Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración del reenvío basado en filtros en la dirección de origen

En este ejemplo, se muestra cómo configurar el reenvío basado en filtros (FBF), que a veces también se denomina enrutamiento basado en políticas (PBR). El filtro clasifica los paquetes para determinar su ruta de reenvío dentro del dispositivo de enrutamiento de entrada.

El reenvío basado en filtros se admite para IP versión 4 (IPv4) e IP versión 6 (IPv6).

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo para este ejemplo.

Descripción general

En este ejemplo, usamos FBF para la selección de proveedores de servicios cuando los clientes tienen conectividad a Internet proporcionada por distintos ISP y aún comparten una capa de acceso común. Cuando se utiliza un medio compartido (como un módem de cable), un mecanismo en la capa de acceso común mira las direcciones de capa 2 o capa 3 y distingue entre los clientes. Puede utilizar el reenvío basado en filtros cuando se implementa la capa de acceso común mediante una combinación de conmutadores de capa 2 y un solo enrutador.

Con FBF, se consideran todos los paquetes recibidos en una interfaz. Cada paquete pasa a través de un filtro que tiene condiciones de coincidencia. Si se cumplen las condiciones de coincidencia de un filtro y ha creado una instancia de enrutamiento, FBF se aplica al paquete. El paquete se reenvía según el salto siguiente especificado en la instancia de enrutamiento. Para rutas estáticas, el siguiente salto puede ser un LSP específico.

Nota:

Las comprobaciones de reenvío de ruta inversa de unidifusión y coincidencia de filtros de uso de clase de origen no se admiten en una interfaz configurada para FBF.

Para configurar FBF, realice las siguientes tareas:

  • Cree un filtro de coincidencia en el dispositivo de entrada. Para especificar un filtro de coincidencia, incluya la filter filter-name instrucción en el [edit firewall] nivel de jerarquía. Un paquete que pasa por el filtro se compara con un conjunto de reglas para clasificarlo y determinar su pertenencia a un conjunto. Una vez clasificado, el paquete se reenvía a una tabla de enrutamiento especificada en la acción de aceptación en el idioma de descripción del filtro. A continuación, la tabla de enrutamiento reenvía el paquete al siguiente salto que corresponde a la entrada de dirección de destino de la tabla.

  • Cree instancias de enrutamiento que especifiquen las tablas de enrutamiento a las que se reenvía un paquete y el destino al que se reenvía el paquete en el [edit routing-instances] nivel de jerarquía. Por ejemplo:

  • Cree un grupo RIB para compartir rutas de interfaz con las instancias de enrutamiento de reenvío utilizadas en el reenvío basado en filtros (FBF). Esta parte de la configuración resuelve las rutas instaladas en las instancias de enrutamiento para conectar directamente los próximos saltos en esa interfaz. Cree el grupo de tablas de enrutamiento en el [edit routing-options] nivel jerárquico.

En este ejemplo, se muestra un filtro de paquetes que dirige el tráfico del cliente a un enrutador de salto siguiente en los dominios, SP1 o SP2, según la dirección de origen del paquete.

Si el paquete tiene una dirección de origen asignada a un cliente de SP1, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp1-route-table.inet.0. Si el paquete tiene una dirección de origen asignada a un cliente de SP2, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp2-route-table.inet.0. Si un paquete no coincide con ninguna de estas condiciones, el filtro acepta el paquete y el reenvío basado en destino se produce mediante la tabla de enrutamiento estándar inet.0.

Topología

Figura 1 muestra la topología utilizada en este ejemplo.

En el dispositivo P1, un filtro de entrada clasifica los paquetes recibidos del dispositivo PE3 y del dispositivo PE4. Los paquetes se enrutan según las direcciones de origen. Los paquetes con direcciones de origen en las redes 10.1.1.0/24 y 10.1.2.0/24 se enrutan al dispositivo PE1. Los paquetes con direcciones de origen en las redes 10.2.1.0/24 y 10.2.2.0/24 se enrutan al dispositivo PE2.

Figura 1: Reenvío basado en filtrosReenvío basado en filtros

Para establecer la conectividad, OSPF se configura en todas las interfaces. Para fines de demostración, las direcciones de interfaz de circuito cerrado se configuran en los dispositivos de enrutamiento para representar redes en las nubes.

En la sección se Configuración rápida de CLI muestra toda la configuración de todos los dispositivos de la topología. En la sección se Configuración del reenvío basado en filtros en el dispositivo P1 muestra la configuración paso a paso del dispositivo de enrutamiento de entrada, el dispositivo P1.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Dispositivo P1

Dispositivo P2

Dispositivo PE1

Dispositivo PE2

Dispositivo PE3

Dispositivo PE4

Configuración del filtro de firewall en P1

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar el filtro de firewall en el enrutador o conmutador principal:

  1. Configure las direcciones de origen para los clientes de SP1.

  2. Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas; se registran y se pasan a la instancia de enrutamiento sp1-route-table para el enrutamiento mediante la tabla de enrutamiento sp1-route-table.inet.0.

  3. Configure las direcciones de origen para los clientes de SP2.

  4. Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas; se registran y se pasan a la instancia de enrutamiento sp2-route-table para el enrutamiento mediante la tabla de enrutamiento sp2-route-table.inet.0.

  5. Configure la acción que se debe realizar cuando se reciben paquetes desde cualquier otra dirección de origen; se aceptan y enrutan mediante la tabla de enrutamiento de unidifusión IPv4 predeterminada, inet.0.

Configuración del reenvío basado en filtros en el dispositivo P1

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar las instancias de enrutamiento:

  1. Configure las interfaces.

  2. Asigne el filtro de firewall a la classify-customers interfaz del enrutador fe-1/2/0.0 como filtro de paquete de entrada.

  3. Configure la conectividad mediante un protocolo de enrutamiento o un enrutamiento estático.

    Como práctica recomendada, desactive el enrutamiento en la interfaz de administración.

  4. Cree las instancias de enrutamiento a las que se hace referencia en el filtro de classify-customers firewall. El tipo de instancia de reenvío proporciona compatibilidad para el reenvío basado en filtros, donde las interfaces no están asociadas con instancias.

  5. Para cada instancia de enrutamiento, defina una ruta predeterminada para reenviar tráfico al siguiente salto especificado (PE1 y PE2 en este ejemplo).

  6. Asocie las tablas de enrutamiento para formar un grupo de tablas de enrutamiento. La primera tabla de enrutamiento, inet.0, es la tabla de enrutamiento principal y las otras son tablas de enrutamiento secundarias. La tabla de enrutamiento principal determina la familia de direcciones del grupo de tabla de enrutamiento, en este caso IPv4.

  7. Especifique el grupo de tablas de enrutamiento fbf-group dentro de la configuración de OSPF para instalar rutas OSPF en las tres tablas de enrutamiento.

  8. Confirme la configuración cuando haya terminado.

Resultados

Confirme su configuración mediante la emisión de los show interfacescomandos , show firewall, show protocols, show routing-instancesy show routing-options .

Verificación

Confirme que la configuración funciona correctamente.

Hacer ping con direcciones de origen especificadas

Propósito

Envíe algunos paquetes ICMP a través de la red para probar el filtro de firewall.

Acción

  1. Ejecute el ping comando y haga ping en la interfaz lo0.0 en el dispositivo PE1.

    La dirección configurada en esta interfaz es 172.16.1.1.

    Especifique la dirección de origen 10.1.2.1, que es la dirección configurada en la interfaz lo0.0 en el dispositivo PE3.

  2. Ejecute el ping comando y haga ping en la interfaz lo0.0 en el dispositivo PE2.

    La dirección configurada en esta interfaz es 172.16.2.2.

    Especifique la dirección de origen 10.2.1.1, que es la dirección configurada en la interfaz lo0.0 del dispositivo PE4.

Significado

El envío de estos ping activa las acciones del filtro de firewall.

Verificar el filtro de firewall

Propósito

Asegúrese de que las acciones del filtro de firewall surtan efecto.

Acción

  1. Ejecute el comando en el show firewall log dispositivo P1.