Application de filtres de table de transfert
Un filtre de table de transfert vous permet de filtrer les paquets de données en fonction de leurs composants et d’effectuer une action sur les paquets qui correspondent au filtre. Vous pouvez appliquer un filtre sur les paquets entrants ou sortants d’une table de transfert. Vous configurez le filtre au niveau de la hiérarchie ; pour plus d’informations, reportez-vous à la [edit firewall family family-name] section Configuration des filtres de la table de transfert.
Pour appliquer un filtre table de transfert aux paquets entrants d’un table de transfert, incluez le filtre et input les instructions au niveau de la [edit forwarding-options family family-name] hiérarchie :
[edit forwarding-options family family-name] filter { input filter-name; }
Vous pouvez filtrer en fonction des informations de classe de destination en appliquant un filtre de pare-feu aux paquets de sortie de la table de transfert. En appliquant des filtres de pare-feu aux paquets qui ont été transférés par une table de routage, vous pouvez effectuer une correspondance en fonction de certains paramètres décidés par la recherche de route. Par exemple, les routes peuvent être classées en classes de destination et de source spécifiques. Les filtres de pare-feu utilisés pour le contrôle et la mise en miroir peuvent correspondre en fonction de ces classes.
Pour appliquer un filtre de pare-feu aux paquets sortants d’une table de transfert, incluez le filtre et output les instructions au niveau de la [edit forwarding-options family family-name] hiérarchie :
[edit forwarding-options family family-name] filter { output filter-name; }
Vous ne pouvez pas avoir un filtre de pare-feu qui inclut une interface-group condition de correspondance si vous utilisez également un filtre de table de transfert de sortie. En effet, la interface-group condition de correspondance utilise l’interface logique sur laquelle le paquet a été reçu pour correspondre au groupe d’interfaces (ou ensemble de groupes d’interfaces), tandis que les filtres de la table de transfert s’appliquent uniquement au trafic hôte local et aux paquets de transit.
Pour appliquer un filtre de table de transfert à une table d’inondation, incluez l’inondation et input les instructions au niveau de la [edit forwarding-options family family-name] hiérarchie, comme indiqué ci-dessous. L’instruction flood n’est valide que pour la famille de protocoles vpls .
[edit forwarding-options family vpls] flood { input filter-name; }
Sur le routeur MX Series uniquement, pour appliquer un filtre de table de transfert à un commutateur virtuel, incluez le filtre et input les instructions au niveau de la [edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options] hiérarchie :
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]
filter {
input filter-name;
}
Pour plus d’informations sur la configuration d’un commutateur virtuel, reportez-vous à la bibliothèque de commutation et de pontage de couche 2 de Junos OS pour les périphériques de routage.
Sur les routeurs Universal Edge 3D MX Series, vous pouvez appliquer un filtre de table de transfert à l’aide de l’instruction au soure-checking niveau de la [edit forwarding-options family inet6] hiérarchie :
[edit forwarding-options family inet6]
family inet6 {
source-checking;
}
}
Cela permet d’ignorer les paquets IPv6 lorsque le type d’adresse source est non spécifié, bouclage, multidiffusion ou liaison locale.
La RFC 4291, IP Version 6 Addressing Architecture, fait référence à quatre types d’adresses qui nécessitent un traitement spécial lorsqu’elles sont utilisées comme adresses source. Les quatre types d’adresses sont les suivants :
Quelconque
Loopack
Multidiffusion
Unicast lien-local
Les adresses de bouclage et de multidiffusion ne doivent jamais être utilisées comme adresse source dans les paquets IPv6. Les adresses non spécifiées et les adresses locales de liaison peuvent être utilisées comme adresses source, mais les routeurs ne doivent jamais transférer de paquets qui ont ces adresses comme adresses source. En règle générale, les paquets qui contiennent des adresses non spécifiées ou des adresses locales de liaison comme adresses source sont livrés à l’hôte local. Si la destination n’est pas l’hôte local, le paquet ne doit pas être transféré. La configuration de cette instruction filtre ou ignore les paquets IPv6 de ces quatre types d’adresses.
Pour les routeurs T Series autres que le T4000, un paquet transféré par la table de transfert atteint le filtre de la table de transfert de sortie, que le paquet soit effectivement transféré par la table de transfert ou non. Le paquet atteint le filtre de sortie même si la route pointe vers le rejet ou l’abandon des sauts suivants.
Sur le concentrateur PIC flexible (FPC) T4000 de type 5, le paquet atteint le filtre de sortie uniquement s’il est transféré par la table de transfert.
Le filtre de la table de transfert de sortie est appliqué sur l’interface d’entrée du FPC. Si différents paquets vers la même destination arrivent sur des FPC différents, ils peuvent rencontrer des mécanismes de contrôle différents.
Dans les versions 14.2 et antérieures, le filtre de la table de transfert de sortie n’est pas pris en charge pour les routeurs de service J Series.
Dans Junos OS version 8.4 et ultérieure, vous ne pouvez plus configurer cette instruction de sortie pour VPLS. Vous pouvez continuer à configurer les filtres de table de transfert d’entrée avec l’instruction input au niveau de la [edit forwarding-options family vpls filter] hiérarchie.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.