Reverse-Route Packet Mode mit virtuellem Router
Wenn während der Datenflussverarbeitung die Datenverkehrsroute zwischen Server und Client geändert wird, wird der Datenverkehr mithilfe des virtuellen Routers (VR) umgeleitet. Die VR, die beim Rerouting verwendet wird, steht in der Schnittstelle oder der filterbasierten Weiterleitung (FBF) zur Verfügung. Das Verhalten der Umleitung wird mit dem set security flow advanced-options reverse-route-packet-mode-vr Befehl überwacht.
Der reverse-route-packet-mode-vr Befehl funktioniert auf dem logischen Stammsystem und ist global aktiviert.
Wenn die Option für die umgekehrte Route aktiviert ist, ändert sich der Paketfluss nicht. Wenn die Option für die umgekehrte Route deaktiviert ist, wird bei der Routensuche die VR der Schnittstelle für eingehende Pakete verwendet. Wenn die VR in der Route falsch konfiguriert ist, wird der Datenverkehr zwischen Server und Client verworfen.
Die Resolve-Reserveroute im ersten Flow-First-Pfad ist nicht konfiguriert, da die VR-Informationen vom Client zum Serverpaket nicht verfügbar sind.
Abbildung 1 zeigt z. B. das Verhalten des Paketflusses, wenn der reverse-route-packet-mode-vr Befehl nicht konfiguriert ist. Der Client-zu-Server-Datenverkehr verwendet die Routinginstanz VR2 der eingehenden Schnittstelle ge-0/0/0.0, um den Datenverkehr zu routen. Der Server-zu-Client-Datenverkehr verwendet auch die Routing-Instanz VR2 der eingehenden Schnittstelle ge-0/0/0.0, um den Datenverkehr zu routen.
Abbildung 2 zeigt das Verhalten des Paketflusses, wenn der reverse-route-packet-mode-vr Befehl über die Schnittstelle konfiguriert wird. Der Client-zu-Server-Datenverkehr verwendet die Routinginstanz VR2 der eingehenden Schnittstelle ge-0/0/0.0, um den Datenverkehr zu routen. Der Server-zu-Client-Datenverkehr verwendet die Routinginstanz VR3 der Schnittstelle ge-0/0/1.0, um den Datenverkehr zu routen.
Abbildung 3 zeigt das Verhalten des Paketflusses, wenn der reverse-route-packet-mode-vr Befehl mit FBF konfiguriert wird. Der Client-zu-Server-Datenverkehr verwendet die Paketeingangsschnittstelle ge-0/0/0.0 in VR2, um den Datenverkehr zu routen. Durch die Konfiguration von FBF auf der Schnittstelle ge-0/0/1.0 wird VR3 in VR4 geändert. Der Server-zu-Client-Datenverkehr verwendet VR4, um den Datenverkehr weiterzuleiten.
aktiviert
Grundlegendes zum Datenverkehr zum Host auf dem virtuellen Router
Bei einer Firewall der SRX-Serie wird der gesamte Datenverkehr, der den Firewallfilter passiert, als To-Host-Datenverkehr bezeichnet. Der Datenverkehr von der Firewall zum Gerät wird als Datenverkehr vom Host bezeichnet. Der Datenverkehr zum Host verwendet eine Ausgangsschnittstelle und der Datenverkehr vom Host verwendet eine Eingangsschnittstelle. Wenn sich beide Schnittstellen nicht in derselben Routinginstanz befinden, gibt es eine nicht übereinstimmende Sitzung. Um dieses Problem zu lösen, wählen der Datenverkehr zum Host und der Datenverkehr vom Host Schnittstellen aus, die in derselben Routinginstanz verfügbar sind.
Abbildung 4 zeigt den Datenverkehr zum Host unter Verwendung der Routinginstanz VR5 der Schnittstelle ge-0/0/0.0 und der Routinginstanz VR6 der Zielschnittstelle lo0.1.
Wenn der Datenverkehr zum Host beispielsweise eine lokale Schnittstelle verwendet (z. B. lokale... X), die sich in Routinginstanz 5 (VR5) befindet, und der Datenverkehr vom Host verwendet die Schnittstelle in Routinginstanz 6 (VR6). Die Sitzungsausgabe, die die Schnittstelleninformationen des zu-Host-Datenverkehrs anzeigt, lautet:
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..5, Pkts: 1, Bytes: 84, CP Session ID: 10000178
Die Sitzungsausgabe zeigt die lokale Schnittstelle des Datenverkehrs zum Host als lokal an.... 5.
Zum Synchronisieren des Datenverkehrs zum Host und des Datenverkehrs vom Host wird für den Datenverkehr die Ziel-IP-Schnittstelle des Datenverkehrs (lo0.1) verwendet, die in VR6 verfügbar ist. Da der Datenverkehr vom Host die in VR6 verfügbare Schnittstelle verwendet, stimmt die Sitzung überein. Die Sitzungsausgabe, die die Schnittstelleninformationen des zu-Host-Datenverkehrs anzeigt, lautet:
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..6, Pkts: 1, Bytes: 84, CP Session ID: 10000178
Die Sitzungsausgabe zeigt die lokale Schnittstelle des Datenverkehrs zum Host als lokal an.... 6.