Configuración de filtros de tabla de reenvío
Los filtros de tabla de reenvío se definen igual que otros filtros de firewall, pero se aplican de manera diferente:
En lugar de aplicar filtros de tabla de reenvío a las interfaces, los aplica a tablas de reenvío, cada una de las cuales está asociada a una instancia de enrutamiento y a una red privada virtual (VPN).
En lugar de aplicar filtros de entrada y salida de forma predeterminada, puede aplicar solo un filtro de tabla de reenvío de entrada.
Todos los paquetes están sujetos al filtro de tabla de reenvío de entrada que se aplica a la tabla de reenvío. Un filtro de tabla de reenvío controla qué paquetes acepta el enrutador y, a continuación, realiza una búsqueda de la tabla de reenvío, controlando así qué paquetes reenvía el enrutador en las interfaces.
Cuando el enrutador recibe un paquete, determina la mejor ruta al destino final buscando en una tabla de reenvío, que está asociada con la VPN en la que se enviará el paquete. Luego, el enrutador reenvía el paquete hacia su destino a través de la interfaz adecuada.
Para los paquetes de tránsito que salen del enrutador a través del túnel, el filtrado de tabla de reenvío no se admite en las interfaces que configure como interfaz de salida para el tráfico de túnel.
Un filtro de tabla de reenvío permite filtrar paquetes de datos en función de sus componentes y realizar una acción en paquetes que coincidan con el filtro; Básicamente, controla qué paquetes portadores acepta y reenvía el enrutador. Para configurar un filtro de tabla de reenvío, incluya la instrucción en el nivel de jerarquía:firewall[edit]
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name es el tipo de dirección de familia: IPv4 (), IPv6 (), tráfico de capa 2 () o MPLS ().inetinet6bridgempls
term-name es una estructura con nombre en la que se definen condiciones y acciones coincidentes.
match-conditions son los criterios con los que se compara un paquete portador; por ejemplo, la dirección IP de un dispositivo de origen o de destino. Puede especificar varios criterios en una condición de coincidencia.
action especifica lo que sucede si un paquete cumple todos los criterios; por ejemplo, el nodo de soporte GPRS de puerta de enlace (GGSN) que acepta el paquete portador, realiza una búsqueda en la tabla de reenvío y reenvía el paquete a su destino; desechar el paquete; y descartar el paquete y devolver un mensaje de rechazo.
action-modifiers son acciones que se toman además de que la GGSN acepte o descarte un paquete cuando todos los criterios coinciden; por ejemplo, contar los paquetes y registrar un paquete.
Para crear una tabla de reenvío, incluya la instrucción con la opción en el nivel jerárquico :instance-typeforwarding[edit routing-instances instance-name]
[edit]
routing-instances instance-name {
instance-type forwarding;
}
Para aplicar un filtro de tabla de reenvío a una tabla de enrutamiento y reenvío VPN (VRF), incluya las instrucciones y en el nivel de jerarquía:filterinput[edit routing-instance instance-name forwarding-options family family-name]
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
Para aplicar un filtro de tabla de reenvío a una tabla de reenvío, incluya las instrucciones y en el nivel jerárquico :filterinput[edit forwarding-options family family-name]
[edit forwarding-options family family-name]
filter {
input filter-name;
}
Para aplicar un filtro de tabla de reenvío a la tabla de reenvío predeterminada , que no está asociada a una instancia de enrutamiento específica, incluya las instrucciones y en el nivel de jerarquía:inet.0filterinput[edit forwarding-options family inet]
[edit forwarding-options family inet]
filter {
input filter-name;
}