Konfigurieren von Weiterleitungstabellenfiltern
Weiterleitungstabellenfilter werden genauso definiert wie andere Firewall-Filter, aber Sie wenden sie anders an. Anstatt Weiterleitungstabellenfilter auf Schnittstellen anzuwenden, wenden Sie sie auf Weiterleitungstabellen an, die jeweils einer Routinginstanz und einem virtuellen privaten Netzwerk (VPN) zugeordnet sind.
Alle Pakete werden dem Filter der Eingabe-Weiterleitungstabelle unterzogen, der für die Weiterleitungstabelle gilt. Ein Filter für Weiterleitungstabellen steuert, welche Pakete der Router akzeptiert, und führt dann eine Suche nach der Weiterleitungstabelle durch, wodurch gesteuert wird, welche Pakete der Router an die Schnittstellen weiterleitet.
Wenn der Router ein Paket empfängt, bestimmt er die beste Route zum endgültigen Ziel, indem er in einer Weiterleitungstabelle nachsieht, die mit dem VPN verknüpft ist, an das das Paket gesendet werden soll. Der Router leitet das Paket dann über die entsprechende Schnittstelle an sein Ziel weiter.
Für Transitpakete, die den Router über den Tunnel verlassen, wird die Filterung von Weiterleitungstabellen auf den Schnittstellen, die Sie als Ausgabeschnittstelle für den Tunnel-Datenverkehr konfigurieren, nicht unterstützt.
Mit einem Filter für Weiterleitungstabellen können Sie Datenpakete basierend auf ihren Komponenten filtern und eine Aktion für Pakete ausführen, die dem Filter entsprechen. Es steuert im Wesentlichen, welche Trägerpakete der Router akzeptiert und weiterleitet. Um einen Filter für eine Weiterleitungstabelle zu konfigurieren, schließen Sie die firewall Anweisung auf Hierarchieebene [edit] ein:
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name ist der Familienadresstyp: IPv4 (inet), IPv6 (inet6), Layer 2-Datenverkehr (Bridge) oder MPLS (MPLS).
term-name ist eine benannte Struktur, in der Übereinstimmungsbedingungen und Aktionen definiert sind.
match-conditions sind die Kriterien, anhand derer ein Inhaberpaket verglichen wird; beispielsweise die IP-Adresse eines Quell- oder Zielgeräts. Sie können mehrere Kriterien in einer Übereinstimmungsbedingung angeben.
action gibt an, was passiert, wenn ein Paket alle Kriterien erfüllt; zum Beispiel der Gateway-GPRS-Unterstützungsknoten (GGSN), der das Trägerpaket akzeptiert, eine Suche in der Weiterleitungstabelle durchführt und das Paket an sein Ziel weiterleitet; Verwerfen des Pakets; und Verwerfen des Pakets und Zurücksenden einer Ablehnungsnachricht.
action-modifiers sind Aktionen, die zusätzlich zum Akzeptieren oder Verwerfen eines Pakets durch das GGSN ergriffen werden, wenn alle Kriterien übereinstimmen; zum Beispiel das Zählen der Pakete und das Protokollieren eines Pakets.
Um eine Weiterleitungstabelle zu erstellen, schließen Sie die instance-type Anweisung mit der Weiterleitungsoption auf Hierarchieebene [edit routing-instances instance-name] ein:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
Um einen Filter für eine Weiterleitungstabelle auf eine VRF-Tabelle (VPN-Routing and Forwarding) anzuwenden, schließen Sie den Filter und input die Anweisungen auf Hierarchieebene [edit routing-instance instance-name forwarding-options family family-name] ein:
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
Um einen Filter für eine Weiterleitungstabelle auf eine Weiterleitungstabelle anzuwenden, schließen Sie den Filter und input die Anweisungen auf Hierarchieebene [edit forwarding-options family family-name] ein:
[edit forwarding-options family family-name]
filter {
input filter-name;
}
Um einen Filter für eine Weiterleitungstabelle auf die Standard-Weiterleitungstabelle inet.0 anzuwenden, die keiner bestimmten Routing-Instanz zugeordnet ist, schließen Sie den Filter und input die Anweisungen auf Hierarchieebene [edit forwarding-options family inet] ein:
[edit forwarding-options family inet]
filter {
input filter-name;
}