Sur cette page
les filtres qui classent les paquets ou les dirigent vers des instances de routage
Filtrage d’entrée pour classer et transférer les paquets au sein du routeur ou du commutateur
filtrage de sortie pour transférer les paquets vers une autre table de routage
Restrictions relatives à l’application du transfert basé sur les filtres
Présentation du transfert basé sur des filtres
Les filtres de pare-feu peuvent être utilisés pour bloquer des paquets spécifiques. Ils peuvent également être utilisés pour affecter la façon dont des paquets spécifiques sont transférés.
les filtres qui classent les paquets ou les dirigent vers des instances de routage
Pour le trafic IPv4 ou IPv6 uniquement, vous pouvez utiliser des filtres de pare-feu sans état en conjonction avec des classes de transfert et des instances de routage pour contrôler la façon dont les paquets circulent dans un réseau. C’est ce qu’on appelle le transfert basé sur filtre (FBF).
Vous pouvez définir un terme de filtrage qui correspond aux paquets entrants en fonction de l’adresse source, puis classer les paquets correspondants dans une classe de transfert spécifiée. Ce type de filtrage peut être configuré pour accorder certains types de traitement préférentiel de trafic ou pour améliorer l’équilibrage de charge. Pour configurer un filtre de pare-feu sans état afin de classer les paquets dans une classe de transfert, configurez un terme avec l’action de non-arrêt forwarding-class class-name.
Vous pouvez également définir un terme de filtrage qui dirige les paquets correspondants vers une instance de routage spécifiée. Ce type de filtrage peut être configuré pour acheminer certains types de trafic à travers un pare-feu ou un autre dispositif de sécurité avant que le trafic ne poursuive son chemin. Pour configurer un filtre de pare-feu sans état afin de diriger le trafic vers une instance de routage, configurez un terme avec l’action de terminaison routing-instance routing-instance-name <topology topology-name> pour spécifier l’instance de routage à laquelle les paquets correspondants seront transférés.
La vérification uRPF (Unicast Reverse Path Forwarding) est compatible avec les actions FBF. La vérification uRPF est traitée pour la vérification de l’adresse source avant que toute action FBF ne soit activée pour les interfaces statiques et dynamiques. Cela s’applique aussi bien aux familles IPv4 qu’IPv6.
Les chemins de déchargement des services (SOF) et de mode d’alimentation Ipsec (PMI) ne seront pas suivis par les paquets transférés avec FBF.
-
SOF - Même si SOF est activé, les paquets ne passeront pas par SOF s’ils sont transférés avec FBF.
-
PMI : si PMI est configuré, c’est-à-dire la direction dans laquelle le filtre est configuré, les paquets dans cette direction ne passeront pas par le PMI. Les paquets de retour passeront par le PMI, à condition que les paquets de retour ne soient pas transmis par FBF.
Pour transférer le trafic vers l’instance de routage maître, reportez-vous routing-instance default à la configuration du pare-feu, comme indiqué ici :
[edit firewall]
family inet {
filter test {
term 1 {
then {
routing-instance default;
}
}
}
}
Ne pas référencer routing-instance master. Cela ne fonctionne pas.
Filtrage d’entrée pour classer et transférer les paquets au sein du routeur ou du commutateur
Vous pouvez configurer des filtres pour classer les paquets en fonction de leur adresse source et spécifier le chemin de transfert emprunté par les paquets au sein du routeur ou du commutateur en configurant un filtre sur l’interface d’entrée.
Par exemple, vous pouvez utiliser ce filtre pour les applications afin de différencier le trafic provenant de deux clients qui ont une couche d’accès commune (par exemple, un commutateur de couche 2) mais qui sont connectés à des fournisseurs d’accès Internet (FAI) différents. Lorsque le filtre est appliqué, le routeur ou le commutateur peut différencier les deux flux de trafic et les diriger vers le réseau approprié. Selon le type de média utilisé par le client, le filtre peut utiliser l’adresse IP source pour transférer le trafic vers le réseau correspondant via un tunnel. Vous pouvez également configurer des filtres pour classer les paquets en fonction du type de protocole IP ou des bits de priorité IP.
filtrage de sortie pour transférer les paquets vers une autre table de routage
Vous pouvez également transférer des paquets en fonction des filtres de sortie en configurant un filtre sur les interfaces de sortie. Dans le cas de la mise en miroir de ports, il est utile que les paquets mis en miroir par port soient distribués à plusieurs PIC de surveillance et à des PIC de collecte en fonction de modèles dans les en-têtes de paquets. FBF sur l’interface de sortie de mise en miroir des ports doit être configuré.
Les paquets transférés au filtre de sortie ont fait l’objet d’au moins une recherche de route lorsqu’un filtre FBF est configuré sur l’interface de sortie. Une fois le paquet classé à l’interface de sortie par le filtre FBF, il est redirigé vers une autre table de routage pour une recherche de route ultérieure.
Restrictions relatives à l’application du transfert basé sur les filtres
Une interface configurée avec un transfert basé sur les filtres ne prend pas en charge la correspondance des filtres d’utilisation de classe source (SCU) ou la comptabilisation de l’utilisation de classe source et de classe de destination (SCU/DCU).
Si le transfert basé sur un filtre est directement attaché à une interface ou via un filtre de table de transfert, le DCU sur cette interface ne fonctionnera pas.