Paketbasierte Weiterleitung
Eine Firewall der SRX-Serie arbeitet in zwei verschiedenen Modi: Paketmodus und Datenstrommodus. Im Datenstrommodus verarbeitet SRX den gesamten Datenverkehr, indem es den Status oder die Sitzung des Datenverkehrs analysiert. Dies wird auch als zustandsbehaftete Verarbeitung des Datenverkehrs bezeichnet. Im Paketmodus verarbeitet SRX den Datenverkehr pro Paket. Dies wird auch als zustandslose Verarbeitung des Datenverkehrs bezeichnet.
Paketbasierte Verarbeitung verstehen
Pakete, die ein Gerät von Juniper Networks mit Junos OS betreten und verlassen, können paketbasiert verarbeitet werden. Bei der paketbasierten oder zustandslosen Paketverarbeitung werden Pakete diskret behandelt. Jede Packung wird individuell für die Behandlung beurteilt. Die zustandslose paketbasierte Weiterleitung erfolgt paketweise ohne Berücksichtigung von Datenstrom- oder Zustandsinformationen. Jede Packung wird individuell für die Behandlung beurteilt.
Abbildung 1 zeigt den Datenverkehrsfluss für die paketbasierte Weiterleitung.
Wenn Pakete in das Gerät eingehen, werden Klassifizierer, Filter und Policer darauf angewendet. Als Nächstes wird die Ausgangsschnittstelle für das Paket durch eine Routensuche bestimmt. Sobald die Ausgangsschnittstelle für das Paket gefunden wurde, werden Filter angewendet, und das Paket wird an die Ausgangsschnittstelle gesendet, wo es in die Warteschlange gestellt und für die Übertragung geplant wird.
Für die paketbasierte Weiterleitung sind keine Informationen über vorherige oder nachfolgende Pakete erforderlich, die zu einer bestimmten Verbindung gehören, und jede Entscheidung, Datenverkehr zuzulassen oder abzulehnen, ist paketspezifisch. Diese Architektur hat den Vorteil einer massiven Skalierung, da sie Pakete weiterleitet, ohne einzelne Ströme oder Zustände zu verfolgen.
Beginnend mit Junos OS Version 15.1X49-D100 wird für SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M und SRX650 die maximale Erfassungsgröße für Paketerfassungen auf 1520 Byte erweitert, um die Erfassung von 1500 Byte Daten und den 12-Byte-Ethernet-Header von Juniper zu ermöglichen."
Grundlegendes zu selektiven zustandslosen paketbasierten Diensten
Selektive zustandslose paketbasierte Dienste ermöglichen es Ihnen, sowohl datenflussbasierte als auch paketbasierte Weiterleitung gleichzeitig auf einem System zu verwenden. Sie können Datenverkehr, der eine paketbasierte, zustandslose Weiterleitung erfordert, selektiv weiterleiten, um eine zustandsbasierte Weiterleitung zu vermeiden, indem Sie zustandslose Firewallfilter verwenden, die auch als Zugriffssteuerungslisten (ACLs) bezeichnet werden. Der Datenverkehr, der nicht auf diese Weise geleitet wird, folgt dem standardmäßigen datenstrombasierten Weiterleitungspfad. Die Umgehung der datenflussbasierten Weiterleitung kann für Datenverkehr nützlich sein, für den Sie explizit Einschränkungen bei der Skalierung von Datenflusssitzungen vermeiden möchten.
Standardmäßig verwenden Juniper Networks Security-Geräte mit Junos OS die datenflussbasierte Weiterleitung. Selektive zustandslose paketbasierte Dienste ermöglichen es Ihnen, das Gerät so zu konfigurieren, dass es nur paketbasierte Verarbeitung für ausgewählten Datenverkehr basierend auf Eingabefilterbegriffen bereitstellt. Anderer Datenverkehr wird für die datenstrombasierte Weiterleitung verarbeitet. Die Umgehung der datenstrombasierten Weiterleitung ist nützlich für Bereitstellungen, bei denen Sie Einschränkungen bei der Sitzungsskalierung sowie Kosten für die Sitzungserstellung und -wartung vermeiden möchten.
Wenn Sie das Gerät für die selektive paketbasierte Verarbeitung ohne Zustandszustand konfigurieren, werden Pakete, die in das System eingehen, abhängig von bestimmten Bedingungen unterschiedlich behandelt:
Wenn ein Paket die in den Eingabefilterbegriffen angegebenen Bedingungen erfüllt, wird es für den Paketmodus markiert und alle konfigurierten Paketmodusfunktionen werden darauf angewendet. Es werden keine ablaufbasierten Sicherheitsfunktionen angewendet. Es umgeht sie.
Wenn ein Paket nicht für den Paketmodus gekennzeichnet wurde, wird es normal verarbeitet. Alle Services mit Ausnahme von MPLS können auf diesen Datenverkehr angewendet werden.
Abbildung 2 zeigt den Datenverkehrsfluss mit selektiven zustandslosen paketbasierten Diensten, die die flussbasierte Verarbeitung umgehen.
Wenn das Paket auf einer Schnittstelle eingeht, werden die auf der Schnittstelle konfigurierten Eingabepaketfilter angewendet.
Wenn das Paket den im Firewallfilter angegebenen Bedingungen entspricht, wird ein
packet-modeAktionsmodifizierer für das Paket festgelegt. Der Paketmodus-Aktionsmodifizierer aktualisiert ein Bitfeld im Paketschlüsselpuffer: Dieses Bitfeld wird verwendet, um zu bestimmen, ob die datenflussbasierte Weiterleitung umgangen werden muss. Dadurch umgeht das Paket mit dem Paketmodus-Aktionsmodifizierer die datenstrombasierte Weiterleitung vollständig. Die Ausgangsschnittstelle für das Paket wird durch eine Routensuche bestimmt. Sobald die Ausgangsschnittstelle für das Paket gefunden wurde, werden Filter angewendet, und das Paket wird an die Ausgangsschnittstelle gesendet, wo es in die Warteschlange gestellt und für die Übertragung geplant wird.Wenn das Paket nicht den in diesem Filterbegriff angegebenen Bedingungen entspricht, wird es anhand anderer im Filter konfigurierter Begriffe ausgewertet. Wenn ein Paket nach der Auswertung aller Begriffe mit keinen Begriffen in einem Filter übereinstimmt, wird das Paket automatisch verworfen. Um zu verhindern, dass Pakete verworfen werden, konfigurieren Sie im Filter einen Begriff, der eine Aktion angibt, um alle Pakete zu akzeptieren.
Eine definierte Gruppe zustandsloser Dienste ist mit selektiven zustandslosen paketbasierten Diensten verfügbar:
IPv4/IPv6-Routing (Unicast- und Multicast-Protokolle)
Class of Service (CoS)
Verbindungsfragmentierung und -verschachtelung (LFI)
Generische Routing-Kapselung (GRE)
Layer-2-Switching
Multiprotocol Label Switching (MPLS)
Zustandslose Firewall-Filter
Compressed Real-Time Transport Protocol (CRTP)
Obwohl Datenverkehr, der MPLS-Dienste erfordert, im Paketmodus verarbeitet werden muss, kann es unter bestimmten Umständen erforderlich sein, bestimmte Dienste gleichzeitig auf diesen Datenverkehr anzuwenden, die nur im Datenstrommodus bereitgestellt werden können, z. B. zustandsbehaftete Überprüfung, NAT und IPsec. Um das System anzuweisen, Datenverkehr sowohl im Datenstrom- als auch im Paketmodus zu verarbeiten, müssen Sie mehrere Routing-Instanzen konfigurieren, die über eine Tunnelschnittstelle verbunden sind. Eine Routinginstanz muss für die Verarbeitung der Pakete im Flow-Modus konfiguriert werden, und die andere Routing-Instanz muss für die Verarbeitung der Pakete im Paketmodus konfiguriert werden. Wenn Sie eine Tunnelschnittstelle zum Verbinden von Routing-Instanzen verwenden, wird der Datenverkehr zwischen diesen Routing-Instanzen erneut in den Weiterleitungspfad eingespeist und kann dann mit einer anderen Weiterleitungsmethode erneut verarbeitet werden.
Konfigurationsübersicht für selektive zustandslose paketbasierte Dienste
Diese Funktion wird auf Geräten der SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500 und vSRX Virtual Firewall unterstützt. Sie konfigurieren selektive zustandslose paketbasierte Dienste mithilfe der zustandslosen Firewallfilter, die auch als Zugriffssteuerungslisten (Access Control Lists, ACLs) bezeichnet werden. Sie klassifizieren den Datenverkehr für die paketbasierte Weiterleitung, indem Sie Übereinstimmungsbedingungen in den Firewallfiltern angeben und einen packet-mode Aktionsmodifizierer konfigurieren, um die Aktion anzugeben. Sobald Übereinstimmungsbedingungen und -aktionen definiert sind, werden Firewall-Filter auf die relevanten Schnittstellen angewendet.
So konfigurieren Sie einen Firewall-Filter:
Wenn das Paket auf einer Schnittstelle eingeht, werden die auf der Schnittstelle konfigurierten Eingabepaketfilter angewendet. Wenn das Paket die angegebenen Bedingungen erfüllt und packet-mode eine Aktion konfiguriert ist, umgeht das Paket die datenstrombasierte Weiterleitung vollständig.
Achten Sie beim Konfigurieren von Filtern auf die Reihenfolge der Begriffe innerhalb des Firewallfilters. Pakete werden für jeden Begriff in der Reihenfolge getestet, in der er in der Konfiguration aufgeführt ist. Wenn die ersten übereinstimmenden Bedingungen gefunden werden, wird die diesem Begriff zugeordnete Aktion auf das Paket angewendet, und die Auswertung des Firewallfilters wird beendet, sofern der next term Aktionsmodifizierer nicht enthalten ist. Wenn die next term Aktion eingeschlossen ist, wird das übereinstimmende Paket dann anhand des nächsten Begriffs im Firewallfilter ausgewertet. Andernfalls wird das übereinstimmende Paket nicht anhand nachfolgender Begriffe im Firewallfilter ausgewertet.
Bei der Konfiguration von Firewall-Filtern für selektive zustandslose paketbasierte Dienste:
Identifizieren Sie genau den Datenverkehr, der den Datenverkehr umgehen muss, um unnötige Paketverluste zu vermeiden.
Stellen Sie sicher, dass Sie den Firewallfilter mit Paketmodusaktion auf alle Schnittstellen anwenden, die am paketbasierten Datenflusspfad beteiligt sind.
Stellen Sie sicher, dass Sie hostgebundenen TCP-Datenverkehr für die Verwendung der datenstrombasierten Weiterleitung konfigurieren – schließen Sie diesen Datenverkehr aus, wenn Sie Übereinstimmungsbedingungen für den Firewallfilterbegriff angeben, der den
packet-modeAktionsmodifizierer enthält. Jeglicher hostgebundener TCP-Datenverkehr, der für die Umgehung des Datenstroms konfiguriert ist, wird verworfen. Die asynchrone Verarbeitung im Flussmodus wird bei selektiven paketbasierten Diensten ohne Zustandszustand nicht unterstützt.Konfigurieren Sie Eingabepaketfilter (nicht Ausgabe) mit dem
packet-modeModifizierer action.
Verschachtelte Firewallfilter (Konfigurieren eines Filters innerhalb der Laufzeit eines anderen Filters) werden von selektiven paketbasierten zustandslosen Diensten nicht unterstützt.
Im Folgenden finden Sie einige typische Bereitstellungsszenarien, in denen Sie selektive zustandslose paketbasierte Dienste konfigurieren können:
Datenverkehrsfluss zwischen privaten LAN- und WAN-Schnittstellen, z. B. für Intranet-Datenverkehr, bei dem die End-to-End-Weiterleitung paketbasiert ist
Datenverkehrsfluss zwischen privatem LAN und nicht so sicheren WAN-Schnittstellen, wobei der Datenverkehr paketbasierte und flussbasierte Weiterleitung für sicheren bzw. nicht so sicheren Datenverkehr verwendet
Datenverkehrsfluss zwischen dem privaten LAN und der WAN-Schnittstelle mit Failover auf datenflussbasiertes IPsec-WAN, wenn die private WAN-Verbindung ausgefallen ist
Datenverkehrsfluss vom Flow-basierten LAN zum paketbasierten MPLS-WAN
Beispiel: Konfigurieren selektiver zustandsloser paketbasierter Dienste für paketbasierte End-to-End-Weiterleitung
In diesem Beispiel wird gezeigt, wie selektive zustandslose paketbasierte Dienste für die paketbasierte End-to-End-Weiterleitung konfiguriert werden. Diese Funktion wird auf den Geräten SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500 und vSRX Virtual Firewall unterstützt
Anforderungen
Bevor Sie beginnen:
Erfahren Sie, wie Sie zustandslose Firewallfilter konfigurieren.
Stellen Sie eine grundlegende Konnektivität her. .
Überblick
In diesem Beispiel konfigurieren Sie die IP-Adressen für die Schnittstellen auf den einzelnen Geräten. Für R0 ist es 10.1.1.2/24 ; für R1 sind dies 10.1.1.1/24, 10.2.1.1/24 und 203.0.113.1/30; für R2 ist es 203.0.113.2/30; und für R3 ist es 10.2.1.2/24. Sie erstellen statische Routen und ordnen Next-Hop-Adressen für die Geräte wie folgt zu: R0 ist 10.1.1.2, R1 ist 198.51.100.2, R2 ist 203.0.113.1 und R3 ist 10.2.1.1.
Dann konfigurieren Sie auf Gerät R1 eine Zone namens nicht vertrauenswürdig und weisen sie der Schnittstelle ge-0/0/3 zu. Außerdem erstellen Sie eine Zone mit dem Namen "Vertrauen" und weisen ihr die Schnittstellen "ge-0/0/1" und "ge-0/0/2" zu. Sie konfigurieren vertrauensvolle und nicht vertrauenswürdige Zonen, um alle unterstützten Anwendungsdienste als eingehende Dienste zuzulassen. Sie lassen Datenverkehr von jeder Quelladresse, Zieladresse und Anwendung zwischen den Zonen zu.
Anschließend erstellen Sie den Firewallfilter bypass-flow-filter und definieren die Begriffe bypass-flow-term-1 und bypass-flow-term-2, die dem Datenverkehr zwischen den internen Schnittstellen ge-0/0/1 und ge-0/0/2 entsprechen und den Paketmodus-Aktionsmodifizierer enthalten. Sie definieren den Begriff accept-rest, um den gesamten verbleibenden Datenverkehr zu akzeptieren. Zum Schluss wenden Sie den Firewall-Filter Bypass-Flow-Filter auf die internen Schnittstellen ge-0/0/1 und ge-0/0/2 an (nicht auf der externen Schnittstelle). Infolgedessen umgeht der gesamte interne Datenverkehr die datenflussbasierte Weiterleitung, und der Datenverkehr zum und vom Internet umgeht die datenstrombasierte Weiterleitung nicht.
Abbildung 3 zeigt die in diesem Beispiel verwendete Netzwerktopologie.
Die Niederlassungen Ihres Unternehmens sind über ein privates WAN miteinander verbunden. Für diesen internen Datenverkehr ist eine Paketweiterleitung erforderlich, da die Sicherheit kein Problem darstellt. Daher entscheiden Sie sich für diesen Datenverkehr, selektive zustandslose paketbasierte Dienste zu konfigurieren, um die datenflussbasierte Weiterleitung zu umgehen. Der verbleibende Datenverkehr zum und vom Internet wird über eine flowbasierte Weiterleitung abgewickelt.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie dann die Befehle und fügen Sie sie auf Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
{device R0}
[edit]
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.2/24
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R1}
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.1/24
set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.1/24
set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30
set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2
set security zones security-zone untrust interfaces ge-0/0/3
set security zones security-zone trust interfaces ge-0/0/1
set security zones security-zone trust interfaces ge-0/0/2
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone untrust host-inbound-traffic system-services all
set security policies from-zone trust to-zone untrust policy Internet-traffic match source-address any destination-address any application any
set security policies from-zone trust to-zone untrust policy Internet-traffic then permit
set security policies from-zone untrust to-zone trust policy Incoming-traffic match source-address any destination-address any application any
set security policies from-zone untrust to-zone trust policy Incoming-traffic then permit
set security policies from-zone trust to-zone trust policy Intrazone-traffic match source-address any destination-address any application any
set security policies from-zone trust to-zone trust policy Intrazone-traffic then permit
set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 from source-address 10.1.1.0/24
set firewall family inet filter bypass-flow-filter term bypass-flow-term–1 from destination-address 10.2.1.0/24
set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 then packet-mode
set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from source-address 10.2.1.0/24
set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from destination-address 10.1.1.0/24
set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 then packet-mode
set firewall family inet filter bypass-flow-filter term accept-rest then accept
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet filter input bypass-flow-filer
set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet filter input bypass-flow-filer
{device R2}
set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 10.1.1.2/30
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R3}
[edit]
set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.2/24
set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie selektive zustandslose paketbasierte Dienste für die paketbasierte End-to-End-Weiterleitung:
Konfigurieren Sie die IP-Adressen für die Schnittstellen auf den Geräten R0, R1, R2 und R3.
{device R0} [edit] user@host#set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.2/24{device R1} [edit] user@host#set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.1/24user@host#set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.1/24user@host#set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30{device R2} [edit] user@host#set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30{device R3} [edit] user@host#set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.2/24Erstellen Sie statische Routen, und ordnen Sie die entsprechenden Next-Hop-Adressen für die Geräte R0, R1, R2 und R3 zu.
{device R0} [edit] user@host#set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1{device R1} [edit] user@host#set routing-options static route 0.0.0.0/0 next-hop 203.0.113.1{device R2} [edit] user@host#set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2{device R3} [edit] user@host#set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1Konfigurieren Sie Sicherheitszonen und weisen Sie Schnittstellen zu.
{device R1} [edit] user@host#set security zones security-zone untrust interfaces ge-0/0/3user@host#set security zones security-zone trust interfaces ge-0/0/1user@host#set security zones security-zone trust interfaces ge-0/0/2Konfigurieren Sie Anwendungsdienste für Zonen.
{device R1} [edit] user@host#set security zones security-zone trust host-inbound-traffic system-services alluser@host#set security zones security-zone untrust host-inbound-traffic system-services allKonfigurieren einer Sicherheitsrichtlinie
{device R1} [edit] user@host#set security policies from-zone trust to-zone untrust policy Internet-traffic match source-address any destination-address any application anyuser@host#set security policies from-zone trust to-zone untrust policy Internet-traffic then permituser@host#set security policies from-zone untrust to-zone trust policy Incoming-traffic match source-address any destination-address any application anyuser@host#set security policies from-zone untrust to-zone trust policy Incoming-traffic then permituser@host#set security policies from-zone trust to-zone trust policy Intrazone-traffic match source-address any destination-address any application anyuser@host#set security policies from-zone trust to-zone trust policy Intrazone-traffic then permitErstellen Sie einen Firewall-Filter, und definieren Sie Begriffe für den gesamten paketbasierten Weiterleitungsverkehr.
{device R1} [edit] user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 from source-address 10.1.1.0/24user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term–1 from destination-address 10.2.1.0/24user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 then packet-modeuser@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from source-address 10.2.1.0/24user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from destination-address 10.1.1.0/24user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 then packet-modeGeben Sie einen anderen Begriff für den verbleibenden Datenverkehr an.
{device R1} [edit] user@host#set firewall family inet filter bypass-flow-filter term accept-rest then acceptWenden Sie den Firewall-Filter auf die relevanten Schnittstellen an.
{device R1} [edit] user@host#set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet filter input bypass-flow-fileruser@host#set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet filter input bypass-flow-filer
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsund show firewall eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
{device R0}
[edit]
user@host# show interfaces
ge-0/0/1 {
description “Internal 1”
unit 0 {
family inet {
address 10.1.1.2/24
}
}
}
{device R0}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
}
{device R2}
[edit]
user@host# show interfaces
ge-0/0/3 {
description “Internet”
unit 0 {
family inet {
address 203.0.113.2/30;
}
}
}
{device R2}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 203.0.113.1;
}
{device R3}
[edit]
user@host# show interfaces
ge-0/0/2 {
description “Internal 2”
unit 0 {
family inet {
address 10.2.1.2/24;
}
}
}
{device R3}
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.2.1.1;
}
{device R1}
[edit]
user@host# show interfaces
ge-0/0/1 {
description “internal 1”
unit 0 {
family inet {
filter {
input bypass-flow-filter;
}
address 10.1.1.1/24;
}
}
}
ge-0/0/2 {
description “Internal 2”
unit 0 {
family inet {
filter {
input bypass-flow-filter;
}
address 10.2.1.1/24;
}
}
}
ge-0/0/3 {
description “Internet”
unit 0 {
family inet {
address 203.0.113.1/30;
}
}
}
{device R1}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 203.0.113.1;
}
{device R1}
[edit]
user@host# show firewall
family inet {
filter bypass-flow-filter {
term bypass-flow-term-1 {
from {
source-address {
10.1.1.0/24;
}
destination-address {
10.2.1.0/24;
}
}
then packet-mode;
}
term bypass-flow-term-2 {
from {
source-address {
10.2.1.0/24;
}
destination-address {
10.1.1.0/24;
}
}
then packet-mode;
}
term accept-rest {
then accept;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der paketbasierten End-to-End-Konfiguration
- Überprüfen des Sitzungsaufbaus im Intranetdatenverkehr
- Überprüfen des Sitzungsaufbaus im Internetdatenverkehr
Überprüfen der paketbasierten End-to-End-Konfiguration
Zweck
Stellen Sie sicher, dass die selektiven paketbasierten Dienste ohne zustandslose Elemente konfiguriert sind.
Aktion
Geben Sie im Konfigurationsmodus die show interfacesBefehle , show routing-options, show security zones, show security policiesund show firewall ein.
Stellen Sie sicher, dass die Ausgabe die beabsichtigte Konfiguration des Firewallfilters, der Schnittstellen und der Richtlinien anzeigt.
Stellen Sie sicher, dass die Begriffe in der Reihenfolge aufgeführt sind, in der die Pakete getestet werden sollen. Sie können Begriffe innerhalb eines Firewallfilters verschieben, indem Sie den insert Befehl verwenden.
Überprüfen des Sitzungsaufbaus im Intranetdatenverkehr
Zweck
Stellen Sie sicher, dass Sitzungen eingerichtet werden, wenn Datenverkehr an Schnittstellen innerhalb des Intranets übertragen wird.
Aktion
Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob Sitzungen eingerichtet wurden:
Geben Sie auf dem Gerät
R1den Befehl Betriebsmodusclear security flow session allein, um alle vorhandenen Sicherheitsflusssitzungen zu löschen.Geben Sie auf dem Gerät
R0den Befehl für den Betriebsmoduspingein, um den Datenverkehr an das GerätR3zu übertragen.Geben Sie auf dem Gerät
R1, auf dem der Datenverkehr von den GerätenR0anR3den durchR1übertragen wird, den Befehl Betriebsmodusshow security flow sessionein.Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
Um eingerichtete Sitzungen zu überprüfen, stellen Sie sicher, dass Sie den show security flow session Befehl eingeben, während der ping Befehl Pakete sendet und empfängt.
Ab Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 enthalten die Zusammenfassungen des Sitzungsablaufs CP-Sitzungs-IDs.
{device R0}
user@host> ping 203.0.113.6
PING 203.0.113.6 (203.0.113.6): 56 data bytes 64 bytes from 203.0.113.6: icmp_seq=0 ttl=63 time=2.326 ms 64 bytes from 203.0.113.6: icmp_seq=1 ttl=63 time=2.569 ms 64 bytes from 203.0.113.6: icmp_seq=2 ttl=63 time=2.565 ms 64 bytes from 203.0.113.6: icmp_seq=3 ttl=63 time=2.563 ms 64 bytes from 203.0.113.6: icmp_seq=4 ttl=63 time=2.306 ms 64 bytes from 203.0.113.6: icmp_seq=5 ttl=63 time=2.560 ms 64 bytes from 203.0.113.6: icmp_seq=6 ttl=63 time=4.130 ms 64 bytes from 203.0.113.6: icmp_seq=7 ttl=63 time=2.316 ms ...
{device R1}
user@host> show security flow session
Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
Die Ausgabe zeigt den Datenverkehr an, der von R0 an R3 übertragen wird, und es werden keine Sitzungen eingerichtet. In diesem Beispiel haben Sie den bypass-flow-filter Modifizierer mit der packet-mode Aktion auf Schnittstellen Internal 1 und Internal 2 für den Intranetdatenverkehr Ihres Unternehmens angewendet. Mit dieser Ausgabe wird überprüft, ob der Datenverkehr zwischen den beiden Schnittstellen die datenstrombasierte Weiterleitung ordnungsgemäß umgeht und daher keine Sitzungen aufgebaut werden.
Überprüfen des Sitzungsaufbaus im Internetdatenverkehr
Zweck
Stellen Sie sicher, dass Sitzungen eingerichtet werden, wenn Datenverkehr über das Internet übertragen wird.
Aktion
Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob der Datenverkehr zum Internet die datenstrombasierte Weiterleitung verwendet und Sitzungen eingerichtet werden:
Geben Sie auf dem Gerät
R1den Befehl Betriebsmodusclear security flow session allein, um alle vorhandenen Sicherheitsflusssitzungen zu löschen.Geben Sie auf dem Gerät
R0den Befehl für den Betriebsmoduspingein, um den Datenverkehr an das GerätR2zu übertragen.Geben Sie auf dem Gerät
R1, auf dem der Datenverkehr vonR0nach durchR2R1übertragen wird, den Befehl Betriebsmodusshow security flow sessionein.
Um eingerichtete Sitzungen zu überprüfen, stellen Sie sicher, dass Sie den show security flow session Befehl eingeben, während der ping Befehl Pakete sendet und empfängt.
{device R0}
user@host> ping 10.2.1.2 -c 10
PING 10.2.1.2 (10.2.1.2) 56(84) bytes of data. 64 bytes from 10.2.1.2: icmp_seq=1 ttl=63 time=6.07 ms 64 bytes from 10.2.1.2: icmp_seq=2 ttl=63 time=4.24 ms 64 bytes from 10.2.1.2: icmp_seq=3 ttl=63 time=2.85 ms 64 bytes from 10.2.1.2: icmp_seq=4 ttl=63 time=6.14 ms ...
{device R1}
user@host>show security flow session
Flow Sessions on FPC10 PIC1: Session ID: 410000077, Policy name: Internet-traffic/5, Timeout: 2, Valid In: 10.1.1.2/3 --> 10.2.1.2/32055;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000198 Out: 10.2.1.2/32055 --> 10.1.1.2/3;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84, CP Session ID: 410000198 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000079, Policy name: Internet-traffic/5, Timeout: 2, Valid In: 10.1.1.2/5 --> 10.2.1.2/32055;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000163 Out: 10.2.1.2/32055 --> 10.1.1.2/5;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84, CP Session ID: 420000163 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000090, Policy name: Internet-traffic/5, Timeout: 4, Valid In:10.1.1.2/7 --> 10.2.1.2/32055;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000088 Out: 10.2.1.2/32055 --> 10.1.1.2/7;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84, CP Session ID: 430000088 Total sessions: 1
Die Ausgabe zeigt den Datenverkehr, der von Geräten R0 an bestehende Sitzungen übertragen R1 wird. In diesem Beispiel haben Sie den bypass-flow-filter Modifizierer mit der packet-mode Aktion auf der Schnittstelle Internet nicht auf den Internetdatenverkehr Ihres Unternehmens angewendet. Mit dieser Ausgabe wird überprüft, ob der Datenverkehr zum Internet mithilfe der datenstrombasierten Weiterleitung ordnungsgemäß erfolgt und daher Sitzungen eingerichtet werden.
Übertragen Sie Datenverkehr vom Gerät R3 an R2 und verwenden Sie die Befehle in diesem Abschnitt, um eingerichtete Sitzungen zu überprüfen.
Beispiel: Konfigurieren selektiver zustandsloser paketbasierter Dienste für paketbasierte zu Flow-basierte Weiterleitung
In diesem Beispiel wird gezeigt, wie selektive zustandslose paketbasierte Dienste für paketbasierte zu datenflussbasierte Weiterleitung konfiguriert werden. Diese Funktion wird auf Geräten der SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500 und vSRX Virtual Firewall unterstützt.
Anforderungen
Bevor Sie beginnen:
Erfahren Sie, wie Sie zustandslose Firewallfilter konfigurieren.
Stellen Sie eine grundlegende Konnektivität her. .
Überblick
In diesem Beispiel konfigurieren Sie die IP-Adressen für die Schnittstellen auf den einzelnen Geräten. Für Gerät R0 wie 198.51.100.9/24; für R1 sind die 198.51.100.10/24 und 203.0.113.5/24; und für R2 ist es 203.0.113.9/24. Auf Gerät R1 legen Sie eine interne Dienstschnittstelle lt-0/0/0 zwischen Routing-Instanzen fest und konfigurieren eine Peer-Beziehung zwischen zwei virtuellen Geräten. Anschließend erstellen Sie zwei Sicherheitszonen, Primary-VR-zone und Internet-VR-zone, weisen ihnen verwandte Schnittstellen zu und konfigurieren sie so, dass sie alle unterstützten Anwendungen und Protokolle zulassen.
Anschließend konfigurieren Sie Richtlinien und legen fest, dass alle Pakete zugelassen werden. Sie konfigurieren eine virtuelle Geräteroutinginstanz Internet-VR und weisen Schnittstellen für die ablaufbasierte Weiterleitung zu. Sie aktivieren OSPF auf den Geräten R0, R1 und R2. Auf Gerät R2 konfigurieren Sie den Filter bypass-flow-filter mit dem Begriff bypass-flow-term, der den Paketmodus-Aktionsmodifizierer enthält. Da Sie keine Übereinstimmungsbedingungen angegeben haben, gilt dieser Filter für den gesamten Datenverkehr, der die Schnittstellen durchläuft, auf die er angewendet wird.
Schließlich wenden Sie auf dem Gerät R1 den Firewall-Filter Bypass-Flow-Filter auf die internen Schnittstellen ge-0/0/2.0 und lt-0/0/0.0 an. Sie wenden den Filter nicht auf die Schnittstellen an, die der Internet-VR-Routinginstanz zugeordnet sind. Daher verwendet der gesamte Datenverkehr, der die LAN-Schnittstellen durchläuft, die der primären Routinginstanz zugeordnet sind, die paketbasierte Weiterleitung, und der gesamte Datenverkehr, der die Internet-VR-Routinginstanz durchläuft, verwendet die datenstrombasierte Weiterleitung.
Abbildung 4 zeigt die in diesem Beispiel verwendete Netzwerktopologie.
Die Schnittstelle, die dem privaten LAN zugewandt ist, benötigt keine Sicherheitsdienste, aber die Schnittstelle, die dem WAN zugewandt ist, benötigt Sicherheit. In diesem Beispiel entscheiden Sie sich dafür, sowohl paketbasierte als auch Flow-basierte Weiterleitung für sicheren und nicht so sicheren Datenverkehr zu konfigurieren, indem Sie zwei Routing-Instanzen konfigurieren – eine für die paketbasierte Weiterleitung und die andere für die flowbasierte Weiterleitung.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie dann die Befehle und fügen Sie sie auf Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
{device R0}
set interfaces description “Connect to Primary VR” ge-0/0/2 unit 0 family inet address 198.51.100.9/24
set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
{device R1}
set interfaces description “Connect to R0” ge-0/0/2 unit 0 family inet address 198.51.100.10/24
set interfaces description “Connect to R2” ge-0/0/3 unit 0 family inet address 203.0.113.5/24
set interfaces lt-0/0/0 unit 0 encapsulation frame-relay dlci 100 peer-unit 1 family inet address 192.0.2.1/16
set interfaces lt-0/0/0 unit 1 encapsulation frame-relay dlci 100 peer-unit 0 family inet address 192.0.2.2/16
set security zones security-zone Primary-VR-zone host-inbound-traffic system-services all
set security zones security-zone Primary-VR-zone host-inbound-traffic protocols all
set security zones security-zone Primary-VR-zone interfaces ge-0/0/2.0
set security zones security-zone Primary-VR-zone interfaces lt-0/0/0.0
set security zones security-zone Internet-VR-zone host-inbound-traffic system-services all
set security zones security-zone Internet-VR-zone host-inbound-traffic protocols all
set security zones security-zone Internet-VR-zone interfaces ge-0/0/3.0
set security zones security-zone Internet-VR-zone interfaces lt-0/0/0.1
set security policies default-policy permit-all
set routing-instances Internet-VR instance-type virtual-router interface lt-0/0/0.1
set routing-instances Internet-VR instance-type virtual-router interface ge-0/0/3.0
set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
set protocols ospf area 0.0.0.0 interface lt-0/0/0.0
set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface lt-0/0/0.1
set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface ge-0/0/3.0
set firewall family inet filter bypass-flow-filter term bypass-flow-term then accept
set firewall family inet filter bypass-flow-filter term bypass-flow-term then packet-mode
set interfaces ge-0/0/2 unit 0 family inet filter input bypass-flow-filter
set interfaces lt-0/0/0 unit 0 family inet filter input bypass-flow-filter
{device R2}
set interfaces description “Connect to Internet-VR” ge-0/0/3 unit 0 family inet address 203.0.113.9/24
set protocols ospf area 0.0.0.0 interface ge-0/0/3
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie selektive zustandslose paketbasierte Dienste für die paketbasierte End-to-End-Weiterleitung:
Konfigurieren Sie die IP-Adressen für die Schnittstellen.
{device R0} [edit] user@host#set interfaces description “Connect to Primary VR” ge-0/0/2 unit 0 family inet address 198.51.100.9/24{device R1} [edit] user@host#set interfaces description “Connect to R0” ge-0/0/2 unit 0 family inet address 198.51.100.10/24user@host#set interfaces description “Connect to R2” ge-0/0/3 unit 0 family inet address 203.0.113.5/24{device R2} [edit] user@host#set interfaces description “Connect to Internet-VR” ge-0/0/3 unit 0 family inet address 203.0.113.9/24Legen Sie eine interne Serviceschnittstelle zwischen Routing-Instanzen fest.
{device R1} [edit] user@host#set interfaces lt-0/0/0 unit 0 encapsulation frame-relay dlci 100 peer-unit 1 family inet address 192.0.2.1/16user@host#set interfaces lt-0/0/0 unit 1 encapsulation frame-relay dlci 100 peer-unit 0 family inet address 192.0.2.2/16Konfigurieren Sie Sicherheitszonen.
{device R1} [edit] user@host#set security zones security-zone Primary-VR-zone host-inbound-traffic system-services alluser@host#set security zones security-zone Primary-VR-zone host-inbound-traffic protocols alluser@host#set security zones security-zone Primary-VR-zone interfaces ge-0/0/2.0user@host#set security zones security-zone Primary-VR-zone interfaces lt-0/0/0.0user@host#set security zones security-zone Internet-VR-zone host-inbound-traffic system-services alluser@host#set security zones security-zone Internet-VR-zone host-inbound-traffic protocols alluser@host#set security zones security-zone Internet-VR-zone interfaces ge-0/0/3.0user@host#set security zones security-zone Internet-VR-zone interfaces lt-0/0/0.1Konfigurieren Sie Richtlinien.
{device R1} [edit] user@host#set security policies default-policy permit-allKonfigurieren Sie eine Routinginstanz für virtuelle Geräte.
{device R1} [edit] user@host#set routing-instances Internet-VR instance-type virtual-router interface lt-0/0/0.1user@host#set routing-instances Internet-VR instance-type virtual-router interface ge-0/0/3.0Aktivieren Sie OSPF auf allen Schnittstellen im Netzwerk.
{device R0} [edit] user@host#set protocols ospf area 0.0.0.0 interface ge-0/0/2.0{device R1 for Primary-VR} [edit] user@host#set protocols ospf area 0.0.0.0 interface ge-0/0/2.0user@host#set protocols ospf area 0.0.0.0 interface lt-0/0/0.0{device R1 for Internet-VR} [edit] user@host#set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface lt-0/0/0.1user@host#set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface ge-0/0/3.0{device R2} [edit] user@host#set protocols ospf area 0.0.0.0 interface ge-0/0/3Erstellen Sie einen Firewall-Filter, und definieren Sie einen Begriff für paketbasierten Weiterleitungsdatenverkehr.
{device R1} [edit] user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term then acceptuser@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term then packet-modeWenden Sie den Firewall-Filter auf die relevanten Schnittstellen an.
{device R1} [edit] user@host#set interfaces ge-0/0/2 unit 0 family inet filter input bypass-flow-filteruser@host#set interfaces lt-0/0/0 unit 0 family inet filter input bypass-flow-filter
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show security, show routing-instancesund show firewall eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
{device R0}
[edit]
user@host# show interfaces
ge-0/0/2 {
description “Connect to Primary-VR”
unit 0 {
family inet {
address 198.51.100.9/24
}
}
}
{device R0}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0/0 {
interface ge-0/0/2.0;
}
}
{device R2}
[edit]
user@host# show interfaces
ge-0/0/3 {
description “Connect to Internet-VR”
unit 0 {
family inet {
address 203.0.113.9/24;
}
}
}
{device R2}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0/0 {
interface ge-0/0/3.0;
}
}
{device R1}
[edit]
user@host# show interfaces
ge-0/0/2 {
description “Connect to R0”
unit 0 {
family inet {
filter {
input bypass-flow-filter;
}
address 198.51.100.10/24;
}
}
}
lt-0/0/0 {
unit 0 {
encapsulation frame-relay;
dlci 100;
peer-unit 1;
family inet {
filter {
input bypass-flow-filter
}
address 192.0.2.1/16;
}
}
unit 1{
encapsulation frame-relay;
dlci 100;
peer-unit 0;
family inet {
address 192.0.2.2/16 ;
}
}
}
{device R1}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0/0 {
interface ge-0/0/2.0;
interface lt-0/0/0.0;
}
}
{device R1}
[edit]
user@host# show firewall
filter bypass-flow-filter {
term bypass-flow-term {
then {
packet-mode;
accept;
}
}
}
{device R1}
[edit]
user@host# show routing-instances
Internet-VR {
instance-type virtual-router;
interface lt-0/0/0.1;
interface ge-0/0/3.0;
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/3.0;
lt-0/0/0.1;
}
}
}
}
{device R1}
[edit]
user@host# show security
security zone Primary-VR-zone {
host-inbound-traffic {
system-services {
all;
{
protocols {
all;
{
{
intefaces {
ge-0/0/2.0;
lt-0/0/0.0;
{
{
security zone Internet-VR-zone {
host-inbound-traffic {
system-services {
all;
{
protocols {
all;
}
}
intefaces {
ge-0/0/3.0;
lt-0/0/0.1;
{
{
policies {
default-policy {
permit-all;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der paketbasierten zu datenflussbasierten Konfiguration
- Überprüfen des Sitzungsaufbaus im LAN-Datenverkehr
- Überprüfen des Sitzungsaufbaus im Internetdatenverkehr
Überprüfen der paketbasierten zu datenflussbasierten Konfiguration
Zweck
Stellen Sie sicher, dass die selektiven zustandslosen paketbasierten Dienste für paketbasierte zu-Flow-basierte Weiterleitung konfiguriert sind.
Aktion
Geben Sie im Konfigurationsmodus die show interfacesBefehle , show protocols, show security, show routing-instancesund show firewall ein.
Stellen Sie sicher, dass die Ausgabe die beabsichtigte Konfiguration des Firewallfilters, der Routing-Instanzen, Schnittstellen und Richtlinien anzeigt.
Stellen Sie sicher, dass die Begriffe in der Reihenfolge aufgeführt sind, in der die Pakete getestet werden sollen. Sie können Begriffe innerhalb eines Firewallfilters verschieben, indem Sie den insert Befehl verwenden.
Überprüfen des Sitzungsaufbaus im LAN-Datenverkehr
Zweck
Stellen Sie sicher, dass die Sitzungen eingerichtet werden, wenn Datenverkehr über Schnittstellen innerhalb des LANs übertragen wird.
Aktion
Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob Sitzungen eingerichtet wurden:
Geben Sie auf dem Gerät
R1im Betriebsmodus denclear security flow session allBefehl zum Löschen aller vorhandenen Sicherheitsflusssitzungen ein.Geben Sie auf dem Gerät
R0im Betriebsmodus denpingBefehl zum Übertragen des Datenverkehrs an das GerätPrimary-VRein.Geben Sie auf dem Gerät
R1, bei dem der Datenverkehr von GerätenR0R1über übertragen wird, aus dem Betriebsmodus denshow security flow sessionBefehl ein.
Um eingerichtete Sitzungen zu überprüfen, stellen Sie sicher, dass Sie den show security flow session Befehl eingeben, während der ping Befehl Pakete sendet und empfängt.
{device R0}
user@host> ping 192.0.2.1
PING 192.0.2.1 (192.0.2.1): 56 data bytes 64 bytes from 192.0.2.1: icmp_seq=0 ttl=63 time=2.208 ms 64 bytes from 192.0.2.1: icmp_seq=1 ttl=63 time=2.568 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=63 time=2.573 ms 64 bytes from 192.0.2.1: icmp_seq=3 ttl=63 time=2.310 ms 64 bytes from 192.0.2.1: icmp_seq=4 ttl=63 time=1.566 ms 64 bytes from 192.0.2.1: icmp_seq=5 ttl=63 time=1.569 ms ...
{device R1}
user@host> show security flow session
0 sessions displayed
Die Ausgabe zeigt den Datenverkehr an, der von R0 an Primary-VR übertragen wird, und es werden keine Sitzungen eingerichtet. In diesem Beispiel haben Sie den bypass-flow-filter Modifizierer mit der packet-mode Aktion auf Schnittstellen ge-0/0/0 und lt-0/0/0.0 für den LAN-Datenverkehr Ihres Unternehmens angewendet. Mit dieser Ausgabe wird überprüft, ob der Datenverkehr zwischen den beiden Schnittstellen die datenstrombasierte Weiterleitung ordnungsgemäß umgeht und daher keine Sitzungen aufgebaut werden.
Überprüfen des Sitzungsaufbaus im Internetdatenverkehr
Zweck
Stellen Sie sicher, dass Sitzungen eingerichtet werden, wenn Datenverkehr über das Internet übertragen wird.
Aktion
Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob der Datenverkehr zum Internet die datenstrombasierte Weiterleitung verwendet und Sitzungen eingerichtet werden:
Geben Sie auf dem Gerät
R1im Betriebsmodus denclear security flow session allBefehl zum Löschen aller vorhandenen Sicherheitsflusssitzungen ein.Geben Sie auf dem Gerät
R0im Betriebsmodus denpingBefehl zum Übertragen des Datenverkehrs an das GerätR2ein.Geben Sie auf dem Gerät
R1, auf dem der Datenverkehr vonR0bis durchR2R1übertragen wird, aus dem Betriebsmodus denshow security flow sessionBefehl ein.root@host> show security flow session Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
Um eingerichtete Sitzungen zu überprüfen, stellen Sie sicher, dass Sie den show security flow session Befehl eingeben, während der ping Befehl Pakete sendet und empfängt.
{device R0}
user@host> ping 192.0.2.1 -c 10
PING 60.0.0.1 (60.0.0.1) 56(84) bytes of data. 64 bytes from 192.0.2.1: icmp_seq=1 ttl=64 time=1.98 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=64 time=1.94 ms 64 bytes from 192.0.2.1: icmp_seq=3 ttl=64 time=1.92 ms 64 bytes from 192.0.2.1: icmp_seq=4 ttl=64 time=1.89 ms ...
{device R1}
user@host> show security flow session
Session ID: 189900, Policy name: default-policy/2, Timeout: 2 In: 198.51.100.9/0 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/0;icmp, If: ge-0/0/3.0 Session ID: 189901, Policy name: default-policy/2, Timeout: 2 In: 198.51.100.9/1 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/1;icmp, If: ge-0/0/3.0 Session ID: 189902, Policy name: default-policy/2, Timeout: 4 In: 198.51.100.9/2 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/2;icmp, If: ge-0/0/3.0 3 sessions displayed
Die Ausgabe zeigt den Datenverkehr, der von Geräten R0 an bestehende Sitzungen übertragen R2 wird. In diesem Beispiel haben Sie den bypass-flow-filter Modifizierer mit dem packet-mode Aktionsmodifizierer auf der Routinginstanz Internet-VR nicht auf den Internetdatenverkehr Ihres Unternehmens angewendet. Mit dieser Ausgabe wird überprüft, ob der Datenverkehr zum Internet mithilfe der datenstrombasierten Weiterleitung ordnungsgemäß erfolgt und daher Sitzungen eingerichtet werden.
Beachten Sie, dass Sitzungen nur eingerichtet werden, wenn Datenverkehr zwischen lt-0/0/0.1 und fließt, und ge-0/0/3 nicht, wenn Datenverkehr zwischen ge-0/0/2 und lt-0/0/0.0fließt.
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.