Enrutamiento basado en políticas parte 1

49 0 0 0

Ahora que hemos llegado al enrutamiento basado en políticas, lo primero que me viene a la mente es que en sus primeros años, el mayor uso del enrutamiento basado en políticas en China fue la interconexión entre China Telecom y China Netcom. Después de que Telecom y Netcom se dividieron en diferentes compañías, se formó un entorno de red único en China, con el sur del país dominado por China Telecom y el norte *****etcom (que ahora se ha fusionado con China Unicom). Cuando las redes solo tenían salidas individuales, el servicio para los usuarios de Telecom que accedían a los servicios de Netcom era relativamente lento, al igual que el servicio para los usuarios de Netcom que accedían a los servicios de Telecom. Por lo tanto, la gente pensó en un plan de egreso dual de red empresarial que consiste en egresos de red que se conectan tanto a Telecom como a Netcom. El uso generalizado del plan de doble salida permitió que el enrutamiento basado en políticas muestre su funcionalidad. La configuración de enrutamiento basado en políticas en dispositivos  gateway de red de egreso empresarial permitió que el tráfico de Telecom utilizara el egreso de Telecom de cada red, y que el tráfico de Netcom usara el egreso de Netcom de cada red.

¿Cómo logró el enrutamiento basado en políticas la división del tráfico de telecomunicaciones y redes? Comencemos por describir qué es el enrutamiento basado en políticas.

1.      Conceptos de enrutamiento basados en políticas

El llamado 'enrutamiento basado en políticas' es exactamente lo que parece: reenviar paquetes según políticas específicas. Además, estas políticas están formuladas por el hombre y, por lo tanto, el enrutamiento basado en políticas es un mecanismo más flexible para el multi-homing que el método tradicional de selección de rutas según la dirección de destino. Después de configurar las rutas basadas en políticas en un servidor de seguridad, el servidor de seguridad primero filtra los paquetes que recibe según las reglas configuradas en el enrutamiento basado en políticas. Una vez que la coincidencia se realiza correctamente, los paquetes se reenvían según las políticas de reenvío específicas. Las 'reglas configuradas' necesitan condiciones coincidentes para ser definidas, usualmente usando ACL; mientras tanto, las "políticas de reenvío específicas" requieren que las acciones relacionadas se ejecuten de acuerdo con las condiciones coincidentes. Por lo tanto, podemos deducir que el enrutamiento basado en políticas se compone de los siguientes dos componentes:

·         Condiciones coincidentes (definidas usando ACL)

Se utiliza para diferenciar el tráfico que se reenviará utilizando enrutamiento basado en políticas. Las condiciones coincidentes incluyen: la dirección IP de origen de los paquetes, la dirección IP de destino, el tipo de protocolo, el tipo de aplicación, etc. Las condiciones coincidentes que pueden ser establecidas por diferentes firewalls son diferentes. Una regla de enrutamiento basada en políticas puede contener múltiples condiciones coincidentes, relacionadas de manera "Y", y los paquetes deben satisfacer todas las condiciones coincidentes antes de que se pueda ejecutar la acción de reenvío definida posterior.

·         Acciones

Implique realizar una acción (como designar la interfaz de egreso y el siguiente salto) en el tráfico que cumpla con las condiciones correspondientes.

Cuando hay varias reglas de enrutamiento basadas en políticas, un firewall se ajustará a su orden de coincidencia y verificará primero la primera regla; Si se cumple la primera condición coincidente de la regla de enrutamiento basada en políticas, entonces el paquete se procesará utilizando la acción designada. Si la condición de coincidencia de la primera regla no se cumple, entonces el firewall verificará la siguiente regla de enrutamiento basada en políticas. Si no se pueden cumplir todas las condiciones de coincidencia de las reglas de enrutamiento basadas en políticas, el paquete se reenviará de acuerdo con la tabla de enrutamiento. La prioridad es mayor que la del enrutamiento. El proceso para la coincidencia de reglas de enrutamiento basado en políticas se muestra en la Imagen 1-1.

Imagen 1-1 Proceso de coincidencia de reglas de enrutamiento basado en políticas

001815tja4j82iaqjyc3xx.png?image.png 

Además, si el estado de la interfaz de egreso designada por el enrutamiento basado en políticas es 'Inactivo' o no se puede alcanzar el siguiente salto, el paquete se reenviará al revisar la tabla de enrutamiento.

Ahora que hemos terminado de analizar los principios básicos del enrutamiento basado en políticas, veamos cómo el enrutamiento basado en políticas pudo generar el reenvío del tráfico de telecomunicaciones por parte de Netcom a través de Telecom y Netcom.

 

2.      Direccionamiento basado en políticas basadas en direcciones IP de destino

Usaremos un entorno de red (que se muestra en la Imagen 1-2) para verificar los resultados de este tipo de enrutamiento basado en políticas.

Imagen 1-2 Enrutamiento basado en directivas basado en direcciones IP de destino


001943t2pmneht0eik97pi.png?image.png

 

Aquí, el servidor de seguridad sirve como gateway de red de salida de la empresa y está conectado a Internet a través de dos enlaces. De estos, el enlace que pasa a través de R1 es la línea de Telecom, y el enlace que pasa a través de R2 es la línea de Netcom. En este punto, desearemos permitir que los usuarios empresariales que acceden al servidor 10.10.11.11/32 se reenvíen a través de la ruta de Telecom, mientras que los usuarios que accedan al servidor 10.10.10.10/32 se reenvíen a través de la ruta de Netcom.

Si se configuran dos rutas predeterminadas en el firewall, cuando los usuarios empresariales acceden a los dos servicios 10.10.11.11/32 y 10.10.10.10/32, podemos ver que todos los paquetes correspondientes se reenvían a través del enlace R1. Discutimos esto en la sección de enrutamiento de la ruta más corta anterior: la selección de la ruta para el enrutamiento predeterminado se realiza utilizando una dirección IP de origen + un algoritmo HASH de dirección IP de destino que calcula el enlace de egreso elegido por los paquetes, y no hay manera de garantizar que el requisito de tráfico el acceso a 10.10.11.11/32 se reenvía a través de la línea de Telecomunicaciones y el tráfico que se accede a 10.10.10.10/32 se reenvía a través de la línea de Netcom se cumple.

 

 

A continuación, configuraremos el enrutamiento basado en políticas en el firewall y veremos cuáles son los resultados de este experimento. La configuración es la siguiente (usaremos la serie de firewall USG2000 / 5000 en este ejemplo):

 

1.       Configure las condiciones coincidentes para que se basen en la dirección de destino del paquete.

[FW] acl number 3000

[FW-acl-adv-3000] rule 5 permit ip destination 10.10.11.11 0

[FW-acl-adv-3000] quit

[FW] acl number 3001

[FW-acl-adv-3001] rule 5 permit ip destination 10.10.10.10 0

[FW-acl-adv-3001] quit

 

2.       Configurar el enrutamiento basado en políticas.

 

[FW] policy-based-route test permit node 10

[FW-policy-based-route-test-10] if-match acl 3000                         //aplicar condición de coincidencia

[FW-policy-based-route-test-10] apply ip-address next-hop 10.1.1.2    // Configurar la acción, redirigir a Telecom como el siguiente salto.

[FW-policy-based-route-test-10] quit

[FW] policy-based-route test permit node 20

[FW-policy-based-route-test-20] if-match acl 3001                         // aplicar condición de coincidencia

[FW-policy-based-route-test-20] apply ip-address next-hop 10.1.2.2    // Configurar acción, redirigir Netcom como el siguiente salto.

[FW-policy-based-route-test-20] quit

 

3.       Aplicar enrutamiento basado en políticas.

 

[FW] interface GigabitEthernet0/0/3

[FW-GigabitEthernet0/0/3] ip policy-based-route test               // aplicar enrutamiento basado en políticas en la interfaz de ingreso

[FW-GigabitEthernet0/0/3] quit

 

Una vez finalizada la configuración, hacemos ping a las direcciones 10.10.11.11 y10.10.10.10 desde la PC, y los pings pasan con éxito. También podemos echar un vistazo en el firewall a la información detallada expresada en la tabla de sesión, que se muestra a continuación:

 

[FW] display firewall session table verbose                             

 Current total sessions: 2                                             

 icmp VPN: public --> public                                          

 Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:16  

 Interface: GigabitEthernet0/0/1 Nexthop: 10.1.1.2  MAC:54-89-98-1d-74-24

 <--packets: 4 bytes: 240 -->packets: 4 bytes: 240                  

 192.168.0.2:54999 --> 10.10.11.11:2048                                 

 

 icmp VPN: public --> public                                          

 Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:17  

 Interface: GigabitEthernet0/0/2 Nexthop: 10.1.2.2  MAC:54-89-98-ea-53-c9

 <--packets: 4 bytes: 240 -->packets: 4 bytes: 240                  

 192.168.0.2:63959 --> 10.10.10.10:2048           

 

A partir de la información mostrada, podemos ver que los paquetes que van a 10.10.11.11 se reenvían desde la interfaz GE0 / 0/1 del firewall, con el siguiente salto como la dirección de la interfaz que conecta R1 con el firewall; Mientras tanto, los paquetes que van a 10.10.10.10 se reenvían desde la interfaz GE0 / 0/2 del firewall, con el siguiente salto como la dirección de la interfaz que conecta R2 con el firewall. Por lo tanto, esto cumple con el requisito de que el tráfico que accede a 10.10.11.11/32 se reenvíe desde la ruta de Telecom y que el tráfico que accede a 10.10.10.10/32 se reenvíe desde la ruta de Netcom.

Habiendo leído hasta aquí, algunos pueden decir: "El acceso de ruta más corto introducido en la sección anterior también puede lograr este objetivo". ¡Correcto! De hecho, como el método de 'enrutamiento predeterminado + enrutamiento específico' del enrutamiento de ruta más corta reenvía los paquetes de acuerdo con la dirección de destino, y como el enrutamiento basado en políticas configurado anteriormente también utiliza las direcciones de destino del paquete como condición para formular la política de reenvío, ambos son capaces Para lograr el mismo objetivo.

Sin embargo, en realidad, las rutas estáticas tradicionales y las rutas dinámicas solo son capaces de proporcionar un método de enrutamiento relativamente simple para los usuarios en función de la dirección de destino de un paquete; esto resuelve principalmente los problemas de reenvío de paquetes de la red, pero no puede proporcionar un servicio flexible. El enrutamiento basado en políticas, por otro lado, es diferente: permite a los administradores de red no solo elegir rutas de reenvío según la dirección de destino, sino también hacerlo según la dirección IP de origen del paquete, el tipo de protocolo y la aplicación. Tipo u otras condiciones. Por lo tanto, el enrutamiento basado en políticas proporciona un mayor control sobre los paquetes que los protocolos de enrutamiento tradicionales.       

 

3.      Enrutamiento basado en directivas basado en direcciones IP de origen

 

Si parece que aún existía un cruce entre la aplicación del enrutamiento basado en políticas descrita en la sección anterior y la del enrutamiento de ruta más corta, entonces veamos otra aplicación del enrutamiento basado en políticas. Todo el mundo sabe que las redes actuales se están desarrollando hacia Fiber to the Home (FTTH), sin embargo, el costo asociado con la fibra óptica no es pequeño en la China actual, y muchas redes, por lo tanto, utilizan el método de conexión de fibra + ADSL, que implica dos Conexiones a internet a través de dos líneas de diferentes velocidades. Esto significa que podemos configurar el enrutamiento basado en políticas para permitir que el tráfico con prioridades relativamente altas use la conexión de fibra óptica, mientras que el tráfico con prioridades relativamente bajas usa la conexión ADSL.

 

Imagen 1-3 Enrutamiento basado en directivas basado en direcciones IP de origen


002246x8xx5qc8i5grzr3r.png?image.png

 

En este escenario, el firewall es el gateway de la red de egreso de la empresa y está conectado a Internet a través de dos enlaces que pertenecen a diferentes ISP. De estos, el enlace que pasa por R1 tiene una tasa de bits de ancho de banda relativamente alta, digamos que es de 10 Mbit / s; el enlace que pasa a través de R2 tiene una tasa de bits de ancho de banda relativamente bajo, 2 Mbit / s. Para garantizar una buena experiencia de usuario para el acceso a Internet de uno de los gerentes de la empresa, queremos permitir que su tráfico que accede a Internet se reenvíe a través del enlace R1, mientras que el tráfico de un empleado que accede a Internet se reenvía a través del enlace R2.

 

Este objetivo mencionado anteriormente no se puede lograr mediante la verificación de una ruta utilizando la dirección de destino. En su lugar, establecer la dirección IP de origen como la condición coincidente mediante el enrutamiento basado en políticas permite que este problema se resuelva fácilmente. Configure esto en el firewall de la siguiente manera (usaremos la serie de firewall USG2000 / 5000 en este ejemplo):

 

1.       Configure las condiciones coincidentes para que se basen en la dirección IP de origen del paquete.

[FW] acl number 3000

[FW-acl-adv-3000] rule 5 permit ip source 192.168.10.0 0.0.0.255

[FW-acl-adv-3000] quit

[FW] acl number 3001

[FW-acl-adv-3001] rule 5 permit ip source 192.168.0.0 0.0.0.255

[FW-acl-adv-3001] quit

 

2.       Configurar el enrutamiento basado en políticas.

[FW] policy-based-route boss permit node 10

[FW-policy-based-route-boss-10] if-match acl 3000                       // aplicar condición de coincidencia

[FW-policy-based-route-boss-10] apply ip-address next-hop 10.1.1.2  // Configurar acción, redirigir el siguiente salto como R1.

[FW-policy-based-route-boss-10] quit

[FW] policy-based-route employee permit node 10

[FW-policy-based-route-employee-10] if-match acl 3001                     // aplicar condición de coincidencia

[FW-policy-based-route-employee-10] apply ip-address next-hop 10.1.2.2  // configura la acción, redirige el siguiente salto como R2

[FW-policy-based-route-employee-10] quit

 

3.       Aplicar enrutamiento basado en políticas.

[FW] interface GigabitEthernet0/0/3

[FW-GigabitEthernet0/0/3] ip policy-based-route employee           // aplicar enrutamiento basado en políticas en la interfaz de ingreso

[FW-GigabitEthernet0/0/3] quit

[FW] interface GigabitEthernet0/0/4

[FW-GigabitEthernet0/0/4] ip policy-based-route boss               // aplicar enrutamiento basado en políticas en la interfaz de ingreso

[FW-GigabitEthernet0/0/4] quit

 

Después de completar la configuración, haga ping a la dirección del servidor 10.10.10.10 en Internet desde las PC del administrador y del empleado, y vea la información detallada de la tabla de sesión en el firewall, que se muestra a continuación:

[FW] display firewall session table verbose                             

 Current total sessions: 2                                             

 icmp VPN: public --> public                                          

 Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:16  

 Interface: GigabitEthernet0/0/1 Nexthop: 10.1.1.2  MAC:54-89-98-1d-74-24

 <--packets: 4 bytes: 240 -->packets: 4 bytes: 240                  

 192.168.10.2:47646 --> 10.10.10.10:2048                                 

 

 icmp VPN: public --> public                                          

 Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:17  

 Interface: GigabitEthernet0/0/2 Nexthop: 10.1.2.2  MAC:54-89-98-ea-53-c9

 <--packets: 4 bytes: 240 -->packets: 4 bytes: 240                  

 192.168.0.2:53022 --> 10.10.10.10:2048                   

 

En la información mostrada anteriormente, el tráfico del administrador (192.168.10.2) que accede al servidor se reenvía desde el enlace conectado a R1 (10.1.1.2), mientras que el tráfico del empleado (192.168.0.2) que accede al servidor se reenvía desde el enlace conectado a R2 (10.1.2.2), lo que satisface la necesidad del usuario de que el tráfico de mayor prioridad utilice el enlace de alta velocidad y que el tráfico de menor prioridad utilice el enlace de menor velocidad.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba