Visão geral dos filtros de atualização rápida
Os filtros de atualização rápida fornecem processamento de filtro mais eficiente em filtros estáticos clássicos quando serviços dinâmicos são implementados para vários assinantes que compartilham a mesma interface lógica.
Os filtros de atualização rápida oferecem suporte a valores de filtro específicos para assinantes, em oposição aos filtros clássicos, que são específicos da interface. Os filtros de atualização rápida permitem que termos ou regras de filtro individuais sejam adicionados ou removidos dos filtros sem exigir que o roteador recompile o filtro após cada modificação — os termos são adicionados e removidos quando os serviços de assinantes são adicionados e removidos.
O recurso de filtros de atualização rápida envolve três operações distintas:
Criação do filtro — Você define filtros de atualização rápida sob a
[edit dynamic-profiles profile-name firewall family family]
hierarquia. Adynamic-profiles
estrofe permite que você use variáveis dinâmicas para criar configurações específicas do assinante para os termos de correspondência do filtro. Veja a configuração de filtros de atualização rápida.Associando o filtro a um perfil dinâmico — você usa a
[edit dynamic-profiles profile-name interface interface-name unit unit-number family family
hierarquia para associar o filtro a um perfil dinâmico. Este é o mesmo procedimento usado para filtros clássicos. Veja a associação de filtros de atualização rápida com interfaces em um perfil dinâmico.Anexando o filtro a uma interface — Quando um assinante faz login, o perfil dinâmico instancia a sessão do assinante e aplica as propriedades do perfil, incluindo o filtro de atualização rápida, à interface de sessão. Este é o mesmo procedimento usado para filtros clássicos. Além disso, semelhante aos filtros clássicos, o nome dos filtros de atualização rápida pode ser fornecido no arquivo RADIUS de um usuário.
Quando um perfil dinâmico instancia uma sessão de assinantes e aplica um filtro de atualização rápida, o roteador verifica se o filtro ainda não está presente na interface de sessão. Se o filtro não estiver presente, o roteador adiciona o filtro. Se o filtro já estiver presente na interface, o roteador simplesmente adiciona quaisquer novos termos que não estejam no filtro existente. Esse procedimento é invertido quando as sessões de assinantes são excluídas. Quaisquer termos que foram adicionados por uma sessão são então removidos quando a sessão é excluída. O filtro é excluído quando a última sessão de assinante é excluída.
Você pode especificar opcionalmente que um termo pode ser adicionado apenas uma vez e não pode ser modificado. Veja condições e ações de correspondência em filtros de atualização rápida.
Essa visão geral abrange:
Componentes do filtro de atualização rápida
Ao criar um filtro de atualização rápida, você define um ou mais termos que especificam os critérios de filtragem e a ação a ser tomada quando uma correspondência ocorre.
Cada termo consiste nos seguintes componentes:
Condição da correspondência — especifica valores ou campos que o pacote deve conter. Você pode combinar no máximo cinco campos em um filtro de atualização rápida. Uma condição compatível pode conter um único valor ou intervalo. Isso difere dos filtros clássicos, em que os termos podem ter vários valores. No entanto, você pode usar termos adicionais para especificar vários intervalos. As condições de correspondência do filtro de atualização rápida listam as condições de correspondência suportadas para filtros de atualização rápida. A ordem em que os termos aparecem em um filtro de atualização rápida não é importante, porque o roteador examina o termo mais específico em primeiro lugar. (Os filtros clássicos examinam os termos da ordem em que os termos estão listados.)
Ação — especifica o que fazer quando um pacote corresponde à condição da correspondência. Se nenhuma ação for especificada para um termo, a ação padrão é aceitar o pacote. As ações de filtro e modificadores de ação de atualização rápida listam as ações apoiadas para filtros de atualização rápida.
Os termos adicionados ao filtro durante a instanciação da sessão devem ter um conjunto exclusivo de condições de correspondência. Dois termos se sobrepõem ou entram em conflito se um pacote pode corresponder a ambos os conjuntos de condições — como resultado, existem duas ações diferentes para o pacote. Você pode garantir que os termos são exclusivos usando a $junos-subscriber-ip-address
variável como source-address
(para um filtro de entrada) ou destination-address
(para um filtro de saída) na from
declaração. Em seguida, você deve fornecer a source-address
ou destination-address
condição, conforme apropriado, como a primeira condição na match-order
declaração.
Processamento rápido de filtros de atualização
Você deve usar a match-order
declaração para especificar explicitamente a ordem em que o roteador examina as condições de correspondência do filtro. Além disso, o roteador examina apenas as condições que você inclui na match-order
declaração. Quando um filtro de atualização rápida contém vários termos, o roteador compara um pacote com os termos que começam com a condição mais específica primeiro. Quando o pacote corresponde primeiro a uma condição, o roteador realiza a ação definida no termo para aceitar ou rejeitar o pacote e, em seguida, nenhum outro termos é avaliado. Se o roteador não encontrar uma correspondência entre o pacote e o primeiro termo, ele então compara o pacote com o próximo termo no filtro. O roteador continua a comparar o pacote com o próximo termo especificado até que uma correspondência seja encontrada. Se não houver correspondência após todos os termos terem sido analisados, o roteador derruba silenciosamente o pacote.
Você pode especificar uma precedência (de 0 a 255) para filtros de entrada e saída em um perfil dinâmico para forçar o processamento de filtros em uma determinada ordem. Definir um valor de precedência mais baixo para um filtro lhe dá uma precedência maior dentro do perfil dinâmico. Filtros com valores de precedência mais baixos são aplicados a interfaces antes dos filtros com valores de precedência mais altos. Uma precedência de zero (o padrão) dá ao filtro a mais alta precedência. Se nenhuma precedência for especificada, o filtro recebe uma precedência de zero (maior precedência). Os filtros com precedência correspondente (zero ou não) são aplicados em ordem aleatória.
Nomes de filtro de atualização rápida
Quando um filtro é anexado a uma interface, o roteador primeiro procura por um filtro clássico com o nome especificado e depois usa o filtro clássico. Se nenhum filtro clássico existir com esse nome, o roteador então pesquisa no perfil dinâmico um filtro de atualização rápida com o nome especificado e usa esse filtro.
Se dois perfis dinâmicos diferentes incluem um filtro de atualização rápida com o mesmo nome, a match-order
especificação dos dois filtros deve ser idêntica. Se os dois filtros forem ativados na mesma interface, os termos serão adicionados juntos.
O roteador inclui o nome do filtro nos show firewall
resultados de comando. O roteador também cria nomes exclusivos para termos e contadores de filtro para o show firewall
comando.
Quando um filtro de atualização rápida é criado pela ativação de um perfil dinâmico, o roteador cria um nome específico para a interface para o filtro. O nome usa o seguinte formato, que também é usado para filtros clássicos:
<filter-name>-<interface-name>.<subunit>-<direction>
Por exemplo, um filtro de entrada indicado httpFilter
na interface ge-1/0/0.5
é indicado da seguinte forma (in
indica um filtro de entrada e out
indica um filtro de saída):
http-filter-ge-1/0/0.5–in
O roteador cria nomes exclusivos para os termos e contadores do filtro, anexando a ID da sessão a todos os nomes de termo e contadores. Os termos que usam a only-at-create
declaração têm uma id de sessão de 0. Termos e contadores usam o seguinte formato:
<term-name>-<session-id>
<counter-name>-<session-id>
Diretrizes para criar e aplicar filtros de atualização rápida
Os filtros de atualização rápida permitem que você crie filtros de firewall específicos para assinantes e aplique dinamicamente esses filtros para criar interfaces estaticamente usando perfis dinâmicos. Os termos individuais podem ser adicionados ou removidos de um filtro sem exigir que todo o filtro seja compensado.
Ao criar e aplicar filtros de atualização rápida, lembre-se do seguinte:
A aplicação dinâmica de filtros de entrada e saída é suportada.
Você não pode usar o mesmo filtro de atualização rápida que um filtro de entrada e saída no mesmo perfil dinâmico anexado a uma interface.
Os filtros de atualização rápida devem sempre incluir termos que permitam a passagem do tráfego DHCP. Veja a configuração de filtros para permitir o tráfego esperado.
Você pode criar
family inet
einet6
filtrar.Você pode adicionar ou remover os filtros IPv4 e IPv6 com a mesma ativação ou desativação de serviços.
Você pode remover um tipo de filtro sem afetar o outro tipo de filtro. Por exemplo, você pode remover os filtros IPv6 e deixar os filtros IPv4 atuais ativos.
A
interface-specific
declaração é necessária para todos os filtros de atualização rápida.A
match-order
declaração é necessária — você deve declarar explicitamente a ordem dos campos de correspondência em um filtro de atualização rápida. Veja configuração da ordem de correspondência para filtros de atualização rápida.A
match-order
declaração usa um curinga implícito para condições que você especifica na declaração. Se você especificar uma condição que também não esteja configurada nafrom
especificação de um termo de filtro, o roteador considera isso um curinga para essa condição.Um termo de filtro pode ter apenas um único valor ou intervalo; no entanto, você pode configurar vários termos para especificar vários intervalos.
Você pode combinar no máximo cinco condições de correspondência em um filtro.