Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예: 필터 기반 전달 구성

PBR(정책 기반 라우팅)이라고도 하는 필터 기반 포워딩(FBF)은 레이어 3 또는 레이어 4 매개 변수를 기반으로 IP 트래픽을 다른 인터페이스로 라우팅하는 간단하지만 강력한 방법을 제공합니다.

FBF는 방화벽 필터의 일치 조건을 사용하여 특정 트래픽을 선택한 다음 원하는 다음 홉을 가리키는 지정된 라우팅 인스턴스로 전달하는 방식으로 작동합니다. 다음 홉을 확인할 수 있도록 기본 라우팅 테이블의 인터페이스 경로는 라우팅 인스턴스에 지정된 라우팅 테이블과 RIB 그룹을 통해 공유됩니다.

일치 조건에는 소스 또는 대상 IP 주소, 소스 또는 대상 포트, IP 프로토콜, DSCP 값, TCP 플래그, ICMP 유형 및 패킷 길이가 포함될 수 있습니다.

요구 사항

이 예제의 하드웨어 및 소프트웨어 요구 사항은 다음과 같습니다.

  • MX 시리즈 5G 유니버설 라우팅 플랫폼을 방화벽 필터가 구성된 라우팅 디바이스로 사용할 수 있습니다.

  • 방화벽 필터가 구성된 라우팅 디바이스에서 실행되는 Junos OS 릴리스 13.3 이상.

개요

이 예시는 단일 디바이스에서 필터 기반 전달을 설정하는 데 필요한 구성 설정을 보여줍니다. 그림 1 은(는) MX 시리즈 라우터의 수신 및 송신 인터페이스를 보여주며, 패킷이 디바이스를 통과할 때 발생하는 이벤트의 논리적 흐름을 보여줍니다.

그림 1: 지정된 인터페이스에 대한 필터 기반 전달지정된 인터페이스에 대한 필터 기반 전달

라는 webFilter 방화벽 필터가 수신 인터페이스에 연결되어 있습니다 fe-0/0/0. 인터페이스를 통해 도착하는 패킷은 필터에 지정된 일치 조건에 따라 평가되며, 이 논리는 HTTP 및 HTTPS 트래픽을 라는 webtraffic라우팅 인스턴스로 전달합니다. 이 라우팅 인스턴스는 다음 세 가지 작업을 수행합니다. 첫째, 라는 라우팅 테이블을 webtraffic.inet.0설정하고, 둘째, 고정 경로와 다음 홉을 정의하고, 셋째, 트래픽을 다음 홉(여기서는 인터페이스의 fe-0/0/1192.0.2.2)으로 전달하기 위한 인스턴스를 구성할 수 있습니다.

방화벽 필터 then accept의 용어 2는 일치하지 않는 모든 트래픽이 다른 경로를 사용하도록 지정합니다. 다음 홉이 203.0.113.2인 고정 경로를 정의하여 이 트래픽이 를 통해 fe-0/0/2디바이스를 송신하도록 합니다. 경로는 마스터 라우팅 테이블 inet.0에 자동으로 설치됩니다.

FBF 설정의 마지막(논리적) 단계는 두 경로를 모두 확인할 수 있는지 확인하는 것입니다. RIB 그룹(FBF-rib 이 예에서는 )은 의 inet.0 인터페이스 경로를 와 공유할 수 있도록 webtraffic.inet.0합니다.

특정 사용 사례 또는 다중 장치 토폴로지에 초점을 맞춘 예는 관련 항목을 참조하십시오.

구성

절차

CLI 빠른 구성

단일 디바이스에서 필터 기반 전달을 생성하기 위한 복사-붙여넣기 및 단계별 지침이 모두 제공됩니다.

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.

필터 기반 포워딩을 위한 디바이스 구성

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드구성 모드에서의 CLI 편집기 사용을 참조하십시오.

디바이스를 구성하려면 다음을 수행합니다.

  1. 인바운드 인터페이스를 구성하고 방화벽 필터를 연결합니다 webFilter .

  2. 웹 트래픽과 다른 모든 트래픽에 대해 아웃바운드 인터페이스를 구성합니다.

  3. 웹 트래픽을 라우팅 인스턴스로 webtraffic 전달하고 다른 모든 트래픽을 로 전달하도록 203.0.113.1방화벽 필터를 구성합니다.

  4. 선택적: 카운터를 추가하여 방화벽 필터의 트래픽 처리를 모니터링합니다>

  5. webtraffic 라우팅 인스턴스를 생성하고 웹 트래픽을 로 fe-0/0/1전달하도록 구성합니다.

  6. 웹이 아닌 트래픽에 대한 경로를 만듭니다(경로는 라우팅 테이블에 자동으로 설치 inet.0 됨).

  7. 라는 FBF-ribRIB 그룹을 생성하고, 와(과) webtraffic.inet.0인터페이스 경로를 공유하도록 inet.0 구성한 다음, 라우팅 테이블 그룹을 라우팅 디바이스의 인터페이스와 연결하고, 인터페이스 경로를 가져올 라우팅 테이블 그룹을 지정합니다.

  8. 라우팅 테이블 그룹을 라우팅 디바이스의 인터페이스와 연결하고, 인터페이스 경로를 가져올 라우팅 테이블 그룹을 지정합니다.

결과

구성 모드에서 , show routing-instances, show routing-optionsshow interfaces, 명령을 입력하여 show firewall구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.