Modo de paquete de ruta inversa mediante el enrutador virtual
Durante el procesamiento de flujo, cuando se cambia la ruta de tráfico entre el servidor y el cliente, el tráfico se reenruta mediante el enrutador virtual (VR). El VR utilizado en el reenrutamiento está disponible en la interfaz o en el reenvío basado en filtros (FBF). El comportamiento de la reenrutamiento se supervisa mediante el set security flow advanced-options reverse-route-packet-mode-vr comando.
El reverse-route-packet-mode-vr comando funciona en el sistema lógico raíz y se habilita globalmente.
Cuando la opción de ruta inversa está habilitada, no hay ningún cambio en el flujo de paquetes. Cuando la opción de ruta inversa está deshabilitada, la búsqueda de ruta utiliza el VR de la interfaz de entrada de paquetes. Si el VR en la ruta está configurado incorrectamente, se interrumpe el tráfico entre el servidor y el cliente.
La ruta de reserva de resolución en la ruta de flujo primero no está configurada, ya que la información de RV del paquete del cliente al servidor no está disponible.
Por ejemplo, la figura 1 muestra el comportamiento del flujo de paquetes cuando el reverse-route-packet-mode-vr comando no está configurado. El tráfico de cliente a servidor utiliza la instancia de enrutamiento VR2 de la interfaz entrante ge-0/0/0.0 para enrutar el tráfico. El tráfico de servidor a cliente también utiliza la instancia de enrutamiento VR2 de la interfaz entrante ge-0/0/0.0 para enrutar el tráfico.
La figura 2 muestra el comportamiento del flujo de paquetes cuando el comando se configura mediante la reverse-route-packet-mode-vr interfaz. El tráfico de cliente a servidor utiliza la instancia de enrutamiento VR2 de la interfaz entrante ge-0/0/0.0 para enrutar el tráfico. El tráfico de servidor a cliente utiliza la instancia de enrutamiento VR3 de la interfaz ge-0/0/1.0 para enrutar el tráfico.
La figura 3 muestra el comportamiento del flujo de paquetes cuando el reverse-route-packet-mode-vr comando se configura mediante FBF. El tráfico de cliente a servidor utiliza la interfaz de entrada de paquetes ge-0/0/0.0 en VR2 para enrutar el tráfico. La configuración de FBF en la interfaz ge-0/0/1.0 cambia VR3 a VR4. El tráfico de servidor a cliente utiliza VR4 para enrutar el tráfico.
Descripción del tráfico de host en el enrutador virtual
En un firewall de la serie SRX, todo el tráfico que pasa por el filtro de firewall se denomina tráfico al host. El tráfico del firewall al dispositivo se denomina tráfico del host. El tráfico al host utiliza una interfaz de salida y el tráfico del host utiliza una interfaz de entrada. Si ambas interfaces no están en la misma instancia de enrutamiento, habrá una sesión no coincidente. Para solucionar este problema, el tráfico del host y del host elige interfaces que están disponibles en la misma instancia de enrutamiento.
La figura 4 muestra el tráfico al host utilizando la instancia de enrutamiento VR5 de la interfaz ge-0/0/0.0 y la instancia de enrutamiento VR6 de la interfaz de destino lo0.1.
Por ejemplo, si el tráfico del host utiliza una interfaz local (como local.... X) que se encuentra en la instancia de enrutamiento 5 (VR5) y el tráfico del host utiliza la interfaz en la instancia de enrutamiento 6 (VR6). La salida de la sesión que muestra la información de la interfaz del tráfico al host es:
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..5, Pkts: 1, Bytes: 84, CP Session ID: 10000178
La salida de la sesión muestra la interfaz local del tráfico del host como local.... 5.
Para sincronizar los tráficos del host y del host, el tráfico del host utiliza la interfaz IP de destino del tráfico (lo0.1) que está disponible en VR6. Como el tráfico del host utiliza la interfaz disponible en VR6, la sesión coincide. La salida de la sesión que muestra la información de la interfaz del tráfico al host es:
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..6, Pkts: 1, Bytes: 84, CP Session ID: 10000178
La salida de la sesión muestra la interfaz local del tráfico del host como local.... 6.