Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general del marco de políticas

El sistema operativo Junos® (Junos OS) proporciona un marco de políticas, que es una recopilación de políticas de Junos OS que le permite controlar los flujos de información de enrutamiento y paquetes.

La arquitectura de políticas de Junos OS es simple y directa. Sin embargo, la implementación real de cada política agrega capas de complejidad a la política, además de agregar potencia y flexibilidad a las capacidades de su enrutador. La configuración de una política tiene un impacto importante en el flujo de información de enrutamiento o paquetes dentro y a través del enrutador. Por ejemplo, puede configurar una política de enrutamiento que no permita que las rutas asociadas con un cliente determinado se coloquen en la tabla de enrutamiento. Como resultado de esta política de enrutamiento, las rutas de los clientes no se utilizan para reenviar paquetes de datos a varios destinos y el protocolo de enrutamiento no anuncia las rutas a los vecinos.

Antes de configurar una política, determine qué desea lograr con ella y comprenda a fondo cómo lograr su objetivo mediante las distintas condiciones y acciones de coincidencia. Además, asegúrese de comprender las políticas y acciones predeterminadas de la política que está configurando.

Política de enrutamiento y filtros de firewall

El marco de políticas se compone de las siguientes políticas:

  • Política de enrutamiento: permite controlar la información de enrutamiento entre los protocolos de enrutamiento y las tablas de enrutamiento, y entre las tablas de enrutamiento y la tabla de reenvío. Todos los protocolos de enrutamiento usan las tablas de enrutamiento de Junos OS para almacenar las rutas que aprenden y para determinar qué rutas deben anunciar en sus paquetes de protocolo. La política de enrutamiento le permite controlar las rutas en las que los protocolos de enrutamiento almacenan y recuperan de la tabla de enrutamiento.

  • Política de filtro de firewall : le permite controlar los paquetes que transitan por el enrutador a un destino de red y los paquetes destinados y enviados por el enrutador.

    Nota:

    El término política de filtro de firewall se utiliza aquí para enfatizar que un filtro de firewall es una política y comparte algunas similitudes fundamentales con una política de enrutamiento. Sin embargo, cuando se hace referencia a una política de filtro de firewall en el resto de este manual, se utiliza el término filtro de firewall .

Razones para crear una política de enrutamiento

Las siguientes son circunstancias típicas en las que es posible que desee adelantarse a las políticas de enrutamiento predeterminadas en el marco de políticas de enrutamiento mediante la creación de sus propias políticas de enrutamiento:

  • No desea que un protocolo importe todas las rutas a la tabla de enrutamiento. Si la tabla de enrutamiento no aprende acerca de ciertas rutas, nunca se pueden usar para reenviar paquetes y nunca se pueden redistribuir en otros protocolos de enrutamiento.

  • No desea que un protocolo de enrutamiento exporte todas las rutas activas que aprenda.

  • Desea que un protocolo de enrutamiento anuncie rutas activas aprendidas de otro protocolo de enrutamiento, lo que a veces se denomina redistribución de rutas.

  • Desea manipular las características de la ruta, como el valor de la preferencia, la ruta del AS o la comunidad. Puede manipular las características de la ruta para controlar qué ruta está seleccionada como ruta activa para llegar a un destino. En general, la ruta activa también se anuncia a los vecinos de un enrutador.

  • Desea cambiar los parámetros predeterminados de la atenuación de flap de ruta del BGP.

  • Desea realizar un equilibrio de carga por paquete.

  • Desea habilitar clase de servicio (CoS).

Flujos de enrutadores afectados por las políticas

Las políticas de Junos OS afectan a los siguientes flujos de enrutadores:

  • Flujo de información de enrutamiento entre los protocolos de enrutamiento y las tablas de enrutamiento, y entre las tablas de enrutamiento y la tabla de reenvío. El motor de enrutamiento maneja este flujo. La información de enrutamiento es la información sobre rutas aprendidas por los protocolos de enrutamiento de los vecinos de un enrutador. Esta información se almacena en tablas de enrutamiento y, posteriormente, los protocolos de enrutamiento anuncian a los vecinos del enrutador. Las políticas de enrutamiento le permiten controlar el flujo de esta información.

  • Flujo de paquetes de datos dentro y fuera de las interfaces físicas del enrutador. El motor de reenvío de paquetes maneja este flujo. Los paquetes de datos son fragmentos de datos que transitan por el enrutador a medida que se reenvían desde un origen a un destino. Cuando un enrutador recibe un paquete de datos en una interfaz, determina dónde reenviar el paquete buscando en la tabla de reenvío la mejor ruta a un destino. Luego, el enrutador reenvía el paquete de datos hacia su destino a través de la interfaz adecuada. Los filtros de firewall le permiten controlar el flujo de estos paquetes de datos.

  • Flujo de paquetes locales desde las interfaces físicas del enrutador y al motor de enrutamiento. El motor de enrutamiento maneja este flujo. Los paquetes locales son fragmentos de datos destinados al enrutador o enviados por el enrutador. Los paquetes locales suelen contener datos de protocolo de enrutamiento, datos de servicios IP como Telnet o SSH, y datos de protocolos administrativos, como el Protocolo de mensajes de control de Internet (ICMP). Cuando el motor de enrutamiento recibe un paquete local, lo reenvía al proceso adecuado o al kernel, que forman parte del motor de enrutamiento, o al motor de reenvío de paquetes. Los filtros de firewall le permiten controlar el flujo de estos paquetes locales.

    Nota:

    En el resto de este capítulo, el término paquetes se refiere tanto a los datos como a los paquetes locales, a menos que se indique explícitamente lo contrario.

Figura 1 muestra los flujos a través del enrutador. Aunque los flujos son muy diferentes entre sí, también son interdependientes. Las políticas de enrutamiento determinan qué rutas se colocan en la tabla de reenvío. La tabla de reenvío, a su vez, desempeña una función integral en la determinación de la interfaz física adecuada a través de la cual reenviar un paquete.

Figura 1: Flujos de información de enrutamiento y paquetesFlujos de información de enrutamiento y paquetes

Puede configurar políticas de enrutamiento para controlar las rutas que los protocolos de enrutamiento colocan en las tablas de enrutamiento y para controlar qué rutas los protocolos de enrutamiento anuncian en las tablas de enrutamiento (consulte Figura 2). Los protocolos de enrutamiento anuncian rutas activas solo desde las tablas de enrutamiento. (Una ruta activa es una ruta que se elige de entre todas las rutas de la tabla de enrutamiento para llegar a un destino.)

También puede usar políticas de enrutamiento para hacer lo siguiente:

  • Cambie características de ruta específicas, lo que le permite controlar qué ruta está seleccionada como la ruta activa para llegar a un destino. En general, la ruta activa también se anuncia a los vecinos de un enrutador.

  • Cambie a los valores predeterminados de atenuación de flap de ruta del BGP.

  • Realice un equilibrio de carga por paquete.

  • Habilitar clase de servicio (CoS).

Figura 2: Políticas de enrutamiento para controlar el flujo de información de enrutamientoPolíticas de enrutamiento para controlar el flujo de información de enrutamiento

Puede configurar filtros de firewall para controlar los siguientes aspectos del flujo de paquetes (consulte Figura 3):

  • Qué paquetes de datos se aceptan y se transmiten desde las interfaces físicas. Para controlar el flujo de paquetes de datos, aplique filtros de firewall a las interfaces físicas.

  • Qué paquetes locales se transmiten desde las interfaces físicas y al motor de enrutamiento. Para controlar paquetes locales, aplique filtros de firewall en la interfaz de circuito cerrado, que es la interfaz al motor de enrutamiento.

Los filtros de firewall proporcionan un medio para proteger su enrutador del tráfico excesivo que transita el enrutador hacia un destino de red o destinado al motor de enrutamiento. Los filtros de firewall que controlan paquetes locales también pueden proteger su enrutador de incidentes externos, como ataques de denegación de servicio.

Figura 3: Filtros de firewall para controlar el flujo de paquetesFiltros de firewall para controlar el flujo de paquetes

Puntos de control

Todas las políticas proporcionan dos puntos en los que puede controlar la información de enrutamiento o los paquetes a través del enrutador (consulte Figura 4). Estos puntos de control le permiten controlar lo siguiente:

  • Información de enrutamiento antes y después de colocarla en la tabla de enrutamiento.

  • Paquetes de datos antes y después de una búsqueda de tabla de reenvío.

  • Paquetes locales antes y después de que sean recibidos por el motor de enrutamiento. (Figura 4 parece mostrar solo un punto de control, pero debido al flujo bidireccional de los paquetes locales, existen realmente dos puntos de control.)

Figura 4: Puntos de control de políticasPuntos de control de políticas

Dado que hay dos puntos de control, puede configurar políticas que controlen la información de enrutamiento o los paquetes de datos antes y después de su interacción con sus respectivas tablas, y las políticas que controlan los paquetes locales antes y después de su interacción con el motor de enrutamiento. Las políticas de importación de enrutamiento controlan la información de enrutamiento que se coloca en las tablas de enrutamiento, mientras que las políticas de enrutamiento de exportación controlan la información de enrutamiento que se anuncia en las tablas de enrutamiento. Los filtros de firewall de entrada controlan los paquetes que se reciben en una interfaz de enrutador, mientras que los filtros de firewall de salida controlan los paquetes que se transmiten desde una interfaz de enrutador.

Componentes de política

Todas las políticas se componen de los siguientes componentes que configure:

  • Condiciones de coincidencia: criterios con los que se comparan una ruta o paquetes. Puede configurar uno o varios criterios. Si todos los criterios coinciden, se aplican una o más acciones.

  • Acciones: qué ocurre si todos los criterios coinciden. Puede configurar una o varias acciones.

  • Términos:estructuras con nombre en las que se definen condiciones y acciones de coincidencia. Puede definir uno o más términos.

El software del marco de políticas evalúa cada ruta o paquete entrante y saliente en las condiciones de coincidencia en un término. Si se cumplen los criterios de las condiciones de coincidencia, se tomará la acción definida.

En general, el software de marco de política compara la ruta o el paquete con las condiciones de coincidencia en el primer término de la política, luego pasa al siguiente término, y así sucesivamente. Por lo tanto, el orden en el que se organizan los términos en una política es relevante.

El orden de condiciones de coincidencia dentro de un término no es relevante, ya que una ruta o paquete deben coincidir con todas las condiciones de coincidencia en un término para una acción que se va a realizar.

Temas relacionados