Exemplo: Usando o encaminhamento baseado em filtro para rotear o tráfego de aplicativos para um dispositivo de segurança
Este exemplo descreve como configurar o encaminhamento baseado em filtro em switches da Série EX ou em uma QFX10000. Você pode configurar o encaminhamento baseado em filtro usando um filtro de firewall para encaminhar o tráfego combinado a uma instância de roteamento virtual específica.
Requisitos
Este exemplo se aplica aos switches da Série EX que executam o Junos OS Release 9.4 ou posteriores, e QFX10000 switches que executam o Junos OS Release 15.1X53-D10 ou posteriores.
Visão geral e topologia
Neste exemplo, criamos um filtro de firewall para combinar o tráfego que está sendo enviado de um servidor de aplicativo para outro de acordo com o endereço de destino (192.168.0.1) de pacotes de saída do servidor de aplicativo de origem. Os pacotes correspondentes são roteados para uma instância de roteamento virtual que encaminha o tráfego para um dispositivo de segurança, que depois encaminha o tráfego para o servidor de aplicativo de destino.
O encaminhamento baseado em filtros não funciona com interfaces IPv6 em alguns switches da Juniper.
Configuração
Para configurar o encaminhamento baseado em filtro:
Configuração rápida da CLI
Para usar este exemplo em seu próprio dispositivo, copie os seguintes comandos em um arquivo de texto, remova as quebras de linha e altere os detalhes necessários para se adequar à sua configuração. Em seguida, copie e cole os comandos em sua CLI no nível de [edit]
hierarquia.
[edit] set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24 set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32 set firewall family inet filter f1 term t1 from protocol tcp set interfaces xe-0/0/0 unit 0 family inet filter input f1 set routing-instances vrf01 instance-type virtual-router set routing-instances vrf01 interface xe-0/0/3.0 set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254 set firewall family inet filter f1 term t1 then routing-instance vrf01
Procedimento
Procedimento passo a passo
Para configurar o encaminhamento baseado em filtro:
Configure uma interface para se conectar ao servidor do aplicativo:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
Configure uma interface para se conectar ao dispositivo de segurança:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
Crie um filtro de firewall que corresponda a pacotes com base no endereço do servidor do aplicativo de onde o tráfego será enviado. Configure também o filtro para que ele corresponda apenas aos pacotes TCP:
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
Aplique o filtro na interface que se conecta ao servidor de aplicativo de origem e configure-o para combinar com pacotes de entrada:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
Crie um roteador virtual:
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
Associe o roteador virtual com a interface que se conecta ao dispositivo de segurança:
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
Configure as informações de roteamento para a instância de roteamento virtual:
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
Defina o filtro para encaminhar pacotes ao roteador virtual:
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
Resultados
Confira os resultados da configuração:
user@switch> show configuration interfaces { xe-0/0/0 { unit 0 { family inet { filter { input f1; } address 10.1.0.1/24; } } } xe-0/0/3 { unit 0 { family inet { address 10.1.3.1/24; } } } } firewall { family inet { filter f1 { term t1 { from { source-address { 10.1.0.50/32; } protocol tcp; } then { routing-instance vrf01; } } } } } routing-instances { vrf01 { instance-type virtual-router; interface xe-0/0/3.0; routing-options { static { route 192.168.0.1/24 next-hop 10.1.3.254; } } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificar se o encaminhamento baseado em filtro foi configurado
Propósito
Verifique se o encaminhamento baseado em filtro foi devidamente habilitado no switch.
Ação
Use o
show interfaces filters
comando:user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
Use o
show route forwarding-table
comando:user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
Significado
A saída indica que o filtro foi criado na interface e que a instância de roteamento virtual está encaminhando tráfego correspondente ao endereço IP correto.