Exemple : Configuration du transfert basé sur les filtres vers une interface sortante ou une adresse IP de destination spécifique
Comprendre le transfert basé sur les filtres vers une interface sortante ou une adresse IP de destination spécifique
Le routage basé sur les stratégies (également connu sous le nom de transfert basé sur les filtres) fait référence à l’utilisation de filtres de pare-feu appliqués à une interface pour correspondre à certaines caractéristiques d’en-tête IP et pour router uniquement les paquets correspondants différemment de ce que les paquets seraient normalement acheminés.
À partir de Junos OS version 12.2, vous pouvez utiliser then next-interface, then next-ipou then next-ip6 comme action dans un filtre de pare-feu. À partir de conditions de correspondance spécifiques, des adresses IPv4 et IPv6 ou un nom d’interface peuvent être spécifiés en tant qu’action de réponse à une correspondance.
L’ensemble des conditions de correspondance peut être le suivant :
Propriétés de couche 3 (par exemple, l’adresse IP source/de destination ou l’octet TOS)
Propriétés de couche 4 (par exemple, le port source ou de destination)
L’itinéraire pour l’adresse IPv4 ou IPv6 donnée doit être présent dans la table de routage pour que le routage basé sur des stratégies prenne effet. De même, le routage via l’interface donnée doit être présent dans la table de transfert pour que next-interface l’action prenne effet. Pour ce faire, configurez un Interior Gateway Protocol (IGP), tel qu’OSPF ou IS-IS, pour annoncer les routes de couche 3.
Le filtre de pare-feu correspond aux conditions et transfère le paquet à l’une des adresses suivantes :
Une adresse IPv4 (à l’aide de l’action de filtre du
next-ippare-feu)Une adresse IPv6 (à l’aide de l’action
next-ip6de filtre du pare-feu)Une interface (à l’aide de l’action de filtre du
next-interfacepare-feu)
Supposons, par exemple, que vous souhaitiez offrir des services à vos clients et que ces services résident sur des serveurs différents. Un exemple de service peut être un DNS hébergé ou un FTP hébergé. Lorsque le trafic client arrive au périphérique de routage Juniper Networks, vous pouvez utiliser le transfert basé sur des filtres pour envoyer du trafic aux serveurs en appliquant une condition de correspondance à une adresse MAC, à une adresse IP ou simplement à une interface entrante, puis envoyer les paquets à une certaine interface sortante associée au serveur approprié. Certaines de vos destinations peuvent être des adresses IPv4 ou IPv6, auquel cas l’action next-ip ou next-ip6 est utile.
Si vous le souhaitez, vous pouvez associer les interfaces ou adresses IP sortantes à des instances de routage.
Par exemple :
firewall {
filter filter1 {
term t1 {
from {
source-address {
10.1.1.3/32;
}
}
then {
next-interface {
xe-0/1/0.1;
routing-instance rins1;
}
}
}
term t2 {
from {
source-address {
10.1.1.4/32;
}
}
then {
next-interface {
xe-0/1/0.2;
routing-instance rins2;
}
}
}
}
}
routing-instances {
rins1 {
instance-type virtual-router;
interface xe-0/1/0.1;
}
rins2 {
instance-type virtual-router;
interface xe-0/1/0.2;
}
}
Voir également
Exemple : Configuration du transfert basé sur des filtres vers une interface sortante spécifique
Cet exemple montre comment l’utiliser then next-interface en tant qu’action dans un filtre de pare-feu.
Conditions préalables
Cet exemple a les exigences matérielles et logicielles suivantes :
Plate-forme de routage universelle 5G MX Series en tant que périphérique de routage avec le filtre de pare-feu configuré.
Junos OS version 12.2 s’exécute sur le périphérique de routage avec le filtre de pare-feu configuré.
Le filtre avec l’action
next-interface(ounext-ip) ne peut être appliqué qu’à une interface hébergée sur un MPC Trio. Si vous appliquez le filtre à un DPC basé sur une puce I, l’opération de validation échoue.L’interface sortante visée dans l’action
next-interface interface-namepeut être hébergée sur un MPC Trio ou un DPC basé sur une puce I.
Présentation
Dans cet exemple, l’appareil R1 a deux adresses d’interface de bouclage configurées : 172.16.1.1 et 172.16.2.2.
Sur l’appareil R2, plusieurs termes sont configurés pour un filtre de pare-feu. Chaque terme correspond à l’une des adresses source du trafic entrant et achemine le trafic vers les interfaces sortantes spécifiées. Les interfaces sortantes sont configurées en tant qu’interfaces balisées VLAN entre l’appareil R2 et l’appareil R3.
L’IS-IS assure la connectivité entre les appareils.
Figure 1 Affiche la topologie utilisée dans cet exemple.
Cet exemple montre la configuration sur l’appareil R2.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Appareil R2
set interfaces ge-2/1/0 unit 0 family inet filter input filter1 set interfaces ge-2/1/0 unit 0 family inet address 10.0.0.10/30 set interfaces ge-2/1/0 unit 0 description to-R1 set interfaces ge-2/1/0 unit 0 family iso set interfaces ge-2/1/1 vlan-tagging set interfaces ge-2/1/1 description to-R3 set interfaces ge-2/1/1 unit 0 vlan-id 1001 set interfaces ge-2/1/1 unit 0 family inet address 10.0.0.13/30 set interfaces ge-2/1/1 unit 0 family iso set interfaces ge-2/1/1 unit 1 vlan-id 1002 set interfaces ge-2/1/1 unit 1 family inet address 10.0.0.25/30 set interfaces ge-2/1/1 unit 1 family iso set interfaces lo0 unit 0 family inet address 10.255.4.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.0000.0404.00 set firewall family inet filter filter1 term t1 from source-address 172.16.1.1/32 set firewall family inet filter filter1 term t1 then next-interface ge-2/1/1.0 set firewall family inet filter filter1 term t2 from source-address 172.16.2.2/32 set firewall family inet filter filter1 term t2 then next-interface ge-2/1/1.1 set protocols isis interface all level 1 disable set protocols isis interface fxp0.0 disable set protocols isis interface lo0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, reportez-vous Utiliser l’éditeur CLI en mode configuration au Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer l’appareil R2 :
Configurez les interfaces.
[edit interfaces] user@R2# set ge-2/1/0 unit 0 family inet filter input filter1 user@R2# set ge-2/1/0 unit 0 family inet address 10.0.0.10/30 user@R2# set ge-2/1/0 unit 0 description to-R1 user@R2# set ge-2/1/0 unit 0 family iso user@R2# set ge-2/1/1 vlan-tagging user@R2# set ge-2/1/1 description to-R3 user@R2# set ge-2/1/1 unit 0 vlan-id 1001 user@R2# set ge-2/1/1 unit 0 family inet address 10.0.0.13/30 user@R2# set ge-2/1/1 unit 0 family iso user@R2# set ge-2/1/1 unit 1 vlan-id 1002 user@R2# set ge-2/1/1 unit 1 family inet address 10.0.0.25/30 user@R2# set ge-2/1/1 unit 1 family iso user@R2# set lo0 unit 0 family inet address 10.255.4.4/32 user@R2# set lo0 unit 0 family iso address 49.0001.0010.0000.0404.00
Configurez le filtre du pare-feu.
[edit firewall family inet filter filter1] user@R2# set term t1 from source-address 172.16.1.1/32 user@R2# set term t1 then next-interface ge-2/1/1.0 user@R2# set term t2 from source-address 172.16.2.2/32 user@R2# set term t2 then next-interface ge-2/1/1.1
Activez IS-IS sur les interfaces.
[edit protocols is-is] user@R2# set interface all level 1 disable user@R2# set interface fxp0.0 disable user@R2# set interface lo0.0
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfacescommandes , show firewallet show protocols . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@R2# show interfaces
ge-2/1/0 {
unit 0 {
description to-R1;
family inet {
filter {
input filter1;
}
address 10.0.0.10/30;
}
family iso;
}
}
ge-2/1/1 {
description to-R3;
vlan-tagging;
unit 0 {
vlan-id 1001;
family inet {
address 10.0.0.13/30;
}
family iso;
}
unit 1 {
vlan-id 1002;
family inet {
address 10.0.0.25/30;
}
family iso;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.4.4/32;
}
family iso {
address 49.0001.0010.0000.0404.00;
}
}
}
user@R2# show firewall
family inet {
filter filter1 {
term t1 {
from {
source-address {
172.16.1.1/32;
}
}
then {
next-interface {
ge-2/1/1.0;
}
}
term t2 {
from {
source-address {
172.16.2.2/32;
}
}
then {
next-interface {
ge-2/1/1.1;
}
}
}
}
}
user@R2# show protocols
isis {
interface all {
level 1 disable;
}
interface fxp0.0 {
disable;
}
interface lo0.0;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des chemins empruntés
But
Assurez-vous que les chemins attendus sont utilisés lors de l’envoi de trafic de l’appareil R1 vers l’appareil R4.
Action
Sur l’appareil R1, entrez la traceroute commande.
user@R1> traceroute 10.255.6.6 source 172.16.1.1 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.1.1, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.976 ms 0.895 ms 0.815 ms 2 10.0.0.14 (10.0.0.14) 0.868 ms 0.888 ms 0.813 ms 3 10.255.6.6 (10.255.6.6) 1.715 ms 1.442 ms 1.382 ms
user@R1> traceroute 10.255.6.6 source 172.16.2.2 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.2.2, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.973 ms 0.907 ms 0.782 ms 2 10.0.0.26 (10.0.0.26) 0.844 ms 0.890 ms 0.852 ms 3 10.255.6.6 (10.255.6.6) 1.384 ms 1.516 ms 1.462 ms
Sens
La sortie montre que le deuxième saut change, en fonction de l’adresse source utilisée dans la traceroute commande.
Pour vérifier cette fonctionnalité, une opération traceroute est effectuée sur l’appareil R1 vers l’appareil R4. Lorsque l’adresse IP source est 172.16.1.1, les paquets sont transférés vers l’interface ge-2/1/1.0 sur le périphérique R2. Lorsque l’adresse IP source est 172.16.2.2, les paquets sont transférés vers l’interface ge-2/1/1.1 sur le périphérique R2.
Exemple : Configuration du transfert basé sur un filtre vers une adresse IP de destination spécifique
Cet exemple montre comment l’utiliser then next-ip en tant qu’action dans un filtre de pare-feu.
Conditions préalables
Cet exemple a les exigences matérielles et logicielles suivantes :
Plate-forme de routage universelle 5G MX Series en tant que périphérique de routage avec le filtre de pare-feu configuré.
Junos OS version 12.2 s’exécute sur le périphérique de routage avec le filtre de pare-feu configuré.
Le filtre avec l’action
next-interface(ounext-ip) ne peut être appliqué qu’à une interface hébergée sur un MPC Trio. Si vous appliquez le filtre à un DPC basé sur une puce I, l’opération de validation échoue.L’interface sortante mentionnée dans l’action next-interface-name peut être hébergée sur un MPC Trio ou un DPC basé sur une puce I.
Présentation
Dans cet exemple, l’appareil R2 a deux instances de routage qui sont interconnectées par des liens physiques. Le trafic provenant de certaines sources doit être dirigé vers la liaison supérieure pour être inspecté par un optimiseur de trafic, qui agit de manière transparente sur la couche IP. Lorsque l’optimiseur de trafic échoue, le trafic est déplacé vers la liaison inférieure. Les écoulements dans les directions R1>R3 et R3>R1 suivent des trajectoires identiques.
Figure 2 Affiche la topologie utilisée dans cet exemple.
Sur l’appareil R2, un filtre de pare-feu est appliqué à l’interface ge-1/0/8 dans le sens d’entrée. Le second terme correspond aux adresses source spécifiques 10.0.0.0/24 et achemine le trafic vers l’adresse 192.168.0.3. Cette adresse se résout en next-hop 192.168.20.2. Si la liaison connectée à l’interface ge-1/1/0 tombe en panne, l’adresse 192.168.0.3 sera résolue en next-hop 192.168.30.2.
Sur l’appareil R2, un filtre de pare-feu est appliqué à l’interface ge-1/0/0 dans le sens d’entrée. Le second terme correspond aux adresses de destination spécifiques 10.0.0.0/24 et achemine le trafic vers l’adresse 192.168.0.2. Cette adresse correspond au next-hop 192.168.20.1. Si la liaison connectée à l’interface ge-1/3/8 tombe en panne, l’adresse 192.168.0.2 sera résolue en next-hop 192.168.30.1.
L’adresse configurée à l’aide de l’action n’est next-ip pas automatiquement résolue. Sur les interfaces Ethernet, il est supposé que l’adresse configurée est résolue à l’aide d’un protocole de routage ou de routes statiques.
Le BGP interne (IBGP) est utilisé entre l’appareil R2-VR1 et l’appareil R2-VR2. Le BGP externe (EBGP) est utilisé entre l’appareil R1 et l’appareil R2-VR1, ainsi qu’entre l’appareil R2-VR2 et l’appareil R3.
Les opérations BGP se déroulent comme suit :
R2-VR1 apprend 10/8 de R1 et 0/0 de R2-VR2.
R2-VR2 apprend 0/0 de R3 et 10/8 de R2-VR1.
R1 annonce 10/8 et reçoit 0/0 de R2-VR1.
R3 annonce 0/0 et reçoit 10/8 de R2-VR2.
Le filtre de pare-feu appliqué à l’appareil R2 doit autoriser le trafic du plan de contrôle pour les interfaces directement connectées, en l’occurrence les sessions EBGP.
Cet exemple montre la configuration sur l’appareil R2.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Appareil R1
set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set interfaces lo0 unit 0 family inet address 10.1.0.1/32 set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.1/24 set routing-options autonomous-system 64501 set protocols bgp group eBGP neighbor 192.168.10.2 peer-as 64502 set protocols bgp group eBGP export Announce10 set policy-options policy-statement Announce10 term 1 from route-filter 10.0.0.0/8 exact set policy-options policy-statement Announce10 term 1 then accept set policy-options policy-statement Announce10 term 2 then reject
Appareil R2
set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.2/24 set interfaces ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer set interfaces ge-1/1/0 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/1/1 unit 0 family inet address 192.168.30.1/24 set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-1/0/8.0 set routing-instances VR1 interface ge-1/1/0.0 set routing-instances VR1 interface ge-1/1/1.0 set routing-instances VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 set routing-instances VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 set routing-instances VR1 routing-options autonomous-system 64502 set routing-instances VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal set firewall family inet filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 0 then accept set firewall family inet filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 set firewall family inet filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 set firewall family inet filter SteerSrcTrafficOptimizer term 2 then accept set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.1/24 set interfaces ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer set interfaces ge-1/3/8 unit 0 family inet address 192.168.20.2/24 set interfaces ge-1/3/9 unit 0 family inet address 192.168.30.2/24 set routing-instances VR2 instance-type virtual-router set routing-instances VR2 interface ge-1/0/0.0 set routing-instances VR2 interface ge-1/3/8.0 set routing-instances VR2 interface ge-1/3/9.0 set routing-instances VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 set routing-instances VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 set routing-instances VR2 routing-options autonomous-system 64502 set routing-instances VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal set firewall family inet filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 0 then accept set firewall family inet filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 set firewall family inet filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 set firewall family inet filter SteerDstTrafficOptimizer term 2 then accept set policy-options policy-statement AcceptExternal term 1 from route-type external set policy-options policy-statement AcceptExternal term 1 then accept
Appareil R3
set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.2/24 set routing-options autonomous-system 64503 set protocols bgp group eBGP neighbor 192.168.40.1 peer-as 64502 set protocols bgp group eBGP export Announce0 set policy-options policy-statement Announce0 term 1 from route-filter 0.0.0.0/0 exact set policy-options policy-statement Announce0 term 1 then accept set policy-options policy-statement Announce0 term 2 then reject
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, reportez-vous Utiliser l’éditeur CLI en mode configuration au Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer l’appareil R2 :
Configurez les interfaces.
[edit interfaces] user@R2# set ge-1/0/8 unit 0 family inet address 192.168.10.2/24 user@R2# set ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer user@R2# set ge-1/1/0 unit 0 family inet address 192.168.20.1/24 user@R2# set ge-1/1/1 unit 0 family inet address 192.168.30.1/24 user@R2# set ge-1/0/0 unit 0 family inet address 192.168.40.1/24 user@R2# set ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer user@R2# set ge-1/3/8 unit 0 family inet address 192.168.20.2/24 user@R2# set ge-1/3/9 unit 0 family inet address 192.168.30.2/24
Configurez l’instance de routage.
[edit routing-instances] user@R2# set VR1 instance-type virtual-router user@R2# set VR1 interface ge-1/0/8.0 user@R2# set VR1 interface ge-1/1/0.0 user@R2# set VR1 interface ge-1/1/1.0 user@R2# set VR2 instance-type virtual-router user@R2# set VR2 interface ge-1/0/0.0 user@R2# set VR2 interface ge-1/3/8.0 user@R2# set VR2 interface ge-1/3/9.0
Configurez le routage statique et BGP.
[edit routing-instances] user@R2# set VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 user@R2# set VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 user@R2# set VR1 routing-options autonomous-system 64502 user@R2# set VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal user@R2# set VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 user@R2# set VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 user@R2# set VR2 routing-options autonomous-system 64502 user@R2# set VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal
Configurez les filtres du pare-feu.
[edit firewall family inet] user@R2# set filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 0 then accept user@R2# set filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 user@R2# set filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 user@R2# set filter SteerSrcTrafficOptimizer term 2 then accept user@R2# set filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 user@R2# set filter SteerDstTrafficOptimizer term 0 then accept user@R2# set filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 user@R2# set filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 user@R2# set filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 user@R2# set filter SteerDstTrafficOptimizer term 2 then accept
Configurez la stratégie de routage.
[edit policy-options policy-statement AcceptExternal term 1] user@R2# set from route-type external user@R2# set term 1 then accept
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfacescommandes , show firewallet show protocols . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@R2# show interfaces
ge-1/0/0 {
unit 0 {
family inet {
filter {
input SteerDstTrafficOptimizer;
}
address 192.168.40.1/24;
}
}
}
ge-1/0/8 {
unit 0 {
family inet {
filter {
input SteerSrcTrafficOptimizer;
}
address 192.168.10.2/24;
}
}
}
ge-1/1/0 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.30.1/24;
}
}
}
ge-1/3/8 {
unit 0 {
family inet {
address 192.168.20.2/24;
}
}
}
ge-1/3/9 {
unit 0 {
family inet {
address 192.168.30.2/24;
}
}
}
user@R2# show firewall
family inet {
filter SteerSrcTrafficOptimizer {
term 0 {
from {
source-address {
192.168.10.0/24;
}
}
then accept;
}
term 1 {
from {
source-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.3/32 routing-instance VR1;
}
}
term 2 {
from {
source-address {
10.0.0.0/8;
}
}
then accept;
}
}
filter SteerDstTrafficOptimizer {
term 0 {
from {
source-address {
192.168.40.0/24;
}
}
then accept;
}
term 1 {
from {
destination-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.2/32 routing-instance VR2;
}
}
term 2 {
from {
destination-address {
10.0.0.0/8;
}
}
then accept;
}
}
}
user@R2# show policy-options
policy-statement AcceptExternal {
term 1 {
from route-type external;
then accept;
}
}
user@R2# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-1/0/8.0;
interface ge-1/1/0.0;
interface ge-1/1/1.0;
routing-options {
static {
route 192.168.0.3/32 {
next-hop 192.168.20.2;
qualified-next-hop 192.168.30.2 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.10.1 {
peer-as 64501;
}
}
group iBGP {
neighbor 192.168.30.2 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
VR2 {
instance-type virtual-router;
interface ge-1/0/0.0;
interface ge-1/3/8.0;
interface ge-1/3/9.0;
routing-options {
static {
route 192.168.0.2/32 {
next-hop 192.168.20.1;
qualified-next-hop 192.168.30.1 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.40.2 {
peer-as 64503;
}
}
group iBGP {
neighbor 192.168.30.1 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des chemins empruntés
But
Assurez-vous que les chemins attendus sont utilisés lors de l’envoi de trafic de l’appareil R1 vers l’appareil R3.
Action
Sur l’appareil R1, entrez la traceroute commande avant et après l’échec de la liaison
Avant la défaillance de l’optimiseur de trafic
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.519 ms 0.403 ms 0.380 ms 2 192.168.20.2 (192.168.20.2) 0.404 ms 0.933 ms 0.402 m0 3 10.11.0.1 (10.11.0.1) 0.709 ms 0.656 ms 0.644 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.524 ms 0.396 ms 0.380 ms 2 192.168.30.2 (192.168.30.2) 0.412 ms 0.410 ms 0.911 ms 3 10.11.0.1 (10.11.0.1) 0.721 ms 0.639 ms 0.659 ms
Après une défaillance de l’optimiseur de trafic
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.506 ms 0.400 ms 0.378 ms 2 192.168.30.2 (192.168.30.2) 0.433 ms 0.550 ms 0.415 ms 3 10.11.0.1 (10.11.0.1) 0.723 ms 0.638 ms 0.638 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.539 ms 0.411 ms 0.769 ms 2 192.168.30.2 (192.168.30.2) 0.426 ms 0.413 ms 2.429 ms 3 10.11.0.1 (10.11.0.1) 10.868 ms 0.662 ms 0.647 ms
Sens
La sortie montre que le deuxième saut change, en fonction de l’adresse source utilisée dans la traceroute commande.
Pour vérifier cette fonctionnalité, une opération de traceroute est effectuée sur l’appareil R1 vers l’appareil R3. Lorsque l’adresse IP source est 10.0.0.1, les paquets sont transférés vers l’interface ge-1/1/0.0 sur l’appareil R2. Lorsque l’adresse IP source est 10.1.0.1, les paquets sont transférés vers l’interface ge-1/1/1.0 sur le périphérique R2.
Lorsque la liaison entre ge-1/1/0 et ge-1/3/8 échoue, les paquets avec l’adresse IP source 10.0.0.1 sont transférés vers l’interface ge-1/1/1.0 sur l’appareil R2.