Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:使用基于过滤器的转发将应用程序流量路由到安全设备

此示例介绍如何在 EX 系列交换机或 QFX10000 上设置基于过滤器的转发。您可以使用防火墙过滤器将匹配的信息流转发至特定虚拟路由实例,从而配置基于过滤器的转发。

要求

此示例适用于运行 Junos OS 9.4 或更高版本的 EX 系列交换机和运行 Junos OS 15.1X53-D10 或更高版本的 QFX10000 交换机。

概述和拓扑

在此示例中,我们会创建一个防火墙过滤器,以匹配从一台应用程序服务器发送到另一台应用程序服务器的流量,该信息流是根据出口源应用程序服务器的数据包的目的地地址 (192.168.0.1) 进行匹配的。匹配的数据包被路由到虚拟路由实例,用于将信息流转发至安全设备,然后将上的流量转发至目标应用程序服务器。

注:

某些瞻博网络交换机上没有基于过滤器的转发与 IPv6 接口配合使用。

配置

要配置基于过滤器的转发:

CLI 快速配置

要在自己的设备上使用此示例,请将以下命令复制到文本文件中,删除换行符,并更改必要的详细信息以适应您的配置。然后将命令复制粘贴到层级的 CLI 中 [edit]

程序

逐步过程

要配置基于过滤器的转发:

  1. 配置接口以连接到应用程序服务器:

  2. 配置接口以连接到安全设备:

  3. 创建一个防火墙过滤器,该过滤器可根据流量从中发送的应用程序服务器地址与数据包匹配。同时配置过滤器,使其仅匹配 TCP 数据包:

  4. 将过滤器应用于连接到源应用程序服务器的接口,并将其配置为匹配传入数据包:

  5. 创建虚拟路由器:

  6. 将虚拟路由器与连接到安全设备的接口相关联:

  7. 为虚拟路由实例配置路由信息:

  8. 将过滤器设置为将数据包转发至虚拟路由器:

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证是否配置了基于过滤器的转发

目的

验证交换机上是否正确启用了基于过滤器的转发。

行动

  1. 使用 命令 show interfaces filters

  2. 使用 命令 show route forwarding-table

意义

输出表示过滤器是在接口上创建的,并且虚拟路由实例正在将匹配的信息流转发至正确的 IP 地址。