Auf dieser Seite
Beispiel: Verwendung filterbasierter Weiterleitung zur Weiterleitung des Anwendungsdatenverkehrs an ein Sicherheitsgerät
In diesem Beispiel wird beschrieben, wie filterbasierte Weiterleitung auf Switches der EX-Serie oder einem QFX10000 eingerichtet wird. Sie können die filterbasierte Weiterleitung konfigurieren, indem Sie einen Firewall-Filter verwenden, um den entsprechenden Datenverkehr an eine bestimmte virtuelle Routinginstanz weiterzuleiten.
Anforderungen
Dieses Beispiel gilt für Switches der EX-Serie, auf denen Junos OS Version 9.4 oder höher ausgeführt wird, und QFX10000-Switches mit Junos OS Version 15.1X53-D10 oder höher.
Überblick und Topologie
In diesem Beispiel erstellen wir einen Firewall-Filter, der dem Datenverkehr entspricht, der von einem Anwendungsserver an einen anderen gesendet wird, entsprechend der Zieladresse (192.168.0.1) von Paketen, die den Quellanwendungsserver eingehen. Übereinstimmende Pakete werden an eine virtuelle Routing-Instanz geroutet, die den Datenverkehr an ein Sicherheitsgerät weiterleite und den Datenverkehr dann an den Zielanwendungsserver weiterleite.
Die filterbasierte Weiterleitung funktioniert auf einigen Juniper-Switches nicht mit IPv6-Schnittstellen.
Konfiguration
So konfigurieren Sie filterbasierte Weiterleitung:
CLI-Schnellkonfiguration
Um dieses Beispiel auf Ihrem eigenen Gerät zu verwenden, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie die Zeilenumbrüche und ändern Sie die erforderlichen Details, um Ihre Konfiguration anzupassen. Kopieren Sie dann die Befehle, und fügen Sie sie auf Hierarchieebene in Ihre [edit] CLI ein.
[edit]
set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24
set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24
set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32
set firewall family inet filter f1 term t1 from protocol tcp
set interfaces xe-0/0/0 unit 0 family inet filter input f1
set routing-instances vrf01 instance-type virtual-router
set routing-instances vrf01 interface xe-0/0/3.0
set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
set firewall family inet filter f1 term t1 then routing-instance vrf01 Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie filterbasierte Weiterleitung:
Konfigurieren einer Schnittstelle für die Verbindung mit dem Anwendungsserver:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Sicherheitsgerät:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
Erstellen Sie einen Firewall-Filter, der pakete entsprechend der Adresse des Anwendungsservers abgleicht, von dem der Datenverkehr gesendet wird. Konfigurieren Sie den Filter auch so, dass nur TCP-Pakete übereinstimmen:
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
Wenden Sie den Filter auf die Schnittstelle an, die sich mit dem Quellanwendungsserver verbindet, und konfigurieren Sie ihn so, dass er mit eingehenden Paketen übereinstimmt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
Virtuellen Router erstellen:
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
Assoziieren Sie den virtuellen Router mit der Schnittstelle, die sich mit dem Sicherheitsgerät verbindet:
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
Konfigurieren Sie die Routing-Informationen für die virtuelle Routing-Instanz:
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
Legen Sie den Filter fest, um Pakete an den virtuellen Router weiterzuleiten:
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input f1;
}
address 10.1.0.1/24;
}
}
}
xe-0/0/3 {
unit 0 {
family inet {
address 10.1.3.1/24;
}
}
}
}
firewall {
family inet {
filter f1 {
term t1 {
from {
source-address {
10.1.0.50/32;
}
protocol tcp;
}
then {
routing-instance vrf01;
}
}
}
}
}
routing-instances {
vrf01 {
instance-type virtual-router;
interface xe-0/0/3.0;
routing-options {
static {
route 192.168.0.1/24 next-hop 10.1.3.254;
}
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
Überprüfen der Konfiguration filterbasierter Weiterleitung
Zweck
Überprüfen Sie, ob die filterbasierte Weiterleitung auf dem Switch ordnungsgemäß aktiviert war.
Aktion
Verwenden Sie den
show interfaces filtersBefehl:user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
Verwenden Sie den
show route forwarding-tableBefehl:user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
Bedeutung
Die Ausgabe gibt an, dass der Filter an der Schnittstelle erstellt wurde und dass die virtuelle Routinginstanz den datenverkehrsabgleichenden Datenverkehr an die richtige IP-Adresse leitet.