Sur cette page
Exemple : Configuration du transfert basé sur les filtres
Le transfert basé sur les filtres (FBF), également appelé PBR (Policy Based Routing), offre un moyen simple mais puissant d’acheminer le trafic IP vers différentes interfaces sur la base de paramètres de couche 3 ou 4.
FBF fonctionne en utilisant des conditions de correspondance dans un filtre de pare-feu pour sélectionner un certain trafic, puis le diriger vers une instance de routage donnée qui pointe vers le prochain saut souhaité. Pour garantir que le tronçon suivant peut être résolu, les routes d’interface de la table de routage principale sont partagées via un groupe RIB avec la ou les tables de routage spécifiées dans la ou les instances de routage.
Les conditions de correspondance peuvent inclure l’adresse IP source ou de destination, le port source ou de destination, le protocole IP, la valeur DSCP, l’indicateur TCP, le type ICMP et la longueur du paquet.
Conditions préalables
Cet exemple a les exigences matérielles et logicielles suivantes :
Plate-forme de routage universelle 5G MX Series en tant que périphérique de routage avec le filtre de pare-feu configuré.
Junos OS version 13.3 ou ultérieure s’exécute sur le périphérique de routage avec le filtre de pare-feu configuré.
Présentation
Cet exemple montre les paramètres de configuration dont vous avez besoin pour configurer le transfert basé sur des filtres sur un seul appareil. Figure 1 affiche les interfaces entrantes et sortantes sur un routeur MX Series et illustre le flux logique des événements lorsque les paquets traversent le périphérique.
Un filtre de pare-feu appelé webFilter est attaché à l’interface d’entrée, fe-0/0/0. Les paquets arrivant via l’interface sont évalués en fonction des conditions de correspondance spécifiées dans le filtre, dont la logique dirige le trafic HTTP et HTTPS vers une instance de routage appelée webtraffic. Cette instance de routage accomplit trois choses : Premièrement, il établit une table de routage appelée webtraffic.inet.0; deuxièmement, il vous permet de définir un itinéraire statique et un saut suivant ; et troisièmement, vous permet de configurer l’instance pour transférer le trafic vers le saut suivant (ici, 192.0.2.2 sur l’interface fe-0/0/1).
Le terme 2 du filtre de pare-feu, then accept, spécifie que tout le trafic non correspondant emprunte un chemin différent. Nous définissons une route statique avec le saut suivant de 203.0.113.2 pour que ce trafic sorte de l’appareil via fe-0/0/2. La route est automatiquement installée dans la table de routage principale, inet.0.
La dernière étape (logique) de la mise en place de FBF consiste à s’assurer que les deux routes peuvent être résolues. Le groupe RIB (FBF-rib dans cet exemple) permet de partager webtraffic.inet.0les routes d’interface à partir de inet.0 .
Pour obtenir des exemples axés sur un cas d’utilisation spécifique ou sur des topologies multi-équipements, consultez les rubriques connexes.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Des instructions de copier-coller et des instructions étape par étape pour créer un transfert basé sur un filtre sur un seul périphérique sont fournies.
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Configurer un appareil pour le transfert basé sur des filtres
set interfaces fe-0/0/0 unit 0 family inet address 198.51.100.1/24 set interfaces fe-0/0/0 unit 0 family inet filter input webFilter set interfaces fe-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces fe-0/0/2 unit 0 family inet address 203.0.113.1/24 set firewall family inet filter webFilter term 1 from destination-port http set firewall family inet filter webFilter term 1 from destination-port https set firewall family inet filter webFilter term 1 then routing-instance webtraffic set firewall family inet filter webFilter term 2 then accept set routing-instances webtraffic routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 set routing-instances webtraffic instance-type forwarding set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2 set routing-options rib-groups FBF-rib import-rib inet.0 set routing-options rib-groups FBF-rib import-rib webtraffic.inet.0 set routing-options interface-routes rib-group inet FBF-rib
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer l’appareil :
Configurez l’interface entrante et attachez-y le filtre de pare-feu webFilter .
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set filter input webFilter user@device# set address 198.51.100.1/24
Configurez les interfaces sortantes, l’une pour le trafic Web et l’autre pour tous les autres trafics.
[edit interfaces] user@device# set fe-0/0/1 unit 0 family inet address 192.0.2.1/24 user@device# set fe-0/0/2 unit 0 family inet address 203.0.113.1/24
Configurez le filtre de pare-feu pour qu’il transmette le trafic Web à l’instance de routage et tout le reste du trafic à 203.0.113.1.webtraffic
[edit firewall family inet filter webFilter] user@device# set term 1 from destination-port http user@device# set term 1 from destination-port https user@device# set term 1 then routing-instance webtraffic user@device# set term 2 then accept
Optionnel: Surveillez la gestion du trafic du filtre de pare-feu en ajoutant un compteur>
[edit interfaces fe-0/0/0 unit 0 family inet] user@device# set firewall family inet filter webFilter term 1 then count webtraffic-count
Créez l’instance de routage et configurez-la pour transférer le webtraffic trafic Web vers fe-0/0/1.
[edit routing-instances webtraffic] user@device# set routing-options static route 0.0.0.0/0 next-hop 192.0.2.2 user@device# set instance-type forwarding
Créez une route pour le trafic non-Web (la route est automatiquement installée dans la inet.0 table de routage).
[edit routing-options] user@device# set static route 0.0.0.0/0 next-hop 203.0.113.2
Créez un groupe RIB appelé FBF-rib, et configurez-le pour inet.0 qu’il partage les routes d’interface avec webtraffic.inet.0, puis associez un groupe de tables de routage aux interfaces du périphérique de routage et spécifiez les groupes de tables de routage dans lesquels les routes d’interface sont importées.
[edit routing-options] user@device# set rib-groups FBF-rib import-rib inet.0 user@device# set rib-groups FBF-rib import-rib webtraffic.inet.0
Associez un groupe de tables de routage aux interfaces du périphérique de routage et spécifiez les groupes de tables de routage dans lesquels les itinéraires d’interface sont importés.
[edit routing-options] user@device# set interface-routes rib-group inet FBF-rib
Résultats
En mode configuration, confirmez votre configuration en saisissant les show firewallcommandes , show routing-instances, show routing-options, et show interfaces. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
user@device#show interfaces fe-0/0/0unit 0 { family inet { filter { input webFilter; } address 198.51.100.1/24; } } user@device#show interfaces fe-0/0/1unit 0 { family inet { address 192.0.2.1/24; } } user@device#show interfaces fe-0/0/2unit 0 { family inet { address 203.0.113.1/24; } } user@device#show firewallfamily inet { filter webFilter { term 1 { from { destination-port [ http https ]; } then { routing-instance webtraffic; } } term 2 { then accept; } } }
user@device# show routing-options
interface-routes {
rib-group inet FBF-rib;
}
static {
route 0.0.0.0/0 next-hop 203.0.113.2;
}
rib-groups {
FBF-rib {
import-rib [ inet.0 webtraffic.inet.0 ];
}
}
user@device# show routing-instances
webtraffic {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 192.0.2.2;
}
}
}