예를 들면 다음과 같습니다. 필터 기반 포워딩을 사용하여 애플리케이션 트래픽을 보안 디바이스로 라우팅
이 예에서는 EX 시리즈 스위치 또는 QFX10000에서 필터 기반 포워딩을 설정하는 방법을 설명합니다. 방화벽 필터를 사용하여 일치하는 트래픽을 특정 가상 라우팅 인스턴스로 포워딩함으로써 필터 기반 포워딩을 구성할 수 있습니다.
요구 사항
이 예는 Junos OS 릴리스 9.4 이상에서 실행되는 EX 시리즈 스위치와 릴리스 15.1X53-D10 이상에서 Junos OS 실행되는 QFX10000 스위치 모두에 적용됩니다.
개요 및 토폴로지
이 예에서 소스 애플리케이션 서버를 송신하는 패킷의 대상 주소(192.168.0.1)에 따라 하나의 애플리케이션 서버에서 다른 서버로 전송되는 트래픽을 일치시키는 방화벽 필터를 생성합니다. 일치하는 패킷은 트래픽을 보안 디바이스로 전달한 다음 대상 애플리케이션 서버로 트래픽을 전달하는 가상 라우팅 인스턴스로 라우팅됩니다.
필터 기반 포워딩은 일부 Juniper 스위치의 IPv6 인터페이스에서는 작동하지 않습니다.
구성
필터 기반 포워딩 구성 방법:
CLI 빠른 구성
자신의 디바이스에서 이 예를 사용하려면 다음 명령을 텍스트 파일로 복사하여 줄 바꿈을 제거하고 구성에 맞게 필요한 세부 사항을 변경합니다. 그런 다음 명령을 복사하여 계층 수준에서 CLI에 [edit] 붙여 넣습니다.
[edit]
set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24
set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24
set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32
set firewall family inet filter f1 term t1 from protocol tcp
set interfaces xe-0/0/0 unit 0 family inet filter input f1
set routing-instances vrf01 instance-type virtual-router
set routing-instances vrf01 interface xe-0/0/3.0
set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
set firewall family inet filter f1 term t1 then routing-instance vrf01 절차
단계별 절차
필터 기반 포워딩 구성 방법:
애플리케이션 서버에 연결할 인터페이스를 구성합니다.
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
보안 디바이스에 연결할 인터페이스를 구성합니다.
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
트래픽이 전송될 애플리케이션 서버 주소에 따라 패킷과 일치하는 방화벽 필터를 생성합니다. 또한 TCP 패킷만 일치하게 필터를 구성합니다.
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
필터를 소스 애플리케이션 서버에 연결하는 인터페이스에 적용하고 수신 패킷과 일치하도록 구성합니다.
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
가상 라우터 생성:
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
가상 라우터 보안 디바이스에 연결하는 인터페이스와 연결합니다.
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
가상 라우팅 인스턴스에 대한 라우팅 정보를 구성합니다.
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
필터를 가상 라우터 패킷으로 전달하도록 설정합니다.
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
결과
구성 결과를 확인합니다.
user@switch> show configuration
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input f1;
}
address 10.1.0.1/24;
}
}
}
xe-0/0/3 {
unit 0 {
family inet {
address 10.1.3.1/24;
}
}
}
}
firewall {
family inet {
filter f1 {
term t1 {
from {
source-address {
10.1.0.50/32;
}
protocol tcp;
}
then {
routing-instance vrf01;
}
}
}
}
}
routing-instances {
vrf01 {
instance-type virtual-router;
interface xe-0/0/3.0;
routing-options {
static {
route 192.168.0.1/24 next-hop 10.1.3.254;
}
}
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
필터 기반 포워딩이 구성되었는지 확인
목적
스위치에서 필터 기반 포워딩이 올바르게 활성화되었는지 확인합니다.
실행
명령을 사용합니다.
show interfaces filtersuser@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
명령을 사용합니다.
show route forwarding-tableuser@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
의미
출력은 필터가 인터페이스에 생성되었고 가상 라우팅 인스턴스가 일치하는 트래픽을 올바른 IP 주소로 전달하고 있음을 나타냅니다.