Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral dos filtros de atualização rápida

Os filtros de atualização rápida fornecem um processamento de filtro mais eficiente em relação aos filtros estáticos clássicos quando os serviços dinâmicos são implementados para vários assinantes que compartilham a mesma interface lógica.

Os filtros de atualização rápida dão suporte a valores de filtro específicos do assinante, ao contrário dos filtros clássicos, que são específicos da interface. Os filtros de atualização rápida permitem que termos ou regras de filtro individuais sejam adicionados ou removidos dos filtros sem exigir que o roteador recompile o filtro após cada modificação — os termos são adicionados e removidos quando os serviços do assinante são adicionados e removidos.

O uso do recurso de filtros de atualização rápida envolve três operações distintas:

  1. Criando o filtro — Você define filtros de [edit dynamic-profiles profile-name firewall family family] atualização rápida na hierarquia. A dynamic-profiles sub-rotina permite que você use variáveis dinâmicas para criar configurações específicas do assinante para os termos de correspondência do filtro. Consulte Configuração de filtros de atualização rápida.

  2. Associando o filtro a um perfil dinâmico — Use a [edit dynamic-profiles profile-name interface interface-name unit unit-number family family hierarquia para associar o filtro a um perfil dinâmico. Esse é o mesmo procedimento usado para filtros clássicos. Consulte Associando filtros de atualização rápida a interfaces em um perfil dinâmico.

  3. Anexando o filtro a uma interface — Quando um assinante faz login, o perfil dinâmico instancia a sessão do assinante e aplica as propriedades do perfil, incluindo o filtro de atualização rápida, à interface da sessão. Esse é o mesmo procedimento usado para filtros clássicos. Além disso, semelhante aos filtros clássicos, o nome dos filtros de atualização rápida pode ser fornecido no arquivo RADIUS de um usuário.

Quando um perfil dinâmico instancia uma sessão de assinante e aplica um filtro de atualização rápida, o roteador verifica se o filtro ainda não está presente na interface da sessão. Se o filtro não estiver presente, o roteador adiciona o filtro. Se o filtro já estiver presente na interface, o roteador simplesmente adicionará quaisquer novos termos que não estejam no filtro existente. Esse procedimento é revertido quando as sessões do assinante são excluídas. Todos os termos adicionados por uma sessão são removidos quando a sessão é excluída. O filtro é excluído quando a última sessão do assinante é excluída.

Observação:

Opcionalmente, você pode especificar que um termo pode ser adicionado apenas uma vez e não pode ser modificado. Consulte Condições de correspondência e ações em Filtros de atualização rápida.

Esta visão geral abrange:

Componentes de filtro de atualização rápida

Ao criar um filtro de atualização rápida, você define um ou mais termos que especificam os critérios de filtragem e a ação a ser tomada quando ocorre uma correspondência.

Cada termo consiste nos seguintes componentes:

  • Condição de correspondência — Especifica valores ou campos que o pacote deve conter. Você pode corresponder no máximo cinco campos em um filtro de atualização rápida. Uma condição de correspondência pode conter um único valor ou intervalo. Isso difere dos filtros clássicos, nos quais os termos podem ter vários valores. No entanto, você pode usar termos adicionais para especificar vários intervalos. Condições de correspondência de filtro de atualização rápida lista as condições de correspondência com suporte para filtros de atualização rápida. A ordem em que os termos aparecem em um filtro de atualização rápida não é importante, porque o roteador examina o termo mais específico primeiro. (Os filtros clássicos examinam os termos na ordem em que os termos são listados.)

  • Ação — Especifica o que fazer quando um pacote corresponde à condição de correspondência. Se nenhuma ação for especificada para um termo, a ação padrão será aceitar o pacote. Ações de Filtro de Atualização Rápida e Modificadores de Ação lista as ações com suporte para filtros de atualização rápida.

Os termos adicionados ao filtro durante a instanciação da sessão devem ter um conjunto exclusivo de condições de correspondência. Dois termos se sobrepõem, ou entram em conflito, se um pacote puder corresponder a ambos os conjuntos de condições — como resultado, há duas ações diferentes para o pacote. Você pode garantir que os termos sejam exclusivos usando a $junos-subscriber-ip-address variável como source-address (para um filtro de entrada) ou destination-address (para um filtro de saída) na from instrução. Em seguida, você deve fornecer a source-address condição or destination-address , conforme apropriado, como a primeira condição na match-order instrução.

Processamento rápido de filtros de atualização

Você deve usar a match-order instrução para especificar explicitamente a ordem na qual o roteador examina as condições de correspondência de filtro. Além disso, o roteador examina apenas as condições que você inclui na match-order declaração. Quando um filtro de atualização rápida contém vários termos, o roteador compara um pacote com os termos, começando com a condição mais específica primeiro. Quando o pacote corresponde pela primeira vez a uma condição, o roteador executa a ação definida no termo para aceitar ou rejeitar o pacote e, em seguida, nenhum outro termo é avaliado. Se o roteador não encontrar uma correspondência entre o pacote e o primeiro termo, ele compara o pacote com o próximo termo no filtro. O roteador continua a comparar o pacote com o próximo termo especificado até que uma correspondência seja encontrada. Se não houver correspondência depois que todos os termos tiverem sido examinados, o roteador descartará silenciosamente o pacote.

Você pode especificar uma precedência (de 0 a 255) para filtros de entrada e saída em um perfil dinâmico para forçar o processamento de filtro em uma ordem específica. Definir um valor de precedência mais baixo para um filtro dá a ele uma precedência mais alta dentro do perfil dinâmico. Filtros com valores de precedência mais baixos são aplicados a interfaces antes de filtros com valores de precedência mais altos. Uma precedência de zero (o padrão) dá ao filtro a precedência mais alta. Se nenhuma precedência for especificada, o filtro receberá uma precedência de zero (precedência mais alta). Os filtros com precedência correspondente (zero ou não) são aplicados em ordem aleatória.

Nomes de filtro de atualização rápida

Quando um filtro é anexado a uma interface, o roteador primeiro procura um filtro clássico com o nome especificado e, em seguida, usa o filtro clássico. Se não existir nenhum filtro clássico com esse nome, o roteador procurará no perfil dinâmico um filtro de atualização rápida com o nome especificado e usará esse filtro.

Se dois perfis dinâmicos diferentes incluírem um filtro de atualização rápida com o mesmo nome, a match-order especificação dos dois filtros deverá ser idêntica. Se os dois filtros forem ativados na mesma interface, os termos serão somados.

O roteador inclui o nome do filtro nos show firewall resultados do comando. O roteador também cria nomes exclusivos para termos de filtro e contadores para o show firewall comando.

Quando um filtro de atualização rápida é criado pela ativação de um perfil dinâmico, o roteador cria um nome específico da interface para o filtro. O nome usa o seguinte formato, que também é usado para filtros clássicos:

<filter-name>-<interface-name>.<subunit>-<direction>

Por exemplo, um filtro de entrada nomeado httpFilter na interface ge-1/0/0.5 é nomeado da seguinte forma (in indica um filtro de entrada e out indica um filtro de saída):

http-filter-ge-1/0/0.5–in

O roteador cria nomes exclusivos para os termos e contadores de filtro, anexando o ID da sessão a todos os nomes de termos e contadores. Os termos que usam a only-at-create instrução têm um session-id de 0. Os termos e contadores usam o seguinte formato:

<term-name>-<session-id>

<counter-name>-<session-id>

Diretrizes para criar e aplicar filtros de atualização rápida

Os filtros de atualização rápida permitem que você crie filtros de firewall específicos para assinantes e aplique dinamicamente esses filtros a interfaces criadas estaticamente usando perfis dinâmicos. Termos individuais podem ser adicionados ou removidos de um filtro sem exigir que todo o filtro seja recompilado.

Ao criar e aplicar filtros de atualização rápida, lembre-se do seguinte:

  • A aplicação dinâmica de filtros de entrada e saída é suportada.

  • Você não pode usar o mesmo filtro de atualização rápida que um filtro de entrada e saída no mesmo perfil dinâmico anexado a uma interface.

  • Os filtros de atualização rápida devem sempre incluir termos que permitam a passagem do tráfego DHCP. Consulte Configuração de filtros para permitir o tráfego esperado.

  • Você pode criar family inet e inet6 filtrar.

  • Você pode adicionar ou remover filtros IPv4 e IPv6 com a mesma ativação ou desativação de serviço.

  • Você pode remover um tipo de filtro sem afetar o outro tipo de filtro. Por exemplo, você pode remover filtros IPv6 e deixar os filtros IPv4 atuais ativos.

  • A interface-specific instrução é necessária para todos os filtros de atualização rápida.

  • A match-order instrução é obrigatória — você deve declarar explicitamente a ordem dos campos de correspondência em um filtro de atualização rápida. Consulte Configurando a Ordem de Correspondência para Filtros de Atualização Rápida.

  • A match-order instrução usa um curinga implícito para condições que você especifica na instrução. Se você especificar uma condição que também não está configurada na especificação de um termo de filtro, o roteador considerará isso um curinga from para essa condição.

  • Um termo de filtro pode ter apenas um único valor ou intervalo; no entanto, você pode configurar vários termos para especificar vários intervalos.

  • Você pode corresponder a um máximo de cinco condições de correspondência em um filtro.

Documentação relacionada