EN ESTA PÁGINA
Ejemplo: Configuración del reenvío basado en filtros en sistemas lógicos
En este ejemplo se muestra cómo configurar el reenvío basado en filtros dentro de un sistema lógico. El filtro clasifica los paquetes para determinar su ruta de reenvío dentro del dispositivo de enrutamiento de entrada.
Requisitos
En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.
Descripción general
El reenvío basado en filtros es compatible con IP versión 4 (IPv4) e IP versión 6 (IPv6).
Utilice el reenvío basado en filtros para la selección del proveedor de servicios cuando los clientes tengan conectividad a Internet proporcionada por diferentes ISP pero compartan una capa de acceso común. Cuando se utiliza un medio compartido (como un módem por cable), un mecanismo en la capa de acceso común examina las direcciones de capa 2 o capa 3 y distingue entre clientes. Puede utilizar el reenvío basado en filtros cuando la capa de acceso común se implementa mediante una combinación de conmutadores de capa 2 y un solo enrutador.
Con el reenvío basado en filtros, se consideran todos los paquetes recibidos en una interfaz. Cada paquete pasa a través de un filtro que tiene condiciones coincidentes. Si se cumplen las condiciones de coincidencia para un filtro y ha creado una instancia de enrutamiento, se aplicará reenvío basado en filtros a un paquete. El paquete se reenvía en función del siguiente salto especificado en la instancia de enrutamiento. Para rutas estáticas, el siguiente salto puede ser un LSP específico.
La coincidencia de filtros de uso de clase de origen y las comprobaciones de reenvío de ruta inversa de unidifusión no se admiten en una interfaz configurada con reenvío basado en filtros (FBF).
Para configurar el reenvío basado en filtros, realice las siguientes tareas:
Cree un filtro de coincidencia en un enrutador o conmutador de entrada. Para especificar un filtro de coincidencia, incluya la
filter filter-name
instrucción en el nivel de[edit firewall]
jerarquía. Un paquete que pasa a través del filtro se compara con un conjunto de reglas para clasificarlo y determinar su pertenencia a un conjunto. Una vez clasificado, el paquete se reenvía a una tabla de enrutamiento especificada en la acción aceptar en el lenguaje de descripción de filtros. A continuación, la tabla de enrutamiento reenvía el paquete al siguiente salto que corresponde a la entrada de dirección de destino de la tabla.Cree instancias de enrutamiento que especifiquen las tablas de enrutamiento a las que se reenvía un paquete y el destino al que se reenvía el paquete en el nivel de
[edit routing-instances]
jerarquía o[edit logical-systems logical-system-name routing-instances]
. Por ejemplo:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }
Cree un grupo de tablas de enrutamiento que agregue rutas de interfaz a las instancias de enrutamiento de reenvío utilizadas en el reenvío basado en filtros (FBF), así como a la instancia
inet.0
de enrutamiento predeterminada. Esta parte de la configuración resuelve las rutas instaladas en las instancias de enrutamiento para conectar directamente los próximos saltos en esa interfaz. Cree el grupo de tablas de enrutamiento en el nivel de[edit routing-options]
jerarquía o[edit logical-systems logical-system-name routing-options]
.
Especifique inet.0
como una de las instancias de enrutamiento en las que se importan las rutas de la interfaz. Si no se especifica la instancia inet.0
predeterminada, las rutas de interfaz no se importan a la instancia de enrutamiento predeterminada.
En este ejemplo se muestra un filtro de paquetes que dirige el tráfico del cliente a un enrutador del próximo salto en los dominios, SP 1 o SP 2, según la dirección de origen del paquete.
Si el paquete tiene una dirección de origen asignada a un cliente del SP 1, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp1-route-table.inet.0. Si el paquete tiene una dirección de origen asignada a un cliente de SP 2, el reenvío basado en destino se produce mediante la tabla de enrutamiento sp2-route-table.inet.0. Si un paquete no cumple ninguna de estas condiciones, el filtro acepta el paquete y el reenvío basado en destino se produce mediante la tabla de enrutamiento inet.0 estándar.
Una forma de hacer que el reenvío basado en filtros funcione dentro de un sistema lógico es configurar el filtro de firewall en el sistema lógico que recibe los paquetes. Otra forma es configurar el filtro de firewall en el enrutador principal y, a continuación, hacer referencia al sistema lógico en el filtro de firewall. En este ejemplo se utiliza el segundo enfoque. Las instancias de enrutamiento específicas se configuran dentro del sistema lógico. Dado que cada instancia de enrutamiento tiene su propia tabla de enrutamiento, también debe hacer referencia a las instancias de enrutamiento en el filtro de firewall. La sintaxis es la siguiente:
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
Topología
Figura 1muestra la topología utilizada en este ejemplo.
En el sistema lógico P1, un filtro de entrada clasifica los paquetes recibidos del sistema lógico PE3 y del sistema lógico PE4. Los paquetes se enrutan en función de las direcciones de origen. Los paquetes con direcciones de origen en las redes 10.1.1.0/24 y 10.1.2.0/24 se enrutan al sistema lógico PE1. Los paquetes con direcciones de origen en las redes 10.2.1.0/24 y 10.2.2.0/24 se enrutan al sistema lógico PE2.
Para establecer la conectividad, OSPF se configura en todas las interfaces. Para fines de demostración, las direcciones de interfaz de circuito cerrado se configuran en los dispositivos de enrutamiento para representar redes en las nubes.
En Configuración rápida de CLI la sección se muestra la configuración completa de todos los dispositivos de la topología. Las Configuración de las instancias de enrutamiento en el sistema lógico P1 secciones y Configuración del filtro de firewall en el enrutador principal muestran la configuración paso a paso del dispositivo de enrutamiento de entrada, Sistema lógico P1.
Configuración
- Configuración rápida de CLI
- Configuración del filtro de firewall en el enrutador principal
- Configuración de las instancias de enrutamiento en el sistema lógico P1
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
Configuración del filtro de firewall en el enrutador principal
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el filtro de firewall en el enrutador principal:
Configure las direcciones de origen para los clientes de SP1.
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas.
Para realizar un seguimiento de la acción del filtro de firewall, se configura una acción de registro. La tabla de enrutamiento sp1-route-table.inet.0 del sistema lógico P1 enruta los paquetes.
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
Configure las direcciones de origen para los clientes de SP2.
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
Configure las acciones que se realizan cuando se reciben paquetes con las direcciones de origen especificadas.
Para realizar un seguimiento de la acción del filtro de firewall, se configura una acción de registro. La tabla de enrutamiento sp2-route-table.inet.0 del sistema lógico P1 enruta el paquete.
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
Configure la acción que se realizará cuando se reciban paquetes desde cualquier otra dirección de origen.
Todos estos paquetes simplemente se aceptan y enrutan utilizando la tabla de enrutamiento de unidifusión IPv4 predeterminada, inet.0.
[edit firewall filter classify-customers term default] user@host# set then accept
Configuración de las instancias de enrutamiento en el sistema lógico P1
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar las instancias de enrutamiento en un sistema lógico:
Configure las interfaces en el sistema lógico.
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
Asigne el filtro de firewall a la
classify-customers
interfaz de enrutador lt-1/2/0.10 como filtro de paquetes de entrada.[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
Configure la conectividad mediante un protocolo de enrutamiento o enrutamiento estático.
Como práctica recomendada, deshabilite el enrutamiento en la interfaz de administración.
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
Cree las instancias de enrutamiento.
Se hace referencia a estas instancias de enrutamiento en el filtro de
classify-customers
firewall.El tipo de instancia de reenvío proporciona compatibilidad con el reenvío basado en filtros, donde las interfaces no están asociadas a instancias. Todas las interfaces pertenecen a la instancia predeterminada, en este caso Logical System P1.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
Resuelva las rutas instaladas en las instancias de enrutamiento para los próximos saltos conectados directamente.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
Agrupe las tablas de enrutamiento para formar un grupo de tablas de enrutamiento.
La primera tabla de enrutamiento, inet.0, es la tabla de enrutamiento principal y las tablas de enrutamiento adicionales son las tablas de enrutamiento secundarias.
La tabla de enrutamiento principal determina la familia de direcciones del grupo de tablas de enrutamiento, en este caso IPv4.
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
Aplique el grupo de tablas de enrutamiento a OSPF.
Esto hace que las rutas OSPF se instalen en todas las tablas de enrutamiento del grupo.
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la configuración emitiendo los show firewall
comandos y show logical-systems P1
.
user@host# show firewall filter classify-customers { term sp1-customers { from { source-address { 10.1.1.0/24; 10.1.2.0/24; } } then { log; logical-system P1 routing-instance sp1-route-table; } } term sp2-customers { from { source-address { 10.2.1.0/24; 10.2.2.0/24; } } then { log; logical-system P1 routing-instance sp2-route-table; } } term default { then accept; } }
user@host# show logical-systems P1 interfaces { lt-1/2/0 { unit 10 { encapsulation ethernet; peer-unit 9; family inet { filter { input classify-customers; } address 172.16.0.10/30; } } unit 13 { encapsulation ethernet; peer-unit 14; family inet { address 172.16.0.13/30; } } unit 17 { encapsulation ethernet; peer-unit 18; family inet { address 172.16.0.17/30; } } } } protocols { ospf { rib-group fbf-group; area 0.0.0.0 { interface all; interface fxp0.0 { disable; } } } } routing-instances { sp1-route-table { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.0.13; } } } sp2-route-table { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.0.17; } } } } routing-options { rib-groups { fbf-group { import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ]; } } }
Verificación
Confirme que la configuración funcione correctamente.
Hacer ping con direcciones de origen especificadas
Propósito
Envíe algunos paquetes ICMP a través de la red para probar el filtro de firewall.
Acción
Inicie sesión en Logical System PE3.
user@host> set cli logical-system PE3 Logical system: PE3
Ejecute el
ping
comando, haciendo ping a la interfaz lo0.3 en el sistema lógico PE1.La dirección configurada en esta interfaz es 172.16.1.1.
Especifique la dirección de origen 10.1.2.1, que es la dirección configurada en la interfaz lo0.1 en el sistema lógico PE3.
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
Inicie sesión en Logical System PE4.
user@host:PE3> set cli logical-system PE4 Logical system: PE4
Ejecute el
ping
comando, haciendo ping a la interfaz lo0.4 en el sistema lógico PE2.La dirección configurada en esta interfaz es 172.16.2.2.
Especifique la dirección de origen 10.2.1.1, que es la dirección configurada en la interfaz lo0.2 en el sistema lógico PE4.
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
Significado
El envío de estos pings activa las acciones de filtro del firewall.
Comprobación del filtro de firewall
Propósito
Asegúrese de que las acciones de filtro del firewall surtan efecto.
Acción
Inicie sesión en Logical System P1.
user@host> set cli logical-system P1 Logical system: P1
Ejecute el comando en el
show firewall log
sistema lógico P1.user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1