路由实例基于过滤器的转发

您可以在路由实例中使用无状态防火墙过滤器来控制数据包在网络中传输 IPv4 和 IPv6 流量的方式。这称为基于过滤器的转发。

您可以定义防火墙过滤术语，用于将匹配的数据包定向到指定的路由实例。这种类型的过滤可以配置为在流量继续沿其路径前进之前，通过防火墙或其他安全设备路由特定类型的流量。要配置无状态防火墙过滤器以将流量定向到路由实例，请在层次结构级别配置[edit firewall family <inet | inet6>]具有终止操作的routing-instance routing-instance-name术语，以指定匹配数据包将转发到的路由实例。您可以将转发表过滤器应用于 转发 类型的路由实例，也可以应用于默认路由实例 inet.0。要将过滤器配置为将流量定向到主路由实例，请在层次结构级别使用该 routing-instance default[edit firewall family <inet | inet6>]语句。

以下限制适用于在路由实例上配置的基于过滤器的转发表：

• 当防火墙过滤术语包含终止操作时， routing-instance routing-instance-name 您无法在防火墙过滤术语中配置以下任何操作：

  • count counter-name

  • discard

  • forwarding-class class-name

  • log

  • loss-priority (high | medium-high | low)

  • policer policer-name

  • port-mirror

  • reject message-type

  • syslog

  • three-color-policer (single-rate | two-rate) policer-name

• 您无法在筛选条件中配置 fragment-flags number 匹配条件。

• 您无法附加默认过滤器或特定于物理接口的过滤器。

• 您无法将过滤器附加到路由实例的出口方向。

• 基于 IPv6 过滤器的转发不支持以下 L4 匹配：

  • 源端口

  • 目标端口

  • ICMP 类型

  • ICMP 代码

尽管您可以配置从一个 VRF 到另一个 VRF 的数据包转发，但无法配置从 VRF 到全局路由实例的转发。

支持的最大路由实例数为 64，与支持的最大虚拟路由器数相同。基于过滤器的转发不支持将数据包转发到全局表（默认 VRF）。