Configuración de filtros de tabla de reenvío
Los filtros de tabla de reenvío se definen igual que otros filtros de firewall, pero se aplican de manera diferente:
En lugar de aplicar filtros de tabla de reenvío a interfaces, los aplica a tablas de reenvío, cada una de las cuales está asociada con una instancia de enrutamiento y una red privada virtual (VPN).
En lugar de aplicar filtros de entrada y salida de forma predeterminada, puede aplicar solo un filtro de tabla de reenvío de entrada.
Todos los paquetes se someten al filtro de tabla de reenvío de entrada que se aplica a la tabla de reenvío. Un filtro de tabla de reenvío controla qué paquetes acepta el enrutador y, luego, realiza una búsqueda para la tabla de reenvío, controlando así qué paquetes reenvía el enrutador en las interfaces.
Cuando el enrutador recibe un paquete, determina la mejor ruta hacia el destino final buscando en una tabla de reenvío, que está asociada con la VPN en la que se enviará el paquete. Luego, el enrutador reenvía el paquete hacia su destino a través de la interfaz adecuada.
En el caso de los paquetes de tránsito que salen del enrutador a través del túnel, el filtrado de tabla de reenvío no se admite en las interfaces que configure como interfaz de salida para el tráfico de túnel.
Un filtro de tabla de reenvío le permite filtrar paquetes de datos según sus componentes y realizar una acción en paquetes que coincidan con el filtro; básicamente controla qué paquetes al portador el enrutador acepta y reenvía. Para configurar un filtro de tabla de reenvío, incluya la firewall instrucción en el [edit] nivel de jerarquía:
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name es el tipo de dirección de familia: IPv4 (inet), IPv6 (inet6), tráfico de capa 2 (bridge) o MPLS (mpls).
term-name es una estructura denominada en la que se definen condiciones y acciones de coincidencia.
match-conditions son los criterios con los que se compara un paquete al portador; por ejemplo, la dirección IP de un dispositivo de origen o de destino. Puede especificar varios criterios en una condición de coincidencia.
action especifica lo que sucede si un paquete coincide con todos los criterios; por ejemplo, el nodo de soporte GPRS (GGSN) de puerta de enlace que acepta el paquete al portador, realiza una búsqueda en la tabla de reenvío y reenvía el paquete a su destino; descartar el paquete; y descartar el paquete y devolver un mensaje de rechazo.
action-modifiers son acciones que se realizan además de que la GGSN acepte o descarte un paquete cuando todos los criterios coincidan; por ejemplo, contar los paquetes y registrar un paquete.
Para crear una tabla de reenvío, incluya la instance-type instrucción con la forwarding opción en el [edit routing-instances instance-name] nivel de jerarquía:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
Para aplicar un filtro de tabla de reenvío a una tabla de enrutamiento y reenvío VPN (VRF), incluya las filter instrucciones y input en el [edit routing-instance instance-name forwarding-options family family-name] nivel de jerarquía:
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
Para aplicar un filtro de tabla de reenvío a una tabla de reenvío, incluya las filter instrucciones y input en el [edit forwarding-options family family-name] nivel de jerarquía:
[edit forwarding-options family family-name]
filter {
input filter-name;
}
Para aplicar un filtro de tabla de reenvío a la tabla inet.0de reenvío predeterminada, que no está asociada con una instancia de enrutamiento específica, incluya las filter instrucciones y input en el [edit forwarding-options family inet] nivel de jerarquía:
[edit forwarding-options family inet]
filter {
input filter-name;
}