Descripción general del marco de políticas

El sistema ^{operativo de Junos®} (Junos OS) proporciona un marco de políticas, que es una colección de políticas de Junos OS que le permite controlar los flujos de información de enrutamiento y paquetes.

La arquitectura de políticas de Junos OS es simple y directa. Sin embargo, la implementación real de cada política agrega capas de complejidad a la política, además de agregar potencia y flexibilidad a las capacidades de su enrutador. La configuración de una política tiene un impacto importante en el flujo de información o paquetes de enrutamiento dentro y a través del enrutador. Por ejemplo, puede configurar una política de enrutamiento que no permita que las rutas asociadas con un cliente determinado se coloquen en la tabla de enrutamiento. Como resultado de esta política de enrutamiento, las rutas de clientes no se usan para reenviar paquetes de datos a varios destinos y el protocolo de enrutamiento no anuncia las rutas a los vecinos.

Antes de configurar una política, determine lo que quiere lograr con ella y comprenda completamente cómo lograr su objetivo utilizando las diversas condiciones y acciones de coincidencia. Además, asegúrese de que comprende las políticas y acciones predeterminadas de la política que está configurando.

Política de enrutamiento y filtros de firewall

El marco de políticas se compone de las siguientes políticas:

Política de enrutamiento: le permite controlar la información de enrutamiento entre los protocolos de enrutamiento y las tablas de enrutamiento y entre las tablas de enrutamiento y la tabla de reenvío. Todos los protocolos de enrutamiento utilizan las tablas de enrutamiento de Junos OS para almacenar las rutas que aprenden y para determinar qué rutas deben anunciar en sus paquetes de protocolo. La política de enrutamiento le permite controlar en qué rutas almacenan y recuperan los protocolos de enrutamiento de la tabla de enrutamiento.
Política de filtro de firewall: le permite controlar los paquetes que transitan por el enrutador hacia un destino de red y los paquetes destinados y enviados por el enrutador.

Nota:
El término política de filtro de firewall se utiliza aquí para enfatizar que un filtro de firewall es una política y comparte algunas similitudes fundamentales con una política de enrutamiento. Sin embargo, cuando se hace referencia a una política de filtro de firewall en el resto de este manual, se utiliza el término filtro de firewall .

Razones para crear una política de enrutamiento

A continuación, se muestran circunstancias típicas en las que es posible que desee adelantarse a las políticas de enrutamiento predeterminadas en el marco de la política de enrutamiento mediante la creación de sus propias políticas de enrutamiento:

No desea que un protocolo importe todas las rutas a la tabla de enrutamiento. Si la tabla de enrutamiento no aprende acerca de ciertas rutas, nunca se pueden usar para reenviar paquetes y nunca se pueden redistribuir a otros protocolos de enrutamiento.
No desea que un protocolo de enrutamiento exporte todas las rutas activas que aprende.
Desea que un protocolo de enrutamiento anuncie rutas activas aprendidas de otro protocolo de enrutamiento, lo que a veces se denomina redistribución de ruta.
Desea manipular las características de la ruta, como el valor de preferencia, la ruta de AS o la comunidad. Puede manipular las características de la ruta para controlar qué ruta se selecciona como ruta activa para llegar a un destino. En general, la ruta activa también se anuncia a los vecinos de un enrutador.
Desea cambiar los parámetros predeterminados de amortiguación de flaps de rutas del BGP.
Desea realizar un equilibrio de carga por paquete.
Desea habilitar la clase de servicio (CoS).

Flujos de enrutador afectados por políticas

Las políticas de Junos OS afectan a los siguientes flujos de enrutadores:

Flujo de información de enrutamiento entre los protocolos de enrutamiento y las tablas de enrutamiento y entre las tablas de enrutamiento y la tabla de reenvío. El motor de enrutamiento controla este flujo. La información de enrutamiento es la información sobre las rutas aprendidas por los protocolos de enrutamiento de los vecinos de un enrutador. Esta información se almacena en tablas de enrutamiento y posteriormente los protocolos de enrutamiento la anuncian a los vecinos del enrutador. Las políticas de enrutamiento le permiten controlar el flujo de esta información.
Flujo de paquetes de datos que entran y salen de las interfaces físicas del enrutador. El motor de reenvío de paquetes controla este flujo. Los paquetes de datos son fragmentos de datos que transitan por el enrutador a medida que se reenvían de un origen a un destino. Cuando un enrutador recibe un paquete de datos en una interfaz, determina dónde reenviar el paquete buscando en la tabla de reenvío la mejor ruta a un destino. Luego, el enrutador reenvía el paquete de datos hacia su destino a través de la interfaz adecuada. Los filtros de firewall le permiten controlar el flujo de estos paquetes de datos.
Flujo de paquetes locales desde las interfaces físicas del enrutador al motor de enrutamiento. El motor de enrutamiento controla este flujo. Los paquetes locales son fragmentos de datos destinados o enviados por el enrutador. Los paquetes locales suelen contener datos de protocolo de enrutamiento, datos de servicios IP como Telnet o SSH y datos de protocolos administrativos como el Protocolo de mensajes de control de Internet (ICMP). Cuando el motor de enrutamiento recibe un paquete local, lo reenvía al proceso adecuado o al kernel, que forman parte del motor de enrutamiento o al motor de reenvío de paquetes. Los filtros de firewall le permiten controlar el flujo de estos paquetes locales.

Nota:
En el resto de este capítulo, el término paquetes se refiere tanto a los datos como a los paquetes locales, a menos que se indique explícitamente lo contrario.

La figura 1 ilustra los flujos a través del enrutador. Aunque los flujos son muy diferentes entre sí, también son interdependientes. Las políticas de enrutamiento determinan qué rutas se colocan en la tabla de reenvío. La tabla de reenvío, a su vez, tiene un papel integral en la determinación de la interfaz física adecuada a través de la cual reenviar un paquete.

Figura 1: Flujos de información de enrutamiento y paquetes Illustrates the flow of data in a network through routing protocols, routing tables, forwarding tables, and router interfaces.

Illustrates the flow of data in a network through routing protocols, routing tables, forwarding tables, and router interfaces.

Puede configurar políticas de enrutamiento para controlar qué rutas colocan los protocolos de enrutamiento en las tablas de enrutamiento y para controlar qué rutas anuncian los protocolos de enrutamiento desde las tablas de enrutamiento (consulte la Figura 2). Los protocolos de enrutamiento anuncian rutas activas solo desde las tablas de enrutamiento. (Una ruta activa es una ruta que se elige de todas las rutas de la tabla de enrutamiento para llegar a un destino).

También puede usar políticas de enrutamiento para hacer lo siguiente:

Cambie las características específicas de la ruta, que le permiten controlar qué ruta se selecciona como ruta activa para llegar a un destino. En general, la ruta activa también se anuncia a los vecinos de un enrutador.
Cambie a los valores predeterminados de amortiguación de flaps de ruta del BGP.
Realice un equilibrio de carga por paquete.
Habilite la clase de servicio (CoS).

Figura 2: Políticas de enrutamiento para controlar el flujo Conceptual diagram showing interaction between routing protocols, policies, and tables. Inputs from BGP, RIP, others. Policies manage flow to and from routing tables.

Conceptual diagram showing interaction between routing protocols, policies, and tables. Inputs from BGP, RIP, others. Policies manage flow to and from routing tables.

de información de enrutamiento

Puede configurar filtros de firewall para controlar los siguientes aspectos del flujo de paquetes (consulte la Figura 3):

Qué paquetes de datos se aceptan y se transmiten desde las interfaces físicas. Para controlar el flujo de paquetes de datos, aplique filtros de firewall a las interfaces físicas.
Qué paquetes locales se transmiten desde las interfaces físicas al motor de enrutamiento. Para controlar los paquetes locales, aplique filtros de firewall en la interfaz de circuito cerrado, que es la interfaz con el motor de enrutamiento.

Los filtros de firewall proporcionan un medio para proteger su enrutador del tráfico excesivo que transita por el enrutador hacia un destino de red o destinado al motor de enrutamiento. Los filtros de firewall que controlan los paquetes locales también pueden proteger su enrutador de incidentes externos, como ataques de denegación de servicio.

Figura 3: Filtros de firewall para controlar el flujo Network forwarding architecture diagram showing data packet routing through SONET, ATM, Gigabit Ethernet, and T3 interfaces using a forwarding table and firewall filter policies.

Network forwarding architecture diagram showing data packet routing through SONET, ATM, Gigabit Ethernet, and T3 interfaces using a forwarding table and firewall filter policies.

de paquetes

Puntos de control

Todas las políticas proporcionan dos puntos en los que puede controlar la información o los paquetes de enrutamiento a través del enrutador (consulte la Figura 4). Estos puntos de control le permiten controlar lo siguiente:

Información de enrutamiento antes y después de colocarla en la tabla de enrutamiento.
Paquetes de datos antes y después de una búsqueda de tabla de reenvío.
Paquetes locales antes y después de que el motor de enrutamiento los reciba. (La Figura 4 parece representar solo un punto de control, pero debido al flujo bidireccional de los paquetes locales, en realidad existen dos puntos de control).

Figura 4: Puntos Logical flow of router's packet processing, showing interactions between routing protocols, policies, tables, firewall filters, and interfaces.

Logical flow of router's packet processing, showing interactions between routing protocols, policies, tables, firewall filters, and interfaces.

de control de políticas

Dado que hay dos puntos de control, puede configurar políticas que controlen la información de enrutamiento o los paquetes de datos antes y después de su interacción con sus respectivas tablas, y políticas que controlen los paquetes locales antes y después de su interacción con el motor de enrutamiento. Las políticas de enrutamiento de importación controlan la información de enrutamiento que se coloca en las tablas de enrutamiento, mientras que las políticas de enrutamiento de exportación controlan la información de enrutamiento que se anuncia desde las tablas de enrutamiento. Los filtros de firewall de entrada controlan los paquetes que se reciben en una interfaz de enrutador, mientras que los filtros de firewall de salida controlan los paquetes que se transmiten desde una interfaz de enrutador.

Componentes de política

Todas las políticas se componen de los siguientes componentes que se configuran:

Condiciones de coincidencia: criterios con los que se comparan una ruta o paquetes. Puede configurar uno o varios criterios. Si todos los criterios coinciden, se aplican una o más acciones.
Acciones: qué sucede si todos los criterios coinciden. Puede configurar una o varias acciones.
Términos: estructuras con nombre en las que se definen condiciones y acciones de coincidencia. Puede definir uno o varios términos.

El software de marco de políticas evalúa cada ruta o paquete entrante y saliente en función de las condiciones de coincidencia en un término. Si se cumplen los criterios de las condiciones de coincidencia, se lleva a cabo la acción definida.

En general, el software del marco de políticas compara la ruta o el paquete con las condiciones de coincidencia del primer término de la política, pasa al siguiente término y así sucesivamente. Por lo tanto, el orden en el que organiza los términos en una póliza es relevante.

El orden de las condiciones de coincidencia dentro de un término no es relevante porque una ruta o un paquete deben coincidir con todas las condiciones de coincidencia de un término para que se vaya a realizar una acción.

EN ESTA PÁGINA