Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condições de correspondência do filtro de firewall para tráfego independente de protocolo

Você pode configurar um filtro de firewall com condições de correspondência para tráfego independente de protocolo (family any).

Para aplicar um filtro de firewall independente de protocolo em uma interface lógica, configure a filter declaração sob a unidade lógica.

Nota:

Nos roteadores da Série MX, conecte um filtro de firewall independente de protocolo a uma interface lógica configurando a filter declaração diretamente sob a unidade lógica:

  • [edit interfaces name unit number filter]

  • [edit logical-systems name interfaces name unit number filter]

Em todos os outros dispositivos suportados, anexe um filtro de firewall independente de protocolo a uma interface lógica configurando a filter declaração sob a família de protocolo (family any):

  • [edit interfaces name unit number family any filter]

  • [edit logical-systems name interfaces name unit number family any filter]

Tabela 1 descreve o que match-conditions você pode configurar no nível de [edit firewall family any filter filter-name term term-name from] hierarquia.

Tabela 1: Condições de correspondência do filtro de firewall para tráfego independente de protocolo

Condição da partida

Descrição

forwarding-class class

Combine com a classe de encaminhamento do pacote.

Especifiqueassured-forwarding, best-effortexpedited-forwardingou network-control.

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.

Nota:

No T4000 Tipo 5 FPCs, um filtro anexado no ponto de aplicação de Camada 2 (ou seja, no nível de interface lógica) é incapaz de combinar com a classe de encaminhamento de um pacote que é definido por um classificador de Camada 3, como DSCP, DSCP V6 inet-precedencee mpls-exp.

forwarding-class-except class

Não corresponda à classe de encaminhamento. Para obter mais informações, veja a condição da forwarding-class partida.

interface interface-name

Combine com a interface em que o pacote foi recebido.

Nota:

Se você configurar essa condição de correspondência com uma interface que não existe, o termo não corresponde a nenhum pacote.

interface-set interface-set-name

Combine com a interface na qual o pacote foi recebido no conjunto de interface especificado.

Para definir um conjunto de interface, inclua a interface-set declaração no nível de [edit firewall] hierarquia. Para obter mais informações, veja Filtragem de pacotes recebidos em uma visão geral do conjunto de interface.

loss-priority level

Corresponda ao nível de prioridade de perda de pacote (PLP).

Especifique um único nível ou vários níveis: lowoumedium-lowmedium-highhigh...

Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX.

Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) aprimorados, você deve incluir a tri-color declaração no [edit class-of-service] nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a tri-color declaração não estiver habilitada, você só poderá configurar os níveis e low os high níveis. Isso se aplica a todas as famílias de protocolo.

Nota:

Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.

Para obter informações sobre a tri-color declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.

loss-priority-except level

Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da loss-priority partida.

Nota:

Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.

packet-length bytes

Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2. Você também pode especificar uma variedade de valores a serem combinados.

packet-length-except bytes

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de packet-length correspondência.

vlan-id number

Combine com a ID VLAN do pacote. O intervalo é de 0 a 4095.

Tópicos relacionados