close
keyboard_arrow_left
Table of Contents
- play_arrow Configuração de filtros de firewall
- play_arrow Entenda como os filtros de firewall protegem sua rede
- Visão geral dos filtros de firewall
- Visão geral do fluxo de dados do roteador
- Visão geral do filtro de firewall sem estado
- Entender como usar filtros de firewall padrão
- Entenda como o firewall filtra fluxos de pacotes de controle
- Componentes de filtro de firewall sem estado
- Pontos de aplicativo de filtro de firewall stateless
- Como os filtros de firewall padrão avaliam pacotes
- Entendendo o filtro de pesquisa rápida do filtro de firewall
- Entendendo os filtros de firewall de saída com PVLANs
- Filtragem seletiva baseada em classe em roteadores PTX
- Diretrizes para configurar filtros de firewall
- Diretrizes para a aplicação de filtros de firewall padrão
- Padrões suportados para filtragem
- Monitoramento do tráfego de filtro de firewall
- Solução de problemas de filtros de firewall
- play_arrow Condições e ações de correspondência do filtro de firewall
- Visão geral dos filtros de firewall (Série OCX)
- Visão geral dos perfis de filtro de firewall nos roteadores da Série ACX (Junos OS Evolved)
- Entendendo as condições de correspondência do filtro de firewall
- Entendendo o planejamento de filtros de firewall
- Entendendo como os filtros de firewall são avaliados
- Entendendo as condições de correspondência do filtro de firewall
- Condições flexíveis de correspondência do filtro de firewall
- Firewall filtra ações sem administração
- Ações de terminação de filtros de firewall
- Condições e ações de correspondência do filtro de firewall (roteadores da Série ACX)
- Condições e ações de correspondência do filtro de firewall em roteadores da Série ACX (Junos OS Evolved)
- Condições de correspondência do filtro de firewall para tráfego independente de protocolo
- Condições de correspondência do filtro de firewall para tráfego IPv4
- Condições de correspondência do filtro de firewall para tráfego IPv6
- Condições de correspondência do filtro de firewall com base em números ou vulses de texto
- Condições de correspondência do filtro de firewall com base em valores de campo bit
- Condições de correspondência do filtro de firewall com base em campos de endereço
- Condições de correspondência do filtro de firewall com base em aulas de endereço
- Entendendo a filtragem baseada em IP e o espelhamento seletivo de portas do tráfego MPLS
- Condições de correspondência do filtro de firewall para tráfego MPLS
- Condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tag MPLS
- Condições de correspondência do filtro de firewall para tráfego VPLS
- Condições de correspondência do filtro de firewall para tráfego CCC de Camada 2
- Condições de correspondência do filtro de firewall para tráfego de ponte de camada 2
- Suporte a filtros de firewall na interface de loopback
- play_arrow Aplicação de filtros de firewall ao tráfego de mecanismos de roteamento
- Configuração de unidades lógicas na interface de loopback para instâncias de roteamento em VPNs de camada 3
- Exemplo: Configuração de um filtro para limitar o acesso TCP a uma porta com base em uma lista de prefixo
- Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis
- Exemplo: Configure um filtro para bloquear o acesso à Telnet e SSH
- Exemplo: Configuração de um filtro para bloquear o acesso TFTP
- Exemplo: Configuração de um filtro para aceitar pacotes com base em bandeiras IPv6 TCP
- Exemplo: Configuração de um filtro para bloquear o acesso TCP a uma porta, exceto de peers BGP especificados
- Exemplo: Configuração de um filtro de firewall sem estado para proteger contra inundações de TCP e ICMP
- Exemplo: Protegendo o mecanismo de roteamento com um filtro de limitação de taxa de pacotes por segundo
- Exemplo: Configuração de um filtro para excluir o tráfego de controle DHCPv6 e ICMPv6 para assinantes LAC
- Requisitos de número de porta para filtros de firewall DHCP
- Exemplo: Configuração de um filtro de firewall DHCP para proteger o mecanismo de roteamento
- play_arrow Aplicação de filtros de firewall ao tráfego de trânsito
- Exemplo: Configuração de um filtro para uso como filtro de fila de entrada
- Exemplo: Configuração de um filtro para combinar em bandeiras IPv6
- Exemplo: Configuração de um filtro para combinar em campos de porta e protocolo
- Exemplo: Configuração de um filtro para contar pacotes aceitos e rejeitados
- Exemplo: Configuração de um filtro para contar e descartar pacotes de opções de IP
- Exemplo: Configuração de um filtro para contar pacotes de opções de IP
- Exemplo: Configuração de um filtro para contagem e amostra de pacotes aceitos
- Exemplo: Configurando um filtro para definir o DSCP Bit a zero
- Exemplo: Configurando um filtro para definir o DSCP Bit a zero
- Exemplo: Configuração de um filtro para combinar com dois critérios não relacionados
- Exemplo: Configuração de um filtro para aceitar pacotes DHCP com base no endereço
- Exemplo: Configurando um filtro para aceitar pacotes OSPF a partir de um prefixo
- Exemplo: Configuração de um filtro de firewall sem estado para lidar com fragmentos
- Configuração de um filtro de firewall para evitar ou permitir a fragmentação de pacotes IPv4
- Configurando um filtro de firewall para descartar pacotes IPv6 de entrada com um cabeçalho de extensão de mobilidade
- Exemplo: Configuração de um filtro de saída com base em endereços IP de origem ou destino IPv6
- Exemplo: Configuração de um filtro de limitação de taxa com base na classe de destino
- play_arrow Configuração de filtros de firewall em sistemas lógicos
- Filtros de firewall em visão geral dos sistemas lógicos
- Diretrizes para configurar e aplicar filtros de firewall em sistemas lógicos
- Referências de um filtro de firewall em um sistema lógico para objetos subordinados
- Referências de um filtro de firewall em um sistema lógico para objetos nonfirewall
- Referências de um objeto nonfirewall em um sistema lógico para um filtro de firewall
- Exemplo: Configuração do encaminhamento baseado em filtro
- Exemplo: Configuração do encaminhamento baseado em filtros em sistemas lógicos
- Exemplo: Configuração de um filtro de firewall sem estado para proteger um sistema lógico contra inundações de ICMP
- Exemplo: Configuração de um filtro de firewall sem estado para proteger um sistema lógico contra inundações de ICMP
- Declarações de filtro de firewall sem suporte para sistemas lógicos
- Ações sem suporte para filtros de firewall em sistemas lógicos
- Encaminhamento baseado em filtros para instâncias de roteamento
- Filtros de tabela de encaminhamento para instâncias de roteamento em roteadores da Série ACX
- Configuração de filtros de tabela de encaminhamento
- play_arrow Configuração de registro e contabilidade de filtro de firewall
- Visão geral da contabilidade dos filtros de firewall
- Visão geral do registro do sistema
- Registro de sistemas de eventos gerados para a instalação do firewall
- Ações de registro de filtro de firewall
- Exemplo: Configuração da coleta de estatísticas para um filtro de firewall
- Exemplo: Configuração de registro para um termo de filtro de firewall
- play_arrow Anexação de vários filtros de firewall a uma única interface
- Aplicação de filtros de firewall em interfaces
- Configuração de filtros de firewall
- Exemplo de classificador multicampo: Configuração da classificação multicampo
- Classificador multicampo para enfileiramento de entrada em roteadores da Série MX com MPC
- Atribuição de classificadores multicampo em filtros de firewall para especificar o comportamento de encaminhamento de pacotes (procedimento CLI)
- Entendendo vários filtros de firewall em uma configuração aninhada
- Diretrizes para referências de nesting a vários filtros de firewall
- Entendendo vários filtros de firewall aplicados como uma lista
- Diretrizes para a aplicação de vários filtros de firewall como lista
- Exemplo: Aplicando listas de vários filtros de firewall
- Exemplo: Referências de nesting a vários filtros de firewall
- Exemplo: Filtragem de pacotes recebidos em um conjunto de interface
- play_arrow Anexando um único filtro de firewall a várias interfaces
- Visão geral das instâncias de filtro de firewall específicas da interface
- Visão geral das instâncias de filtro de firewall específicas da interface
- Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral
- Filtragem de pacotes recebidos em uma visão geral do conjunto de interface
- Exemplo: Configuração de contadores de filtro de firewall específicos para interface
- Exemplo: Configuração de um filtro de firewall sem estado em um grupo de interface
- play_arrow Configuração de tunelamento baseado em filtro em redes IP
- Entendendo o tunelamento baseado em filtros em redes IPv4
- Tunelamento L2TP baseado em filtro de firewall em visão geral da IPv4 Networks
- Interfaces que oferecem suporte a tunelamento baseado em filtros em redes IPv4
- Componentes do tunelamento baseado em filtros em redes IPv4
- Exemplo: Transporte de tráfego IPv6 pelo IPv4 usando tunelamento baseado em filtro
- play_arrow Configuração de filtros de serviço
- Visão geral do filtro de serviço
- Como os filtros de serviço avaliam pacotes
- Diretrizes para configurar filtros de serviço
- Diretrizes para a aplicação de filtros de serviço
- Exemplo: Configuração e aplicação de filtros de serviço
- Condições de correspondência do filtro de serviço para tráfego IPv4 ou IPv6
- Ações sem gerenciamento do filtro de serviço
- Ações de terminação de filtro de serviço
- play_arrow Configuração de filtros simples
- play_arrow Configuração de filtros de firewall de camada 2
- Entendendo os filtros de firewall usados para controlar o tráfego em domínios de ponte e instâncias VPLS
- Exemplo: Configuração da filtragem de quadros por endereço MAC
- Exemplo: Configuração da filtragem de quadros por bits IEEE 802.1p
- Exemplo: Configuração da filtragem de quadros pela prioridade de perda de pacotes
- Exemplo: Configuração do policiamento e marcação do tráfego entrando em um núcleo VPLS
- Entendendo os filtros de firewall em interfaces gerenciadas por OVSDB
- Exemplo: Aplicando um filtro de firewall em interfaces gerenciadas por OVSDB
- play_arrow Configuração de filtros de firewall para encaminhamento, fragmentos e policiamento
- Visão geral de encaminhamento com base em filtros
- Filtros de firewall que lidam com a visão geral de pacotes fragmentados
- Filtros de firewall stateless que fazem referência à visão geral dos policiais
- Exemplo: Configuração do encaminhamento baseado em filtro no endereço de origem
- Exemplo: Configuração do encaminhamento baseado em filtro para uma interface de saída específica ou endereço IP de destino
- play_arrow Configuração de filtros de firewall (switches da Série EX)
- Visão geral dos filtros de firewall para switches da Série EX
- Entendendo o planejamento de filtros de firewall
- Entendendo as condições de correspondência do filtro de firewall
- Entenda como o firewall filtra fluxos de pacotes de controle
- Entendendo como os filtros de firewall são avaliados
- Entendendo os pontos de processamento de filtro de firewall para pacotes em pontes e roteados em switches da Série EX
- Firewall filtrar condições, ações e modificadores de ação para switches da Série EX
- Suporte de plataforma para condições de correspondência de filtro de firewall, ações e modificadores de ação em switches da Série EX
- Suporte para condições e ações de correspondência para filtros de firewall de loopback em switches
- Configuração de filtros de firewall (procedimento CLI)
- Entenda como os filtros de firewall testam o protocolo de um pacote
- Entendendo o encaminhamento baseado em filtros para switches da Série EX
- Exemplo: Configuração de filtros de firewall para tráfego de portas, VLAN e roteadores em switches da Série EX
- Exemplo: Configuração de um filtro de firewall em uma interface de gerenciamento em um switch da Série EX
- Exemplo: Usando o encaminhamento baseado em filtro para rotear o tráfego de aplicativos para um dispositivo de segurança
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Verificando se os policiais estão operacionais
- Solução de problemas de filtros de firewall
- play_arrow Configuração de filtros de firewall (switches da Série QFX, switches EX4600, roteadores da Série PTX)
- Visão geral dos filtros de firewall (Série QFX)
- Entendendo o planejamento de filtros de firewall
- Planejando o número de filtros de firewall para criar
- Condições e ações de correspondência do filtro de firewall (switches da série QFX e EX)
- Condições e ações de correspondência do filtro de firewall (QFX10000 switches)
- Condições e ações de correspondência do filtro de firewall (roteadores da Série PTX)
- Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T
- Configuração de filtros de firewall
- Aplicação de filtros de firewall em interfaces
- Visão geral dos filtros de firewall MPLS na interface de loopback
- Configuração de filtros de firewall MPLS e policiais em switches
- Configuração de filtros de firewall MPLS e policiais em roteadores
- Configuração de filtros de firewall MPLS e policiais
- Entender como um filtro de firewall testa um protocolo
- Entendendo os pontos de processamento de filtro de firewall para pacotes roteados e em pontes
- Entendendo o encaminhamento baseado em filtros
- Exemplo: Usando o encaminhamento baseado em filtro para rotear o tráfego de aplicativos para um dispositivo de segurança
- Configuração de um filtro de firewall para des encapsular o tráfego GRE ou IPIP
- Verificando se os filtros de firewall estão operacionais
- Monitoramento do tráfego de filtro de firewall
- Resolução de problemas da configuração do filtro de firewall
- play_arrow Configuração da contabilidade e registro de filtros de firewall (switches EX9200)
-
- play_arrow Configuração de policiais de trânsito
- play_arrow Entendendo os policiais de trânsito
- Visão geral da implementação do policiador
- Visão geral do ARP Policer
- Exemplo: Configurando o ARP Policer
- Entendendo os benefícios dos policiais e algoritmos de balde de símbolo
- Determinando o tamanho adequado da explosão para policiais de trânsito
- Controle do acesso à rede usando a visão geral do policiamento de tráfego
- Tipos de policiais de trânsito
- Operações de filtro de ordem de policiamento e firewall
- Entendendo o comprimento do quadro para policiamento de pacotes
- Padrões de suporte para policiamento
- Visão geral da configuração do policial hierárquico
- Entendendo policiais hierárquicos aprimorados
- Visão geral do policial baseado em packets por segundo (pps)
- Diretrizes para a aplicação de policiais de trânsito
- Suporte para interfaces de ethernet agregadas
- Exemplo: Configurando um policiador de interface física para agregar tráfego em uma interface física
- Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T
- Visão geral dos policiais hierárquicos dos roteadores da Série ACX
- Diretrizes para configurar policiais hierárquicos em roteadores da Série ACX
- Modos hierárquicos de policiamento em roteadores da Série ACX
- Processamento de policiais hierárquicos em roteadores da Série ACX
- Ações realizadas para policiais hierárquicos em roteadores da Série ACX
- Configuração de policiais agregados de pais e filhos em roteadores da Série ACX
- play_arrow Configuração dos limites e ações da taxa de policiamento
- play_arrow Configuração de policiais de camada 2
- Policiais hierárquicos
- Configuração de sobrecarga de um policial
- Policiais de duas cores e três cores na Camada 2
- Policiamento de tráfego de camada 2 na visão geral da Pseudowire
- Configurando um policiador de camada 2 de duas cores para o Pseudowire
- Configurando um policiador de camada 2 de três cores para o Pseudowire
- Aplicando os policiais em interfaces de perfil dinâmico
- Anexação de perfis dinâmicos a instâncias de roteamento
- Usando variáveis para o policiamento de tráfego de camada 2 na visão geral da Pseudowire
- Configuração de um policiador para a configuração complexa
- Criação de um perfil dinâmico para a configuração complexa
- Anexação de perfis dinâmicos a instâncias de roteamento para a configuração complexa
- Verificação de policiais de tráfego de camada 2 em conexões VPLS
- Entendendo os policiais em interfaces gerenciadas por OVSDB
- Exemplo: Aplicar um policiador em interfaces gerenciadas por OVSDB
- play_arrow Configuração de policiais de tráfego de duas cores e três cores na camada 3
- Visão geral da configuração do policiamento de duas cores
- Policiais básicos de duas cores de taxa única
- Policiais de largura de banda
- Ações de contagem e policiamento específicas de prefixo
- Sobrecarga do policial para explicar a modelagem da taxa no gerente de tráfego
- Visão geral da configuração do policiador de três cores
- Aplicando policiais
- Diretrizes de configuração de policiais de três cores
- Policiais básicos de três cores de taxa única
- Policiais básicos de três cores de duas categorias
- Exemplo: Configurando um policiador de três cores de duas categorias
- play_arrow Configuração de policiais de tráfego de interface lógica e física na camada 3
- play_arrow Configuração de policiais em switches
- Visão geral dos policiais
- Tipos de policiais de trânsito
- Entendendo o uso de policiais em filtros de firewall
- Entendendo a arquitetura de marcação tricolor
- Configuração de policiais para controlar taxas de tráfego (procedimento CLI)
- Configuração de policiais de marcação tricolor
- Entender os policiais com grupos de agregação de enlaces
- Entendendo o modo color-blind para marcação tricolor de taxa única
- Entendendo o modo de reconhecimento de cores para marcação tricolor de taxa única
- Entendendo o modo color-blind para marcação tricolor de duas categorias
- Entendendo o modo de reconhecimento de cores para marcação tricolor de duas categorias
- Exemplo: Usando listas de policiais e prefixos de duas cores
- Exemplo: Usando policiais para gerenciar a sobrescrição
- Atribuição de aulas de encaminhamento e prioridade de perda
- Configuração de policiais de saída color-blind para PLP médio-baixo
- Configuração de policiais de duas cores e três cores para controlar as taxas de tráfego
- Verificando se os policiais de duas cores estão operacionais
- Verificando se os policiais tricolores estão operacionais
- Resolução de problemas da configuração do policial
- Resolução de problemas da configuração do policial
-
- play_arrow Declarações de configuração e comandos operacionais
- play_arrow Solução de problemas
- play_arrow Base de conhecimento
-
list Table of Contents
Nesta página
Exemplo: Configuração de uma subrotina de políticas
date_range
18-Jan-25
Este exemplo demonstra o uso de uma subrotina de política em uma condição de correspondência de política de roteamento.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
No dispositivo R1, uma política chamada main está configurada.
content_copy zoom_out_map
user@R1# show policy-options
policy-statement main {
term subroutine-as-a-match {
from policy subroutine;
then accept;
}
term nothing-else {
then reject;
}
}
Essa política principal chama de subroutine chamada subroutine.
content_copy zoom_out_map
user@R1# show policy-options
policy-statement subroutine {
term get-routes {
from protocol static;
then accept;
}
term nothing-else {
then reject;
}
}
O roteador avalia a lógica de main uma maneira definida. O critério de correspondência permite que o dispositivo de from policy subroutine roteamento localize a subroutina. Todos os termos da subroutina são avaliados, em ordem, seguindo as regras normais de processamento de políticas. Neste exemplo, todas as rotas estáticas na tabela de roteamento correspondem à subroutina com uma ação de aceitação. Isso devolve um resultado real à política original, ou chamada, que informa ao dispositivo que ocorreu uma correspondência positiva. As ações na política de chamada são executadas e a rota é aceita. Todas as outras rotas da tabela de roteamento não correspondem à subroutina e devolvem um resultado falso à política de chamada. O dispositivo avalia o segundo termo main e rejeita as rotas.
As ações na subroutina não aceitam nem rejeitam uma rota específica. As ações subroutinas são traduzidas apenas em um resultado verdadeiro ou falso. Ações que modificam os atributos de uma rota, no entanto, são aplicadas à rota, independentemente do resultado da subroutina.
O dispositivo R1 no AS 64510 tem várias rotas de clientes, algumas das quais são rotas estáticas configuradas localmente, e algumas das quais são recebidas do Dispositivo R2 e do Dispositivo R3 através do BGP interno (IBGP). O AS 64510 está conectado ao dispositivo R4 em AS 64511. A política main é aplicada como uma política de exportação na sessão de peering BGP do Dispositivo R1 com o Dispositivo R4. Isso faz com que o Dispositivo R1 envie apenas suas próprias rotas estáticas para o dispositivo R4. Por causa da política main, o dispositivo R1 não envia as rotas recebidas de seus pares internos, o Dispositivo R2 e o Dispositivo R3.
Quando você está trabalhando com subroutines de políticas, é importante lembrar que a política de exportação de EBGP padrão é anunciar todas as rotas BGP aprendidas para todos os pares de EBGP. Essa política padrão está em vigor na política principal e também na subroutina. Portanto, como mostrado neste exemplo, se você não quiser que a política de exportação de EBGP padrão entre em vigor, você deve configurar uma then reject ação terminante como termo final tanto na política principal quanto na subroutine da política. Este exemplo demonstra o que acontece quando o termo final then reject está ausente, seja da política principal ou da subroutina da política.
Topologia
Figura 1 mostra a rede de amostra.
Figura 1: Topologia BGP para subrotina de políticas
Configuração rápida da CLI mostra a configuração de todos os dispositivos em Figura 1.
A seção #configuration318__policy-subroutine-st descreve as etapas do dispositivo R1.
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Dispositivo R1
content_copy zoom_out_map
set interfaces fe-1/2/0 unit 0 description to_R2 set interfaces fe-1/2/0 unit 0 family inet address 10.0.0.1/30 set interfaces fe-1/2/2 unit 0 description to_R3 set interfaces fe-1/2/2 unit 0 family inet address 10.0.0.5/30 set interfaces fe-1/2/3 unit 0 description to_R4 set interfaces fe-1/2/3 unit 0 family inet address 10.1.0.5/30 set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set protocols bgp group int type internal set protocols bgp group int local-address 192.168.0.1 set protocols bgp group int neighbor 192.168.0.2 set protocols bgp group int neighbor 192.168.0.3 set protocols bgp group to_64511 type external set protocols bgp group to_64511 export main set protocols bgp group to_64511 neighbor 10.1.0.6 peer-as 64511 set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ospf area 0.0.0.0 interface fe-1/2/2.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options policy-statement main term subroutine-as-a-match from policy subroutine set policy-options policy-statement main term subroutine-as-a-match then accept set policy-options policy-statement main term nothing-else then reject set policy-options policy-statement subroutine term get-routes from protocol static set policy-options policy-statement subroutine term get-routes then accept set policy-options policy-statement subroutine term nothing-else then reject set routing-options static route 172.16.1.16/28 discard set routing-options static route 172.16.1.32/28 discard set routing-options static route 172.16.1.48/28 discard set routing-options static route 172.16.1.64/28 discard set routing-options router-id 192.168.0.1 set routing-options autonomous-system 64510
Dispositivo R2
content_copy zoom_out_map
set interfaces fe-1/2/0 unit 0 description to_R1 set interfaces fe-1/2/0 unit 0 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 0 description to_R3 set interfaces fe-1/2/1 unit 0 family inet address 10.1.0.1/30 set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols bgp group int type internal set protocols bgp group int local-address 192.168.0.2 set protocols bgp group int neighbor 192.168.0.1 export send-static set protocols bgp group int neighbor 192.168.0.3 set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options policy-statement send-static term 1 from protocol static set policy-options policy-statement send-static term 1 then accept set routing-options static route 172.16.2.16/28 discard set routing-options static route 172.16.2.32/28 discard set routing-options static route 172.16.2.48/28 discard set routing-options static route 172.16.2.64/28 discard set routing-options router-id 192.168.0.2 set routing-options autonomous-system 64510
Dispositivo R3
content_copy zoom_out_map
set interfaces fe-1/2/1 unit 0 description to_R2 set interfaces fe-1/2/1 unit 0 family inet address 10.1.0.2/30 set interfaces fe-1/2/2 unit 0 description to_R1 set interfaces fe-1/2/2 unit 0 family inet address 10.0.0.6/30 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set protocols bgp group int type internal set protocols bgp group int local-address 192.168.0.3 set protocols bgp group int neighbor 192.168.0.1 export send-static set protocols bgp group int neighbor 192.168.0.2 set protocols ospf area 0.0.0.0 interface fe-1/2/2.6 set protocols ospf area 0.0.0.0 interface fe-1/2/0.4 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options policy-statement send-static from protocol static set policy-options policy-statement send-static then accept set routing-options static route 172.16.3.16/28 discard set routing-options static route 172.16.3.32/28 discard set routing-options static route 172.16.3.48/28 discard set routing-options static route 172.16.3.64/28 discard set routing-options router-id 192.168.0.3 set routing-options autonomous-system 64510
Dispositivo R4
content_copy zoom_out_map
set interfaces fe-1/2/3 unit 0 description to_R1 set interfaces fe-1/2/3 unit 0 family inet address 10.1.0.6/30 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set protocols bgp group ext type external set protocols bgp group ext peer-as 64510 set protocols bgp group ext neighbor 10.1.0.5 set routing-options autonomous-system 64511
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o dispositivo R1:
Configure as interfaces do dispositivo.
content_copy zoom_out_map[edit interfaces] user@R1# set fe-1/2/0 unit 0 description to_R2 user@R1# set fe-1/2/0 unit 0 family inet address 10.0.0.1/30 user@R1# set fe-1/2/2 unit 0 description to_R3 user@R1# set fe-1/2/2 unit 0 family inet address 10.0.0.5/30 user@R1# set fe-1/2/3 unit 0 description to_R4 user@R1# set fe-1/2/3 unit 0 family inet address 10.1.0.5/30 user@R1# set lo0 unit 0 family inet address 192.168.0.1/32
Configure as conexões BGP internas (IBGP) ao dispositivo R2 e ao dispositivo R3.
content_copy zoom_out_map[edit protocols bgp group int] user@R1# set type internal user@R1# set local-address 192.168.0.1 user@R1# set neighbor 192.168.0.2 user@R1# set neighbor 192.168.0.3
Configure a conexão EBGP com o dispositivo R4.
content_copy zoom_out_map[edit protocols bgp group to_64511] user@R1# set type external user@R1# set export main user@R1# set neighbor 10.1.0.6 peer-as 64511
Configure conexões OSPF com o dispositivo R2 e o dispositivo R3.
content_copy zoom_out_map[edit protocols ospf area 0.0.0.0] user@R1# set interface fe-1/2/0.0 user@R1# set interface fe-1/2/2.0 user@R1# set interface lo0.0 passive
Configure a política
main.content_copy zoom_out_map[edit policy-options policy-statement main term subroutine-as-a-match] user@R1# set from policy subroutine user@R1# set then accept [edit policy-options policy-statement main term nothing-else] user@R1# set then reject
Configure a política
subroutine.content_copy zoom_out_map[edit policy-options policy-statement subroutine term get-routes] user@R1# set from protocol static user@R1# set then accept [edit policy-options policy-statement subroutine term nothing-else] user@R1# set then reject
Configure a rota estática para a rede 172.16.5.0/24.
content_copy zoom_out_map[edit routing-options static] user@R1# set route 172.16.1.16/28 discard user@R1# set route 172.16.1.32/28 discard user@R1# set route 172.16.1.48/28 discard user@R1# set route 172.16.1.64/28 discard
Configure o número do sistema autônomo (AS) e o ID do roteador.
content_copy zoom_out_map[edit routing-options] user@R1# set router-id 192.168.0.1 user@R1# set autonomous-system 64510
Resultados
A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show protocolsshow policy-optionse show routing-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
content_copy zoom_out_map
user@R1# show interfaces
fe-1/2/0 {
unit 0 {
description to_R2;
family inet {
address 10.0.0.1/30;
}
}
}
fe-1/2/2 {
unit 0 {
description to_R3;
family inet {
address 10.0.0.5/30;
}
}
}
fe-1/2/3 {
unit 0 {
description to_R4;
family inet {
address 10.1.0.5/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
content_copy zoom_out_map
user@R1# show protocols
bgp {
group int {
type internal;
local-address 192.168.0.1;
neighbor 192.168.0.2;
neighbor 192.168.0.3;
}
group to_64511 {
type external;
export main;
neighbor 10.1.0.6 {
peer-as 64511;
}
}
}
ospf {
area 0.0.0.0 {
interface fe-1/2/0.0;
interface fe-1/2/2.0;
interface lo0.0 {
passive;
}
}
}
content_copy zoom_out_map
user@R1# show policy-options
policy-statement main {
term subroutine-as-a-match {
from policy subroutine;
then accept;
}
term nothing-else {
then reject;
}
}
policy-statement subroutine {
term get-routes {
from protocol static;
then accept;
}
term nothing-else {
then reject;
}
}
content_copy zoom_out_map
user@R1# show routing-options
static {
route 172.6.1.16/28 discard;
route 172.6.1.32/28 discard;
route 172.6.1.48/28 discard;
route 172.6.1.64/28 discard;
}
router-id 192.168.0.1;
autonomous-system 64510;
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificação das rotas no dispositivo R1
- Verificando o anúncio de rota para o dispositivo R4
- Experimentar a política de exportação BGP padrão
Verificação das rotas no dispositivo R1
Propósito
No dispositivo R1, verifique as rotas estáticas na tabela de roteamento.
Ação
content_copy zoom_out_map
user@R1> show route protocol static
inet.0: 23 destinations, 23 routes (23 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.16/28 *[Static/5] 1d 02:02:13
Discard
172.16.1.32/28 *[Static/5] 1d 02:02:13
Discard
172.16.1.48/28 *[Static/5] 1d 02:02:13
Discard
172.16.1.64/28 *[Static/5] 1d 02:02:13
DiscardSignificado
O dispositivo R1 tem quatro rotas estáticas.
Verificando o anúncio de rota para o dispositivo R4
Propósito
No dispositivo R1, certifique-se de que as rotas estáticas sejam anunciadas para o dispositivo R4.
Ação
content_copy zoom_out_map
user@R1> show route advertising-protocol bgp 10.1.0.6 inet.0: 23 destinations, 23 routes (23 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.1.16/28 Self I * 172.16.1.32/28 Self I * 172.16.1.48/28 Self I * 172.16.1.64/28 Self I
Significado
Como esperado, o Dispositivo R1 anuncia apenas suas rotas estáticas para o dispositivo R4.
Experimentar a política de exportação BGP padrão
Propósito
Veja o que pode acontecer quando você remove o termo final then reject da política main ou da política subroutine.
Ação
No dispositivo R1, desativar o termo final da política
main.content_copy zoom_out_map[edit policy-options policy-statement main] user@R1# deactivate term nothing-else user@R1# commit
No dispositivo R1, verifique quais rotas são anunciadas para o dispositivo R4.
content_copy zoom_out_mapuser@R1> show route advertising-protocol bgp 10.1.0.6 inet.0: 23 destinations, 23 routes (23 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.1.16/28 Self I * 172.16.1.32/28 Self I * 172.16.1.48/28 Self I * 172.16.1.64/28 Self I * 172.16.2.16/28 Self I * 172.16.2.32/28 Self I * 172.16.2.48/28 Self I * 172.16.2.64/28 Self I * 172.16.3.16/28 Self I * 172.16.3.32/28 Self I * 172.16.3.48/28 Self I * 172.16.3.64/28 Self I
Agora, todas as rotas BGP do Dispositivo R1 são enviadas para o dispositivo R4. Isso ocorre porque, após o retorno do processamento à política
main, a política de exportação BGP padrão entra em vigor.No dispositivo R1, reativar o termo final da política
maine desativar o termo final na políticasubroutine.content_copy zoom_out_map[edit policy-options policy-statement main] user@R1# activate term nothing-else [edit policy-options policy-statement subroutine] user@R1# deactivate term nothing-else user@R1# commit
No dispositivo R1, verifique quais rotas são anunciadas para o dispositivo R4.
content_copy zoom_out_mapuser@R1> show route advertising-protocol bgp 10.1.0.6 inet.0: 23 destinations, 23 routes (23 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.1.16/28 Self I * 172.16.1.32/28 Self I * 172.16.1.48/28 Self I * 172.16.1.64/28 Self I * 172.16.2.16/28 Self I * 172.16.2.32/28 Self I * 172.16.2.48/28 Self I * 172.16.2.64/28 Self I * 172.16.3.16/28 Self I * 172.16.3.32/28 Self I * 172.16.3.48/28 Self I * 172.16.3.64/28 Self I
Agora, todas as rotas BGP do Dispositivo R1 são enviadas para o dispositivo R4. Isso ocorre porque antes que o processamento seja devolvido à política
main, a política de exportação BGP padrão entra em vigor na políticasubroutine.
Significado
Para evitar que a política de exportação BGP padrão entre em vigor, você deve incluir um termo final then reject na política principal e em todas as subroutines mencionadas.