Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Verwenden einer filterbasierten Weiterleitung zur Weiterleitung des Anwendungsdatenverkehrs an ein Sicherheitsgerät

In diesem Beispiel wird das Einrichten einer filterbasierten Weiterleitung auf Switches der EX-Serie oder einem QFX10000 beschrieben. Sie können die filterbasierte Weiterleitung konfigurieren, indem Sie einen Firewall-Filter verwenden, um abgeglichenen Datenverkehr an eine bestimmte virtuelle Routing-Instanz weiterzuleiten.

Anforderungen

Dieses Beispiel gilt sowohl für Switches der EX-Serie mit Junos OS Version 9.4 oder höher als auch für QFX10000-Switches mit Junos OS-Version 15.1X53-D10 oder höher.

Übersicht und Topologie

In diesem Beispiel erstellen wir einen Firewall-Filter, der den Datenverkehr, der von einem Anwendungsserver zu einem anderen gesendet wird, entsprechend der Zieladresse (192.168.0.1) der Pakete, die den Quellanwendungsserver eingehen, entspricht. Übereinstimmende Pakete werden an eine virtuelle Routing-Instanz geroutet, die den Datenverkehr an ein Sicherheitsgerät weiterleite, das dann an den Zielanwendungsserver weiterleite.

HINWEIS:

Filterbasierte Weiterleitung funktioniert nicht mit IPv6-Schnittstellen auf einigen Juniper Switches.

Konfiguration

So konfigurieren Sie die filterbasierte Weiterleitung:

CLI-Schnellkonfiguration

Um dieses Beispiel auf Ihrem eigenen Gerät zu verwenden, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie die Zeilenumbrüche und ändern Sie die erforderlichen Details, um ihre Konfiguration zu passen. Kopieren Sie dann die Befehle und fügen Sie sie in Ihre CLI auf [edit] Hierarchieebene ein.

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die filterbasierte Weiterleitung:

  1. Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Anwendungsserver:

  2. Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Sicherheitsgerät:

  3. Erstellen Sie einen Firewall-Filter, der pakete entspricht, basierend auf der Adresse des Anwendungsservers, von dem der Datenverkehr gesendet wird. Konfigurieren Sie den Filter auch so, dass er nur TCP-Pakete entspricht:

  4. Wenden Sie den Filter auf die Schnittstelle an, die mit dem Quellanwendungsserver verbindet, und konfigurieren Sie ihn so, dass eingehende Pakete übereinstimmen:

  5. Erstellen Sie einen virtuellen Router:

  6. Verknüpfen Sie den virtuellen Router mit der Schnittstelle, die mit dem Sicherheitsgerät verbunden ist:

  7. Konfigurieren Sie die Routing-Informationen für die virtuelle Routing-Instanz:

  8. Richten Sie den Filter so ein, dass Pakete an den virtuellen Router weitergeleitet werden:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Konfiguration der filterbasierten Weiterleitung

Zweck

Stellen Sie sicher, dass die filterbasierte Weiterleitung auf dem Switch ordnungsgemäß aktiviert ist.

Aktion

  1. Verwenden Sie den show interfaces filters Folgenden Befehl:

  2. Verwenden Sie den show route forwarding-table Folgenden Befehl:

Bedeutung

Die Ausgabe zeigt an, dass der Filter auf der Schnittstelle erstellt wurde und dass die virtuelle Routing-Instanz den entsprechenden Datenverkehr an die richtige IP-Adresse weiterleitt.