Configuration des filtres de la table de transfert
Les filtres de table de transfert sont définis de la même manière que les autres filtres de pare-feu, mais vous les appliquez différemment :
Au lieu d’appliquer des filtres de table de transfert aux interfaces, vous les appliquez aux tables de transfert, chacune associée à une instance de routage et à un réseau privé virtuel (VPN).
Au lieu d’appliquer des filtres d’entrée et de sortie par défaut, vous pouvez appliquer un filtre de table de transfert d’entrée uniquement.
Tous les paquets sont soumis au filtre de la table de transfert d’entrée qui s’applique à la table de transfert. Un filtre de la table de transfert contrôle les paquets acceptés par le routeur, puis effectue une recherche pour la table de transfert, contrôlant ainsi les paquets que le routeur transfère sur les interfaces.
Lorsque le routeur reçoit un paquet, il détermine le meilleur itinéraire vers la destination finale en consultant une table de transfert, associée au VPN sur lequel le paquet doit être envoyé. Le routeur transmet ensuite le paquet vers sa destination via l’interface appropriée.
Pour les paquets de transit sortant du routeur via le tunnel, le filtrage de la table de transfert n’est pas pris en charge sur les interfaces que vous configurez en tant qu’interface de sortie pour le trafic de tunnel.
Un filtre de table de transfert vous permet de filtrer les paquets de données en fonction de leurs composants et d’effectuer une action sur les paquets qui correspondent au filtre ; Il contrôle essentiellement les paquets de support que le routeur accepte et transfère. Pour configurer un filtre de table de transfert, incluez l’instruction firewall au niveau de la [edit] hiérarchie :
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name est le type d’adresse de la famille : IPv4 (inet), IPv6 (inet6), trafic de couche 2 (bridge) ou MPLS (mpls).
term-name est une structure nommée dans laquelle les conditions de correspondance et les actions sont définies.
match-conditions sont les critères par rapport auxquels un paquet porteur est comparé ; par exemple, l’adresse IP d’un appareil source ou d’un appareil de destination. Vous pouvez spécifier plusieurs critères dans une condition de correspondance.
action spécifie ce qui se passe si un paquet répond à tous les critères ; par exemple, le nœud de support GPRS de passerelle (GGSN) accepte le paquet porteur, effectue une recherche dans la table de transfert et transfère le paquet vers sa destination ; jeter le paquet ; et en supprimant le paquet et en renvoyant un message de rejet.
action-modifiers sont des actions qui sont prises en plus de l’acceptation ou du rejet d’un paquet par le GGSN lorsque tous les critères correspondent ; par exemple, compter les paquets et consigner un paquet.
Pour créer une table de transfert, incluez l’instruction instance-type avec l’option forwarding au niveau de la [edit routing-instances instance-name] hiérarchie :
[edit]
routing-instances instance-name {
instance-type forwarding;
}
Pour appliquer un filtre de table de transfert à une table VRF (Routing and Forwarding VPN), incluez les filter instructions et input au niveau de la [edit routing-instance instance-name forwarding-options family family-name] hiérarchie :
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
Pour appliquer un filtre de table de transfert à un table de transfert, incluez les filter instructions et input au niveau de la [edit forwarding-options family family-name] hiérarchie :
[edit forwarding-options family family-name]
filter {
input filter-name;
}
Pour appliquer un filtre de table de transfert à la table de transfert par défaut , qui n’est pas associée à une instance de inet.0routage spécifique, incluez les filter instructions et input au niveau de la [edit forwarding-options family inet] hiérarchie :
[edit forwarding-options family inet]
filter {
input filter-name;
}