Политики маршрутизации и firewall-фильтры Junos

Доброго времени суток коллеги! Сегодня у нас пятница 31 августа последний день курса посвященного изучению операционной системы джунс на прошлом занятии мы разобрали основу маршрутизации сегодня у нас осталось две большие темы скорее всего и сегодня мы закончим гораздо раньше и первая наша тема это политики маршрутизации разберем что такое политики маршрутизации данные политики позволяют управлять распространением маршрутной информации

могут применяться к импортируемой в таблицу маршрутизации маршрутной информации или же так называемый импорт полисе и также к экспортируемой из таблицы маршрутизации маршрутной информации экспорт полисе здесь на рисуночке показан пример что мы нас работает на устройстве протокол бджп и мы можем настроить на нем политику импорта для фильтрации маршрутов которые будут попадать в таблицу на официзации и также политику экспорта для определения какие маршруты мы будем отправлять нашим биджи пипером также политику экспорта можно настроить в сторону таблицы

пересылки для управления информацией в таблице пересылки есть политики маршрутизации по умолчанию для каждого протокола маршрутизации на устройствах под управлением джунас они сейчас показаны на ваших канар для протокола биджи пи он по умолчанию принимает все маршруты от своих биджи пиперов и анонсирует все активные маршруты это соответственно импорт полисе и экспорт полисе для протоколов ойс пьев и асс для такого в типа link state импорт полисе это принимает все маршруты из спи данную политику нельзя

изменить и экспорт полисе по умолчанию отклоняет все маршруты так как распространяется не маршруты из таблицы маршрутизации аэросейки не парк полис нельзя изменить потому что все маршрутизации маршрутизаторы на которых включена в спи или асс должны иметь информацию обо всех сетях внутри домена на котором включена в спи далее далее по поводу протоколов репр и гиппинг импорт полисе то прием всех маршрутов от явно настроенных сеть соседей

ой пардон для протокола репр и нужно настраивать соседей и экспорт полисе по умолчанию отклоняет все маршруты для анонсирования маршрутов по протоколу репр другим соседям требуется настройка политики маршрутизации вот и по такой дай и статик импорт полисе это прием всех маршрутов экспорт полисе и отсутствует так как это по сути они не являются по большому счету протоколами маршрутизации теперь как какова структура политики маршрутизации политики 8 маршрутизации целом выглядит следующим образом

есть у каждой политики есть имя политики а также в каждой политики может быть 0 или более элементов политики данные элементы также именованы из чего состоят элементы политики по сути элемент политики это конструкция типа from zen или если проще то конструкция типа если то флом определяет критерии для совпадения маршрутов zen определяет действия которые мы будем производить над маршрутами при совпадении с критериями

как видим собственно политика маршрутизации состоит из набора элементов политики элементы политики то данного маршрута будет не совпадения с критериями политики то будет проверяться следующая политика и так далее если же маршрут так и не совпал с критериями политики всех элементов политики то к данному маршруту будет применена политика маршрутизации по умолчанию которую мы рассмотрели на предыдущем слайде теперь более продумано подробно про критерии выбора маршрутов критерии фильтрации

политики маршрутизации позволяют отфильтровывать маршруты на основе свойств префиксов на основе протоколов маршрутизации используемых и их каких-либо атрибутов на основе информации о next hop и парX и так далее и так далее и так далее так далее полный список опций доступны для отбора маршрутов показан на ваших экранах здесь их достаточно много мы с вами разбор разберем несколько опций на основе свойств префикса или площадь на основе префиксов есть две популярные опции это опция

road filter и опция префикс лист сначала разберем опцию road filter road filter это по сути способ фильтрации префиксов который настраивается внутри одного элемента политики какого-либо road filter это неименованная сущность и днем road filter не могут быть использованы повторно нам их приход придется настраивать каждый раз для разных элементов политики здесь указан пример политики маршрутизации в сером целом настраиваться на уровне иерархии did policy options policy statement и дальше

указывается имя политики маршрутизации здесь у нас имеется политика нет и ду полиси 3 есть элемент политики reject roads и здесь в указание критерии критерия в данного элемента политики указаны road фильтре и здесь указаны собственно префиксы внутри и также дополнительные опции в лонге лонге и экзакт данные опции это по сути данные опции являются методами совпадения маршрутов с данными префиксами мы с вами

данные опции лонге лонге лонге и экзакт еще разберем и далее указывается зен то бишь действие которые мы будем выполнять над маршрутом это реджект то бишь отбросить данный маршрут и второе второй способ фильтрации на основе префиксов как я уже говорил это префикс лист также как и и road фильтр это список префиксов но именованы используются для выбора маршрутов на основе префиксов также помимо политик маршрутизации префикс листы могут применяться в firewall фильтр речь о которых пойдет в нашей следующей теме

настраиваются на уровне иерархии git policy options префикс лист здесь у нас указан пример создан префикс лист с именем нет префиксов и после этого собственно указываются префиксы в данном префикс листе и далее у нас создана две политики маршрутизации нет и ду полисе 1 и нет и ду полисе 2 и в критерии для выбора маршрутов указан собственно префикс лист нет префиксы есть два способа фильтрации маршрутов на основе префикс листов первый это просто указание префикс листа как указано в политике

маршрутизации нет и ду полисе 1 полисе 1 в таком случае маршруты указаны в префикс листе требуют явного совпадения с префиксами в общем маршруты должны явно совпадать с теми префиксами которые указаны в префикс листе второй же способ фильтрации на основе префикс листов указан в политике маршрутизации нет и ду полисе 2 это так называемый префикс лист филь фильтр и далее указываем имя префикс листа и далее мы можем выбрать

каким именно образом будет производиться совпадение маршрутов с префикс листами здесь у нас указана опция о логу лонгер собственно данные опции мы с вами прямо сейчас и разберем типы совпадения маршрутов в политиках маршрутизации в раут фильтра и в префиксы старт первая опция это опция exact это значит что пошут должен в точности совпадать с указанным префиксом далее опция over longer маршрут допускается совпадение маршрутов входящих

в данный префикс начиная с указанной маски и до маски slash 32 далее опция longer почти то же самое что и опция over longer но в таком случае сам префикс указаны не входит в зону совпадения маршрутов далее можно указать опцию up to или далее указать определенный определенную маску в таком случае маски для совпадения будут не до 30 не до 32 до указаны

в данной опции вот и также можно с помощью кома опции префикс лэнс range указать диапазон масок тех маршрутов которые нас интересуют это что касается типов совпадения маршрутов теперь поговорим про действия над маршрутами какие действия мы можем производить в политиках может маршрутизации есть несколько типов действий первый и самый главный тип действия это терминирующие действия при соответствии маршрута критерия данные действия прекращают обработку политики маршрутизации и соответственно тут у нас есть только два действия это accept или reject

то бишь либо мы принимаем маршруты либо мы отбрасываем если мы к какому-либо маршруту применяем терминирующие действия на каком-либо элементе политики маршрутизации то действие политики маршрутизации на данным маршрутом прекращается далее на все остальные политики маршрутизации если они имеются то бишь либо мы принимаем маршруты либо мы отбрасываем если мы к какому-либо маршруту применяем терминирующие действия на каком-либо элементе политики маршрутизации то действие политики эморшитизации над данным маршрутом прекращается. Далее на все остальные элементы политики эморшитизации, если они имеются, данный маршрут проверяться не будет. Далее. Второй тип действий – это действия, отвечающие за контроль выполнения политики эморшитизации. С помощью данных действий можно создавать целые цепочки политик эморшитизации для сложной и комплексной обработки получаемых или отправляемых маршрутов.

Здесь есть два действия. Действие NextTag – это переход к указанному элементу политики. И действие NextPolicy – переход к другой политике эморшитизации. И третий тип действий – это модификация атрибутов маршрута. Здесь мы можем модернизировать самые разные атрибуты у различных протоколов маршрутизации. Например, здесь указано в качестве примера preference и community. Но их данных атрибутов в зависимости от конкретного протокола маршрутизации может быть достаточно много.

Далее. Как применять политики эморшитизации после того, как мы их создали? Стоит отметить, что у разных протоколов могут быть разные точки применения политик эморшитизации. Например, на уровне протокола BGP мы можем настроить, применить, точнее, политику маршрутизации на уровне всего протокола, на уровне какой-либо группы или на уровне конкретного пира, конкретного соседа.

Вот политики, которые мы применили к верхним уровням иерархии, они также распространяются на нижние уровни иерархии. Но если у нас одновременно применена, например, в BGP политика на уровне протокола и на уровне конкретного соседа, то здесь приоритет будет иметь политика на уровне конкретного соседа, то бишь расположенная на более низком уровне иерархии. Для протоколов типа LinkState, OSPF и ASAS политика мастеризации может быть применена только на уровне протокола. Вот. И для протоколов RIP и RIP-NG, здесь политика мастеризации может быть применена на уровне всего протокола

и на уровне конкретного соседа. Теперь пример настройки. На данном слайде показано пример настройки политики мастеризации для регистрибьюции статического дефолтного маршрута в протокол OSPF. У Juniper нету никаких команд типа RedistributeStatic или там RedistributeOSPF. Всю редистрибьюцию в Juniper необходимо выполнять с помощью политик маршрутизации. Итак, здесь у нас настроена политика мастеризации NetAddu Policy.

В данной политике мастеризации настроен элемент Default to OSPF и заданы критерии для совпадения. Используемый протокол у маршрута должен быть static, то бишь статический маршрут. И также указан RoadFilter. Указан префикс 400-0 и тип совпадения exact. Это значит, что маршрут должен точно совпадать с данным префиксом. И далее указан на действие then accept, то бишь принять данный маршрут. После этого нам данную политику мастеризации... Да, конечно, переподключайтесь.

Так вот. Далее. В настройках протокола SPF нам нужно данную политику мастеризации применить. Применяем мы ее на экспорт. Потому что мы экспортируем данную маршрутную информацию из таблицы маршрутизации в протокол OSPF. И все. На этом настройка редистрибьюции статического дефолтного маршрута завершена. Давайте с вами понастраиваем.

Немного политики мастеризации. Так. Сейчас я переключусь. Так. Сейчас я переключусь. Так. Сейчас я переключусь. Смотрите. Так. Сейчас я переключусь. Так. Сейчас я переключусь. Так. Сейчас я переключусь. Смотрите. так скажите видно мою командную строку

хорошо теперь я на моем микси был настроен статический дефолтный маршрут нашего интернета который у нас не заработал да вот это вот он этот маршрут давайте я экспортирую данный маршрут в протокол оспф

переходим на уровень иерархии git policy options statement указываем имя политики маршрутизации пусть это будет в моем случае нет иду здесь мы указываем элемент политики но на самом деле я вам говорил что политика маршрутизации может состоять из 0 элементов политики если политика маршрутизации совсем простая то можно не заморачиваться с элементами политики и указывать критерии для совпадения и действия прямо внутри политики давайте сейчас так и сделаем

команда set from здесь есть у нас множество критериев для совпадения давайте выберем вот такой static одного из критериев в качестве 2 критерия выберем префикс лист не создали данный префикс лист называется нет иду так просто default

пусть называется наш префикс лист с критериями для совпадения закончили теперь нам необходимо указать действие set from здесь также есть множество различных действий у нас данный момент интересует только действие accept вот такая простенькая политика маршрутизации готова теперь настроим наш префикс лист

перейдем на уровень и рахи deep policy options prefix list укажем имя префикс листа default здесь укажем set и укажем set 0 0 0 0 посмотрим вот наш дефолтный префикс записался в префикс лист посмотрим вот наш дефолтный префикс записался в префикс лист вот и вот наш дефолтный префикс записался в префикс лист хорошо хорошо теперь нам необходимо применить данную политику маршрутизации к протоколу OSPF переходим на уровень иерархии и

и вводим иерархии и вводим команду set экспорт и указываем имя политики маршрутизации все все настройка регистрибьюции статического маршрута настроена применяем настройки и настройка регистрибуции статического маршрута настроена применяем настройки смотрим что у нас из всего этого получилось так

все настройки мы применили сейчас я переключусь на свой SRX чтобы посмотреть долетел ли до него какой-нибудь дефолтный маршрут по протоколу OSPF одну секунду вот SRX и давайте посмотрим таблицу маршрутизации showroot protocol OSPF и да действительно как мы видим по протоколу OSPF к нам прилетел маршрут дефолтный с preference 150

это означает что это external OSPF маршрут и шуток давайте я вам также покажу действие опции но и адвекта из на статические маршруты например я применю данную опцию к моему дефолтному статическому маршруту перейдем на MX на уровне иерархии GitRouting Options и здесь укажем set static route 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 gamma 0 0 0 0 0 0 0 0 0 вернемся к СВИКСу и посмотрим присутствует ли сейчас данный статический маршрут точнее маршрут полученный по протоколу OSPF в таблице маршрутизации и как мы видим данный маршрут из этой таблицы маршрутизации испарился

что свидетельствует о том что данная опция отрабатывает корректно маршрут действительно не экспортировался в протокол OSPF теперь помните я вам говорил когда мы начинали рассматривать основу маршрутизации что по умолчанию на Juniper не работает equal load balancing и он нужно настраивать дополнительно так вот настраивается он также с помощью политик маршрутизации давайте посмотрим как это делается

в таблицу маршрутизации есть ли у нас какие-либо эквалкост маршруты по протоколу OSPF например ну в данный момент нет но мы это исправим и так и так и так давайте давайте настраивать переходим на невмежах ин falsу оен vole RefDip war презент движения итак давайте настраивать iron переходим на

вы не графе и тут по еще общем спальни с statement пусть политиковым нацию нас так и называется вот бэланс здесь мы можем указать также также критерии для совпадения маршрутов чтобы определить для каких маршрутов будет работать от балансинг а для каких не будет но мы здесь в критерии для совпадения ничего указывать не будем если это совпадение ничего не указывать это означает что под совпадение попадут абсолютно все маршруты мы укажем только действие которые мы будем производить на

3-м маршрут и маршрутами есть специальное действие она так и называется вот бэланс то бишь включить балансировку в таблице пересылки здесь есть сильная опция по пакетам все это наш таблицы ой политикам аштизации также завершена теперь мы нас включали оспф на наших интерфейсах на 0-ом unity давайте также включим оспф на сотом unity

вот так уж у спф set area 0 интерфейс гигабит изернет 0 0 1 . 100 2.100 и 0 0 3.100 хорошо that area show хорошо давайте применим настройки

чтобы успех на данных интерфейсах заработал и здесь все было об используют Продолжение следует...

Продолжение следует... Продолжение следует...

Продолжение следует... Виктор, вы будете включать успев на сотом саби? Ok

Продолжение следует... Продолжение следует...

Продолжение следует... Продолжение следует... Продолжение следует... Продолжение следует... Продолжение следует... Продолжение следует... Продолжение следует... Продолжение следует... Продолжение следует... и клоукост маршрута по протоколу SPF для лобэка для префикса 4 двойки но у SPF у нас здесь не приоритетный источник маршрутной информации давайте я удалю статический маршрут

до префикса 4 двойки static route из уровня иерархии git routing options 2 2 2 2 полностью удаляем этот статический маршрут применим настройки и самортизации да вот собственно о SPF теперь у нас наиболее приоритетный

для префикса 4 двойки и у нас есть два и клоукост маршрута полученных как вот такого у SPF один в сторону интерфейса с юнитом 0 второй в сторону интерфейса с юнитом 100 в таблице пересылки там обошел route for reading table у нас для префикса 4 двойки указан только один next hop и тип next hop и юникасту давайте применим нашу политику маршрутизации по load balancing для включения балансировки как вы думаете куда мне необходимо применить данную политику маршрутизации чтобы у нас заработала балансировка

нет ну можно сказать что и глобально когда мы начинали рассматривать эту тему у нас была картиночка и на ней было изображено что экспорт полиси мы также можем применять и в сторону собственно самой таблицы пересылки для того чтобы влиять на ее содержимое так вот нашу политику маршрутизации с мы начинали рассматривать эту тему у нас была картиночка и у нас была картиночка и у нас была картиночка и на ней было изображено что экспорт полиси мы также можем применять и в сторону собственно самой таблицы пересылки для того чтобы влиять на ее содержимое так вот нашу политику маршрутизации с балансировкой нужно применить именно как раз в сторону таблицы пересылки

давайте сделаем это из уровня иерархии git routing options здесь здесь команда set forwarding table далее export и указываем имя политики маршрутизации load balance все применили применим настройки так не если купили вот да сбить и тоже сработает

вообще у нас теперь так как мы не указывали никаких критериев для совпадения у нас будут балансироваться абсолютно все маршруты если для них есть и клоукост источники и давайте теперь посмотрим как у нас теперь выглядит таблица пересылки вот теперь для префикса 4 двойки у нас тип микс хопа и не краслист указаны здесь два на x копа и собственно два интерфейса

балансировка у нас включилась по весам firewall фильтры что такое firewall фильтры по сути это на аналог аксесс листов на оборудовании других вендоров firewall фильтры используются для контроля трафика проходящего через тот или иной интерфейс а они не сохраняют информации о проходящих соединениях через интерфейс проверяет каждый пакет в отдельности поэтому если настраивать и firewall фильтры необходимо разрешать трафик необходимый в обоих направлениях для каждого соединения помимо этого файл фильтры можно использовать для некоторых задач мониторинга

и по структуре firewall фильтры очень сильно похожи на политики маршетизации очень знакомая картинка структур файл фильтра очень похожи на политики маршетизации есть им именованный фильтр пардон в нем может быть один и более элементов фильтра в отличие от политики маршетизации в которой может не быть элементов политики маршетизации здесь же в файл фильтрах должна быть должен быть как минимум один элемент фильтра элементы фильтра состоят из комбинации from zen если то from определяет критерий для совпадения пакетов

zen определяет действия которые мы будем производить над пакетами при совпадении с критериями элементы фильтра проверяются поочередно если пакет совпал с критериями то к нему применяется определенное действие если не совпал то пакет передается к следующему элементу фильтра если же пакет не совпал с критериями ни одного элемента фильтра то к нему применяется действие по умолчанию и по умолчанию это действие дискарт то бишь сброс пакета теперь по поводу критериями фильтра критериями фильтра могут являться большинство заголовков полей пакета

здесь могут быть сокс местные шины и пиадреса поле протокол поле тос для 7 пи сообщений можно указать коды с осеньки сообщений или типы осеньки сообщений и так далее можно указать соксы дистанейшн парты и здесь можно также использовать префикс листы какие основные действия над пакетами мы можем производить также есть терминирующие действия это действие ты который заканчивается выполнение фильтра

здесь у нас есть три действия акцент дискарт и видит гиджек асепт разрешает прохождение пакетом дискарт этот тихий сброс пакета reject сброс пакета и отправка сообщения а 7 пи она вичи был далее также есть действие по контролю выполнения своего фильтра здесь есть только одно действие это опция next turn позволяющие прийти к какому-либо другому элементу фильтра и также есть различные модификаторы действие модификаторы действие модификаторы например есть действие для записи

информации и у пакета например лог сисок и каунт далее есть действие для определение параметров классов сервис для данного пакета и также можно настроить ограничение пропускной способности для данного типа пакетов с помощью полисера если в элементе фильтр указан только модификатор то по умолчанию подразумевается что терминирующим действием в данном случае является аксель это основные действия

пакетами которые мы можем производить как выглядит настройка файл его фильтра файл его фильтры насраивается на на уровне иерархии гид файл его здесь ниже показан пример настройки здесь далее пардон здесь далее мы выбираем семейство протоколов в которой мы настроим хотим настроить файл его далее указываем имя фильтра здесь имя фильтра нет иду фильтр и далее идет настройка самих элементов фильтра здесь у нас есть два элемента фильтра это

элемент элемент в к диска и элемент а аксель а за в элементе фильтра в к диска критерий для совпадения указан дистинейшен префикс лист это вот как раз и еще один способ использования префикс листов помимо протоколов маршрутизации если дистинейшен адрес пакета совпадет с одним из префиксов в префиксы ст вк.ком то данный пакет попадет под данный критерий но помимо этого он также также должен иметь протокол tcp и destination port https

в таком случае пакет попадет под критерий данного фильтра дальше указываются действия здесь указано указано модификатор каунт и дальше название счетчика вк дискарк который будет опция каунт производит подсчет пакетов которые попали под данный критерий фильтра и опция дискарк означает что мы будем тихо сбрасывать данные пакетики и и вторая опция точнее второй элемент это элемент с именем и и и и и и и и и 右

никаких критериев это означает что данный элемент будет применяться как абсолютно всем пакетом и здесь действие которое мы применяем к пакетам это аксель то бишь мы разрешаем прохождение данных пакетов то бишь по сути данный фильтр запрещает трафик с адресом назначения входящим в префикс лист vk.com по протоколу https и разрешает прохождение всего остального трафика далее после того как мы настроили файл фильтр и нам необходимо их применить на интерфейсе файл фильтр могут быть применены в двух

направлениях во входящем и в исходящем соответственно input фильтр для входящего трафика output фильтр для исходящего трафика выполняется применяется на уровне настройки семейства протоколов на определенном интерфейсе здесь у нас в качестве примера указан на применение фильтра на интерфейсе гигабит ethernet 002 в семействе протоколов и нет применено два фильтра в входящем направлении фильтр фильтр и для исходящего трафика фильтр фильтр out можно применять несколько фильтра в одном направлении с помощью опции input list list или output list

здесь небольшая гифочка как производить control plane protection на устройствах под управлением junus для фильтрации трафика передаваемого на движок маршрутизации файл фильтр должен быть применен к интерфейсу loopback 0 это такая особенность в таком случае если мы применим файловых и так интерфейсу loopback 0 то

пакет forwarding engine применит данный фильтр к пакетам перед тем как отправить их через внутренний линк михаил не совсем понял что именно вас интересует есть лист 6

есть лист 6 название фильтра нет иду фильтр нет здесь есть название фильтр просто но не нет иду фильтр но чисто в качестве примера выбрана вот

название фильтра это фильтр и фильтр и фильтр и это название фильтра так по поводу защиты плоскости управления я вам уже рассказал применяю файловых фильтр к интерфейсу loopback 0 вот и в таком случае пакет forwarding engine применит фильтр к пакетам перед отправкой через внутренний

интерфейс на движок маршетизации да да да оно самое то он это сссс протокол маршетизации вот это все то бишь весь трафик который направляется непосредственно на движок маршетизации далее немного поговорим о полисинг с помощью файловых фильтров есть возможность ограничивать полосу пропускания для различных типов к пакетах средств подбор трафика это сссс подключилась и сссс ст подключилась и это Edwin подключить ренда тоже достоятельность для различных типов пакетов отбор трафика для осуществления ограничения полосы пропускаем

осуществляется по абсолютно всем тем же критериям что у нас есть в файл о фильтре если пакетом не хватило полосы то они будут по умолчанию сброшены есть два параметра при настройке полисинга это bandwis limit то бишь это среднее разрешенное число бит в секунду и без сайс лимит это количество байт на которой система позволит превысить задано ограничение в bandwis limit при всплеске трафика разумным методом для определения бирс сайза является умножение скорости интерфейса на

допустимое время всплеска для того чтобы во время всплеска фильтр не сбрасывал пакет на в течение определенного времени потому что разумно не сбрасывать одиночные пакет не пакеты в каких-либо коротких сессиях если таковые имеются как это дело работали в первую очередь как и для всего остального файлов фильтра пакет появляется на критерии фильтра далее фильтр проверяет хватает ли пакету

полосы пропускания если да то пакет обрабатывается нормально если нет только пакетов применяется определенное действие указанное на стойках полисера после этого применяется остальные действия файлов фильтра если они имеются вот здесь пример настройки полисера настройка самого полисера по ограничению полосы пропускания производится на уровне иерархии и дитфайлов полисер здесь у нас на примере данный вывод конфигурации внизу настроен полисер с именем нет полисер и указаны опции что если полоса пропускания

лимит пакет для полосы полосы пропускания указывается здесь 30 мегабит и без сайс ли лимит 100 килобайт и далее по аналогии с файл фитером указывается действие которое мы будем производить над пакетами если он выйдет за данные ограничения здесь действие дискаркты означает что мы будем сбрасывать пакеты и после того как мы настроили полисе нам и необходимо данный полисе применить в файл его фильтр и файл

фильтр настраивается точно также убежишь указывается семейство потоку протоколов название фильтра лимит сам трафик далее настроек настраивается определенный элемент фильтра здесь у нас с элемент с названием югипи который где будет действовать для пакетов использующих протоколу и депи и в действии выполняем над данными пакетами указывается полисе имя полисе и здесь у нас укажем указаны также опция как accept то бишь для протокола югипи если у нас пропускная способность для данного типа пакета при

если 30 мегабит то данные пакеты начнут отбрасываться и если же пропускная способность не превышает заданные ограничения то файл фильтр обрабатывается так будто опции полисе в нем нет то бишь поменяется просто действие accept да конечно все фильтры они работают только есть если их повесить на какой-либо интерфейс

так они просто будут существовать в конфигурации далее еще одна небольшая темка которую мы затронем это unique ask реверс спас форвардинг данный механизм проверяет достоверность полученных пакетов на каком-либо интерфейсе есть два варианта проверки unique ask рпф два режима первый режим это рус производится проверка адреса источников пакета на наличие специфичного маршрута в таблице маршрутизации то бишь если у нас прилетел пакет на интерфейс

устройство смотрит если у него в таблице маршрутизации маршрут до данного адреса источника если нет есть то все нормально пакет пропускается если нет тупо умолчанию пакет будет отброшен второй режим это режим strict помимо проверки на наличие специфичного маршрута также проверяется интерфейс из которого пришел данный данный пакет то есть маршрут который у нас который мы проверяем в

таблице маршрутизации для пришедшего пакета next hop у него должен быть указан тот интерфейс из-под которого пришел данный пакет если это не так то пакет также будет отброшен по умолчанию данный функционал выключен на интерфейс а если его включить что будет использоваться стоит режим и настолько как пев как я уже говорил пакет сбрасывается из них проходит так пев проверку настраивается пев проверка на уровне семейства протоколов на определенном интерфейсе здесь

просто можно использовать опцию рпф чек и все это все что необходимо для включения правильный уникарст и девок спас форвардинга можно также освободить трафик от проверки с помощью данного механизма с помощью так называемого так называемого фейл фильтра здесь у нас в примере также указано что у нас есть включена певчик и также указан фейл фильтр как певчик певчик здесь конце это собственно название фильтра в таком случае трафик подпавший под критерии данного фильтра не будет проходить рпф проверку

так хорошо теперь давайте немного посмотрим как работают фейл фильтр на практике исключительно Продолжение следует...

Продолжение следует... Продолжение следует... Давайте с вами настроим защиту control plane, так как по сути у нас с вами больше, то здесь трафика никакого сгенерировать не получится. Давайте создадим какой-нибудь firewall фильтр. Перейдем на уровень иерархии и файл.

И сразу можно перейти на уровень иерархии самого нашего фильтра. Пусть фильтр носит название testfilter. Вот с этого уровня иерархии мы будем все настраивать. Он в итоге носит название edit firewall frame limit filter test filter.

Где testfilter это имя фильтра, которое вы можете придумать сами. Здесь мы зададим элемент фильтра. Пусть у него будет... Мер политики ACMP. Дискар. Далее зададим критерии для совпадения. Т bilб prese, для совпадения. zien united fire Generator . Видите знак какие-то apl музыки. Иначе она это должен будем в самом деле производиться и при arab espírito с тем, что миллион. И вот так pedir на таближе при отойти потолку можно больше, из auto. В общем, решеткой. В определенность электрический клиrum для совпадения для

трек nãojim emocionata. Конечно, это изменилось россии для совпадения против протокола. Иссенки. Итак. далее указан source адрес или точнее destination адрес я не хочу чтобы либо из вас пинговал мой look back-interface критерии для данного элемента фильтра мы задали теперь нужно задать действие для данного элемента фильтра команда setterm имя элемента фильтра then здесь укажем опцию discard

то бишь сбрасывать пакеты тихо без отправки сообщения async.p enrichable и также укажем опцию count и зададим имя счетчика пустят счетчик который будет считать данные пакеты у нас также называется async.p discard хорошо с этим элементом фильтра закончили следующий элемент фильтра хочу запретить

подключение по протоколу ssh на мое устройство указываю элемент фильтра ssh reject пусть он будет так называться по умолчанию откинуть мы это разбирали у нас была красивенькая картинка если пакет не попадает под один критерий имеющихся элемент фильтра то к нему применяется действие по умолчанию и это действие discard то бишь обросить пакет ssh reject зададим

критерий для совпадения укажем тип используемого протокола протокола тсс укажем destination port 22 типичный порт для протокола ssh и укажем destination адрес здесь я также не хочу чтобы вы подключались по пардон по ssh к моему лоббек интерфейсу критерии для элемента фильтра настроены

теперь укажем действие сэмп ссс речь reject зэм будет reject действие сброс пакета и отправка сообщения оси непьянный чему все оси непи зафильтровали сс речь заблокировали ègуarfbury è

Так. И давайте также зададим ограничения для протокола OSPF.

Создадим еще один элемент фильтра. Сектор OSPF. Зададим критерии. В компотокол. Укажем OSPF. Укажем. Так. так интересно получится

так сделать так interface interface group здесь укажем интерфейсы на которых мы разрешаем работу протокола OSPF у меня в этих интерфейсах будет достаточно много квадратных скобках и и и и и

и и и и и и и и и и и и и и и и и и и и и и и и и и и и и

и и и и и и и и и и и и и и и и и и и и и и в данном случае мы разрешаем прохождение данных пакетов действия Zen и так же давайте здесь включим счетчики OSPF пакетов

опция аккаунт OSPF и так же давайте включим здесь лого так если я не ошибаюсь если я не ошибаюсь если я не ошибаюсь если я не ошибаюсь я не ошибаюсь стрелочки указывают на переход на следующий уровень

иерархии то бишь мы вводим данное значение и переходим на следующий уровень иерархии где мы можем указать еще какие-либо дополнительные опции плюсик означает что это по сути это по сути является для данной опции последним уровнем иерархии то бишь в данном случае мы сможем указать apply groups и дальше мы сможем выбрать определенную опцию но это будет конец выражения то что без стрелочек или плюсиков это собственно опции которые будут у нас заканчивать выражения в нашем конфигурационном файле данные опции в конфигурационном файле будут оканчиваться точкой запятой

так так так будут у нас заканчивать выражения в нашем конфигурационном файле. Данные опции в конфигурационном файле будут оканчиваться точкой запятой. Так. Хорошо. И для опции SSH Reject я тоже включу счетчик. SSH Reject. Давайте посмотрим, что у нас получилось.

У нас есть наш FireWool фильтр. В нем есть три элемента фильтра с названием ASMP Discard, SSH Reject и OSPR. Фильтр ASMP Discard. Запрещает прохождение протоколов ASMP на destination адрес 4.9. В таком случае будет произведен сброс пакетов. Также будут вести счетчик данных пакетов. Аналогично с опцией с элементом фильтра SSH Reject. Будут сбрасываться подключения по протоколу SSH на IP адрес 4.9.

И также настроена опция OSPF, в которой мы разрешаем работу протоколу OSPF на задумках интерфейса. Можем сделать последний терм. Но, как правило, при защите Control Plane в элементах фильтра прописываются, в отличие от нашего случая, все разрешающие правила. Здесь трафик, который мы разрешаем для прохождения на движок наушетизации. А весь остальной по трафику наоборот запрещается. Но давайте в качестве примера сделаем еще один элемент фильтра,

который разрешает прохождение всего основного трафика. И здесь мы просто укажем действие Zen Accept. Это значит, что для всего основного трафика мы разрешаем его прохождение. Теперь, собственно, элементы фильтров будут применяться в том порядке, ой, пардон, пардон, пардон, в котором мы их создали, в котором они здесь записаны. Можно поменять порядок фильтра. Я вам ранее рассказывал про опцию Insert. Если мы хотим поменять местами какие-либо элементы фильтра, мы можем воспользоваться данной опцией. Давайте, например, поменяем местами опцию SSH Reject и ICMP Descartes.

Команда будет выиграть следующим образом Insect. Далее Tag. Именно интересующие нас политики. И здесь есть две опции. Опция After, то бишь поставить его после, и опция Before. И вставить данную конфигурацию перед определенной записью конфигурации. Здесь нас, конечно же, интересует обсер Бифо. И дальше указываем элемент политики, перед которым мы хотим вставить

наш интересующий нас элемент политики. ASMP Descartes. Нажимаем Enter. Смотрим, что у нас изменилось. И да, теперь действительно опции SSH Reject и ASMP Descartes поменялись местами. Раньше опция ASMP элемент политики ASMP Descartes был на первом месте. хорошо. Хорошо. Хорошо. Пусть у нас будет такой Firelow фильтр. Теперь нам нужно применить этот Firelow фильтр к loopback

интерфейсу. Переходим на уровень иерархии интерфейсов. команда SetWalk 0 Unit 0 Family Init Filter применяем данный фильтр на вход во входящем направлении Filter Input и указываем Test Filter Вот так теперь выглядит настройка нашего интерфейса loopback на нем настроен адрес и также настроен фильтр для пакетов

во входящем направлении. Давайте применим настройки Так. Хорошо. Он все-таки не захотел

работать с опцией Interface Group. Давайте тогда удалим данную опцию данную опцию данный критерий фильтра в данном элементе фильтра Interface Group Хорошо. Хорошо. Хорошо. И давайте тогда в таком случае создадим префикс-лист.

Пусть вот этот префикс-лист называется for. И здесь мы зададим определенные. Префиксы. Это будет 10, 1, 0, по 16 маске. Здесь по 16 маске. Здесь я 12, 0, 0, по 16 маске.

Здесь 13, 0, 0. Также по 16 маске. Идем обратно в настройку нашего Firewall фильтра. И для данного элемента фильтра укажем критерий для совпадения. destination. Ой, какой destination? source. prefix. prefix. prefix. prefix. prefix. which учителя укажем критерий для совпадения. destination, ой, какой destination? source. prefix. prefix. list.

И укажем название нашего созданного префикс-листа. И укажем название нашего суженного префикс листа. Все. Теперь вроде бы. Все в порядке. Теперь наконец-то применим настройки. Субтитры сделал DimaTorzok

все фильтр применился теперь давайте посмотрим правильно ли я все настроил и не поломались ли у нас наши оспев соседства вы спир вроде бы пока работает попробуйте кто-нибудь попинговать мой в б 4 9

и подключиться по ssh на именно на 4 9 давайте теперь посмотрим вывод команды show fireball здесь у нас показываются счетчики наших настроенных элементов фильтра как видим

для опции осень пи у нас посчиталось 8 пакетиков которые потом были успешно отброшены и и счетчик осеньки растет счетчик осеньки растет осеньки растет

и а ну невозможно что у вас кто-то пингует а ну да у нас же у нас же настроен рпм на срксе моем которые пингуют вашу бэк интерфейс 4 двоечки поэтому у вас еще и растет счетчик осеньки пакетов и как получилось да

странно ну там то нет мы не запрещали почему счетчик не вырос вот это странно так же странно почему не растет счетчик осеньки давайте также посмотрим тут у нас скорее всего ничего не будет шоу файл лога здесь бы это бродили сообщения о тех пакетах которые мы бы хотели войду логировать давайте настроим еще пользусь а нем его к нашему файл фильтру также перейдем на уровень иерархии

и и и и и и и и и и и и и и и и и и и и и и and и и и и и но мы давайте укажем bandwidth limit в абиту в секунду пусть у нас это будет 16 килобит в секунду и

значение бирсайза пусть будет минимально доступная полтора 1500 байт максимально допустимое значение во время бирста указали лимиты теперь нам необходимо указать действие для данного полисера здесь мы можем либо отбросить этот пакет

либо же применить к нему различные настройки классов сервис например понизить приоритет данных пакетов мы будем использовать опцию discard полисер настроен так выглядит его настройка данный полисер к какому-либо элементу политики идем на уровень герархи git firewall family net filter test filter например для

элемента политики асимп дискард настроим одно из действий данного полисера и укажем имя данного полисера тест полисер все теперь наш файловый фильтр выглядит следующим образом настроить работу полисера мы вряд ли сможем в данный момент настроить работу полисера мы вряд ли сможем в данный момент все применили настройки теперь

покажу к вам как настраивается рпф давайте я включу рпф на каком-либо интерфейсе таксист гибриде зернек 0 0 1 далее файмили и нет здесь команда файмили и нет здесь команда файмили и нет здесь можно

настроить файл файл фильтр и указать здесь название этого файл фильтра можно изменить режим работы как пиев а на пус по умолчанию напоминаю используется режим стык выживший просто включен рпф на данном интерфейсе на котором включен рпф чек включается буквально одной командой

первый блок все и это пожалуй все что я хотел рассказать вам по поводу файл фильтра очень часто используемый механизм очень полезный так что не пренебрегайте

так на этом у нас получается все мы рассмотрелись практически все темы и даже чуть чуть больше не подскажу сейчас где он настраивается я не помню если честно его ни разу не настраивал но он у нас работал скорее всего на уровне системы но это не точно