Auf dieser Seite
Beispiel: Filterbasierte Weiterleitung an eine bestimmte ausgehende Schnittstelle oder Ziel-IP-Adresse konfigurieren
Grundlegendes zur filterbasierten Weiterleitung an eine bestimmte ausgehende Schnittstelle oder Ziel-IP-Adresse
Richtlinienbasiertes Routing (auch als filterbasierte Weiterleitung bezeichnet) bezieht sich auf die Verwendung von Firewall-Filtern, die auf eine Schnittstelle angewendet werden, um bestimmte IP-Header-Merkmale zu erfüllen und nur die übereinstimmenden Pakete anders weiterzuleiten, als die Pakete normalerweise weitergeleitet würden.
Ab Junos OS Version 12.2 können Sie , then next-ipoder then next-ip6 als Aktion in einem Firewall-Filterverwendenthen next-interface . Unter bestimmten Übereinstimmungsbedingungen können IPv4- und IPv6-Adressen oder ein Schnittstellenname als Antwortaktion auf eine Übereinstimmung angegeben werden.
Die Übereinstimmungsbedingungen können wie folgt lauten:
Layer-3-Eigenschaften (z. B. die Quell- oder Ziel-IP-Adresse oder das TOS-Byte)
Layer-4-Eigenschaften (z. B. Quell- oder Zielport)
Die Route für die angegebene IPv4- oder IPv6-Adresse muss in der Routing-Tabelle vorhanden sein, damit richtlinienbasiertes Routing wirksam wird. Ebenso muss die Route durch die angegebene Schnittstelle in der Weiterleitungstabelle vorhanden sein, damit next-interface die Aktion wirksam wird. Dies kann erreicht werden, indem ein Interior Gateway Protocol (IGP) wie OSPF oder IS-IS konfiguriert wird, um Layer-3-Routen anzukündigen.
Der Firewallfilter erfüllt die Bedingungen und leitet das Paket an eine der folgenden Stellen weiter:
Eine IPv4-Adresse (mithilfe der
next-ipFirewall-Filteraktion)Eine IPv6-Adresse (mithilfe der
next-ip6Firewall-Filteraktion)Eine Schnittstelle (mithilfe der
next-interfaceFirewall-Filteraktion)
Angenommen, Sie möchten Ihren Kunden Dienste anbieten, und die Dienste befinden sich auf verschiedenen Servern. Ein Beispiel für einen Dienst könnte gehostetes DNS oder gehostetes FTP sein. Wenn der Kundendatenverkehr am Routinggerät von Juniper Networks eintrifft, können Sie die filterbasierte Weiterleitung verwenden, um Datenverkehr an die Server zu senden, indem Sie eine Übereinstimmungsbedingung auf eine MAC-Adresse oder eine IP-Adresse oder einfach auf eine eingehende Schnittstelle anwenden und die Pakete an eine bestimmte ausgehende Schnittstelle senden, die dem entsprechenden Server zugeordnet ist. Einige Ihrer Ziele können IPv4- oder IPv6-Adressen sein, in diesem Fall ist die next-ip oder-Aktion next-ip6 nützlich.
Optional können Sie die ausgehenden Schnittstellen oder IP-Adressen Routing-Instanzen zuordnen.
Beispiele:
firewall {
filter filter1 {
term t1 {
from {
source-address {
10.1.1.3/32;
}
}
then {
next-interface {
xe-0/1/0.1;
routing-instance rins1;
}
}
}
term t2 {
from {
source-address {
10.1.1.4/32;
}
}
then {
next-interface {
xe-0/1/0.2;
routing-instance rins2;
}
}
}
}
}
routing-instances {
rins1 {
instance-type virtual-router;
interface xe-0/1/0.1;
}
rins2 {
instance-type virtual-router;
interface xe-0/1/0.2;
}
}
Siehe auch
Beispiel: Filterbasierte Weiterleitung an eine bestimmte ausgehende Schnittstelle konfigurieren
In diesem Beispiel wird die Verwendung then next-interface als Aktion in einem Firewallfilter veranschaulicht.
Anforderungen
Für dieses Beispiel gelten die folgenden Hardware- und Softwareanforderungen:
Universelle 5G-Routing-Plattform der MX-Serie als Routing-Gerät mit konfiguriertem Firewall-Filter.
Junos OS Version 12.2 wird auf dem Routing-Gerät mit konfiguriertem Firewall-Filter ausgeführt.
Der Filter mit der
next-interfaceAktion (odernext-ip) kann nur auf ein Interface angewendet werden, das auf einer Trio MPC gehostet wird. Wenn Sie den Filter auf einen I-Chip-basierten DPC anwenden, schlägt der Commit-Vorgang fehl.Die ausgehende Schnittstelle, auf die in der
next-interface interface-nameAktion Bezug genommen wird, kann auf einem Trio-MPC oder einem I-Chip-basierten DPC gehostet werden.
Überblick
In diesem Beispiel sind für Gerät R1 zwei Loopback-Schnittstellenadressen konfiguriert: 172.16.1.1 und 172.16.2.2.
Auf Gerät R2 sind für einen Firewallfilter mehrere Begriffe konfiguriert. Jeder Begriff stimmt mit einer der Quelladressen im eingehenden Datenverkehr überein und leitet den Datenverkehr an bestimmte ausgehende Schnittstellen weiter. Die ausgehenden Schnittstellen werden als VLAN-getaggte Schnittstellen zwischen Gerät R2 und Gerät R3 konfiguriert.
IS-IS wird für die Konnektivität zwischen den Geräten verwendet.
Abbildung 1 Zeigt die in diesem Beispiel verwendete Topologie.
Dieses Beispiel zeigt die Konfiguration auf Gerät R2.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
Gerät R2
set interfaces ge-2/1/0 unit 0 family inet filter input filter1 set interfaces ge-2/1/0 unit 0 family inet address 10.0.0.10/30 set interfaces ge-2/1/0 unit 0 description to-R1 set interfaces ge-2/1/0 unit 0 family iso set interfaces ge-2/1/1 vlan-tagging set interfaces ge-2/1/1 description to-R3 set interfaces ge-2/1/1 unit 0 vlan-id 1001 set interfaces ge-2/1/1 unit 0 family inet address 10.0.0.13/30 set interfaces ge-2/1/1 unit 0 family iso set interfaces ge-2/1/1 unit 1 vlan-id 1002 set interfaces ge-2/1/1 unit 1 family inet address 10.0.0.25/30 set interfaces ge-2/1/1 unit 1 family iso set interfaces lo0 unit 0 family inet address 10.255.4.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.0000.0404.00 set firewall family inet filter filter1 term t1 from source-address 172.16.1.1/32 set firewall family inet filter filter1 term t1 then next-interface ge-2/1/1.0 set firewall family inet filter filter1 term t2 from source-address 172.16.2.2/32 set firewall family inet filter filter1 term t2 then next-interface ge-2/1/1.1 set protocols isis interface all level 1 disable set protocols isis interface fxp0.0 disable set protocols isis interface lo0.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Gerät R2:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@R2# set ge-2/1/0 unit 0 family inet filter input filter1 user@R2# set ge-2/1/0 unit 0 family inet address 10.0.0.10/30 user@R2# set ge-2/1/0 unit 0 description to-R1 user@R2# set ge-2/1/0 unit 0 family iso user@R2# set ge-2/1/1 vlan-tagging user@R2# set ge-2/1/1 description to-R3 user@R2# set ge-2/1/1 unit 0 vlan-id 1001 user@R2# set ge-2/1/1 unit 0 family inet address 10.0.0.13/30 user@R2# set ge-2/1/1 unit 0 family iso user@R2# set ge-2/1/1 unit 1 vlan-id 1002 user@R2# set ge-2/1/1 unit 1 family inet address 10.0.0.25/30 user@R2# set ge-2/1/1 unit 1 family iso user@R2# set lo0 unit 0 family inet address 10.255.4.4/32 user@R2# set lo0 unit 0 family iso address 49.0001.0010.0000.0404.00
Konfigurieren Sie den Firewall-Filter.
[edit firewall family inet filter filter1] user@R2# set term t1 from source-address 172.16.1.1/32 user@R2# set term t1 then next-interface ge-2/1/1.0 user@R2# set term t2 from source-address 172.16.2.2/32 user@R2# set term t2 then next-interface ge-2/1/1.1
Aktivieren Sie IS-IS auf den Schnittstellen.
[edit protocols is-is] user@R2# set interface all level 1 disable user@R2# set interface fxp0.0 disable user@R2# set interface lo0.0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show firewallund show protocols eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@R2# show interfaces
ge-2/1/0 {
unit 0 {
description to-R1;
family inet {
filter {
input filter1;
}
address 10.0.0.10/30;
}
family iso;
}
}
ge-2/1/1 {
description to-R3;
vlan-tagging;
unit 0 {
vlan-id 1001;
family inet {
address 10.0.0.13/30;
}
family iso;
}
unit 1 {
vlan-id 1002;
family inet {
address 10.0.0.25/30;
}
family iso;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.4.4/32;
}
family iso {
address 49.0001.0010.0000.0404.00;
}
}
}
user@R2# show firewall
family inet {
filter filter1 {
term t1 {
from {
source-address {
172.16.1.1/32;
}
}
then {
next-interface {
ge-2/1/1.0;
}
}
term t2 {
from {
source-address {
172.16.2.2/32;
}
}
then {
next-interface {
ge-2/1/1.1;
}
}
}
}
}
user@R2# show protocols
isis {
interface all {
level 1 disable;
}
interface fxp0.0 {
disable;
}
interface lo0.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der verwendeten Pfade
Zweck
Stellen Sie sicher, dass die erwarteten Pfade verwendet werden, wenn Datenverkehr von Gerät R1 an Gerät R4 gesendet wird.
Action!
Geben Sie auf Gerät R1 den traceroute Befehl ein.
user@R1> traceroute 10.255.6.6 source 172.16.1.1 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.1.1, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.976 ms 0.895 ms 0.815 ms 2 10.0.0.14 (10.0.0.14) 0.868 ms 0.888 ms 0.813 ms 3 10.255.6.6 (10.255.6.6) 1.715 ms 1.442 ms 1.382 ms
user@R1> traceroute 10.255.6.6 source 172.16.2.2 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.2.2, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.973 ms 0.907 ms 0.782 ms 2 10.0.0.26 (10.0.0.26) 0.844 ms 0.890 ms 0.852 ms 3 10.255.6.6 (10.255.6.6) 1.384 ms 1.516 ms 1.462 ms
Bedeutung
Die Ausgabe zeigt, dass sich der zweite Hop je nach der im traceroute Befehl verwendeten Quelladresse ändert.
Um diese Funktion zu überprüfen, wird ein Traceroute-Vorgang auf Gerät R1 zu Gerät R4 ausgeführt. Wenn die Quell-IP-Adresse 172.16.1.1 lautet, werden Pakete von der ge-2/1/1.0-Schnittstelle auf Gerät R2 weitergeleitet. Wenn die Quell-IP-Adresse 172.16.2.2 lautet, werden Pakete von der ge-2/1/1.1-Schnittstelle auf Gerät R2 weitergeleitet.
Beispiel: Filterbasierte Weiterleitung an eine bestimmte Ziel-IP-Adresse konfigurieren
In diesem Beispiel wird die Verwendung then next-ip als Aktion in einem Firewallfilter veranschaulicht.
Anforderungen
Für dieses Beispiel gelten die folgenden Hardware- und Softwareanforderungen:
Universelle 5G-Routing-Plattform der MX-Serie als Routing-Gerät mit konfiguriertem Firewall-Filter.
Junos OS Version 12.2 wird auf dem Routing-Gerät mit konfiguriertem Firewall-Filter ausgeführt.
Der Filter mit der
next-interfaceAktion (odernext-ip) kann nur auf ein Interface angewendet werden, das auf einer Trio MPC gehostet wird. Wenn Sie den Filter auf einen I-Chip-basierten DPC anwenden, schlägt der Commit-Vorgang fehl.Die ausgehende Schnittstelle, auf die in der Aktion next-interface interface-name Bezug genommen wird, kann auf einer Trio-MPC oder einer I-Chip-basierten DPC gehostet werden.
Überblick
In diesem Beispiel verfügt Gerät R2 über zwei Routing-Instanzen, die mit physischen Verbindungen verbunden sind. Der Datenverkehr aus bestimmten Quellen muss über den oberen Link geleitet werden, damit er von einem Datenverkehrsoptimierer überprüft werden kann, der auf der IP-Schicht transparent agiert. Wenn der Datenverkehrsoptimierer ausfällt, wird der Datenverkehr zum unteren Link verschoben. Die Strömungen in Richtung R1>R3 und R3>R1 folgen identischen Pfaden.
Abbildung 2 Zeigt die in diesem Beispiel verwendete Topologie.
Auf Gerät R2 wird ein Firewall-Filter auf die Schnittstelle ge-1/0/8 in Eingangsrichtung angewendet. Der zweite Begriff stimmt mit den spezifischen Quelladressen 10.0.0.0/24 überein und leitet den Datenverkehr an die Adresse 192.168.0.3 weiter. Diese Adresse wird in den nächsten Hop 192.168.20.2 aufgelöst. Wenn die mit der Schnittstelle ge-1/1/0 verbundene Verbindung ausfällt, wird die Adresse 192.168.0.3 in den nächsten Hop 192.168.30.2 aufgelöst.
Auf Gerät R2 wird ein Firewall-Filter auf die Schnittstelle ge-1/0/0 in Eingangsrichtung angewendet. Der zweite Begriff stimmt mit den spezifischen Zieladressen 10.0.0.0/24 überein und leitet den Datenverkehr an die Adresse 192.168.0.2 weiter. Diese Adresse wird in den nächsten Hop 192.168.20.1 aufgelöst. Wenn die mit der Schnittstelle ge-1/3/8 verbundene Verbindung ausfällt, wird die Adresse 192.168.0.2 in den nächsten Hop 192.168.30.1 aufgelöst.
Die mit der next-ip Aktion konfigurierte Adresse wird nicht automatisch aufgelöst. Bei Ethernet-Schnittstellen wird davon ausgegangen, dass die konfigurierte Adresse über ein Routing-Protokoll oder statische Routen aufgelöst wird.
Internes BGP (IBGP) wird zwischen Gerät R2-VR1 und Gerät R2-VR2 verwendet. Externes BGP (EBGP) wird zwischen Gerät R1 und Gerät R2-VR1 sowie zwischen Gerät R2-VR2 und Gerät R3 verwendet.
BGP-Vorgänge laufen wie folgt ab:
R2-VR1 lernt 10/8 von R1 und 0/0 von R2-VR2.
R2-VR2 lernt 0/0 von R3 und 10/8 von R2-VR1.
R1 kündigt 10/8 an und erhält 0/0 von R2-VR1.
R3 kündigt 0/0 an und erhält 10/8 von R2-VR2.
Der Firewallfilter, der auf Gerät R2 angewendet wird, muss Datenverkehr auf Steuerungsebene für die direkt verbundenen Schnittstellen, in diesem Fall die EBGP-Sitzungen, zulassen.
Dieses Beispiel zeigt die Konfiguration auf Gerät R2.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
Gerät R1
set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set interfaces lo0 unit 0 family inet address 10.1.0.1/32 set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.1/24 set routing-options autonomous-system 64501 set protocols bgp group eBGP neighbor 192.168.10.2 peer-as 64502 set protocols bgp group eBGP export Announce10 set policy-options policy-statement Announce10 term 1 from route-filter 10.0.0.0/8 exact set policy-options policy-statement Announce10 term 1 then accept set policy-options policy-statement Announce10 term 2 then reject
Gerät R2
set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.2/24 set interfaces ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer set interfaces ge-1/1/0 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/1/1 unit 0 family inet address 192.168.30.1/24 set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-1/0/8.0 set routing-instances VR1 interface ge-1/1/0.0 set routing-instances VR1 interface ge-1/1/1.0 set routing-instances VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 set routing-instances VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 set routing-instances VR1 routing-options autonomous-system 64502 set routing-instances VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal set firewall family inet filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 0 then accept set firewall family inet filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 set firewall family inet filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 set firewall family inet filter SteerSrcTrafficOptimizer term 2 then accept set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.1/24 set interfaces ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer set interfaces ge-1/3/8 unit 0 family inet address 192.168.20.2/24 set interfaces ge-1/3/9 unit 0 family inet address 192.168.30.2/24 set routing-instances VR2 instance-type virtual-router set routing-instances VR2 interface ge-1/0/0.0 set routing-instances VR2 interface ge-1/3/8.0 set routing-instances VR2 interface ge-1/3/9.0 set routing-instances VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 set routing-instances VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 set routing-instances VR2 routing-options autonomous-system 64502 set routing-instances VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal set firewall family inet filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 0 then accept set firewall family inet filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 set firewall family inet filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 set firewall family inet filter SteerDstTrafficOptimizer term 2 then accept set policy-options policy-statement AcceptExternal term 1 from route-type external set policy-options policy-statement AcceptExternal term 1 then accept
Gerät R3
set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.2/24 set routing-options autonomous-system 64503 set protocols bgp group eBGP neighbor 192.168.40.1 peer-as 64502 set protocols bgp group eBGP export Announce0 set policy-options policy-statement Announce0 term 1 from route-filter 0.0.0.0/0 exact set policy-options policy-statement Announce0 term 1 then accept set policy-options policy-statement Announce0 term 2 then reject
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Gerät R2:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@R2# set ge-1/0/8 unit 0 family inet address 192.168.10.2/24 user@R2# set ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer user@R2# set ge-1/1/0 unit 0 family inet address 192.168.20.1/24 user@R2# set ge-1/1/1 unit 0 family inet address 192.168.30.1/24 user@R2# set ge-1/0/0 unit 0 family inet address 192.168.40.1/24 user@R2# set ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer user@R2# set ge-1/3/8 unit 0 family inet address 192.168.20.2/24 user@R2# set ge-1/3/9 unit 0 family inet address 192.168.30.2/24
Konfigurieren Sie die Routing-Instanz.
[edit routing-instances] user@R2# set VR1 instance-type virtual-router user@R2# set VR1 interface ge-1/0/8.0 user@R2# set VR1 interface ge-1/1/0.0 user@R2# set VR1 interface ge-1/1/1.0 user@R2# set VR2 instance-type virtual-router user@R2# set VR2 interface ge-1/0/0.0 user@R2# set VR2 interface ge-1/3/8.0 user@R2# set VR2 interface ge-1/3/9.0
Konfigurieren Sie das statische und BGP-Routing.
[edit routing-instances] user@R2# set VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 user@R2# set VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 user@R2# set VR1 routing-options autonomous-system 64502 user@R2# set VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal user@R2# set VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 user@R2# set VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 user@R2# set VR2 routing-options autonomous-system 64502 user@R2# set VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal
Konfigurieren Sie die Firewall-Filter.
[edit firewall family inet] user@R2# set filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 0 then accept user@R2# set filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 user@R2# set filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 user@R2# set filter SteerSrcTrafficOptimizer term 2 then accept user@R2# set filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 user@R2# set filter SteerDstTrafficOptimizer term 0 then accept user@R2# set filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 user@R2# set filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 user@R2# set filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 user@R2# set filter SteerDstTrafficOptimizer term 2 then accept
Konfigurieren Sie die Routing-Richtlinie.
[edit policy-options policy-statement AcceptExternal term 1] user@R2# set from route-type external user@R2# set term 1 then accept
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show firewallund show protocols eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@R2# show interfaces
ge-1/0/0 {
unit 0 {
family inet {
filter {
input SteerDstTrafficOptimizer;
}
address 192.168.40.1/24;
}
}
}
ge-1/0/8 {
unit 0 {
family inet {
filter {
input SteerSrcTrafficOptimizer;
}
address 192.168.10.2/24;
}
}
}
ge-1/1/0 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.30.1/24;
}
}
}
ge-1/3/8 {
unit 0 {
family inet {
address 192.168.20.2/24;
}
}
}
ge-1/3/9 {
unit 0 {
family inet {
address 192.168.30.2/24;
}
}
}
user@R2# show firewall
family inet {
filter SteerSrcTrafficOptimizer {
term 0 {
from {
source-address {
192.168.10.0/24;
}
}
then accept;
}
term 1 {
from {
source-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.3/32 routing-instance VR1;
}
}
term 2 {
from {
source-address {
10.0.0.0/8;
}
}
then accept;
}
}
filter SteerDstTrafficOptimizer {
term 0 {
from {
source-address {
192.168.40.0/24;
}
}
then accept;
}
term 1 {
from {
destination-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.2/32 routing-instance VR2;
}
}
term 2 {
from {
destination-address {
10.0.0.0/8;
}
}
then accept;
}
}
}
user@R2# show policy-options
policy-statement AcceptExternal {
term 1 {
from route-type external;
then accept;
}
}
user@R2# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-1/0/8.0;
interface ge-1/1/0.0;
interface ge-1/1/1.0;
routing-options {
static {
route 192.168.0.3/32 {
next-hop 192.168.20.2;
qualified-next-hop 192.168.30.2 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.10.1 {
peer-as 64501;
}
}
group iBGP {
neighbor 192.168.30.2 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
VR2 {
instance-type virtual-router;
interface ge-1/0/0.0;
interface ge-1/3/8.0;
interface ge-1/3/9.0;
routing-options {
static {
route 192.168.0.2/32 {
next-hop 192.168.20.1;
qualified-next-hop 192.168.30.1 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.40.2 {
peer-as 64503;
}
}
group iBGP {
neighbor 192.168.30.1 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der verwendeten Pfade
Zweck
Stellen Sie sicher, dass die erwarteten Pfade verwendet werden, wenn Datenverkehr von Gerät R1 an Gerät R3 gesendet wird.
Action!
Geben Sie auf Gerät R1 den traceroute Befehl vor und nach dem Verbindungsfehler ein
Vor dem Ausfall des Datenverkehrsoptimierers
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.519 ms 0.403 ms 0.380 ms 2 192.168.20.2 (192.168.20.2) 0.404 ms 0.933 ms 0.402 m0 3 10.11.0.1 (10.11.0.1) 0.709 ms 0.656 ms 0.644 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.524 ms 0.396 ms 0.380 ms 2 192.168.30.2 (192.168.30.2) 0.412 ms 0.410 ms 0.911 ms 3 10.11.0.1 (10.11.0.1) 0.721 ms 0.639 ms 0.659 ms
Nach Ausfall des Traffic Optimizers
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.506 ms 0.400 ms 0.378 ms 2 192.168.30.2 (192.168.30.2) 0.433 ms 0.550 ms 0.415 ms 3 10.11.0.1 (10.11.0.1) 0.723 ms 0.638 ms 0.638 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.539 ms 0.411 ms 0.769 ms 2 192.168.30.2 (192.168.30.2) 0.426 ms 0.413 ms 2.429 ms 3 10.11.0.1 (10.11.0.1) 10.868 ms 0.662 ms 0.647 ms
Bedeutung
Die Ausgabe zeigt, dass sich der zweite Hop je nach der im traceroute Befehl verwendeten Quelladresse ändert.
Um diese Funktion zu überprüfen, wird ein Traceroute-Vorgang auf Gerät R1 zu Gerät R3 ausgeführt. Wenn die Quell-IP-Adresse 10.0.0.1 lautet, werden Pakete von der ge-1/1/0.0-Schnittstelle auf Gerät R2 weitergeleitet. Wenn die Quell-IP-Adresse 10.1.0.1 lautet, werden Pakete von der ge-1/1/1.0-Schnittstelle auf Gerät R2 weitergeleitet.
Wenn die Verbindung zwischen ge-1/1/0 und ge-1/3/8 fehlschlägt, werden Pakete mit der Quell-IP-Adresse 10.0.0.1 an die ge-1/1/1.0-Schnittstelle auf Gerät R2 weitergeleitet.