Настройка фильтров таблицы переадстройки
Фильтры таблицы переад доступа определены так же, как и другие фильтры межсетевых экранов, но применяются по-другому:
Вместо таблица переадресации фильтров к интерфейсам они применяются к таблицам переад доступа, каждый из которых связан с экземпляром маршрутов и виртуальной частной сетью (VPN).
Вместо применения фильтров ввода и вывода по умолчанию можно применять только фильтр ввода таблица переадресации входной фильтр.
Все пакеты подвергаются фильтру ввода таблица переадресации, который применяется к таблица переадресации. Фильтр таблица переадресации, какие пакеты принимает маршрутизатор, и затем выполняет просмотр таблица переадресации, контролируя тем самым, какие пакеты маршрутизатор перенаправит на интерфейсы.
Когда маршрутизатор получает пакет, он определяет наилучший маршрут к конечному месту назначения, посмотрев на таблица переадресации, связанный с VPN, на который должен быть отправлен пакет. Затем маршрутизатор передает пакет к месту назначения через соответствующий интерфейс.
Для транзитных пакетов, выходных из маршрутизатора через туннель, фильтрация таблица переадресации на интерфейсах, настроенных в качестве выходного интерфейса для туннельного трафика, не поддерживается.
Фильтр таблица переадресации позволяет фильтровать пакеты данных, основанные на их компонентах, и выполнять действия по пакетам, которые соответствуют фильтру; фактически он контролирует, какие пакеты-носитли принимает и перенанотовет маршрутизатор. Чтобы настроить фильтр таблица переадресации, включим утверждение firewall на [edit] уровне иерархии:
[edit]
firewall {
family family-name {
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
family-name тип адреса семейства: IPv4 ( inet ), IPv6 ( inet6 ), Трафик уровня 2 bridge () или MPLS ( mpls ).
term-name именоваемая структура, в которой определяются условия совпадения и действия.
match-conditions это критерии, по которым сравнивается пакет-носиттель; например, IP-адрес устройства-источника или устройства-адресата. В условии соответствия можно указать несколько критериев.
action указывает, что произойдет, если пакет соответствует всем критериям; например, узел поддержки шлюза GPRS (GGSN) принимает пакет-носиттель, выполняет просмотр информации в таблица переадресации и перенаправление пакета по месту назначения; отбрасывание пакета; и отбрасывание пакета и возврат сообщения об отказе.
action-modifiers это действия, которые принимаются в дополнение к GGSN- приему или отбрасывание пакета при совпадении всех критериев; например, подсчет пакетов и ведение журнала пакета.
Чтобы создать таблица переадресации, включим instance-type утверждение с forwarding параметром на уровне [edit routing-instances instance-name] иерархии:
[edit]
routing-instances instance-name {
instance-type forwarding;
}
Чтобы применить фильтр таблица переадресации VPN к таблице маршрутов и переадранности (VRF), внесите в него следующие правила и утверждения на filterinput уровне [edit routing-instance instance-name forwarding-options family family-name] иерархии:
[edit routing-instances instance-name]
instance-type forwarding;
forwarding-options {
family family-name {
filter {
input filter-name;
}
}
}
Чтобы применить фильтр таблица переадресации к таблица переадресации, включим в него и утверждения на filterinput уровне [edit forwarding-options family family-name] иерархии:
[edit forwarding-options family family-name]
filter {
input filter-name;
}
Чтобы применить фильтр таблица переадресации к стандарту таблица переадресации, который не связан с конкретным экземпляром маршрутов, включите в себя а также утверждения на inet.0filter уровне input[edit forwarding-options family inet] иерархии:
[edit forwarding-options family inet]
filter {
input filter-name;
}