例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
この例では、EXシリーズスイッチまたはQFX10000でフィルターベースの転送を設定する方法について説明します。フィルターベースの転送を設定するには、ファイアウォールフィルターを使用して、一致したトラフィックを特定の仮想ルーティングインスタンスに転送します。
要件
この例は、Junos OSリリース9.4以降を実行しているEXシリーズスイッチと、Junos OSリリース15.1X53-D10以降を実行しているQFX10000スイッチの両方に適用されます。
概要とトポロジー
この例では、送信元アプリケーションサーバーから出るパケットの宛先アドレス(192.168.0.1)に従って、あるアプリケーションサーバーから別のアプリケーションサーバーに送信されるトラフィックを照合するファイアウォールフィルターを作成します。一致するパケットは仮想ルーティングインスタンスにルーティングされ、仮想ルーティングインスタンスはトラフィックをセキュリティデバイスに転送し、その後、宛先アプリケーションサーバーにトラフィックを転送します。
フィルターベースの転送は、一部のジュニパー製スイッチのIPv6インターフェイスでは機能しません。
設定
フィルターベースの転送を設定するには:
CLIクイック構成
この例を自分のデバイスで使用するには、以下のコマンドをテキストファイルにコピーし、改行を削除して、設定に合わせて必要な詳細を変更します。次に、コマンドをコピーして、 [edit] 階層レベルのCLIに貼り付けます。
[edit]
set interfaces xe-0/0/0 unit 0 family inet address 10.1.0.1/24
set interfaces xe-0/0/3 unit 0 family inet address 10.1.3.1/24
set firewall family inet filter f1 term t1 from source-address 10.1.0.50/32
set firewall family inet filter f1 term t1 from protocol tcp
set interfaces xe-0/0/0 unit 0 family inet filter input f1
set routing-instances vrf01 instance-type virtual-router
set routing-instances vrf01 interface xe-0/0/3.0
set routing-instances vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
set firewall family inet filter f1 term t1 then routing-instance vrf01 手順
ステップバイステップでの手順
フィルターベースの転送を設定するには:
アプリケーションサーバーに接続するためのインターフェイスを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet address 10.1.0.1/24
セキュリティ デバイスに接続するインターフェイスを設定します。
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet address 10.1.3.1/24
トラフィックの送信元となるアプリケーションサーバーのアドレスに基づいて、パケットに一致するファイアウォールフィルターを作成します。また、TCP パケットのみに一致するようにフィルターを構成します。
[edit firewall] user@switch# set family inet filter f1 term t1 from source-address 10.1.0.50/32 user@switch# set firewall family inet filter f1 term t1 from protocol tcp
ソース・アプリケーション・サーバーに接続するインターフェースにフィルターを適用し、着信パケットと一致するように構成します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family inet filter input f1
仮想ルーターを作成します。
[edit] user@switch# set routing-instances vrf01 instance-type virtual-router
仮想ルーターを、セキュリティ デバイスに接続するインターフェイスに関連付けます。
[edit routing-instances] user@switch# set vrf01 interface xe-0/0/3.0
仮想ルーティングインスタンスのルーティング情報を設定します。
[edit routing-instances] user@switch# set vrf01 routing-options static route 192.168.0.1/24 next-hop 10.1.3.254
仮想ルーターにパケットを転送するようにフィルターを設定します。
[edit firewall] user@switch# set family inet filter f1 term t1 then routing-instance vrf01
結果
構成の結果を確認します。
user@switch> show configuration
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
filter {
input f1;
}
address 10.1.0.1/24;
}
}
}
xe-0/0/3 {
unit 0 {
family inet {
address 10.1.3.1/24;
}
}
}
}
firewall {
family inet {
filter f1 {
term t1 {
from {
source-address {
10.1.0.50/32;
}
protocol tcp;
}
then {
routing-instance vrf01;
}
}
}
}
}
routing-instances {
vrf01 {
instance-type virtual-router;
interface xe-0/0/3.0;
routing-options {
static {
route 192.168.0.1/24 next-hop 10.1.3.254;
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
フィルターベース転送が構成されていることを確認する
目的
スイッチでフィルターベース転送が正しく有効になっていることを確認します。
アクション
show interfaces filtersコマンドを使用します。user@switch> show interfaces filters xe-0/0/0.0 Interface Admin Link Proto Input Filter Output Filter xe-0/0/0.0 up down inet fil
show route forwarding-tableコマンドを使用します。user@switch> show route forwarding-table Routing table: default.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default user 1 0:12:f2:21:cf:0 ucst 331 4 me0.0 default perm 0 rjct 36 3 0.0.0.0/32 perm 0 dscd 34 1 10.1.0.0/24 ifdn 0 rslv 613 1 xe-0/0/0.0 10.1.0.0/32 iddn 0 10.1.0.0 recv 611 1 xe-0/0/0.0 10.1.0.1/32 user 0 rjct 36 3 10.1.0.1/32 intf 0 10.1.0.1 locl 612 2 10.1.0.1/32 iddn 0 10.1.0.1 locl 612 2 10.1.0.255/32 iddn 0 10.1.0.255 bcst 610 1 xe-0/0/0.0 10.1.1.0/26 ifdn 0 rslv 583 1 vlan.0 10.1.1.0/32 iddn 0 10.1.1.0 recv 581 1 vlan.0 10.1.1.1/32 user 0 rjct 36 3 10.1.1.1/32 intf 0 10.1.1.1 locl 582 2 10.1.1.1/32 iddn 0 10.1.1.1 locl 582 2 10.1.1.63/32 iddn 0 10.1.1.63 bcst 580 1 vlan.0 255.255.255.255/32 perm 0 bcst 32 1 Routing table: vrf01.inet Internet: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 559 2 0.0.0.0/32 perm 0 dscd 545 1 10.1.3.0/24 ifdn 0 rslv 617 1 xe-0/0/3.0 10.1.3.0/32 iddn 0 10.1.3.0 recv 615 1 xe-0/0/3.0 10.1.3.1/32 user 0 rjct 559 2 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 192.168.0.1/24 user 0 10.1.3.254 ucst 616 2 xe-0/0/3.0 10.1.3.255/32 iddn 0 10.1.3.255 bcst 614 1 xe-0/0/3.0 224.0.0.0/4 perm 0 mdsc 546 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 529 1 255.255.255.255/32 perm 0 bcst 543 1 Routing table: default.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 60 1 Routing table: vrf01.iso ISO: Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 600 1
意味
この出力は、フィルターがインターフェイス上で作成され、仮想ルーティング インスタンスが一致するトラフィックを正しいIPアドレスに転送していることを示しています。