Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Reenvío basado en filtros para instancias de enrutamiento

Puede usar filtros de firewall sin estado en instancias de enrutamiento para controlar cómo viajan los paquetes en una red para el tráfico IPv4 e IPv6. Esto se denomina reenvío basado en filtros.

Puede definir un término de filtrado de firewall que dirija los paquetes coincidentes a una instancia de enrutamiento especificada. Este tipo de filtrado se puede configurar para enrutar tipos específicos de tráfico a través de un firewall u otro dispositivo de seguridad antes de que el tráfico continúe en su ruta. Para configurar un filtro de firewall sin estado para dirigir el tráfico a una instancia de enrutamiento, configure un término con la acción de terminación en el nivel de jerarquía para especificar la instancia de enrutamiento a la que se reenviarán los paquetes coincidentes.routing-instance routing-instance-name[edit firewall family <inet | inet6>] Puede aplicar un filtro de tabla de reenvío a una instancia de enrutamiento de tipo reenvío y también a la instancia de enrutamiento predeterminada.inet.0 Para configurar el filtro para dirigir el tráfico a la instancia de enrutamiento principal, utilice la instrucción en el nivel de jerarquía. routing-instance default[edit firewall family <inet | inet6>]

Las siguientes limitaciones se aplican a la tabla de reenvío basada en filtros configurada en instancias de enrutamiento:

  • No puede configurar ninguna de las siguientes acciones en un término de filtrado de firewall cuando el término de filtrado contiene la acción de finalización:routing-instance routing-instance-name

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • No puede configurar la condición de coincidencia en el término de filtro.fragment-flags number

  • No puede adjuntar un filtro que sea predeterminado o específico de la interfaz física.

  • No puede adjuntar un filtro a la dirección de salida de las instancias de enrutamiento.

  • El reenvío basado en filtros IPv6 no admite las siguientes coincidencias L4:

    • puerto de origen

    • puerto de destino

    • Tipo ICMP

    • código icmp

Aunque puede configurar el reenvío de paquetes de un VRF a otro, no puede configurar el reenvío desde un VRF a la instancia de enrutamiento global.

El número máximo de instancias de enrutamiento admitidas es 64, que es el mismo que el número máximo de enrutadores virtuales admitidos. El reenvío de paquetes a la tabla global (VRF predeterminado) no se admite para el reenvío basado en filtros.

Nota:

El reenvío basado en filtros en la interfaz no funcionará cuando el filtro de direcciones MAC de origen esté configurado, ya que el filtro de direcciones MAC de origen tiene mayor prioridad sobre el reenvío basado en filtros.

Temas relacionados