Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Weiterleitungstabellenfiltern

Weiterleitungstabellenfilter sind genauso definiert wie andere Firewallfilter, wenden sie jedoch unterschiedlich an:

  • Anstatt Weiterleitungstabellenfilter auf Schnittstellen anzuwenden, wenden Sie sie auf Weiterleitungstabellen an, die jeweils einer Routinginstanz und einem Virtual Private Network (VPN) zugeordnet sind.

  • Anstatt standardmäßig Eingabe- und Ausgabefilter anzuwenden, können Sie nur einen Eingabeweiterleitungstabellenfilter anwenden.

Alle Pakete werden dem Eingabeweiterleitungstabellenfilter unterzogen, der für die Weiterleitungstabelle gilt. Ein Weiterleitungstabellenfilter steuert, welche Pakete der Router akzeptiert, und führt dann eine Suche nach der Weiterleitungstabelle durch, wodurch gesteuert wird, welche Pakete der Router an die Schnittstellen weiterleitet.

Wenn der Router ein Paket empfängt, ermittelt er die beste Route zum endgültigen Ziel, indem er in einer Weiterleitungstabelle nachsieht, die dem VPN zugeordnet ist, über das das Paket gesendet werden soll. Der Router leitet das Paket dann über die entsprechende Schnittstelle an sein Ziel weiter.

HINWEIS:

Bei Transitpaketen, die den Router über den Tunnel verlassen, wird die Filterung von Weiterleitungstabellen auf den Schnittstellen, die Sie als Ausgabeschnittstelle für Tunneldatenverkehr konfigurieren, nicht unterstützt.

Mit einem Weiterleitungstabellenfilter können Sie Datenpakete basierend auf ihren Komponenten filtern und eine Aktion für Pakete ausführen, die dem Filter entsprechen. Er steuert im Wesentlichen, welche Trägerpakete der Router akzeptiert und weiterleitet. Um einen Weiterleitungstabellenfilter zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein:firewall[edit]

family-name ist der Familienadresstyp: IPv4 (), IPv6 (), Layer-2-Datenverkehr () oder MPLS ().inetinet6bridgempls

term-name ist eine benannte Struktur, in der Übereinstimmungsbedingungen und -aktionen definiert werden.

match-conditions sind die Kriterien, anhand derer ein Trägerpaket verglichen wird; z. B. die IP-Adresse eines Quellgeräts oder eines Zielgeräts. Sie können mehrere Kriterien in einer Übereinstimmungsbedingung angeben.

action gibt an, was passiert, wenn ein Paket alle Kriterien erfüllt; zum Beispiel der Gateway GPRS Support Node (GGSN), der das Trägerpaket akzeptiert, eine Suche in der Weiterleitungstabelle durchführt und das Paket an sein Ziel weiterleitet; Verwerfen des Pakets; und das Paket wird verworfen und eine Ablehnungsnachricht zurückgegeben.

action-modifiers sind Aktionen, die zusätzlich zum Akzeptieren oder Verwerfen eines Pakets durch das GGSN ausgeführt werden, wenn alle Kriterien erfüllt sind; Zum Beispiel das Zählen der Pakete und das Protokollieren eines Pakets.

Um eine Weiterleitungstabelle zu erstellen, fügen Sie die Anweisung mit der Option auf Hierarchieebene ein:instance-typeforwarding[edit routing-instances instance-name]

Um einen Weiterleitungstabellenfilter auf eine VPN-Routing- und Weiterleitungstabelle (VRF) anzuwenden, fügen Sie die und-Anweisungen auf Hierarchieebene ein:filterinput[edit routing-instance instance-name forwarding-options family family-name]

Um einen Weiterleitungstabellenfilter auf eine Weiterleitungstabelle anzuwenden, schließen Sie die und-Anweisungen auf Hierarchieebene ein:filterinput[edit forwarding-options family family-name]

Um einen Weiterleitungstabellenfilter auf die Standardweiterleitungstabelle anzuwenden, die keiner bestimmten Routinginstanz zugeordnet ist, schließen Sie die und-Anweisungen auf der Hierarchieebene ein:inet.0filterinput[edit forwarding-options family inet]