino.

Topología

Configuración

Configuración de una ruta de flujo estático

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar las sesiones del par bgp:

  1. Configure las condiciones de coincidencia.

  2. Configure la acción.

  3. (Recomendado) Para el algoritmo de especificación de flujo, configure el orden de términos basado en estándares.

    En el algoritmo de orden de términos predeterminado, tal como se especifica en el borrador rfc flowspec versión 6, siempre se evalúa un término con condiciones de coincidencia menos específicas antes de un término con condiciones de coincidencia más específicas. Esto hace que el término con condiciones de coincidencia más específicas nunca se evalúe. La versión 7 de RFC 5575 realizó una revisión al algoritmo para que se evalúen las condiciones de coincidencia más específicas antes de las condiciones de coincidencia menos específicas. Para la compatibilidad con versiones anteriores, el comportamiento predeterminado no se modifica en Junos OS, aunque el algoritmo más nuevo tenga más sentido. Para usar el algoritmo más reciente, incluya la term-order standard instrucción en la configuración. Esta instrucción se admite en la versión 10.0 y posteriores de Junos OS.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show routing-options configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Rutas de flujo de publicidad especificadas por un filtro de ruta

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar las sesiones del par bgp:

  1. Configure el grupo BGP.

  2. Configure la política de flujo.

  3. Configure el número del sistema autónomo local (AS).

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show protocolscomandos , show policy-optionsy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Publicidad de todas las rutas de unidifusión y flujo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar las sesiones del par bgp:

  1. Configure el grupo BGP.

  2. Configure la política de flujo.

  3. Configure el número del sistema autónomo local (AS).

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show protocolscomandos , show policy-optionsy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Publicidad sin unidifusión ni rutas de flujo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar las sesiones del par bgp:

  1. Configure el grupo BGP.

  2. Configure la política de flujo.

  3. Configure el número del sistema autónomo local (AS).

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show protocolscomandos , show policy-optionsy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Limitar la cantidad de rutas de flujo instaladas en una tabla de enrutamiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Nota:

La aplicación de un límite de ruta puede dar como resultado un comportamiento de protocolo de ruta dinámico impredecible. Por ejemplo, una vez que se alcanza el límite y se rechazan las rutas, el BGP no intenta necesariamente volver a instalar las rutas rechazados después de que el número de rutas caiga por debajo del límite. Es posible que sea necesario borrar las sesiones del BGP para resolver este problema.

Para limitar las rutas de flujo:

  1. Establezca un límite superior para la cantidad de prefijos instalados en la inetflow.0 tabla.

  2. Establezca un valor de umbral del 50 %, donde cuando se instalan 500 rutas, se registra una advertencia en el registro del sistema.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show routing-options configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Limitar el número de prefijos recibidos en una sesión de emparejamiento bgp

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Nota:

Puede incluir la teardown <percentage>opción , drop-excess <percentage>o hide-excess<percentage> la opción de instrucción de uno en uno.

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Configurar un límite de prefijo para un vecino específico proporciona un control más predecible sobre qué par puede anunciar cuántas rutas de flujo.

Para limitar la cantidad de prefijos:

  1. Establezca un límite de 1000 rutas BGP del vecino 10.12.99.2.

  2. Configure la sesión o los prefijos vecinos para que realicen la teardown <percentage>opción , drop-excess <percentage>o hide-excess<percentage> instrucción cuando la sesión o los prefijos alcancen su límite.

    Si especifica la teardown <percentage> instrucción y especifica un porcentaje, los mensajes se registran cuando el número de prefijos alcanza ese porcentaje. Después de que se derribe la sesión, la sesión se restablece en poco tiempo, a menos que incluya la idle-timeout instrucción.

    Si especifica la drop-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se pierde cuando el número de prefijos supera ese porcentaje

    Si especifica la hide-excess <percentage> instrucción y especifica un porcentaje, el exceso de rutas se oculta cuando el número de prefijos supera ese porcentaje.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show protocols configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el NLRI

Propósito

Observe la NLRI habilitada para el vecino.

Acción

Desde el modo operativo, ejecute el show bgp neighbor 10.12.99.5 comando. inet-flow Busque en el resultado.

Verificar rutas

Propósito

Observe las rutas de flujo. El resultado de ejemplo muestra una ruta de flujo aprendida del BGP y una ruta de flujo configurada estáticamente.

Para las rutas de flujo configuradas localmente (configuradas en el [edit routing-options flow] nivel de jerarquía), el protocolo de flujo instala las rutas. Por lo tanto, puede mostrar las rutas de flujo especificando la tabla, como en show route table inetflow.0 o show route table instance-name.inetflow.0, dónde instance-name está el nombre de instancia de enrutamiento. O bien, puede mostrar todas las rutas de flujo configuradas localmente en varias instancias de enrutamiento mediante la ejecución del show route protocol flow comando.

Si una ruta de flujo no está configurada localmente, pero se recibe del par BGP del enrutador, el BGP instala esta ruta de flujo en la tabla de enrutamiento. Puede mostrar las rutas de flujo especificando la tabla o ejecutándose show route protocol bgp, lo que muestra todas las rutas BGP (flujo y no flujo).

Acción

Desde el modo operativo, ejecute el show route table inetflow.0 comando.

Significado

Una ruta de flujo representa un término de filtro de firewall. Cuando configure una ruta de flujo, especifique las condiciones de coincidencia y las acciones. En los atributos de coincidencia, puede hacer coincidir una dirección de origen, una dirección de destino y otros calificadores, como el puerto y el protocolo. Para una sola ruta de flujo que contiene varias condiciones de coincidencia, todas las condiciones de coincidencia se encapsulan en el campo de prefijo de la ruta. Cuando se emite el show route comando en una ruta de flujo, el campo de prefijo de la ruta se muestra con todas las condiciones de coincidencia. 10.12.44.1,* Significa que la condición coincidente es match destination 10.12.44.1/32. Si el prefijo en el resultado fuera *,10.12.44.1, esto significaría que la condición de coincidencia era match source 10.12.44.1/32. Si las condiciones coincidentes contienen un origen y un destino, el asterisco se sustituye por la dirección.

Los números de orden de términos indican la secuencia de los términos (rutas de flujo) que se evalúan en el filtro de firewall. El show route extensive comando muestra las acciones de cada término (ruta).

Verificación de validación de flujo

Propósito

Muestra información de ruta de flujo.

Acción

Desde el modo operativo, ejecute el show route flow validation detail comando.

Verificar filtros de firewall

Propósito

Muestra los filtros de firewall que están instalados en el núcleo.

Acción

Desde el modo operativo, ejecute el show firewall comando.

Verificar el registro del sistema cuando se supera el número de rutas de flujo permitidas

Propósito

Si configura un límite en el número de rutas de flujo instaladas, como se describe en Limitar la cantidad de rutas de flujo instaladas en una tabla de enrutamiento, vea el mensaje de registro del sistema cuando se alcance el umbral.

Acción

Desde el modo operativo, ejecute el show log <message> comando.

Verificar el registro del sistema cuando se supera el número de prefijos recibidos en una sesión de emparejamiento bgp

Propósito

Si configura un límite en el número de rutas de flujo instaladas, como se describe en Limitar el número de prefijos recibidos en una sesión de emparejamiento bgp, vea el mensaje de registro del sistema cuando se alcance el umbral.

Acción

Desde el modo operativo, ejecute el show log message comando.

Si especifica la teradown <percentage> opción de instrucción:

Si especifica la drop-excess <percentage> opción de instrucción:

Si especifica la hide-excess <percentage> opción de instrucción:

Ejemplo: Configuración del BGP para llevar rutas de especificación de flujo IPv6

En este ejemplo, se muestra cómo configurar la especificación de flujo IPv6 para el filtrado de tráfico. La especificación de flujo bgp se puede utilizar para automatizar la coordinación entre dominios y dentro del dominio de las reglas de filtrado de tráfico con el fin de mitigar los ataques de denegación de servicio.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos enrutadores serie MX

  • Junos OS versión 16.1 o posterior

Antes de habilitar el BGP para llevar rutas de especificación de flujo IPv6:

  1. Configure direcciones IP en las interfaces del dispositivo.

  2. Configure BGP.

  3. Configure una política de enrutamiento que exporta rutas (como rutas estáticas, rutas directas o rutas IGP) desde la tabla de enrutamiento al BGP.

Descripción general

La especificación de flujo proporciona protección contra ataques de denegación de servicio y restringe el tráfico defectuoso que consume el ancho de banda y lo detiene cerca del origen. En versiones anteriores de Junos OS, las reglas de especificación de flujo se propagaban para IPv4 a través del BGP como información de accesibilidad de capa de red. A partir de Junos OS versión 16.1, la función de especificación de flujo se admite en la familia IPv6 y permite la propagación de reglas de especificación de flujo de tráfico para VPN IPv6 e IPv6.

Topología

Figura 7 muestra la topología de ejemplo. Los enrutadores R1 y R2 pertenecen a diferentes sistemas autónomos. La especificación de flujo IPv6 está configurada en el enrutador R2. Todo el tráfico entrante se filtra según las condiciones de especificación de flujo y el tráfico se trata de manera diferente según la acción especificada. En este ejemplo, se descarta todo el tráfico que se dirija a abcd::11:11:11:10/128 que coincida con las condiciones de especificación de flujo; mientras que se acepta el tráfico destinado a abcd::11:11:11:30/128 y que coincida con las condiciones de especificación de flujo.

Figura 7: Configuración del BGP para llevar rutas de flujo IPv6Configuración del BGP para llevar rutas de flujo IPv6

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Enrutador R1

Enrutador R2

Configuración del enrutador R2

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI.

Para configurar el enrutador R2:

Nota:

Repita este procedimiento para el enrutador R1 después de modificar los nombres de interfaz, las direcciones y otros parámetros adecuados.

  1. Configure las interfaces con direcciones IPv6.

  2. Configure la dirección de circuito cerrado IPv6.

  3. Configure el ID del enrutador y el número del sistema autónomo (AS).

  4. Configure una sesión de emparejamiento EBGP entre el enrutador R1 y el enrutador R2.

  5. Configure una ruta estática y un salto siguiente. Por lo tanto, se agrega una ruta a la tabla de enrutamiento para comprobar la característica en este ejemplo.

  6. Especifique condiciones de especificación de flujo.

  7. Configure una discard acción para descartar paquetes que coincidan con las condiciones de coincidencia especificadas.

  8. Especifique condiciones de especificación de flujo.

  9. Configure una accept acción para aceptar paquetes que coincidan con las condiciones de coincidencia especificadas

  10. Defina una política que permita que el BGP acepte rutas estáticas.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show protocols, show routing-optionsy show policy-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la presencia de rutas de especificación de flujo IPv6 en la tabla inet6flow

Propósito

Muestre las rutas en la tabla en el inet6flow enrutador R1 y R2 y compruebe que el BGP aprendió las rutas de flujo.

Acción

Desde el modo operativo, ejecute el comando en el show route table inet6flow.0 extensive enrutador R1.

Desde el modo operativo, ejecute el comando en el show route table inet6flow.0 extensive enrutador R2.

Significado

La presencia de rutas abcd::11:11:11:10/128 y abcd::11:11:11:30/128 en la tabla confirma que el inet6flow BGP ha aprendido las rutas de flujo.

Verificar la información de resumen del BGP

Propósito

Verifique que la configuración del BGP sea correcta.

Acción

Desde el modo operativo, ejecute el comando en el show bgp summary enrutador R1 y R2.

Significado

Compruebe que la inet6.0 tabla contiene la dirección del vecino del BGP y que se ha establecido una sesión de emparejamiento con su vecino del BGP.

Verificación de validación de flujo

Propósito

Muestra información de ruta de flujo.

Acción

Desde el modo operativo, ejecute el comando en el show route flow validation enrutador R1.

Significado

El resultado muestra las rutas de flujo en la inet6.0 tabla.

Verificar la especificación de flujo de rutas IPv6

Propósito

Muestra la cantidad de paquetes que se descartan y se aceptan según las rutas de especificación de flujo especificadas.

Acción

Desde el modo operativo, ejecute el comando en el show firewall filter_flowspec_default_inet6_ enrutador R2.

Significado

El resultado indica que los paquetes destinados a abcd::11:11:11:10/128 se descartan y se aceptan 88826 paquetes para la ruta abcd::11:11:11:11:30/128.

Configurar la acción de especificación de flujo BGP Redirigir a IP para filtrar tráfico DDoS

A partir de Junos OS versión 18.4R1, se admite la especificación de flujo bgp tal como se describe en el borrador de BGP Flow-Spec Internet draft-ietf-idr-flowspec-redirect-ip-02.txt. Redirigir a la acción de IP utiliza la comunidad de BGP extendida para proporcionar opciones de filtrado de tráfico para la mitigación de DDoS en las redes de proveedores de servicios. La especificación de flujo heredada redirigir a IP utiliza el atributo nexthop del BGP. Junos OS anuncia redirigir a la acción de especificación de flujo IP mediante la comunidad extendida de forma predeterminada. Esta función es necesaria para admitir el encadenamiento de servicios en la puerta de enlace de control de servicio virtual (vSCG). Redirigir a la acción IP permite desviar el tráfico de especificación de flujo coincidente a una dirección globalmente accesible que se puede conectar a un dispositivo de filtrado que puede filtrar el tráfico DDoS y enviar el tráfico limpio al dispositivo de salida.

Antes de comenzar a redirigir tráfico a IP para rutas de especificación de flujo BGP, haga lo siguiente:

  1. Configure las interfaces del dispositivo.

  2. Configure OSPF o cualquier otro protocolo IGP.

  3. Configure MPLS y LDP.

  4. Configure BGP.

Configure la función de redirección a IP mediante la comunidad extendida del BGP.

  1. Configure el redireccionamiento a la acción IP para rutas estáticas de especificación de flujo IPv4 tal como se especifica en el borrador de Bgp Flow-Spec Internet draft-ietf-idr-flowspec-redirect-ip-02.txt, Redirect to IP Action .

    Junos OS anuncia redirigir a la acción de especificación de flujo IP mediante el uso de la comunidad extendida redirigir a IP de forma predeterminada. El dispositivo de entrada detecta y envía el tráfico DDoS a la dirección IP especificada.

    Por ejemplo, redireccionamiento del tráfico DDoS a la dirección IPv4 10.1.1.1.

  2. Configure la redirección a la acción IP para rutas de especificación de flujo IPv6 estáticas.

    Por ejemplo, redireccionamiento del tráfico DDoS a la dirección IPv6 1002:db8::

  3. Defina una política para filtrar el tráfico de una comunidad bgp específica.

    Por ejemplo, defina una política p1 para filtrar el tráfico de la redirip de la comunidad bgp.

  4. Defina una política para establecer, agregar o eliminar una comunidad bgp y especifique la comunidad extendida.

    Por ejemplo, defina una política p1 para establecer, agregar o eliminar una comunidad reidirip y una comunidad extendida para redirigir el tráfico a la dirección IP 10.1.1.1.

  5. Configure el BGP para usar la tabla VRF.inet.0 para resolver las rutas de especificación de flujo VRF incluyen instrucción en el nivel jerárquico.

Configure la especificación de flujo heredada redirigir a la función IP mediante el atributo nexthop.

Nota:

No puede configurar políticas para redirigir el tráfico a una dirección IP mediante la comunidad extendida del BGP y la redirección heredada a la dirección IP del próximo salto juntos.

  1. Configure la especificación de flujo heredada redirigir a IP especificada en el borrador de Internet draft-ietf-idr-flowspec-redirect-ip-00.txt, la comunidad extendida del BGP Flow-Spec para la redireccionamiento del tráfico al salto siguiente IP incluye en el nivel jerárquico.

  2. Defina una política para que coincida con el atributo del salto siguiente.

    Por ejemplo, defina una política p1 para redirigir el tráfico a la dirección IP del próximo salto 10.1.1.1.

  3. Defina una política para establecer, agregar o eliminar la comunidad del BGP mediante la especificación de flujo heredada del siguiente atributo de salto redirigir a la acción IP.

    Por ejemplo, defina una política p1 y establezca, agregue o elimine una redirnh de comunidad bgp para redirigir el tráfico DDoS a la dirección IP de salto siguiente 10.1.1.1.

Reenvío de tráfico mediante la acción DSCP de especificación de flujo bgp

Configure la acción DSCP de especificación de flujo del BGP (FlowSpec) para usar la información de prioridad de pérdida y clase de reenvío para reenviar paquetes a través de la red de manera eficaz.

Ventajas de la acción DSCP de BGP FlowSpec

  • Reenvía el tráfico a las colas COS deseadas, donde las políticas de COS se aplican al tráfico correctamente.
  • Influye en el comportamiento del reenvío local (por ejemplo, la selección del túnel) según el valor DSCP aprovisionado.
  • Ayuda a administrar el tráfico de su red de manera eficaz.

Los paquetes que ingresan a un enrutador pasan por varias funciones (como firewall, COS, etc.) aplicadas en la interfaz de entrada. Si configura el filtro FlowSpec del BGP en la interfaz de entrada, el filtro se aplica a los paquetes por instancia de enrutamiento según la acción DSCP. La acción DSCP clasifica y reescritura los paquetes, junto con el cambio de código DSCP mediante el filtro BGP FlowSpec. Según la información de la clase de reenvío y la prioridad de pérdida, los paquetes se colocan en la cola de reenvío correcta. Los paquetes viajan a través de rutas de flujo solo si se cumplen condiciones de coincidencia específicas. Las condiciones de coincidencia pueden ser dirección IP de origen y destino, puerto de origen y destino, DSCP, número de protocolo, etc. La información de clase de reenvío y prioridad de pérdida se actualiza mediante la tabla de asignación inversa.

Aquí hay una topología de una sesión bgp establecida entre el proveedor de servicios y las redes de clientes empresariales.

En esta topología, se configura una sesión bgp entre el proveedor de servicios y la red del cliente empresarial para BGP FlowSpec. El filtro FlowSpec del BGP se aplica en enrutadores PE1 y PE2. Los paquetes que ingresan a estos enrutadores se reescribe según el filtro FlowSpec del BGP y la acción DSCP.

Para habilitar el filtro FlowSpec del BGP en un dispositivo, debe agregar la dscp-mapping-classifier instrucción de configuración en el nivel de jerarquía [edit forwarding-options family (inet | inet6)].

La siguiente configuración de COS de ejemplo asigna el código DSCP a la clase de reenvío y a la prioridad de pérdida:

Tabla de historial de versiones
Liberación
Descripción
20.3R1
A partir de la versión 20.3R1 de cRPD, las rutas de flujo y las reglas de políticas propagadas a través de la especificación de flujo BGP NLRI se descargan al kernel de Linux a través del marco netfilter de Linux en entornos cRPD.
17.2R1
A partir de Junos OS versión 17.2R1, el BGP puede transportar mensajes de información de accesibilidad de capa de red de especificación de flujo (NLRI) en enrutadores PTX1000 que tienen FPC de tercera generación instalados.
17.1R1
A partir de Junos OS versión 17.1R1, el BGP puede transportar mensajes de información de accesibilidad de capa de red de especificación de flujo (NLRI) en enrutadores serie PTX que tienen FPCC de tercera generación (FPC3-PTX-U2 y FPC3-PTX-U3 en PTX5000 y FPC3-SFF-PTX-U0 y FPC3-SFF-PTX-U1 en PTX3000) instalados.
16.1R4
A partir de Junos OS versión 16.1R4, el rango de límite de velocidad es de [0 a 1000000000000].
16.1
A partir de Junos OS versión 16.1, la compatibilidad con IPv6 se extiende a la especificación de flujo BGP que permite la propagación de reglas de especificación de flujo de tráfico para paquetes IPv6 y VPN-IPv6.
16.1
A partir de Junos OS versión 16.1R1, la especificación de flujo del BGP admite la acción de filtrado de marcado extended-community de tráfico.
16.1
A partir de Junos OS versión 16.1, tiene la opción de no aplicar el flowspec filtro al tráfico recibido en interfaces específicas.
15.1
A partir de Junos OS versión 15.1, se implementan cambios para extender la compatibilidad de enrutamiento activo sin interrupciones (NSR) para familias existentes de flujo de inet-flow e inetvpn-flow, y extender la validación de ruta para el flowspec bgp por draft-ietf-idr-bgp-flowspec-oid-01.