Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーティング インスタンスのフィルターベースの転送

ルーティングインスタンスでステートレスファイアウォールフィルターを使用して、パケットがIPv4およびIPv6トラフィックのためにネットワーク内を移動する方法を制御できます。これをフィルターベースの転送と呼んでいます。

一致するパケットを指定したルーティング インスタンスに誘導するファイアウォール フィルタリング条件を定義できます。このタイプのフィルタリングは、トラフィックがパスを続行する前に、ファイアウォールやその他のセキュリティデバイスを介して特定のタイプのトラフィックをルーティングするように設定できます。ルーティングインスタンスにトラフィックを誘導するステートレスファイアウォールフィルターを設定するには、 階層レベルで[edit firewall family <inet | inet6>]終了アクションを持つrouting-instance routing-instance-name条件を設定し、一致するパケットが転送されるルーティングインスタンスを指定します。転送テーブルフィルターは、転送タイプのルーティングインスタンスとデフォルトのルーティングインスタンス inet.0にも適用できます。マスタールーティングインスタンスにトラフィックを誘導するフィルターを設定するには、 階層レベルで ステートメントを[edit firewall family <inet | inet6>]使用 routing-instance defaultします。

ルーティング インスタンスで設定されたフィルターベース転送テーブルには、以下の制限が適用されます。

  • フィルター条件に終了アクションが含まれている routing-instance routing-instance-name 場合、ファイアウォールフィルタリング条件で以下のアクションを設定することはできません。

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • フィルター条件に fragment-flags number 一致条件を設定することはできません。

  • デフォルトまたは物理インターフェイス固有のフィルターをアタッチすることはできません。

  • ルーティングインスタンスのエグレス方向にフィルターをアタッチすることはできません。

  • IPv6 フィルターベースの転送は、以下の L4 一致をサポートしていません。

    • source-port

    • destination-port

    • icmp-type

    • icmp-code

1つのVRFから別のVRFへのパケット転送を設定することはできますが、VRFからグローバルルーティングインスタンスへの転送を設定することはできません。

サポートされるルーティング インスタンスの最大数は 64 で、サポートされる仮想ルーターの最大数と同じです。グローバルテーブル(デフォルトVRF)へのパケット転送は、フィルターベースの転送ではサポートされていません。

注:

送信元MACアドレスフィルターがフィルターベースの転送よりも高く優先されるため、送信元MACアドレスフィルターが設定されている場合、インターフェイス上のフィルターベースの転送は機能しません。