基于过滤器的转发概述

对数据包进行分类或将其定向到路由实例的过滤器

仅对于 IPv4 或 IPv6 流量，您可以将无状态防火墙过滤器与转发类和路由实例结合使用，以控制数据包在网络中的传输方式。这称为 基于过滤器的转发 （FBF）。

您可以定义一个过滤术语，该术语根据源地址匹配传入数据包，然后将匹配的数据包分类为指定的转发类。这种类型的过滤可以配置为授予某些类型的流量优惠待遇或改善负载平衡。要配置无状态防火墙过滤器 forwarding-class class-name以将数据包分类为转发类，请配置具有非终止操作的术语。

您还可以定义一个过滤术语，用于将匹配的数据包定向到指定的路由实例。这种类型的过滤可以配置为在流量继续沿其路径前进之前，通过防火墙或其他安全设备路由特定类型的流量。要配置无状态防火墙过滤器以将流量定向到路由实例，请配置一个具有终止操作的术语，以指定匹配数据包将转发到的路由实例。routing-instance routing-instance-name <topology topology-name>

注：

单播反向路径转发 （uRPF） 检查与 FBF 操作兼容。在为静态和动态接口启用任何 FBF 操作之前，将处理 uRPF 检查以进行源地址检查。这适用于 IPv4 和 IPv6 系列。

注：

使用 FBF 转发的数据包将不会遵循服务卸载 （SOF） 和电源模式 IPsec （PMI） 路径。

• SOF - 即使启用了 SOF，如果数据包使用 FBF 转发，也不会通过 SOF。

• PMI - 如果配置了 PMI（过滤器的配置方向），则该方向上的数据包将不会通过 PMI。返回的数据包将通过 PMI，前提是返回的数据包未使用 FBF 转发。

要将流量转发到主路由实例， 请参考防火墙配置，如下所示：routing-instance default

注：

不要引用 。routing-instance master 这行不通。

输入过滤，用于对路由器或交换机内的数据包进行分类和转发

您可以配置过滤器以根据源地址对数据包进行分类，并通过在入口接口上配置过滤器来指定数据包在路由器或交换机内的转发路径。

例如，您可以将此过滤器用于应用程序，以区分来自具有公共接入层（例如，第 2 层交换机）但连接到不同 Internet 服务提供商 （ISP） 的两个客户端的流量。应用过滤器后，路由器或交换机可以区分两个流量流，并将每个流量流定向到相应的网络。根据客户端使用的媒体类型，过滤器可以使用源 IP 地址通过隧道将流量转发到相应的网络。您还可以配置过滤器，以根据 IP 协议类型或 IP 优先级位对数据包进行分类。

输出过滤以将数据包转发到另一个路由表

您还可以通过在出口接口上配置过滤器，根据输出过滤器转发数据包。在端口镜像的情况下，将 端口镜像的数据包分发到多个监控 PIC，并根据数据包标头中的模式收集 PIC 非常有用。必须在端口镜像出口接口上配置 FBF。

在出口接口上配置 FBF 过滤器时，转发到输出过滤器的数据包至少经过一次路由查找。FBF 过滤器在出口接口对数据包进行分类后，会将其重定向到另一个路由表以进行进一步的路由查找。

应用基于过滤器的转发的限制

配置了基于过滤器的转发的接口不支持源类使用情况 （SCU） 过滤器匹配或源类和目标类使用情况 （SCU/DCU） 计费。

如果基于过滤器的转发直接连接到接口或通过转发表过滤器连接到接口，则该接口上的 DCU 将不起作用。