Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral de encaminhamento com base em filtros

Os filtros de firewall podem ser usados para bloquear pacotes específicos. Eles também podem ser usados para afetar a forma como os pacotes específicos são encaminhados.

Filtros que classificam pacotes ou os direcionam para instâncias de roteamento

Somente para tráfego IPv4 ou IPv6 , você pode usar filtros de firewall stateless em conjunto com aulas de encaminhamento e instâncias de roteamento para controlar como os pacotes viajam em uma rede. Isso é chamado de encaminhamento baseado em filtro (FBF).

Você pode definir um termo de filtragem que corresponde a pacotes de entrada com base no endereço de origem e, em seguida, classifica pacotes correspondentes a uma classe de encaminhamento especificada. Esse tipo de filtragem pode ser configurada para conceder determinados tipos de tratamento preferencial de tráfego ou melhorar o balanceamento de carga. Para configurar um filtro de firewall sem estado para classificar pacotes para uma classe de encaminhamento, configure um termo com a ação não centralizante forwarding-class class-name.

Você também pode definir um termo de filtragem que direciona pacotes correspondentes para uma instância de roteamento especificada. Esse tipo de filtragem pode ser configurada para rotear tipos específicos de tráfego por meio de um firewall ou outro dispositivo de segurança antes que o tráfego continue em seu caminho. Para configurar um filtro de firewall sem estado para direcionar o tráfego para uma instância de roteamento, configure um termo com a ação terminante routing-instance routing-instance-name <topology topology-name> para especificar a instância de roteamento à qual os pacotes correspondentes serão encaminhados.

Nota:

A verificação do caminho reverso (uRPF) da Unicast é compatível com as ações da FBF. A verificação do uRPF é processada para verificação de endereços de origem antes que qualquer ação da FBF seja habilitada para interfaces estáticas e dinâmicas. Isso se aplica às famílias IPv4 e IPv6.

Nota:

O caminho de descarregamento de serviços (SOF) e Ipsec do modo de energia (PMI) não será seguido pelos pacotes que são encaminhados com a FBF.

  • SOF — Mesmo que o SOF esteja habilitado, os pacotes não passarão pelo SOF se forem encaminhados à FBF.

  • PMI - Se o PMI estiver configurado, a direção para a qual o filtro está configurado, os pacotes nessa direção não passarão pelo PMI. Os pacotes de retorno passarão pelo PMI, desde que os pacotes de devolução não sejam encaminhados à FBF.

Para encaminhar o tráfego para a instância de roteamento mestre, consulte routing-instance default a configuração do firewall, conforme mostrado aqui:

Nota:

Não faça referência routing-instance master. Isso não funciona.

Filtragem de entrada para classificar e encaminhar pacotes dentro do roteador ou switch

Você pode configurar filtros para classificar pacotes com base no endereço fonte e especificar o caminho de encaminhamento que os pacotes fazem dentro do roteador ou switch configurando um filtro na interface de entrada.

Por exemplo, você pode usar esse filtro para aplicativos para diferenciar o tráfego de dois clientes que têm uma camada de acesso comum (por exemplo, um switch de Camada 2), mas estão conectados a diferentes provedores de serviços de Internet (ISPs). Quando o filtro é aplicado, o roteador ou switch pode diferenciar os dois fluxos de tráfego e direcionar cada um para a rede apropriada. Dependendo do tipo de mídia que o cliente está usando, o filtro pode usar o endereço IP de origem para encaminhar o tráfego para a rede correspondente por meio de um túnel. Você também pode configurar filtros para classificar pacotes com base no tipo de protocolo IP ou bits de precedência ip.

Filtragem de saída para encaminhar pacotes para outra tabela de roteamento

Você também pode encaminhar pacotes com base em filtros de saída configurando um filtro nas interfaces de saída. No caso do espelhamento de portas, é útil que pacotes espelhados por porta sejam distribuídos a vários PICs de monitoramento e PICs de coleta com base em padrões em cabeçalhos de pacotes. A FBF na interface de saída com espelhamento de porta deve ser configurada.

Os pacotes encaminhados ao filtro de saída passaram por pelo menos uma pesquisa de rota quando um filtro FBF é configurado na interface de saída. Depois que o pacote é classificado na interface de saída pelo filtro FBF, ele é redirecionado para outra tabela de roteamento para uma nova pesquisa de rota.

Restrições para a aplicação de encaminhamento baseado em filtro

Uma interface configurada com encaminhamento baseado em filtro não oferece suporte à correspondência de filtros de classe fonte (SCU) ou à contabilidade de classe fonte e de classe de destino (SCU/DCU).

Se o encaminhamento baseado em filtro estiver diretamente conectado a uma interface ou através do filtro de tabela de encaminhamento, a DCU nessa interface não funcionará.