転送テーブル フィルターの設定

転送テーブルフィルターは他のファイアウォールフィルターと同じように定義されますが、適用方法が異なります。転送テーブル フィルターをインターフェイスに適用する代わりに、ルーティング インスタンスと VPN(仮想プライベート ネットワーク)に関連付けられた転送テーブルに適用します。

すべてのパケットは、転送テーブルに適用される入力転送テーブル フィルターの対象となります。転送テーブル フィルターは、ルーターが受け入れるパケットを制御し、次に転送テーブルのルックアップを実行することで、ルーターがインターフェイス上でどのパケットを転送するかを制御します。

ルーターは、パケットを受信すると、パケットの送信先となるVPNに関連付けられた転送テーブルを調べて、最終宛先への最適なルートを決定します。次に、ルーターは適切なインターフェイスを介してパケットを宛先に転送します。

注:

トンネルを介してルーターを出るトランジットパケットの場合、トンネルトラフィックの出力インターフェイスとして設定したインターフェイスでは、転送テーブルフィルタリングはサポートされていません。

転送テーブル フィルターを使用すると、コンポーネントに基づいてデータ パケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行できます。基本的には、ルーターが受け入れて転送するベアラー パケットを制御します。転送テーブル フィルターを設定するには、[edit] 階層レベルで firewall ステートメントを含めます。

family-name はファミリーアドレスタイプです。IPv4(inet)、IPv6(inet6)、レイヤー 2トラフィック(bridge)、またはMPLS(mpls)。

term-name は、一致条件とアクションが定義されている名前付き構造体です。

match-conditions は、ベアラー パケットが比較される基準です。たとえば、送信元デバイスや送信先デバイスの IP アドレスなどです。一致条件には複数の条件を指定できます。

action パケットがすべての基準に一致した場合の動作を指定します。たとえば、ゲートウェイGPRSサポートノード(GGSN)は、ベアラーパケットを受信し、転送テーブルでルックアップを実行し、パケットを宛先に転送します。パケットを破棄する。パケットを破棄して拒否メッセージを返します。

action-modifiers は、すべての基準が一致した場合に、GGSN がパケットを受け入れるか破棄することに加えて実行されるアクションです。たとえば、パケットをカウントしたり、パケットをログに記録したりします。

転送テーブルを作成するには、[edit routing-instances instance-name]階層レベルで forwarding オプションとともに instance-type ステートメントを含めます。

VPN ルーティングおよび転送(VRF)テーブルに転送テーブル フィルターを適用するには、[edit routing-instance instance-name forwarding-options family family-name]階層レベルで filter ステートメントと input ステートメントを含めます。

転送テーブル フィルターを転送テーブルに適用するには、[edit forwarding-options family family-name]階層レベルで filter および input ステートメントを含めます。

特定のルーティングインスタンスに関連付けられていないデフォルトの転送テーブルinet.0に転送テーブルフィルターを適用するには、[edit forwarding-options family inet]階層レベルで filter および input ステートメントを含めます。