Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Reenvío basado en filtros para instancias de enrutamiento

Puede utilizar filtros de Firewall sin estado en instancias de enrutamiento para controlar cómo viajan los paquetes en una red para el tráfico de IPv4 e IPv6. Esto se conoce como el reenvío basado en filtros.

Puede definir un término de filtro de firewall que dirija los paquetes coincidentes a una instancia de enrutamiento especificada. Este tipo de filtrado se puede configurar para que enrute determinados tipos de tráfico a través de un firewall u otro dispositivo de seguridad antes de que el tráfico continúe en su ruta de acceso. Para configurar un filtro de firewall sin estado para dirigir el tráfico hacia una instancia de enrutamiento, configure routing-instance routing-instance-name un término con la [edit firewall family <inet | inet6>] acción de terminación en el nivel de jerarquía para especificar la instancia de enrutamiento a la que se reenviarán los paquetes coincidentes. Puede aplicar un filtro de tabla de reenvío a una instancia de enrutamiento de tipo de reenvío y también a la inet.0instancia de enrutamiento predeterminada. Para configurar el filtro para dirigir el tráfico hacia la instancia de enrutamiento principal, routing-instance default utilice la instrucción [edit firewall family <inet | inet6>] en el nivel de jerarquía.

Las siguientes limitaciones se aplican a la tabla de reenvío basada en filtros configurada en las instancias de enrutamiento:

  • No puede configurar ninguna de las siguientes acciones en un término de filtrado de Firewall cuando el término de routing-instance routing-instance-name filtrado contiene la acción de finalización:

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • No puede configurar la fragment-flags number condición de coincidencia en el término de filtro.

  • No puede adjuntar un filtro que sea predeterminado o específico de una interfaz física.

  • No puede adjuntar un filtro a la dirección de salida de las instancias de enrutamiento.

  • El reenvío basado en filtros IPv6 no admite las siguientes coincidencias L4:

    • Puerto de origen

    • Puerto de destino

    • tipo de ICMP

    • código de ICMP

Aunque puede configurar el reenvío de paquetes de una VRF a otra VRF, no puede configurar el reenvío desde un VRF a la instancia de enrutamiento global.

El número máximo de instancias de enrutamiento admitido es 64, que es el mismo que el número máximo de enrutadores virtuales compatibles. No se admite el reenvío de paquetes a la tabla global (el valor predeterminado VRF) para el reenvío basado en filtros.

Nota:

El reenvío basado en filtros de la interfaz no funcionará cuando se configure el filtro de dirección MAC de origen, ya que el filtro de dirección MAC de origen tiene mayor prioridad sobre el reenvío basado en filtros.