示例:配置基于过滤器的转发
基于过滤器的转发 (FBF) 也称为 基于策略的路由 (PBR),可根据第 3 层或第 4 层参数提供将 IP 流量路由至不同接口的简单而强大的方法。
FBF 的工作原理是使用防火墙过滤器中的匹配条件来选择某些流量,然后将其定向到给定路由实例,该路由实例指向所需的下一跳跃。为确保下一跳跃可解析,主路由表中的接口路由通过 RIB 组与路由实例中指定的路由表共享。
匹配条件可以包括源或目标 IP 地址、源或目标端口、IP 协议、DSCP 值、TCP 标志、ICMP 类型和数据包长度。
要求
此示例具有以下硬件和软件要求:
MX 系列 5G 通用路由平台作为配置防火墙过滤器的路由设备。
配置了防火墙过滤器的路由设备上运行的 Junos OS 版本 13.3 或更高版本。
概述
此示例显示了在单个设备上设置基于过滤器的转发所需的配置设置。 图 1 显示了 MX 系列路由器上的入口和出口接口,展示了数据包在设备上传输时事件的逻辑流。
入口接口fe-0/0/0上安装了一个称为 “防火墙过滤器”的webFilter过滤器。通过接口到达的数据包根据过滤器中指定的匹配条件进行评估,其逻辑可将 HTTP 和 HTTPS 流量定向到称为的 webtraffic路由实例。此路由实例可完成三项任务:首先,它建立了一个称为 ; webtraffic.inet.0其次,它允许您定义静态路由和下一跳跃;第三,允许您配置将流量转发至下一跳跃的实例(此处在接口 fe-0/0/1上为 192.0.2.2)。
防火墙过滤器 then accept中的术语 2 指定所有非匹配流量都采用不同的路径。我们定义了一个静态路由,下一跳跃为 203.0.113.2,以使此流量通过 fe-0/0/2。路由会自动安装在主路由表 inet.0中。
设置 FBF 的最后一个(逻辑)步骤是确保两个路由均可解析。RIB 组(FBF-rib 在此示例中)使得接口路由 inet.0 可以与 webtraffic.inet.0共享。
有关关注特定用例或多设备拓扑的示例,请参阅相关主题。
配置
程序
CLI 快速配置
同时还提供了在单个设备上创建基于过滤器的转发的复制粘贴和逐步说明。
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。
配置设备以进行基于过滤器的转发
set interfaces fe-0/0/0 unit 0 family inet address 198.51.100.1/24 set interfaces fe-0/0/0 unit 0 family inet filter input webFilter set interfaces fe-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces fe-0/0/2 unit 0 family inet address 203.0.113.1/24 set firewall family inet filter webFilter term 1 from destination-port http set firewall family inet filter webFilter term 1 from destination-port https set firewall family inet filter webFilter term 1 then routing-instance webtraffic set firewall family inet filter webFilter term 2 then accept set routing-instances webtraffic routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 set routing-instances webtraffic instance-type forwarding set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2 set routing-options rib-groups FBF-rib import-rib inet.0 set routing-options rib-groups FBF-rib import-rib webtraffic.inet.0 set routing-options interface-routes rib-group inet FBF-rib
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 Junos OS CLI 用户指南中的配置模式下使用 CLI 编辑器。
要配置设备:
配置入站接口并将防火墙过滤器附加 webFilter 到该接口。
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set filter input webFilter user@device# set address 198.51.100.1/24
配置出站接口,一个用于 Web 流量,另一个用于所有其他流量。
[edit interfaces] user@device# set fe-0/0/1 unit 0 family inet address 192.0.2.1/24 user@device# set fe-0/0/2 unit 0 family inet address 203.0.113.1/24
配置防火墙过滤器,将 Web 流量传递至webtraffic路由实例和所有其他流量。203.0.113.1
[edit firewall family inet filter webFilter] user@device# set term 1 from destination-port http user@device# set term 1 from destination-port https user@device# set term 1 then routing-instance webtraffic user@device# set term 2 then accept
选:通过添加计数器监控防火墙过滤器的流量处理>
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set firewall family inet filter webFilter term 1 then count webtraffic-count
创建路 webtraffic 由实例并配置为将 Web 流量转发至 fe-0/0/1。
[edit routing-instances webtraffic] user@device# set routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 user@device# set instance-type forwarding
为非 Web 流量创建路由(路由自动安装在路由表中 inet.0 )。
[edit routing-options] user@device# set static route 0.0.0.0/0 next-hop 203.0.113.2
创建一个名为的 FBF-ribRIB 组,并对其进行配置,以便 inet.0 与 webtraffic.inet.0路由共享接口路由,然后将路由表组与路由设备的接口关联,然后指定导入哪些接口路由的路由表组。
[edit routing-options] user@device# set rib-groups FBF-rib import-rib inet.0 user@device# set rib-groups FBF-rib import-rib webtraffic.inet.0
将路由表组与路由设备的接口相关联,并指定导入哪些接口路由的路由表组。
[edit routing-options] user@device# set interface-routes rib-group inet FBF-rib
结果
在配置模式下,输入 show firewall、 show routing-instances、 show routing-options和 show interfaces命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
如果完成设备配置,请在配置模式下输入 commit 。
user@device#show interfaces fe-0/0/0unit 0 { family inet { filter { input webFilter; } address 198.51.100.1/24; } } user@device#show interfaces fe-0/0/1unit 0 { family inet { address 192.0.2.1/24; } } user@device#show interfaces fe-0/0/2unit 0 { family inet { address 203.0.113.1/24; } } user@device#show firewallfamily inet { filter webFilter { term 1 { from { destination-port [ http https ]; } then { routing-instance webtraffic; } } term 2 { then accept; } } }
user@device# show routing-options
interface-routes {
rib-group inet FBF-rib;
}
static {
route 0.0.0.0/0 next-hop 203.0.113.2;
}
rib-groups {
FBF-rib {
import-rib [ inet.0 webtraffic.inet.0 ];
}
}
user@device# show routing-instances
webtraffic {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 192.0.2.2;
}
}
}