Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica o a una dirección IP de destino
Descripción del reenvío basado en filtros a una interfaz de salida específica o dirección IP de destino
El enrutamiento basado en políticas (también conocido como reenvío basado en filtros) se refiere al uso de filtros de firewall que se aplican a una interfaz para que coincida con ciertas características del encabezado IP y para enrutar solo aquellos paquetes coincidentes de manera diferente a como se enrutarían normalmente los paquetes.
A partir de Junos OS versión 12.2, puede utilizar , o como una acción en un filtro de firewall.then next-interface
then next-ip
then next-ip6
A partir de condiciones de coincidencia específicas, se pueden especificar direcciones IPv4 e IPv6 o un nombre de interfaz como acción de respuesta a una coincidencia.
El conjunto de condiciones de coincidencia puede ser el siguiente:
Propiedades de capa 3 (por ejemplo, la dirección IP de origen o destino o el byte de TOS)
Propiedades de capa 4 (por ejemplo, el puerto de origen o destino)
La ruta para la dirección IPv4 o IPv6 dada debe estar presente en la tabla de enrutamiento para que el enrutamiento basado en políticas surta efecto. Del mismo modo, la ruta a través de la interfaz dada tiene que estar presente en la tabla de reenvío para que la acción surta efecto.next-interface
Esto se puede lograr configurando un protocolo de puerta de enlace interior (IGP), como OSPF o IS-IS, para anunciar rutas de capa 3.
El filtro de firewall coincide con las condiciones y reenvía el paquete a una de las siguientes opciones:
Una dirección IPv4 (mediante la acción de filtro de firewall)
next-ip
Una dirección IPv6 (mediante la acción de filtro de firewall)
next-ip6
Una interfaz (mediante la acción de filtro de firewall)
next-interface
Supongamos, por ejemplo, que desea ofrecer servicios a sus clientes y los servicios residen en servidores diferentes. Un ejemplo de un servicio podría ser DNS alojado o FTP alojado. A medida que el tráfico de clientes llega al dispositivo de enrutamiento de Juniper Networks, puede usar el reenvío basado en filtros para enviar tráfico a los servidores aplicando una condición de coincidencia en una dirección MAC o una dirección IP o simplemente una interfaz entrante y enviar los paquetes a una determinada interfaz saliente que esté asociada con el servidor apropiado. Algunos de sus destinos pueden ser direcciones IPv4 o IPv6, en cuyo caso la acción o es útil.next-ip
next-ip6
Opcionalmente, puede asociar las interfaces o direcciones IP salientes con instancias de enrutamiento.
Por ejemplo:
firewall { filter filter1 { term t1 { from { source-address { 10.1.1.3/32; } } then { next-interface { xe-0/1/0.1; routing-instance rins1; } } } term t2 { from { source-address { 10.1.1.4/32; } } then { next-interface { xe-0/1/0.2; routing-instance rins2; } } } } } routing-instances { rins1 { instance-type virtual-router; interface xe-0/1/0.1; } rins2 { instance-type virtual-router; interface xe-0/1/0.2; } }
Consulte también
Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica
En este ejemplo se muestra cómo usarlo como una acción en un filtro de firewall.then next-interface
Requisitos
Este ejemplo tiene los siguientes requisitos de hardware y software:
Plataforma de enrutamiento universal 5G de la serie MX como dispositivo de enrutamiento con el filtro de firewall configurado.
Junos OS versión 12.2 ejecutándose en el dispositivo de enrutamiento con el filtro de firewall configurado.
El filtro con la acción (o ) solo se puede aplicar a una interfaz alojada en un MPC de Trio.
next-interface
next-ip
Si aplica el filtro a un DPC basado en I-chip, se produce un error en la operación de confirmación.La interfaz saliente a la que se hace referencia en la acción se puede alojar en un MPC Trio o en un DPC basado en I-chip.
next-interface interface-name
Descripción general
En este ejemplo, el dispositivo R1 tiene configuradas dos direcciones de interfaz de circuito cerrado: 172.16.1.1 y 172.16.2.2.
En el dispositivo R2, un filtro de firewall tiene varios términos configurados. Cada término coincide con una de las direcciones de origen del tráfico entrante y enruta el tráfico a interfaces de salida especificadas. Las interfaces salientes se configuran como interfaces etiquetadas con VLAN entre los dispositivos R2 y R3.
IS-IS se utiliza para la conectividad entre los dispositivos.
Figura 1muestra la topología utilizada en este ejemplo.
En este ejemplo se muestra la configuración del dispositivo R2.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]
Dispositivo R2
set interfaces ge-2/1/0 unit 0 family inet filter input filter1 set interfaces ge-2/1/0 unit 0 family inet address 10.0.0.10/30 set interfaces ge-2/1/0 unit 0 description to-R1 set interfaces ge-2/1/0 unit 0 family iso set interfaces ge-2/1/1 vlan-tagging set interfaces ge-2/1/1 description to-R3 set interfaces ge-2/1/1 unit 0 vlan-id 1001 set interfaces ge-2/1/1 unit 0 family inet address 10.0.0.13/30 set interfaces ge-2/1/1 unit 0 family iso set interfaces ge-2/1/1 unit 1 vlan-id 1002 set interfaces ge-2/1/1 unit 1 family inet address 10.0.0.25/30 set interfaces ge-2/1/1 unit 1 family iso set interfaces lo0 unit 0 family inet address 10.255.4.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.0000.0404.00 set firewall family inet filter filter1 term t1 from source-address 172.16.1.1/32 set firewall family inet filter filter1 term t1 then next-interface ge-2/1/1.0 set firewall family inet filter filter1 term t2 from source-address 172.16.2.2/32 set firewall family inet filter filter1 term t2 then next-interface ge-2/1/1.1 set protocols isis interface all level 1 disable set protocols isis interface fxp0.0 disable set protocols isis interface lo0.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte el Manual del usuario de la CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar el dispositivo R2:
Configure las interfaces.
[edit interfaces] user@R2# set ge-2/1/0 unit 0 family inet filter input filter1 user@R2# set ge-2/1/0 unit 0 family inet address 10.0.0.10/30 user@R2# set ge-2/1/0 unit 0 description to-R1 user@R2# set ge-2/1/0 unit 0 family iso user@R2# set ge-2/1/1 vlan-tagging user@R2# set ge-2/1/1 description to-R3 user@R2# set ge-2/1/1 unit 0 vlan-id 1001 user@R2# set ge-2/1/1 unit 0 family inet address 10.0.0.13/30 user@R2# set ge-2/1/1 unit 0 family iso user@R2# set ge-2/1/1 unit 1 vlan-id 1002 user@R2# set ge-2/1/1 unit 1 family inet address 10.0.0.25/30 user@R2# set ge-2/1/1 unit 1 family iso user@R2# set lo0 unit 0 family inet address 10.255.4.4/32 user@R2# set lo0 unit 0 family iso address 49.0001.0010.0000.0404.00
Configure el filtro de firewall.
[edit firewall family inet filter filter1] user@R2# set term t1 from source-address 172.16.1.1/32 user@R2# set term t1 then next-interface ge-2/1/1.0 user@R2# set term t2 from source-address 172.16.2.2/32 user@R2# set term t2 then next-interface ge-2/1/1.1
Habilite IS-IS en las interfaces.
[edit protocols is-is] user@R2# set interface all level 1 disable user@R2# set interface fxp0.0 disable user@R2# set interface lo0.0
Resultados
Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show interfaces
show firewall
show protocols
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@R2# show interfaces
ge-2/1/0 {
unit 0 {
description to-R1;
family inet {
filter {
input filter1;
}
address 10.0.0.10/30;
}
family iso;
}
}
ge-2/1/1 {
description to-R3;
vlan-tagging;
unit 0 {
vlan-id 1001;
family inet {
address 10.0.0.13/30;
}
family iso;
}
unit 1 {
vlan-id 1002;
family inet {
address 10.0.0.25/30;
}
family iso;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.4.4/32;
}
family iso {
address 49.0001.0010.0000.0404.00;
}
}
}
user@R2# show firewall
family inet {
filter filter1 {
term t1 {
from {
source-address {
172.16.1.1/32;
}
}
then {
next-interface {
ge-2/1/1.0;
}
}
term t2 {
from {
source-address {
172.16.2.2/32;
}
}
then {
next-interface {
ge-2/1/1.1;
}
}
}
}
}
user@R2# show protocols
isis {
interface all {
level 1 disable;
}
interface fxp0.0 {
disable;
}
interface lo0.0;
}
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Comprobación de las rutas utilizadas
Propósito
Asegúrese de que se utilizan las rutas esperadas al enviar tráfico del dispositivo R1 al dispositivo R4.
Acción
En el dispositivo R1, escriba el comando.traceroute
user@R1> traceroute 10.255.6.6 source 172.16.1.1 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.1.1, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.976 ms 0.895 ms 0.815 ms 2 10.0.0.14 (10.0.0.14) 0.868 ms 0.888 ms 0.813 ms 3 10.255.6.6 (10.255.6.6) 1.715 ms 1.442 ms 1.382 ms
user@R1> traceroute 10.255.6.6 source 172.16.2.2 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.2.2, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.973 ms 0.907 ms 0.782 ms 2 10.0.0.26 (10.0.0.26) 0.844 ms 0.890 ms 0.852 ms 3 10.255.6.6 (10.255.6.6) 1.384 ms 1.516 ms 1.462 ms
Significado
El resultado muestra que el segundo salto cambia, dependiendo de la dirección de origen utilizada en el comando.traceroute
Para verificar esta característica, se realiza una operación traceroute en los dispositivos R1 a R4. Cuando la dirección IP de origen es 172.16.1.1, los paquetes se reenvían por la interfaz ge-2/1/1.0 en el dispositivo R2. Cuando la dirección IP de origen es 172.16.2.2, los paquetes se reenvían a la interfaz ge-2/1/1.1 en el dispositivo R2.
Ejemplo: Configuración del reenvío basado en filtros a una dirección IP de destino específica
En este ejemplo se muestra cómo usarlo como una acción en un filtro de firewall.then next-ip
Requisitos
Este ejemplo tiene los siguientes requisitos de hardware y software:
Plataforma de enrutamiento universal 5G de la serie MX como dispositivo de enrutamiento con el filtro de firewall configurado.
Junos OS versión 12.2 ejecutándose en el dispositivo de enrutamiento con el filtro de firewall configurado.
El filtro con la acción (o ) solo se puede aplicar a una interfaz alojada en un MPC de Trio.
next-interface
next-ip
Si aplica el filtro a un DPC basado en I-chip, se produce un error en la operación de confirmación.La interfaz saliente a la que se hace referencia en la acción de nombre de interfaz siguiente se puede alojar en un MPC Trio o en un DPC basado en I-chip.
Descripción general
En este ejemplo, el dispositivo R2 tiene dos instancias de enrutamiento que están interconectadas con vínculos físicos. Se requiere que el tráfico de ciertas fuentes se dirija a través del enlace superior para su inspección por un optimizador de tráfico, que actúa de forma transparente en la capa IP. Cuando se produce un error en el optimizador de tráfico, el tráfico se mueve al vínculo inferior. Los flujos en dirección R1>R3 y R3>R1 siguen caminos idénticos.
Figura 2muestra la topología utilizada en este ejemplo.
En el dispositivo R2, se aplica un filtro de firewall a la interfaz ge-1/0/8 en la dirección de entrada. El segundo término coincide con las direcciones de origen específicas 10.0.0.0/24 y enruta el tráfico a la dirección 192.168.0.3. Esta dirección tiene por orden orden en el siguiente salto 192.168.20.2. Si el vínculo conectado a la interfaz ge-1/1/0 deja de funcionar, la dirección 192.168.0.3 se resolverá en el siguiente salto 192.168.30.2.
En el dispositivo R2, se aplica un filtro de firewall a la interfaz ge-1/0/0 en la dirección de entrada. El segundo término coincide con las direcciones de destino específicas 10.0.0.0/24 y enruta el tráfico a la dirección 192.168.0.2. Esta dirección tiene por orden orden en el siguiente salto 192.168.20.1. Si el vínculo conectado a la interfaz ge-1/3/8 deja de funcionar, la dirección 192.168.0.2 se resolverá en el siguiente salto 192.168.30.1.
La dirección configurada mediante la acción no se resuelve automáticamente.next-ip
En las interfaces Ethernet, se supone que la dirección configurada se resuelve mediante un protocolo de enrutamiento o rutas estáticas.
El BGP interno (IBGP) se utiliza entre los dispositivos R2-VR1 y R2-VR2. El BGP externo (EBGP) se utiliza entre los dispositivos R1 y R2-VR1, así como entre los dispositivos R2-VR2 y R3.
Las operaciones de BGP proceden de la siguiente manera:
R2-VR1 aprende 10/8 de R1 y 0/0 de R2-VR2.
R2-VR2 aprende 0/0 de R3 y 10/8 de R2-VR1.
R1 anuncia 10/8 y recibe 0/0 de R2-VR1.
R3 anuncia 0/0 y recibe 10/8 de R2-VR2.
El filtro de firewall aplicado al dispositivo R2 debe permitir el tráfico del plano de control para las interfaces conectadas directamente, en este caso las sesiones EBGP.
En este ejemplo se muestra la configuración del dispositivo R2.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]
Dispositivo R1
set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set interfaces lo0 unit 0 family inet address 10.1.0.1/32 set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.1/24 set routing-options autonomous-system 64501 set protocols bgp group eBGP neighbor 192.168.10.2 peer-as 64502 set protocols bgp group eBGP export Announce10 set policy-options policy-statement Announce10 term 1 from route-filter 10.0.0.0/8 exact set policy-options policy-statement Announce10 term 1 then accept set policy-options policy-statement Announce10 term 2 then reject
Dispositivo R2
set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.2/24 set interfaces ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer set interfaces ge-1/1/0 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/1/1 unit 0 family inet address 192.168.30.1/24 set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-1/0/8.0 set routing-instances VR1 interface ge-1/1/0.0 set routing-instances VR1 interface ge-1/1/1.0 set routing-instances VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 set routing-instances VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 set routing-instances VR1 routing-options autonomous-system 64502 set routing-instances VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal set firewall family inet filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 0 then accept set firewall family inet filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 set firewall family inet filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 set firewall family inet filter SteerSrcTrafficOptimizer term 2 then accept set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.1/24 set interfaces ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer set interfaces ge-1/3/8 unit 0 family inet address 192.168.20.2/24 set interfaces ge-1/3/9 unit 0 family inet address 192.168.30.2/24 set routing-instances VR2 instance-type virtual-router set routing-instances VR2 interface ge-1/0/0.0 set routing-instances VR2 interface ge-1/3/8.0 set routing-instances VR2 interface ge-1/3/9.0 set routing-instances VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 set routing-instances VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 set routing-instances VR2 routing-options autonomous-system 64502 set routing-instances VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal set firewall family inet filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 0 then accept set firewall family inet filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 set firewall family inet filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 set firewall family inet filter SteerDstTrafficOptimizer term 2 then accept set policy-options policy-statement AcceptExternal term 1 from route-type external set policy-options policy-statement AcceptExternal term 1 then accept
Dispositivo R3
set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.2/24 set routing-options autonomous-system 64503 set protocols bgp group eBGP neighbor 192.168.40.1 peer-as 64502 set protocols bgp group eBGP export Announce0 set policy-options policy-statement Announce0 term 1 from route-filter 0.0.0.0/0 exact set policy-options policy-statement Announce0 term 1 then accept set policy-options policy-statement Announce0 term 2 then reject
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte el Manual del usuario de la CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar el dispositivo R2:
Configure las interfaces.
[edit interfaces] user@R2# set ge-1/0/8 unit 0 family inet address 192.168.10.2/24 user@R2# set ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer user@R2# set ge-1/1/0 unit 0 family inet address 192.168.20.1/24 user@R2# set ge-1/1/1 unit 0 family inet address 192.168.30.1/24 user@R2# set ge-1/0/0 unit 0 family inet address 192.168.40.1/24 user@R2# set ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer user@R2# set ge-1/3/8 unit 0 family inet address 192.168.20.2/24 user@R2# set ge-1/3/9 unit 0 family inet address 192.168.30.2/24
Configure la instancia de enrutamiento.
[edit routing-instances] user@R2# set VR1 instance-type virtual-router user@R2# set VR1 interface ge-1/0/8.0 user@R2# set VR1 interface ge-1/1/0.0 user@R2# set VR1 interface ge-1/1/1.0 user@R2# set VR2 instance-type virtual-router user@R2# set VR2 interface ge-1/0/0.0 user@R2# set VR2 interface ge-1/3/8.0 user@R2# set VR2 interface ge-1/3/9.0
Configure el enrutamiento estático y BGP.
[edit routing-instances] user@R2# set VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 user@R2# set VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 user@R2# set VR1 routing-options autonomous-system 64502 user@R2# set VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal user@R2# set VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 user@R2# set VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 user@R2# set VR2 routing-options autonomous-system 64502 user@R2# set VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal
Configure los filtros del firewall.
[edit firewall family inet] user@R2# set filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 0 then accept user@R2# set filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 user@R2# set filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 user@R2# set filter SteerSrcTrafficOptimizer term 2 then accept user@R2# set filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 user@R2# set filter SteerDstTrafficOptimizer term 0 then accept user@R2# set filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 user@R2# set filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 user@R2# set filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 user@R2# set filter SteerDstTrafficOptimizer term 2 then accept
Configure la directiva de enrutamiento.
[edit policy-options policy-statement AcceptExternal term 1] user@R2# set from route-type external user@R2# set term 1 then accept
Resultados
Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show interfaces
show firewall
show protocols
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@R2# show interfaces
ge-1/0/0 {
unit 0 {
family inet {
filter {
input SteerDstTrafficOptimizer;
}
address 192.168.40.1/24;
}
}
}
ge-1/0/8 {
unit 0 {
family inet {
filter {
input SteerSrcTrafficOptimizer;
}
address 192.168.10.2/24;
}
}
}
ge-1/1/0 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.30.1/24;
}
}
}
ge-1/3/8 {
unit 0 {
family inet {
address 192.168.20.2/24;
}
}
}
ge-1/3/9 {
unit 0 {
family inet {
address 192.168.30.2/24;
}
}
}
user@R2# show firewall
family inet {
filter SteerSrcTrafficOptimizer {
term 0 {
from {
source-address {
192.168.10.0/24;
}
}
then accept;
}
term 1 {
from {
source-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.3/32 routing-instance VR1;
}
}
term 2 {
from {
source-address {
10.0.0.0/8;
}
}
then accept;
}
}
filter SteerDstTrafficOptimizer {
term 0 {
from {
source-address {
192.168.40.0/24;
}
}
then accept;
}
term 1 {
from {
destination-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.2/32 routing-instance VR2;
}
}
term 2 {
from {
destination-address {
10.0.0.0/8;
}
}
then accept;
}
}
}
user@R2# show policy-options
policy-statement AcceptExternal {
term 1 {
from route-type external;
then accept;
}
}
user@R2# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-1/0/8.0;
interface ge-1/1/0.0;
interface ge-1/1/1.0;
routing-options {
static {
route 192.168.0.3/32 {
next-hop 192.168.20.2;
qualified-next-hop 192.168.30.2 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.10.1 {
peer-as 64501;
}
}
group iBGP {
neighbor 192.168.30.2 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
VR2 {
instance-type virtual-router;
interface ge-1/0/0.0;
interface ge-1/3/8.0;
interface ge-1/3/9.0;
routing-options {
static {
route 192.168.0.2/32 {
next-hop 192.168.20.1;
qualified-next-hop 192.168.30.1 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.40.2 {
peer-as 64503;
}
}
group iBGP {
neighbor 192.168.30.1 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Comprobación de las rutas utilizadas
Propósito
Asegúrese de que se utilizan las rutas esperadas al enviar tráfico del dispositivo R1 al dispositivo R3.
Acción
En el dispositivo R1, ingrese el comando antes y después de la falla del vínculotraceroute
Antes del fallo del optimizador de tráfico
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.519 ms 0.403 ms 0.380 ms 2 192.168.20.2 (192.168.20.2) 0.404 ms 0.933 ms 0.402 m0 3 10.11.0.1 (10.11.0.1) 0.709 ms 0.656 ms 0.644 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.524 ms 0.396 ms 0.380 ms 2 192.168.30.2 (192.168.30.2) 0.412 ms 0.410 ms 0.911 ms 3 10.11.0.1 (10.11.0.1) 0.721 ms 0.639 ms 0.659 ms
Después de la falla del optimizador de tráfico
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.506 ms 0.400 ms 0.378 ms 2 192.168.30.2 (192.168.30.2) 0.433 ms 0.550 ms 0.415 ms 3 10.11.0.1 (10.11.0.1) 0.723 ms 0.638 ms 0.638 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.539 ms 0.411 ms 0.769 ms 2 192.168.30.2 (192.168.30.2) 0.426 ms 0.413 ms 2.429 ms 3 10.11.0.1 (10.11.0.1) 10.868 ms 0.662 ms 0.647 ms
Significado
El resultado muestra que el segundo salto cambia, dependiendo de la dirección de origen utilizada en el comando.traceroute
Para verificar esta característica, se realiza una operación traceroute en el dispositivo R1 al dispositivo R3. Cuando la dirección IP de origen es 10.0.0.1, los paquetes se reenvían a la interfaz ge-1/1/0.0 en el dispositivo R2. Cuando la dirección IP de origen es 10.1.0.1, los paquetes se reenvían a la interfaz ge-1/1/1.0 en el dispositivo R2.
Cuando falla el vínculo entre ge-1/1/0 y ge-1/3/8, los paquetes con la dirección IP de origen 10.0.0.1 se reenvían a la interfaz ge-1/1/1.0 en el dispositivo R2.