Nesta página
Exemplo: Configuração do encaminhamento baseado em filtro
O encaminhamento baseado em filtro (FBF), que também é chamado de roteamento baseado em políticas (PBR), fornece uma maneira simples, mas poderosa de rotear o tráfego IP para diferentes interfaces com base em parâmetros de Camada 3 ou Camada 4.
A FBF funciona usando condições de correspondência em um filtro de firewall para selecionar determinado tráfego e depois direcioná-lo a uma determinada instância de roteamento que aponta para o próximo salto desejado. Para garantir que o próximo salto seja resolvível, as rotas de interface da tabela de roteamento principal são compartilhadas pelo grupo RIB com a(s) tabela(s) de roteamento(s) especificada na(s) instância(s) de roteamento(s).
As condições de correspondência podem incluir o endereço IP de origem ou destino, porta de origem ou destino, protocolo IP, valor de DSCP, bandeira TCP, tipo ICMP e comprimento do pacote.
Requisitos
Este exemplo tem os seguintes requisitos de hardware e software:
Plataforma de roteamento universal 5G da Série MX como dispositivo de roteamento com o filtro de firewall configurado.
Junos OS Release 13.3 ou posterior no dispositivo de roteamento com o filtro de firewall configurado.
Visão geral
Este exemplo mostra as configurações que você precisa para configurar o encaminhamento baseado em filtro em um único dispositivo. Figura 1 mostra as interfaces de entrada e saída em um roteador da Série MX e ilustra o fluxo lógico de eventos à medida que os pacotes atravessam o dispositivo.
Um filtro de firewall chamado é anexado à interface de entrada. webFilterfe-0/0/0 Os pacotes que chegam pela interface são avaliados em relação às condições de correspondência especificadas no filtro, a lógica da qual direciona o tráfego HTTP e HTTPS para uma instância de roteamento chamada .webtraffic Esta instância de roteamento realiza três coisas: primeiro, estabelece uma tabela de roteamento chamada ; segundo, ela permite definir uma rota estática e um próximo salto; e terceiro, permite configurar a instância para encaminhar tráfego para o próximo salto (aqui, 192.0.2.2 na interface ).webtraffic.inet.0fe-0/0/1
O termo 2 no filtro de firewall especifica que todo o tráfego sem correspondência toma um caminho diferente.then accept Definimos uma rota estática com o próximo salto de 203.0.113.2 para que esse tráfego entre na saída do dispositivo por .fe-0/0/2 A rota é instalada automaticamente na tabela de roteamento mestre. inet.0
A última etapa (lógica) na configuração da FBF é garantir que ambas as rotas sejam resolvíveis. O grupo RIB ( neste exemplo) faz com que as rotas de interface possam ser compartilhadas com .FBF-ribinet.0webtraffic.inet.0
Para exemplos que se concentram em um caso de uso específico ou topologias multi-dispositivos, veja os Tópicos relacionados.
Configuração
Procedimento
Configuração rápida da CLI
Tanto instruções de cola de cópia quanto passo a passo para a criação de encaminhamento baseado em filtro em um único dispositivo são fornecidas.
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia.[edit]
Configure um dispositivo para encaminhamento baseado em filtros
set interfaces fe-0/0/0 unit 0 family inet address 198.51.100.1/24 set interfaces fe-0/0/0 unit 0 family inet filter input webFilter set interfaces fe-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces fe-0/0/2 unit 0 family inet address 203.0.113.1/24 set firewall family inet filter webFilter term 1 from destination-port http set firewall family inet filter webFilter term 1 from destination-port https set firewall family inet filter webFilter term 1 then routing-instance webtraffic set firewall family inet filter webFilter term 2 then accept set routing-instances webtraffic routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 set routing-instances webtraffic instance-type forwarding set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2 set routing-options rib-groups FBF-rib import-rib inet.0 set routing-options rib-groups FBF-rib import-rib webtraffic.inet.0 set routing-options interface-routes rib-group inet FBF-rib
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.Use o editor de CLI no modo de configuraçãohttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar o dispositivo:
Configure a interface de entrada e anexe o filtro de firewall a ela.webFilter
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set filter input webFilter user@device# set address 198.51.100.1/24
Configure as interfaces de saída, uma para tráfego Web e outra para todos os outros tráfegos.
[edit interfaces] user@device# set fe-0/0/1 unit 0 family inet address 192.0.2.1/24 user@device# set fe-0/0/2 unit 0 family inet address 203.0.113.1/24
Configure o filtro de firewall para passar o tráfego da Web para a instância de roteamento e todos os outros tráfegos para .webtraffic203.0.113.1
[edit firewall family inet filter webFilter] user@device# set term 1 from destination-port http user@device# set term 1 from destination-port https user@device# set term 1 then routing-instance webtraffic user@device# set term 2 then accept
Opcional: Monitore o manuseio de tráfego do filtro de firewall adicionando um contador>
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set firewall family inet filter webFilter term 1 then count webtraffic-count
Crie a instância de roteamento e configure-a para encaminhar o tráfego da Web para .webtrafficfe-0/0/1
[edit routing-instances webtraffic] user@device# set routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 user@device# set instance-type forwarding
Crie uma rota para tráfego não Web (a rota é instalada automaticamente na tabela de roteamento).inet.0
[edit routing-options] user@device# set static route 0.0.0.0/0 next-hop 203.0.113.2
Crie um grupo RIB chamado , e configure-o para compartilhar rotas de interface com , e depois associe um grupo de tabela de roteamento com as interfaces do dispositivo de roteamento e especifique grupos de tabela de roteamento em quais rotas de interface são importadas..FBF-ribinet.0webtraffic.inet.0
[edit routing-options] user@device# set rib-groups FBF-rib import-rib inet.0 user@device# set rib-groups FBF-rib import-rib webtraffic.inet.0
Associe um grupo de tabela de roteamento com as interfaces do dispositivo de roteamento e especifique grupos de tabela de roteamento em quais rotas de interface são importadas.
[edit routing-options] user@device# set interface-routes rib-group inet FBF-rib
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os comandos , e ,show firewallshow routing-instancesshow routing-optionsshow interfaces Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Se você terminar de configurar o dispositivo, entre no modo de configuração.commit
user@device#show interfaces fe-0/0/0unit 0 { family inet { filter { input webFilter; } address 198.51.100.1/24; } } user@device#show interfaces fe-0/0/1unit 0 { family inet { address 192.0.2.1/24; } } user@device#show interfaces fe-0/0/2unit 0 { family inet { address 203.0.113.1/24; } } user@device#show firewallfamily inet { filter webFilter { term 1 { from { destination-port [ http https ]; } then { routing-instance webtraffic; } } term 2 { then accept; } } }
user@device# show routing-options
interface-routes {
rib-group inet FBF-rib;
}
static {
route 0.0.0.0/0 next-hop 203.0.113.2;
}
rib-groups {
FBF-rib {
import-rib [ inet.0 webtraffic.inet.0 ];
}
}
user@device# show routing-instances
webtraffic {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 192.0.2.2;
}
}
}