Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置到特定传出接口或目标 IP 地址的基于过滤器的转发

了解针对特定传出接口或目标 IP 地址的基于过滤器的转发

基于策略的路由(也称为基于过滤器的转发)是指使用应用于接口的防火墙过滤器来匹配某些 IP 报头特征,并仅路由那些与通常路由的数据包不同的匹配数据包。

从 Junos OS 12.2 版开始,您可以在then next-interface防火墙过滤器中使用 、 then next-ipthen next-ip6作为操作。根据特定的匹配条件,可以将 IPv4 和 IPv6 地址或接口名称指定为对匹配的响应操作。

匹配条件集可如下所示:

  • 第 3 层属性(例如,源或目标 IP 地址或 TOS 字节)

  • 第 4 层属性(例如,源或目标端口)

给定 IPv4 或 IPv6 地址的路由必须存在于路由表中,以便基于策略的路由生效。同样,通过给定接口的路由必须存在于转发表中,才能 next-interface 使操作生效。这可以通过配置内部网关协议 (IGP)(如 OSPF 或 IS-IS)来播发第 3 层路由来实现。

防火墙过滤器满足条件,并将数据包转发到以下其中一项:

  • IPv4 地址(使用 next-ip 防火墙过滤器操作)

  • IPv6 地址(使用 next-ip6 防火墙过滤器操作)

  • 接口(使用 next-interface 防火墙过滤器操作)

例如,假设您希望向客户提供服务,而服务位于不同的服务器上。服务的示例可以是托管 DNS 或托管 FTP。当客户流量到达瞻博网络路由设备时,您可以使用基于过滤器的转发对 MAC 地址或 IP 地址或者只是对传入接口应用匹配条件,并将数据包发送到与相应服务器关联的特定传出接口,从而将流量发送到服务器。您的某些目的地可能是 IPv4 或 IPv6 地址,在这种情况下, next-ipnext-ip6 操作很有用。

或者,您可以将传出接口或 IP 地址与路由实例相关联。

例如:

示例:配置到特定传出接口的基于过滤器的转发

此示例说明如何在 then next-interface 防火墙过滤器中用作操作。

要求

此示例具有以下硬件和软件要求:

  • MX 系列 5G 通用路由平台作为配置了防火墙过滤器的路由设备。

  • 在配置了防火墙过滤器的路由设备上运行的 Junos OS 12.2 版。

  • 带有 (或next-ip) 操作的next-interface过滤器只能应用于 Trio MPC 上托管的接口。如果将过滤器应用于基于 I 芯片的 DPC,则提交操作将失败。

  • 操作中 next-interface interface-name 引用的传出接口可以托管在 Trio MPC 或基于 I 芯片的 DPC 上。

概述

在此示例中,设备 R1 配置了两个环路接口地址:172.16.1.1 和 172.16.2.2。

在设备 R2 上,防火墙过滤器配置了多个术语。每个术语都匹配传入流量中的一个源地址,并将流量路由到指定的传出接口。传出接口配置为设备 R2 和设备 R3 之间的 VLAN 标记接口。

IS-IS 用于设备之间的连接。

图 1 显示了此示例中使用的拓扑。

图 1: 基于过滤器的转发到指定传出接口基于过滤器的转发到指定传出接口

此示例显示了设备 R2 上的配置。

拓扑

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层次结构级别的 CLI 中 [edit]

设备 R2

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器Junos OS CLI 用户指南

要配置设备 R2:

  1. 配置接口。

  2. 配置防火墙过滤器。

  3. 在接口上启用 IS-IS。

结果

在配置模式下,输入 、 show firewallshow protocols命令,show interfaces以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

检查使用的路径

目的

确保在从设备 R1 向设备 R4 发送流量时使用预期路径。

行动

在设备 R1 上,输入 traceroute 命令。

含义

输出显示,第二个跃点会根据命令中使用的 traceroute 源地址而变化。

要验证此功能,请在设备 R1 到设备 R4 上执行 traceroute 操作。当源 IP 地址为 172.16.1.1 时,数据包将转发至设备 R2 上的 ge-2/1/1.0 接口。当源 IP 地址为 172.16.2.2 时,数据包将转发至设备 R2 上的 ge-2/1/1.1 接口。

示例:配置到特定目标 IP 地址的基于过滤器的转发

此示例说明如何在 then next-ip 防火墙过滤器中用作操作。

要求

此示例具有以下硬件和软件要求:

  • MX 系列 5G 通用路由平台作为配置了防火墙过滤器的路由设备。

  • 在配置了防火墙过滤器的路由设备上运行的 Junos OS 12.2 版。

  • 带有 (或next-ip) 操作的next-interface过滤器只能应用于 Trio MPC 上托管的接口。如果将过滤器应用于基于 I 芯片的 DPC,则提交操作将失败。

  • 下一接口名称操作中引用的传出接口可以托管在 Trio MPC 或基于 I 芯片的 DPC 上。

概述

在此示例中,设备 R2 具有两个与物理链路互连的路由实例。来自某些来源的流量需要定向到上部链路,由流量优化器进行检测,后者在 IP 层上可透明地起作用。当流量优化器出现故障时,流量将移动到下部链路。方向 R1>R3 和 R3>R1 的流遵循相同的路径。

图 2 显示了此示例中使用的拓扑。

图 2: 基于过滤器的转发到指定传出接口基于过滤器的转发到指定传出接口

在设备 R2 上,防火墙过滤器应用于输入方向上的接口 ge-1/0/8。第二个术语与特定的源地址 10.0.0.0/24 匹配,并将流量路由到地址 192.168.0.3。此地址解析为下一跃点 192.168.20.2。如果连接到接口 ge-1/1/0 的链路中断,地址 192.168.0.3 将解析为下一跃点 192.168.30.2。

在设备 R2 上,防火墙过滤器应用于输入方向上的接口 ge-1/0/0。第二个术语与特定目标地址 10.0.0.0/24 匹配,并将流量路由到地址 192.168.0.2。此地址解析为下一跃点 192.168.20.1。如果连接到接口 ge-1/3/8 的链路中断,地址 192.168.0.2 将解析为下一跃点 192.168.30.1。

注:

使用 next-ip 操作配置的地址不会自动解析。在以太网接口上,假设配置的地址是使用路由协议或静态路由解析的。

设备 R2-VR1 和设备 R2-VR2 之间使用内部 BGP (IBGP)。外部 BGP (EBGP) 用于设备 R1 和设备 R2-VR1 之间,以及设备 R2-VR2 和设备 R3 之间。

BGP 操作按如下进行:

  • R2-VR1 从 R1 学习 10/8,从 R2-VR2 学习 0/0。

  • R2-VR2 从 R3 学习 0/0,从 R2-VR1 学习 10/8。

  • R1 播发 10/8,并从 R2-VR1 接收 0/0。

  • R3 播发 0/0,并从 R2-VR2 接收 10/8。

应用于设备 R2 的防火墙过滤器需要允许直连接口的控制平面流量,这一情况下是 EBGP 会话。

此示例显示了设备 R2 上的配置。

拓扑

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层次结构级别的 CLI 中 [edit]

设备 R1

设备 R2

设备 R3

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器Junos OS CLI 用户指南

要配置设备 R2:

  1. 配置接口。

  2. 配置路由实例。

  3. 配置静态和 BGP 路由。

  4. 配置防火墙过滤器。

  5. 配置路由策略。

结果

在配置模式下,输入 、 show firewallshow protocols命令,show interfaces以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

检查使用的路径

目的

确保在从设备 R1 向设备 R3 发送流量时使用预期路径。

行动

在设备 R1 上,在 traceroute 链路故障之前和之后输入命令

流量优化器故障之前

流量优化器出现故障后

含义

输出显示,第二个跃点会根据命令中使用的 traceroute 源地址而变化。

要验证此功能,请在设备 R1 到设备 R3 上执行 traceroute 操作。当源 IP 地址为 10.0.0.1 时,数据包会转发至设备 R2 上的 ge-1/1/0.0 接口。当源 IP 地址为 10.1.0.1 时,数据包会转发出设备 R2 上的 ge-1/1/1.0 接口。

当 ge-1/1/0 和 ge-1/3/8 之间的链路失败时,源 IP 地址为 10.0.0.1 的数据包将被转发至设备 R2 上的 ge-1/1/1.0 接口。