路由实例的基于过滤器的转发

您可以在路由实例中使用无状态防火墙过滤器来控制数据包在网络中如何在 IPv4 和 IPv6 信息流中传输。这称为基于过滤器的转发。

您可以定义防火墙过滤术语，将匹配数据包定向到指定的路由实例。此类过滤可配置为在流量在其路径上继续运行之前，通过防火墙或其他安全设备路由特定类型的信息流。要将无状态防火墙过滤器配置为将信息流定向到路由实例，请使用routing-instance routing-instance-name[edit firewall family <inet | inet6>]层次结构级别的终止操作配置一个术语，以指定将匹配数据包转发到的路由实例。您可以将转发表过滤器应用于转发类型的路由实例，同时也适用于默认路由实例inet.0。要将过滤器配置为将信息流定向到主路由实例，请使用 routing-instance default[edit firewall family <inet | inet6>]层次结构级别上的语句。

以下限制适用于在路由实例上配置的基于过滤器的转发表：

• 当过滤术语包含routing-instance routing-instance-name终止操作时，您不能在防火墙过滤术语中配置以下任何操作：

  • count counter-name

  • discard

  • forwarding-class class-name

  • log

  • loss-priority (high | medium-high | low)

  • policer policer-name

  • port-mirror

  • reject message-type

  • syslog

  • three-color-policer (single-rate | two-rate) policer-name

• 您不能在fragment-flags number过滤器术语中配置匹配条件。

• 不能附加默认或物理接口特定的过滤器。

• 不能将过滤器附加到路由实例的出口方向。

• 基于 IPv6 过滤器的转发不支持以下 L4 匹配：

  • 源端口

  • 目标端口

  • icmp 类型

  • icmp-代码

尽管您可以配置将数据包从一个 VRF 转发到另一个 VRF，但不能将 VRF 配置为全局路由实例。

支持的路由实例的最大数量为64，这与支持的最大虚拟路由器数相同。基于过滤器的转发不支持将数据包转发至全局表（默认 VRF）。