Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Orientações para configurar filtros simples

Hierarquia de declarações para configuração de filtros simples

Para configurar um filtro simples, inclua a simple-filter simple-filter-name instrução em [edit firewall family inet] nível de hierarquia.

As declarações individuais suportadas na declaração são descritas separadamente neste tópico e são ilustradas no exemplo de configuração e simple-filter simple-filter-name aplicação de um filtro simples.

Famílias de protocolo de filtro simples

Você pode configurar filtros simples apenas para filtrar o tráfego IPv4 ( family inet ) Nenhuma outra família de protocolos tem suporte para filtros simples.

Nomes de filtro simples

Na family inet declaração, você pode incluir declarações simple-filter simple-filter-name para criar e nomear filtros simples. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

Termos de filtro simples

Na simple-filter simple-filter-name declaração, você pode incluir declarações term term-name para criar e nomear termos de filtragem.

  • Você deve configurar pelo menos um termo em um filtro de firewall.

  • Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O nome do termo pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

  • A ordem na qual você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando insert modo de configuração para reordenar os termos de um filtro de firewall.

Filtros simples não suportam a next term ação.

Condições de combinação de filtro simples

Termos de filtro simples suportam apenas um subconjunto das condições de combinação do IPv4 que são suportados para filtros de firewall sem estado padrão.

Ao contrário dos filtros de firewall sem estado padrão, as seguintes restrições se aplicam a filtros simples:

  • Nos roteadores da Série MX com a DPC aprimorada e com switches da Série EX, filtros simples não suportam a condição forwarding- class de combinação.

  • Filtros simples são de suporte source-address para apenas um destination-address prefixo para cada termo de filtro. Se você configurar vários prefixos, somente o último será usado.

  • Filtros simples não suportam vários endereços de origem e endereços de destino em um único termo. Se você configurar vários endereços, somente o último será usado.

  • Filtros simples não suportam condições de combinação negadas, como a condição protocol-except da combinação ou a exception palavra-chave.

  • Filtros simples são de suporte para uma variedade de valores source-port apenas para condições de destination-port combinação. Por exemplo, você pode configurar source-port 400-500 ou destination-port 600-700 .

  • Filtros simples não suportam valores de mascaramento não contíguas.

Tabela 1 lista as condições de combinação de filtro simples.

Tabela 1: Condições de combinação de filtro simples

Condição de combinação

Descrição

destination-address destination-address

Combinar endereço de destino IP.

destination-port number

Campo de porta de destino TCP ou UDP.

Se você configurar essa condição de combinação, recomendamos que você também configure a instrução de combinação para determinar protocol qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes nomes de texto (os números de porta também estão indicados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2105), (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (20), (20)80), https (443), ident (113), imap (143), kerberos-secklogin (88), (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), sshsunrpc (22), (111), syslog (514), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

forwarding-class class

Combinar a classe de encaminhamento do pacote.

assured-forwardingbest-effort Especifique, expedited-forwarding ou network-control .

Para obter informações sobre classes de encaminhamento e filas de saída internas do roteador, consulte Entender como as classes de encaminhamento atribuem classes a filas de saída.

protocol number

campo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes nomes de texto (os valores de campo também estão relacionados): ah(51), dstopts (60), egpesp (8), (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmpipip (2), (4), ipv6ospf (41), pim (89), (103), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

source-address ip-source-address

Combinar o endereço de origem IP.

source-port number

Combinar o campo de porta de origem UDP ou TCP.

Se você configurar essa condição de combinação, recomendamos que você também configure a instrução de combinação para determinar protocol qual protocolo está sendo usado na porta.

No lugar do campo numérico, você pode especificar um dos nomes de texto indicados para destination-port .

Ações simples de terminação de filtro

Os filtros simples não suportam ações de terminação explicitamente configuráveis, accept como, e rejectdiscard . Termos configurados em um filtro simples sempre aceitam pacotes.

Filtros simples não suportam a next ação.

Ações simples de não-filtragem

Os filtros simples têm suporte apenas para as seguintes ações não-dominantes:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    Nota:

    Nos roteadores da Série MX e switches da Série EX com a DPC de enqueceramento aprimorado, a classe de encaminhamento não é suportada como uma from condição de combinação.

  • loss-priority (high | low | medium-high | medium-low)

Filtros simples não suportam ações que executam outras funções em um pacote (como incrementar um contador, registrar informações sobre o header de pacotes, amostrar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema).