Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Reenvío basado en filtros para instancias de enrutamiento

Puede usar filtros de firewall sin estado en instancias de enrutamiento para controlar cómo viajan los paquetes en una red para el tráfico IPv4 e IPv6. Esto se denomina reenvío basado en filtros.

Puede definir un término de filtrado de firewall que dirija los paquetes coincidentes a una instancia de enrutamiento especificada. Este tipo de filtrado se puede configurar para enrutar tipos específicos de tráfico a través de un firewall u otro dispositivo de seguridad antes de que el tráfico continúe en su ruta. Para configurar un filtro de firewall sin estado para dirigir el tráfico a una instancia de enrutamiento, configure un término con la routing-instance routing-instance-name acción de finalización en el [edit firewall family <inet | inet6>] nivel jerárquico para especificar la instancia de enrutamiento a la que se reenvían los paquetes coincidentes. Puede aplicar un filtro de tabla de reenvío a una instancia de enrutamiento de tipo de reenvío y también a la instancia inet.0de enrutamiento predeterminada. Para configurar el filtro para dirigir el tráfico a la instancia de enrutamiento principal, utilice la routing-instance default instrucción en el [edit firewall family <inet | inet6>] nivel jerárquico.

Las siguientes limitaciones se aplican a la tabla de reenvío basado en filtros configurada en instancias de enrutamiento:

  • No puede configurar ninguna de las siguientes acciones en un término de filtrado de firewall cuando el término de filtrado contiene la routing-instance routing-instance-name acción de terminación:

    • count counter-name

    • discard

    • forwarding-class class-name

    • log

    • loss-priority (high | medium-high | low)

    • policer policer-name

    • port-mirror

    • reject message-type

    • syslog

    • three-color-policer (single-rate | two-rate) policer-name

  • No puede configurar la fragment-flags number condición de coincidencia en el término de filtro.

  • No puede adjuntar un filtro predeterminado o específico de la interfaz física.

  • No puede adjuntar un filtro a la dirección de salida de las instancias de enrutamiento.

  • El reenvío basado en filtros IPv6 no admite las siguientes coincidencias de L4:

    • puerto de origen

    • puerto de destino

    • tipo icmp

    • icmp-code

Aunque puede configurar el reenvío de paquetes de un VRF a otro VRF, no puede configurar el reenvío desde un VRF a la instancia de enrutamiento global.

La cantidad máxima de instancias de enrutamiento admitidas es 64, que es la misma cantidad que la cantidad máxima de enrutadores virtuales compatibles. No se admite el reenvío de paquetes a la tabla global (VRF predeterminado) para el reenvío basado en filtros.

Nota:

El reenvío basado en filtros en la interfaz no funcionará cuando se configure el filtro de dirección MAC de origen, ya que el filtro de dirección MAC de origen tiene mayor prioridad sobre el reenvío basado en filtros.

Temas relacionados