Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Verwendung filterbasierter Weiterleitung zur Weiterleitung des Anwendungsdatenverkehrs an ein Sicherheitsgerät

In diesem Beispiel wird beschrieben, wie filterbasierte Weiterleitung auf Switches der EX-Serie oder einem QFX10000 eingerichtet wird. Sie können die filterbasierte Weiterleitung konfigurieren, indem Sie einen Firewall-Filter verwenden, um den entsprechenden Datenverkehr an eine bestimmte virtuelle Routinginstanz weiterzuleiten.

Anforderungen

Dieses Beispiel gilt für Switches der EX-Serie, auf denen Junos OS Version 9.4 oder höher ausgeführt wird, und QFX10000-Switches mit Junos OS Version 15.1X53-D10 oder höher.

Überblick und Topologie

In diesem Beispiel erstellen wir einen Firewall-Filter, der dem Datenverkehr entspricht, der von einem Anwendungsserver an einen anderen gesendet wird, entsprechend der Zieladresse (192.168.0.1) von Paketen, die den Quellanwendungsserver eingehen. Übereinstimmende Pakete werden an eine virtuelle Routing-Instanz geroutet, die den Datenverkehr an ein Sicherheitsgerät weiterleite und den Datenverkehr dann an den Zielanwendungsserver weiterleite.

Anmerkung:

Die filterbasierte Weiterleitung funktioniert auf einigen Juniper-Switches nicht mit IPv6-Schnittstellen.

Konfiguration

So konfigurieren Sie filterbasierte Weiterleitung:

CLI-Schnellkonfiguration

Um dieses Beispiel auf Ihrem eigenen Gerät zu verwenden, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie die Zeilenumbrüche und ändern Sie die erforderlichen Details, um Ihre Konfiguration anzupassen. Kopieren Sie dann die Befehle, und fügen Sie sie auf Hierarchieebene in Ihre [edit] CLI ein.

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie filterbasierte Weiterleitung:

  1. Konfigurieren einer Schnittstelle für die Verbindung mit dem Anwendungsserver:

  2. Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Sicherheitsgerät:

  3. Erstellen Sie einen Firewall-Filter, der pakete entsprechend der Adresse des Anwendungsservers abgleicht, von dem der Datenverkehr gesendet wird. Konfigurieren Sie den Filter auch so, dass nur TCP-Pakete übereinstimmen:

  4. Wenden Sie den Filter auf die Schnittstelle an, die sich mit dem Quellanwendungsserver verbindet, und konfigurieren Sie ihn so, dass er mit eingehenden Paketen übereinstimmt:

  5. Virtuellen Router erstellen:

  6. Assoziieren Sie den virtuellen Router mit der Schnittstelle, die sich mit dem Sicherheitsgerät verbindet:

  7. Konfigurieren Sie die Routing-Informationen für die virtuelle Routing-Instanz:

  8. Legen Sie den Filter fest, um Pakete an den virtuellen Router weiterzuleiten:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:

Überprüfen der Konfiguration filterbasierter Weiterleitung

Zweck

Überprüfen Sie, ob die filterbasierte Weiterleitung auf dem Switch ordnungsgemäß aktiviert war.

Aktion

  1. Verwenden Sie den show interfaces filters Befehl:

  2. Verwenden Sie den show route forwarding-table Befehl:

Bedeutung

Die Ausgabe gibt an, dass der Filter an der Schnittstelle erstellt wurde und dass die virtuelle Routinginstanz den datenverkehrsabgleichenden Datenverkehr an die richtige IP-Adresse leitet.