Ejemplo: Uso de reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
En este ejemplo, se describe cómo configurar el reenvío basado en filtros en conmutadores de la serie EX o en un QFX10000. Puede configurar el reenvío basado en filtros mediante un filtro de firewall para reenviar tráfico coincidente a una instancia de enrutamiento virtual específica.
Requisitos
Este ejemplo se aplica tanto a los conmutadores de la serie EX que ejecutan Junos OS versión 9.4 o posterior, como a los conmutadores QFX10000 que ejecutan Junos OS versión 15.1X53-D10 o posterior.
Descripción general y topología
En este ejemplo, creamos un filtro de firewall para hacer coincidir el tráfico que se envía de un servidor de aplicaciones a otro según la dirección de destino (192.168.0.1) de los paquetes que salida del servidor de la aplicación de origen. Los paquetes coincidentes se enrutan a una instancia de enrutamiento virtual que reenvía el tráfico a un dispositivo de seguridad que, a continuación, reenvía el tráfico al servidor de la aplicación de destino.
El reenvío basado en filtros no funciona con interfaces IPv6 en algunos conmutadores de Juniper.
Configuración
Para configurar el reenvío basado en filtros:
Configuración rápida de CLI
Para usar este ejemplo en su propio dispositivo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y cambie los detalles necesarios para que se ajusten a su configuración. Luego, copie y pegue los comandos en su CLI en el [edit] nivel de jerarquía.
[edit]
set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24
set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24
set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32
set firewall family inet filter f1 term t1 from protocol tcp
set interfaces xe-0/0/0 unit 0 family inet filter input f1
set routing-instances vrf01 instance-type virtual-router
set routing-instances vrf01 interface xe-0/0/3.0
set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
set firewall family inet filter f1 term t1 then routing-instance vrf01 Procedimiento
Procedimiento paso a paso
Para configurar el reenvío basado en filtros:
Configure una interfaz para conectarse al servidor de aplicaciones:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
Configure una interfaz para conectarse al dispositivo de seguridad:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
Cree un filtro de firewall que coincida con los paquetes según la dirección del servidor de aplicaciones desde el que se enviará el tráfico. También configure el filtro de modo que coincida solo con paquetes TCP:
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
Aplique el filtro a la interfaz que se conecta al servidor de aplicación de origen y configúrelo para que coincida con los paquetes entrantes:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
Cree un enrutador virtual:
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
Asocie el enrutador virtual con la interfaz que se conecta al dispositivo de seguridad:
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
Configure la información de enrutamiento para la instancia de enrutamiento virtual:
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
Configure el filtro para reenviar paquetes al enrutador virtual:
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input f1;
}
address 10.1.0.1/24;
}
}
}
xe-0/0/3 {
unit 0 {
family inet {
address 10.1.3.1/24;
}
}
}
}
firewall {
family inet {
filter f1 {
term t1 {
from {
source-address {
10.1.0.50/32;
}
protocol tcp;
}
then {
routing-instance vrf01;
}
}
}
}
}
routing-instances {
vrf01 {
instance-type virtual-router;
interface xe-0/0/3.0;
routing-options {
static {
route 192.168.0.1/24 next-hop 10.1.3.254;
}
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que se configuró el reenvío basado en filtros
Propósito
Compruebe que el reenvío basado en filtros se habilitó correctamente en el conmutador.
Acción
Utilice el
show interfaces filterscomando:user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
Utilice el
show route forwarding-tablecomando:user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
Significado
El resultado indica que el filtro se creó en la interfaz y que la instancia de enrutamiento virtual está reenviando el tráfico correspondiente a la dirección IP correcta.