配置转发表过滤器
转发表过滤器的定义与其他防火墙过滤器相同,但应用方式不同。不必将转发表过滤器应用于接口,而是将其应用于转发表,每个转发表都与一个路由实例和一个虚拟专用网络 (VPN) 相关联。
所有数据包都受适用于转发表的输入转发表过滤器的约束。转发表过滤器控制路由器接受哪些数据包,然后对转发表执行查找,从而控制路由器在接口上转发哪些数据包。
当路由器收到数据包时,它会通过查看与要发送数据包的 VPN 关联的转发表来确定到最终目标的最佳路由。然后,路由器通过相应接口将数据包转发到目的地。
对于通过隧道离开路由器的中转数据包,您配置为隧道流量输出接口的接口不支持转发表过滤。
转发表过滤器允许您根据数据包的组件过滤数据包,并对与过滤器匹配的数据包执行作;它本质上控制路由器接受和转发的承载数据包。要配置转发表过滤器,请在层次结构级别包含[edit]该firewall语句:
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name 是家族地址类型:IPv4 (inet)、IPv6 (inet6)、第 2 层流量(网桥)或 MPLS (MPLS)。
term-name 是定义匹配条件和作的命名结构。
match-conditions 是比较承载数据包的标准;例如,源设备或目标设备的 IP 地址。您可以在匹配条件中指定多个条件。
action 指定如果数据包与所有条件匹配时会发生什么情况;例如,网关GPRS支持节点(GGSN)接受承载数据包,在转发表中进行查找,并将数据包转发到目的地;丢弃数据包;以及丢弃数据包并返回拒绝消息。
action-modifiers 是指在所有条件匹配时,除了 GGSN 接受或丢弃数据包之外还执行的作;例如,对数据包进行计数和记录数据包。
要创建转发表,请在instance-type层次结构级别包含[edit routing-instances instance-name]带有转发选项的语句:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
要将转发表过滤器应用于 VPN 路由和转发 (VRF) 表,请在层次结构级别包括[edit routing-instance instance-name forwarding-options family family-name]过滤器和input语句:
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
要将转发表过滤器应用于转发表,请在层次结构级别包括[edit forwarding-options family family-name]过滤器和input语句:
[edit forwarding-options family family-name]
filter {
input filter-name;
}
要将转发表过滤器应用于与特定路由实例无关的默认转发表 inet.0,请在层次结构级别包括[edit forwarding-options family inet]过滤器和input语句:
[edit forwarding-options family inet]
filter {
input filter-name;
}