Visão geral da estrutura de políticas
O sistema operacional Junos® (Junos OS) oferece uma estrutura de políticas, que é uma coleção de políticas do Junos OS que permitem que você controle fluxos de informações e pacotes de roteamento.
A arquitetura de política do Junos OS é simples e simples. No entanto, a implementação real de cada política adiciona camadas de complexidade à política, além de adicionar energia e flexibilidade aos recursos do seu roteador. A configuração de uma política tem um grande impacto no fluxo de informações de roteamento ou pacotes dentro e por meio do roteador. Por exemplo, você pode configurar uma política de roteamento que não permite que rotas associadas a um determinado cliente sejam colocadas na tabela de roteamento. Como resultado dessa política de roteamento, as rotas dos clientes não são usadas para encaminhar pacotes de dados para vários destinos e as rotas não são anunciadas pelo protocolo de roteamento aos vizinhos.
Antes de configurar uma política, determine o que você deseja realizar com ela e entenda completamente como atingir seu objetivo usando as várias condições e ações da partida. Além disso, certifique-se de entender as políticas e ações padrão para a política que você está configurando.
Filtros de firewall e política de roteamento
A estrutura de políticas é composta pelas seguintes políticas:
Política de roteamento — permite que você controle as informações de roteamento entre os protocolos de roteamento e as tabelas de roteamento e entre as tabelas de roteamento e a tabela de encaminhamento. Todos os protocolos de roteamento usam as tabelas de roteamento do Junos OS para armazenar as rotas que aprendem e determinar quais rotas devem anunciar em seus pacotes de protocolo. A política de roteamento permite que você controle quais rotas os protocolos de roteamento armazenam e recuperam da tabela de roteamento.
Política de filtro de firewall — permite que você controle pacotes que transitam pelo roteador para um destino de rede e pacotes destinados e enviados pelo roteador.
Nota:O termo política de filtro de firewall é usado aqui para enfatizar que um filtro de firewall é uma política e compartilha algumas semelhanças fundamentais com uma política de roteamento. No entanto, quando se refere a uma política de filtro de firewall no restante deste manual, o termo filtro de firewall é usado.
Motivos para criar uma política de roteamento
As circunstâncias a seguir são típicas nas quais você pode querer antecipar as políticas de roteamento padrão na estrutura de políticas de roteamento, criando suas próprias políticas de roteamento:
Você não quer que um protocolo importe todas as rotas para a tabela de roteamento. Se a tabela de roteamento não aprender sobre determinadas rotas, elas nunca poderão ser usadas para encaminhar pacotes e nunca poderão ser redistribuídas em outros protocolos de roteamento.
Você não quer um protocolo de roteamento para exportar todas as rotas ativas que aprende.
Você quer que um protocolo de roteamento anuncie rotas ativas aprendidas com outro protocolo de roteamento, que às vezes é chamado de redistribuição de rota.
Você deseja manipular características de rota, como o valor de preferência, caminho AS ou comunidade. Você pode manipular as características de rota para controlar qual rota é selecionada como a rota ativa para chegar a um destino. Em geral, a rota ativa também é anunciada para os vizinhos de um roteador.
Você deseja alterar os parâmetros padrão de amortecimento de flap de rota BGP.
Você deseja realizar o balanceamento de carga por pacote.
Você deseja capacitar a classe de serviço (CoS).
Fluxos de roteador afetados por políticas
As políticas do Junos OS afetam os seguintes fluxos de roteador:
Fluxo de informações de roteamento entre os protocolos de roteamento e as tabelas de roteamento e entre as tabelas de roteamento e a tabela de encaminhamento. O mecanismo de roteamento lida com esse fluxo. As informações de roteamento são as informações sobre rotas aprendidas pelos protocolos de roteamento dos vizinhos de um roteador. Essas informações são armazenadas em tabelas de roteamento e, posteriormente, são anunciadas pelos protocolos de roteamento para os vizinhos do roteador. As políticas de roteamento permitem que você controle o fluxo dessas informações.
Fluxo de pacotes de dados dentro e fora das interfaces físicas do roteador. O mecanismo de encaminhamento de pacotes lida com esse fluxo. Os pacotes de dados são pedaços de dados que transitam pelo roteador enquanto são encaminhados de uma fonte para um destino. Quando um roteador recebe um pacote de dados em uma interface, ele determina onde encaminhar o pacote olhando na tabela de encaminhamento para a melhor rota para um destino. Em seguida, o roteador encaminha o pacote de dados em direção ao seu destino por meio da interface apropriada. Os filtros de firewall permitem que você controle o fluxo desses pacotes de dados.
Fluxo de pacotes locais das interfaces físicas do roteador e para o mecanismo de roteamento. O mecanismo de roteamento lida com esse fluxo. Os pacotes locais são pedaços de dados destinados ou enviados pelo roteador. Os pacotes locais geralmente contêm dados de protocolo de roteamento, dados para serviços IP, como Telnet ou SSH, e dados para protocolos administrativos, como o Protocolo de Mensagem de Controle de Internet (ICMP). Quando o mecanismo de roteamento recebe um pacote local, ele encaminha o pacote para o processo apropriado ou para o kernel, que faz parte do Mecanismo de Roteamento ou para o Mecanismo de encaminhamento de pacotes. Os filtros de firewall permitem que você controle o fluxo desses pacotes locais.
Nota:No restante deste capítulo, o termo pacotes refere-se a dados e pacotes locais, a menos que seja explicitamente declarado o contrário.
Figura 1 ilustra os fluxos pelo roteador. Embora os fluxos sejam muito diferentes uns dos outros, eles também são interdependentes. As políticas de roteamento determinam quais rotas estão colocadas na tabela de encaminhamento. A tabela de encaminhamento, por sua vez, tem um papel integral na determinação da interface física apropriada através da qual encaminhar um pacote.
Você pode configurar políticas de roteamento para controlar quais roteamentos os protocolos de roteamento colocam nas tabelas de roteamento e controlar quais rotas os protocolos de roteamento anunciam das tabelas de roteamento (ver Figura 2). Os protocolos de roteamento anunciam rotas ativas apenas a partir das tabelas de roteamento. (Uma rota ativa é uma rota escolhida de todas as rotas da tabela de roteamento para chegar a um destino.)
Você também pode usar políticas de roteamento para fazer o seguinte:
Altere características de rota específicas, que permitem controlar qual rota é selecionada como a rota ativa para chegar a um destino. Em geral, a rota ativa também é anunciada para os vizinhos de um roteador.
Altere para os valores padrão de amortecimento de flap de rota BGP.
Realize balanceamento de carga por pacote.
Habilite a classe de serviço (CoS).
Você pode configurar filtros de firewall para controlar os seguintes aspectos do fluxo de pacotes (ver Figura 3):
Quais pacotes de dados são aceitos e transmitidos pelas interfaces físicas. Para controlar o fluxo de pacotes de dados, você aplica filtros de firewall nas interfaces físicas.
Quais pacotes locais são transmitidos das interfaces físicas e para o Mecanismo de Roteamento. Para controlar pacotes locais, você aplica filtros de firewall na interface de loopback, que é a interface para o Mecanismo de Roteamento.
Os filtros de firewall fornecem um meio de proteger seu roteador contra o tráfego excessivo que transita pelo roteador para um destino de rede ou destinado ao Mecanismo de Roteamento. Os filtros de firewall que controlam pacotes locais também podem proteger seu roteador contra incidentes externos, como ataques de negação de serviço.
Pontos de controle
Todas as políticas fornecem dois pontos em que você pode controlar informações de roteamento ou pacotes pelo roteador (ver Figura 4). Esses pontos de controle permitem que você controle o seguinte:
Informações de roteamento antes e depois disso são colocadas na tabela de roteamento.
Pacotes de dados antes e depois de uma consulta à tabela de encaminhamento.
Pacotes locais antes e depois de serem recebidos pelo Mecanismo de Roteamento. (Figura 4 parece representar apenas um ponto de controle, mas devido ao fluxo bidirecional dos pacotes locais, dois pontos de controle realmente existem.)
Como existem dois pontos de controle, você pode configurar políticas que controlam as informações de roteamento ou pacotes de dados antes e depois de sua interação com suas respectivas tabelas, e políticas que controlam pacotes locais antes e depois de sua interação com o Mecanismo de Roteamento. As políticas de roteamento de importação controlam as informações de roteamento colocadas nas tabelas de roteamento, enquanto as políticas de roteamento de exportação controlam as informações de roteamento anunciadas das tabelas de roteamento. O firewall de entrada filtra pacotes de controle que são recebidos em uma interface de roteador, enquanto o firewall de saída filtra pacotes de controle que são transmitidos de uma interface de roteador.
Componentes da política
Todas as políticas são compostas pelos seguintes componentes que você configura:
Condições de correspondência — Critérios em relação aos quais uma rota ou pacotes são comparados. Você pode configurar um ou mais critérios. Se todos os critérios corresponderem, uma ou mais ações serão aplicadas.
Ações — O que acontece se todos os critérios corresponderem. Você pode configurar uma ou mais ações.
Termos — Estruturas nomeadas nas quais as condições e ações de correspondência são definidas. Você pode definir um ou mais termos.
O software de estrutura de políticas avalia cada rota ou pacote de entrada e saída em relação às condições de correspondência em um termo. Se os critérios nas condições da partida forem atendidos, a ação definida será tomada.
Em geral, o software de estrutura de política compara a rota ou o pacote com as condições de correspondência no primeiro termo da política, depois vai para o próximo termo, e assim por diante. Portanto, a ordem em que você organiza termos em uma política é relevante.
A ordem das condições de correspondência em um termo não é relevante porque uma rota ou pacote deve corresponder a todas as condições de correspondência em um termo para que uma ação seja tomada.