Exemple : Configuration du transfert basé sur les filtres sur les systèmes logiques
Cet exemple montre comment configurer le transfert basé sur des filtres au sein d’un système logique. Le filtre classe les paquets pour déterminer leur chemin de transfert au sein du périphérique de routage entrant.
Conditions préalables
Dans cet exemple, aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise.
Présentation
Le transfert basé sur les filtres est pris en charge pour IP version 4 (IPv4) et IP version 6 (IPv6).
Utilisez le transfert basé sur les filtres pour sélectionner les fournisseurs de services lorsque les clients disposent d’une connectivité Internet fournie par différents fournisseurs d’accès Internet, mais partagent une couche d’accès commune. Lorsqu’un média partagé (tel qu’un modem câble) est utilisé, un mécanisme sur la couche d’accès commune examine les adresses de couche 2 ou 3 et fait la distinction entre les clients. Vous pouvez utiliser le transfert basé sur les filtres lorsque la couche d’accès commune est implémentée à l’aide d’une combinaison de commutateurs de couche 2 et d’un seul routeur.
Avec le transfert basé sur les filtres, tous les paquets reçus sur une interface sont pris en compte. Chaque paquet passe par un filtre qui a des conditions de correspondance. Si les conditions de correspondance sont remplies pour un filtre et que vous avez créé une instance de routage, le transfert basé sur un filtre est appliqué à un paquet. Le paquet est transféré en fonction du saut suivant spécifié dans l’instance de routage. Pour les routes statiques, le saut suivant peut être un LSP spécifique.
La correspondance de filtre d’utilisation de classe source et les vérifications de transfert de chemin inverse unicast ne sont pas prises en charge sur une interface configurée avec le transfert basé sur les filtres (FBF).
Pour configurer le transfert basé sur les filtres, effectuez les tâches suivantes :
Créez un filtre de correspondance sur un routeur entrant ou un commutateur. Pour spécifier un filtre de correspondance, incluez l’instruction
filter filter-nameau niveau de la[edit firewall]hiérarchie. Un paquet qui passe par le filtre est comparé à un ensemble de règles pour le classer et déterminer son appartenance à un ensemble. Une fois classé, le paquet est transféré à une table de routage spécifiée dans l’action accept dans le langage de description du filtre. La table de routage transfère ensuite le paquet vers le tronçon suivant correspondant à l’entrée d’adresse de destination dans la table.Créez des instances de routage qui spécifient la ou les tables de routage vers lesquelles un paquet est transféré et la destination vers laquelle le paquet est transféré au niveau de la hiérarchie ou
[edit logical-systems logical-system-name routing-instances]de la[edit routing-instances]hiérarchie. Par exemple :[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }Créez un groupe de tables de routage qui ajoute des routes d’interface aux instances de routage de transfert utilisées dans le transfert basé sur des filtres (FBF), ainsi qu’à l’instance
inet.0de routage par défaut . Cette partie de la configuration résout les routes installées dans les instances de routage vers les sauts suivants directement connectés sur cette interface. Créez le groupe de tables de routage au niveau de la[edit routing-options]hiérarchie ou[edit logical-systems logical-system-name routing-options].
Spécifiez-le inet.0 en tant que l’une des instances de routage dans lesquelles les routes d’interface sont importées. Si l’instance inet.0 par défaut n’est pas spécifiée, les routes d’interface ne sont pas importées dans l’instance de routage par défaut.
Cet exemple montre un filtre de paquets qui dirige le trafic client vers un routeur de saut suivant dans les domaines, SP 1 ou SP 2, en fonction de l’adresse source du paquet.
Si une adresse source est attribuée au paquet à un client SP 1, le transfert basé sur la destination se produit à l’aide de la table de routage sp1-route-table.inet.0. Si une adresse source est attribuée au paquet à un client SP 2, le transfert basé sur la destination se produit à l’aide de la table de routage sp2-route-table.inet.0. Si un paquet ne correspond à aucune de ces conditions, le filtre accepte le paquet et le transfert basé sur la destination s’effectue à l’aide de la table de routage standard inet.0.
Pour que le transfert basé sur les filtres fonctionne au sein d’un système logique, il faut configurer le filtre de pare-feu sur le système logique qui reçoit les paquets. Une autre méthode consiste à configurer le filtre de pare-feu sur le routeur principal, puis à référencer le système logique dans le filtre de pare-feu. Cet exemple utilise la deuxième approche. Les instances de routage spécifiques sont configurées dans le système logique. Étant donné que chaque instance de routage possède sa propre table de routage, vous devez également référencer les instances de routage dans le filtre de pare-feu. La syntaxe se présente comme suit :
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
Topologie
Figure 1 Affiche la topologie utilisée dans cet exemple.
Sur le système logique P1, un filtre d’entrée classe les paquets reçus du système logique PE3 et du système logique PE4. Les paquets sont acheminés en fonction des adresses source. Les paquets dont l’adresse source se trouve dans les réseaux 10.1.1.0/24 et 10.1.2.0/24 sont acheminés vers le système logique PE1. Les paquets dont l’adresse source se trouve dans les réseaux 10.2.1.0/24 et 10.2.2.0/24 sont acheminés vers le système logique PE2.
Pour établir la connectivité, OSPF est configuré sur toutes les interfaces. À des fins de démonstration, les adresses d’interface de bouclage sont configurées sur les périphériques de routage pour représenter les réseaux dans les clouds.
La Configuration rapide de l’interface de ligne de commande section affiche la configuration complète de tous les périphériques de la topologie. Les Configuration des instances de routage sur le système logique P1 sections et Configuration du filtre de pare-feu sur le routeur principal montrent la configuration étape par étape du périphérique de routage entrant, le système logique P1.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configuration du filtre de pare-feu sur le routeur principal
- Configuration des instances de routage sur le système logique P1
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
Configuration du filtre de pare-feu sur le routeur principal
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le filtre de pare-feu sur le routeur principal :
Configurez les adresses source pour les clients SP1.
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
Configurez les actions qui sont effectuées lorsque des paquets sont reçus avec les adresses source spécifiées.
Pour suivre l’action du filtre du pare-feu, une action de journal est configurée. La table de routage sp1-route-table.inet.0 sur le système logique P1 achemine les paquets.
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
Configurez les adresses source pour les clients SP2.
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
Configurez les actions qui sont effectuées lorsque des paquets sont reçus avec les adresses source spécifiées.
Pour suivre l’action du filtre du pare-feu, une action de journal est configurée. La table de routage sp2-route-table.inet.0 sur le système logique P1 achemine le paquet.
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
Configurez l’action à effectuer lorsque des paquets sont reçus d’une autre adresse source.
Tous ces paquets sont simplement acceptés et acheminés à l’aide de la table de routage unicast IPv4 par défaut, inet.0.
[edit firewall filter classify-customers term default] user@host# set then accept
Configuration des instances de routage sur le système logique P1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer les instances de routage sur un système logique :
Configurez les interfaces sur le système logique.
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
Affectez le filtre de
classify-customerspare-feu à l’interface de routeur lt-1/2/0.10 en tant que filtre de paquets d’entrée.[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
Configurez la connectivité à l’aide d’un protocole de routage ou d’un routage statique.
Il est recommandé de désactiver le routage sur l’interface de gestion.
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
Créez les instances de routage.
Ces instances de routage sont référencées dans le filtre de
classify-customerspare-feu.Le type d’instance de transfert prend en charge le transfert basé sur des filtres, dans lequel les interfaces ne sont pas associées à des instances. Toutes les interfaces appartiennent à l’instance par défaut, dans ce cas le système logique P1.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
Résolvez les routes installées dans les instances de routage avec les sauts suivants directement connectés.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
Regroupez les tables de routage pour former un groupe de tables de routage.
La première table de routage, inet.0, est la table de routage principale et les tables de routage supplémentaires sont les tables de routage secondaires.
La table de routage principale détermine la famille d’adresses du groupe de tables de routage, dans ce cas IPv4.
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
Appliquez le groupe de tables de routage à OSPF.
Cela entraîne l’installation des routes OSPF dans toutes les tables de routage du groupe.
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez votre configuration en exécutant les show firewall commandes and show logical-systems P1 .
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show logical-systems P1
interfaces {
lt-1/2/0 {
unit 10 {
encapsulation ethernet;
peer-unit 9;
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
unit 13 {
encapsulation ethernet;
peer-unit 14;
family inet {
address 172.16.0.13/30;
}
}
unit 17 {
encapsulation ethernet;
peer-unit 18;
family inet {
address 172.16.0.17/30;
}
}
}
}
protocols {
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
}
routing-instances {
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.13;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.17;
}
}
}
}
routing-options {
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Envoi d’un ping avec des adresses source spécifiées
But
Envoyez des paquets ICMP sur le réseau pour tester le filtre du pare-feu.
Action
Connectez-vous à Logical System PE3.
user@host> set cli logical-system PE3 Logical system: PE3
Exécutez la
pingcommande en envoyant un ping à l’interface lo0.3 sur le système logique PE1.L’adresse configurée sur cette interface est 172.16.1.1.
Spécifiez l’adresse source 10.1.2.1, qui est l’adresse configurée sur l’interface lo0.1 sur le système logique PE3.
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
Connectez-vous à Logical System PE4.
user@host:PE3> set cli logical-system PE4 Logical system: PE4
Exécutez la
pingcommande en envoyant un ping à l’interface lo0.4 sur le système logique PE2.L’adresse configurée sur cette interface est 172.16.2.2.
Spécifiez l’adresse source 10.2.1.1, qui est l’adresse configurée sur l’interface lo0.2 sur le système logique PE4.
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
Sens
L’envoi de ces pings active les actions de filtrage du pare-feu.
Vérification du filtre de pare-feu
But
Assurez-vous que les actions de filtre du pare-feu sont prises en compte.
Action
Connectez-vous au système logique P1.
user@host> set cli logical-system P1 Logical system: P1
Exécutez la
show firewall logcommande sur le système logique P1.user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1