基于过滤器的转发概述
防火墙过滤器可用于阻止特定数据包。它们还可用于影响特定数据包的转发方式。
对数据包进行分类或将数据包定向到路由实例的过滤器
仅对于 IPv4 或 IPv6 流量,您可以将无状态防火墙过滤器与转发类和路由实例结合使用,以控制数据包在网络中的传输方式。这称为 基于过滤器的转发 (FBF)。
您可以定义一个过滤术语,根据源地址匹配传入数据包,然后将匹配的数据包分类为指定的转发类。可以配置这种类型的过滤来授予某些类型的流量优惠处理或改善负载平衡。要配置无状态防火墙过滤器以将数据包分类为转发类,请使用非终止操作forwarding-class class-name配置术语。
您还可以定义一个过滤术语,用于将匹配数据包定向到指定的路由实例。可以将这种类型的过滤配置为在流量继续沿其路径继续之前,通过防火墙或其他安全设备路由特定类型的流量。要配置无状态防火墙过滤器以将流量定向到路由实例,请使用终止操作routing-instance routing-instance-name <topology topology-name>配置一个术语,以指定匹配数据包转发到的路由实例。
单播反向路径转发 (uRPF) 检查与 FBF 操作兼容。在为静态和动态接口启用任何 FBF 操作之前,将处理源地址检查的 uRPF 检查。这同时适用于 IPv4 和 IPv6 系列。
使用 FBF 转发的数据包不会跟随服务卸载 (SOF) 和电源模式 IPsec (PMI) 路径。
-
SOF - 即使启用了 SOF,如果使用 FBF 转发数据包,它们也不会通过 SOF。
-
PMI - 如果配置了 PMI,则过滤器的配置方向,则该方向上的数据包将不会通过 PMI。返回的数据包将通过 PMI,前提是返回的数据包不使用 FBF 转发。
当执行从一台设备到另一台设备的追踪路由时,配置了基于策略的路由的 ACX7K(Junos OS 演化版)设备正在传输路径中,则在追踪结果中观察到重复跃点。
要将流量转发到主路由实例,请参考 routing-instance default 防火墙配置,如下所示:
[edit firewall]
family inet {
filter test {
term 1 {
then {
routing-instance default;
}
}
}
}
不引用 routing-instance master。这是行不通的。
输入过滤,用于在路由器或交换机内对数据包进行分类和转发
您可以通过在入口接口上配置过滤器,配置过滤器以根据源地址对数据包进行分类,并指定数据包在路由器或交换机内的转发路径。
例如,您可以对应用程序使用此过滤器来区分来自具有公共接入层(例如,第 2 层 交换机)但连接到不同互联网服务提供商 (ISP) 的两个客户端的流量。应用过滤器后,路由器或交换机可以区分这两个流量流,并将每个流量流定向到相应的网络。根据客户端使用的介质类型,过滤器可以使用源 IP 地址通过隧道将流量转发到相应的网络。您还可以配置过滤器,以根据 IP 协议类型或 IP 优先位对数据包进行分类。
输出过滤,用于将数据包转发到另一个路由表
您还可以通过在出口接口上配置过滤器,根据输出过滤器转发数据包。在 端口镜像的情况下,可以根据数据包标头中的模式将端口镜像数据包分发到多个监控 PIC 和集合 PIC 很有用。必须在端口镜像出口接口上配置 FBF。
当在出口接口上配置 FBF 过滤器时,转发到输出过滤器的数据包至少经过一次路由查找。FBF 过滤器在出口接口对数据包进行分类后,数据包将被重定向到另一个路由表以进行进一步的路由查找。
应用基于过滤器的转发的限制
配置了基于过滤器的转发 的接口不支持源类使用 (SCU) 过滤器匹配或源类和目标类使用 (SCU/DCU) 核算。
如果基于过滤器的转发直接连接到接口或通过转发表过滤器连接,则该接口上的 DCU 将不起作用。