Auf dieser Seite
Beispiel: Verwenden der filterbasierten Weiterleitung zum Weiterleiten von Anwendungsdatenverkehr an ein Sicherheitsgerät
In diesem Beispiel wird beschrieben, wie Sie die filterbasierte Weiterleitung auf Switches der EX-Serie oder einem QFX10000 einrichten. Sie können die filterbasierte Weiterleitung konfigurieren, indem Sie einen Firewallfilter verwenden, um übereinstimmenden Datenverkehr an eine bestimmte virtuelle Routinginstanz weiterzuleiten.
Anforderungen
Dieses Beispiel gilt sowohl für Switches der EX-Serie, auf denen Junos OS Version 9.4 oder höher ausgeführt wird, als auch für QFX10000 Switches, auf denen Junos OS Version 15.1X53-D10 oder höher ausgeführt wird.
Übersicht und Topologie
In diesem Beispiel erstellen wir einen Firewall-Filter, um den Datenverkehr abzugleichen, der von einem Anwendungsserver zu einem anderen gesendet wird, entsprechend der Zieladresse (192.168.0.1) der Pakete, die den Quellanwendungsserver verlassen. Übereinstimmende Pakete werden an eine virtuelle Routing-Instanz weitergeleitet, die den Datenverkehr an ein Sicherheitsgerät weiterleitet, das den Datenverkehr dann an den Zielanwendungsserver weiterleitet.
Die filterbasierte Weiterleitung funktioniert bei einigen Juniper Switches nicht mit IPv6-Schnittstellen.
Konfiguration
So konfigurieren Sie die filterbasierte Weiterleitung:
CLI-Schnellkonfiguration
Um dieses Beispiel auf Ihrem eigenen Gerät zu verwenden, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie die Zeilenumbrüche und ändern Sie die erforderlichen Details entsprechend Ihrer Konfiguration. Kopieren Sie dann die Befehle, und fügen Sie sie auf Hierarchieebene in Ihre CLI ein.[edit]
[edit] set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24 set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32 set firewall family inet filter f1 term t1 from protocol tcp set interfaces xe-0/0/0 unit 0 family inet filter input f1 set routing-instances vrf01 instance-type virtual-router set routing-instances vrf01 interface xe-0/0/3.0 set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254 set firewall family inet filter f1 term t1 then routing-instance vrf01
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die filterbasierte Weiterleitung:
Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Anwendungsserver:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Sicherheitsgerät:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
Erstellen Sie einen Firewallfilter, der Pakete basierend auf der Adresse des Anwendungsservers abgleicht, von dem der Datenverkehr gesendet wird. Konfigurieren Sie den Filter außerdem so, dass er nur mit TCP-Paketen übereinstimmt:
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
Wenden Sie den Filter auf die Schnittstelle an, die eine Verbindung zum Quellanwendungsserver herstellt, und konfigurieren Sie ihn so, dass er mit eingehenden Paketen übereinstimmt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
Erstellen Sie einen virtuellen Router:
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
Verknüpfen Sie den virtuellen Router mit der Schnittstelle, die eine Verbindung zum Sicherheitsgerät herstellt:
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
Konfigurieren Sie die Routing-Informationen für die virtuelle Routing-Instanz:
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
Legen Sie den Filter so fest, dass Pakete an den virtuellen Router weitergeleitet werden:
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration interfaces { xe-0/0/0 { unit 0 { family inet { filter { input f1; } address 10.1.0.1/24; } } } xe-0/0/3 { unit 0 { family inet { address 10.1.3.1/24; } } } } firewall { family inet { filter f1 { term t1 { from { source-address { 10.1.0.50/32; } protocol tcp; } then { routing-instance vrf01; } } } } } routing-instances { vrf01 { instance-type virtual-router; interface xe-0/0/3.0; routing-options { static { route 192.168.0.1/24 next-hop 10.1.3.254; } } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob die filterbasierte Weiterleitung konfiguriert wurde
Zweck
Stellen Sie sicher, dass die filterbasierte Weiterleitung auf dem Switch ordnungsgemäß aktiviert wurde.
Was
Verwenden Sie den Befehl:
show interfaces filters
user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
Verwenden Sie den Befehl:
show route forwarding-table
user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
Bedeutung
Die Ausgabe gibt an, dass der Filter auf der Schnittstelle erstellt wurde und dass die virtuelle Routinginstanz übereinstimmenden Datenverkehr an die richtige IP-Adresse weiterleitet.