Politicas, route filter, prefix-list y ejemplo en BGP

Ejemplo real de policy en Juniper Networks (Junos)

Supongamos que quieres anunciar solo tu red 10.10.10.0/24 por BGP.

 

set policy-options policy-statement EXPORT-BGP term 1 from route-filter 10.10.10.0/24 exact
set policy-options policy-statement EXPORT-BGP term 1 then accept

set policy-options policy-statement EXPORT-BGP term 2 then reject 

 

Y la aplicas a BGP:

set protocols bgp group ISP export EXPORT-BGP

 

Estructura:

 

 

 

 1. policy-statement 

 EXPORT-BGP

 2. term # Son como reglas dentro de la policy (se evalúan en orden)#

 Ejemplo:

  • term 1 → lo que quieres permitir
  • term 2 → lo que quieres bloquear

  3. from (condiciones) # Define qué tráfico o rutas matchean#

from protocol direct
from route-filter 10.10.10.0/24 exact
from as-path 65001
from community NO-EXPORT 

 4. then (acciones) # Qué hacer si se cumple el from#

then accept
then reject
then local-preference 200
then community add NO-EXPORT 

5. Evaluación (MUY IMPORTANTE) 

  • Va de arriba hacia abajo
  • Cuando hace match → ejecuta then y termina
  • Si no matchea → sigue al siguiente term
    •  

     set policy-options policy-statement EXPORT-BGP term ALLOW-LOOPBACK from route-filter 10.10.10.0/24 exact
    set policy-options policy-statement EXPORT-BGP term ALLOW-LOOPBACK then accept

    set policy-options policy-statement EXPORT-BGP term REJECT-REST then reject

     

    Esto garantiza:

    • Solo anuncias lo que quieres
    • Todo lo demás queda bloqueado

     

    ComponenteFunción
    policy-statementNombre de la policy
    termRegla
    fromCondición
    thenAcción
    ordenSe evalúa de arriba hacia abajo

     

    Siempre se termina con un then reject 

     

    -------------------------------------------------------------------------------------------------------------------------


    ¿Qué es un route-filter en Juniper Networks?

    Un route-filter es una condición dentro de una policy que sirve para:

    👉 hacer match de prefijos (redes IP)

    Es decir:

    “aplica esta regla SOLO si la ruta coincide con esta red”

    🔹 Dónde se usa

    Dentro de from en una policy de BGP (o cualquier policy en Junos):

    from route-filter X.X.X.X/XX TIPO

    🔹 Tipos de route-filter (MUY IMPORTANTE)

    Aquí está lo más importante que debes dominar:

    ✅ 1. exact

    👉 Coincide SOLO con esa red exacta

    from route-filter 10.10.10.0/24 exact

    ✔️ Match:

    • 10.10.10.0/24

    ❌ NO match:

    • 10.10.10.0/25
    • 10.10.10.0/16

    ✅ 2. longer

    👉 Coincide con subredes más específicas

    from route-filter 10.10.10.0/24 longer

    ✔️ Match:

    • 10.10.10.0/25
    • 10.10.10.128/25
    • 10.10.10.0/26

    ❌ NO match:

    • 10.10.10.0/24

    ✅ 3. orlonger 🔥 (muy usado)

    👉 Coincide con la red y todas sus subredes

    from route-filter 10.10.10.0/24 orlonger

    ✔️ Match:

    • 10.10.10.0/24
    • 10.10.10.0/25
    • 10.10.10.0/26

    ✅ 4. upto

    👉 Coincide hasta cierto tamaño de máscara

    from route-filter 10.10.0.0/16 upto /24

    ✔️ Match:

    • /16
    • /17
    • /24

    ❌ NO match:

    • /25 en adelante

    ✅ 5. prefix-length-range

    👉 Control total del rango de máscaras

    from route-filter 10.10.0.0/16 prefix-length-range /24-/28

    ✔️ Match:

    • 10.10.X.X/24 hasta /28

    🔹 Ejemplo completo en una policy

    set policy-options policy-statement EXPORT term 1 from route-filter 10.10.0.0/16 orlonger
    set policy-options policy-statement EXPORT term 1 then accept

    set policy-options policy-statement EXPORT term 2 then reject

    👉 Esto significa:

    • Publica toda la red 10.10.0.0/16 y sus subredes
    • Bloquea todo lo demás

    🔹 Ejemplo real (tipo ISP)

    Solo anunciar una red específica:

    from route-filter 200.1.1.0/24 exact

    👉 Esto evita:

    • anunciar redes internas
    • errores de routing (muy crítico en producción)

     

     

    TipoQué hace
    exactSolo esa red
    longerSolo subredes
    orlongerRed + subredes
    uptoHasta cierto prefijo
    prefix-length-rangeRango exacto

     

     --------------------------------------------------------------------------------------------------------------------

      

    ¿Qué es un prefix-list?

    Es básicamente:

    📦 Un grupo (lista) de prefijos que puedes reutilizar en policies

     🔹 Ejemplo de prefix-list

    set policy-options prefix-list MIS-REDES 10.10.10.0/24
    set policy-options prefix-list MIS-REDES 10.20.20.0/24
    set policy-options prefix-list MIS-REDES 192.168.1.0/24

     Aquí creaste una lista con 3 redes

     

    🔹 Cómo usarlo en una policy de BGP 

    set policy-options policy-statement EXPORT term 1 from prefix-list MIS-REDES
    set policy-options policy-statement EXPORT term 1 then accept

    set policy-options policy-statement EXPORT term 2 then reject 

     

    ############################################################################### 

     

     

     

     

     

     

     

     

     

     

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Entradas (Atom)

      ¡Bienvenido/a Si estás aquí, es porque las redes, los cables, los routers y las configuraciones ya no son un misterio… o quizá justo lo ...

    • (sin título)
        ¡Bienvenido/a Si estás aquí, es porque las redes, los cables, los routers y las configuraciones ya no son un misterio… o quizá justo lo ...