Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

配置简单过滤器的准则

用于配置简单过滤器的语句层次结构

要配置简单过滤器,请在层级添加语句simple-filter simple-filter-name[edit firewall family inet]

本主题将单独介绍该 simple-filter simple-filter-name 语句下支持的单个语句,并在配置和应用简单过滤器的示例中进行了说明。

简单过滤器协议家族

您可以配置简单的过滤器,以仅过滤 IPv4 流量 (family inet)。简单的过滤器不支持其他协议家族。

简单过滤器名称

在语句下 family inet ,您可以包括 simple-filter simple-filter-name 用于创建简单过滤器并命名简单过滤器的语句。过滤器名称可以包含字母、数字和连字符 (-),最长为 64 个字符。要让名称中包含空格,请用引号 (“ ”) 将整个名称括起来。

简单的过滤条款

该语句下 simple-filter simple-filter-name ,您可以包括 term term-name 要创建和命名过滤术语的语句。

  • 您必须在 防火墙过滤器中至少配置一个术语。

  • 您必须为防火墙过滤器中的每个术语指定唯一的名称。术语名称可包含字母、数字和连字符 (-),最长可包含 64 个字符。要让名称中包含空格,请用引号 (“ ”) 将整个名称括起来。

  • 在防火墙过滤器配置中指定术语的顺序非常重要。将按配置顺序评估防火墙过滤器术语。默认情况下,新术语始终添加到现有过滤器的末尾。您可以使用 insert 配置模式命令对防火墙过滤器的条款进行重新排列。

简单的过滤器不支持next term 操作。

简单的过滤器匹配条件

简单的过滤器条款仅支持标准无状态防火墙过滤器支持的 IPv4 匹配条件的一个子集。

与标准无状态防火墙过滤器不同,以下限制适用于简单过滤器:

  • 在具有增强型排队 DPC 的 MX 系列路由器和 EX 系列交换机上,简单的过滤器不支持forwarding- class匹配条件。

  • 对于每个过滤器术语,简单过滤器仅支持一 source-address 个和一个 destination-address 前缀。如果配置多个前缀,只会使用最后一个前缀。

  • 简单过滤器不支持 单个术语中多个源地址和目标地址。如果配置多个地址,则只会使用最后一个地址。

  • 简单的过滤器不支持 否定的 protocol-except 匹配条件,如匹配条件或 exception 关键字。

  • 简单的过滤器仅支持一系列 source-port 值,并且 destination-port 仅支持匹配条件。例如,您可以配置 source-port 400-500destination-port 600-700

  • 简单的过滤器不支持不 连续的掩码值。

表 1 列出了简单的过滤器匹配条件。

表 1: 简单的过滤器匹配条件

匹配条件

说明

destination-address destination-address

匹配 IP 目标地址。

destination-port number

TCP 或 UDP 目标端口字段。

如果配置此匹配条件,则建议同时配置 protocol match 语句,以确定端口上使用哪个协议。

您可以代替数值指定以下文本别名之一(同时列出了端口号):afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、 cmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、(21) eklogin 05)、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21)、 ftp-data (20)、 http (80)、 https (443)、 ident (113)、 imap (143)、 kerberos-sec (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、 ldap (389)、 login (513)、 mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、 netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、 pop3 (110)、 pptp (1723)、 printer (515)、 radacct (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、(44) snpp 4)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513) 或 xdmcp (177)。

forwarding-class class

匹配数据包的转发等级。

指定 assured-forwardingbest-effort、 、 expedited-forwardingnetwork-control

有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列

protocol number

IP 协议字段。您可以指定以下文本别名之一(同时列出了字段值),以取代数值:ah(51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 ospf (89)、 pim (103)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)或 vrrp (112)。

source-address ip-source-address

匹配 IP 源地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

如果配置此匹配条件,则建议同时配置 protocol match 语句,以确定端口上使用哪个协议。

您可以指定所列 destination-port文本别名之一,以取代数字字段。

简单的过滤器终止操作

简单过滤器不支持显式 配置的终止操作,例如 acceptrejectdiscard。在简单过滤器中配置的术语始终接受数据包。

简单的过滤器不支持next 操作。

简单的过滤器非确定操作

简单的过滤器仅支持以下非确定操作:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    注:

    在具有增强型队列 DPC 的 MX 系列路由器和 EX 系列交换机上,不支持将转发类作为 from 匹配条件。

  • loss-priority (high | low | medium-high | medium-low)

简单过滤器不支持对数据包执行其他功能的操作(例如递增计数器、记录有关数据包标头的信息、对数据包数据进行采样,或使用系统日志功能向远程主机发送信息)。

相关主题