配置转发表过滤器
转发表过滤器的定义与其他防火墙过滤器相同,但应用方式不同:
您无需将转发表过滤器应用于接口,而是将其应用于转发表,每个转发表都与路由实例和虚拟专用网络 (VPN) 相关联。
默认情况下,您可以仅应用输入转发表筛选器,而不是应用输入和输出筛选器。
所有数据包都受适用于转发表的输入转发表过滤器的约束。转发表过滤器控制路由器接受哪些数据包,然后对转发表执行查找,从而控制路由器在接口上转发哪些数据包。
当路由器收到数据包时,它会通过查看转发表来确定到达最终目的地的最佳路由,转发表与要发送数据包的 VPN 相关联。然后,路由器通过相应的接口将数据包转发到其目的地。
对于通过隧道从路由器退出的传输数据包,您配置为隧道流量输出接口的接口不支持转发表过滤。
转发表过滤器允许您根据数据包的组件过滤数据包,并对与过滤器匹配的数据包执行操作;它本质上控制路由器接受和转发哪些承载数据包。要配置转发表过滤器,请在层次结构级别包含 firewall 语句 [edit] :
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name 是家庭地址类型:IPv4 (inet)、IPv6 (inet6)、第 2 层流量 (bridge) 或 MPLS (mpls)。
term-name 是在其中定义匹配条件和操作的命名结构。
match-conditions 是比较承载数据包的标准;例如,源设备或目标设备的 IP 地址。您可以在匹配条件中指定多个条件。
action 指定如果数据包符合所有条件时会发生什么情况;例如,网关GPRS支持节点(GGSN)接受承载报文,在转发表中进行查找,并将报文转发到目的地;丢弃数据包;并丢弃数据包并返回拒绝消息。
action-modifiers 是在所有条件都匹配时,除了 GGSN 接受或丢弃数据包之外执行的操作;例如,计算数据包数和记录数据包。
要创建转发表,请在层次结构级别包含instance-type[edit routing-instances instance-name]带有选项的forwarding语句:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
要将转发表过滤器应用于 VPN 路由和转发 (VRF) 表,请在层次结构级别包含 filter and input 语句 [edit routing-instance instance-name forwarding-options family family-name] :
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
要将转发表过滤器应用于转发表,请在层次结构级别包含 filter and input 语句 [edit forwarding-options family family-name] :
[edit forwarding-options family family-name]
filter {
input filter-name;
}
要将转发表过滤器应用于不与特定路由实例关联的默认转发表inet.0,请在层次结构级别包含 filter[edit forwarding-options family inet] and input 语句:
[edit forwarding-options family inet]
filter {
input filter-name;
}