Exemple : Utilisation du transfert basé sur les filtres pour acheminer le trafic applicatif vers un équipement de sécurité
Cet exemple décrit comment configurer le transfert basé sur le filtre sur EX Series commutateurs ou un QFX10000. Vous pouvez configurer le transfert basé sur les filtres à l’aide d’un filtre de pare-feu pour transférer le trafic correspondant vers une instance de routage virtuel spécifique.
Conditions préalables
Cet exemple s’applique à la fois aux commutateurs EX Series exécutant Junos OS version 9.4 ou ultérieure et aux commutateurs QFX10000 exécutant Junos OS version 15.1X53-D10 ou ultérieure.
Vue d’ensemble et topologie
Dans cet exemple, nous créons un filtre de pare-feu pour faire correspondre le trafic envoyé d’un serveur d’applications à un autre en fonction de l’adresse de destination (192.168.0.1) des paquets sortant du serveur d’applications source. Les paquets correspondants sont acheminés vers une instance de routage virtuel qui transfère le trafic vers un équipement de sécurité, qui le transfère ensuite vers le serveur d’applications de destination.
Le transfert basé sur les filtres ne fonctionne pas avec les interfaces IPv6 de certains commutateurs Juniper.
Configuration
Pour configurer le transfert basé sur les filtres, procédez comme suit :
Configuration rapide de l’interface de ligne de commande
Pour utiliser cet exemple sur votre propre appareil, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne et modifiez les détails nécessaires pour les adapter à votre configuration. Copiez et collez ensuite les commandes dans votre CLI au niveau de la [edit] hiérarchie.
[edit]
set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24
set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24
set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32
set firewall family inet filter f1 term t1 from protocol tcp
set interfaces xe-0/0/0 unit 0 family inet filter input f1
set routing-instances vrf01 instance-type virtual-router
set routing-instances vrf01 interface xe-0/0/3.0
set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
set firewall family inet filter f1 term t1 then routing-instance vrf01 Procédure
Procédure étape par étape
Pour configurer le transfert basé sur les filtres, procédez comme suit :
Configurez une interface pour vous connecter au serveur d’applications :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
Configurez une interface pour vous connecter à l’équipement de sécurité :
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
Créez un filtre de pare-feu qui fait correspondre les paquets en fonction de l’adresse du serveur d’applications à partir duquel le trafic sera envoyé. Configurez également le filtre de manière à ce qu’il ne corresponde qu’aux paquets TCP :
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
Appliquez le filtre à l’interface qui se connecte au serveur d’applications source et configurez-le pour qu’il corresponde aux paquets entrants :
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
Créer un routeur virtuel :
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
Associez le routeur virtuel à l’interface qui se connecte au périphérique de sécurité :
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
Configurez les informations de routage pour l’instance de routage virtuel :
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
Définissez le filtre pour transférer les paquets vers le routeur virtuel :
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input f1;
}
address 10.1.0.1/24;
}
}
}
xe-0/0/3 {
unit 0 {
family inet {
address 10.1.3.1/24;
}
}
}
}
firewall {
family inet {
filter f1 {
term t1 {
from {
source-address {
10.1.0.50/32;
}
protocol tcp;
}
then {
routing-instance vrf01;
}
}
}
}
}
routing-instances {
vrf01 {
instance-type virtual-router;
interface xe-0/0/3.0;
routing-options {
static {
route 192.168.0.1/24 next-hop 10.1.3.254;
}
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration du transfert basé sur les filtres
But
Vérifiez que le transfert basé sur les filtres a été correctement activé sur le commutateur.
Action
Utilisez la
show interfaces filterscommande :user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
Utilisez la
show route forwarding-tablecommande :user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
Sens
La sortie indique que le filtre a été créé sur l’interface et que l’instance de routage virtuelle transfère le trafic correspondant à l’adresse IP correcte.