Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Настройка переадстройки на основе фильтра на исходный адрес

В данном примере показано, как настраивать фильтрацию передачи (FBF), которая иногда также называется маршрутизией на основе политик (PBR). Фильтр классифицирует пакеты для определения их пути переадресовки внутри устройства маршрутной маршрутки в пределах в пределах ведомого.

Переадварка на основе фильтра поддерживается для IP версии 4 (IPv4) и IP версии 6 (IPv6).

Требования

Для этого примера не требуется особой конфигурации после инициализации устройства.

Обзор

В данном примере мы используем FBF для выбора поставщика услуг, когда клиенты имеют подключение к Интернету, предоставленное различными Интернет-провайдерами, но при этом имеет общий уровень доступа. При совместном использования носитечей (например, кабельного модема) механизм на общем уровне доступа смотрит на адреса уровня 2 или 3 и различает клиентов. Можно использовать фильтрацию при реализации общего уровня доступа с помощью сочетания коммутаторов уровня 2 и одного маршрутизатора.

При FBF рассматриваются все пакеты, полученные на интерфейсе. Каждый пакет проходит через фильтр с условиями совпадения. Если для фильтра выполнены условия совпадения и был создан экземпляр маршрутов, к пакету применяется FBF. Пакет передается на основе следующего перехода, заданного в экземпляре маршрутов. Для статических маршрутов следующим переходом может быть определенный LSP.

Прим.:

Соответствие фильтра использования класса источника и проверки одноастерной переадстройки по обратному пути не поддерживаются в интерфейсе, настроенном для FBF.

Для настройки FBF необходимо выполнить следующие задачи:

  • Создайте фильтр совпадения на в агрессивном устройстве. Чтобы указать фильтр совпадения, включим filter filter-name утверждение на уровне [edit firewall] иерархии. Пакет, который проходит через фильтр, сравнивается с набором правил для классификации и определения его членства в наборе. После классификации пакет передается в таблицу маршрутов, указанную в действии при приеме на языке описания фильтра. Таблица маршрутов затем перенаправлена на следующий переход, соответствующий записи адреса назначения в таблице.

  • Создайте экземпляры маршрутов, определяющие таблицу маршрутов, в которую перенаправлен пакет, и место назначения, в которое этот пакет перенаправлен на уровне [edit routing-instances] иерархии. Например:

  • Создайте RIB-группа для обмена интерфейсными маршрутами с экземплярами маршрутной маршрутки, используемыми в фильтрации forwarding (FBF). Эта часть конфигурации устраняет маршруты, установленные в экземплярах маршрутов, и непосредственно подключают следующие переходы на этом интерфейсе. Создайте группу таблиц маршрутов на [edit routing-options] уровне иерархии.

В этом примере показан фильтр пакетов, который направляет клиентский трафик маршрутизатору следующего перехода в доменах, SP1 или SP2, на основе адреса источника пакета.

Если пакет имеет исходный адрес, присвоенный клиенту SP1, то перенаправление на основе адресата происходит с помощью таблицы маршрутов sp1-route-table.inet.0. Если пакет имеет исходный адрес, присвоенный клиенту SP2, маршрут на основе адресата происходит с помощью таблицы маршрутов sp2-route-table.inet.0. Если пакет не соответствует ни одним из этих условий, фильтр принимает пакет, а маршрут на основе места назначения принимается с помощью стандартной таблицы маршрутизации inet.0.

Топологии

Рис. 1 показывает топологию, используемую в этом примере.

На устройстве P1 входной фильтр классифицирует пакеты, полученные от Устройств PE3 и Device PE4. Маршруты пакетов основаны на адресах источников. Пакеты с адресами источника в сетях 10.1.1.0/24 и 10.1.2.0/24 маршрутются на Device PE1. Пакеты с адресами источника в сетях 10.2.1.0/24 и 10.2.2.0/24 маршрутются на Device PE2.

Рис. 1: Переадваровка на основе фильтраПереадваровка на основе фильтра

Чтобы установить соединение, OSPF настраивается на всех интерфейсах. В целях демонстрации адреса интерфейсов обратной связи настраиваются на устройствах маршрутации для представления сетей в облаках.

В интерфейс командной строки быстрой конфигурации этом разделе показана конфигурация всех устройств в топологии. В данном разделе пошаговая настройка устройства маршрутной передачи в направлении в сети Настройка переад через фильтр на устройстве P1 Device P1.

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Устройство Р1

Устройство Р2

Устройство PE1

Устройство PE2

Устройство PE3

Устройство PE4

Настройка фильтра брандмауэра на P1

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Настройка фильтра брандмауэра на основном маршрутизаторе или коммутаторе:

  1. Настройте адреса источников для клиентов SP1.

  2. Настройте действия, которые будут предприняты при получении пакетов с указанными адресами источника; регистрируются и передаются в экземпляр маршрутной таблицы sp1-route-table для маршрутов через таблицу маршрутов sp1-route-table.inet.0.

  3. Настройте адреса источников для клиентов SP2.

  4. Настройте действия, которые будут предприняты при получении пакетов с указанными адресами источника; регистрируются и передаются в экземпляр маршрутной таблицы sp2-route-table для маршрутов через таблицу маршрутов sp2-route-table.inet.0.

  5. Настройте действие, полученное с какого-либо другого адреса источника; они принимаются и маршрутются с помощью таблицы одноавтомной маршрутной маршрутки IPv4 по умолчанию, inet.0.

Настройка переад через фильтр на устройстве P1

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Настройка экземпляров маршрутов:

  1. Настройте интерфейсы.

  2. classify-customersНазначьте фильтр брандмауэра интерфейсу маршрутизатора fe-1/2/0.0 в качестве фильтра вводимого пакета.

  3. Настройте соединение, используя либо протокол маршрутов, либо статическую.

    Лучше всего отключить маршрутную маршрутную маршрутку на интерфейсе управления.

  4. Создайте экземпляры маршрутов, на которые ссылается фильтр classify-customers межсетевых экранов. Тип экземпляра переадментания поддерживает фильтрацию в тех случаях, когда интерфейсы не связаны с экземплярами.

  5. Для каждого экземпляра маршрутной маршрутки определите маршрут по умолчанию для переад пути к указанному следующему переходу (в этом примере PE1 и PE2).

  6. Связывание таблиц маршрутов для формирования группы таблиц маршрутов. Первая таблица маршрутов, inet.0, является основной таблицей маршрутов, а остальные - вторичными. Первичная таблица маршрутов определяет семейство адресов группы таблиц маршрутов, в данном случае IPv4.

  7. Укажите группу таблицы маршрутов fbf-group в конфигурации OSPF, чтобы OSPF в три таблицы маршрутов.

  8. Сфиксировать конфигурацию после ее настройки.

Результаты

Подтвердите show interfaces конфигурацию, выдав команды , , show firewallshow protocolsshow routing-instancesshow routing-options и.

Проверки

Подтвердим, что конфигурация работает правильно.

Ping с указанными адресами источника

Цель

Отправьте пакеты ICMP по сети для проверки фильтра межсетевых экранов.

Действий

  1. Запустите ping команду, перезаписав команду ping для интерфейса lo0.0 на устройстве PE1.

    Адрес, настроенный на этом интерфейсе – 172.16.1.1.

    Укажите адрес источника 10.1.2.1, который является адресом, настроенным на интерфейсе lo0.0 на устройстве PE3.

  2. Запустите ping команду, отописав ping интерфейс lo0.0 на устройстве PE2.

    Адрес, настроенный на этом интерфейсе – 172.16.2.2.

    Укажите адрес источника 10.2.1.1, который является адресом, настроенным на интерфейсе lo0.0 на устройстве PE4.

Смысл

Отправка этих ping активирует действия фильтра межсетевых экранов.

Проверка фильтра брандмауэра

Цель

Убедитесь, что действия фильтра межсетевых экранов вступили в силу.

Действий

  1. Запустите show firewall log команду на устройстве P1.