Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーティングインスタンスのフィルターベースフォワーディング

ルーティングインスタンスでステートレスファイアウォールフィルターを使用して、IPv4 および IPv6 トラフィックのネットワークでのパケットの移動方法を制御できます。これは、フィルターベースの転送と呼ばれます。

指定したルーティングインスタンスに一致するパケットを送信するファイアウォールフィルタリング条件を定義できます。このタイプのフィルタリングは、トラフィックがそのパスを続ける前に、ファイアウォールまたは他のセキュリティデバイスを介して特定のタイプのトラフィックをルーティングするように設定できます。トラフィックをルーティングインスタンスに転送するステートレスファイアウォールフィルターを設定するには、[edit firewall family <inet | inet6>]階層レベルでrouting-instance routing-instance-name終了アクションを含む条件を設定し、一致するパケットが転送されるルーティングインスタンスを指定します。転送テーブルフィルターは、転送タイプのルーティングインスタンスに適用できますが、デフォルトのルーティングインスタンス inet.0にも適用できます。トラフィックをマスター ルーティング インスタンスに転送するようにフィルターを構成するには、[edit firewall family <inet | inet6>] 階層レベルで routing-instance default ステートメントを使用します。

ルーティングインスタンスで設定されたフィルターベースの転送テーブルには、以下の制限が適用されます。

  • フィルタリング条件に routing-instance routing-instance-name 終了アクションが含まれている場合、ファイアウォールフィルタリング条件に以下のアクションを設定できません。

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • フィルター条件に fragment-flags number 一致条件を設定することはできません。

  • デフォルトまたは物理インターフェイス固有のフィルターはアタッチできません。

  • ルーティングインスタンスのエグレス方向にフィルターをアタッチすることはできません。

  • IPv6 フィルターベース転送は、以下の L4 一致をサポートしていません。

    • 送信元ポート

    • 宛先ポート

    • ICMPタイプ

    • ICMPコード

ある VRF から別の VRF へのパケットの転送を設定できますが、VRF からグローバル ルーティング インスタンスへの転送を設定することはできません。

サポートされるルーティング インスタンスの最大数は 64 であり、これはサポートされる仮想ルーターの最大数と同じです。グローバル テーブル(デフォルト VRF)へのパケットの転送は、フィルターベース転送ではサポートされていません。

注:

送信元MACアドレスフィルターが設定されている場合、送信元MACアドレスフィルターの方がフィルターベースの転送よりも優先されるため、インターフェイスでのフィルターベース転送は機能しません。