Filtros de firewall en sistemas lógicos
Los filtros de firewall proporcionan reglas que definen para aceptar o descartar paquetes que transitan por una interfaz. Para obtener más información, consulte los siguientes temas:
Descripción de cómo usar filtros de firewall estándar
- Uso de filtros de firewall estándar para afectar los paquetes locales
- Uso de filtros de firewall estándar para afectar los paquetes de datos
Uso de filtros de firewall estándar para afectar los paquetes locales
En un enrutador, puede configurar una interfaz de circuito cerrado físico, lo0 y una o más direcciones en la interfaz. La interfaz de circuito cerrado es la interfaz al motor de enrutamiento, que ejecuta y monitorea todos los protocolos de control. La interfaz de circuito cerrado solo lleva paquetes locales. Los filtros de firewall estándar aplicados a la interfaz de circuito cerrado afectan a los paquetes locales destinados o transmitidos desde el motor de enrutamiento.
Cuando se crea una interfaz de circuito cerrado adicional, es importante aplicarle un filtro para que el motor de enrutamiento esté protegido. Recomendamos que cuando aplique un filtro a la interfaz de circuito cerrado, incluya la instrucción apply-groups . Al hacerlo, se garantiza que el filtro se hereda automáticamente en cada interfaz de circuito cerrado, incluyendo lo0 y otras interfaces de circuito cerrado.
Fuentes de confianza
El uso típico de un filtro de firewall estándar sin estado es proteger los procesos y recursos del motor de enrutamiento de paquetes maliciosos o no confiables. Para proteger los procesos y recursos propiedad del motor de enrutamiento, puede usar un filtro de firewall sin estado estándar que especifique qué protocolos y servicios o aplicaciones pueden llegar al motor de enrutamiento. La aplicación de este tipo de filtro a la interfaz de circuito cerrado garantiza que los paquetes locales provienen de un origen de confianza y protege los procesos que se ejecutan en el motor de enrutamiento de un ataque externo.
Prevención de inundación
Puede crear filtros de firewall estándar sin estado que limiten cierto tráfico TCP e ICMP destinado al motor de enrutamiento. Un enrutador sin este tipo de protección es vulnerable a ataques de inundación TCP e ICMP, que también se denominan ataques de denegación de servicio (DoS). Por ejemplo:
Un ataque de inundación TCP de paquetes SYN que inician solicitudes de conexión puede sobrecargar el dispositivo hasta que ya no pueda procesar solicitudes de conexión legítimas, lo que da como resultado la denegación de servicio.
Una inundación ICMP puede sobrecargar el dispositivo con tantas solicitudes de eco (solicitudes de ping) que gasta todos sus recursos respondiendo y ya no puede procesar tráfico de red válido, lo que también resulta en denegación de servicio.
La aplicación de los filtros de firewall adecuados al motor de enrutamiento protege contra este tipo de ataques.
Uso de filtros de firewall estándar para afectar los paquetes de datos
Los filtros de firewall estándar que aplica a las interfaces de tránsito del enrutador evalúan solo los paquetes de datos de usuario que transitan por el enrutador de una interfaz directamente a otra, ya que se reenvían de un origen a un destino. Para proteger la red en su conjunto del acceso no autorizado y otras amenazas en interfaces específicas, puede aplicar filtros de firewall interfaces de tránsito de enrutador.
Consulte también
Ejemplo: Configurar un filtro de firewall sin estado para proteger un sistema lógico contra las inundaciones ICMP
En este ejemplo, se muestra cómo configurar un filtro de firewall sin estado que protege contra ataques icmp de denegación de servicio en un sistema lógico.
Requisitos
En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.
Visión general
En este ejemplo, se muestra un filtro de firewall sin estado llamado protect-RE que policia los paquetes ICMP. El icmp-policer límite de la velocidad de tráfico de los paquetes ICMP a 1000 000 bps y el tamaño de ráfaga a 15 000 bytes. Los paquetes que superan la velocidad de tráfico se descartan.
El agente de policía se incorpora a la acción de un término de filtro llamado icmp-term.
En este ejemplo, se envía un ping desde un enrutador físico conectado directamente a la interfaz configurada en el sistema lógico. El sistema lógico acepta los paquetes ICMP si se reciben a una velocidad de hasta 1 Mbps (límite de ancho de banda). El sistema lógico descarta todos los paquetes ICMP cuando se supera esta velocidad. La burst-size-limit instrucción acepta ráfagas de tráfico de hasta 15 Kbps. Si las ráfagas superan este límite, se pierden todos los paquetes. Cuando la velocidad de flujo disminuye, los paquetes ICMP se aceptan de nuevo.
Topología
La figura 1 muestra la topología utilizada en este ejemplo.
sin estado
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI.
Para configurar un filtro de firewall ICMP en un sistema lógico:
Configure la interfaz en el sistema lógico.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
Habilite explícitamente que los paquetes ICMP se reciban en la interfaz.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
Cree el agente de policía.
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
Aplique el aplicador de policía a un término de filtro.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
Aplique el aplicador de policía a la interfaz lógica del sistema.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme su configuración mediante la emisión del show logical-systems LS1 comando.
user@host# show logical-systems LS1
interfaces {
so-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
Verificación
Confirme que la configuración funciona correctamente.
Verificar que el ping funcione a menos que se superen los límites
Propósito
Asegúrese de que la interfaz del sistema lógico está protegida contra ataques DoS basados en ICMP.
Acción
Inicie sesión en un sistema que tenga conectividad con el sistema lógico y ejecute el ping comando.
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
Significado
Cuando se envía un ping normal, se acepta el paquete. Cuando se envía un paquete ping que supera el límite de filtro, el paquete se descarta.
Ejemplo: Configurar el reenvío basado en filtros en sistemas lógicos
En este ejemplo, se muestra cómo configurar el reenvío basado en filtros dentro de un sistema lógico. El filtro clasifica los paquetes para determinar su ruta de reenvío dentro del dispositivo de enrutamiento de entrada.
Requisitos
En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.
Visión general
El reenvío basado en filtros se admite para IP versión 4 (IPv4) e IP versión 6 (IPv6).
Utilice el reenvío basado en filtros para la selección de proveedores de servicios cuando los clientes tengan conectividad a Internet proporcionada por distintos ISP y compartan una capa de acceso común. Cuando se utiliza un medio compartido (como un módem de cable), un mecanismo en la capa de acceso común mira las direcciones de capa 2 o capa 3 y distingue entre los clientes. Puede utilizar el reenvío basado en filtros cuando se implementa la capa de acceso común mediante una combinación de conmutadores de capa 2 y un solo enrutador.
Con el reenvío basado en filtros, se consideran todos los paquetes recibidos en una interfaz. Cada paquete pasa a través de un filtro que tiene condiciones de coincidencia. Si se cumplen las condiciones de coincidencia de un filtro y ha creado una instancia de enrutamiento, el reenvío basado en filtros se aplica a un paquete. El paquete se reenvía según el salto siguiente especificado en la instancia de enrutamiento. Para rutas estáticas, el siguiente salto puede ser un LSP específico.
La coincidencia de filtros de uso de clase de origen y las comprobaciones de reenvío de ruta inversa de unidifusión no se admiten en una interfaz configurada con reenvío basado en filtros (FBF).
Para configurar el reenvío basado en filtros, realice las siguientes tareas:
Cree un filtro de coincidencia en un enrutador o conmutador de entrada. Para especificar un filtro de coincidencia, incluya la
filter filter-nameinstrucción en el[edit firewall]nivel de jerarquía. Un paquete que pasa por el filtro se compara con un conjunto de reglas para clasificarlo y determinar su pertenencia a un conjunto. Una vez clasificado, el paquete se reenvía a una tabla de enrutamiento especificada en la acción de aceptación en el idioma de descripción del filtro. A continuación, la tabla de enrutamiento reenvía el paquete al siguiente salto que corresponde a la entrada de dirección de destino de la tabla.Cree instancias de enrutamiento que especifiquen las tablas de enrutamiento a las que se reenvía un paquete y el destino al que se reenvía el paquete en el nivel de jerarquía
[edit routing-instances]o[edit logical-systems logical-system-name routing-instances]. Por ejemplo:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }Cree un grupo de tabla de enrutamiento que agregue rutas de interfaz a las instancias de enrutamiento de reenvío utilizadas en el reenvío basado en filtros (FBF), así como a la instancia
inet.0de enrutamiento predeterminada. Esta parte de la configuración resuelve las rutas instaladas en las instancias de enrutamiento para conectar directamente los próximos saltos en esa interfaz. Cree el grupo de tabla de enrutamiento en el[edit routing-options]nivel de jerarquía o[edit logical-systems logical-system-name routing-options].
Especifique inet.0 como una de las instancias de enrutamiento en las que se importan las rutas de interfaz. Si no se especifica la instancia inet.0 predeterminada, las rutas de interfaz no se importan a la instancia de enrutamiento predeterminada.
En este ejemplo, se muestra un filtro de paquetes que dirige el tráfico del cliente a un enrutador de salto siguiente en los dominios, SP 1 o SP 2, según la dirección de origen del paquete.
Si el paquete tiene una dirección de origen asignada a un cliente de SP 1, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp1-route-table.inet.0. Si el paquete tiene una dirección de origen asignada a un cliente de SP 2, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp2-route-table.inet.0. Si un paquete no coincide con ninguna de estas condiciones, el filtro acepta el paquete y el reenvío basado en destino se produce mediante la tabla de enrutamiento estándar inet.0.
Una forma de hacer que el reenvío basado en filtros funcione dentro de un sistema lógico es configurar el filtro de firewall en el sistema lógico que recibe los paquetes. Otra forma es configurar el filtro de firewall en el enrutador principal y, luego, hacer referencia al sistema lógico en el filtro de firewall. En este ejemplo, se utiliza el segundo enfoque. Las instancias de enrutamiento específicas se configuran dentro del sistema lógico. Dado que cada instancia de enrutamiento tiene su propia tabla de enrutamiento, también debe hacer referencia a las instancias de enrutamiento en el filtro de firewall. La sintaxis tiene el siguiente aspecto:
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
Topología
La figura 2 muestra la topología utilizada en este ejemplo.
En el sistema lógico P1, un filtro de entrada clasifica los paquetes recibidos del sistema lógico PE3 y del sistema lógico PE4. Los paquetes se enrutan según las direcciones de origen. Los paquetes con direcciones de origen en las redes 10.1.1.0/24 y 10.1.2.0/24 se enrutan al sistema lógico PE1. Los paquetes con direcciones de origen en las redes 10.2.1.0/24 y 10.2.2.0/24 se enrutan al sistema lógico PE2.
basado en filtros
Para establecer la conectividad, OSPF se configura en todas las interfaces. Para fines de demostración, las direcciones de interfaz de circuito cerrado se configuran en los dispositivos de enrutamiento para representar redes en las nubes.
La sección Configuración rápida de CLI muestra toda la configuración de todos los dispositivos de la topología. La configuración de las instancias de enrutamiento en el sistema lógico P1 y la configuración del filtro de firewall en las secciones del enrutador principal muestra la configuración paso a paso del dispositivo de enrutamiento de entrada, Logical System P1.
Configuración
- Configuración rápida de CLI
- Configuración del filtro de firewall en el enrutador principal
- Configuración de las instancias de enrutamiento en el sistema lógico P1
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [editar] .
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
Configuración del filtro de firewall en el enrutador principal
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI.
Para configurar el filtro de firewall en el enrutador principal:
Configure las direcciones de origen para los clientes de SP1.
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas.
Para realizar un seguimiento de la acción del filtro de firewall, se configura una acción de registro. La tabla de enrutamiento sp1-route-table.inet.0 en el sistema lógico P1 enruta los paquetes.
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
Configure las direcciones de origen para los clientes de SP2.
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas.
Para realizar un seguimiento de la acción del filtro de firewall, se configura una acción de registro. La tabla de enrutamiento sp2-route-table.inet.0 en el sistema lógico P1 enruta el paquete.
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
Configure la acción que se debe realizar cuando se reciben paquetes desde cualquier otra dirección de origen.
Todos estos paquetes se aceptan y enrutan simplemente mediante la tabla de enrutamiento de unidifusión IPv4 predeterminada, inet.0.
[edit firewall filter classify-customers term default] user@host# set then accept
Configuración de las instancias de enrutamiento en el sistema lógico P1
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI.
Para configurar las instancias de enrutamiento en un sistema lógico:
Configure las interfaces en el sistema lógico.
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
Asigne el filtro de firewall a la
classify-customersinterfaz del enrutador lt-1/2/0.10 como filtro de paquete de entrada.[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
Configure la conectividad mediante un protocolo de enrutamiento o un enrutamiento estático.
Como práctica recomendada, desactive el enrutamiento en la interfaz de administración.
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
Cree las instancias de enrutamiento.
Se hace referencia a estas instancias de enrutamiento en el filtro de
classify-customersfirewall.El tipo de instancia de reenvío proporciona compatibilidad para el reenvío basado en filtros, donde las interfaces no están asociadas con instancias. Todas las interfaces pertenecen a la instancia predeterminada, en este caso el sistema lógico P1.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
Resuelva las rutas instaladas en las instancias de enrutamiento para conectar directamente los próximos saltos.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
Agrupe las tablas de enrutamiento para formar un grupo de tablas de enrutamiento.
La primera tabla de enrutamiento, inet.0, es la tabla de enrutamiento principal y las tablas de enrutamiento adicionales son las tablas de enrutamiento secundarias.
La tabla de enrutamiento principal determina la familia de direcciones del grupo de tabla de enrutamiento, en este caso IPv4.
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
Aplique el grupo de tablas de enrutamiento a OSPF.
Esto hace que las rutas OSPF se instalen en todas las tablas de enrutamiento del grupo.
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme su configuración mediante la emisión de los show firewall comandos y show logical-systems P1 .
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show logical-systems P1
interfaces {
lt-1/2/0 {
unit 10 {
encapsulation ethernet;
peer-unit 9;
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
unit 13 {
encapsulation ethernet;
peer-unit 14;
family inet {
address 172.16.0.13/30;
}
}
unit 17 {
encapsulation ethernet;
peer-unit 18;
family inet {
address 172.16.0.17/30;
}
}
}
}
protocols {
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
}
routing-instances {
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.13;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.17;
}
}
}
}
routing-options {
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
}
Verificación
Confirme que la configuración funciona correctamente.
Hacer ping con direcciones de origen especificadas
Propósito
Envíe algunos paquetes ICMP a través de la red para probar el filtro de firewall.
Acción
Inicie sesión en el sistema lógico PE3.
user@host> set cli logical-system PE3 Logical system: PE3
Ejecute el
pingcomando y haga ping en la interfaz lo0.3 en el sistema lógico PE1.La dirección configurada en esta interfaz es 172.16.1.1.
Especifique la dirección de origen 10.1.2.1, que es la dirección configurada en la interfaz lo0.1 en el sistema lógico PE3.
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
Inicie sesión en el sistema lógico PE4.
user@host:PE3> set cli logical-system PE4 Logical system: PE4
Ejecute el
pingcomando y haga ping en la interfaz lo0.4 en el sistema lógico PE2.La dirección configurada en esta interfaz es 172.16.2.2.
Especifique la dirección de origen 10.2.1.1, que es la dirección configurada en la interfaz lo0.2 en el sistema lógico PE4.
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
Significado
El envío de estos ping activa las acciones del filtro de firewall.
Verificar el filtro de firewall
Propósito
Asegúrese de que las acciones del filtro de firewall surtan efecto.
Acción
Inicie sesión en el sistema lógico P1.
user@host> set cli logical-system P1 Logical system: P1
Ejecute el
show firewall logcomando en el sistema lógico P1.user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1