使用基于过滤器的转发选择要保护的流量
您还可以使用基于过滤器的转发实例,将流量转发到 IPsec 安全关联中,而不是使用防火墙过滤器。首先,配置基于过滤器的转发实例。然后,配置路由表组,以从基于过滤器的转发实例播发路由。接下来,为 ES PIC 创建防火墙过滤器并引用基于过滤器的转发实例。最后,将筛选器和 IPsec 安全关联应用于 ES PIC。
[edit]
routing-instances {
forwarding {
instance-type forwarding;
routing-options {
static {
route 10.10.10.0/24 next-hop 192.168.0.5;
}
}
}
}
routing-options {
rib-groups {
group-name {
import-rib [ inet.0 forwarding.inet.0 ];
}
}
}
firewall {
family inet {
filter filter-name {
term term-name {
then routing-instance instance-name;
}
}
}
}
[edit]
interfaces {
es-0/0/0 {
unit 0 {
tunnel {
source source-ip-address;
destination destination-ip-address;
}
family inet {
ipsec-sa sa-name;
filter {
input filter-name;
}
address ip-address;
}
}
}
}