Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general del reenvío basado en filtros

Los filtros de firewall se pueden usar para bloquear paquetes específicos. También se pueden usar para afectar la forma en que se reenvían paquetes específicos.

Filtros que clasifican paquetes o los dirigen a instancias de enrutamiento

Solo para el tráfico IPv4 o IPv6 , puede usar filtros de firewall sin estado junto con clases de reenvío e instancias de enrutamiento para controlar cómo viajan los paquetes en una red. Esto se denomina reenvío basado en filtros (FBF).

Puede definir un término de filtrado que coincida con los paquetes entrantes en función de la dirección de origen y, a continuación, clasificar los paquetes coincidentes en una clase de reenvío especificada. Este tipo de filtrado se puede configurar para otorgar a ciertos tipos de tráfico un trato preferencial o para mejorar el equilibrio de carga. Para configurar un filtro de firewall forwarding-class class-name sin estado para clasificar paquetes en una clase de reenvío, configure un término con la acciónde no terminación .

También puede definir un término de filtrado que dirija los paquetes coincidentes a una instancia de enrutamiento especificada. Este tipo de filtrado se puede configurar para enrutar tipos específicos de tráfico a través de un firewall u otro dispositivo de seguridad antes de que el tráfico continúe en su ruta. Para configurar un filtro de firewall sin estado para dirigir el tráfico a una instancia de enrutamiento, configure un término con la acción de terminación para especificar la instancia de enrutamiento a la que se reenviarán los paquetes coincidentes.routing-instance routing-instance-name <topology topology-name>

Nota:

La comprobación del reenvío de ruta inversa de unidifusión (uRPF) es compatible con las acciones FBF. La comprobación uRPF se procesa para comprobar la dirección de origen antes de habilitar cualquier acción FBF para interfaces estáticas y dinámicas. Esto se aplica a las familias IPv4 e IPv6.
Nota:

La ruta de descarga de servicios (SOF) y la ruta de Ipsec en modo de alimentación (PMI) no serán seguidas por los paquetes que se reenvían con FBF.

  • SOF: incluso si SOF está habilitado, los paquetes no pasarán por SOF si se reenvían con FBF.

  • PMI: si se configura PMI, la dirección en la que está configurado el filtro, los paquetes en esa dirección no pasarán por el PMI. Los paquetes devueltos pasarán por el PMI, siempre que los paquetes devueltos no se reenvíen con FBF.

Para reenviar tráfico a la instancia de enrutamiento maestra, haga referencia en la configuración del firewall, como se muestra a continuación:routing-instance default

Nota:

No haga referencia a .routing-instance master Esto no funciona.

Filtrado de entrada para clasificar y reenviar paquetes dentro del enrutador o conmutador

Puede configurar filtros para clasificar los paquetes según la dirección de origen y especificar la ruta de reenvío que toman los paquetes dentro del enrutador o conmutador configurando un filtro en la interfaz de entrada.

Por ejemplo, puede usar este filtro para aplicaciones a fin de diferenciar el tráfico de dos clientes que tienen una capa de acceso común (por ejemplo, un conmutador de capa 2) pero que están conectados a diferentes proveedores de servicios Internet (ISP). Cuando se aplica el filtro, el enrutador o conmutador puede diferenciar los dos flujos de tráfico y dirigir cada uno a la red adecuada. Según el tipo de medio que utilice el cliente, el filtro puede utilizar la dirección IP de origen para reenviar el tráfico a la red correspondiente a través de un túnel. También puede configurar filtros para clasificar paquetes según el tipo de protocolo IP o los bits de precedencia IP.

Filtrado de salida para reenviar paquetes a otra tabla de enrutamiento

También puede reenviar paquetes basados en filtros de salida configurando un filtro en las interfaces de salida. En el caso de la creación de reflejo de puertos, es útil que los paquetes reflejados por puertos se distribuyan a varias PIC de supervisión y PIC de recopilación basadas en patrones en los encabezados de los paquetes. FBF en la interfaz de salida de duplicación de puertos debe estar configurada.

Los paquetes reenviados al filtro de salida han pasado por al menos una búsqueda de ruta cuando se configura un filtro FBF en la interfaz de salida. Después de que el paquete se clasifica en la interfaz de salida por el filtro FBF, se redirige a otra tabla de enrutamiento para una búsqueda de ruta adicional.

Restricciones para aplicar el reenvío basado en filtros

Una interfaz configurada con reenvío basado en filtros no admite la coincidencia de filtros de uso de clase de origen (SCU) ni la contabilidad de uso de clase de origen y destino (SCU/DCU).

Si el reenvío basado en filtros está conectado directamente a una interfaz o a través del filtro de tabla de reenvío, la DCU de esa interfaz no funcionará.

Temas relacionados