フィルターベースの転送を使用して保護するトラフィックを選択する
ファイアウォールフィルターを使用する代わりに、フィルターベースの転送インスタンスを使用して、IPsecセキュリティアソシエーションにトラフィックを転送することもできます。まず、フィルターベースの転送インスタンスを設定します。次に、フィルターベースの転送インスタンスからルートをアドバタイズするようにルーティングテーブルグループを設定します。次に、ES PIC のファイアウォールフィルターを作成し、フィルターベースの転送インスタンスを参照します。最後に、フィルターとIPsecセキュリティアソシエーションをES PICに適用します。
[edit] routing-instances { forwarding { instance-type forwarding; routing-options { static { route 10.10.10.0/24 next-hop 192.168.0.5; } } } } routing-options { rib-groups { group-name { import-rib [ inet.0 forwarding.inet.0 ]; } } } firewall { family inet { filter filter-name { term term-name { then routing-instance instance-name; } } } } [edit] interfaces { es-0/0/0 { unit 0 { tunnel { source source-ip-address; destination destination-ip-address; } family inet { ipsec-sa sa-name; filter { input filter-name; } address ip-address; } } } }