EN ESTA PÁGINA
Ejemplo: Configurar el reenvío basado en filtros
El reenvío basado en filtros (FBF), que también se denomina enrutamiento basado en políticas (PBR), ofrece una forma simple pero eficaz de enrutar el tráfico IP a diferentes interfaces sobre la base de parámetros de capa 3 o capa 4.
FBF funciona mediante el uso de condiciones de coincidencia en un filtro de firewall para seleccionar cierto tráfico y, luego, dirigirlo a una instancia de enrutamiento determinada que apunta al siguiente salto deseado. Para garantizar que el siguiente salto se pueda resolver, las rutas de interfaz de la tabla de enrutamiento principal se comparten mediante el grupo RIB con las tablas de enrutamiento especificadas en las instancias de enrutamiento.
Las condiciones de coincidencia pueden incluir la dirección IP de origen o destino, el puerto de origen o destino, el protocolo IP, el valor DSCP, la marca TCP, el tipo ICMP y la longitud del paquete.
Requisitos
En este ejemplo, se tienen los siguientes requisitos de hardware y software:
Plataforma de enrutamiento universal de 5G serie MX como dispositivo de enrutamiento con el filtro de firewall configurado.
Junos OS versión 13.3 o posterior se ejecuta en el dispositivo de enrutamiento con el filtro de firewall configurado.
Descripción general
En este ejemplo, se muestra la configuración que necesita para configurar el reenvío basado en filtros en un solo dispositivo. Figura 1 muestra las interfaces de entrada y salida en un enrutador de la serie MX e ilustra el flujo lógico de eventos a medida que los paquetes atraviesan el dispositivo.
Se adjunta un filtro de firewall llamado webFilter a la interfaz de entrada, fe-0/0/0. Los paquetes que llegan a la interfaz se evalúan según las condiciones de coincidencia especificadas en el filtro, cuya lógica dirige el tráfico HTTP y HTTPS a una instancia de enrutamiento llamada webtraffic. Esta instancia de enrutamiento logra tres cosas: en primer lugar, establece una tabla de enrutamiento llamada webtraffic.inet.0; en segundo lugar, le permite definir una ruta estática y un salto siguiente; y, en tercer lugar, le permite configurar la instancia para reenviar tráfico al siguiente salto (aquí, 192.0.2.2 en interfaz fe-0/0/1).
El término 2 del filtro de firewall, then accept, especifica que todo el tráfico que no coincide toma una ruta diferente. Definimos una ruta estática con el siguiente salto de 203.0.113.2 para que este tráfico egrese del dispositivo a través de fe-0/0/2. La ruta se instala automáticamente en la tabla de enrutamiento principal, inet.0.
El último paso (lógico) en la configuración de FBF es asegurarse de que ambas rutas se pueden resolver. El grupo RIB (FBF-rib en este ejemplo) hace que las rutas de interfaz desde inet.0 se puedan compartir con webtraffic.inet.0.
Para obtener ejemplos que se centran en un caso de uso específico o topologías de varios dispositivos, consulte los temas relacionados.
Configuración
Procedimiento
Configuración rápida de CLI
Se proporcionan instrucciones de copiar y pegar y paso a paso para crear reenvío basado en filtros en un solo dispositivo.
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
Configurar un dispositivo para el reenvío basado en filtros
set interfaces fe-0/0/0 unit 0 family inet address 198.51.100.1/24 set interfaces fe-0/0/0 unit 0 family inet filter input webFilter set interfaces fe-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces fe-0/0/2 unit 0 family inet address 203.0.113.1/24 set firewall family inet filter webFilter term 1 from destination-port http set firewall family inet filter webFilter term 1 from destination-port https set firewall family inet filter webFilter term 1 then routing-instance webtraffic set firewall family inet filter webFilter term 2 then accept set routing-instances webtraffic routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 set routing-instances webtraffic instance-type forwarding set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2 set routing-options rib-groups FBF-rib import-rib inet.0 set routing-options rib-groups FBF-rib import-rib webtraffic.inet.0 set routing-options interface-routes rib-group inet FBF-rib
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar el dispositivo:
Configure la interfaz de entrada y adjunte el filtro de webFilter firewall.
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set filter input webFilter user@device# set address 198.51.100.1/24
Configure las interfaces salientes, una para el tráfico web y la otra para todo el resto del tráfico.
[edit interfaces] user@device# set fe-0/0/1 unit 0 family inet address 192.0.2.1/24 user@device# set fe-0/0/2 unit 0 family inet address 203.0.113.1/24
Configure el filtro de firewall para pasar tráfico web a la instancia de webtraffic enrutamiento y todo el resto del tráfico a 203.0.113.1.
[edit firewall family inet filter webFilter] user@device# set term 1 from destination-port http user@device# set term 1 from destination-port https user@device# set term 1 then routing-instance webtraffic user@device# set term 2 then accept
Opcional: Para supervisar el manejo del tráfico del filtro de firewall, agregue un contador>
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set firewall family inet filter webFilter term 1 then count webtraffic-count
Cree la instancia de webtraffic enrutamiento y configúrela para que reenvíe tráfico web a fe-0/0/1.
[edit routing-instances webtraffic] user@device# set routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 user@device# set instance-type forwarding
Cree una ruta para el tráfico que no sea web (la ruta se instala automáticamente en la tabla de inet.0 enrutamiento).
[edit routing-options] user@device# set static route 0.0.0.0/0 next-hop 203.0.113.2
Cree un grupo RIB llamado FBF-rib, y configúrelo para que comparta inet.0 rutas de interfaz con webtraffic.inet.0, y, luego, asocie un grupo de tabla de enrutamiento con las interfaces del dispositivo de enrutamiento y especifique grupos de tabla de enrutamiento en los que se importan las rutas de interfaz.
[edit routing-options] user@device# set rib-groups FBF-rib import-rib inet.0 user@device# set rib-groups FBF-rib import-rib webtraffic.inet.0
Asocie un grupo de tabla de enrutamiento con las interfaces del dispositivo de enrutamiento y especifique grupos de tabla de enrutamiento a los que se importan las rutas de interfaz.
[edit routing-options] user@device# set interface-routes rib-group inet FBF-rib
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-instances, show routing-optionsy show interfaces, para confirmar la show firewallconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
user@device#show interfaces fe-0/0/0unit 0 { family inet { filter { input webFilter; } address 198.51.100.1/24; } } user@device#show interfaces fe-0/0/1unit 0 { family inet { address 192.0.2.1/24; } } user@device#show interfaces fe-0/0/2unit 0 { family inet { address 203.0.113.1/24; } } user@device#show firewallfamily inet { filter webFilter { term 1 { from { destination-port [ http https ]; } then { routing-instance webtraffic; } } term 2 { then accept; } } }
user@device# show routing-options
interface-routes {
rib-group inet FBF-rib;
}
static {
route 0.0.0.0/0 next-hop 203.0.113.2;
}
rib-groups {
FBF-rib {
import-rib [ inet.0 webtraffic.inet.0 ];
}
}
user@device# show routing-instances
webtraffic {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 192.0.2.2;
}
}
}