Auf dieser Seite
Beispiel: Verwenden einer filterbasierten Weiterleitung zur Weiterleitung des Anwendungsdatenverkehrs an ein Sicherheitsgerät
In diesem Beispiel wird das Einrichten einer filterbasierten Weiterleitung auf Switches der EX-Serie oder einem QFX10000 beschrieben. Sie können die filterbasierte Weiterleitung konfigurieren, indem Sie einen Firewall-Filter verwenden, um abgeglichenen Datenverkehr an eine bestimmte virtuelle Routing-Instanz weiterzuleiten.
Anforderungen
Dieses Beispiel gilt sowohl für Switches der EX-Serie mit Junos OS Version 9.4 oder höher als auch für QFX10000-Switches mit Junos OS-Version 15.1X53-D10 oder höher.
Übersicht und Topologie
In diesem Beispiel erstellen wir einen Firewall-Filter, der den Datenverkehr, der von einem Anwendungsserver zu einem anderen gesendet wird, entsprechend der Zieladresse (192.168.0.1) der Pakete, die den Quellanwendungsserver eingehen, entspricht. Übereinstimmende Pakete werden an eine virtuelle Routing-Instanz geroutet, die den Datenverkehr an ein Sicherheitsgerät weiterleite, das dann an den Zielanwendungsserver weiterleite.
Filterbasierte Weiterleitung funktioniert nicht mit IPv6-Schnittstellen auf einigen Juniper Switches.
Konfiguration
So konfigurieren Sie die filterbasierte Weiterleitung:
CLI-Schnellkonfiguration
Um dieses Beispiel auf Ihrem eigenen Gerät zu verwenden, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie die Zeilenumbrüche und ändern Sie die erforderlichen Details, um ihre Konfiguration zu passen. Kopieren Sie dann die Befehle und fügen Sie sie in Ihre CLI auf [edit]
Hierarchieebene ein.
[edit] set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24 set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32 set firewall family inet filter f1 term t1 from protocol tcp set interfaces xe-0/0/0 unit 0 family inet filter input f1 set routing-instances vrf01 instance-type virtual-router set routing-instances vrf01 interface xe-0/0/3.0 set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254 set firewall family inet filter f1 term t1 then routing-instance vrf01
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie die filterbasierte Weiterleitung:
Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Anwendungsserver:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
Konfigurieren Sie eine Schnittstelle für die Verbindung mit dem Sicherheitsgerät:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
Erstellen Sie einen Firewall-Filter, der pakete entspricht, basierend auf der Adresse des Anwendungsservers, von dem der Datenverkehr gesendet wird. Konfigurieren Sie den Filter auch so, dass er nur TCP-Pakete entspricht:
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
Wenden Sie den Filter auf die Schnittstelle an, die mit dem Quellanwendungsserver verbindet, und konfigurieren Sie ihn so, dass eingehende Pakete übereinstimmen:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
Erstellen Sie einen virtuellen Router:
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
Verknüpfen Sie den virtuellen Router mit der Schnittstelle, die mit dem Sicherheitsgerät verbunden ist:
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
Konfigurieren Sie die Routing-Informationen für die virtuelle Routing-Instanz:
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
Richten Sie den Filter so ein, dass Pakete an den virtuellen Router weitergeleitet werden:
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration interfaces { xe-0/0/0 { unit 0 { family inet { filter { input f1; } address 10.1.0.1/24; } } } xe-0/0/3 { unit 0 { family inet { address 10.1.3.1/24; } } } } firewall { family inet { filter f1 { term t1 { from { source-address { 10.1.0.50/32; } protocol tcp; } then { routing-instance vrf01; } } } } } routing-instances { vrf01 { instance-type virtual-router; interface xe-0/0/3.0; routing-options { static { route 192.168.0.1/24 next-hop 10.1.3.254; } } } }
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfung der Konfiguration der filterbasierten Weiterleitung
Zweck
Stellen Sie sicher, dass die filterbasierte Weiterleitung auf dem Switch ordnungsgemäß aktiviert ist.
Aktion
Verwenden Sie den
show interfaces filters
Folgenden Befehl:user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
Verwenden Sie den
show route forwarding-table
Folgenden Befehl:user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
Bedeutung
Die Ausgabe zeigt an, dass der Filter auf der Schnittstelle erstellt wurde und dass die virtuelle Routing-Instanz den entsprechenden Datenverkehr an die richtige IP-Adresse weiterleitt.