Auf dieser Seite
Beispiel: Filterbasierte Weiterleitung auf logischen Systemen konfigurieren
In diesem Beispiel wird gezeigt, wie die filterbasierte Weiterleitung in einem logischen System konfiguriert wird. Der Filter klassifiziert Pakete, um ihren Weiterleitungspfad innerhalb des Eingangs-Routing-Geräts zu bestimmen.
Anforderungen
In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Filterbasierte Weiterleitung wird für IP Version 4 (IPv4) und IP Version 6 (IPv6) unterstützt.
Verwenden Sie filterbasierte Weiterleitung für die Auswahl von Service Providern, wenn Kunden über eine Internetverbindung verfügen, die von verschiedenen ISPs bereitgestellt wird, aber eine gemeinsame Zugriffsschicht verwendet. Wenn ein gemeinsam genutztes Medium (z. B. ein Kabelmodem) verwendet wird, prüft ein Mechanismus auf der gemeinsamen Zugriffsebene Layer-2- oder Layer-3-Adressen und unterscheidet zwischen Kunden. Sie können die filterbasierte Weiterleitung verwenden, wenn die gemeinsame Zugriffsebene mit einer Kombination aus Layer-2-Switches und einem einzelnen Router implementiert wird.
Bei der filterbasierten Weiterleitung werden alle Pakete berücksichtigt, die auf einer Schnittstelle empfangen werden. Jedes Paket durchläuft einen Filter mit Übereinstimmungsbedingungen. Wenn die Übereinstimmungsbedingungen für einen Filter erfüllt sind und Sie eine Routing-Instanz erstellt haben, wird die filterbasierte Weiterleitung auf ein Paket angewendet. Das Paket wird basierend auf dem nächsten Hop weitergeleitet, der in der Routinginstanz angegeben ist. Bei statischen Routen kann der nächste Hop ein bestimmter LSP sein.
Der Abgleich von Quellklassenverwendungsfiltern und Unicast-Reverse-Path-Weiterleitungsprüfungen werden auf einer Schnittstelle, die mit filterbasierter Weiterleitung (FBF) konfiguriert ist, nicht unterstützt.
Um die filterbasierte Weiterleitung zu konfigurieren, führen Sie die folgenden Aufgaben aus:
Erstellen Sie einen Übereinstimmungsfilter auf einem Eingangsrouter oder -switch. Um einen Übereinstimmungsfilter anzugeben, schließen Sie die
filter filter-nameAnweisung auf Hierarchieebene[edit firewall]ein. Ein Paket, das den Filter passiert, wird mit einem Satz von Regeln verglichen, um es zu klassifizieren und seine Zugehörigkeit zu einem Satz zu bestimmen. Nach der Klassifizierung wird das Paket an eine Routing-Tabelle weitergeleitet, die in der Accept-Aktion in der Filterbeschreibungssprache angegeben ist. Die Routing-Tabelle leitet das Paket dann an den nächsten Hop weiter, der dem Zieladresseintrag in der Tabelle entspricht.Erstellen Sie Routing-Instanzen, die die Routing-Tabelle(n) angeben, an die ein Paket weitergeleitet wird, und das Ziel, an das das Paket auf der
[edit routing-instances]Hierarchieebene "oder[edit logical-systems logical-system-name routing-instances]" weitergeleitet wird. Beispiele:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }Erstellen Sie eine Routing-Tabellengruppe, die Schnittstellenrouten zu den Weiterleitungs-Routinginstanzen hinzufügt, die bei der filterbasierten Weiterleitung (FBF) verwendet werden, sowie zur Standard-Routinginstanz
inet.0. In diesem Teil der Konfiguration werden die in den Routing-Instanzen installierten Routen in direkt verbundene Next Hops auf dieser Schnittstelle aufgelöst. Erstellen Sie die Routing-Tabellengruppe auf der[edit routing-options]Hierarchieebene oder[edit logical-systems logical-system-name routing-options].
Geben Sie als eine der Routing-Instanzen an inet.0 , in die die Schnittstellenrouten importiert werden. Wenn die Standardinstanz inet.0 nicht angegeben ist, werden Schnittstellenrouten nicht in die Standard-Routinginstanz importiert.
Dieses Beispiel zeigt einen Paketfilter, der den Kundendatenverkehr basierend auf der Quelladresse des Pakets an einen Next-Hop-Router in den Domänen SP 1 oder SP 2 weiterleitet.
Wenn dem Paket eine Quelladresse zugewiesen ist, die einem SP 1-Kunden zugewiesen ist, erfolgt die zielbasierte Weiterleitung über die Routing-Tabelle sp1-route-table.inet.0. Wenn dem Paket eine Quelladresse zugewiesen ist, die einem SP 2-Kunden zugewiesen ist, erfolgt die zielbasierte Weiterleitung über die Routing-Tabelle sp2-route-table.inet.0. Wenn ein Paket keine dieser Bedingungen erfüllt, akzeptiert der Filter das Paket, und die zielbasierte Weiterleitung erfolgt unter Verwendung der standardmäßigen inet.0-Routingtabelle.
Eine Möglichkeit, filterbasierte Weiterleitung innerhalb eines logischen Systems zum Funktionieren zu bringen, besteht darin, den Firewallfilter auf dem logischen System zu konfigurieren, das die Pakete empfängt. Eine andere Möglichkeit besteht darin, den Firewallfilter auf dem Hauptrouter zu konfigurieren und dann im Firewallfilter auf das logische System zu verweisen. In diesem Beispiel wird der zweite Ansatz verwendet. Die spezifischen Routing-Instanzen werden innerhalb des logischen Systems konfiguriert. Da jede Routing-Instanz über eine eigene Routing-Tabelle verfügt, müssen Sie auch im Firewall-Filter auf die Routing-Instanzen verweisen. Die Syntax sieht wie folgt aus:
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
Topologie
Abbildung 1 Zeigt die in diesem Beispiel verwendete Topologie.
Auf dem logischen System P1 klassifiziert ein Eingabefilter Pakete, die vom logischen System PE3 und vom logischen System PE4 empfangen werden. Die Pakete werden basierend auf den Quelladressen geroutet. Pakete mit Quelladressen in den Netzwerken 10.1.1.0/24 und 10.1.2.0/24 werden an das logische System PE1 weitergeleitet. Pakete mit Quelladressen in den Netzwerken 10.2.1.0/24 und 10.2.2.0/24 werden an das logische System PE2 weitergeleitet.
Um die Konnektivität herzustellen, wird OSPF auf allen Schnittstellen konfiguriert. Zu Demonstrationszwecken werden Loopback-Schnittstellenadressen auf den Routing-Geräten so konfiguriert, dass sie Netzwerke in den Clouds darstellen.
In diesem CLI-Schnellkonfiguration Abschnitt wird die gesamte Konfiguration für alle Geräte in der Topologie angezeigt. Die Konfiguration der Routing-Instanzen auf dem logischen System P1 Abschnitte und Konfigurieren des Firewall-Filters auf dem Hauptrouter zeigen die Schritt-für-Schritt-Konfiguration des Eingangsroutinggeräts Logisches System P1.
Konfiguration
- CLI-Schnellkonfiguration
- Konfigurieren des Firewall-Filters auf dem Hauptrouter
- Konfiguration der Routing-Instanzen auf dem logischen System P1
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
Konfigurieren des Firewall-Filters auf dem Hauptrouter
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Firewall-Filter auf dem Hauptrouter:
Konfigurieren Sie die Quelladressen für SP1-Kunden.
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
Konfigurieren Sie die Aktionen, die ausgeführt werden, wenn Pakete mit den angegebenen Quelladressen empfangen werden.
Um die Aktion des Firewallfilters zu verfolgen, wird eine Protokollaktion konfiguriert. Die Routing-Tabelle sp1-route-table.inet.0 auf dem logischen System P1 leitet die Pakete weiter.
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
Konfigurieren Sie die Quelladressen für SP2-Kunden.
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
Konfigurieren Sie die Aktionen, die ausgeführt werden, wenn Pakete mit den angegebenen Quelladressen empfangen werden.
Um die Aktion des Firewallfilters zu verfolgen, wird eine Protokollaktion konfiguriert. Die Routing-Tabelle sp2-route-table.inet.0 auf dem logischen System P1 leitet das Paket weiter.
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
Konfigurieren Sie die Aktion, die ausgeführt werden soll, wenn Pakete von einer anderen Quelladresse empfangen werden.
Alle diese Pakete werden einfach akzeptiert und über die standardmäßige IPv4-Unicast-Routing-Tabelle inet.0 geroutet.
[edit firewall filter classify-customers term default] user@host# set then accept
Konfiguration der Routing-Instanzen auf dem logischen System P1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Routing-Instanzen auf einem logischen System:
Konfigurieren Sie die Schnittstellen auf dem logischen System.
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
Weisen Sie den
classify-customersFirewall-Filter der Routerschnittstelle lt-1/2/0.10 als Eingangspaketfilter zu.[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
Konfigurieren Sie die Konnektivität entweder über ein Routing-Protokoll oder über statisches Routing.
Es empfiehlt sich, das Routing auf der Verwaltungsschnittstelle zu deaktivieren.
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
Erstellen Sie die Routing-Instanzen.
Auf diese Routing-Instanzen wird im Firewallfilter
classify-customersverwiesen.Der Weiterleitungs-Instance-Typ bietet Unterstützung für filterbasierte Weiterleitung, bei der Schnittstellen nicht mit Instances verknüpft sind. Alle Schnittstellen gehören zur Standardinstanz, in diesem Fall zum logischen System P1.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
Lösen Sie die in den Routing-Instanzen installierten Routen in direkt verbundene nächste Hops auf.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
Gruppieren Sie die Routing-Tabellen, um eine Routing-Tabellengruppe zu bilden.
Die erste Routing-Tabelle, inet.0, ist die primäre Routing-Tabelle, und die zusätzlichen Routing-Tabellen sind die sekundären Routing-Tabellen.
Die primäre Routing-Tabelle bestimmt die Adressfamilie der Routing-Tabellengruppe, in diesem Fall IPv4.
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
Wenden Sie die Routing-Tabellengruppe auf OSPF an.
Dies bewirkt, dass die OSPF-Routen in allen Routing-Tabellen in der Gruppe installiert werden.
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie die show firewall Befehle und show logical-systems P1 eingeben.
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show logical-systems P1
interfaces {
lt-1/2/0 {
unit 10 {
encapsulation ethernet;
peer-unit 9;
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
unit 13 {
encapsulation ethernet;
peer-unit 14;
family inet {
address 172.16.0.13/30;
}
}
unit 17 {
encapsulation ethernet;
peer-unit 18;
family inet {
address 172.16.0.17/30;
}
}
}
}
protocols {
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
}
routing-instances {
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.13;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.17;
}
}
}
}
routing-options {
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Pingen mit angegebenen Quelladressen
Zweck
Senden Sie einige ICMP-Pakete über das Netzwerk, um den Firewallfilter zu testen.
Action!
Melden Sie sich am logischen System PE3 an.
user@host> set cli logical-system PE3 Logical system: PE3
Führen Sie den
pingBefehl aus, und pingen Sie die lo0.3-Schnittstelle auf dem logischen System PE1 an.Die auf dieser Schnittstelle konfigurierte Adresse lautet 172.16.1.1.
Geben Sie die Quelladresse 10.1.2.1 an, bei der es sich um die Adresse handelt, die auf der Schnittstelle lo0.1 des logischen Systems PE3 konfiguriert ist.
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
Melden Sie sich am logischen System PE4 an.
user@host:PE3> set cli logical-system PE4 Logical system: PE4
Führen Sie den
pingBefehl aus, und pingen Sie die Schnittstelle lo0.4 auf dem logischen System PE2 an.Die auf dieser Schnittstelle konfigurierte Adresse lautet 172.16.2.2.
Geben Sie die Quelladresse 10.2.1.1 an, bei der es sich um die Adresse handelt, die auf der Schnittstelle lo0.2 des logischen Systems PE4 konfiguriert ist.
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
Bedeutung
Durch das Senden dieser Pings werden die Firewall-Filteraktionen aktiviert.
Überprüfen des Firewall-Filters
Zweck
Stellen Sie sicher, dass die Firewallfilteraktionen wirksam werden.
Action!
Melden Sie sich am logischen System P1 an.
user@host> set cli logical-system P1 Logical system: P1
Führen Sie den
show firewall logBefehl auf dem logischen System P1 aus.user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1