Juniper Technical Case!
第1阶段:互联网接入
Acme公司每台网络核心路由器都使用BGP来与骨干网互连,或在必要时连接到其他自治域系统中的对等路由器。此外,网络中的所有路由器都运行OSPF,并将其作为内部路由协议来确保域内连通性。
基本路由协议配置
配置语句
protocols { 协议配置块。
bgp {
group internal {
type internal;
neighbor 10.0.1.22;
neighbor 10.0.2.42;
}
}
目的
定义有两个对端的内部BGP组(在本例中这两
个对端为两台不同的核心路由器)。
ospf {
area 0.0.0.0 {
定义域0的OSPF配置块。
interface fxp0.0 {
disable;
}
禁止管理接口fxp0使用OSPF
interface so-0/0/0.0;
interface so-1/0/0.0
命名两个启用了OSPF的接口。
}
}
]
上面的协议配置节是通过两条OC-12链路(而不是通过其他接口)来提供到核心的BGP和OSPF路由。OSPF路由在管理接口fxp0上被明确禁用,以防止在操作人员出现失误的情况下在该接口形成路由邻接。虽然上面的配置足以处理任何数量的客户互联网流量,然而根据具体客户或者对端的需要通过提供协议或流量过滤、速率限制(警管)或其他业务,该配置仍可以得到进一步增强。
本文所举的配置例子,旨在为供应商提供简单的范例来说明部署所讨论业务的最关键步骤。这些例子并没有详细介绍业务配置的每一种选项或必需步骤,也没有深入提供全面的配置细节。如想了解在Juniper网络公司产品上配置JUNOS的详细信息,请访问以下网址上的JUNOS软件文档资料:http://www.juniper.net/techpubs/.
第2阶段:虚拟专用联网
实施第三层BGP/MPLS VPN业务,有时也称作RFC 2547bis VPN
虽然并不是客户感兴趣的每一种业务都需要MPLS,但Acme公司认为部署MPLS可以带来多方面的好处,包括:
· 丰富的VPN功能
· 流量工程,用于实现确定的且可预测的高效流量传输路径
· 快速重新路由,实现不到50毫秒的故障排除
· 与某些第三方设备的集成
· 支持多协议流量传输
基本的MPLS配置包括以下3个步骤:
1. 在MPLS数据包将经过的接口上配置对该数据包的支持
2. 配置对MPLS转发的总体支持
3. 选择并配置一种MPLS LSP建立和维护协议
配置语句
interfaces {
so-0/0/1 {
unit 0 {
family mpls;
}
}
}
目的
配置SONET接口,以将MPLS数据包识别为有效输入。
配置语句
protocols {
mpls {
interface all;
}
}
目的
为整个路由器配置MPLS转发功能。
最后一步要求Acme公司选择一种协议来在整个网络中建立和维护MPLS路径。这一选择将取决于供应商所希望提供的具体业务。如果需要流量工程则选择RSVP,对于最简单的配置则选择LDP,而对于某些部署甚至需要二者兼备。于Acme公司而言,他们的最初要求只是分配MPLS标记以实现路径创建和指明VPN目的地,因此他们选择使用LDP来实现这一目标。然而,为了支持MPLS流量工程并支持未来业务的智能部署,他们决定同时在网络中实施RSVP。
配置流量工程
为了将MPLS信息保持在网络范围内,LDP和RSVP只配置在路由器面向核心的接口上。如果使用的是SJC-11路由器,它可提供两个连接到网络核心的SONET OC-12接口。在SJC-11上配置LDP和RSVP将使用以下配置
配置语句
protocols {
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
rsvp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
ospf {
traffic-engineering;
}
}
目的
配置LDP和RSVP,以在两个面向核心的接口上运行,要求OSPF构建一个流量工程数据库(TED)。
完成这3个步骤后,MPLS就可以在Acme公司的IP网络中运行。MPLS数据包可以由任何路由器生成,而且通过一条MPLS转发路径到达任何其他路由器。这主要用于MPLS VPN流量的边缘到边缘转发。
这时,LDP将自动发现运行LDP的相邻路由器,同时动态地创建连接到网络中所有其他MPLS目的地的MPLS LSP。虽然这足以支持VPN业务,但LDP不能提供对MPLS在网络中所采用路径的控制功能。为了控制所采用的路径,LSP必须由RSVP信令来建立。
这样,就可以通过手工方式或各种管理限制将LSP设置为只限于特定的链路或路由器。
以下配置实例提供了一种方法来实现这一点:
配置语句
protocols {
mpls {
label-switched-path to-denver {
to 10.0.0.47;
bandwidth 5m;
}
}
}
目的
配置一个MPLS LSP连接到Denver路由器,并将其
所采用的路径限定为至少有5Mbps的非预留带宽
的链路。
通过使用RSVP来建立这种流量工程LSP,网络工程师就可以规定部署LSP必须遵循的路径属性,从而有效地进行控制。入口路由器(在本例中为SJC-11)中的限制性最短路径优先(Constrained Shortest Path First)算法将查询流量工程数据库以确定符合这些限制条件的最短路径,然后向该路径上的LSP发送信令。这仅仅是RSVP实现流量工程功能的一个例子。Acme公司也可以根据他们自己的管理标准来限制LSP路径,或者选择特定路径中必须包括或不能包括的链路或路由器。
部署第三层BGP/MPLS VPN业务
第三层BGP/MPLS VPN业务使用BGP来在网络中传输VPN成员和目的地信
息,并使用MPLS标记来将流量转发到特定VPN站点。
第三层VPN目的地非常类似于标准的IP路由表条目,而且在客户看来完全一样。每一台边缘路由器上的每个VPN都有自己动态创建的路由表(叫作虚拟路由和转发表,或VRF),并由该路由表来判定该VPN的可路由目的地,以及到达这些目的地需要使用的标记。
以一家虚构的Alpha公司为例,每个站点将收到一个类似于以下例子的配置
配置语句 目的
routing-instances {
alpha {
为Alpha公司定义和命名一个VPN实例。
instance-type vrf; 专用于第三层VPN的操作
interface t1-0/0/1.0; Alpha公司所连接的接口
vrf-target target:1:1; 调用缺省VPN策略。
routing-options {
static {
路由协议,用于控制站点间的路由。
route 172.16.1.0/24 discard; 企业站点的静态路由。
}
}
}
}
这些命令只需要在实际连接VPN站点的边缘路由器上配置。核心路由器和无关的边缘路由器根本不需要任何额外配置。BGP/MPLS VPN这种"在需要的地方才进行配置"的理念,对那些需要逐渐向网络中增加业务的服务供应商大有裨益。
如想了解有关第三层VPN的详细信息,请参阅以下链接上的《RFC 2547bis:BGP/MPLS VPN 基本原理》:
http://www.juniper.net/solutions ... e_papers/200012.pdf
第二层上的站点间连接
对于仅将IP用于VPN、同时希望将路由交给供应商来管理的企业客户来说,第三层VPN是非常受欢迎的,但它并不适用于所有的客户和应用。如果需要传输非IP协议,或客户希望能够在网络中控制他们自己的IP路由,或者客户的控制要求非常高,那么客户可能会希望继续使用第二层WAN。为了满足将多种业务汇聚到一个骨干网上的需求,Acme公司将在自己的IP网络上支持帧中继和ATM业务模拟,从而不必构建独立的第二层网络来提供这些业务。这将有助于降低传输成本,因为它不需要构建同一城市对之间的远程重叠链路,因此可避免构建整个重叠核心网络,最终降低了成本。
IP/MPLS上的第二层联网需要两种不同的功能:封装和信令。Juniper网络公司的第二层VPN和第二层电路遵循PWE封装标准(基于Martini草案)。Juniper支持两种信令选择方案:第二层虚电路使用有目标LDP信令而第二层VPN使用BGP信令。
如果客户的ATM或帧中继VPN有大量站点,或者可能跨多个站点,那么他们可能会希望使用第二层VPN,因为BGP具备自动发现和多点连接的优势。如果客户只有很少的几个站点,而且不必在多个AS上提供VPN业务,那么他们可能会选择第二层虚电路来构建自己的专用VPN。M系列使每位客户可以选择以上两种方式中的任何一种或同时选择两种。
如想了解有关各种第二层IP/MPLS 联网相对优势的详细信息, 请参阅:
http://www.juniper.net/solutions ... mum_flexibility.pdf
部署第二层BGP/MPLS VPN业务
第二层BGP/MPLS VPN使用与第三层VPN非常类似的机制,它也使用BGP来分发VPN路由信息,同时使用MPLS标记来将数据包转发到正确的VPN站点。二者之间的根本区别在于,第三层VPN的目的地是IP前缀,而第二层VPN的目的地是直接模拟帧中继DLCI或ATM VPI/VCI对的电路端点。实际上,从客户角度来看,第二层VPN的运行方式与相对应的第二层业务完全一样,正是这一点使这种业务功能对已经习惯了这些业务的客户非常有吸引力。
第二层VPN使用基于BGP的基本机制来构建VPN转发表(VFT),而不是用于构建第三层VPN的VPN专用路由表。VPN转发表(VFT)将目的地电路与特定MPLS标记(进而与特定LSP)相关联。客户设备并不知道它使用的第二层业务与 "传统的"第二层网络有什么不同。
由于Acme公司已经部署了BGP和MPLS,所以构建第二层VPN的其余步骤只涉及到VFT本身。配置VFT的流程与与配置上述第三层VPN的流程非常相似。这些配置项目将使用以下配置
配置语句 目的
routing-instances {
gamma{
为Gamma定义和命名一个第二层VPN
实例。
instance-type l2vpn; 专用于第二层VPN操作。
interface t1-2/0/1.0; Gamma连接的接口。
vrf-target target:1:1; 调用缺省VPN策略。
Protocols { VPN协议配置块。
l2vpn { 第二层VPN配置块。
encapsulation-type frame- relay; 第二层VPN类型。
control-word; 允许传输控制位。
site one { VPN站点配置块。
site-identifier 1; 该站点唯一的VPN ID。
interface t1- 2/0/1.0; 该站点的VPN接口。
Remote-site-ID 2; 所连接的远程站点。
}
}
}
}
}
在Gamma所连接的每台边缘路由器上、采用与上述配置类似的配置而构建的VPN,是帧中继VPN。这种VPN与在全球ATM和其他网络基础设施上部署的帧中继业务几乎没有任何区别。例如,还有一些在此没有列出的第二层VPN配置选项可以支持帧中继和ATM业务选项,如控制位(BECN、FECN、DE和CLP)等。如果Acme公司以后希望增加支持功能(如,对帧中继DE功能的支持),那么他们只需要向面向客户的接口配置中添加几行:
配置语句 目的
interfaces {
t1-2/0/1.0 {
unit 0 {
识别用于Gamma第二层VPN的面向客户的接口
和单元。
family ccc { 用于第二层VPN的协议系列
translate-discardeligible;
允许将DE控制位映射到VPN控制字
}
}
}
}
在这个例子中,Acme公司使客户能够使用帧中继根据客户设置的丢弃合格(DE)参数来为数据流量分配优先级。该参数向客户设备指明发生拥塞时丢弃特定流量的程度。
Juniper网络公司的平台不会丢弃任何流量,但是客户设备有时会被拥塞,从而使这种标记变得很有用。请注意,Acme公司也可以用类似的命令提供FECN和BECN功能。
部署第二层电路
某些客户可能不需要第二层BGP/MPLS VPN提供的多点连接,因为他们替换的电路是简单的点到点连接,并不涉及多个目的地。在这种情况下,MPLS和LDP可一起用于在IP/MPLS网络中任何两点之间部署简单的点到点第二层电路。这种第二层电路可以作为众多业务中的一部分来部署,但也可以根据各个客户的具体要求专门进行部署。
第二层电路将使用与Acme公司已经配置的第二层和第三层VPN相同的MPLS基础设施,但又不同于VPN业务,因为他们的电路端点信息不是由BGP携带的,而是由目标LDP携带的。要配置第二层电路,必须为面向客户的接口配置正确的封装功能,同时必须在面向远端边缘路由器的接口上将目的路由器的地址配置为的邻点。在这个例子中,客户希望用一条相应的第二层电路来替代一条帧中继电路:
配置语句 目的
interfaces {
so-2/3/3 {
识别连接到本地客户的接口。
encapsulation frame-relay-ccc; 指定帧中继电路封装。
unit 722 { 单元(子接口)块。
encapsulation frame-relayccc;
指定帧中继电路封装。
point-to-point; 定义电路为点到点类型。
dlci 722; 本地FR数据链路连接标识。
}
}
}
接口配置就绪后,以下配置节将在两个站点间配置第二层电路:
配置语句 目的
protocols{
l2circuit{
定义第二层电路。
neighbor 10.100.40.200 { 远端的邻点。
interface so-1/0/0.1 { 本地客户接口。
virtual-circuit-id 1; 唯一地识别电路。
no-control-word; 禁用FR控制信息。
}
}
}
}
这是第二层电路配置的一个简单例子。Acme公司可能决定在将来或为有更复杂需求的客户,支持JUNOS软件提供的许多选项,如控制字传输和转换交换(translationalswitching)等。
在客户部署多条第二层电路时,这些不同电路的管理 - 虽然其本身很简单 - 但是到一定程度将会成为供应商和客户的一项严重负担,而且远比部署标准的BGP/MPLSVPN更困难。那些预期VPN连接需求将会不断增长的客户应从一开始就考虑到这一点,而不是在部署过程中从一种模式变为另一种模式,或者任由分散电路的数量庞大到无法控制的地步。此外,第二层VPN还可以提供其他一些优势(如站点自动发现和预先设置)来增强供应商响应客户需求的能力。
高级的第二层功能
还有许多M系列第二层功能没有在本文中进行讨论,如DiffServ感知的MPLS流量工程所支持的"硬性"QoS或ATM SCR、PCR和MBS配置等。这些功能可用于实现精确的ATM业务模拟。如想进一步了解如何配置这些功能的详细信息,请参阅Juniper网络公司的软件参考资料。
部署第2.5层互通VPN
在进行网络汇聚的过程中,Acme公司及其客户经常需要将多个VPN站点连接起来,即使这些站点并非使用相同的VPN接入技术。例如,某企业可能会希望将所有站点统一部署到一个单一帧中继第二层VPN中,但又不想替换少数几个传统ATM站点上的所有电路和设备。第2.5层VPN功能是对第二层VPN的扩展,可以提供将某种介质类型转换为另一种介质类型的功能,从而使使用该介质类型的站点可以接入VPN。
许多网络设计人员都认为以太网是最终的接入技术,因为它简单、快速而且随处适用。然而遗憾的是,直到最近以太网才成为一种VPN技术,而且向它的转变需要很长时间。Acme公司的许多客户纷纷表示对逐步迁移到以太网VPN (VPLS) 很感兴趣-这意味着将过以太网连接向他们的VPN添加新站点,但不需同时迁移他们原有的所有VPN站点,因为这将需要大量的工作。第2.5层VPN可以帮助他们实现这一目标,因为它可以支持以太网和帧中继报头之间的转换,并转发帧内容而不进行任何修改。
部署虚拟专用LAN业务 VPLS
虚拟专用LAN业务(VPLS)是IP/MPLS网络中使用的一种基于MPLS的LAN互连方法。
Acme公司的某些客户希望通过一个非路由网络来将他们地理上分散的以太网连接起来,使它们彼此看起来就像是通过一个网桥连接的那样。
管理WAN不再需要特殊的技能也是其中的一个优势,因为所有连接现在都是通过人们熟悉的以太网建立的。这种"城域间"以太网连接是一种新功能,它利用MPLS的可扩展性来在广泛的地理范围内传输以太网流量。由于广播风暴和生成树的不稳定性,这是以前的标准以太网设备所不能够实现的。
VPLS使用与第三层和第二层VPN相同的传输和控制协议套件—MPLS和BGP的结合。因此,部署该业务的大部分工作已经在这些业务的配置过程中完成。
BGP作为业务控制协议
设备厂商和他们的服务供应商客户都在许多日益普及的业务定义中使用BGP。BGP设计用于提供精确的灵活性,以便扩展用
于新的用途,或随着服务供应商的增长而扩展用于集成控制层
面和应用层面,并同时保留目前所有供应商认为对于将来发展
至关重要的域间特征。此外,BGP还是可以提供这些关键特征
的唯一可用机制:
· 它是一种众所周知而且经过验证的协议。
· 它允许使用单一协议来配置和设置所有VPN类型。
· 它是支持自动发现功能的唯一解决方案。该功能对于有多
个端点的全网状VPN非常重要。
· 它支持可扩展的AS间和供应商间VPN功能以构建运营商的
运营商和域间VPN,并已被部署于运营商间第三层VPN网
络中。
第三层VPN、第二层VPN和VPLS都将BGP规定为主要的控制协
议。对于多种IP目的地、VPN成员、站点标记或其他信息的交
换,BGP协议是一种可扩展的、可靠的、并且已在互联网中经
过近10年验证的理想解决方案。
BGP和MPLS配置开始正常运行后,供应商在每台提供VPLS的路由器上需要完成的工作是配置站点特有的信息。在这里以一个名为Theta的客户站点为例:
配置语句 目的
routing-instances {
theta{
识别为客户Theta配置的VPLS实例。
Instance-type vpls; 将业务命名为VPLS
interface ge-1/0/0.501; 面向客户的接口
vrf-target target:1:1; 用于公用字符串的简单输入和输出策略
protocols{
vpls {
VPLS的协议配置节。
site-range 2; VPN中站点的总数量。
site theta-1 {
site-identifier 1;
唯一地识别VPN站点。
}
}
}
}
}
其他高级的分层VPN功能
利用系列产品,通过VPN的不同组合可以实现很多种其他业务。例如,ACME公司可以为某个同时传输IP和非IP流量(如IPX和SNA)的客户设置VPLS业务。在供应商边缘(PE),M系列能够识别可以发给外联网合作伙伴的IP流量,并使用‘LT'接口来将它从VPLS域映射到第三层2547 VPN。本文将不详细讨论这种高级功能。如想了解如何配置这些高级业务的详细信息,请参阅Juniper网络公司的软件参考资料,或联系Juniper网络公司的业务代表。
阶段总结
这一阶段介绍了Acme公司如何在其M系列PE路由器上部署多种类型的VPN业务,并在IP/MPLS基础设施上提供所有这些业务。IP/MPLS基础设施过去仅用于提供尽力而为的互联网接入业务。现在提供这些业务的M系列平台正从互联网核心路由节点转型为多业务交付平台。
第3阶段:更多增值业务
目前,Acme公司的许多客户除了使用互联网业务之外还使用各种形式的VPN,Acme公司能够为客户提供基于M系列其他功能的VPN增强功能。这样,Acme公司就可以在以下领域为客户提供非常高的价值:
· 使用服务等级(CoS)机制的流量优先级分配
· 网络地址转换,可使用保留地址(private addressing)通过VPN实现互联网接入
· 保护客户数据和设施的安全服务。
此外,Acme公司还可以使用M系列平台的其他功能来管理各个客户的流量并为之计费:
· 基于目的等级使用或源等级使用进行计费
· 使用流量计数器进行流量记费
· 通过流记帐功能确定应用资源使用情况
以下部分将介绍Acme公司如何使用M系列产品的某些功能来为其客户提供更多的业务,以及如何使用另外一些功能来实现客户使用情况管理和记帐。
使用CoS的分级业务
Acme公司的很多客户希望能够在同一个VPN上对不同的流量类型分配优先级,而不是为不同的应用构建不同的VPN。这方面的一个常见例子是某客户可能希望在一个VPN上同时支持话音、客户机服务器应用和电子邮件。为了实现这一目标,Acme公司可以使用其M系列平台的JUNOS服务等级(CoS)特性来为特定应用的流量分配专用资源,同时允许尽力而为流量使用那些未被高优先级业务使用的带宽。M系列能够为每个客户支持多个等级的QoS而不受介质类型的影响,而且每个逻辑接口可以支持业务警管、整形、严格优先级调度、WRR、WRED/RED和标记。这些丰富的JUNOS CoS机制确保了Acme公司能够为客户提供与所要运行的应用相匹配的特定服务水平。
JUNOS软件使服务供应商可以灵活地调用许多种不同的CoS机制,并根据任何实际方案将它们分别或一同用于为流量分配优先级。对于希望将话音、VPN和互联网流量汇聚到一个通用IP/MPLS VPN基础设施上的客户,Acme公司可以同时使用几种简单的分类器和转发等级来为不同类型的数据包处理分配优先级。这样,Acme公司就可以为客户提供高价值的业务,同时创造了其他方式不可能实现的创收机会。
在JUNOS模型中,分类是数据包进入入局PE路由器接口后将遇到的第一种CoS机制。
另一方面,一同创建转发等级的组件在出局数据包排队等待传输时变得非常重要。在已经标有特定IP优先级值或DiffServ码点的数据包上,分类可以明确无误地进行,这种情况下流量通常来自对时延和抖动敏感的某些设备(如话音网关)。另一方面,显式标记很少用于标准的IP应用,如电子邮件和web流量。对于未标记的流量,可以使用一个多字段分类器来解读数据包的任何信息并使用这些信息来决定如何处理该数据包。
Acme公司分类方案同时使用显式标记(由客户使用的话音网关完成)和多字段分类(在本例中是一系列目的地址,用于指明该流量属于VPN)来完成分类。
配置语句 目的
firewall { 防火墙配置块。
family inet { IPv4流量的防火墙规则。
filter service-classifier { 该过滤器被命名为"业务分类器"。
term voice { 话音流量的条件项。
from ( 识别条件子句。
dscp af12; 用该DSCP识别流量。
then forwarding-class
assured-forwarding;
}
将话音流量设置为使用"有保证转发"的转发等
级。
term vpn { 识别VPN流量的条件项。
from { 识别条件子句。
destination-address {
207.17.127/17;
}
在该块中带目的地址的流量位于Acme公司网络
中,所以也就在VPN中。
then forwarding-class
expedited-forwarding;
}
将该流量分配到VPN转发等级。
term be { 识别非VPN流量的条件项。
then forwarding class
best-effort; }
没有"from"条件子句,因此所有其他流量都被分
配到BE级别。
}
}
}
当流量分类完毕后,它的未来处理方式将取决于为之分配的转发等级。Juniper网络公司的M系列平台带有4个缺省转发等级(当然,这些等级可以通过显式配置进行修改):
· 尽力而为
· 快速转发
· 有保证转发
· 网络控制
尽力而为和网络控制这两个等级已根据要求设定,但话音和VPN流量的等级应根据各流量类型要求的处理方式进行定义。Acme公司设置的值如下:
配置语句 目的
class-of-service { 防火墙配置块。
scheduler-maps { IPv4流量的防火墙规则。
one { 该过滤器被命名为"业务分类器"。
forwarding-class expedited
forwarding scheduler vpn;
话音流量的条件项。
forwarding-class assured
forwarding scheduler voice; }
识别条件子句。
schedulers { 用该DSCP识别流量。
vpn {
transmit-rate percent 30;
priority low;
}
将话音流量设置为使用"有保证转发"
的转发等级。
voice {
transmit-rate percent 70;
priority high;
}
}
}
当将上面命名的过滤器用于面向客户的接口时,客户流量将被分类为话音(如果预先由网关标记有DSCP af12)、VPN (如果其目的地址在207.17.127/17段中)或尽力而为(如果这两种情况都不是)。分类操作将把流量分配到特定的转发等级,该等级会为该流量调用适当的传输和优先级分配设置。
网络地址转换 NAT
Acme公司的一些第三层VPN客户在他们的VPN中使用 保留地址(RFC 1918),这增加了从这些VPN上的计算机接入互联网的复杂性。由于这些地址无法在互联网上路由,所以它们的流量源地址在接入互联网时必须转换为合法的互联网公用地址,同时返回数据包的目的地址也必须进行类似的转换。虽然这可以在CPE设备上完成,但无疑会增加客户的配置和管理工作,而且对先通过防火墙再到达Acme公司的互联网流量要求使用另一条接入链路。Acme公司决定将网络地址转换(NAT)作为一种附加服务提供给有此类需求的客户,这样,他们就可以使用同一条接入链路来支持WAN流量和互联网接入。
当M系列边缘平台所支持的客户需要转换时,Acme公司可通过在M系列边缘平台上使用基于ASIC的多业务PIC(AS-PIC)来在供应商网络边缘转换这些专用地址,这样客户就不必为NAT而操心了。这种转换业务是一项增值业务,Acme公司要在标准互联网连接费以外为之收取额外的费用。
要转换地址,以下配置适用于AS-PIC:
配置语句 目的
services {
nat {
NAT业务配置节。
pool public { 指定地址池
address-range
low
112.148.2.1
high/
112.148.2.32;
允许分配的公共地址范围。
port automatic;
}
允许路由器分配端口号。
rule Private-Public { 指定转换规则。
match-direction input; 进行匹配尝试的方向。
term Translate { 第一个(在这个例子中也是唯一的)条件项。
then { translated { 由于没有"from",所以所有流量都进行匹配并
被转换。
source-pool public; 使用的地址池(来自上面)
translation-type / source dynamic; 规定动态分配的源地址。
}
}
}
}
上面的配置将为来自客户站点的所有数据包重新分配一个源地址(来自上面定义为"公共"的地址池中)。当对这些数据包的应答在返回客户站点的过程中被M系列平台接收到时,AS-PIC将用相匹配的正确内部专用地址代替动态分配的地址。
提高安全性
为了保护自己及客户的网络基础设施,Acme公司在所有客户链路上实施了一些标准的安全性流程。例如,许多网络拒绝服务和其他恶意攻击方法都通过源地址欺骗来隐蔽攻击源。Acme公司可以通过以下方法有效地保护自身和客户:确保没有数据包离开客户站点,除非它带有真正属于该站点的源地址。M系列平台可以通过下面的简单配置使用无状态防火墙过滤器(也称作"数据包检查"防火墙)来检测所有出局数据包是否具有这一属性。这种配置也可以用于面向客户的接口:
配置语句 目的
firewall { 防火墙配置节。
family {
filter no-spoof{ 将过滤器命名为"no-spoof"
term check-source { 将条件项命名为"check-source"
from {
source-address {
172.16.34/24;
}
}
将任何数据包与所示范围的源地址相匹配。
then accept; 允许这些数据包通过。
}
}
}
}
由于防火墙过滤器会默认拒绝任何未被明确许可(接受)的流量,所以上面的配置只允许源地址匹配172.16.34/24段的流量离开站点。这一地址对应于Acme公司为该客户保存的路由信息,而且它确保了-无论是偶然地还是特意地-该范围以外的流量永远不会进入Acme公司网络。
以上配置是M系列平台上实施的无状态防火墙功能的一个简单例子,此外还可以实现许多其他匹配选项和操作。"from"配置节包含有一条或多条匹配规则,它可以使用多个识别值,其中包括地址、传输层端口、控制位和标记、CoS信息、接口和长度等等。同样,"then"配置节(控制匹配后应采取的措施)可以允许、拒绝、计数、记录、转发、抽样、重定向或以其他方式处理数据包。M系列体系结构确保了这些流程不会影响转发性能。
除了无状态防火墙功能外,添加Juniper网络公司M系列AS-PIC(如上面的NAT例子中所使用的)使M系列平台可以实施状态型防火墙。这种防火墙是面向协议的,因此可以保护网络和客户避免那些使用无状态防火墙难以防止或无法防止的攻击。
例如,对于托管公共网络服务器的客户,Acme可以提供一种服务来保护服务器,使之只接受与普遍支持的http流量定义相匹配的合法Web请求,并拒绝除此之外的任何流量类型。借助状态型防火墙,Acme公司可以确保这些请求符合协议的所有规则,阻止使用协议的某些部分作为"伪装"的恶意防火墙攻击,如端口80(标准的http端口)上的UDP攻击。通过实施以下配置,Acme公司可以向客户保证它发往客户web服务器的请求从协议角度讲是有效的:
配置语句 目的
service stateful- firewall{ 状态防火墙配置节,用于"only-http"规则
rule only-http {
match-direction output { 只匹配发给该客户的请求。
term 1 { 第一个(也是唯一的)条件项。
from {
destination-addr
ess
{
172.16.34.4
;
}
applications http;
}
只匹配发往该web服务器地址的数据包(如果这
些数据包根据http判断为有效)。
then accept; 允许这些数据包通过。
}
}
}
}
M系列状态型防火墙可以将多种应用与一种逻辑相匹配。这种逻辑确保只有符合协议配置文件要求的流量才会匹配。这种智能还可以用于接受、拒绝或以其他方式处理该流量。
其他高级业务
还有许多其他业务没有在本文中讨论,如IPSec、多链路PPP、多链路帧中继、供应商间VPN、运营商的运营商VPN等。所有这些业务可以分层部署在我们已讨论过的业务之上以增加收入。如想了解如何配置这些功能的详细说明,请参阅Juniper网络公司软件参考资料。
浙公网安备 33010602011771号