Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica o a una dirección IP de destino

Descripción del reenvío basado en filtros a una interfaz de salida específica o dirección IP de destino

El enrutamiento basado en políticas (también conocido como reenvío basado en filtros) se refiere al uso de filtros de firewall que se aplican a una interfaz para que coincida con ciertas características del encabezado IP y para enrutar solo aquellos paquetes coincidentes de manera diferente a como se enrutarían normalmente los paquetes.

A partir de Junos OS versión 12.2, puede utilizar , o como una acción en un filtro de firewall.then next-interfacethen next-ipthen next-ip6 A partir de condiciones de coincidencia específicas, se pueden especificar direcciones IPv4 e IPv6 o un nombre de interfaz como acción de respuesta a una coincidencia.

El conjunto de condiciones de coincidencia puede ser el siguiente:

  • Propiedades de capa 3 (por ejemplo, la dirección IP de origen o destino o el byte de TOS)

  • Propiedades de capa 4 (por ejemplo, el puerto de origen o destino)

La ruta para la dirección IPv4 o IPv6 dada debe estar presente en la tabla de enrutamiento para que el enrutamiento basado en políticas surta efecto. Del mismo modo, la ruta a través de la interfaz dada tiene que estar presente en la tabla de reenvío para que la acción surta efecto.next-interface Esto se puede lograr configurando un protocolo de puerta de enlace interior (IGP), como OSPF o IS-IS, para anunciar rutas de capa 3.

El filtro de firewall coincide con las condiciones y reenvía el paquete a una de las siguientes opciones:

  • Una dirección IPv4 (mediante la acción de filtro de firewall)next-ip

  • Una dirección IPv6 (mediante la acción de filtro de firewall)next-ip6

  • Una interfaz (mediante la acción de filtro de firewall)next-interface

Supongamos, por ejemplo, que desea ofrecer servicios a sus clientes y los servicios residen en servidores diferentes. Un ejemplo de un servicio podría ser DNS alojado o FTP alojado. A medida que el tráfico de clientes llega al dispositivo de enrutamiento de Juniper Networks, puede usar el reenvío basado en filtros para enviar tráfico a los servidores aplicando una condición de coincidencia en una dirección MAC o una dirección IP o simplemente una interfaz entrante y enviar los paquetes a una determinada interfaz saliente que esté asociada con el servidor apropiado. Algunos de sus destinos pueden ser direcciones IPv4 o IPv6, en cuyo caso la acción o es útil.next-ipnext-ip6

Opcionalmente, puede asociar las interfaces o direcciones IP salientes con instancias de enrutamiento.

Por ejemplo:

Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica

En este ejemplo se muestra cómo usarlo como una acción en un filtro de firewall.then next-interface

Requisitos

Este ejemplo tiene los siguientes requisitos de hardware y software:

  • Plataforma de enrutamiento universal 5G de la serie MX como dispositivo de enrutamiento con el filtro de firewall configurado.

  • Junos OS versión 12.2 ejecutándose en el dispositivo de enrutamiento con el filtro de firewall configurado.

  • El filtro con la acción (o ) solo se puede aplicar a una interfaz alojada en un MPC de Trio.next-interfacenext-ip Si aplica el filtro a un DPC basado en I-chip, se produce un error en la operación de confirmación.

  • La interfaz saliente a la que se hace referencia en la acción se puede alojar en un MPC Trio o en un DPC basado en I-chip.next-interface interface-name

Descripción general

En este ejemplo, el dispositivo R1 tiene configuradas dos direcciones de interfaz de circuito cerrado: 172.16.1.1 y 172.16.2.2.

En el dispositivo R2, un filtro de firewall tiene varios términos configurados. Cada término coincide con una de las direcciones de origen del tráfico entrante y enruta el tráfico a interfaces de salida especificadas. Las interfaces salientes se configuran como interfaces etiquetadas con VLAN entre los dispositivos R2 y R3.

IS-IS se utiliza para la conectividad entre los dispositivos.

Figura 1muestra la topología utilizada en este ejemplo.

Figura 1: Reenvío basado en filtros a interfaces de salida especificadasReenvío basado en filtros a interfaces de salida especificadas

En este ejemplo se muestra la configuración del dispositivo R2.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]

Dispositivo R2

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte el Manual del usuario de la CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar el dispositivo R2:

  1. Configure las interfaces.

  2. Configure el filtro de firewall.

  3. Habilite IS-IS en las interfaces.

Resultados

Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show interfacesshow firewallshow protocols Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de las rutas utilizadas

Propósito

Asegúrese de que se utilizan las rutas esperadas al enviar tráfico del dispositivo R1 al dispositivo R4.

Acción

En el dispositivo R1, escriba el comando.traceroute

Significado

El resultado muestra que el segundo salto cambia, dependiendo de la dirección de origen utilizada en el comando.traceroute

Para verificar esta característica, se realiza una operación traceroute en los dispositivos R1 a R4. Cuando la dirección IP de origen es 172.16.1.1, los paquetes se reenvían por la interfaz ge-2/1/1.0 en el dispositivo R2. Cuando la dirección IP de origen es 172.16.2.2, los paquetes se reenvían a la interfaz ge-2/1/1.1 en el dispositivo R2.

Ejemplo: Configuración del reenvío basado en filtros a una dirección IP de destino específica

En este ejemplo se muestra cómo usarlo como una acción en un filtro de firewall.then next-ip

Requisitos

Este ejemplo tiene los siguientes requisitos de hardware y software:

  • Plataforma de enrutamiento universal 5G de la serie MX como dispositivo de enrutamiento con el filtro de firewall configurado.

  • Junos OS versión 12.2 ejecutándose en el dispositivo de enrutamiento con el filtro de firewall configurado.

  • El filtro con la acción (o ) solo se puede aplicar a una interfaz alojada en un MPC de Trio.next-interfacenext-ip Si aplica el filtro a un DPC basado en I-chip, se produce un error en la operación de confirmación.

  • La interfaz saliente a la que se hace referencia en la acción de nombre de interfaz siguiente se puede alojar en un MPC Trio o en un DPC basado en I-chip.

Descripción general

En este ejemplo, el dispositivo R2 tiene dos instancias de enrutamiento que están interconectadas con vínculos físicos. Se requiere que el tráfico de ciertas fuentes se dirija a través del enlace superior para su inspección por un optimizador de tráfico, que actúa de forma transparente en la capa IP. Cuando se produce un error en el optimizador de tráfico, el tráfico se mueve al vínculo inferior. Los flujos en dirección R1>R3 y R3>R1 siguen caminos idénticos.

Figura 2muestra la topología utilizada en este ejemplo.

Figura 2: Reenvío basado en filtros a interfaces de salida especificadasReenvío basado en filtros a interfaces de salida especificadas

En el dispositivo R2, se aplica un filtro de firewall a la interfaz ge-1/0/8 en la dirección de entrada. El segundo término coincide con las direcciones de origen específicas 10.0.0.0/24 y enruta el tráfico a la dirección 192.168.0.3. Esta dirección tiene por orden orden en el siguiente salto 192.168.20.2. Si el vínculo conectado a la interfaz ge-1/1/0 deja de funcionar, la dirección 192.168.0.3 se resolverá en el siguiente salto 192.168.30.2.

En el dispositivo R2, se aplica un filtro de firewall a la interfaz ge-1/0/0 en la dirección de entrada. El segundo término coincide con las direcciones de destino específicas 10.0.0.0/24 y enruta el tráfico a la dirección 192.168.0.2. Esta dirección tiene por orden orden en el siguiente salto 192.168.20.1. Si el vínculo conectado a la interfaz ge-1/3/8 deja de funcionar, la dirección 192.168.0.2 se resolverá en el siguiente salto 192.168.30.1.

Nota:

La dirección configurada mediante la acción no se resuelve automáticamente.next-ip En las interfaces Ethernet, se supone que la dirección configurada se resuelve mediante un protocolo de enrutamiento o rutas estáticas.

El BGP interno (IBGP) se utiliza entre los dispositivos R2-VR1 y R2-VR2. El BGP externo (EBGP) se utiliza entre los dispositivos R1 y R2-VR1, así como entre los dispositivos R2-VR2 y R3.

Las operaciones de BGP proceden de la siguiente manera:

  • R2-VR1 aprende 10/8 de R1 y 0/0 de R2-VR2.

  • R2-VR2 aprende 0/0 de R3 y 10/8 de R2-VR1.

  • R1 anuncia 10/8 y recibe 0/0 de R2-VR1.

  • R3 anuncia 0/0 y recibe 10/8 de R2-VR2.

El filtro de firewall aplicado al dispositivo R2 debe permitir el tráfico del plano de control para las interfaces conectadas directamente, en este caso las sesiones EBGP.

En este ejemplo se muestra la configuración del dispositivo R2.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]

Dispositivo R1

Dispositivo R2

Dispositivo R3

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte el Manual del usuario de la CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar el dispositivo R2:

  1. Configure las interfaces.

  2. Configure la instancia de enrutamiento.

  3. Configure el enrutamiento estático y BGP.

  4. Configure los filtros del firewall.

  5. Configure la directiva de enrutamiento.

Resultados

Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show interfacesshow firewallshow protocols Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de las rutas utilizadas

Propósito

Asegúrese de que se utilizan las rutas esperadas al enviar tráfico del dispositivo R1 al dispositivo R3.

Acción

En el dispositivo R1, ingrese el comando antes y después de la falla del vínculotraceroute

Antes del fallo del optimizador de tráfico

Después de la falla del optimizador de tráfico

Significado

El resultado muestra que el segundo salto cambia, dependiendo de la dirección de origen utilizada en el comando.traceroute

Para verificar esta característica, se realiza una operación traceroute en el dispositivo R1 al dispositivo R3. Cuando la dirección IP de origen es 10.0.0.1, los paquetes se reenvían a la interfaz ge-1/1/0.0 en el dispositivo R2. Cuando la dirección IP de origen es 10.1.0.1, los paquetes se reenvían a la interfaz ge-1/1/1.0 en el dispositivo R2.

Cuando falla el vínculo entre ge-1/1/0 y ge-1/3/8, los paquetes con la dirección IP de origen 10.0.0.1 se reenvían a la interfaz ge-1/1/1.0 en el dispositivo R2.