Konfigurieren von Weiterleitungstabellenfiltern
Weiterleitungstabellenfilter sind genauso definiert wie andere Firewallfilter, wenden sie jedoch unterschiedlich an:
Anstatt Weiterleitungstabellenfilter auf Schnittstellen anzuwenden, wenden Sie sie auf Weiterleitungstabellen an, die jeweils einer Routinginstanz und einem Virtual Private Network (VPN) zugeordnet sind.
Anstatt standardmäßig Eingabe- und Ausgabefilter anzuwenden, können Sie nur einen Eingabeweiterleitungstabellenfilter anwenden.
Alle Pakete werden dem Eingabeweiterleitungstabellenfilter unterzogen, der für die Weiterleitungstabelle gilt. Ein Weiterleitungstabellenfilter steuert, welche Pakete der Router akzeptiert, und führt dann eine Suche nach der Weiterleitungstabelle durch, wodurch gesteuert wird, welche Pakete der Router an die Schnittstellen weiterleitet.
Wenn der Router ein Paket empfängt, ermittelt er die beste Route zum endgültigen Ziel, indem er in einer Weiterleitungstabelle nachsieht, die dem VPN zugeordnet ist, über das das Paket gesendet werden soll. Der Router leitet das Paket dann über die entsprechende Schnittstelle an sein Ziel weiter.
Bei Transitpaketen, die den Router über den Tunnel verlassen, wird die Filterung von Weiterleitungstabellen auf den Schnittstellen, die Sie als Ausgabeschnittstelle für Tunneldatenverkehr konfigurieren, nicht unterstützt.
Mit einem Weiterleitungstabellenfilter können Sie Datenpakete basierend auf ihren Komponenten filtern und eine Aktion für Pakete ausführen, die dem Filter entsprechen. Er steuert im Wesentlichen, welche Trägerpakete der Router akzeptiert und weiterleitet. Um einen Weiterleitungstabellenfilter zu konfigurieren, fügen Sie die firewall Anweisung auf Hierarchieebene [edit] ein:
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name ist der Familienadresstyp: IPv4 (inet), IPv6 (inet6), Layer- 2-Datenverkehr (bridge) oder MPLS (mpls).
term-name ist eine benannte Struktur, in der Übereinstimmungsbedingungen und -aktionen definiert werden.
match-conditions sind die Kriterien, anhand derer ein Trägerpaket verglichen wird; z. B. die IP-Adresse eines Quellgeräts oder eines Zielgeräts. Sie können mehrere Kriterien in einer Übereinstimmungsbedingung angeben.
action gibt an, was passiert, wenn ein Paket alle Kriterien erfüllt; zum Beispiel der Gateway GPRS Support Node (GGSN), der das Trägerpaket akzeptiert, eine Suche in der Weiterleitungstabelle durchführt und das Paket an sein Ziel weiterleitet; Verwerfen des Pakets; und das Paket wird verworfen und eine Ablehnungsnachricht zurückgegeben.
action-modifiers sind Aktionen, die zusätzlich zum Akzeptieren oder Verwerfen eines Pakets durch das GGSN ausgeführt werden, wenn alle Kriterien erfüllt sind; Zum Beispiel das Zählen der Pakete und das Protokollieren eines Pakets.
Um eine Weiterleitungstabelle zu erstellen, fügen Sie die instance-type Anweisung mit der forwarding Option auf Hierarchieebene [edit routing-instances instance-name] ein:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
Um einen Weiterleitungstabellenfilter auf eine VPN-Routing- und Weiterleitungstabelle (VRF) anzuwenden, fügen Sie die filter und-Anweisungen input auf Hierarchieebene [edit routing-instance instance-name forwarding-options family family-name] ein:
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
Um einen Weiterleitungstabellenfilter auf eine Weiterleitungstabelle anzuwenden, schließen Sie die filter und-Anweisungen input auf Hierarchieebene [edit forwarding-options family family-name] ein:
[edit forwarding-options family family-name]
filter {
input filter-name;
}
Um einen Weiterleitungstabellenfilter auf die Standardweiterleitungstabelle inet.0anzuwenden, die keiner bestimmten Routinginstanz zugeordnet ist, schließen Sie die filter und-Anweisungen input auf der [edit forwarding-options family inet] Hierarchieebene ein:
[edit forwarding-options family inet]
filter {
input filter-name;
}