Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filterbasierte Weiterleitung für Routing-Instanzen

Sie können zustandslose Firewallfilter in Routing-Instanzen verwenden, um zu steuern, wie Pakete in einem Netzwerk für IPv4- und IPv6-Datenverkehr übertragen werden. Dies wird als filterbasierte Weiterleitung bezeichnet.

Sie können einen Firewallfilterbegriff definieren, der übereinstimmende Pakete an eine bestimmte Routinginstanz weiterleitet. Diese Art der Filterung kann so konfiguriert werden, dass bestimmte Datenverkehrstypen durch eine Firewall oder ein anderes Sicherheitsgerät geleitet werden, bevor der Datenverkehr seinen Pfad fortsetzt. Um einen zustandslosen Firewallfilter so zu konfigurieren, dass Datenverkehr an eine Routinginstanz geleitet wird, konfigurieren Sie auf Hierarchieebene [edit firewall family <inet | inet6>] einen Begriff mit der routing-instance routing-instance-nameAbbruchaktion, um die Routinginstanz anzugeben, an die übereinstimmende Pakete weitergeleitet werden. Sie können einen Weiterleitungstabellenfilter auf eine Routinginstanz vom Typ Weiterleitung und auch auf die Standard-Routinginstanz inet.0anwenden. Um den Filter so zu konfigurieren, dass Datenverkehr an die Master-Routing-Instanz geleitet wird, verwenden Sie die routing-instance default Anweisung auf Hierarchieebene [edit firewall family <inet | inet6>] .

Die folgenden Einschränkungen gelten für filterbasierte Weiterleitungstabelle, die auf Routing-Instanzen konfiguriert ist:

  • Sie können keine der folgenden Aktionen in einem Firewallfilterbegriff konfigurieren, wenn der Filterbegriff die beendende routing-instance routing-instance-name Aktion enthält:

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • Sie können die fragment-flags number Übereinstimmungsbedingung im Filterbegriff nicht konfigurieren.

  • Sie können keinen Filter anfügen, der entweder standardmäßig oder spezifisch für die physische Schnittstelle ist.

  • Es ist nicht möglich, einen Filter an die Ausgangsrichtung von Routing-Instanzen anzufügen.

  • Die filterbasierte IPv6-Weiterleitung unterstützt die folgenden L4-Übereinstimmungen nicht:

    • Quell-Port

    • Zielhafen

    • ICMP-Typ

    • ICMP-Code

Obwohl Sie die Weiterleitung von Paketen von einer VRF zu einer anderen VRF konfigurieren können, können Sie die Weiterleitung von einer VRF an die globale Routinginstanz nicht konfigurieren.

Die maximale Anzahl der unterstützten Routing-Instanzen beträgt 64, was der maximalen Anzahl der unterstützten virtuellen Router entspricht. Das Weiterleiten von Paketen an die globale Tabelle (Standard-VRF) wird für die filterbasierte Weiterleitung nicht unterstützt.

HINWEIS:

Die filterbasierte Weiterleitung auf der Schnittstelle funktioniert nicht, wenn der Quell-MAC-Adressfilter konfiguriert ist, da der Quell-MAC-Adressfilter einen höheren Vorrang vor der filterbasierten Weiterleitung hat.

Verwandte Themen