ルーティングインスタンスのフィルターベースフォワーディング
ルーティングインスタンスでステートレスファイアウォールフィルターを使用して、IPv4 および IPv6 トラフィックのネットワークでのパケットの移動方法を制御できます。これは、フィルターベースの転送と呼ばれます。
指定したルーティングインスタンスに一致するパケットを送信するファイアウォールフィルタリング条件を定義できます。このタイプのフィルタリングは、トラフィックがそのパスを続ける前に、ファイアウォールまたは他のセキュリティデバイスを介して特定のタイプのトラフィックをルーティングするように設定できます。トラフィックをルーティングインスタンスに転送するステートレスファイアウォールフィルターを設定するには、[edit firewall family <inet | inet6>]
階層レベルでrouting-instance routing-instance-name
終了アクションを含む条件を設定し、一致するパケットが転送されるルーティングインスタンスを指定します。転送テーブルフィルターは、転送タイプのルーティングインスタンスに適用できますが、デフォルトのルーティングインスタンス inet.0
にも適用できます。トラフィックをマスター ルーティング インスタンスに転送するようにフィルターを構成するには、[edit firewall family <inet | inet6>]
階層レベルで routing-instance default
ステートメントを使用します。
ルーティングインスタンスで設定されたフィルターベースの転送テーブルには、以下の制限が適用されます。
フィルタリング条件に
routing-instance routing-instance-name
終了アクションが含まれている場合、ファイアウォールフィルタリング条件に以下のアクションを設定できません。count counter-name
discard
forwarding-class class-name
log
loss-priority (high | medium-high | low)
policer policer-name
port-mirror
reject message-type
syslog
three-color-policer (single-rate | two-rate) policer-name
フィルター条件に
fragment-flags number
一致条件を設定することはできません。デフォルトまたは物理インターフェイス固有のフィルターはアタッチできません。
ルーティングインスタンスのエグレス方向にフィルターをアタッチすることはできません。
IPv6 フィルターベース転送は、以下の L4 一致をサポートしていません。
送信元ポート
宛先ポート
ICMPタイプ
ICMPコード
ある VRF から別の VRF へのパケットの転送を設定できますが、VRF からグローバル ルーティング インスタンスへの転送を設定することはできません。
サポートされるルーティング インスタンスの最大数は 64 であり、これはサポートされる仮想ルーターの最大数と同じです。グローバル テーブル(デフォルト VRF)へのパケットの転送は、フィルターベース転送ではサポートされていません。
送信元MACアドレスフィルターが設定されている場合、送信元MACアドレスフィルターの方がフィルターベースの転送よりも優先されるため、インターフェイスでのフィルターベース転送は機能しません。