Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在源地址上配置基于过滤器的转发

此示例说明如何配置基于过滤器的转发 (FBF),有时也称为基于策略的路由 (PBR)。过滤器对数据包进行分类,以确定其在入口路由设备中的转发路径。

IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 支持基于过滤器的转发。

要求

此示例不需要除设备初始化之外的特殊配置。

概述

在此示例中,当客户具有由不同 ISP 提供的互联网连接但共享一个公共访问层时,我们使用 FBF 进行服务提供商选择。使用共享介质(如电缆调制解调器)时,公共接入层上的机制会查看第 2 层或第 3 层地址,并区分客户。当使用第 2 层交换机和单个路由器的组合来实施公共接入层时,您可以使用基于过滤器的转发。

使用 FBF 时,将考虑接口上接收的所有数据包。每个数据包都通过具有匹配条件的过滤器。如果满足过滤器的匹配条件,并且您已经创建了路由实例,则 FBF 将应用于数据包。数据包根据路由实例中指定的下一跃点进行转发。对于静态路由,下一跃点可以是特定的 LSP。

注:

为 FBF 配置的接口不支持源类用法过滤器匹配和单播反向路径转发检查。

要配置 FBF,请执行以下操作:

  • 在入口设备上创建匹配过滤器。要指定匹配筛选器,请在层次结构级别包含语句。filter filter-name[edit firewall] 将通过过滤器的数据包与一组规则进行比较,以对其进行分类并确定其在一组数据包中的成员身份。分类后,数据包将以过滤器描述语言转发到在接受操作中指定的路由表。然后,路由表将数据包转发到与表中的目标地址条目对应的下一跃点。

  • 创建路由实例,用于指定数据包转发到的路由表,以及在层次结构级别上 将数据包转发到的目标。[edit routing-instances] 例如:

  • 创建 RIB 组,以便与基于过滤器的转发 (FBF) 中使用的转发路由实例共享接口路由。这部分配置将路由实例中安装的路由解析为直接连接到该接口上的下一跃点。在 层次结构级别创建路由表组。[edit routing-options]

此示例显示了一个数据包过滤器,该过滤器根据数据包的源地址将客户流量定向到域 SP1 或 SP2 中的下一跃点路由器。

如果数据包的源地址已分配给 SP1 客户,则使用 sp1-route-table.inet.0 路由表进行基于目标的转发。如果数据包的源地址分配给了 SP2 客户,则使用 sp2-route-table.inet.0 路由表进行基于目标的转发。如果数据包不符合上述任一条件,过滤器将接受数据包,并使用标准 inet.0 路由表进行基于目标的转发。

拓扑

图 1 显示了此示例中使用的拓扑。

在设备 P1 上,输入过滤器对从设备 PE3 和设备 PE4 接收的数据包进行分类。数据包基于源地址进行路由。源地址在 10.1.1.0/24 和 10.1.2.0/24 网络中的数据包将路由到设备 PE1。源地址在 10.2.1.0/24 和 10.2.2.0/24 网络中的数据包将路由到设备 PE2。

图 1: 基于过滤器的转发基于过滤器的转发

要建立连接,必须在所有接口上配置 OSPF。出于演示目的,在路由设备上配置环路接口地址以表示云中的网络。

该 部分显示拓扑中所有设备的完整配置。CLI 快速配置本 部分显示入口路由设备设备 P1 的分步配置。在设备 P1 上配置基于过滤器的转发

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI 中。[edit]

设备 P1

设备 P2

设备 PE1

设备 PE2

设备 PE3

设备 PE4

在 P1 上配置防火墙过滤器

分步过程

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。在配置模式下使用 CLI 编辑器https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

要在主路由器或交换机上配置防火墙过滤器:

  1. 配置 SP1 客户的源地址。

  2. 配置接收具有指定源地址的数据包时执行的操作;它们将被记录下来,并传递到 SP1-route-table 路由实例,以便通过 SP1-route-table.inet.0 路由表进行路由。

  3. 配置 SP2 客户的源地址。

  4. 配置接收具有指定源地址的数据包时执行的操作;它们将被记录下来,并传递到 SP2-route-table 路由实例,以便通过 sp2-route-table.inet.0 路由表进行路由。

  5. 配置从任何其他源地址接收数据包时要执行的操作;使用默认 IPv4 单播路由表 inet.0 接受和路由它们。

在设备 P1 上配置基于过滤器的转发

分步过程

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。在配置模式下使用 CLI 编辑器https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

要配置路由实例:

  1. 配置接口。

  2. 将 防火墙过滤器分配给路由器接口 fe-1/2/0.0 作为输入数据包过滤器。classify-customers

  3. 使用路由协议或静态路由配置连接。

    最佳做法是在管理接口上禁用路由。

  4. 创建防火墙过滤器中引用的 路由实例。classify-customers 转发实例类型支持基于筛选条件的转发,其中接口不与实例关联。

  5. 对于每个路由实例,定义一个默认路由以将流量转发到指定的下一跃点(此示例中为 PE1 和 PE2)。

  6. 关联路由表以形成路由表组。第一个路由表 inet.0 是主路由表,其他是辅助路由表。主路由表确定路由表组(在本例中为 IPv4)的地址族。

  7. 在 OSPF 配置中指定 fbf 组路由表组,以将 OSPF 路由安装到三个路由表中。

  8. 完成后提交配置。

成果

通过发出 、 、 和 命令来确认您的配置。show interfacesshow firewallshow protocolsshow routing-instancesshow routing-options

验证

确认配置工作正常。

使用指定的源地址执行 ping 操作

目的

通过网络发送一些 ICMP 数据包以测试防火墙过滤器。

操作

  1. 运行命令,对设备 PE1 上的 lo0.0 接口执行 ping 操作。ping

    此接口上配置的地址为 172.16.1.1。

    指定源地址 10.1.2.1,即在设备 PE3 上的 lo0.0 接口上配置的地址。

  2. 运行命令,对设备 PE2 上的 lo0.0 接口执行 ping 操作。ping

    此接口上配置的地址为 172.16.2.2。

    指定源地址 10.2.1.1,即在设备 PE4 上的 lo0.0 接口上配置的地址。

意义

发送这些 ping 将激活防火墙过滤器操作。

验证防火墙过滤器

目的

确保防火墙过滤器操作生效。

操作

  1. 在设备 P1 上运行命令。show firewall log