Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Condições de correspondência do filtro de firewall com base nas aulas de endereço

Somente para tráfego IPv4 e IPv6, você pode usar condições de filtro de firewall baseadas em classe para combinar campos de pacotes com base na classe de origem ou classe de destino.

Uso de classe fonte

A é um conjunto de prefixos de origem agrupados e dado um nome de classe. Para configurar um termo de filtro de firewall que corresponda a um campo de endereço de origem IP a uma ou mais classes de origem, use a condição de source-class class-name correspondência no nível de [edit firewall family (inet | inet6) filter filter-name term term-name from] hierarquia.

O uso de classe fonte (SCU) permite monitorar a quantidade de tráfego originada de um prefixo específico. Com esse recurso, o uso pode ser rastreado e os clientes podem ser cobrados pelo tráfego que recebem.

Uso de classe de destino

A é um conjunto de prefixos de destino agrupados e dado um nome de classe. Para configurar um termo de filtro de firewall que corresponda a um campo de endereço de destino IP a uma ou mais classes de destino, use a condição de destination-class class-name correspondência no nível de [edit firewall family (inet | inet6) filter filter-name term term-name from] hierarquia.

O uso da classe de destino (DCU) permite rastrear quanto tráfego é enviado para um prefixo específico no núcleo da rede originado de uma das interfaces especificadas.

Observe, no entanto, que a DCU limita sua capacidade de acompanhar o tráfego se movendo na direção inversa. Ele pode explicar todo o tráfego que chega em uma interface de núcleo e vai em direção a um cliente específico, mas não pode contar o tráfego que chega em uma interface de núcleo a partir de um prefixo específico.

Diretrizes para a aplicação de filtros de firewall SCU ou DCU nas interfaces de saída

Ao aplicar um filtro de firewall SCU ou DCU em uma interface, tenha em mente as seguintes diretrizes:

  • Interfaces de saída — condições de correspondência de filtro de firewall baseadas em classe funcionam apenas para filtros de firewall que você aplica às interfaces de saída. Isso ocorre porque o SCU e o DCU são determinados após a busca da rota ocorrer.

  • Interfaces de entrada — Embora você possa especificar uma classe de origem e uma classe de destino para um filtro de firewall de entrada, os contadores só são incrementados se o filtro de firewall for aplicado na interface de saída.

  • Interfaces de saída para tráfego de túnel — SCU e DCU não são suportadas nas interfaces que você configura como a interface de saída para tráfego de túnel para pacotes de trânsito que saem do roteador (ou switch) pelo túnel.

Tópicos relacionados