Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configurar el reenvío basado en filtros en sistemas lógicos

En este ejemplo, se muestra cómo configurar el reenvío basado en filtros dentro de un sistema lógico. El filtro clasifica los paquetes para determinar su ruta de reenvío dentro del dispositivo de enrutamiento de entrada.

Requisitos

En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.

Descripción general

Se admite el reenvío basado en filtros para IP versión 4 (IPv4) e IP versión 6 (IPv6).

Utilice el reenvío basado en filtros para la selección de proveedores de servicios cuando los clientes tengan conectividad a Internet proporcionada por diferentes ISP, pero compartan una capa de acceso común. Cuando se utiliza un medio compartido (como un módem por cable), un mecanismo en la capa de acceso común analiza las direcciones de capa 2 o capa 3 y distingue entre los clientes. Puede usar el reenvío basado en filtros cuando se implementa la capa de acceso común mediante una combinación de conmutadores de capa 2 y un único enrutador.

Con el reenvío basado en filtros, se consideran todos los paquetes recibidos en una interfaz. Cada paquete pasa a través de un filtro que tiene condiciones de coincidencia. Si se cumplen las condiciones de coincidencia para un filtro y ha creado una instancia de enrutamiento, el reenvío basado en filtros se aplica a un paquete. El paquete se reenvía según el siguiente salto especificado en la instancia de enrutamiento. Para rutas estáticas, el siguiente salto puede ser un LSP específico.

Nota:

La coincidencia de filtros de uso de clase fuente y las comprobaciones de reenvío de ruta inversa de unidifusión no se admiten en una interfaz configurada con reenvío basado en filtros (FBF).

Para configurar el reenvío basado en filtros, realice las siguientes tareas:

  • Cree un filtro de coincidencia en un enrutador o conmutador de entrada. Para especificar un filtro de coincidencia, incluya la filter filter-name instrucción en el [edit firewall] nivel de jerarquía. Un paquete que pasa a través del filtro se compara con un conjunto de reglas para clasificarlo y determinar su pertenencia a un conjunto. Una vez clasificado, el paquete se reenvía a una tabla de enrutamiento especificada en la acción aceptar en el idioma de descripción del filtro. A continuación, la tabla de enrutamiento reenvía el paquete al siguiente salto que corresponde a la entrada de dirección de destino en la tabla.

  • Cree instancias de enrutamiento que especifiquen las tablas de enrutamiento a las que se reenvía un paquete y el destino al que se reenvía el paquete en el [edit routing-instances] nivel o [edit logical-systems logical-system-name routing-instances] jerarquía. Por ejemplo:

  • Cree un grupo de tabla de enrutamiento que agregue rutas de interfaz a las instancias de enrutamiento de reenvío utilizadas en el reenvío basado en filtros (FBF), así como a la instancia inet.0de enrutamiento predeterminada. Esta parte de la configuración resuelve las rutas instaladas en las instancias de enrutamiento para conectar directamente los próximos saltos en esa interfaz. Cree el grupo de tabla de enrutamiento en el [edit routing-options] nivel de jerarquía o [edit logical-systems logical-system-name routing-options] .

Nota:

Especifique inet.0 como una de las instancias de enrutamiento a las que se importan las rutas de interfaz. Si no se especifica la instancia inet.0 predeterminada, las rutas de interfaz no se importan a la instancia de enrutamiento predeterminada.

En este ejemplo, se muestra un filtro de paquetes que dirige el tráfico del cliente a un enrutador de salto siguiente en los dominios, SP 1 o SP 2, según la dirección de origen del paquete.

Si el paquete tiene una dirección de origen asignada a un cliente del SP 1, se produce el reenvío basado en el destino mediante la tabla de enrutamiento sp1-route-table.inet.0. Si el paquete tiene una dirección de origen asignada a un cliente del SP 2, se produce el reenvío basado en el destino mediante la tabla de enrutamiento sp2-route-table.inet.0. Si un paquete no coincide con ninguna de estas condiciones, el filtro acepta el paquete y se produce el reenvío basado en el destino mediante la tabla de enrutamiento estándar inet.0.

Una forma de hacer que el reenvío basado en filtros funcione dentro de un sistema lógico es configurar el filtro de firewall en el sistema lógico que recibe los paquetes. Otra forma es configurar el filtro de firewall en el enrutador principal y, luego, hacer referencia al sistema lógico en el filtro de firewall. En este ejemplo, se utiliza el segundo enfoque. Las instancias de enrutamiento específicas se configuran en el sistema lógico. Dado que cada instancia de enrutamiento tiene su propia tabla de enrutamiento, también debe hacer referencia a las instancias de enrutamiento en el filtro de firewall. La sintaxis es la siguiente:

Topología

Figura 1 muestra la topología utilizada en este ejemplo.

En Logical System P1, un filtro de entrada clasifica los paquetes recibidos de Logical System PE3 y Logical System PE4. Los paquetes se enrutan según las direcciones de origen. Los paquetes con direcciones de origen en las redes 10.1.1.0/24 y 10.1.2.0/24 se enrutan a Logical System PE1. Los paquetes con direcciones de origen en las redes 10.2.1.0/24 y 10.2.2.0/24 se enrutan a Logical System PE2.

Figura 1: Sistemas lógicos con reenvío basado en filtrosSistemas lógicos con reenvío basado en filtros

Para establecer la conectividad, OSPF se configura en todas las interfaces. Para fines de demostración, las direcciones de interfaz de circuito cerrado se configuran en los dispositivos de enrutamiento para representar redes en las nubes.

La Configuración rápida de CLI sección muestra la configuración completa de todos los dispositivos de la topología. Las Configuración de las instancias de enrutamiento en el Logical System P1 secciones y Configuración del filtro de firewall en el enrutador principal muestran la configuración paso a paso del dispositivo de enrutamiento de entrada, Logical System P1.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Configuración del filtro de firewall en el enrutador principal

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.

Para configurar el filtro de firewall en el enrutador principal:

  1. Configure las direcciones de origen para clientes de SP1.

  2. Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas.

    Para rastrear la acción del filtro de firewall, se configura una acción de registro. La tabla de enrutamiento sp1-route-table.inet.0 en el sistema lógico P1 enruta los paquetes.

  3. Configure las direcciones de origen para clientes del SP2.

  4. Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas.

    Para rastrear la acción del filtro de firewall, se configura una acción de registro. La tabla de enrutamiento sp2-route-table.inet.0 en el sistema lógico P1 enruta el paquete.

  5. Configure la acción a realizar cuando se reciban paquetes de cualquier otra dirección de origen.

    Todos estos paquetes se aceptan y enrutan simplemente mediante la tabla de enrutamiento de unidifusión IPv4 predeterminada, inet.0.

Configuración de las instancias de enrutamiento en el Logical System P1

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.

Para configurar las instancias de enrutamiento en un sistema lógico:

  1. Configure las interfaces en el sistema lógico.

  2. Asigne el filtro de firewall a la classify-customers interfaz del enrutador lt-1/2/0.10 como filtro de paquete de entrada.

  3. Configure la conectividad mediante un protocolo de enrutamiento o un enrutamiento estático.

    Como práctica recomendada, desactive el enrutamiento en la interfaz de administración.

  4. Cree las instancias de enrutamiento.

    Estas instancias de enrutamiento se hacen referencia en el filtro de classify-customers firewall.

    El tipo de instancia de reenvío admite el reenvío basado en filtros, en el que las interfaces no están asociadas con instancias. Todas las interfaces pertenecen a la instancia predeterminada, en este caso Logical System P1.

  5. Resuelva las rutas instaladas en las instancias de enrutamiento para conectar directamente los próximos saltos.

  6. Agrupe las tablas de enrutamiento para formar un grupo de tabla de enrutamiento.

    La primera tabla de enrutamiento, inet.0, es la tabla de enrutamiento principal, y las tablas de enrutamiento adicionales son las tablas de enrutamiento secundarias.

    La tabla de enrutamiento principal determina la familia de direcciones del grupo de tabla de enrutamiento, en este caso IPv4.

  7. Aplique el grupo de tabla de enrutamiento a OSPF.

    Esto hace que las rutas OSPF se instalen en todas las tablas de enrutamiento del grupo.

  8. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Confirme su configuración mediante la emisión de los show firewall comandos y show logical-systems P1 .

Verificación

Confirme que la configuración funciona correctamente.

Ping con direcciones de origen especificadas

Propósito

Envíe algunos paquetes ICMP a través de la red para probar el filtro de firewall.

Acción

  1. Inicie sesión en Logical System PE3.

  2. Ejecute el ping comando, haciendo ping a la interfaz lo0.3 en Logical System PE1.

    La dirección configurada en esta interfaz es 172.16.1.1.

    Especifique la dirección de origen 10.1.2.1, que es la dirección configurada en la interfaz lo0.1 en Logical System PE3.

  3. Inicie sesión en Logical System PE4.

  4. Ejecute el ping comando, haciendo ping a la interfaz lo0.4 en Logical System PE2.

    La dirección configurada en esta interfaz es 172.16.2.2.

    Especifique la dirección de origen 10.2.1.1, que es la dirección configurada en la interfaz lo0.2 en Logical System PE4.

Significado

El envío de estos pings activa las acciones de filtro de firewall.

Verificar el filtro de firewall

Propósito

Asegúrese de que las acciones de filtro de firewall se hagan efectivas.

Acción

  1. Inicie sesión en Logical System P1.

  2. Ejecute el show firewall log comando en Logical System P1.