Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーティングインスタンス用のフィルタベースの転送

ルーティングインスタンスのステートレスファイアウォールフィルターを使用して、IPv4 および IPv6 トラフィックに対するパケットの転送方法を制御できます。これは、フィルタベースの転送と呼ばれます。

指定したルーティングインスタンスに一致するパケットをリダイレクトするファイアウォールフィルタリング条件を定義できます。このタイプのフィルタリングは、ファイアウォールまたはその他のセキュリティデバイスを介して特定タイプのトラフィックをルーティングし、トラフィックがパス上で続行される前に設定することができます。トラフィックをルーティングインスタンスにダイレクトするためのステートレスファイアウォールフィルターを構成するにはrouting-instance routing-instance-name[edit firewall family <inet | inet6>]階層レベルで終了アクションを使用して用語を設定し、一致するパケットの転送先のルーティングインスタンスを指定します。転送テーブルフィルターは、タイプが転送のルーティングインスタンスに、また、デフォルトのルーティングインスタンスinet.0にも適用できます。トラフィックをマスタールーティングインスタンスにダイレクトするようにフィルターを設定するに routing-instance defaultは、 [edit firewall family <inet | inet6>]階層レベルでステートメントを使用します。

ルーティングインスタンス上に設定されたフィルターベースの転送テーブルには、以下の制約があります。

  • フィルタリング条件にrouting-instance routing-instance-name終端アクションが含まれている場合、ファイアウォールフィルタリングの条件に以下のアクションを設定することはできません。

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • フィルタ条件ではfragment-flags number 、マッチを設定することはできません。

  • デフォルトまたは物理インタフェースに固有のフィルタを適用することはできません。

  • ルーティングインスタンスの送信方向にフィルターをアタッチすることはできません。

  • IPv6 フィルタベースの転送では、以下の L4 一致はサポートされません。

    • source-port

    • destination-port

    • icmp-type

    • icmp-code

1つの VRF から別の VRF へのパケット転送を設定できますが、VRF からグローバルルーティングインスタンスへの転送を設定することはできません。

サポートされているルーティングインスタンスの最大数は64です。これは、サポートされている仮想ルーターの最大数と同じです。グローバルテーブルへのパケット転送 (デフォルト VRF) は、フィルタベースの転送ではサポートされていません。

注:

送信元 MAC アドレスフィルターがフィルターベースの転送より高い優先度を持つため、ソース MAC アドレスフィルタが設定されている場合に、インターフェイス上のフィルタベースの転送が機能しません。