应用转发表过滤器
转发表过滤器允许您根据数据包的组件过滤数据包,并对与过滤器匹配的数据包执行作。您可以对转发表的入口或出口数据包应用过滤器。您可以在层次结构级别配置 [edit firewall family family-name] 过滤器;有关更多信息,请参阅 配置转发表过滤器。
要对转发表的入口数据包应用转发表过滤器,请在层次结构级别包括[edit forwarding-options family family-name]过滤器和input语句:
[edit forwarding-options family family-name] filter { input filter-name; }
您可以通过对转发表的出口数据包应用防火墙过滤器,根据目标类信息进行过滤。通过对路由表转发的数据包应用防火墙过滤器,可以基于路由查找确定的某些参数进行匹配。例如,路由可以分为特定的目标类和源类。用于监管和镜像的防火墙过滤器能够基于这些类进行匹配。
要对转发表的出口数据包应用防火墙过滤器,请在层次结构级别包括[edit forwarding-options family family-name]过滤器和output语句:
[edit forwarding-options family family-name] filter { output filter-name; }
如果您还使用出口转发表过滤器,则不能使用包含匹配条件的 interface-group 防火墙过滤器。这是因为 interface-group 匹配条件使用接收数据包的逻辑接口来匹配接口组(或接口组集),而转发表过滤器仅适用于本地主机流量和中转数据包。
要将转发表过滤器应用于泛洪表,请在层次结构级别包括[edit forwarding-options family family-name]泛洪和input语句,如下所示。该flood语句仅对 vpls 协议家族有效。
[edit forwarding-options family vpls] flood { input filter-name; }
要为虚拟交换机应用转发表过滤器,请仅在MX 系列路由器上,在层次结构级别包括[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]过滤器和input语句:
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]
filter {
input filter-name;
}
有关如何配置虚拟交换机的更多信息,请参阅适用于路由 设备的 Junos OS 第 2 层交换和桥接库。
在 MX 系列 3D 通用边缘路由器上,您可以在层次结构级别使用[edit forwarding-options family inet6]以下soure-checking语句来应用转发表过滤器:
[edit forwarding-options family inet6]
family inet6 {
source-checking;
}
}
当源地址类型为未指定、环路、组播或链路本地时,这会丢弃 IPv6 数据包。
RFC 4291,IP 版本 6 寻址架构是指在用作源地址时需要特殊处理的四种地址类型。四种地址类型是:
未指定
Loopack
组播
链路-本地单播
环路和组播地址绝不能用作 IPv6 数据包中的源地址。未指定地址和链路本地地址可用作源地址,但路由器绝不能转发以这些地址作为源地址的数据包。通常,包含未指定地址或链路本地地址作为源地址的数据包将传送到本地主机。如果目标不是本地主机,则不得转发数据包。配置此语句将过滤或丢弃这四种地址类型的 IPv6 数据包。
出口转发表过滤器应用于 FPC 的入口接口。如果发送到同一目标的不同数据包到达不同的 FPC 上,它们可能会遇到不同的监管器。
您无法为 VPLS 配置此输出语句。您可以继续在层次结构级别使用 [edit forwarding-options family vpls filter] input 语句配置入口转发表过滤器。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。