Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração do encaminhamento baseado em filtro para uma interface de saída específica ou endereço IP de destino

Entender o encaminhamento baseado em filtro para uma interface de saída específica ou endereço IP de destino

O roteamento baseado em políticas (também conhecido como encaminhamento baseado em filtro) refere-se ao uso de filtros de firewall que são aplicados a uma interface para combinar com determinadas características de cabeçalho IP e rotear apenas esses pacotes correspondentes de forma diferente dos pacotes normalmente seriam roteados.

A partir do Junos OS Release 12.2, você pode usar then next-interface, then next-ipou then next-ip6 como uma ação em um filtro de firewall. A partir de condições específicas de correspondência, endereços IPv4 e IPv6 ou um nome de interface podem ser especificados como a ação de resposta a uma correspondência.

O conjunto de condições de jogo pode ser o seguinte:

  • Propriedades de camada 3 (por exemplo, o endereço IP de origem ou destino ou o byte TOS)

  • Propriedades de camada 4 (por exemplo, a porta de origem ou destino)

A rota para determinado endereço IPv4 ou IPv6 precisa estar presente na tabela de roteamento para que o roteamento baseado em políticas entre em vigor. Da mesma forma, a rota por uma determinada interface precisa estar presente na tabela de encaminhamento para next-interface que medidas surtiram efeito. Isso pode ser conseguido configurando um protocolo de gateway interior (IGP), como OSPF ou IS-IS, para anunciar rotas de Camada 3.

O filtro de firewall combina com as condições e encaminha o pacote para um dos seguintes:

  • Um endereço IPv4 (usando a ação do filtro de next-ip firewall)

  • Um endereço IPv6 (usando a ação do filtro de next-ip6 firewall)

  • Uma interface (usando a ação do filtro de next-interface firewall)

Suponha, por exemplo, que você queira oferecer serviços aos seus clientes, e os serviços residam em diferentes servidores. Um exemplo de serviço pode ser hospedado DNS ou FTP hospedado. À medida que o tráfego do cliente chega ao dispositivo de roteamento da Juniper Networks, você pode usar o encaminhamento baseado em filtro para enviar tráfego aos servidores aplicando uma condição de correspondência em um endereço MAC ou um endereço IP ou simplesmente uma interface de entrada e enviar os pacotes para uma determinada interface de saída associada ao servidor apropriado. Alguns de seus destinos podem ser endereços IPv4 ou IPv6, nesse caso a ação ou next-ip6 ação next-ip é útil.

Opcionalmente, você pode associar as interfaces de saída ou endereços IP com instâncias de roteamento.

Por exemplo:

Exemplo: Configuração do encaminhamento baseado em filtro para uma interface de saída específica

Este exemplo mostra como usar then next-interface como uma ação em um filtro de firewall.

Requisitos

Este exemplo tem os seguintes requisitos de hardware e software:

  • Plataforma de roteamento universal 5G da Série MX como dispositivo de roteamento com o filtro de firewall configurado.

  • Junos OS Release 12.2 em execução no dispositivo de roteamento com o filtro de firewall configurado.

  • O filtro com a (ou next-ip) ação next-interface só pode ser aplicado a uma interface hospedada em um Trio MPC. Se você aplicar o filtro a um DPC baseado em chip I, a operação de confirmação falhará.

  • A interface de saída referida na ação next-interface interface-name pode ser hospedada em um MPC trio ou um DPC baseado em chip I.

Visão geral

Neste exemplo, o dispositivo R1 tem dois endereços de interface de loopback configurados: 172,16,1,1 e 172,16,2,2.

No dispositivo R2, um filtro de firewall tem vários termos configurados. Cada termo corresponde a um dos endereços de origem no tráfego de entrada e roteia o tráfego para interfaces de saída especificadas. As interfaces de saída são configuradas como interfaces com tags VLAN entre o Dispositivo R2 e o Dispositivo R3.

O IS-IS é usado para conectividade entre os dispositivos.

Figura 1 mostra a topologia usada neste exemplo.

Figura 1: Encaminhamento baseado em filtro para interfaces de saída especificadasEncaminhamento baseado em filtro para interfaces de saída especificadas

Este exemplo mostra a configuração no dispositivo R2.

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Dispositivo R2

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o dispositivo R2:

  1. Configure as interfaces.

  2. Configure o filtro de firewall.

  3. Habilite o IS-IS nas interfaces.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show firewalle show protocols comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando os caminhos usados

Propósito

Certifique-se de que os caminhos esperados sejam usados ao enviar tráfego do Dispositivo R1 para o Dispositivo R4.

Ação

No dispositivo R1, insira o traceroute comando.

Significado

A saída mostra que o segundo salto muda, dependendo do endereço de origem usado no traceroute comando.

Para verificar esse recurso, uma operação de traceroute é realizada no dispositivo R1 ao Dispositivo R4. Quando o endereço IP de origem é 172.16.1.1, os pacotes são encaminhados para fora da interface ge-2/1/1.0 no dispositivo R2. Quando o endereço IP de origem é 172.16.2.2, os pacotes são encaminhados para fora da interface ge-2/1/1.1 no dispositivo R2.

Exemplo: Configuração do encaminhamento baseado em filtro para um endereço IP de destino específico

Este exemplo mostra como usar then next-ip como uma ação em um filtro de firewall.

Requisitos

Este exemplo tem os seguintes requisitos de hardware e software:

  • Plataforma de roteamento universal 5G da Série MX como dispositivo de roteamento com o filtro de firewall configurado.

  • Junos OS Release 12.2 em execução no dispositivo de roteamento com o filtro de firewall configurado.

  • O filtro com a (ou next-ip) ação next-interface só pode ser aplicado a uma interface hospedada em um Trio MPC. Se você aplicar o filtro a um DPC baseado em chip I, a operação de confirmação falhará.

  • A interface de saída referida na ação de nome de interface de próxima interface pode ser hospedada em um Trio MPC ou um DPC baseado em I-chip.

Visão geral

Neste exemplo, o Dispositivo R2 tem duas instâncias de roteamento que estão interconectadas com links físicos. O tráfego de determinadas fontes é necessário ser direcionado por todo o enlace superior para inspeção por um otimizador de tráfego, que atua de forma transparente na camada de IP. Quando o otimizador de tráfego falha, o tráfego se move para o enlace inferior. Os fluxos na direção R1>R3 e R3>R1 seguem caminhos idênticos.

Figura 2 mostra a topologia usada neste exemplo.

Figura 2: Encaminhamento baseado em filtro para interfaces de saída especificadasEncaminhamento baseado em filtro para interfaces de saída especificadas

No dispositivo R2, um filtro de firewall é aplicado à interface ge-1/0/8 na direção de entrada. O segundo termo corresponde aos endereços de origem específica 10.0.0.0/24 e direciona o tráfego para o endereço 192.168.0.3. Esse endereço resolve o next-hop 192.168.20.2. Se o link conectado à interface ge-1/1/0 cair, o endereço 192.168.0.3 resolverá para next-hop 192.168.30.2.

No dispositivo R2, um filtro de firewall é aplicado à interface ge-1/0/0 na direção de entrada. O segundo termo corresponde aos endereços de destino específicos 10.0.0.0/24 e direciona o tráfego para o endereço 192.168.0.2. Esse endereço resolve o next-hop 192.168.20.1. Se o link conectado à interface ge-1/3/8 cair, o endereço 192.168.0.2 resolverá para next-hop 192.168.30.1.

Nota:

O endereço configurado usando a ação next-ip não é resolvido automaticamente. Nas interfaces Ethernet, assume-se que o endereço configurado é resolvido usando um protocolo de roteamento ou rotas estáticas.

O BGP interno (IBGP) é usado entre o dispositivo R2-VR1 e o dispositivo R2-VR2. O BGP externo (EBGP) é usado entre o dispositivo R1 e o dispositivo R2-VR1, bem como entre o dispositivo R2-VR2 e o dispositivo R3.

As operações do BGP prossseguem da seguinte forma:

  • R2-VR1 aprende 10/8 a partir de R1, e 0/0 a partir de R2-VR2.

  • R2-VR2 aprende 0/0 da R3 e 10/8 da R2-VR1.

  • R1 anuncia 10/8 e recebe 0/0 do R2-VR1.

  • R3 anuncia 0/0 e recebe 10/8 do R2-VR2.

O filtro de firewall aplicado ao Dispositivo R2 precisa permitir o tráfego de plano de controle para as interfaces diretamente conectadas, neste caso as sessões de EBGP.

Este exemplo mostra a configuração no dispositivo R2.

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Dispositivo R1

Dispositivo R2

Dispositivo R3

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o dispositivo R2:

  1. Configure as interfaces.

  2. Configure a instância de roteamento.

  3. Configure o roteamento estático e BGP.

  4. Configure os filtros de firewall.

  5. Configure a política de roteamento.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show firewalle show protocols comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando os caminhos usados

Propósito

Certifique-se de que os caminhos esperados sejam usados ao enviar tráfego do dispositivo R1 para o dispositivo R3.

Ação

No dispositivo R1, insira o traceroute comando antes e depois da falha do link

Antes de falha do otimizador de tráfego

Após falha do otimizador de tráfego

Significado

A saída mostra que o segundo salto muda, dependendo do endereço de origem usado no traceroute comando.

Para verificar esse recurso, uma operação de traceroute é realizada no dispositivo R1 ao Dispositivo R3. Quando o endereço IP de origem é 10.0.0.1, os pacotes são encaminhados para fora da interface ge-1/1/0.0 no Dispositivo R2. Quando o endereço IP de origem é 10.1.0.1, os pacotes são encaminhados pela interface ge-1/1/1.0 no Dispositivo R2.

Quando a ligação entre ge-1/1/0 e ge-1/3/8 falha, os pacotes com endereço IP de origem 10.0.0.1 são encaminhados para fora da interface ge-1/1/1.0 no dispositivo R2.