フィルターベースの転送を使用して、保護するトラフィックを選択する
ファイアウォール フィルターを使用する代わりに、フィルターベースの転送インスタンスを使用して、トラフィックを IPsec セキュリティ アソシエーションに転送することもできます。まず、フィルターベースの転送インスタンスを設定します。次に、ルーティング テーブル グループを設定して、フィルターベースの転送インスタンスからルートをアドバタイズします。次に、ES PICのファイアウォールフィルタを作成し、フィルタベースの転送インスタンスを参照します。最後に、フィルタと IPsec セキュリティ アソシエーションを ES PIC に適用します。
[edit] routing-instances { forwarding { instance-type forwarding; routing-options { static { route 10.10.10.0/24 next-hop 192.168.0.5; } } } } routing-options { rib-groups { group-name { import-rib [ inet.0 forwarding.inet.0 ]; } } } firewall { family inet { filter filter-name { term term-name { then routing-instance instance-name; } } } } [edit] interfaces { es-0/0/0 { unit 0 { tunnel { source source-ip-address; destination destination-ip-address; } family inet { ipsec-sa sa-name; filter { input filter-name; } address ip-address; } } } }