在 cSRX 容器防火墙容器上配置流量转发
您可以更改 cSRX 容器防火墙的流量转发模式,以方便在运行 cSRX 容器防火墙时进行安全服务配置。例如,如果内联受保护分段部署 cSRX 容器防火墙容器,则 cSRX 容器防火墙应透明,以避免更改虚拟网络拓扑。在其他部署中,cSRX 容器应该能够指定出口流量的下一跃点地址。为了应对 cSRX 容器防火墙网络部署中的变化,您可以将 cSRX 容器防火墙的流量转发模式配置为在路由模式(仅限静态路由)或安全有线模式下运行。
cSRX 容器防火墙用作 routing
流量转发模式的默认环境变量。
本节包含以下主题:
配置路由模式
在路由模式下运行 cSRX 容器防火墙容器时,cSRX 容器防火墙使用静态路由来转发目的地为接口 ge-0/0/0 和 ge-0/0/1 的路由的流量。您需要创建一个静态路由并指定下一跃点地址。
启动 cSRX 容器时,需要使用变量CSRX_PORT_NUM指定环境中的端口号,以定义需要在路由模式下添加到容器的接口数量。
例如,要通过 17 个接口在路由模式下启动 cSRX 容器防火墙实例,
root@csrx-ubuntu3:~/csrx# docker run -d --privileged --net=none -e CSRX_PORT_NUM=17 CSRX_SIZE=large -e CSRX_HUGEPAGES=no -e CSRX_PACKET_DRIVER=interrupt -e CSRX_FORWARD_MODE=routing --name=<srx-container-name> <csrx-image-name>
在CSRX_PORT_NUM环境变量(默认值为 3)中指定的接口必须在实例化 cSRX 容器防火墙后添加到网络中。除非将所有接口添加到网桥或 macvlan 网络中,否则 PFE 不会在 cSRX 容器防火墙上启动,并且 ge-x/y/z 接口将继续关闭。
在 -e CSRX_FORWARD_MODE=routing
命令中包含 docker run
环境变量,以指示 cSRX 容器防火墙在静态路由转发模式下运行。
将 cSRX 容器防火墙容器配置为在静态路由模式下运行:
配置安全有线模式
在安全有线模式下工作时,到达特定接口(ge-0/0/0 或 ge-0/0/1)上的所有流量都将通过该接口保持不变。这种称为 安全线路的接口映射允许在网络流量路径上部署 cSRX 容器防火墙,无需更改路由表或重新配置相邻设备。在接口对 ge-0/0/0 和 ge-0/0/0/1 之间设置交叉连接,以将互连和互操作性功能 (IIF) 作为输入键,将流量从一个端口引导至另一端口。
在 -e CSRX_FORWARD_MODE=wire
命令中 docker run
包括环境变量,以指示 cSRX 容器防火墙在安全线路转发模式下运行。
在安全有线模式下启动 cSRX 容器防火墙容器时,cSRX 容器防火墙实例会自动在 srxpfe 过程中创建一个名为 csrx_sw 的默认安全线路,并将 ge-0/0/0 和 ge-0/0/1 接口对添加到安全线中。
使用以下命令在安全有线模式下启动 cSRX 容器防火墙实例:
root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e CSRX_FORWARD_MODE="wire" --name=<csrx-container-name> <csrx-image-name>