路由实例基于过滤器的转发

您可以在路由实例中使用无状态防火墙过滤器，来控制数据包在网络中如何传输 IPv4 和 IPv6 流量。这称为基于过滤器的转发。

您可以定义一个防火墙过滤术语，用于将匹配的数据包定向到指定的路由实例。这种类型的过滤可配置为在流量继续通过其路径之前，通过防火墙或其他安全设备路由特定类型的流量。要配置无状态 防火墙过滤器 以将流量定向到路由实例，请在层次结构级别配置带有 routing-instance routing-instance-name 终止操作 [edit firewall family <inet | inet6>] 的术语，以指定将匹配数据包转发到的路由实例。您可以将转发表过滤器应用于转发类型的路由实例，也可以应用于默认路由实例 inet.0。要配置过滤器以将流量定向到主路由实例，请在 routing-instance default 层次结构级别使用语句 [edit firewall family <inet | inet6>] 。

以下限制适用于在路由实例上配置的基于过滤器的转发表：

• 当过滤术语包含 routing-instance routing-instance-name 终止操作时，您无法在防火墙过滤术语中配置以下任何操作：

  • count counter-name

  • discard

  • forwarding-class class-name

  • log

  • loss-priority (high | medium-high | low)

  • policer policer-name

  • port-mirror

  • reject message-type

  • syslog

  • three-color-policer (single-rate | two-rate) policer-name

• 您不能在 fragment-flags number 过滤器术语中配置匹配条件。

• 您不能附加默认或特定于物理接口的过滤器。

• 您不能将过滤器连接到路由实例的出口方向。

• 基于 IPv6 过滤器的转发不支持以下 L4 匹配项：

  • 源端口

  • 目标端口

  • icmp 类型

  • icmp 代码

尽管您可以配置数据包从一个 VRF 转发到另一个 VRF，但无法配置从 VRF 到全局路由实例的转发。

支持的最大路由实例数为 64，与支持的最大虚拟路由器数相同。不支持将数据包转发到全局表（默认 VRF）基于过滤器的转发。