应用转发表过滤器

转发表过滤器允许您根据数据包的组件过滤数据包，并对与过滤器匹配的数据包执行操作。您可以对转发表的入口或出口数据包应用过滤器。您可以在层次结构级别配置过滤器 [edit firewall family family-name] ;有关更多信息，请参阅 配置转发表过滤器。

要对转发表的入口数据包应用转发表过滤器，请在层次结构级别包括 过滤器 和 input 语句 [edit forwarding-options family family-name] ：

您可以通过对转发表出口数据包应用防火墙过滤器，根据目标类信息进行过滤。通过将防火墙过滤器应用于路由表转发的数据包，您可以根据路由查找确定的某些参数进行匹配。例如，可以将路由分类为特定的目标类和源类。用于监管和镜像的防火墙过滤器能够基于这些类进行匹配。

要对转发表出口数据包应用防火墙过滤器，请在层次结构级别包括 过滤器 和 output 语句 [edit forwarding-options family family-name] ：

注意：

如果您还使用出口转发表过滤器，则不能具有包含匹配条件的 interface-group 防火墙过滤器。这是因为 interface-group 匹配条件使用接收数据包的逻辑接口来匹配接口组（或接口组集），而转发表过滤器仅适用于本地主机流量和传输数据包。

要将转发表过滤器应用于泛洪表，请在层次结构级别包含 泛洪 和 input 语句 [edit forwarding-options family family-name] ，如下所示。该 flood 语句仅对 vpls 协议家族有效。

仅在 MX 系列路由器上，要为虚拟交换机应用转发表筛选器，请在层次结构级别包含 筛选器 和 input 语句 [edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options] ：

有关如何配置虚拟交换机的详细信息，请参阅 Junos OS 路由设备的第 2 层交换和桥接库。

在 MX 系列 3D 通用边缘路由器上，您可以使用层次结构级别的语句[edit forwarding-options family inet6]应用soure-checking转发表过滤器：

当源地址类型未指定、环回、组播或链路本地时，这将丢弃 IPv6 数据包。

RFC 4291，IP 版本 6 寻址体系结构，指的是四种地址类型，当它们用作源地址时需要特殊处理。这四种地址类型是：

• 未指定

• 卢帕克

• 组 播

• 链路本地单播

环路和组播地址绝不能用作 IPv6 数据包中的源地址。未指定地址和链路本地地址可用作源地址，但路由器绝不能转发将这些地址作为源地址的数据包。通常，包含未指定地址或链路本地地址作为源地址的数据包将传递到本地主机。如果目标不是本地主机，则不得转发数据包。配置此语句会过滤或丢弃这四种地址类型的 IPv6 数据包。

注意：

对于 T4000 以外的 T 系列路由器，转发表转发的数据包将到达出口转发表过滤器，而不管转发表是否实际转发了数据包。即使路由指向拒绝或丢弃下一跃点，数据包也会到达出口过滤器。

在 T4000 5 类灵活 PIC 集中器 （FPC） 上，数据包只有在转发表转发时才会到达出口过滤器。

注意：

出口转发表过滤器应用于 FPC 的入口接口。如果发往同一目标的不同数据包到达不同的 FPC 上，则它们可能会遇到不同的监管器。

注意：

在版本 14.2 及更早版本中，J 系列服务路由器不支持出口转发表过滤器。

注意：

在 Junos OS 8.4 及更高版本中，您无法再为 VPLS 配置此输出语句。您可以继续在层次结构级别使用 [edit forwarding-options family vpls filter] 输入语句配置入口转发表过滤器。