Aplicación de filtros de tabla de reenvío
Un filtro de tabla de reenvío permite filtrar paquetes de datos en función de sus componentes y realizar una acción en paquetes que coincidan con el filtro. Puede aplicar un filtro en los paquetes de entrada o salida de una tabla de reenvío. El filtro se configura en el nivel de [edit firewall family family-name] jerarquía; para obtener más información, consulte Configuración de filtros de tabla de reenvío.
Para aplicar un filtro de tabla de reenvío en los paquetes de entrada de una tabla de reenvío, incluya el filtro y input las instrucciones en el [edit forwarding-options family family-name] nivel de jerarquía:
[edit forwarding-options family family-name] filter { input filter-name; }
Puede filtrar según la información de clase de destino aplicando un filtro de firewall en los paquetes de salida de la tabla de reenvío. Mediante la aplicación de filtros de firewall a los paquetes reenviados por una tabla de enrutamiento, puede hacer coincidir en función de determinados parámetros decididos por la búsqueda de ruta. Por ejemplo, las rutas se pueden clasificar en clases específicas de destino y origen. Los filtros de firewall utilizados para la vigilancia y la creación de reflejo pueden coincidir en función de estas clases.
Para aplicar un filtro de firewall en paquetes de salida de una tabla de reenvío, incluya el filtro y output las instrucciones en el [edit forwarding-options family family-name] nivel de jerarquía:
[edit forwarding-options family family-name] filter { output filter-name; }
No puede tener un filtro de firewall que incluya una interface-group condición de coincidencia si también está utilizando un filtro de tabla de reenvío de salida. Esto se debe a que la condición de interface-group coincidencia utiliza la interfaz lógica en la que se recibió el paquete para que coincida con el grupo de interfaz (o conjunto de grupos de interfaz), mientras que los filtros de la tabla de reenvío solo se aplican al tráfico de host local y a los paquetes de tránsito.
Para aplicar un filtro de tabla de reenvío a una tabla de inundación, incluya la inundación y input las instrucciones en el nivel de [edit forwarding-options family family-name] jerarquía como se muestra a continuación. La flood instrucción es válida solo para la familia de protocolos vpls .
[edit forwarding-options family vpls] flood { input filter-name; }
Solo en el enrutador de la serie MX, para aplicar un filtro de tabla de reenvío para un conmutador virtual, incluya el filtro y input las instrucciones en el nivel de [edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options] jerarquía:
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]
filter {
input filter-name;
}
Para obtener más información acerca de cómo configurar un conmutador virtual, consulte la biblioteca de conmutación y puente de capa 2 de Junos OS para dispositivos de enrutamiento.
En los enrutadores de borde universal 3D de la serie MX, puede aplicar un filtro de tabla de reenvío mediante la soure-checking instrucción en el nivel de [edit forwarding-options family inet6] jerarquía:
[edit forwarding-options family inet6]
family inet6 {
source-checking;
}
}
Esto descarta los paquetes IPv6 cuando el tipo de dirección de origen no está especificado, circuito cerrado, multidifusión o vínculo local.
RFC 4291, Arquitectura de direccionamiento IP versión 6, se refiere a cuatro tipos de direcciones que requieren un tratamiento especial cuando se utilizan como direcciones de origen. Los cuatro tipos de direcciones son:
Indeterminado
Loopack
Multidifusión
Unidifusión local de enlace
Las direcciones de circuito cerrado y multidifusión nunca deben utilizarse como dirección de origen en paquetes IPv6. Las direcciones no especificadas y locales de vínculo se pueden utilizar como direcciones de origen, pero los enrutadores nunca deben reenviar paquetes que tengan estas direcciones como direcciones de origen. Normalmente, los paquetes que contienen direcciones no especificadas o locales de vínculo como direcciones de origen se entregan al host local. Si el destino no es el host local, el paquete no debe reenviarse. La configuración de esta instrucción filtra o descarta paquetes IPv6 de estos cuatro tipos de dirección.
Para los enrutadores de la serie T distintos del T4000, un paquete reenviado por la tabla de reenvío llega al filtro de la tabla de reenvío de salida, independientemente de si el paquete es realmente reenviado por la tabla de reenvío o no. El paquete llega al filtro de salida incluso si la ruta apunta a rechazar o descartar los siguientes saltos.
En el concentrador PIC flexible (FPC) tipo 5 T4000, el paquete llega al filtro de salida sólo si es reenviado por la tabla de reenvío.
El filtro de la tabla de reenvío de salida se aplica a la interfaz de entrada de la FPC. Si diferentes paquetes al mismo destino llegan a diferentes FPC, es posible que se encuentren con diferentes aplicadores de policía.
En las versiones 14.2 y anteriores, el filtro de la tabla de reenvío de salida no es compatible con los enrutadores de servicio de la serie J.
En Junos OS versión 8.4 y posteriores, ya no puede configurar esta instrucción de salida para VPLS. Puede seguir configurando filtros de tabla de reenvío de entrada con la instrucción input en el nivel jerárquico [edit forwarding-options family vpls filter] .
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.