配置转发表过滤器
转发表过滤器的定义与其他防火墙过滤器相同,但您的应用方式不同:
您无需将转发表过滤器应用于接口,而是将其应用于转发表,每个表都与一个路由实例和一个虚拟专用网络(VPN)相关联。
不是应用输入和输出过滤器默认情况下,您只能应用输入转发表过滤器。
所有数据包都通过应用于转发表的输入转发表过滤器。转发表过滤器控制路由器接受哪些数据包,然后执行转发表查找,从而控制路由器在接口上转发哪些数据包。
当路由器接收到数据包时,通过查看转发表来确定到达最终目的地的最佳路由,此路径与要发送数据包的 VPN 相关联。然后,路由器通过适当的接口向目的地转发数据包。
对于通过通道退出路由器的传输数据包,配置为通道信息流输出接口的接口上不支持转发表过滤。
转发表过滤器允许您根据其组件过滤数据包,并对与过滤器匹配的数据包执行操作。它实质上控制路由器接受和转发哪些载荷数据包。要配置转发表过滤器,请将firewall语句包含在[edit]层次结构级别:
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name 是系列地址类型:IPv4 ( inet )、IPv6 ( )、第 2 层流量 inet6 ( ) 或 MPLS ( bridgempls )。
term-name 是定义了匹配条件和操作的命名结构。
match-conditions 是对载荷数据包进行比较的标准;例如,源设备或目标设备的 IP 地址。您可以在匹配条件中指定多个条件。
action 指定当数据包符合所有标准时将执行的操作;例如,网关 GPRS 支持节点(GGSN)接受载荷数据包,在转发表中执行查找,并将数据包转发到目的地;丢弃数据包;丢弃数据包并返回拒绝消息。
action-modifiers 除了在所有条件匹配时 GGSN 接受或丢弃数据包之外,还将执行一些操作;例如,计算数据包和记录数据包的计数。
要创建转发表,请包含 instance-type 语句 forwarding 以及 层级的 [edit routing-instances instance-name] 选项:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
要向 VPN 路由和转发 (VRF) 表应用转发表过滤器,请包括 层次结构级别的 和 filterinput[edit routing-instance instance-name forwarding-options family family-name] 语句:
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
要向转发表应用转发表过滤器,请包含 层次结构级别的 和 filterinput[edit forwarding-options family family-name] 语句:
[edit forwarding-options family family-name]
filter {
input filter-name;
}
要向默认转发表(并非与特定路由实例相关联)应用转发表过滤器,请包括 层次结构级别的 inet.0filter 和 input[edit forwarding-options family inet] 语句:
[edit forwarding-options family inet]
filter {
input filter-name;
}