예: 특정 발신 인터페이스 또는 대상 IP 주소에 대한 필터 기반 전달 구성
특정 발신 인터페이스 또는 대상 IP 주소에 대한 필터 기반 전달 이해
정책 기반 라우팅(필터 기반 포워딩이라고도 함)은 인터페이스에 적용되는 방화벽 필터를 사용하여 특정 IP 헤더 특성을 일치시키고 패킷이 일반적으로 라우팅되는 것과 다르게 일치하는 패킷만 라우팅하는 것을 말합니다.
Junos OS 릴리스 12.2부터 방화벽 필터에서 , then next-ip또는 then next-ip6 를 작업으로 사용할 then next-interface수 있습니다. 특정 일치 조건에서 IPv4 및 IPv6 주소 또는 인터페이스 이름을 일치에 대한 응답 작업으로 지정할 수 있습니다.
일치 조건 집합은 다음과 같을 수 있습니다.
레이어 3 속성(예: 소스 또는 대상 IP 주소 또는 TOS 바이트)
계층 4 속성(예: 원본 또는 대상 포트)
정책 기반 라우팅이 적용되려면 지정된 IPv4 또는 IPv6 주소의 경로가 라우팅 테이블에 있어야 합니다. 마찬가지로, 지정된 인터페이스를 통과하는 경로가 포워딩 테이블에 next-interface 있어야 작업이 적용됩니다. 이는 OSPF 또는 IS-IS와 같은 IGP(Interior Gateway Protocol)를 구성하여 레이어 3 경로를 보급함으로써 달성할 수 있습니다.
방화벽 필터는 조건과 일치하고 패킷을 다음 중 하나로 전달합니다.
IPv4 주소(방화벽 필터 동작 사용
next-ip)IPv6 주소(방화벽 필터 동작 사용
next-ip6)인터페이스(방화벽 필터 동작 사용
next-interface)
예를 들어 고객에게 서비스를 제공하려고 하는데 서비스가 서로 다른 서버에 있다고 가정해 보겠습니다. 서비스의 예로는 호스팅된 DNS 또는 호스팅된 FTP가 있습니다. 고객 트래픽이 주니퍼 네트웍스 라우팅 디바이스에 도착하면 필터 기반 포워딩을 사용하여 MAC 주소나 IP 주소 또는 단순히 수신 인터페이스에 일치 조건을 적용하여 서버로 트래픽을 전송하고 해당 서버와 연결된 특정 발신 인터페이스로 패킷을 전송할 수 있습니다. 일부 대상은 IPv4 또는 IPv6 주소일 수 있으며, 이 경우 next-ip 또는 next-ip6 작업이 유용합니다.
선택적으로 발신 인터페이스 또는 IP 주소를 라우팅 인스턴스와 연결할 수 있습니다.
예:
firewall {
filter filter1 {
term t1 {
from {
source-address {
10.1.1.3/32;
}
}
then {
next-interface {
xe-0/1/0.1;
routing-instance rins1;
}
}
}
term t2 {
from {
source-address {
10.1.1.4/32;
}
}
then {
next-interface {
xe-0/1/0.2;
routing-instance rins2;
}
}
}
}
}
routing-instances {
rins1 {
instance-type virtual-router;
interface xe-0/1/0.1;
}
rins2 {
instance-type virtual-router;
interface xe-0/1/0.2;
}
}
참조
예: 특정 발신 인터페이스에 대한 필터 기반 전달 구성
이 예에서는 방화벽 필터에서 작업을 as 사용하는 then next-interface 방법을 보여 줍니다.
요구 사항
이 예제의 하드웨어 및 소프트웨어 요구 사항은 다음과 같습니다.
MX 시리즈 5G 유니버설 라우팅 플랫폼을 방화벽 필터가 구성된 라우팅 디바이스로 사용할 수 있습니다.
방화벽 필터가 구성된 라우팅 디바이스에서 실행되는 Junos OS 릴리스 12.2.
(또는
next-ip) 동작이next-interface있는 필터는 Trio MPC에서 호스팅되는 인터페이스에만 적용할 수 있습니다. I-칩 기반 DPC에 필터를 적용하면 커밋 작업이 실패합니다.작업에서 언급
next-interface interface-name되는 발신 인터페이스는 Trio MPC 또는 I-칩 기반 DPC에서 호스팅할 수 있습니다.
개요
이 예에서 디바이스 R1에는 구성된 루프백 인터페이스 주소 2개가 있습니다. 172.16.1.1 및 172.16.2.2.
디바이스 R2에서 방화벽 필터에는 여러 용어가 구성되어 있습니다. 각 용어는 수신 트래픽의 소스 주소 중 하나와 일치하며, 트래픽을 지정된 발신 인터페이스로 라우팅합니다. 발신 인터페이스는 디바이스 R2와 디바이스 R3 사이에서 VLAN 태그가 지정된 인터페이스로 구성됩니다.
IS-IS는 디바이스 간 연결에 사용됩니다.
그림 1 본 예제에서 사용되는 토폴로지를 나타냅니다.
이 예는 디바이스 R2의 구성을 보여줍니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.
디바이스 R2
set interfaces ge-2/1/0 unit 0 family inet filter input filter1 set interfaces ge-2/1/0 unit 0 family inet address 10.0.0.10/30 set interfaces ge-2/1/0 unit 0 description to-R1 set interfaces ge-2/1/0 unit 0 family iso set interfaces ge-2/1/1 vlan-tagging set interfaces ge-2/1/1 description to-R3 set interfaces ge-2/1/1 unit 0 vlan-id 1001 set interfaces ge-2/1/1 unit 0 family inet address 10.0.0.13/30 set interfaces ge-2/1/1 unit 0 family iso set interfaces ge-2/1/1 unit 1 vlan-id 1002 set interfaces ge-2/1/1 unit 1 family inet address 10.0.0.25/30 set interfaces ge-2/1/1 unit 1 family iso set interfaces lo0 unit 0 family inet address 10.255.4.4/32 set interfaces lo0 unit 0 family iso address 49.0001.0010.0000.0404.00 set firewall family inet filter filter1 term t1 from source-address 172.16.1.1/32 set firewall family inet filter filter1 term t1 then next-interface ge-2/1/1.0 set firewall family inet filter filter1 term t2 from source-address 172.16.2.2/32 set firewall family inet filter filter1 term t2 then next-interface ge-2/1/1.1 set protocols isis interface all level 1 disable set protocols isis interface fxp0.0 disable set protocols isis interface lo0.0
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을(를) 참조하십시오.
디바이스 R2 구성:
인터페이스를 구성합니다.
[edit interfaces] user@R2# set ge-2/1/0 unit 0 family inet filter input filter1 user@R2# set ge-2/1/0 unit 0 family inet address 10.0.0.10/30 user@R2# set ge-2/1/0 unit 0 description to-R1 user@R2# set ge-2/1/0 unit 0 family iso user@R2# set ge-2/1/1 vlan-tagging user@R2# set ge-2/1/1 description to-R3 user@R2# set ge-2/1/1 unit 0 vlan-id 1001 user@R2# set ge-2/1/1 unit 0 family inet address 10.0.0.13/30 user@R2# set ge-2/1/1 unit 0 family iso user@R2# set ge-2/1/1 unit 1 vlan-id 1002 user@R2# set ge-2/1/1 unit 1 family inet address 10.0.0.25/30 user@R2# set ge-2/1/1 unit 1 family iso user@R2# set lo0 unit 0 family inet address 10.255.4.4/32 user@R2# set lo0 unit 0 family iso address 49.0001.0010.0000.0404.00
방화벽 필터를 구성합니다.
[edit firewall family inet filter filter1] user@R2# set term t1 from source-address 172.16.1.1/32 user@R2# set term t1 then next-interface ge-2/1/1.0 user@R2# set term t2 from source-address 172.16.2.2/32 user@R2# set term t2 then next-interface ge-2/1/1.1
인터페이스에서 IS-IS를 활성화합니다.
[edit protocols is-is] user@R2# set interface all level 1 disable user@R2# set interface fxp0.0 disable user@R2# set interface lo0.0
결과
구성 모드에서 show interfaces, show firewall 및 show protocols 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
user@R2# show interfaces
ge-2/1/0 {
unit 0 {
description to-R1;
family inet {
filter {
input filter1;
}
address 10.0.0.10/30;
}
family iso;
}
}
ge-2/1/1 {
description to-R3;
vlan-tagging;
unit 0 {
vlan-id 1001;
family inet {
address 10.0.0.13/30;
}
family iso;
}
unit 1 {
vlan-id 1002;
family inet {
address 10.0.0.25/30;
}
family iso;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.4.4/32;
}
family iso {
address 49.0001.0010.0000.0404.00;
}
}
}
user@R2# show firewall
family inet {
filter filter1 {
term t1 {
from {
source-address {
172.16.1.1/32;
}
}
then {
next-interface {
ge-2/1/1.0;
}
}
term t2 {
from {
source-address {
172.16.2.2/32;
}
}
then {
next-interface {
ge-2/1/1.1;
}
}
}
}
}
user@R2# show protocols
isis {
interface all {
level 1 disable;
}
interface fxp0.0 {
disable;
}
interface lo0.0;
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
사용된 경로 확인
목적
디바이스 R1에서 디바이스 R4로 트래픽을 전송할 때 예상 경로가 사용되는지 확인합니다.
작업
디바이스 R1에서 명령을 입력합니다 traceroute .
user@R1> traceroute 10.255.6.6 source 172.16.1.1 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.1.1, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.976 ms 0.895 ms 0.815 ms 2 10.0.0.14 (10.0.0.14) 0.868 ms 0.888 ms 0.813 ms 3 10.255.6.6 (10.255.6.6) 1.715 ms 1.442 ms 1.382 ms
user@R1> traceroute 10.255.6.6 source 172.16.2.2 traceroute to 10.255.6.6 (10.255.6.6) from 172.16.2.2, 30 hops max, 40 byte packets 1 10.0.0.10 (10.0.0.10) 0.973 ms 0.907 ms 0.782 ms 2 10.0.0.26 (10.0.0.26) 0.844 ms 0.890 ms 0.852 ms 3 10.255.6.6 (10.255.6.6) 1.384 ms 1.516 ms 1.462 ms
의미
출력은 명령에 사용된 소스 주소에 따라 두 번째 홉이 변경됨을 traceroute 보여줍니다.
이 기능을 확인하기 위해 디바이스 R1에서 디바이스 R4로 경로 추적 작업이 수행됩니다. 소스 IP 주소가 172.16.1.1이면 패킷은 디바이스 R2의 ge-2/1/1.0 인터페이스로 전달됩니다. 소스 IP 주소가 172.16.2.2인 경우, 패킷은 디바이스 R2의 ge-2/1/1.1 인터페이스로 전달됩니다.
예: 특정 대상 IP 주소에 대한 필터 기반 전달 구성
이 예에서는 방화벽 필터에서 작업을 as 사용하는 then next-ip 방법을 보여 줍니다.
요구 사항
이 예제의 하드웨어 및 소프트웨어 요구 사항은 다음과 같습니다.
MX 시리즈 5G 유니버설 라우팅 플랫폼을 방화벽 필터가 구성된 라우팅 디바이스로 사용할 수 있습니다.
방화벽 필터가 구성된 라우팅 디바이스에서 실행되는 Junos OS 릴리스 12.2.
(또는
next-ip) 동작이next-interface있는 필터는 Trio MPC에서 호스팅되는 인터페이스에만 적용할 수 있습니다. I-칩 기반 DPC에 필터를 적용하면 커밋 작업이 실패합니다.next-interface interface-name 작업에서 언급되는 발신 인터페이스는 Trio MPC 또는 I-칩 기반 DPC에서 호스팅할 수 있습니다.
개요
이 예에서 디바이스 R2에는 물리적 링크와 상호 연결된 두 개의 라우팅 인스턴스가 있습니다. 특정 소스의 트래픽은 IP 레이어에서 투명하게 작동하는 트래픽 옵티마이저의 검사를 위해 상위 링크를 통해 전달되어야 합니다. 트래픽 옵티마이저에 장애가 발생하면 트래픽이 하위 링크로 이동합니다. R1>R3 및 R3>R1 방향의 흐름은 동일한 경로를 따릅니다.
그림 2 본 예제에서 사용되는 토폴로지를 나타냅니다.
디바이스 R2에서 방화벽 필터는 입력 방향으로 인터페이스 ge-1/0/8에 적용됩니다. 두 번째 용어는 특정 소스 주소 10.0.0.0/24와 일치하며 트래픽을 주소 192.168.0.3으로 라우팅합니다. 이 주소는 다음 홉 192.168.20.2로 확인됩니다. 인터페이스 ge-1/1/0에 연결된 링크가 다운되면 주소 192.168.0.3은 다음 홉 192.168.30.2로 확인됩니다.
디바이스 R2에서 방화벽 필터는 입력 방향으로 인터페이스 ge-1/0/0에 적용됩니다. 두 번째 용어는 특정 대상 주소 10.0.0.0/24와 일치하며 트래픽을 주소 192.168.0.2로 라우팅합니다. 이 주소는 다음 홉 192.168.20.1로 확인됩니다. 인터페이스 ge-1/3/8에 연결된 링크가 다운되면 주소 192.168.0.2는 다음 홉 192.168.30.1로 확인됩니다.
작업을 사용하여 next-ip 구성된 주소는 자동으로 확인되지 않습니다. 이더넷 인터페이스에서는 구성된 주소가 라우팅 프로토콜 또는 정적 경로를 사용하여 해결된다고 가정합니다.
디바이스 R2-VR1과 디바이스 R2-VR2 사이에는 내부 BGP(IBGP)가 사용됩니다. 외부 BGP(EBGP)는 디바이스 R1과 디바이스 R2-VR1 사이 그리고 디바이스 R2-VR2와 디바이스 R3 사이에도 사용됩니다.
BGP 작업은 다음과 같이 진행됩니다.
R2-VR1은 R1에서 10/8을, R2-VR2에서 0/0을 학습합니다.
R2-VR2는 R3에서 0/0을 학습하고 R2-VR1에서 10/8을 학습합니다.
R1은 10/8을 광고하고 R2-VR1에서 0/0을 수신합니다.
R3는 0/0을 광고하고 R2-VR2에서 10/8을 수신합니다.
디바이스 R2에 적용된 방화벽 필터는 직접 연결된 인터페이스(이 경우 EBGP 세션)에 대해 컨트롤 플레인 트래픽을 허용해야 합니다.
이 예는 디바이스 R2의 구성을 보여줍니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.
디바이스 R1
set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set interfaces lo0 unit 0 family inet address 10.1.0.1/32 set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.1/24 set routing-options autonomous-system 64501 set protocols bgp group eBGP neighbor 192.168.10.2 peer-as 64502 set protocols bgp group eBGP export Announce10 set policy-options policy-statement Announce10 term 1 from route-filter 10.0.0.0/8 exact set policy-options policy-statement Announce10 term 1 then accept set policy-options policy-statement Announce10 term 2 then reject
디바이스 R2
set interfaces ge-1/0/8 unit 0 family inet address 192.168.10.2/24 set interfaces ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer set interfaces ge-1/1/0 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/1/1 unit 0 family inet address 192.168.30.1/24 set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-1/0/8.0 set routing-instances VR1 interface ge-1/1/0.0 set routing-instances VR1 interface ge-1/1/1.0 set routing-instances VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 set routing-instances VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 set routing-instances VR1 routing-options autonomous-system 64502 set routing-instances VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 set routing-instances VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal set firewall family inet filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 0 then accept set firewall family inet filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 set firewall family inet filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 set firewall family inet filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 set firewall family inet filter SteerSrcTrafficOptimizer term 2 then accept set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.1/24 set interfaces ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer set interfaces ge-1/3/8 unit 0 family inet address 192.168.20.2/24 set interfaces ge-1/3/9 unit 0 family inet address 192.168.30.2/24 set routing-instances VR2 instance-type virtual-router set routing-instances VR2 interface ge-1/0/0.0 set routing-instances VR2 interface ge-1/3/8.0 set routing-instances VR2 interface ge-1/3/9.0 set routing-instances VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 set routing-instances VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 set routing-instances VR2 routing-options autonomous-system 64502 set routing-instances VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 set routing-instances VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal set firewall family inet filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 0 then accept set firewall family inet filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 set firewall family inet filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 set firewall family inet filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 set firewall family inet filter SteerDstTrafficOptimizer term 2 then accept set policy-options policy-statement AcceptExternal term 1 from route-type external set policy-options policy-statement AcceptExternal term 1 then accept
디바이스 R3
set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces ge-1/0/0 unit 0 family inet address 192.168.40.2/24 set routing-options autonomous-system 64503 set protocols bgp group eBGP neighbor 192.168.40.1 peer-as 64502 set protocols bgp group eBGP export Announce0 set policy-options policy-statement Announce0 term 1 from route-filter 0.0.0.0/0 exact set policy-options policy-statement Announce0 term 1 then accept set policy-options policy-statement Announce0 term 2 then reject
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을(를) 참조하십시오.
디바이스 R2 구성:
인터페이스를 구성합니다.
[edit interfaces] user@R2# set ge-1/0/8 unit 0 family inet address 192.168.10.2/24 user@R2# set ge-1/0/8 unit 0 family inet filter input SteerSrcTrafficOptimizer user@R2# set ge-1/1/0 unit 0 family inet address 192.168.20.1/24 user@R2# set ge-1/1/1 unit 0 family inet address 192.168.30.1/24 user@R2# set ge-1/0/0 unit 0 family inet address 192.168.40.1/24 user@R2# set ge-1/0/0 unit 0 family inet filter input SteerDstTrafficOptimizer user@R2# set ge-1/3/8 unit 0 family inet address 192.168.20.2/24 user@R2# set ge-1/3/9 unit 0 family inet address 192.168.30.2/24
라우팅 인스턴스를 구성합니다.
[edit routing-instances] user@R2# set VR1 instance-type virtual-router user@R2# set VR1 interface ge-1/0/8.0 user@R2# set VR1 interface ge-1/1/0.0 user@R2# set VR1 interface ge-1/1/1.0 user@R2# set VR2 instance-type virtual-router user@R2# set VR2 interface ge-1/0/0.0 user@R2# set VR2 interface ge-1/3/8.0 user@R2# set VR2 interface ge-1/3/9.0
정적 및 BGP 라우팅을 구성합니다.
[edit routing-instances] user@R2# set VR1 routing-options static route 192.168.0.3 next-hop 192.168.20.2 user@R2# set VR1 routing-options static route 192.168.0.3 qualified-next-hop 192.168.30.2 metric 100 user@R2# set VR1 routing-options autonomous-system 64502 user@R2# set VR1 protocols bgp group eBGP neighbor 192.168.10.1 peer-as 64501 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 peer-as 64502 user@R2# set VR1 protocols bgp group iBGP neighbor 192.168.30.2 export AcceptExternal user@R2# set VR2 routing-options static route 192.168.0.2/32 next-hop 192.168.20.1 user@R2# set VR2 routing-options static route 192.168.0.2/32 qualified-next-hop 192.168.30.1 metric 100 user@R2# set VR2 routing-options autonomous-system 64502 user@R2# set VR2 protocols bgp group eBGP neighbor 192.168.40.2 peer-as 64503 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 peer-as 64502 user@R2# set VR2 protocols bgp group iBGP neighbor 192.168.30.1 export AcceptExternal
방화벽 필터를 구성합니다.
[edit firewall family inet] user@R2# set filter SteerSrcTrafficOptimizer term 0 from source-address 192.168.10.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 0 then accept user@R2# set filter SteerSrcTrafficOptimizer term 1 from source-address 10.0.0.0/24 user@R2# set filter SteerSrcTrafficOptimizer term 1 then next-ip 192.168.0.3 routing-instance VR1 user@R2# set filter SteerSrcTrafficOptimizer term 2 from source-address 10.0.0.0/8 user@R2# set filter SteerSrcTrafficOptimizer term 2 then accept user@R2# set filter SteerDstTrafficOptimizer term 0 from source-address 192.168.40.0/24 user@R2# set filter SteerDstTrafficOptimizer term 0 then accept user@R2# set filter SteerDstTrafficOptimizer term 1 from destination-address 10.0.0.0/24 user@R2# set filter SteerDstTrafficOptimizer term 1 then next-ip 192.168.0.2 routing-instance VR2 user@R2# set filter SteerDstTrafficOptimizer term 2 from destination-address 10.0.0.0/8 user@R2# set filter SteerDstTrafficOptimizer term 2 then accept
라우팅 정책 구성
[edit policy-options policy-statement AcceptExternal term 1] user@R2# set from route-type external user@R2# set term 1 then accept
결과
구성 모드에서 show interfaces, show firewall 및 show protocols 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
user@R2# show interfaces
ge-1/0/0 {
unit 0 {
family inet {
filter {
input SteerDstTrafficOptimizer;
}
address 192.168.40.1/24;
}
}
}
ge-1/0/8 {
unit 0 {
family inet {
filter {
input SteerSrcTrafficOptimizer;
}
address 192.168.10.2/24;
}
}
}
ge-1/1/0 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.30.1/24;
}
}
}
ge-1/3/8 {
unit 0 {
family inet {
address 192.168.20.2/24;
}
}
}
ge-1/3/9 {
unit 0 {
family inet {
address 192.168.30.2/24;
}
}
}
user@R2# show firewall
family inet {
filter SteerSrcTrafficOptimizer {
term 0 {
from {
source-address {
192.168.10.0/24;
}
}
then accept;
}
term 1 {
from {
source-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.3/32 routing-instance VR1;
}
}
term 2 {
from {
source-address {
10.0.0.0/8;
}
}
then accept;
}
}
filter SteerDstTrafficOptimizer {
term 0 {
from {
source-address {
192.168.40.0/24;
}
}
then accept;
}
term 1 {
from {
destination-address {
10.0.0.0/24;
}
}
then {
next-ip 192.168.0.2/32 routing-instance VR2;
}
}
term 2 {
from {
destination-address {
10.0.0.0/8;
}
}
then accept;
}
}
}
user@R2# show policy-options
policy-statement AcceptExternal {
term 1 {
from route-type external;
then accept;
}
}
user@R2# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-1/0/8.0;
interface ge-1/1/0.0;
interface ge-1/1/1.0;
routing-options {
static {
route 192.168.0.3/32 {
next-hop 192.168.20.2;
qualified-next-hop 192.168.30.2 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.10.1 {
peer-as 64501;
}
}
group iBGP {
neighbor 192.168.30.2 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
VR2 {
instance-type virtual-router;
interface ge-1/0/0.0;
interface ge-1/3/8.0;
interface ge-1/3/9.0;
routing-options {
static {
route 192.168.0.2/32 {
next-hop 192.168.20.1;
qualified-next-hop 192.168.30.1 {
metric 100;
}
}
}
autonomous-system 64502;
}
protocols {
bgp {
group eBGP {
neighbor 192.168.40.2 {
peer-as 64503;
}
}
group iBGP {
neighbor 192.168.30.1 {
export NextHopSelf;
peer-as 64502;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
사용된 경로 확인
목적
디바이스 R1에서 디바이스 R3으로 트래픽을 전송할 때 예상 경로가 사용되는지 확인합니다.
작업
디바이스 R1에서 링크 장애 전후의 명령을 입력합니다 traceroute
트래픽 옵티마이저가 실패하기 전에
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.519 ms 0.403 ms 0.380 ms 2 192.168.20.2 (192.168.20.2) 0.404 ms 0.933 ms 0.402 m0 3 10.11.0.1 (10.11.0.1) 0.709 ms 0.656 ms 0.644 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.524 ms 0.396 ms 0.380 ms 2 192.168.30.2 (192.168.30.2) 0.412 ms 0.410 ms 0.911 ms 3 10.11.0.1 (10.11.0.1) 0.721 ms 0.639 ms 0.659 ms
트래픽 옵티마이저 실패 후
user@R1> traceroute 10.11.0.1 source 10.0.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.0.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.506 ms 0.400 ms 0.378 ms 2 192.168.30.2 (192.168.30.2) 0.433 ms 0.550 ms 0.415 ms 3 10.11.0.1 (10.11.0.1) 0.723 ms 0.638 ms 0.638 ms
user@R1> traceroute 10.11.0.1 source 10.1.0.1 traceroute to 10.11.0.1 (10.11.0.1) from 10.1.0.1, 30 hops max, 40 byte packets 1 192.168.10.2 (192.168.10.2) 0.539 ms 0.411 ms 0.769 ms 2 192.168.30.2 (192.168.30.2) 0.426 ms 0.413 ms 2.429 ms 3 10.11.0.1 (10.11.0.1) 10.868 ms 0.662 ms 0.647 ms
의미
출력은 명령에 사용된 소스 주소에 따라 두 번째 홉이 변경됨을 traceroute 보여줍니다.
이 기능을 확인하기 위해 디바이스 R1에서 디바이스 R3으로 경로 추적 작업이 수행됩니다. 소스 IP 주소가 10.0.0.1인 경우, 패킷은 디바이스 R2의 ge-1/1/0.0 인터페이스로 전달됩니다. 소스 IP 주소가 10.1.0.1이면 패킷은 디바이스 R2의 ge-1/1/1.0 인터페이스로 전달됩니다.
ge-1/1/0과 ge-1/3/8 간의 링크가 실패하면 소스 IP 주소가 10.0.0.1인 패킷은 디바이스 R2의 ge-1/1/1.0 인터페이스로 전달됩니다.