Ejemplo: Uso del reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
En este ejemplo se describe cómo configurar el reenvío basado en filtros en conmutadores de la serie EX o en una QFX10000. Puede configurar el reenvío basado en filtros mediante un filtro de firewall para reenviar el tráfico coincidente a una instancia de enrutamiento virtual específica.
Requisitos
Este ejemplo se aplica tanto a los conmutadores de la serie EX que ejecutan Junos OS versión 9.4 o posterior como a los conmutadores QFX10000 que ejecutan Junos OS versión 15.1X53-D10 o posterior.
Descripción general y topología
En este ejemplo, creamos un filtro de firewall para que coincida con el tráfico que se envía de un servidor de aplicaciones a otro de acuerdo con la dirección de destino (192.168.0.1) de los paquetes que salen del servidor de aplicaciones de origen. Los paquetes coincidentes se enrutan a una instancia de enrutamiento virtual que reenvía el tráfico a un dispositivo de seguridad que, a continuación, reenvía el tráfico al servidor de aplicaciones de destino.
El reenvío basado en filtros no funciona con interfaces IPv6 en algunos conmutadores Juniper.
Configuración
Para configurar el reenvío basado en filtros:
Configuración rápida de CLI
Para usar este ejemplo en su propio dispositivo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y cambie los detalles necesarios para que se ajusten a su configuración. A continuación, copie y pegue los comandos en la CLI en el nivel jerárquico [edit]
.
[edit] set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24 set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32 set firewall family inet filter f1 term t1 from protocol tcp set interfaces xe-0/0/0 unit 0 family inet filter input f1 set routing-instances vrf01 instance-type virtual-router set routing-instances vrf01 interface xe-0/0/3.0 set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254 set firewall family inet filter f1 term t1 then routing-instance vrf01
Procedimiento
Procedimiento paso a paso
Para configurar el reenvío basado en filtros:
Configure una interfaz para conectarse al servidor de aplicaciones:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
Configure una interfaz para conectarse al dispositivo de seguridad:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
Cree un filtro de firewall que coincida con los paquetes en función de la dirección del servidor de aplicaciones desde el que se enviará el tráfico. Configure también el filtro para que coincida solo con los paquetes TCP:
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
Aplique el filtro a la interfaz que se conecta al servidor de aplicaciones de origen y configúrelo para que coincida con los paquetes entrantes:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
Cree un enrutador virtual:
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
Asocie el enrutador virtual con la interfaz que se conecta al dispositivo de seguridad:
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
Configure la información de enrutamiento para la instancia de enrutamiento virtual:
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
Establezca el filtro para reenviar paquetes al enrutador virtual:
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration interfaces { xe-0/0/0 { unit 0 { family inet { filter { input f1; } address 10.1.0.1/24; } } } xe-0/0/3 { unit 0 { family inet { address 10.1.3.1/24; } } } } firewall { family inet { filter f1 { term t1 { from { source-address { 10.1.0.50/32; } protocol tcp; } then { routing-instance vrf01; } } } } } routing-instances { vrf01 { instance-type virtual-router; interface xe-0/0/3.0; routing-options { static { route 192.168.0.1/24 next-hop 10.1.3.254; } } } }
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de que el reenvío basado en filtros estaba configurado
Propósito
Compruebe que el reenvío basado en filtros se habilitó correctamente en el conmutador.
Acción
Utilice el
show interfaces filters
comando:user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
Utilice el
show route forwarding-table
comando:user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
Significado
El resultado indica que el filtro se creó en la interfaz y que la instancia de enrutamiento virtual está reenviando el tráfico coincidente a la dirección IP correcta.