Configuration des filtres de table de transfert
Les filtres de table de transfert sont définis de la même manière que les autres filtres de pare-feu, mais vous les appliquez différemment. Au lieu d’appliquer des filtres de table de transfert aux interfaces, vous les appliquez à des tables de transfert, chacune étant associée à une instance de routage et à un réseau privé virtuel (VPN).
Tous les paquets sont soumis au filtre de la table de transfert d’entrée qui s’applique à la table de transfert. Un filtre de table de transfert contrôle les paquets acceptés par le routeur, puis effectue une recherche de la table de transfert, contrôlant ainsi les paquets que le routeur transfère sur les interfaces.
Lorsque le routeur reçoit un paquet, il détermine le meilleur itinéraire vers la destination finale en examinant dans une table de transfert, qui est associée au VPN sur lequel le paquet doit être envoyé. Le routeur transmet ensuite le paquet vers sa destination via l’interface appropriée.
Pour les paquets de transit sortant du routeur par le biais du tunnel, le filtrage de la table de transfert n’est pas pris en charge sur les interfaces que vous configurez comme interface de sortie pour le trafic de tunnel.
Un filtre de table de transfert vous permet de filtrer les paquets de données en fonction de leurs composants et d’effectuer une action sur les paquets qui correspondent au filtre ; Il contrôle essentiellement les paquets porteurs que le routeur accepte et transmet. Pour configurer un filtre de table de transfert, incluez l’instruction firewall au niveau de la [edit] hiérarchie :
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name est le type d’adresse de famille : IPv4 (inet), IPv6 (inet6), trafic de couche 2 (pont) ou MPLS (mpls).
term-name est une structure nommée dans laquelle les conditions de correspondance et les actions sont définies.
match-conditions sont les critères par rapport auxquels un paquet porteur est comparé ; par exemple, l’adresse IP d’un appareil source ou d’un appareil de destination. Vous pouvez spécifier plusieurs critères dans une condition de correspondance.
action spécifie ce qui se passe si un paquet correspond à tous les critères ; par exemple, le nœud de support GPRS de passerelle (GGSN) acceptant le paquet porteur, effectuant une recherche dans la table de transfert et transférant le paquet à sa destination ; jeter le paquet ; il élimine le paquet et renvoie un message de refus.
action-modifiers sont des actions qui sont entreprises en plus de l’acceptation ou de la suppression d’un paquet par le GGSN lorsque tous les critères correspondent ; par exemple, compter les paquets et enregistrer un paquet.
Pour créer une table de transfert, incluez l’instruction instance-type avec l’option de transfert au niveau de la [edit routing-instances instance-name] hiérarchie :
[edit]
routing-instances instance-name {
instance-type forwarding;
}
Pour appliquer un filtre de table de transfert à une table VRF (VPN routing and forwarding), incluez le filtre et input les instructions au niveau de la [edit routing-instance instance-name forwarding-options family family-name] hiérarchie :
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
Pour appliquer un filtre de table de transfert à une table de transfert, incluez le filtre et input les instructions au niveau de la [edit forwarding-options family family-name] hiérarchie :
[edit forwarding-options family family-name]
filter {
input filter-name;
}
Pour appliquer un filtre de table de transfert à la table de transfert par défaut inet.0, qui n’est pas associée à une instance de routage spécifique, incluez le filtre et input les instructions au niveau de la [edit forwarding-options family inet] hiérarchie :
[edit forwarding-options family inet]
filter {
input filter-name;
}