Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica o dirección IP de destino

Descripción del reenvío basado en filtros a una interfaz de salida específica o dirección IP de destino

El enrutamiento basado en políticas (también conocido como reenvío basado en filtros) se refiere al uso de filtros de firewall que se aplican a una interfaz para que coincidan con ciertas características de encabezado IP y para enrutar solo aquellos paquetes coincidentes de manera diferente a los paquetes que normalmente se enrutarían.

A partir de Junos OS versión 12.2, puede usar then next-interface, then next-ipo then next-ip6 como acción en un filtro de firewall. Desde condiciones de coincidencia específicas, se pueden especificar direcciones IPv4 e IPv6 o un nombre de interfaz como la acción de respuesta a una coincidencia.

El conjunto de condiciones de coincidencia puede ser el siguiente:

  • Propiedades de capa 3 (por ejemplo, la dirección IP de origen o destino o el byte TOS)

  • Propiedades de capa 4 (por ejemplo, el puerto de origen o destino)

La ruta para la dirección IPv4 o IPv6 dada debe estar presente en la tabla de enrutamiento para que el enrutamiento basado en políticas surte efecto. Del mismo modo, la ruta a través de la interfaz dada debe estar presente en la tabla de reenvío para next-interface que la acción surte efecto. Esto se puede lograr mediante la configuración de un protocolo de puerta de enlace interior (IGP), como OSPF o IS-IS, para anunciar rutas de capa 3.

El filtro de firewall coincide con las condiciones y reenvía el paquete a una de las siguientes opciones:

  • Una dirección IPv4 (mediante la acción de filtro de next-ip firewall)

  • Una dirección IPv6 (mediante la acción de filtro de next-ip6 firewall)

  • Una interfaz (mediante la acción de filtro de next-interface firewall)

Suponga, por ejemplo, que desea ofrecer servicios a sus clientes y que los servicios residen en diferentes servidores. Un ejemplo de un servicio puede estar alojado en DNS o EN FTP alojado. A medida que el tráfico del cliente llega al dispositivo de enrutamiento de Juniper Networks, puede usar el reenvío basado en filtros para enviar tráfico a los servidores aplicando una condición de coincidencia en una dirección MAC o una dirección IP o simplemente una interfaz entrante y enviar los paquetes a una interfaz de salida determinada que está asociada con el servidor adecuado. Algunos de sus destinos pueden ser direcciones IPv4 o IPv6, en cuyo caso la acción o next-ip6 es next-ip útil.

Opcionalmente, puede asociar las interfaces o direcciones IP salientes con instancias de enrutamiento.

Por ejemplo:

Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica

En este ejemplo, se muestra cómo usar then next-interface como una acción en un filtro de firewall.

Requisitos

En este ejemplo, se tienen los siguientes requisitos de hardware y software:

  • Plataforma de enrutamiento universal 5G serie MX como dispositivo de enrutamiento con el filtro de firewall configurado.

  • Junos OS versión 12.2 que se ejecuta en el dispositivo de enrutamiento con el filtro de firewall configurado.

  • El filtro con la next-interface acción (o next-ip) solo se puede aplicar a una interfaz alojada en una MPC Trio. Si aplica el filtro a una DPC basada en I-chip, se producirá un error en la operación de confirmación.

  • La interfaz de salida a la que se hace referencia en la next-interface interface-name acción se puede alojar en un Trio MPC o un DPC basado en chip I.

Descripción general

En este ejemplo, el dispositivo R1 tiene dos direcciones de interfaz de circuito cerrado configuradas: 172.16.1.1 y 172.16.2.2.

En el dispositivo R2, un filtro de firewall tiene varios términos configurados. Cada término coincide con una de las direcciones de origen del tráfico entrante y enruta el tráfico a interfaces salientes especificadas. Las interfaces salientes se configuran como interfaces etiquetadas por VLAN entre el dispositivo R2 y el dispositivo R3.

El IS-IS se utiliza para la conectividad entre los dispositivos.

Figura 1 muestra la topología utilizada en este ejemplo.

Figura 1: Reenvío basado en filtros a interfaces salientes especificadasReenvío basado en filtros a interfaces salientes especificadas

En este ejemplo, se muestra la configuración en el dispositivo R2.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Dispositivo R2

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Utilice el editor de CLI en modo de configuración la Guía del usuario de la CLI de Junos OS.

Para configurar el dispositivo R2:

  1. Configure las interfaces.

  2. Configure el filtro de firewall.

  3. Habilite IS-IS en las interfaces.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show firewally show protocols . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Comprobación de las rutas utilizadas

Propósito

Asegúrese de que se utilizan las rutas esperadas al enviar tráfico del dispositivo R1 al dispositivo R4.

Acción

En el dispositivo R1, ingrese el traceroute comando.

Significado

El resultado muestra que el segundo salto cambia, dependiendo de la dirección de origen utilizada en el traceroute comando.

Para comprobar esta función, se realiza una operación de traceroute en el dispositivo R1 al dispositivo R4. Cuando la dirección IP de origen es 172.16.1.1, los paquetes se reenvían a la interfaz ge-2/1/1.0 en el dispositivo R2. Cuando la dirección IP de origen es 172.16.2.2, los paquetes se reenvían a la interfaz ge-2/1/1.1 en el dispositivo R2.

Ejemplo: Configuración del reenvío basado en filtros a una dirección IP de destino específica

En este ejemplo, se muestra cómo usar then next-ip como una acción en un filtro de firewall.

Requisitos

En este ejemplo, se tienen los siguientes requisitos de hardware y software:

  • Plataforma de enrutamiento universal 5G serie MX como dispositivo de enrutamiento con el filtro de firewall configurado.

  • Junos OS versión 12.2 que se ejecuta en el dispositivo de enrutamiento con el filtro de firewall configurado.

  • El filtro con la next-interface acción (o next-ip) solo se puede aplicar a una interfaz alojada en una MPC Trio. Si aplica el filtro a una DPC basada en I-chip, se producirá un error en la operación de confirmación.

  • La interfaz saliente a la que se hace referencia en la acción de nombre de interfaz siguiente se puede alojar en una MPC Trio o una DPC basada en I-chip.

Descripción general

En este ejemplo, el dispositivo R2 tiene dos instancias de enrutamiento que están interconectadas con vínculos físicos. El tráfico de ciertas fuentes debe dirigirse a través del vínculo superior para su inspección por un optimizador de tráfico, que actúa de manera transparente en la capa IP. Cuando el optimizador de tráfico falla, el tráfico se mueve al vínculo inferior. Los flujos en la dirección R1>R3 y R3>R1 siguen rutas idénticas.

Figura 2 muestra la topología utilizada en este ejemplo.

Figura 2: Reenvío basado en filtros a interfaces salientes especificadasReenvío basado en filtros a interfaces salientes especificadas

En el dispositivo R2, se aplica un filtro de firewall a la interfaz ge-1/0/8 en la dirección de entrada. El segundo término coincide con las direcciones de origen específicas 10.0.0.0/24 y enruta el tráfico para que se dirija a 192.168.0.3. Esta dirección se resuelve en el salto siguiente 192.168.20.2. Si el vínculo conectado a la interfaz ge-1/1/0 falla, la dirección 192.168.0.3 se resolverá en el salto siguiente 192.168.30.2.

En el dispositivo R2, se aplica un filtro de firewall a la interfaz ge-1/0/0 en la dirección de entrada. El segundo término coincide con las direcciones de destino específicas 10.0.0.0/24 y enruta el tráfico para que se dirija a 192.168.0.2. Esta dirección se resuelve en el salto siguiente 192.168.20.1. Si el vínculo conectado a la interfaz ge-1/3/8 falla, la dirección 192.168.0.2 se resolverá en el salto siguiente 192.168.30.1.

Nota:

La dirección configurada mediante la next-ip acción no se resuelve automáticamente. En las interfaces Ethernet, se asume que la dirección configurada se resuelve mediante un protocolo de enrutamiento o rutas estáticas.

El BGP interno (IBGP) se utiliza entre el dispositivo R2-VR1 y el dispositivo R2-VR2. El BGP externo (EBGP) se utiliza entre el dispositivo R1 y el dispositivo R2-VR1, así como entre el dispositivo R2-VR2 y el dispositivo R3.

Las operaciones del BGP se realizan de la siguiente manera:

  • R2-VR1 aprende 10/8 de R1 y 0/0 de R2-VR2.

  • R2-VR2 aprende 0/0 de R3 y 10/8 de R2-VR1.

  • R1 anuncia 10/8 y recibe 0/0 de R2-VR1.

  • R3 anuncia 0/0 y recibe 10/8 de R2-VR2.

El filtro de firewall aplicado al dispositivo R2 debe permitir el tráfico del plano de control para las interfaces conectadas directamente, en este caso las sesiones de EBGP.

En este ejemplo, se muestra la configuración en el dispositivo R2.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Dispositivo R1

Dispositivo R2

Dispositivo R3

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Utilice el editor de CLI en modo de configuración la Guía del usuario de la CLI de Junos OS.

Para configurar el dispositivo R2:

  1. Configure las interfaces.

  2. Configure la instancia de enrutamiento.

  3. Configure el enrutamiento estático y BGP.

  4. Configure los filtros de firewall.

  5. Configure la política de enrutamiento.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show firewally show protocols . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Comprobación de las rutas utilizadas

Propósito

Asegúrese de que se utilizan las rutas esperadas al enviar tráfico del dispositivo R1 al dispositivo R3.

Acción

En el dispositivo R1, ingrese el traceroute comando antes y después de la falla del vínculo

Antes de la falla del optimizador de tráfico

Después de un error del optimizador de tráfico

Significado

El resultado muestra que el segundo salto cambia, dependiendo de la dirección de origen utilizada en el traceroute comando.

Para comprobar esta función, se realiza una operación traceroute en el dispositivo R1 al dispositivo R3. Cuando la dirección IP de origen es 10.0.0.1, los paquetes se reenvían a la interfaz ge-1/1/0.0 en el dispositivo R2. Cuando la dirección IP de origen es 10.1.0.1, los paquetes se reenvían a la interfaz ge-1/1/1.0 en el dispositivo R2.

Cuando falla el vínculo entre ge-1/1/0 y ge-1/3/8, los paquetes con dirección IP de origen 10.0.0.1 se reenvían a la interfaz ge-1/1/1.0 en el dispositivo R2.