На этой странице
Обзор переадресации на основе фильтров
Для блокировки определенных пакетов могут использоваться фильтры межсетевых экранов. Они также могут быть использованы для влияния на то, как конкретные пакеты переадваруются.
Фильтры, которые классифицируют пакеты или направляет их экземплярам маршрутов
Только для трафика IPv4 или IPv6 можно использовать фильтры межсетевых экранов без сдвига состояния в сочетании с классами маршрутов и экземплярами маршрутов для контроля перемещения пакетов по сети. Это называется переадребаемой фильтрацией (FBF).
Можно определить термин фильтрации, который соответствует входящие пакеты на основании адреса источника и затем классифицирует совпадающие пакеты в заданный класс переад. Этот тип фильтрации можно настроить таким образом, чтобы предоставлять определенные типы управления трафиком или улучшить балансировку нагрузки. Чтобы настроить фильтрацию межсетевых экранов без сточки зрения сточки зрения классификации пакетов к классу переад доступа, настройте термин с действием, неудающим действием. forwarding-class class-name
Можно также определить термин фильтрации, который направляет совпадающие пакеты указанному экземпляру маршрутов. Этот тип фильтрации можно настроить на маршрут определенных типов трафика через межсетевой экран или другие устройство обеспечения безопасности перед тем, как трафик продолжит движение по своему пути. Чтобы настроить фильтр межсетевых экранов без сточки зрения сточки зрения routing-instance routing-instance-name <topology topology-name> прямого трафика на экземпляр маршрутов, задав термин с термином "действие", чтобы указать экземпляр маршрутки, на который будут перенаправляться совпадающие пакеты.
Проверка одноафровой переадреансии обратного пути (uRPF) совместима с действиями FBF. Проверка uRPF обрабатывается для проверки адреса источника до включения любых действий FBF для статических и динамических интерфейсов. Это относится как к семействам IPv4, так и к IPv6.
Чтобы перенаадлить трафик на экземпляр маршрутки, задав справку в конфигурации брандмауэра, routing-instance default как показано ниже:
[edit firewall]
family inet {
filter test {
term 1 {
then {
routing-instance default;
}
}
}
}
Не со routing-instance master ссылкой. Это не работает.
Фильтрация вводимых данных для классификации и перенавания пакетов в маршрутизаторе или коммутаторе
Можно настроить фильтры для классификации пакетов на основе адреса источника и указать путь переадресификации пакетов в маршрутизаторе или коммутаторе, задав фильтр на включении интерфейса.
Например, этот фильтр можно использовать для приложений, чтобы различать трафик от двух клиентов, которые имеют общий уровень доступа (например, коммутатор 2-го уровня), но подключенные к различным Интернет-провайдерам (Интернет-провайдерам). При применении фильтра маршрутизатор или коммутатор может различать два потока трафика и направлять каждый из них в соответствующую сеть. В зависимости от типа передающего носители, который используется клиентом, фильтр может использовать ИСХОДНЫй IP-адрес для переадки трафика в соответствующую сеть по туннелю. Можно также настроить фильтры для классификации пакетов в зависимости от типа IP-протокола или битов приоритета IP-пакета.
Фильтрация выходных данных для перенавания пакетов в другую таблицу маршрутов
Можно также переадресовать пакеты на основе фильтров на выходе, настроив фильтр на выходных интерфейсах. В случае зеркальногоотражение портов полезно распределить зеркальные пакеты с портами на несколько контрольных РС и сбор РС на основе шаблонов в их коллекторах. FBF на интерфейсе, зеркальном отражающих порты, должен быть настроен.
Пакеты, переадресуемые на фильтр вывода, проходят как минимум один просмотр маршрута, если на выходе настроен фильтр FBF. После того, как пакет классифицируется фильтром FBF на выходной интерфейс, он перенаправляется в другую таблицу маршрутов для дальнейшего осмотра маршрута.
Ограничения при применении фильтрации
Интерфейс, настроенный на основе фильтрации, не поддерживает соответствие фильтра класса источника или учет класса источника и класса назначения (SCU/DCU).