가상 라우터를 사용하는 역방향 경로 패킷 모드
플로우 처리 중에 서버와 클라이언트 간의 트래픽 경로가 변경되면 트래픽은 가상 라우터(VR)를 사용하여 다시 라우팅됩니다. 재라우팅에 사용되는 VR은 인터페이스 또는 FBF(필터 기반 포워딩)에서 사용할 수 있습니다. 재라우팅의 동작은 명령을 사용하여 모니터링됩니다 set security flow advanced-options reverse-route-packet-mode-vr .
이 reverse-route-packet-mode-vr 명령은 루트 논리적 시스템에서 작동하며 전역적으로 활성화됩니다.
역방향 경로 옵션이 활성화되면 패킷 흐름에 변화가 없습니다. 역방향 경로 옵션이 비활성화되면 경로 조회는 패킷 수신 인터페이스의 VR을 사용합니다. 경로의 VR이 잘못 구성된 경우 서버와 클라이언트 간의 트래픽이 삭제됩니다.
클라이언트에서 서버 패킷으로의 VR 정보를 사용할 수 없기 때문에 플로우 첫 번째 경로의 해결 예약 경로가 구성되지 않습니다.
예를 들어, 그림 1 은 명령이 구성되지 않은 경우 reverse-route-packet-mode-vr 의 패킷 플로우 동작을 보여줍니다. 클라이언트-서버 트래픽은 수신 인터페이스 ge-0/0/0.0의 라우팅 인스턴스 VR2를 사용하여 트래픽을 라우팅합니다. 또한 서버-클라이언트 트래픽은 수신 인터페이스 ge-0/0/0.0의 라우팅 인스턴스 VR2를 사용하여 트래픽을 라우팅합니다.
그림 2 는 인터페이스를 사용하여 명령을 구성할 때의 reverse-route-packet-mode-vr 패킷 플로우 동작을 보여줍니다. 클라이언트-서버 트래픽은 수신 인터페이스 ge-0/0/0.0의 라우팅 인스턴스 VR2를 사용하여 트래픽을 라우팅합니다. 서버-클라이언트 트래픽은 인터페이스 ge-0/0/1.0의 라우팅 인스턴스 VR3을 사용하여 트래픽을 라우팅합니다.
통해 활성화된 역방향 경로
그림 3 은 FBF를 사용하여 명령을 구성할 때 패킷 흐름의 reverse-route-packet-mode-vr 동작을 보여줍니다. 클라이언트-서버 트래픽은 VR2의 패킷 수신 인터페이스 ge-0/0/0.0을 사용하여 트래픽을 라우팅합니다. 인터페이스 ge-0/0/1.0에서 FBF를 구성하면 VR3가 VR4로 변경됩니다. 서버-클라이언트 트래픽은 VR4를 사용하여 트래픽을 라우팅합니다.
로 활성화된 역방향 경로
가상 라우터의 호스트별 트래픽 이해
SRX 시리즈 방화벽에서 방화벽 필터를 통과하는 모든 트래픽을 호스트 트래픽이라고 합니다. 방화벽에서 디바이스로의 트래픽을 호스트로부터의 트래픽이라고 합니다. 호스트로 가는 트래픽은 송신 인터페이스를 사용하고 호스트로부터 트래픽은 수신 인터페이스를 사용합니다. 두 인터페이스가 동일한 라우팅 인스턴스에 있지 않으면 세션이 일치하지 않습니다. 이 문제를 극복하기 위해 to-host 및 from-host 트래픽은 동일한 라우팅 인스턴스에서 사용할 수 있는 인터페이스를 선택합니다.
그림 4 는 인터페이스 ge-0/0/0.0의 라우팅 인스턴스 VR5와 대상 인터페이스 lo0.1의 라우팅 인스턴스 VR6을 사용하는 호스트로의 트래픽을 보여줍니다.
에서 트래픽을 호스팅할 수 있습니다.
예를 들어, 호스트 간 트래픽이 로컬 인터페이스(예: 로컬.... X) 라우팅 인스턴스 5(VR5)에 있고, 호스트 트래픽은 라우팅 인스턴스 6(VR6)의 인터페이스를 사용합니다. 호스트 간 트래픽의 인터페이스 정보를 표시하는 세션 출력은 다음과 같습니다.
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..5, Pkts: 1, Bytes: 84, CP Session ID: 10000178
세션 출력은 호스트 간 트래픽의 로컬 인터페이스를 로컬로... 5.
호스트와 호스트 간 트래픽을 동기화하기 위해 호스트 트래픽은 VR6에서 사용할 수 있는 트래픽 대상 IP 인터페이스(lo0.1)를 사용합니다. 호스트로부터의 트래픽이 VR6에서 사용할 수 있는 인터페이스를 사용하므로 세션이 일치합니다. 호스트 간 트래픽의 인터페이스 정보를 표시하는 세션 출력은 다음과 같습니다.
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..6, Pkts: 1, Bytes: 84, CP Session ID: 10000178
세션 출력은 호스트 간 트래픽의 로컬 인터페이스를 로컬로... 6.