配置转发表过滤器
转发表过滤器与其他防火墙过滤器的定义相同,但应用方式不同:
您无需将转发表过滤器应用于接口,而是将其应用于转发表,每个转发表都与路由实例和虚拟专用网络 (VPN) 相关联。
您无需默认应用输入和输出过滤器,而是只能应用输入转发表过滤器。
所有数据包都受适用于转发表的输入转发表过滤器的约束。转发表过滤器控制路由器接受哪些数据包,然后执行转发表查找,从而控制接口上的路由器转发数据包。
当路由器收到数据包时,它会通过转发表来确定最终目标的最佳路由,该转发表与要发送数据包的 VPN 相关联。然后路由器通过相应的接口将数据包转发至目标。
对于通过隧道从路由器退出的传输数据包,在您配置为通道流量的输出接口上不支持转发表过滤。
转发表过滤器允许您根据数据包的组件进行过滤,并在与过滤器匹配的数据包上执行操作;它基本上控制路由器接受和转发的承载数据包。要配置转发表过滤器,请在层次结构级别中[edit]包含firewall语句:
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name 是族地址类型:IPv4 (inet)、IPv6 (inet6)、第 2 层流量 (bridge) 或 MPLS (mpls)。
term-name 是一种命名结构,用于定义匹配条件和操作。
match-conditions 是比较承载数据包的标准;例如源设备或目标设备的 IP 地址。您可以在匹配条件中指定多个标准。
action 指定数据包符合所有标准时会发生什么情况;例如,网关 GPRS 支持节点 (GGSN) 接受承载数据包,在转发表中执行查找,并将数据包转发至目标;丢弃数据包;并丢弃数据包并返回拒绝消息
action-modifiers 是除 GGSN 接受或丢弃数据包之外,所有标准均匹配的操作;例如,计算数据包和记录数据包。
要创建转发表,请将语句包含instance-type在层次结构级别上[edit routing-instances instance-name]有forwarding选项:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
要将转发表过滤器应用于 VPN 路由和转发 (VRF) 表,请包括filter[edit routing-instance instance-name forwarding-options family family-name]层次结构级别和input语句:
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
要将转发表过滤器应用到转发表,请在层次结构级别中[edit forwarding-options family family-name]包含filter和input语句:
[edit forwarding-options family family-name]
filter {
input filter-name;
}
要将转发表过滤器应用到与特定路由实例无关的默认转发表inet.0,请包括filter[edit forwarding-options family inet]层次结构级别和input语句:
[edit forwarding-options family inet]
filter {
input filter-name;
}