例:特定のアウトゴーイングインターフェイスまたは宛先 IP アドレスへのフィルターベースの転送の構成
特定のアウトゴーイングインターフェイスまたは宛先 IP アドレスへのフィルターベースの転送を理解する
ポリシーベースのルーティング (フィルターベースの転送とも呼ばれる) は、特定の IP ヘッダーの特性に合わせてインターフェイスに適用されるファイアウォールフィルターを使用することを意味し、通常のパケットとは異なる方法で、これらの一致するパケットのみをルーティングします。回送.
Junos OS リリース12.2 から開始すると、、 then next-interfacethen next-ip、またはthen next-ip6ファイアウォールフィルタのアクションとして、、またはを使用できます。特定の対戦条件、IPv4、IPv6 アドレス、またはインターフェイス名は、対応する応答アクションとして指定できます。
以下の条件を満たすことができます。
レイヤー3のプロパティ (例: 送信元または宛先の IP アドレスまたは TOS バイト)
レイヤー4のプロパティ (送信元または宛先ポートなど)
ポリシーベースのルーティングを有効にするには、指定された IPv4 または IPv6 アドレスのルートがルーティングテーブルに存在している必要があります。同様に、指定されたインターフェイスを通過するルートは、アクションを有効next-interfaceにするために転送テーブル内に存在している必要があります。これを実現するには、OSPF や IS-IS などの内部ゲートウェイプロトコル (IGP) を構成して、レイヤー3ルートをアドバタイズします。
ファイアウォールフィルターは条件に一致し、パケットを次のいずれかに転送します。
IPv4 アドレス (
next-ipファイアウォールフィルタアクションを使用)IPv6 アドレス (
next-ip6ファイアウォールフィルタアクションを使用)インターフェイス (
next-interfaceファイアウォールフィルタアクションを使用)
たとえば、顧客にサービスを提供し、サービスを別のサーバーに配置することが考えられます。サービスの例として、ホスト DNS またはホストされた FTP があります。顧客のトラフィックがジュニパーネットワークスルーティングデバイスに到着すると、フィルタベースの転送を使用して、MAC アドレスまたは IP アドレスに一致条件を適用したり、パケットを特定の場所に送信したりすることによって、トラフィックをサーバーに送信できます。適切なサーバーに関連付けられているアウトゴーイングインターフェイス。宛先のいくつかは IPv4 または IPv6 アドレスである場合がありnext-ip 、 next-ip6その場合は or アクションが役立ちます。
必要に応じて、送信インタフェースまたは IP アドレスをルーティングインスタンスに関連付けることができます。
たとえば、以下のように記述します。
firewall {
filter filter1 {
term t1 {
from {
source-address {
10.1.1.3/32;
}
}
then {
next-interface {
xe-0/1/0.1;
routing-instance rins1;
}
}
}
term t2 {
from {
source-address {
10.1.1.4/32;
}
}
then {
next-interface {
xe-0/1/0.2;
routing-instance rins2;
}
}
}
}
}
routing-instances {
rins1 {
instance-type virtual-router;
interface xe-0/1/0.1;
}
rins2 {
instance-type virtual-router;
interface xe-0/1/0.2;
}
}
関連項目
例:特定のアウトゴーイングインターフェイスへのフィルターベースの転送の設定
この例では、ファイアthen next-interfaceウォールフィルタでアクションとして使用する方法を示します。
要件
この例は、以下のハードウェアとソフトウェアの要件を満たしています。
MX シリーズ5G ユニバーサルルーティングプラットフォームは、ファイアウォールフィルタが設定されたルーティングデバイスとして機能します。
ファイアウォールフィルタが設定されたルーティングデバイス上で実行されるリリース12.2 を Junos OS します。
next-interface(またはnext-ip) アクションを持つフィルターは、Trio MPC でホストされているインタフェースにのみ適用できます。フィルターを I チップベースの DPC に適用すると、コミット操作は失敗します。next-interface interface-nameアクションで参照されるアウトゴーイングインターフェイスは、TRIO の MPC または I チップベースの DPC でホストできます。
概要
この例では、デバイス R1 には2つのループバックインタフェースアドレスが設定されています。172.16.1.1 と172.16.2.2 です。
デバイス R2 では、ファイアウォールフィルタに複数の条件が設定されています。各条件は、受信トラフィックの送信元アドレスの1つと一致し、指定されたアウトゴーイングインターフェイスにトラフィックをルーティングします。アウトゴーイングインターフェイスは、デバイス R2 とデバイス R3 間の VLAN タグ付きインターフェイスとして構成されます。
IS-IS は、デバイス間の接続に使用されます。
図 1は、この例で使用されているトポロジを示しています。
この例では、デバイス R2 の構成を示しています。
Topology
構成
手順
CLI クイック構成
この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。
デバイス R2
set interfaces ge-2/1/0 unit 0 family inet filter input filter1 set interfaces ge-2/1/0 unit 0 family inet address 10.0.0.10/30 set interfaces ge-2/1/0 unit 0 description to-R1 set interfaces ge-2/1/0 unit 0 family iso set interfaces ge-2/1/1 vlan-tagging set interfaces ge-2/1/1 description to-R3 set interfaces ge-2/1/1 unit 0 vlan-id 1001 set interfaces ge-2/1/1 unit 0 family inet address 10.0.0.13/30 set interfaces ge-2/1/1 unit 0 family iso set interfaces ge-2/1/1 unit 1 vlan-id 1002 set interfaces ge-2/1/1 unit 1 family inet address 10.0.0.25/30 set interfaces ge-2/1/1 unit 1 family iso set interfaces lo0 unit 0 family inet address 10.255.4.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.0000.0404.00 set firewall family inet filter filter1 term t1 from source-address 172.16.1.1/32 set firewall family inet filter filter1 term t1 then next-interface ge-2/1/1.0 set firewall family inet filter filter1 term t2 from source-address 172.16.2.2/32 set firewall family inet filter filter1 term t2 then next-interface ge-2/1/1.1 set protocols isis interface all level 1 disable set protocols isis interface fxp0.0 disable set protocols isis interface lo0.0
順を追った手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 設定モードでの CLI エディターの使用 」を Junos OS CLIしてください。
デバイス R2 を構成するには、次のようになります。
インターフェイスを構成します。
[edit interfaces] user@R2# set ge-2/1/0 unit 0 family inet filter input filter1 user@R2# set ge-2/1/0 unit 0 family inet address 10.0.0.10/30 user@R2# set ge-2/1/0 unit 0 description to-R1 user@R2# set ge-2/1/0 unit 0 family iso user@R2# set ge-2/1/1 vlan-tagging user@R2# set ge-2/1/1 description to-R3 user@R2# set ge-2/1/1 unit 0 vlan-id 1001 user@R2# set ge-2/1/1 unit 0 family inet address 10.0.0.13/30 user@R2# set ge-2/1/1 unit 0 family iso user@R2# set ge-2/1/1 unit 1 vlan-id 1002 user@R2# set ge-2/1/1 unit 1 family inet address 10.0.0.25/30 user@R2# set ge-2/1/1 unit 1 family iso user@R2# set lo0 unit 0 family inet address 10.255.4.4/32 user@R2# set lo0 unit 0 family iso address 49.0001.0010.0000.0404.00
ファイアウォールフィルターを構成します。
[edit firewall family inet filter filter1] user@R2# set term t1 from source-address 172.16.1.1/32 user@R2# set term t1 then next-interface ge-2/1/1.0 user@R2# set term t2 from source-address 172.16.2.2/32 user@R2# set term t2 then next-interface ge-2/1/1.1
インターフェイスで IS-IS を有効にします。
[edit protocols is-is] user@R2# set interface all level 1 disable user@R2# set interface fxp0.0 disable user@R2# set interface lo0.0
結果
設定モードから、、、およびshow interfacesshow firewallshow protocolsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。
user@R2# show interfaces
ge-2/1/0 {
unit 0 {
description to-R1;
family inet {
filter {
input filter1;
}
address 10.0.0.10/30;
}
family iso;
}
}
ge-2/1/1 {
description to-R3;
vlan-tagging;
unit 0 {
vlan-id 1001;
family inet {
address 10.0.0.13/30;
}
family iso;
}
unit 1 {
vlan-id 1002;
family inet {
address 10.0.0.25/30;
}
family iso;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.4.4/32;
}
family iso {
address 49.0001.0010.0000.0404.00;
}
}
}
user@R2# show firewall
family inet {
filter filter1 {
term t1 {
from {
source-address {
172.16.1.1/32;
}
}
then {
next-interface {
ge-2/1/1.0;
}
}
term t2 {
from {
source-address {
172.16.2.2/32;
}
}
then {
next-interface {
ge-2/1/1.1;
}
}
}
}
}
user@R2# show protocols
isis {
interface all {
level 1 disable;
}
interface fxp0.0 {
disable;
}
interface lo0.0;
}
デバイスの設定が完了したら、設定commitモードから入力します。
検証
構成が正常に機能していることを確認します。
使用されているパスの確認
目的
デバイス R1 からデバイス R4 へのトラフィックを送信するときに、必要なパスが使用されていることを確認してください。
アクション
デバイス R1 上でtraceroute コマンドを入力します。
user@R1> traceroute 10.255.6.6 source 172.16.1.1 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.1.1, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.976 ms 0.895 ms 0.815 ms 2 10.0.0.14 (10.0.0.14) 0.868 ms 0.888 ms 0.813 ms 3 10.255.6.6 (10.255.6.6) 1.715 ms 1.442 ms 1.382 ms
user@R1> traceroute 10.255.6.6 source 172.16.2.2 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.2.2, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.973 ms 0.907 ms 0.782 ms 2 10.0.0.26 (10.0.0.26) 0.844 ms 0.890 ms 0.852 ms 3 10.255.6.6 (10.255.6.6) 1.384 ms 1.516 ms 1.462 ms
何
この出力は、 tracerouteコマンドで使用される送信元アドレスに応じて、第2ホップが変化することを示しています。
この機能を確認するために、デバイス R1 とデバイス R4 の間で traceroute 操作が実行されます。送信元 IP アドレスが172.16.1.1 の場合、パケットはデバイス R2 上の ge-2/1/1.0 インターフェイスに転送されます。送信元 IP アドレスが172.16.2.2 の場合、パケットはデバイス R2 上の ge/1/1.1 インターフェイスに転送されます。
例:特定の宛先 IP アドレスへのフィルターベースの転送の構成
この例では、ファイアthen next-ipウォールフィルタでアクションとして使用する方法を示します。
要件
この例は、以下のハードウェアとソフトウェアの要件を満たしています。
MX シリーズ5G ユニバーサルルーティングプラットフォームは、ファイアウォールフィルタが設定されたルーティングデバイスとして機能します。
ファイアウォールフィルタが設定されたルーティングデバイス上で実行されるリリース12.2 を Junos OS します。
next-interface(またはnext-ip) アクションを持つフィルターは、Trio MPC でホストされているインタフェースにのみ適用できます。フィルターを I チップベースの DPC に適用すると、コミット操作は失敗します。次のインターフェイスのインターフェイス名アクションで参照されるアウトゴーイングインターフェイスは、Trio の MPC または I チップベースの DPC でホストできます。
概要
この例では、デバイス R2 は物理リンクと相互接続された2つのルーティングインスタンスを備えています。特定のソースからのトラフィックは、IP レイヤー上で透過的に動作するトラフィックオプティマイザーによる検査のために、上側のリンクを介して送信される必要があります。トラフィックオプティマイザーに障害が発生すると、トラフィックはより下位のリンクに移動します。方向 R1>R3 および R3>R1 のフローは同じパスを通ります。
図 2は、この例で使用されているトポロジを示しています。
デバイス R2 上では、ファイアウォールフィルタが、入力方向の interface ge-1/0/8 に適用されます。2つ目の条件は、特定の送信元アドレス 10.0.0.0/24 と一致し、トラフィックをアドレス192.168.0.3 にルーティングします。このアドレスは、次ホップの192.168.20.2 に解決されます。インターフェイス ge-1/1/0 に接続されているリンクがダウンすると、アドレス192.168.0.3 は次ホップの192.168.30.2 に解決します。
デバイス R2 上では、ファイアウォールフィルタが入力方向の interface ge-1/0/0 に適用されます。2つ目の用語は、宛先アドレス 10.0.0.0/24 に一致し、トラフィックをアドレス192.168.0.2 にルーティングします。このアドレスは、次ホップの192.168.20.1 に解決されます。インターフェイス ge-1/3/8 に接続されたリンクがダウンすると、ip アドレス192.168.0.2 は次ホップの192.168.30.1 に解決されます。
next-ipアクションを使用して設定されたアドレスは自動的に解決されません。イーサネットインターフェイスでは、設定されたアドレスがルーティングプロトコルまたは静的ルートを使用して解決されていることを前提としています。
デバイス R2-VR1 とデバイス R2 VR2 の間で使用されている内部 BGP (IBGP)。デバイス R1 とデバイス R2-VR1 の間、およびデバイス R2-VR2 とデバイス R3 の間では、外部の BGP (EBGP) が使用されます。
BGP の運用は次のように進んでいます。
VR1 は、R1 からの10/8 と R2-VR2 の0/0 を学習しています。
VR2 は、VR1 の R3 および10/8 から0/0 を学習しています。
R1 は10/8 をアドバタイズし、VR1 から0/0 を受信します。
R3 は0/0 を公表し、VR2 から10/8 を受信します。
デバイス R2 に適用されるファイアウォールフィルタは、直接接続されたインターフェイスの制御プレーントラフィック (この例では EBGP セッション) を許可する必要があります。
この例では、デバイス R2 の構成を示しています。
Topology
構成
手順
CLI クイック構成
この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。
デバイス R1
set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set interfaces lo0 unit 0 family inet address 10.1.0.1/32 set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.1/24 set routing-options autonomous-system 64501 set protocols bgp group eBGP neighbor 192.168.10.2 peer-as 64502 set protocols bgp group eBGP export Announce10 set policy-options policy-statement Announce10 term 1 from route-filter 10.0.0.0/8 exact set policy-options policy-statement Announce10 term 1 then accept set policy-options policy-statement Announce10 term 2 then reject
デバイス R2
set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.2/24 set interfaces ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer set interfaces ge-1/1/0 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/1/1 unit 0 family inet address 192.168.30.1/24 set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-1/0/8.0 set routing-instances VR1 interface ge-1/1/0.0 set routing-instances VR1 interface ge-1/1/1.0 set routing-instances VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 set routing-instances VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 set routing-instances VR1 routing-options autonomous-system 64502 set routing-instances VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal set firewall family inet filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 0 then accept set firewall family inet filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 set firewall family inet filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 set firewall family inet filter SteerSrcTrafficOptimizer term 2 then accept set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.1/24 set interfaces ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer set interfaces ge-1/3/8 unit 0 family inet address 192.168.20.2/24 set interfaces ge-1/3/9 unit 0 family inet address 192.168.30.2/24 set routing-instances VR2 instance-type virtual-router set routing-instances VR2 interface ge-1/0/0.0 set routing-instances VR2 interface ge-1/3/8.0 set routing-instances VR2 interface ge-1/3/9.0 set routing-instances VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 set routing-instances VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 set routing-instances VR2 routing-options autonomous-system 64502 set routing-instances VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal set firewall family inet filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 0 then accept set firewall family inet filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 set firewall family inet filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 set firewall family inet filter SteerDstTrafficOptimizer term 2 then accept set policy-options policy-statement AcceptExternal term 1 from route-type external set policy-options policy-statement AcceptExternal term 1 then accept
デバイス R3
set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.2/24 set routing-options autonomous-system 64503 set protocols bgp group eBGP neighbor 192.168.40.1 peer-as 64502 set protocols bgp group eBGP export Announce0 set policy-options policy-statement Announce0 term 1 from route-filter 0.0.0.0/0 exact set policy-options policy-statement Announce0 term 1 then accept set policy-options policy-statement Announce0 term 2 then reject
順を追った手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 設定モードでの CLI エディターの使用 」を Junos OS CLIしてください。
デバイス R2 を構成するには、次のようになります。
インターフェイスを構成します。
[edit interfaces] user@R2# set ge-1/0/8 unit 0 family inet address 192.168.10.2/24 user@R2# set ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer user@R2# set ge-1/1/0 unit 0 family inet address 192.168.20.1/24 user@R2# set ge-1/1/1 unit 0 family inet address 192.168.30.1/24 user@R2# set ge-1/0/0 unit 0 family inet address 192.168.40.1/24 user@R2# set ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer user@R2# set ge-1/3/8 unit 0 family inet address 192.168.20.2/24 user@R2# set ge-1/3/9 unit 0 family inet address 192.168.30.2/24
ルーティングインスタンスを構成します。
[edit routing-instances] user@R2# set VR1 instance-type virtual-router user@R2# set VR1 interface ge-1/0/8.0 user@R2# set VR1 interface ge-1/1/0.0 user@R2# set VR1 interface ge-1/1/1.0 user@R2# set VR2 instance-type virtual-router user@R2# set VR2 interface ge-1/0/0.0 user@R2# set VR2 interface ge-1/3/8.0 user@R2# set VR2 interface ge-1/3/9.0
静的ルートと BGP ルーティングを構成します。
[edit routing-instances] user@R2# set VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 user@R2# set VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 user@R2# set VR1 routing-options autonomous-system 64502 user@R2# set VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal user@R2# set VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 user@R2# set VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 user@R2# set VR2 routing-options autonomous-system 64502 user@R2# set VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal
ファイアウォールフィルターを構成します。
[edit firewall family inet] user@R2# set filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 0 then accept user@R2# set filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 user@R2# set filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 user@R2# set filter SteerSrcTrafficOptimizer term 2 then accept user@R2# set filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 user@R2# set filter SteerDstTrafficOptimizer term 0 then accept user@R2# set filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 user@R2# set filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 user@R2# set filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 user@R2# set filter SteerDstTrafficOptimizer term 2 then accept
ルーティングポリシーを設定します。
[edit policy-options policy-statement AcceptExternal term 1] user@R2# set from route-type external user@R2# set term 1 then accept
結果
設定モードから、、、およびshow interfacesshow firewallshow protocolsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。
user@R2# show interfaces
ge-1/0/0 {
unit 0 {
family inet {
filter {
input SteerDstTrafficOptimizer;
}
address 192.168.40.1/24;
}
}
}
ge-1/0/8 {
unit 0 {
family inet {
filter {
input SteerSrcTrafficOptimizer;
}
address 192.168.10.2/24;
}
}
}
ge-1/1/0 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.30.1/24;
}
}
}
ge-1/3/8 {
unit 0 {
family inet {
address 192.168.20.2/24;
}
}
}
ge-1/3/9 {
unit 0 {
family inet {
address 192.168.30.2/24;
}
}
}
user@R2# show firewall
family inet {
filter SteerSrcTrafficOptimizer {
term 0 {
from {
source-address {
192.168.10.0/24;
}
}
then accept;
}
term 1 {
from {
source-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.3/32 routing-instance VR1;
}
}
term 2 {
from {
source-address {
10.0.0.0/8;
}
}
then accept;
}
}
filter SteerDstTrafficOptimizer {
term 0 {
from {
source-address {
192.168.40.0/24;
}
}
then accept;
}
term 1 {
from {
destination-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.2/32 routing-instance VR2;
}
}
term 2 {
from {
destination-address {
10.0.0.0/8;
}
}
then accept;
}
}
}
user@R2# show policy-options
policy-statement AcceptExternal {
term 1 {
from route-type external;
then accept;
}
}
user@R2# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-1/0/8.0;
interface ge-1/1/0.0;
interface ge-1/1/1.0;
routing-options {
static {
route 192.168.0.3/32 {
next-hop 192.168.20.2;
qualified-next-hop 192.168.30.2 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.10.1 {
peer-as 64501;
}
}
group iBGP {
neighbor 192.168.30.2 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
VR2 {
instance-type virtual-router;
interface ge-1/0/0.0;
interface ge-1/3/8.0;
interface ge-1/3/9.0;
routing-options {
static {
route 192.168.0.2/32 {
next-hop 192.168.20.1;
qualified-next-hop 192.168.30.1 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.40.2 {
peer-as 64503;
}
}
group iBGP {
neighbor 192.168.30.1 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
デバイスの設定が完了したら、設定commitモードから入力します。
検証
構成が正常に機能していることを確認します。
使用されているパスの確認
目的
デバイス R1 からデバイス R3 にトラフィックを送信するときは、必要なパスが使用されていることを確認してください。
アクション
デバイス R1 上で、リンクtraceroute障害の前後にコマンドを入力します。
トラフィックオプティマイザーの障害が発生する前
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.519 ms 0.403 ms 0.380 ms 2 192.168.20.2 (192.168.20.2) 0.404 ms 0.933 ms 0.402 m0 3 10.11.0.1 (10.11.0.1) 0.709 ms 0.656 ms 0.644 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.524 ms 0.396 ms 0.380 ms 2 192.168.30.2 (192.168.30.2) 0.412 ms 0.410 ms 0.911 ms 3 10.11.0.1 (10.11.0.1) 0.721 ms 0.639 ms 0.659 ms
トラフィックオプティマイザーが失敗した後
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.506 ms 0.400 ms 0.378 ms 2 192.168.30.2 (192.168.30.2) 0.433 ms 0.550 ms 0.415 ms 3 10.11.0.1 (10.11.0.1) 0.723 ms 0.638 ms 0.638 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.539 ms 0.411 ms 0.769 ms 2 192.168.30.2 (192.168.30.2) 0.426 ms 0.413 ms 2.429 ms 3 10.11.0.1 (10.11.0.1) 10.868 ms 0.662 ms 0.647 ms
何
この出力は、 tracerouteコマンドで使用される送信元アドレスに応じて、第2ホップが変化することを示しています。
この機能を確認するために、traceroute オペレーションはデバイス R1 のデバイス R3 で実行されます。送信元 IP アドレスが10.0.0.1 の場合、デバイス R2 上の ge-1/1/0.0 インターフェイスからパケットが転送されます。送信元 IP アドレスが10.1.0.1 である場合、パケットはデバイス R2 上の ge/1/1.0 インターフェイスに転送されます。
Ge-1/1/0 と、ge-1/3/8 の間のリンクが失敗した場合、発信元 IP アドレス10.0.0.1 を持つパケットが、デバイス R2 上の ge/1/1.0 インターフェイスから転送されます。