Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Transfert basé sur les filtres pour les instances de routage

Vous pouvez utiliser des filtres de pare-feu sans état dans les instances de routage pour contrôler la manière dont les paquets transitent dans un réseau pour le trafic IPv4 et IPv6. C’est ce qu’on appelle le transfert basé sur les filtres.

Vous pouvez définir un terme de filtrage de pare-feu qui dirige les paquets correspondants vers une instance de routage spécifiée. Ce type de filtrage peut être configuré pour acheminer certains types de trafic à travers un pare-feu ou un autre dispositif de sécurité avant que le trafic ne poursuive son chemin. Pour configurer un filtre de pare-feu sans état afin de diriger le trafic vers une instance de routage, configurez un terme avec l’action routing-instance routing-instance-name de fin au niveau de la [edit firewall family <inet | inet6>] hiérarchie pour spécifier l’instance de routage à laquelle les paquets correspondants seront transférés. Vous pouvez appliquer un filtre de table de transfert à une instance de routage de type transfert ainsi qu’à l’instance inet.0de routage par défaut . Pour configurer le filtre afin de diriger le trafic vers l’instance de routage principale, utilisez l’instruction routing-instance default au niveau de la [edit firewall family <inet | inet6>] hiérarchie.

Les limitations suivantes s’appliquent aux tables de transfert basées sur des filtres configurées sur des instances de routage :

  • Vous ne pouvez pas configurer l’une des actions suivantes dans un terme de filtrage de pare-feu lorsque le terme de filtrage contient l’action routing-instance routing-instance-name de fin :

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • Vous ne pouvez pas configurer la condition de fragment-flags number correspondance dans le terme de filtre.

  • Vous ne pouvez pas attacher un filtre par défaut ou spécifique à une interface physique.

  • Vous ne pouvez pas attacher un filtre à la direction de sortie des instances de routage.

  • Le transfert basé sur un filtre IPv6 ne prend pas en charge les correspondances L4 suivantes :

    • port_source

    • port_destination

    • de type icmp

    • code icmp

Bien que vous puissiez configurer le transfert de paquets d’un VRF à un autre VRF, vous ne pouvez pas configurer le transfert d’un VRF vers l’instance de routage global.

Le nombre maximal d’instances de routage prises en charge est de 64, ce qui correspond au nombre maximal de routeurs virtuels pris en charge. Le transfert de paquets vers la table globale (VRF par défaut) n’est pas pris en charge pour le transfert basé sur des filtres.

REMARQUE :

Le transfert basé sur un filtre sur l’interface ne fonctionne pas lorsque le filtre d’adresse MAC source est configuré, car le filtre d’adresse MAC source est prioritaire sur le transfert basé sur un filtre.

Rubriques connexes