Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración del reenvío basado en filtros en la dirección de origen

En este ejemplo se muestra cómo configurar el reenvío basado en filtros (FBF), que a veces también se denomina enrutamiento basado en directivas (PBR). El filtro clasifica los paquetes para determinar su ruta de reenvío dentro del dispositivo de enrutamiento de entrada.

El reenvío basado en filtros es compatible con IP versión 4 (IPv4) e IP versión 6 (IPv6).

Requisitos

Para este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.

Descripción general

En este ejemplo, usamos FBF para la selección de proveedores de servicios cuando los clientes tienen conectividad a Internet proporcionada por diferentes ISP pero comparten una capa de acceso común. Cuando se utiliza un medio compartido (como un módem por cable), un mecanismo en la capa de acceso común examina las direcciones de capa 2 o capa 3 y distingue entre clientes. Puede utilizar el reenvío basado en filtros cuando la capa de acceso común se implementa mediante una combinación de conmutadores de capa 2 y un solo enrutador.

Con FBF, se consideran todos los paquetes recibidos en una interfaz. Cada paquete pasa a través de un filtro que tiene condiciones coincidentes. Si se cumplen las condiciones de coincidencia para un filtro y ha creado una instancia de enrutamiento, FBF se aplica al paquete. El paquete se reenvía en función del siguiente salto especificado en la instancia de enrutamiento. Para rutas estáticas, el siguiente salto puede ser un LSP específico.

Nota:

La coincidencia de filtros de uso de clase de origen y las comprobaciones de reenvío de ruta inversa de unidifusión no se admiten en una interfaz configurada para FBF.

Para configurar FBF, realice las siguientes tareas:

  • Cree un filtro de coincidencia en el dispositivo de entrada. Para especificar un filtro de coincidencia, incluya la instrucción en el nivel de jerarquía.filter filter-name[edit firewall] Un paquete que pasa a través del filtro se compara con un conjunto de reglas para clasificarlo y determinar su pertenencia a un conjunto. Una vez clasificado, el paquete se reenvía a una tabla de enrutamiento especificada en la acción aceptar en el lenguaje de descripción de filtros. A continuación, la tabla de enrutamiento reenvía el paquete al siguiente salto que corresponde a la entrada de dirección de destino de la tabla.

  • Cree instancias de enrutamiento que especifiquen las tablas de enrutamiento a las que se reenvía un paquete y el destino al que se reenvía el paquete en el nivel jerárquico .[edit routing-instances] Por ejemplo:

  • Cree un grupo RIB para compartir rutas de interfaz con las instancias de enrutamiento de reenvío usadas en el reenvío basado en filtros (FBF). Esta parte de la configuración resuelve las rutas instaladas en las instancias de enrutamiento para conectar directamente los próximos saltos en esa interfaz. Cree el grupo de tablas de enrutamiento en el nivel jerárquico .[edit routing-options]

En este ejemplo se muestra un filtro de paquetes que dirige el tráfico del cliente a un enrutador del próximo salto en los dominios, SP1 o SP2, según la dirección de origen del paquete.

Si el paquete tiene una dirección de origen asignada a un cliente de SP1, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp1-route-table.inet.0. Si el paquete tiene una dirección de origen asignada a un cliente de SP2, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp2-route-table.inet.0. Si un paquete no cumple ninguna de estas condiciones, el filtro acepta el paquete y el reenvío basado en destino se produce mediante la tabla de enrutamiento inet.0 estándar.

Topología

Figura 1muestra la topología utilizada en este ejemplo.

En el dispositivo P1, un filtro de entrada clasifica los paquetes recibidos del dispositivo PE3 y del dispositivo PE4. Los paquetes se enrutan en función de las direcciones de origen. Los paquetes con direcciones de origen en las redes 10.1.1.0/24 y 10.1.2.0/24 se enrutan al dispositivo PE1. Los paquetes con direcciones de origen en las redes 10.2.1.0/24 y 10.2.2.0/24 se enrutan al dispositivo PE2.

Figura 1: Reenvío basado en filtrosReenvío basado en filtros

Para establecer la conectividad, OSPF se configura en todas las interfaces. Para fines de demostración, las direcciones de interfaz de circuito cerrado se configuran en los dispositivos de enrutamiento para representar redes en las nubes.

En la sección se muestra la configuración completa de todos los dispositivos de la topología.Configuración rápida de CLI En la sección se muestra la configuración paso a paso del dispositivo de enrutamiento de entrada, dispositivo P1.Configuración del reenvío basado en filtros en el dispositivo P1

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]

Dispositivo P1

Dispositivo P2

Dispositivo PE1

Dispositivo PE2

Dispositivo PE3

Dispositivo PE4

Configuración del filtro de firewall en P1

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar el filtro de firewall en el enrutador o conmutador principal:

  1. Configure las direcciones de origen para los clientes de SP1.

  2. Configurar las acciones que se llevan a cabo cuando se reciben paquetes con las direcciones de origen especificadas; Se registran y se pasan a la instancia de enrutamiento de SP1-route-table para su enrutamiento a través de la tabla de enrutamiento SP1-route-table.inet.0.

  3. Configure las direcciones de origen para los clientes de SP2.

  4. Configurar las acciones que se llevan a cabo cuando se reciben paquetes con las direcciones de origen especificadas; Se registran y se pasan a la instancia de enrutamiento de SP2-route-table para su enrutamiento a través de la tabla de enrutamiento sp2-route-table.inet.0.

  5. Configure la acción a realizar cuando se reciben paquetes desde cualquier otra dirección de origen; se aceptan y enrutan mediante la tabla de enrutamiento de unidifusión IPv4 predeterminada, inet.0.

Configuración del reenvío basado en filtros en el dispositivo P1

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

Para configurar las instancias de enrutamiento:

  1. Configure las interfaces.

  2. Asigne el filtro de firewall a la interfaz del enrutador fe-1/2/0.0 como filtro de paquetes de entrada.classify-customers

  3. Configure la conectividad mediante un protocolo de enrutamiento o enrutamiento estático.

    Como práctica recomendada, deshabilite el enrutamiento en la interfaz de administración.

  4. Cree las instancias de enrutamiento a las que se hace referencia en el filtro de firewall.classify-customers El tipo de instancia de reenvío proporciona compatibilidad con el reenvío basado en filtros, donde las interfaces no están asociadas a instancias.

  5. Para cada instancia de enrutamiento, defina una ruta predeterminada para reenviar el tráfico al siguiente salto especificado (PE1 y PE2 en este ejemplo).

  6. Asocie las tablas de enrutamiento para formar un grupo de tablas de enrutamiento. La primera tabla de enrutamiento, inet.0, es la tabla de enrutamiento principal y las otras son tablas de enrutamiento secundarias. La tabla de enrutamiento principal determina la familia de direcciones del grupo de tablas de enrutamiento, en este caso IPv4.

  7. Especifique el grupo de tablas de enrutamiento fbf group dentro de la configuración de OSPF para instalar rutas OSPF en las tres tablas de enrutamiento.

  8. Confirme la configuración cuando haya terminado.

Resultados

Confirme la configuración emitiendo los comandos , , , y .show interfacesshow firewallshow protocolsshow routing-instancesshow routing-options

Verificación

Confirme que la configuración funcione correctamente.

Hacer ping con direcciones de origen especificadas

Propósito

Envíe algunos paquetes ICMP a través de la red para probar el filtro de firewall.

Acción

  1. Ejecute el comando, haciendo ping a la interfaz lo0.0 en el dispositivo PE1.ping

    La dirección configurada en esta interfaz es 172.16.1.1.

    Especifique la dirección de origen 10.1.2.1, que es la dirección configurada en la interfaz lo0.0 del dispositivo PE3.

  2. Ejecute el comando haciendo ping a la interfaz lo0.0 en el dispositivo PE2.ping

    La dirección configurada en esta interfaz es 172.16.2.2.

    Especifique la dirección de origen 10.2.1.1, que es la dirección configurada en la interfaz lo0.0 del dispositivo PE4.

Significado

El envío de estos pings activa las acciones de filtro del firewall.

Comprobación del filtro de firewall

Propósito

Asegúrese de que las acciones de filtro del firewall surtan efecto.

Acción

  1. Ejecute el comando en el dispositivo P1.show firewall log