Application de filtres de table de transfert
Un filtre de table de transfert vous permet de filtrer les paquets de données en fonction de leurs composants et d’effectuer une action sur les paquets qui correspondent au filtre. Vous pouvez appliquer un filtre sur les paquets entrants ou sortants d’une table de transfert. Vous configurez le filtre au niveau de la [edit firewall family family-name] hiérarchie ; pour plus d’informations, consultez Configuration des filtres de table de transfert.
Pour appliquer un filtre de table de transfert sur les paquets entrants d’une table de transfert, incluez le filtre et input les instructions au niveau de la [edit forwarding-options family family-name] hiérarchie :
[edit forwarding-options family family-name] filter { input filter-name; }
Vous pouvez filtrer en fonction des informations de classe de destination en appliquant un filtre de pare-feu sur les paquets de sortie de la table de transfert. En appliquant des filtres de pare-feu aux paquets qui ont été transférés par une table de routage, vous pouvez faire correspondre en fonction de certains paramètres décidés par la recherche de route. Par exemple, les routes peuvent être classées en classes de destination et de source spécifiques. Les filtres de pare-feu utilisés pour le contrôle et la mise en miroir peuvent correspondre en fonction de ces classes.
Pour appliquer un filtre de pare-feu aux paquets de sortie d’une table de transfert, incluez le filtre et output les instructions au niveau de la [edit forwarding-options family family-name] hiérarchie :
[edit forwarding-options family family-name] filter { output filter-name; }
Vous ne pouvez pas avoir un filtre de pare-feu qui inclut une interface-group condition de correspondance si vous utilisez également un filtre de table de transfert de sortie. En effet, la interface-group condition de correspondance utilise l’interface logique sur laquelle le paquet a été reçu pour correspondre au groupe d’interfaces (ou à l’ensemble de groupes d’interfaces), tandis que les filtres de la table de transfert s’appliquent uniquement au trafic de l’hôte local et aux paquets de transit.
Pour appliquer un filtre de table de transfert à une table de flood, incluez le flood et input les instructions au niveau de la [edit forwarding-options family family-name] hiérarchie, comme indiqué ci-dessous. L’instruction flood n’est valable que pour la famille de protocoles vpls .
[edit forwarding-options family vpls] flood { input filter-name; }
Sur le routeur MX Series uniquement, pour appliquer un filtre de table de transfert à un commutateur virtuel, incluez le filtre et input les instructions au niveau de la [edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options] hiérarchie :
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]
filter {
input filter-name;
}
Pour plus d’informations sur la configuration d’un commutateur virtuel, reportez-vous à la bibliothèque de commutation et de pontage de couche 2 de Junos OS pour les équipements de routage.
Sur MX Series routeurs Universal Edge 3D, vous pouvez appliquer un filtre table de transfert à l’aide de l’instruction soure-checking au niveau de la [edit forwarding-options family inet6] hiérarchie :
[edit forwarding-options family inet6]
family inet6 {
source-checking;
}
}
Cette option rejette les paquets IPv6 lorsque le type d’adresse source n’est pas spécifié, en bouclement, en multicast ou en liaison locale.
La RFC 4291, IP Version 6 Addressing Architecture, fait référence à quatre types d’adresses qui nécessitent un traitement spécial lorsqu’elles sont utilisées comme adresses sources. Les quatre types d’adresses sont :
Non spécifié
Loopack
Multicast
Unicast local de liaison
Les adresses de bouclage et de multicast ne doivent jamais être utilisées comme adresse source dans les paquets IPv6. Les adresses non spécifiées et les adresses locales peuvent être utilisées comme adresses sources, mais les routeurs ne doivent jamais transférer de paquets qui ont ces adresses comme adresses sources. En règle générale, les paquets contenant des adresses sources non spécifiées ou liées à des adresses locales sont remis à l’hôte local. Si la destination n’est pas l’hôte local, le paquet ne doit pas être transféré. La configuration de cette instruction filtre ou ignore les paquets IPv6 de ces quatre types d’adresses.
Le filtre de la table de transfert de sortie est appliqué sur l’interface entrante du FPC. Si plusieurs paquets arrivent vers la même destination sur différents FPC, ils peuvent rencontrer différents régulateurs.
Vous ne pouvez pas configurer cette instruction de sortie pour VPLS. Vous pouvez continuer à configurer les filtres de la table de transfert entrants avec l’instruction input au niveau de la [edit forwarding-options family vpls filter] hiérarchie.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.