Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

転送テーブル フィルタの設定

転送テーブル フィルターは、他のファイアウォール フィルターと同じ定義ですが、それらを異なる方法で適用します。

  • 転送テーブル フィルタをインターフェイスに適用する代わりに、転送テーブルに適用します。転送テーブルは、それぞれルーティング インスタンスと仮想プライベート ネットワーク(VPN)に関連付けられています。

  • デフォルトで入出力フィルターを適用するのではなく、入力転送テーブル・フィルターのみを適用できます。

すべてのパケットには、転送テーブルに適用される入力転送テーブル フィルタが適用されます。転送テーブル フィルタは、ルーターが受け入れるパケットを制御し、転送テーブルのルックアップを実行して、ルーターがインターフェイス上で転送するパケットを制御します。

ルーターがパケットを受信すると、パケットが送信される VPN に関連付けられている転送テーブルを見て、最終的な宛先への最適なルートが決定されます。次に、ルーターは適切なインターフェイスを介してパケットを宛先に転送します。

注:

ルーターからトンネルを通過するトランジット パケットの場合、転送テーブル フィルタリングは、トンネル トラフィックの出力インターフェイスとして設定したインターフェイスではサポートされていません。

転送テーブル フィルタを使用すると、コンポーネントに基づいてデータ パケットをフィルタリングし、フィルタに一致するパケットに対してアクションを実行できます。基本的に、ルーターが受け入れ、転送するベアラー パケットを制御します。転送テーブル フィルタを設定するには、階層レベルに firewall ステートメントを [edit] 含めます。

family-name は、ファミリー アドレス タイプです。IPv4(inet)、IPv6(inet6)、レイヤー 2 トラフィック(bridge)、または MPLS(mpls)。

term-name は、照合条件とアクションが定義される名前付き構造体です。

match-conditions は、ベアラー パケットが比較される基準です。たとえば、送信元デバイスまたは宛先デバイスのIPアドレスなどです。照合条件には複数の基準を指定できます。

action は、パケットがすべての基準に一致した場合に何が起こるかを指定します。たとえば、ゲートウェイ GPRS サポート ノード(GGSN)はベアラー パケットを受け入れ、転送テーブルでルックアップを実行し、パケットを宛先に転送します。パケットを破棄する。パケットを破棄して拒否メッセージを返します

action-modifiers は、すべての基準が一致した場合に、GGSN がパケットを受け入れるか破棄するかに加えて実行されるアクションです。たとえば、パケットのカウントやパケットのロギングなどです。

転送テーブルを作成するには、階層レベルで instance-type オプションを含む forwarding ステートメントを [edit routing-instances instance-name] 含めます。

転送テーブル フィルタを VPN ルーティングおよび転送(VRF)テーブルに適用するには、階層レベルに filter and input ステートメントを [edit routing-instance instance-name forwarding-options family family-name] 含めます。

転送テーブル フィルターを転送テーブルに適用するには、階層レベルで filter and input ステートメントを [edit forwarding-options family family-name] 含めます。

転送テーブル フィルタを、特定のルーティング インスタンスに関連付けられていないデフォルトの転送テーブル inet.0に適用するには、階層レベルの filter and input ステートメントを [edit forwarding-options family inet] 含めます。