Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置基于过滤器的转发到特定传出接口或目标 IP 地址

了解基于过滤器的转发到特定传出接口或目标 IP 地址

基于策略的路由(也称为基于过滤器的转发)指的是应用于接口的防火墙过滤器,用于匹配某些 IP 报头特征,并仅路由那些匹配的数据包,而通常转.

从 Junos OS 版本12.2 开始,您可以在then next-interface防火墙过滤器then next-ip6使用、 then next-ip或作为操作。从特定的匹配条件、IPv4 和 IPv6 地址或接口名称可指定为对匹配项的响应操作。

匹配条件集可能如下:

  • 第3层属性(例如,来源或目标 IP 地址或 TOS 字节)

  • 第4层属性(例如,源或目标端口)

路由表中必须存在给定 IPv4 或 IPv6 地址的路由才能使基于策略的路由生效。同样,通过给定接口的路由必须存在于转发表中, next-interface才能使操作生效。这可以通过配置内部网关协议(IGP)(如 OSPF 或 IS-IS)来实现,以通告第3层路由。

防火墙过滤器与条件相匹配,并将数据包转发至以下某一项:

  • IPv4 地址(使用next-ip防火墙过滤器操作)

  • IPv6 地址(使用next-ip6防火墙过滤器操作)

  • 接口(使用next-interface防火墙过滤器操作)

例如,假设您希望为客户提供服务,并且服务驻留在不同的服务器上。服务示例可能托管 DNS 或托管 FTP。随着客户流量到达瞻博网络路由设备,您可以使用基于过滤器的转发将信息流发送至服务器,方法是对 MAC 地址或 IP 地址或只是传入接口应用匹配条件,然后将数据包发送至特定与相应服务器相关联的传出接口。某些目标可能是 IPv4 或 IPv6 地址,在这种情况下, next-ipnext-ip6操作很有用。

或者,您可以将传出接口或 IP 地址与路由实例相关联。

例如:

示例:配置基于过滤器的转发到特定输出接口

此示例显示如何在防火墙then next-interface过滤器中用作操作。

要求

此示例具有以下硬件和软件要求:

  • MX 系列5G 通用路由平台(配置有防火墙过滤器的路由设备)。

  • 配置了防火墙过滤器的路由设备上运行 Junos OS 版本12.2。

  • 带有next-interface (或next-ip)操作的过滤器只能应用于在 Trio MPC 上托管的接口。如果将过滤器应用于基于 I 芯片的 DPC,提交操作将失败。

  • next-interface interface-name操作中所指的输出接口可托管在 Trio MPC 或基于 I 芯片的 DPC 上。

概述

在此示例中,设备 R1 配置了两个回传接口地址:172.16.1.1 和172.16.2.2。

在设备 R2 上,防火墙过滤器配置了多个术语。每个术语都与传入流量中的一个源地址匹配,并将流量路由到指定的传出接口。输出接口在设备 R2 和设备 R3 之间配置为 VLAN 标记接口。

IS-IS 用于设备之间的连接。

图 1显示了此示例中使用的拓扑。

图 1: 基于过滤器的转发到指定的输出接口基于过滤器的转发到指定的输出接口

此示例显示设备 R2 上的配置。

拓扑

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。

设备 R2

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关导航应用程序CLI,请参阅 在配置模式中使用 CLI 编辑器 Junos OS CLI 指南

配置设备 R2:

  1. 配置接口。

  2. 配置防火墙过滤器。

  3. 在接口上启用 IS-IS。

成果

从配置模式,输入show interfacesshow firewallshow protocols命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

检查使用的路径

用途

确保将流量从设备 R1 发送到设备 R 4 时使用预期的路径。

行动

在设备 R1 上,输入traceroute 命令。

含义

输出显示,第二个跳跃会发生变化,具体取决于traceroute命令中使用的源地址。

要验证此功能,请在设备 R1 上执行设备 R 4 的 traceroute 操作。当源 IP 地址172.16.1.1 时,数据包将在设备 R2 上转发出去的 ge/1/1.0 接口。当源 IP 地址172.16.2.2 时,数据包将转发出设备 R2 上的 ge/1/1.1 接口。

示例:配置基于过滤器的转发到特定目标 IP 地址

此示例显示如何在防火墙then next-ip过滤器中用作操作。

要求

此示例具有以下硬件和软件要求:

  • MX 系列5G 通用路由平台(配置有防火墙过滤器的路由设备)。

  • 配置了防火墙过滤器的路由设备上运行 Junos OS 版本12.2。

  • 带有next-interface (或next-ip)操作的过滤器只能应用于在 Trio MPC 上托管的接口。如果将过滤器应用于基于 I 芯片的 DPC,提交操作将失败。

  • 下接口名称操作中引用的传出接口可托管在 Trio MPC 或基于 I 芯片的 DPC 上。

概述

在此示例中,设备 R2 有两个路由实例,它们与物理链路互连。来自特定源的流量需要通过上部链路进行检查,以便通过流量优化器进行检测,这对 IP 层透明地起作用。当流量优化器发生故障时,流量将移至下部链路。R1>R3 和 R3>R1 方向的流遵循相同的路径。

图 2显示了此示例中使用的拓扑。

图 2: 基于过滤器的转发到指定的输出接口基于过滤器的转发到指定的输出接口

在设备 R2 上,防火墙过滤器在输入方向上应用于接口 ge-1/0/8。第二项与特定源地址相匹配,即 10.0.0.0/24,并将信息流路由为地址192.168.0.3。此地址可解析为下一中继站192.168.20.2。如果连接到接口 ge-1/1/0 的链路断开,地址192.168.0.3 将解析为下一跳跃192.168.30.2。

在设备 R2 上,防火墙过滤器适用于输入方向上的接口 ge-1/0/0。第二项与特定目标地址 10.0.0.0/24 匹配,并将流量路由到192.168.0.2。此地址可解析为下一中继站192.168.20.1。如果连接到接口 ge-1/3/8 的链路中断,则地址192.168.0.2 将解析为下一跳跃192.168.30.1。

注:

使用该next-ip操作配置的地址不会自动解析。在以太网接口上,假定已配置地址使用路由协议或静态路由进行解析。

设备 R2-VR1 和 Device R2-VR2 之间使用内部 BGP (IBGP)。外部 BGP (EBGP)用于设备 R1 和设备 R2-VR1 之间,以及设备 R2-VR2 和设备 R3 之间。

BGP 操作按如下方式进行:

  • VR1 从 R1 学习10/8,从1开始,0/0 从 R2-VR2。

  • VR2 从 R3 学习0/0,从 VR1 获得10/8。

  • R1 公布10/8,并从 VR1 获得0/0。

  • R3 公布0/0,并从 VR2 获得10/8。

应用于设备 R2 的防火墙过滤器需要允许直接连接的接口的控制平面流量,在本例中为 EBGP 会话。

此示例显示设备 R2 上的配置。

拓扑

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。

设备 R1

设备 R2

设备 R3

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关导航应用程序CLI,请参阅 在配置模式中使用 CLI 编辑器 Junos OS CLI 指南

配置设备 R2:

  1. 配置接口。

  2. 配置路由实例。

  3. 配置静态和 BGP 路由。

  4. 配置防火墙过滤器。

  5. 配置路由策略。

成果

从配置模式,输入show interfacesshow firewallshow protocols命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

检查使用的路径

用途

确保在从设备 R1 向设备 R3 发送流量时使用预期的路径。

行动

在设备 R1 上,在traceroute链路故障前后输入命令

在流量优化程序失败之前

信息流优化器失败后

含义

输出显示,第二个跳跃会发生变化,具体取决于traceroute命令中使用的源地址。

要验证此功能,请在设备 R1 上对设备 R3 执行 traceroute 操作。当源 IP 地址为10.0.0.1 时,数据包将转发出设备 R2 上的 ge-1/1/0.0 接口。当源 IP 地址10.1.0.1 时,数据包将在设备 R2 上转发出去的 ge-1/1/1.0 接口。

当 ge-1/1/0 和 ge-1/3/8 发生故障时,带有源 IP 地址10.0.0.1 的数据包将在设备 R2 上转发到 ge-1/1/1.0 接口。