フィルターベースの転送を使用して保護するトラフィックを選択する
ファイアウォールフィルターを使用する代わりに、フィルターベースの転送インスタンスを使用して、IPsecセキュリティアソシエーションにトラフィックを転送することもできます。まず、フィルターベースの転送インスタンスを設定します。次に、フィルターベースの転送インスタンスからルートをアドバタイズするようにルーティングテーブルグループを設定します。次に、ES PIC のファイアウォールフィルターを作成し、フィルターベースの転送インスタンスを参照します。最後に、フィルターとIPsecセキュリティアソシエーションをES PICに適用します。
[edit]
routing-instances {
forwarding {
instance-type forwarding;
routing-options {
static {
route 10.10.10.0/24 next-hop 192.168.0.5;
}
}
}
}
routing-options {
rib-groups {
group-name {
import-rib [ inet.0 forwarding.inet.0 ];
}
}
}
firewall {
family inet {
filter filter-name {
term term-name {
then routing-instance instance-name;
}
}
}
}
[edit]
interfaces {
es-0/0/0 {
unit 0 {
tunnel {
source source-ip-address;
destination destination-ip-address;
}
family inet {
ipsec-sa sa-name;
filter {
input filter-name;
}
address ip-address;
}
}
}
}