- play_arrow Configuración de filtros de firewall
- play_arrow Descripción de cómo los filtros de firewall protegen su red
- Descripción general de los filtros de firewall
- Descripción general del flujo de datos del enrutador
- Descripción general del filtro de firewall sin estado
- Descripción de cómo usar filtros de firewall estándar
- Descripción de cómo los filtros de firewall controlan los flujos de paquetes
- Componentes del filtro de firewall sin estado
- Puntos de aplicación de filtro de firewall sin estado
- Cómo los filtros de firewall estándar evalúan los paquetes
- Descripción del filtro de firewall Filtro de búsqueda rápida
- Descripción de los filtros de firewall de salida con PVLAN
- Filtrado selectivo basado en clases en enrutadores PTX
- Directrices para configurar filtros de firewall
- Directrices para aplicar filtros de firewall estándar
- Estándares admitidos para el filtrado
- Supervisión del tráfico de filtro de firewall
- Solución de problemas de filtros de firewall
- play_arrow Condiciones y acciones de coincidencia del filtro de firewall
- Descripción general de los filtros de firewall (serie OCX)
- Descripción general de los perfiles de filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
- Descripción de las condiciones de coincidencia de filtros de firewall
- Descripción de la planeación del filtro de firewall
- Descripción de cómo se evalúan los filtros de firewall
- Descripción de las condiciones de coincidencia de filtros de firewall
- Condiciones de coincidencia flexibles del filtro de firewall
- Acciones de no terminación del filtro de firewall
- Acciones de finalización del filtro de firewall
- Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie ACX)
- Condiciones y acciones de coincidencia del filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
- Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv4
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv6
- El filtro de firewall hace coincidir condiciones basadas en números o alias de texto
- El filtro de firewall coincide con las condiciones según los valores de campo de bits
- El filtro de firewall coincide con las condiciones según los campos de dirección
- El filtro de firewall coincide con condiciones basadas en clases de dirección
- Descripción del filtrado basado en IP y la duplicación selectiva de puertos del tráfico MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico VPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2
- Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2
- Compatibilidad con filtros de firewall en interfaz de circuito cerrado
- play_arrow Aplicación de filtros de firewall al tráfico del motor de enrutamiento
- Configuración de unidades lógicas en la interfaz de circuito cerrado para instancias de enrutamiento en VPN de capa 3
- Ejemplo: Configuración de un filtro para limitar el acceso TCP a un puerto basado en una lista de prefijos
- Ejemplo: Configuración de un filtro de firewall sin estado para aceptar tráfico de fuentes de confianza
- Ejemplo: Configurar un filtro para bloquear el acceso Telnet y SSH
- Ejemplo: Configuración de un filtro para bloquear el acceso TFTP
- Ejemplo: Configuración de un filtro para aceptar paquetes basados en indicadores TCP IPv6
- Ejemplo: Configuración de un filtro para bloquear el acceso TCP a un puerto, excepto desde pares BGP especificados
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger contra inundaciones TCP e ICMP
- Ejemplo: Protección del motor de enrutamiento con un filtro limitador de velocidad de paquetes por segundo
- Ejemplo: Configuración de un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 para el suscriptor de LAC
- Requisitos de número de puerto para los filtros de firewall DHCP
- Ejemplo: Configuración de un filtro de firewall DHCP para proteger el motor de enrutamiento
- play_arrow Aplicación de filtros de firewall al tráfico de tránsito
- Ejemplo: Configuración de un filtro para su uso como filtro de cola de entrada
- Ejemplo: Configuración de un filtro para que coincida en indicadores IPv6
- Ejemplo: Configuración de un filtro para que coincida en los campos Puerto y Protocolo
- Ejemplo: Configuración de un filtro para contar los paquetes aceptados y rechazados
- Ejemplo: Configuración de un filtro para contar y descartar paquetes de opciones IP
- Ejemplo: Configuración de un filtro para contar paquetes de opciones IP
- Ejemplo: Configuración de un filtro para contar y muestrear paquetes aceptados
- Ejemplo: Configuración de un filtro para establecer el bit DSCP en cero
- Ejemplo: Configuración de un filtro para establecer el bit DSCP en cero
- Ejemplo: Configuración de un filtro para que coincida con dos criterios no relacionados
- Ejemplo: Configuración de un filtro para aceptar paquetes DHCP según la dirección
- Ejemplo: Configuración de un filtro para aceptar paquetes OSPF desde un prefijo
- Ejemplo: Configuración de un filtro de firewall sin estado para controlar fragmentos
- Configuración de un filtro de firewall para impedir o permitir la fragmentación de paquetes IPv4
- Configuración de un filtro de firewall para descartar paquetes IPv6 de entrada con un encabezado de extensión de movilidad
- Ejemplo: Configuración de un filtro de salida basado en direcciones IP de origen o destino IPv6
- Ejemplo: Configuración de un filtro de limitación de velocidad basado en la clase de destino
- play_arrow Configuración de filtros de firewall en sistemas lógicos
- Descripción general de los filtros de firewall en sistemas lógicos
- Directrices para configurar y aplicar filtros de firewall en sistemas lógicos
- Referencias desde un filtro de firewall en un sistema lógico a objetos subordinados
- Referencias de un filtro de firewall en un sistema lógico a objetos que no son firewall
- Referencias de un objeto que no es firewall en un sistema lógico a un filtro de firewall
- Ejemplo: Configuración del reenvío basado en filtros
- Ejemplo: Configuración del reenvío basado en filtros en sistemas lógicos
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger un sistema lógico contra inundaciones ICMP
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger un sistema lógico contra inundaciones ICMP
- Instrucciones de filtro de firewall no compatibles para sistemas lógicos
- Acciones no admitidas para filtros de firewall en sistemas lógicos
- Reenvío basado en filtros para instancias de enrutamiento
- Filtros de tabla de reenvío para instancias de enrutamiento en enrutadores de la serie ACX
- Configuración de filtros de tabla de reenvío
- play_arrow Configuración de la contabilidad y el registro del filtro de firewall
- Información general sobre la contabilidad de los filtros de firewall
- Información general sobre el registro del sistema
- Registro del sistema de eventos generados para la función de firewall
- Acciones de registro de filtro de firewall
- Ejemplo: Configuración de la recopilación de estadísticas para un filtro de firewall
- Ejemplo: Configuración del registro para un término de filtro de firewall
- play_arrow Adjuntar varios filtros de firewall a una sola interfaz
- Aplicación de filtros de firewall a interfaces
- Configuración de filtros de firewall
- Ejemplo de clasificadorde múltiples campos: Configuración de la clasificación de campos múltiples
- Clasificador de múltiples campos para colas de entrada en enrutadores de la serie MX con MPC
- Asignación de clasificadores de varios campos en filtros de firewall para especificar el comportamiento del reenvío de paquetes (procedimiento de la CLI)
- Descripción de varios filtros de firewall en una configuración anidada
- Directrices para anidar referencias a varios filtros de firewall
- Descripción de varios filtros de firewall aplicados como una lista
- Directrices para aplicar varios filtros de firewall como lista
- Ejemplo: Aplicación de listas de varios filtros de firewall
- Ejemplo: Anidamiento de referencias a varios filtros de firewall
- Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces
- play_arrow Adjuntar un único filtro de firewall a varias interfaces
- Descripción general de las instancias de filtro de firewall específicas de la interfaz
- Descripción general de las instancias de filtro de firewall específicas de la interfaz
- Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces
- Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces
- Ejemplo: Configuración de contadores de filtro de firewall específicos de la interfaz
- Ejemplo: Configuración de un filtro de firewall sin estado en un grupo de interfaces
- play_arrow Configuración de túneles basados en filtros entre redes IP
- Descripción de la tunelización basada en filtros en redes IPv4
- Descripción general de la tunelización L2TP basada en filtros de firewall en redes IPv4
- Interfaces que admiten tunelización basada en filtros entre redes IPv4
- Componentes de la tunelización basada en filtros en redes IPv4
- Ejemplo: Transporte de tráfico IPv6 a través de IPv4 mediante tunelización basada en filtros
- play_arrow Configuración de filtros de servicio
- Información general sobre el filtro de servicio
- Cómo evalúan los paquetes los filtros de servicio
- Directrices para configurar filtros de servicio
- Directrices para aplicar filtros de servicio
- Ejemplo: Configuración y aplicación de filtros de servicio
- Condiciones de coincidencia del filtro de servicio para el tráfico IPv4 o IPv6
- Acciones de no terminación del filtro de servicio
- Acciones de terminación del filtro de servicio
- play_arrow Configuración de filtros simples
- play_arrow Configuración de filtros de firewall de capa 2
- Descripción de los filtros de firewall utilizados para controlar el tráfico dentro de los dominios de puente y las instancias VPLS
- Ejemplo: Configuración del filtrado de tramas por dirección MAC
- Ejemplo: Configuración del filtrado de tramas por bits IEEE 802.1p
- Ejemplo: Configuración del filtrado de tramas por prioridad de pérdida de paquetes
- Ejemplo: Configuración de la vigilancia y el marcado del tráfico que entra en un núcleo VPLS
- Descripción de los filtros de firewall en interfaces administradas por OVSDB
- Ejemplo: Aplicación de un filtro de firewall a interfaces administradas por OVSDB
- play_arrow Configuración de filtros de firewall para reenvío, fragmentos y vigilancia
- Descripción general del reenvío basado en filtros
- Descripción general de los filtros de firewall que manejan paquetes fragmentados
- Filtros de firewall sin estado que hacen referencia a la descripción general de los aplicadores de políticas
- Ejemplo: Configuración del reenvío basado en filtros en la dirección de origen
- Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica o a una dirección IP de destino
- play_arrow Configuración de filtros de firewall (conmutadores de la serie EX)
- Descripción general de los filtros de firewall para conmutadores de la serie EX
- Descripción de la planeación de filtros de firewall
- Descripción de las condiciones de coincidencia de filtros de firewall
- Descripción de cómo los filtros de firewall controlan los flujos de paquetes
- Descripción de cómo se evalúan los filtros de firewall
- Descripción de los puntos de procesamiento de filtros de firewall para paquetes puenteados y enrutados en conmutadores de la serie EX
- El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX
- Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtro de firewall en conmutadores de la serie EX
- Compatibilidad con condiciones y acciones de coincidencia para filtros de firewall de circuito cerrado en conmutadores
- Configuración de filtros de firewall (procedimiento de la CLI)
- Descripción de cómo los filtros de firewall prueban el protocolo de un paquete
- Descripción del reenvío basado en filtros para conmutadores de la serie EX
- Ejemplo: Configuración de filtros de firewall para tráfico de puertos, VLAN y enrutadores en conmutadores de la serie EX
- Ejemplo: Configuración de un filtro de firewall en una interfaz de administración en un conmutador de la serie EX
- Ejemplo: Uso del reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
- Ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS
- Comprobación de que los aplicadores de políticas estén operativos
- Solución de problemas de filtros de firewall
- play_arrow Configuración de filtros de firewall (conmutadores de la serie QFX, conmutadores EX4600, enrutadores de la serie PTX)
- Descripción general de los filtros de firewall (serie QFX)
- Descripción de la planeación del filtro de firewall
- Planificación del número de filtros de firewall que se van a crear
- Condiciones y acciones de coincidencia del filtro de firewall (conmutadores de las series QFX y EX)
- Condiciones y acciones de coincidencia del filtro de firewall (conmutadores QFX10000)
- Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie PTX)
- Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T
- Configuración de filtros de firewall
- Aplicación de filtros de firewall a interfaces
- Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado
- Configuración de políticas y filtros de firewall MPLS en conmutadores
- Configuración de filtros y políticas de firewall MPLS en enrutadores
- Configuración de políticas y filtros de firewall MPLS
- Descripción de cómo un filtro de firewall prueba un protocolo
- Descripción de los puntos de procesamiento de filtros de firewall para paquetes puenteados y enrutados
- Descripción del reenvío basado en filtros
- Ejemplo: Uso del reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
- Configuración de un filtro de firewall para desencapsular el tráfico GRE o IPIP
- Comprobación de que los filtros de firewall estén operativos
- Supervisión del tráfico de filtro de firewall
- Solución de problemas de configuración del filtro de firewall
- play_arrow Configuración de la contabilidad y el registro de filtros de firewall (conmutadores EX9200)
-
- play_arrow Configuración de los controladores de tráfico
- play_arrow Entendiendo a los Policías de Tráfico
- Descripción general de la implementación de Policer
- Descripción general de ARP Policer
- Ejemplo: Configuración de ARP Policer
- Descripción de los beneficios de los aplicadores de políticas y algoritmos de bucket de tokens
- Determinación del tamaño de ráfaga adecuado para los policías de tráfico
- Descripción general sobre el control del acceso a la red mediante la vigilancia de tráfico
- Tipos de policías de tráfico
- Orden de las operaciones de filtro de Policer y Firewall
- Descripción de la longitud de trama para vigilar paquetes
- Estándares admitidos para la vigilancia policial
- Descripción general de la configuración de Hierarchical Policer
- Descripción de los aplicadores jerárquicos mejorados
- Descripción general de Policer basado en paquetes por segundo (pps)
- Directrices para la aplicación de políticas de tráfico
- Descripción general de la compatibilidad de Policer con interfaces Ethernet agregadas
- Ejemplo: Configuración de un analizador de interfaz física para el tráfico agregado en una interfaz física
- Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T
- Descripción general de los aplicadores jerárquicos en los enrutadores de la serie ACX
- Directrices para configurar políticas jerárquicas en enrutadores de la serie ACX
- Modos de policía jerárquica en enrutadores de la serie ACX
- Procesamiento de políticas jerárquicas en enrutadores de la serie ACX
- Acciones realizadas para los aplicadores jerárquicos en enrutadores de la serie ACX
- Configuración de políticas agregadas principales y secundarias en enrutadores de la serie ACX
- play_arrow Configuración de límites y acciones de velocidad de Policer
- play_arrow Configuración de aplicadores de políticas de capa 2
- Policías jerárquicos
- Configuración de una sobrecarga de policía
- Aplicadores de dos y tres colores en la capa 2
- Visión general de la vigilancia de tráfico de capa 2 en Pseudowire
- Configuración de un controlador de capa 2 de dos colores para el pseudocable
- Configuración de un controlador de capa 2 de tres colores para el pseudocable
- Aplicación de las políticas a interfaces de perfiles dinámicos
- Adjuntar perfiles dinámicos a instancias de enrutamiento
- Uso de variables para la vigilancia de tráfico de capa 2 en la descripción general de Pseudowire
- Configuración de un aplicador de políticas para la configuración compleja
- Creación de un perfil dinámico para la configuración compleja
- Adjuntar perfiles dinámicos a instancias de enrutamiento para la configuración compleja
- Verificación de los aplicadores de tráfico de capa 2 en conexiones VPLS
- Descripción de los aplicadores de políticas en interfaces administradas por OVSDB
- Ejemplo: Aplicación de un aplicador de políticas a interfaces administradas por OVSDB
- play_arrow Configuración de políticas de tráfico de dos y tres colores en la capa 3
- Descripción general de la configuración del Policer de dos colores
- Aplicadores básicos de dos colores de una sola tasa
- Aplicadores de políticas de ancho de banda
- Acciones de conteo y control específicos del prefijo
- Sobrecarga de Policer para tener en cuenta la configuración de tasas en el administrador de tráfico
- Descripción general de la configuración del Policer de tres colores
- Aplicación de políticas
- Directrices de configuración del controlador de políticas de tres colores
- Aplicadores básicos de tres colores de una sola tasa
- Aplicadores básicos de dos velocidades y tres colores
- Ejemplo: Configuración de un controlador de tres colores de dos velocidades
- play_arrow Configuración de políticas de tráfico de interfaz lógica y física en la capa 3
- play_arrow Configuración de políticas en conmutadores
- Descripción general de Policers
- Tipos de policías de tráfico
- Descripción del uso de políticas en filtros de firewall
- Descripción de la arquitectura de marcado tricolor
- Configuración de políticas para controlar las tasas de tráfico (procedimiento de la CLI)
- Configuración de políticas de marcado tricolor
- Descripción de los aplicadores de políticas con grupos de agregación de vínculos
- Descripción del modo daltónico para el marcado tricolor de velocidad única
- Descripción del modo con reconocimiento de color para el marcado tricolor de velocidad única
- Descripción del modo daltónico para el marcado tricolor de dos velocidades
- Descripción del modo consciente del color para el marcado tricolor de dos velocidades
- Ejemplo: Uso de políticas de dos colores y listas de prefijos
- Ejemplo: Uso de políticas para administrar la sobresuscripción
- Asignación de clases de reenvío y prioridad de pérdida
- Configuración de políticas de salida daltónicas para PLP medio-bajo
- Configuración de aplicadores de dos y tres colores para controlar las tasas de tráfico
- Verificar que los aplicadores de dos colores estén operativos
- Verificar que los aplicadores de tres colores estén operativos
- Solución de problemas de configuración de Policer
- Solución de problemas de configuración de Policer
-
- play_arrow Instrucciones de configuración y comandos operativos
- play_arrow Solución de problemas
- play_arrow Base de conocimientos
-
Anuncio condicional que habilita la instalación condicional de casos de uso de prefijos
Por lo general, las redes se subdividen en unidades más pequeñas y manejables denominadas sistemas autónomos (AS). Cuando los enrutadores usan el BGP para formar relaciones par en el mismo AS, se hace referencia a él como un BGP interno (IBGP). Cuando los enrutadores usan BGP para formar relaciones par en diferentes AS, se hace referencia a él como BGP externo (EBGP).
Después de realizar comprobaciones de sanidad de ruta, un enrutador BGP acepta las rutas recibidas de sus pares y las instala en la tabla de enrutamiento. De forma predeterminada, todos los enrutadores en las sesiones de IBGP y EBGP siguen las reglas estándar de publicidad BGP. Mientras que un enrutador en una sesión de IBGP anuncia solo las rutas aprendidas de sus pares directos, un enrutador en una sesión de EBGP anuncia todas las rutas aprendidas de sus pares directos e indirectos (pares de pares). Por lo tanto, en una red típica configurada con EBGP, un enrutador agrega todas las rutas recibidas de un par EBGP en su tabla de enrutamiento y anuncia casi todas las rutas a todos los pares EBGP.
Un proveedor de servicios que intercambia rutas BGP con clientes y pares en Internet está en riesgo de amenazas maliciosas e involuntarias que pueden comprometer el enrutamiento adecuado del tráfico, así como el funcionamiento de los enrutadores.
Esto tiene varias desventajas:
Non-aggregated route advertisements—Un cliente podría anunciar erróneamente todos sus prefijos al ISP en lugar de un agregado de su espacio de direcciones. Dado el tamaño de la tabla de enrutamiento de Internet, esto debe controlarse cuidadosamente. Es posible que un enrutador perimetral solo necesite una ruta predeterminada hacia Internet y, en su lugar, reciba toda la tabla de enrutamiento BGP de su par ascendente.
BGP route manipulation: si un administrador malintencionado altera el contenido de la tabla de enrutamiento BGP, podría impedir que el tráfico llegue a su destino previsto.
BGP route hijacking: Un administrador no autorizado de un par BGP podría anunciar maliciosamente los prefijos de una red en un intento de redirigir el tráfico destinado a la red víctima a la red del administrador para obtener acceso al contenido del tráfico o para bloquear los servicios en línea de la víctima.
BGP denial of service (DoS): si un administrador malintencionado envía tráfico BGP inesperado o no deseado a un enrutador en un intento de utilizar todos los recursos BGP disponibles del enrutador, podría perjudicar la capacidad del enrutador para procesar información de ruta BGP válida.
La instalación condicional de prefijos se puede utilizar para abordar todos los problemas mencionados anteriormente. Si un cliente requiere acceso a redes remotas, es posible instalar una ruta específica en la tabla de enrutamiento del enrutador que está conectado con la red remota. Esto no sucede en una red EBGP típica y, por lo tanto, la instalación condicional de prefijos se vuelve esencial.
Los AS no solo están ligados por relaciones físicas sino por empresas u otras relaciones organizacionales. Un AS puede proporcionar servicios a otra organización o actuar como un tránsito de AS entre otros dos AS. Estos AS de tránsito están vinculados por acuerdos contractuales entre las partes que incluyen parámetros sobre cómo conectarse entre sí y, lo que es más importante, el tipo y la cantidad de tráfico que transportan entre sí. Por lo tanto, por razones legales y financieras, los proveedores de servicios deben implementar políticas que controlen cómo se intercambian las rutas BGP con los vecinos, qué rutas se aceptan de esos vecinos y cómo esas rutas afectan el tráfico entre los AS.
Hay muchas opciones diferentes disponibles para filtrar las rutas recibidas de un par BGP para aplicar las políticas de interAS y mitigar los riesgos de recibir rutas potencialmente dañinas. El filtrado de ruta convencional examina los atributos de una ruta y acepta o rechaza la ruta en función de dichos atributos. Una política o filtro se puede usar para examinar el contenido de la ruta del AS, el salto siguiente, un valor de comunidad, una lista de prefijos, la familia de direcciones de la ruta, etc.
En algunos casos, la "condición de aceptación" estándar de hacer coincidir un valor de atributo particular no es suficiente. Es posible que el proveedor de servicios necesite usar otra condición fuera de la propia ruta, por ejemplo, otra ruta en la tabla de enrutamiento. Por ejemplo, podría ser deseable instalar una ruta predeterminada recibida de un par ascendente, solo si se puede verificar que este par tiene accesibilidad a otras redes más arriba. Esta instalación de ruta condicional evita instalar una ruta predeterminada que se usa para enviar tráfico hacia este par, cuando el par podría haber perdido sus rutas aguas arriba, lo que provocaría un tráfico con agujeros negros. Para lograr esto, el enrutador puede configurarse para buscar la presencia de una ruta particular en la tabla de enrutamiento y, en función de este conocimiento, aceptar o rechazar otro prefijo.
Ejemplo: En Configuring a Routing Policy for Conditional Advertisement Enabling Conditional Installation of Prefixes in a Routing Table se explica cómo se puede configurar y comprobar la instalación condicional de prefijos.
