例:特定の発信インターフェイスまたは宛先IPアドレスへのフィルターベースの転送の設定
特定の発信インターフェイスまたは宛先IPアドレスへのフィルターベースの転送について
ポリシーベースルーティング(フィルターベースフォワーディングとも呼ばれます)とは、インターフェイスに適用されるファイアウォールフィルターを使用して、特定のIPヘッダー特性に一致させ、一致するパケットのみを通常のルーティングとは異なる方法でルーティングすることを指します。
Junos OSリリース12.2以降、ファイアウォールフィルターのアクションとしてthen next-interface、then next-ip、またはthen next-ip6を使用できるようになりました。特定の一致条件から、IPv4 および IPv6 アドレス、またはインターフェイス名を一致に対する応答アクションとして指定できます。
一致条件のセットは、次のようになります。
レイヤー 3 プロパティ(送信元または宛先 IP アドレス、TOS バイトなど)
レイヤー 4 プロパティ(送信元ポートまたは宛先ポートなど)
ポリシーベースルーティングを有効にするには、指定されたIPv4またはIPv6アドレスのルートがルーティングテーブルに存在する必要があります。同様に、アクションを有効にするには、特定のインターフェイスを通過するルート next-interface 転送テーブルに存在する必要があります。これを実現するには、OSPFやIS-ISなどの内部ゲートウェイプロトコル(IGP)を設定して、レイヤー3ルートをアドバタイズします。
ファイアウォールフィルターは条件に一致し、パケットを以下のいずれかに転送します。
IPv4アドレス(
next-ipファイアウォールフィルターアクションを使用)IPv6アドレス(
next-ip6ファイアウォールフィルターアクションを使用)インターフェイス(
next-interfaceファイアウォールフィルターアクションを使用)
たとえば、顧客にサービスを提供し、そのサービスが異なるサーバー上にあるとします。サービスの例としては、ホスト型DNSやホスト型FTPなどがあります。顧客のトラフィックがジュニパーネットワークスのルーティングデバイスに到着すると、フィルターベースの転送を使用して、MACアドレスまたはIPアドレス、または単に着信インターフェイスに一致条件を適用することで、サーバーにトラフィックを送信し、適切なサーバーに関連付けられた特定の発信インターフェイスにパケットを送信できます。宛先の一部がIPv4またはIPv6アドレスである場合、その場合は next-ip または next-ip6 アクションが役立ちます。
オプションで、発信インターフェイスまたはIPアドレスをルーティングインスタンスに関連付けることができます。
次に例を示します。
firewall {
filter filter1 {
term t1 {
from {
source-address {
10.1.1.3/32;
}
}
then {
next-interface {
xe-0/1/0.1;
routing-instance rins1;
}
}
}
term t2 {
from {
source-address {
10.1.1.4/32;
}
}
then {
next-interface {
xe-0/1/0.2;
routing-instance rins2;
}
}
}
}
}
routing-instances {
rins1 {
instance-type virtual-router;
interface xe-0/1/0.1;
}
rins2 {
instance-type virtual-router;
interface xe-0/1/0.2;
}
}
関連項目
例:特定の発信インターフェイスへのフィルターベースの転送の設定
この例では、ファイアウォールフィルターのアクションとして then next-interface を使用する方法を示しています。
要件
この例では、以下のハードウェアおよびソフトウェア要件があります。
ファイアウォールフィルターが設定されたルーティングデバイスとしてのMXシリーズ5Gユニバーサルルーティングプラットフォーム。
ファイアウォールフィルターが設定されたルーティングデバイスで実行されているJunos OSリリース12.2。
next-interface(またはnext-ip)アクションを持つフィルターは、Trio MPCでホストされているインターフェイスにのみ適用できます。IチップベースのDPCにフィルターを適用すると、コミット操作は失敗します。next-interface interface-nameアクションで参照される発信インターフェイスは、Trio MPCまたはIチップベースのDPCでホストできます。
概要
この例では、デバイスR1には2つのループバックインターフェイスアドレスが設定されています:172.16.1.1と172.16.2.2。
デバイスR2では、ファイアウォールフィルターに複数の条件が設定されています。各条件は、受信トラフィックの送信元アドレスの 1 つと一致し、指定された発信インターフェイスにトラフィックをルーティングします。発信インターフェイスは、デバイスR2とデバイスR3の間のVLANタグ付きインターフェイスとして設定されます。
IS-IS は、デバイス間の接続に使用されます。
図1 は、この例で使用されているトポロジーを示しています。
この例では、デバイスR2の設定を示しています。
トポロジー
設定
手順
CLIクイックコンフィグレーション
この例を簡単に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルのCLIにコピー&ペーストしてください。
デバイスR2
set interfaces ge-2/1/0 unit 0 family inet filter input filter1 set interfaces ge-2/1/0 unit 0 family inet address 10.0.0.10/30 set interfaces ge-2/1/0 unit 0 description to-R1 set interfaces ge-2/1/0 unit 0 family iso set interfaces ge-2/1/1 vlan-tagging set interfaces ge-2/1/1 description to-R3 set interfaces ge-2/1/1 unit 0 vlan-id 1001 set interfaces ge-2/1/1 unit 0 family inet address 10.0.0.13/30 set interfaces ge-2/1/1 unit 0 family iso set interfaces ge-2/1/1 unit 1 vlan-id 1002 set interfaces ge-2/1/1 unit 1 family inet address 10.0.0.25/30 set interfaces ge-2/1/1 unit 1 family iso set interfaces lo0 unit 0 family inet address 10.255.4.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.0000.0404.00 set firewall family inet filter filter1 term t1 from source-address 172.16.1.1/32 set firewall family inet filter filter1 term t1 then next-interface ge-2/1/1.0 set firewall family inet filter filter1 term t2 from source-address 172.16.2.2/32 set firewall family inet filter filter1 term t2 then next-interface ge-2/1/1.1 set protocols isis interface all level 1 disable set protocols isis interface fxp0.0 disable set protocols isis interface lo0.0
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、『Junos OS CLIユーザーガイド』の「設定モードでCLIエディタを使用する」を参照してください。
デバイスR2を設定するには:
インターフェイスを設定します。
[edit interfaces] user@R2# set ge-2/1/0 unit 0 family inet filter input filter1 user@R2# set ge-2/1/0 unit 0 family inet address 10.0.0.10/30 user@R2# set ge-2/1/0 unit 0 description to-R1 user@R2# set ge-2/1/0 unit 0 family iso user@R2# set ge-2/1/1 vlan-tagging user@R2# set ge-2/1/1 description to-R3 user@R2# set ge-2/1/1 unit 0 vlan-id 1001 user@R2# set ge-2/1/1 unit 0 family inet address 10.0.0.13/30 user@R2# set ge-2/1/1 unit 0 family iso user@R2# set ge-2/1/1 unit 1 vlan-id 1002 user@R2# set ge-2/1/1 unit 1 family inet address 10.0.0.25/30 user@R2# set ge-2/1/1 unit 1 family iso user@R2# set lo0 unit 0 family inet address 10.255.4.4/32 user@R2# set lo0 unit 0 family iso address 49.0001.0010.0000.0404.00
ファイアウォールフィルターを設定します。
[edit firewall family inet filter filter1] user@R2# set term t1 from source-address 172.16.1.1/32 user@R2# set term t1 then next-interface ge-2/1/1.0 user@R2# set term t2 from source-address 172.16.2.2/32 user@R2# set term t2 then next-interface ge-2/1/1.1
インターフェイスで IS-IS を有効にします。
[edit protocols is-is] user@R2# set interface all level 1 disable user@R2# set interface fxp0.0 disable user@R2# set interface lo0.0
結果
設定モードから、 show interfaces、 show firewall、 show protocols コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@R2# show interfaces
ge-2/1/0 {
unit 0 {
description to-R1;
family inet {
filter {
input filter1;
}
address 10.0.0.10/30;
}
family iso;
}
}
ge-2/1/1 {
description to-R3;
vlan-tagging;
unit 0 {
vlan-id 1001;
family inet {
address 10.0.0.13/30;
}
family iso;
}
unit 1 {
vlan-id 1002;
family inet {
address 10.0.0.25/30;
}
family iso;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.4.4/32;
}
family iso {
address 49.0001.0010.0000.0404.00;
}
}
}
user@R2# show firewall
family inet {
filter filter1 {
term t1 {
from {
source-address {
172.16.1.1/32;
}
}
then {
next-interface {
ge-2/1/1.0;
}
}
term t2 {
from {
source-address {
172.16.2.2/32;
}
}
then {
next-interface {
ge-2/1/1.1;
}
}
}
}
}
user@R2# show protocols
isis {
interface all {
level 1 disable;
}
interface fxp0.0 {
disable;
}
interface lo0.0;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
使用されているパスの確認
目的
デバイスR1からデバイスR4にトラフィックを送信するときに、想定どおりのパスが使用されていることを確認します。
アクション
デバイスR1で、 traceroute コマンドを入力します。
user@R1> traceroute 10.255.6.6 source 172.16.1.1 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.1.1, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.976 ms 0.895 ms 0.815 ms 2 10.0.0.14 (10.0.0.14) 0.868 ms 0.888 ms 0.813 ms 3 10.255.6.6 (10.255.6.6) 1.715 ms 1.442 ms 1.382 ms
user@R1> traceroute 10.255.6.6 source 172.16.2.2 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.2.2, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.973 ms 0.907 ms 0.782 ms 2 10.0.0.26 (10.0.0.26) 0.844 ms 0.890 ms 0.852 ms 3 10.255.6.6 (10.255.6.6) 1.384 ms 1.516 ms 1.462 ms
意味
出力では、 traceroute コマンドで使用される送信元アドレスに応じて、セカンドホップが変化することがわかります。
この機能を検証するために、デバイスR1からデバイスR4へのトレースルート操作が実行されます。送信元 IP アドレスが 172.16.1.1 の場合、パケットはデバイス R2 の ge-2/1/1.0 インターフェイスから転送されます。送信元 IP アドレスが 172.16.2.2 の場合、パケットはデバイス R2 の ge-2/1/1.1 インターフェイスから転送されます。
例:特定の宛先IPアドレスへのフィルターベースの転送の設定
この例では、ファイアウォールフィルターのアクションとして then next-ip を使用する方法を示しています。
要件
この例では、以下のハードウェアおよびソフトウェア要件があります。
ファイアウォールフィルターが設定されたルーティングデバイスとしてのMXシリーズ5Gユニバーサルルーティングプラットフォーム。
ファイアウォールフィルターが設定されたルーティングデバイスで実行されているJunos OSリリース12.2。
next-interface(またはnext-ip)アクションを持つフィルターは、Trio MPCでホストされているインターフェイスにのみ適用できます。IチップベースのDPCにフィルターを適用すると、コミット操作は失敗します。next-interface interface-nameアクションで参照される発信インターフェイスは、Trio MPCまたはIチップベースのDPCでホストできます。
概要
この例では、デバイスR2には、物理リンクで相互接続された2つのルーティングインスタンスがあります。特定のソースからのトラフィックは、IPレイヤー上で透過的に動作するトラフィックオプティマイザによる検査のために、アッパーリンクを介して誘導される必要があります。トラフィックオプティマイザに障害が発生すると、トラフィックは下位リンクに移動します。R1>R3 と R3>R1 方向のフローは、同じパスをたどります。
図2 は、この例で使用されているトポロジーを示しています。
デバイスR2では、ファイアウォールフィルターが入力方向のインターフェイスge-1/0/8に適用されます。2 番目の条件は、特定の送信元アドレス 10.0.0.0/24 に一致し、トラフィックをアドレス 192.168.0.3 にルーティングします。このアドレスはネクストホップ 192.168.20.2 に解決されます。インターフェイスge-1/1/0に接続されたリンクがダウンした場合、アドレス192.168.0.3はネクストホップ192.168.30.2に解決されます。
デバイスR2では、ファイアウォールフィルターが入力方向のインターフェイスge-1/0/0に適用されます。2 番目の条件は、特定の宛先アドレス 10.0.0.0/24 に一致し、トラフィックをアドレス 192.168.0.2 にルーティングします。このアドレスはネクストホップ 192.168.20.1 に解決されます。インターフェイスge-1/3/8に接続されたリンクがダウンした場合、アドレス192.168.0.2はネクストホップ192.168.30.1に解決されます。
next-ipアクションを使用して設定されたアドレスは、自動的に解決されません。イーサネットインターフェイスでは、設定されたアドレスはルーティングプロトコルまたはスタティックルートを使用して解決されることを前提としています。
デバイスR2-VR1とデバイスR2-VR2の間では、内部BGP(IBGP)が使用されます。外部BGP(EBGP)は、デバイスR1とデバイスR2-VR1の間、およびデバイスR2-VR2とデバイスR3の間で使用されます。
BGPの操作は、以下のように進行します。
R2-VR1 は、R1 から 10/8、R2-VR2 から 0/0 を学習します。
R2-VR2 は、R3 から 0/0、R2-VR1 から 10/8 を学習します。
R1は10/8をアドバタイズし、R2-VR1から0/0を受信します。
R3 は 0/0 をアドバタイズし、R2-VR2 から 10/8 を受信します。
デバイスR2に適用されるファイアウォールフィルターは、直接接続されたインターフェイス(この場合はEBGPセッション)のコントロールプレーントラフィックを許可する必要があります。
この例では、デバイスR2の設定を示しています。
トポロジー
設定
手順
CLIクイックコンフィグレーション
この例を簡単に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルのCLIにコピー&ペーストしてください。
デバイスR1
set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set interfaces lo0 unit 0 family inet address 10.1.0.1/32 set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.1/24 set routing-options autonomous-system 64501 set protocols bgp group eBGP neighbor 192.168.10.2 peer-as 64502 set protocols bgp group eBGP export Announce10 set policy-options policy-statement Announce10 term 1 from route-filter 10.0.0.0/8 exact set policy-options policy-statement Announce10 term 1 then accept set policy-options policy-statement Announce10 term 2 then reject
デバイスR2
set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.2/24 set interfaces ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer set interfaces ge-1/1/0 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/1/1 unit 0 family inet address 192.168.30.1/24 set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-1/0/8.0 set routing-instances VR1 interface ge-1/1/0.0 set routing-instances VR1 interface ge-1/1/1.0 set routing-instances VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 set routing-instances VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 set routing-instances VR1 routing-options autonomous-system 64502 set routing-instances VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal set firewall family inet filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 0 then accept set firewall family inet filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 set firewall family inet filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 set firewall family inet filter SteerSrcTrafficOptimizer term 2 then accept set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.1/24 set interfaces ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer set interfaces ge-1/3/8 unit 0 family inet address 192.168.20.2/24 set interfaces ge-1/3/9 unit 0 family inet address 192.168.30.2/24 set routing-instances VR2 instance-type virtual-router set routing-instances VR2 interface ge-1/0/0.0 set routing-instances VR2 interface ge-1/3/8.0 set routing-instances VR2 interface ge-1/3/9.0 set routing-instances VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 set routing-instances VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 set routing-instances VR2 routing-options autonomous-system 64502 set routing-instances VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal set firewall family inet filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 0 then accept set firewall family inet filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 set firewall family inet filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 set firewall family inet filter SteerDstTrafficOptimizer term 2 then accept set policy-options policy-statement AcceptExternal term 1 from route-type external set policy-options policy-statement AcceptExternal term 1 then accept
デバイスR3
set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.2/24 set routing-options autonomous-system 64503 set protocols bgp group eBGP neighbor 192.168.40.1 peer-as 64502 set protocols bgp group eBGP export Announce0 set policy-options policy-statement Announce0 term 1 from route-filter 0.0.0.0/0 exact set policy-options policy-statement Announce0 term 1 then accept set policy-options policy-statement Announce0 term 2 then reject
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、『Junos OS CLIユーザーガイド』の「設定モードでCLIエディタを使用する」を参照してください。
デバイスR2を設定するには:
インターフェイスを設定します。
[edit interfaces] user@R2# set ge-1/0/8 unit 0 family inet address 192.168.10.2/24 user@R2# set ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer user@R2# set ge-1/1/0 unit 0 family inet address 192.168.20.1/24 user@R2# set ge-1/1/1 unit 0 family inet address 192.168.30.1/24 user@R2# set ge-1/0/0 unit 0 family inet address 192.168.40.1/24 user@R2# set ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer user@R2# set ge-1/3/8 unit 0 family inet address 192.168.20.2/24 user@R2# set ge-1/3/9 unit 0 family inet address 192.168.30.2/24
ルーティングインスタンスを設定します。
[edit routing-instances] user@R2# set VR1 instance-type virtual-router user@R2# set VR1 interface ge-1/0/8.0 user@R2# set VR1 interface ge-1/1/0.0 user@R2# set VR1 interface ge-1/1/1.0 user@R2# set VR2 instance-type virtual-router user@R2# set VR2 interface ge-1/0/0.0 user@R2# set VR2 interface ge-1/3/8.0 user@R2# set VR2 interface ge-1/3/9.0
スタティックルーティングとBGPルーティングを設定します。
[edit routing-instances] user@R2# set VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 user@R2# set VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 user@R2# set VR1 routing-options autonomous-system 64502 user@R2# set VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal user@R2# set VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 user@R2# set VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 user@R2# set VR2 routing-options autonomous-system 64502 user@R2# set VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal
ファイアウォールフィルターを設定します。
[edit firewall family inet] user@R2# set filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 0 then accept user@R2# set filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 user@R2# set filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 user@R2# set filter SteerSrcTrafficOptimizer term 2 then accept user@R2# set filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 user@R2# set filter SteerDstTrafficOptimizer term 0 then accept user@R2# set filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 user@R2# set filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 user@R2# set filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 user@R2# set filter SteerDstTrafficOptimizer term 2 then accept
ルーティングポリシーを設定します。
[edit policy-options policy-statement AcceptExternal term 1] user@R2# set from route-type external user@R2# set term 1 then accept
結果
設定モードから、 show interfaces、 show firewall、 show protocols コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@R2# show interfaces
ge-1/0/0 {
unit 0 {
family inet {
filter {
input SteerDstTrafficOptimizer;
}
address 192.168.40.1/24;
}
}
}
ge-1/0/8 {
unit 0 {
family inet {
filter {
input SteerSrcTrafficOptimizer;
}
address 192.168.10.2/24;
}
}
}
ge-1/1/0 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.30.1/24;
}
}
}
ge-1/3/8 {
unit 0 {
family inet {
address 192.168.20.2/24;
}
}
}
ge-1/3/9 {
unit 0 {
family inet {
address 192.168.30.2/24;
}
}
}
user@R2# show firewall
family inet {
filter SteerSrcTrafficOptimizer {
term 0 {
from {
source-address {
192.168.10.0/24;
}
}
then accept;
}
term 1 {
from {
source-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.3/32 routing-instance VR1;
}
}
term 2 {
from {
source-address {
10.0.0.0/8;
}
}
then accept;
}
}
filter SteerDstTrafficOptimizer {
term 0 {
from {
source-address {
192.168.40.0/24;
}
}
then accept;
}
term 1 {
from {
destination-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.2/32 routing-instance VR2;
}
}
term 2 {
from {
destination-address {
10.0.0.0/8;
}
}
then accept;
}
}
}
user@R2# show policy-options
policy-statement AcceptExternal {
term 1 {
from route-type external;
then accept;
}
}
user@R2# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-1/0/8.0;
interface ge-1/1/0.0;
interface ge-1/1/1.0;
routing-options {
static {
route 192.168.0.3/32 {
next-hop 192.168.20.2;
qualified-next-hop 192.168.30.2 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.10.1 {
peer-as 64501;
}
}
group iBGP {
neighbor 192.168.30.2 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
VR2 {
instance-type virtual-router;
interface ge-1/0/0.0;
interface ge-1/3/8.0;
interface ge-1/3/9.0;
routing-options {
static {
route 192.168.0.2/32 {
next-hop 192.168.20.1;
qualified-next-hop 192.168.30.1 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.40.2 {
peer-as 64503;
}
}
group iBGP {
neighbor 192.168.30.1 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
使用されているパスの確認
目的
デバイスR1からデバイスR3にトラフィックを送信するときに、予想されるパスが使用されていることを確認します。
アクション
デバイスR1で、リンク障害の前後に traceroute コマンドを入力します
トラフィックオプティマイザが故障する前
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.519 ms 0.403 ms 0.380 ms 2 192.168.20.2 (192.168.20.2) 0.404 ms 0.933 ms 0.402 m0 3 10.11.0.1 (10.11.0.1) 0.709 ms 0.656 ms 0.644 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.524 ms 0.396 ms 0.380 ms 2 192.168.30.2 (192.168.30.2) 0.412 ms 0.410 ms 0.911 ms 3 10.11.0.1 (10.11.0.1) 0.721 ms 0.639 ms 0.659 ms
トラフィックオプティマイザの障害後
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.506 ms 0.400 ms 0.378 ms 2 192.168.30.2 (192.168.30.2) 0.433 ms 0.550 ms 0.415 ms 3 10.11.0.1 (10.11.0.1) 0.723 ms 0.638 ms 0.638 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.539 ms 0.411 ms 0.769 ms 2 192.168.30.2 (192.168.30.2) 0.426 ms 0.413 ms 2.429 ms 3 10.11.0.1 (10.11.0.1) 10.868 ms 0.662 ms 0.647 ms
意味
出力では、 traceroute コマンドで使用される送信元アドレスに応じて、セカンドホップが変化することがわかります。
この機能を検証するために、デバイスR1からデバイスR3へのトレースルート操作が実行されます。送信元 IP アドレスが 10.0.0.1 の場合、パケットはデバイス R2 の ge-1/1/0.0 インターフェイスから転送されます。送信元 IP アドレスが 10.1.0.1 の場合、パケットはデバイス R2 の ge-1/1/1.0 インターフェイスから転送されます。
ge-1/1/0とge-1/3/8間のリンクに障害が発生すると、送信元IPアドレス10.0.0.1のパケットがデバイスR2のge-1/1/1.0インターフェイスから転送されます。