Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在源地址上配置基于过滤器的转发

此示例显示如何配置基于过滤器的转发(FBF),有时也称为基于策略的路由(.PBR)。过滤器会将数据包分类,以确定它们在入口路由设备内的转发路径。

IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 支持基于过滤器的转发。

要求

本示例不需要设备初始化之外的特殊配置。

概述

在此示例中,当客户具有不同 Isp 提供的互联网连接但共享通用接入层时,我们将使用 FBF 进行服务提供商选择。使用共享介质(如电缆调制解调器)时,通用接入层上的机制会查看第 2 层或第 3 层地址并区分客户。当通用接入层使用第 2 层交换机和单个路由器组合实施时,您可以使用基于过滤器的转发。

借助 FBF,可考虑接口上接收的所有数据包。每个数据包通过具有匹配条件的过滤器。如果满足过滤器的匹配条件,并且已创建路由实例,FBF 将应用于该数据包。数据包将根据路由实例中指定的下一跳跃转发。对于静态路由,下一跳跃可以是特定 LSP。

注:

为 FBF 配置的接口不支持源类使用情况过滤器匹配和单播反向路径转发检查。

要配置 FBF,请执行以下任务:

  • 在入口设备上创建匹配过滤器。要指定匹配过滤器,请将filter filter-name语句包含在[edit firewall]层次结构级别。经过过滤器的数据包将与一组规则进行比较,以便对其进行分类并确定其在一组中的成员。分类后,数据包将转发到在过滤器描述语言的 "接受" 操作中指定的路由表中。然后,路由表将数据包转发到与表中的目标地址条目对应的下一跳跃。

  • 创建路由实例,用于指定要转发数据包的路由表,以及数据包在[edit routing-instances]层次结构级别转发的目的地。例如:

  • 创建一个 RIB 组,以便与基于过滤器的转发(FBF)中使用的转发路由实例共享接口路由。这部分配置可将路由实例中安装的路由解析为直接连接该接口上的下一个跃点。在[edit routing-options]层次结构级别创建路由表组。

此示例显示了一个包过滤器,根据数据包的源地址,将客户信息流引导至域的下一跳跃路由器 SP1 或 SP2。

如果数据包具有分配给 SP1 客户的源地址,基于目的地的转发将使用 sp1 路由表进行。 inet 路由表。如果数据包具有分配给 SP2 客户的源地址,基于目的地的转发将使用 sp2 路由表 inet 路由表。如果数据包不符合上述任何条件,过滤器将接受数据包,基于目的地的转发将使用标准 inet 路由表进行。

拓扑

图 1显示了此示例中使用的拓扑。

在设备 P1 上,输入过滤器会对从设备 PE3 和设备 PE4 接收的数据包进行分类。数据包基于源地址路由。10.1.1.0/24 和 10.1.2.0/24 网络中具有源地址的数据包将路由到设备 PE1。10.2.1.0/24 和 10.2.2.0/24 网络中具有源地址的数据包将路由到设备 PE2。

图 1: 基于过滤器的转发基于过滤器的转发

要建立连接,请在所有接口上配置 OSPF。出于演示目的,在路由设备上配置回传接口地址以表示云中的网络。

CLI 快速配置部分显示了拓扑中所有设备的完整配置。本在设备 P1 上配置基于过滤器的转发部分显示了入口路由设备的逐步配置:设备 P1。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。

设备 P1

设备 P2

设备 PE1

设备 PE2

设备 PE3

设备 PE4

在 P1 上配置防火墙过滤器

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 Junos OS CLI 指南 中的 在配置模式下使用 CLI编辑器

要在主路由器或交换机上配置防火墙过滤器:

  1. 配置 SP1 客户的源地址。

  2. 配置接收指定源地址的数据包时采取的操作;它们将被记录,并通过 sp1 路由表传递到 sp1 路由表路由实例以进行路由。 inet 路由表。

  3. 为 SP2 客户配置源地址。

  4. 配置接收指定源地址的数据包时采取的操作;它们将被记录,并通过 sp2 路由表发送到 sp2 路由表路由实例以进行路由。 inet 路由表。

  5. 配置从任何其他源地址接收数据包时执行的操作;它们使用默认的 IPv4 单播路由表(inet)接受并路由。

在设备 P1 上配置基于过滤器的转发

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 Junos OS CLI 指南 中的 在配置模式下使用 CLI编辑器

要配置路由实例:

  1. 配置接口。

  2. classify-customers防火墙过滤器分配给路由器接口 fe-1/2/0.0 作为输入数据包过滤器。

  3. 使用路由协议或静态路由配置连接。

    作为优秀实践,请禁用管理接口上的路由。

  4. 创建在classify-customers防火墙过滤器中引用的路由实例。转发实例类型为基于过滤器的转发提供支持,其中接口与实例无关。

  5. 对于每个路由实例,定义将流量转发至指定下一跃点(在此示例中为 PE1 和 PE2)的默认路由。

  6. 关联路由表以形成路由表组。第一个路由表 inet 是主路由表,而另一个则是辅助路由表。主路由表确定路由表组的地址族,在本例中为 IPv4。

  7. 在 OSPF 配置内指定 fbf 组路由表组,以便将 OSPF 路由安装到三个路由表中。

  8. 完成后提交配置。

成果

发出show interfacesshow firewallshow protocolsshow routing-options 、、和命令确认您的配置。 show routing-instances

针对

确认配置是否正常工作。

Ping 指定的源地址

用途

通过网络发送某些 ICMP 数据包以测试防火墙过滤器。

行动

  1. 运行ping命令,PING 设备 PE1 上的 lo 0.0 接口。

    在此接口上配置的地址172.16.1.1。

    指定源地址10.1.2.1,这是在设备 PE3 上的 lo 0.0 接口上配置的地址。

  2. 运行ping命令,PING 设备 PE2 上的 lo 0.0 接口。

    在此接口上配置的地址172.16.2.2。

    指定源地址10.2.1.1,这是在设备 PE4 上的 lo 0.0 接口上配置的地址。

含义

发送这些 ping 将激活防火墙过滤器操作。

验证防火墙过滤器

用途

确保防火墙过滤操作生效。

行动

  1. 在设备show firewall log P1 上运行命令。