Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置到特定传出接口或目标 IP 地址的基于过滤器的转发

了解到特定传出接口或目标 IP 地址的基于过滤器的转发

基于策略的路由(也称为基于过滤器的转发)是指使用应用于接口的防火墙过滤器来匹配某些 IP 标头特征,并仅路由与数据包通常路由方式不同的匹配数据包。

从 Junos OS 12.2 版开始,您可以使用 then next-interfacethen next-ipthen next-ip6 作为 防火墙过滤器中的操作。根据特定的匹配条件,可以将 IPv4 和 IPv6 地址或接口名称指定为匹配的响应操作。

匹配条件集可以如下所示:

  • 第 3 层属性(例如,源或目标 IP 地址或 TOS 字节)

  • 第 4 层属性(例如,源端口或目标端口)

给定 IPv4 或 IPv6 地址的路由必须存在于路由表中,基于策略的路由才能生效。同样,通过给定接口的路由必须存在于转发表中, next-interface 操作才能生效。这可以通过配置内部网关协议 (IGP)(例如 OSPF 或 IS-IS)来通告第 3 层路由来实现。

防火墙过滤器匹配条件并将数据包转发到以下条件之一:

  • IPv4 地址(使用 next-ip 防火墙过滤器操作)

  • IPv6 地址(使用 next-ip6 防火墙过滤器操作)

  • 接口(使用 next-interface 防火墙过滤器操作)

例如,假设您要向客户提供服务,而这些服务驻留在不同的服务器上。服务的示例可能是托管 DNS 或托管 FTP。当客户流量到达瞻博网络路由设备时,您可以使用基于过滤器的转发将流量发送到服务器,方法是对 MAC 地址或 IP 地址或仅对传入接口应用匹配条件,然后将数据包发送到与相应服务器关联的特定传出接口。您的某些目标可能是 IPv4 或 IPv6 地址,在这种情况下, next-ipnext-ip6 操作很有用。

或者,您可以将传出接口或 IP 地址与路由实例相关联。

例如:

示例:配置到特定传出接口的基于过滤器的转发

此示例说明如何在防火墙过滤器中用作 then next-interface 操作。

要求

此示例具有以下硬件和软件要求:

  • MX 系列 5G 通用路由平台作为配置了防火墙过滤器的路由设备。

  • 在配置了防火墙过滤器的路由设备上运行的 Junos OS 12.2 版。

  • 带有 next-interface (或 next-ip) 操作的过滤器只能应用于托管在 Trio MPC 上的接口。如果将筛选器应用于基于 I 芯片的 DPC,则提交操作将失败。

  • 操作中 next-interface interface-name 提到的传出接口可以托管在 Trio MPC 或基于 I 芯片的 DPC 上。

概述

在此示例中,设备 R1 配置了两个环路接口地址:172.16.1.1 和 172.16.2.2.

在设备 R2 上,防火墙过滤器配置了多个术语。每个术语都匹配传入流量中的一个源地址,并将流量路由到指定的传出接口。传出接口配置为设备 R2 和设备 R3 之间的 VLAN 标记接口。

IS-IS 用于设备之间的连接。

图 1 显示了此示例中使用的拓扑。

图 1: 基于过滤器的转发到指定的传出接口基于过滤器的转发到指定的传出接口

此示例显示了设备 R2 上的配置。

拓扑学

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。

设备 R2

分步过程

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器Junos OS CLI 用户指南

要配置设备 R2:

  1. 配置接口。

  2. 配置防火墙过滤器。

  3. 在接口上启用 IS-IS。

结果

在配置模式下,输入 show interfacesshow firewallshow protocols 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

检查使用的路径

目的

确保在将流量从设备 R1 发送到设备 R4 时使用预期的路径。

操作

在设备 R1 上,输入 traceroute 命令。

意义

输出显示第二个跃点会根据命令中使用的 traceroute 源地址而更改。

为了验证此功能,将在设备 R1 到设备 R4 上执行跟踪路由操作。当源 IP 地址为 172.16.1.1 时,数据包将通过设备 R2 上的 ge-2/1/1.0 接口转发出去。当源 IP 地址为 172.16.2.2 时,数据包将通过设备 R2 上的 ge-2/1/1.1 接口转发出去。

示例:配置到特定目标 IP 地址的基于过滤器的转发

此示例说明如何在防火墙过滤器中用作 then next-ip 操作。

要求

此示例具有以下硬件和软件要求:

  • MX 系列 5G 通用路由平台作为配置了防火墙过滤器的路由设备。

  • 在配置了防火墙过滤器的路由设备上运行的 Junos OS 12.2 版。

  • 带有 next-interface (或 next-ip) 操作的过滤器只能应用于托管在 Trio MPC 上的接口。如果将筛选器应用于基于 I 芯片的 DPC,则提交操作将失败。

  • 下一个接口接口名称操作中引用的传出接口可以托管在 Trio MPC 或基于 I 芯片的 DPC 上。

概述

在此示例中,设备 R2 具有两个与物理链路互连的路由实例。来自某些来源的流量需要通过上层链路进行定向,以便流量优化器进行检查,该优化器在 IP 层上透明地运行。当流量优化器发生故障时,流量将移动到较低的链路。R1>R3 和 R3>R1 方向的流量遵循相同的路径。

图 2 显示了此示例中使用的拓扑。

图 2: 基于过滤器的转发到指定的传出接口基于过滤器的转发到指定的传出接口

在设备 R2 上,防火墙过滤器应用于输入方向上的接口 ge-1/0/8。第二个术语匹配特定源地址 10.0.0.0/24,并将流量路由到地址 192.168.0.3。此地址解析为下一跃点 192.168.20.2。如果连接到接口 ge-1/1/0 的链路断开,地址 192.168.0.3 将解析为下一跃点 192.168.30.2。

在设备 R2 上,防火墙过滤器应用于输入方向上的接口 ge-1/0/0。第二个术语匹配特定目标地址 10.0.0.0/24,并将流量路由到地址 192.168.0.2。此地址解析为下一跃点 192.168.20.1。如果连接到接口 ge-1/3/8 的链路断开,地址 192.168.0.2 将解析为下一跃点 192.168.30.1。

注:

使用该操作配置 next-ip 的地址不会自动解析。在以太网接口上,假定使用路由协议或静态路由解析配置的地址。

内部 BGP (IBGP) 用于设备 R2-VR1 和设备 R2-VR2 之间。外部 BGP (EBGP) 用于设备 R1 和设备 R2-VR1 之间,以及设备 R2-VR2 和设备 R3 之间。

BGP 操作按如下方式进行:

  • R2-VR1 从 R1 学习 10/8,从 R2-VR2 学习 0/0。

  • R2-VR2 从 R3 学习 0/0,从 R2-VR1 学习 10/8。

  • R1 通告 10/8,并从 R2-VR1 接收 0/0。

  • R3 通告 0/0,并从 R2-VR2 接收 10/8。

应用于设备 R2 的防火墙过滤器需要允许直接连接的接口(在本例中为 EBGP 会话)的控制平面流量。

此示例显示了设备 R2 上的配置。

拓扑学

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。

设备 R1

设备 R2

设备 R3

分步过程

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器Junos OS CLI 用户指南

要配置设备 R2:

  1. 配置接口。

  2. 配置路由实例。

  3. 配置静态路由和 BGP 路由。

  4. 配置防火墙过滤器。

  5. 配置路由策略。

结果

在配置模式下,输入 show interfacesshow firewallshow protocols 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

检查使用的路径

目的

确保在将流量从设备 R1 发送到设备 R3 时使用预期的路径。

操作

在设备 R1 上,输入 traceroute 链路故障前后的命令

流量优化器发生故障之前

流量优化器发生故障后

意义

输出显示第二个跃点会根据命令中使用的 traceroute 源地址而更改。

为了验证此功能,将在设备 R1 到设备 R3 上执行跟踪路由操作。当源 IP 地址为 10.0.0.1 时,数据包将通过设备 R2 上的 ge-1/1/0.0 接口转发出去。当源 IP 地址为 10.1.0.1 时,数据包将通过设备 R2 上的 ge-1/1/1.0 接口转发出去。

当 ge-1/1/0 和 ge-1/3/8 之间的链路出现故障时,源 IP 地址为 10.0.0.1 的数据包将通过设备 R2 上的 ge-1/1/1.0 接口转发出去。