配置简单筛选器的准则

用于配置简单筛选器的语句层次结构

要配置简单筛选器，请在层次结构级别包含simple-filter simple-filter-name[edit firewall family inet]语句。

本主题将单独介绍该 simple-filter simple-filter-name 语句支持的各个语句，并在配置和应用简单筛选器的示例中进行说明。

简单过滤器协议家族

您可以将简单过滤器配置为仅过滤 IPv4 流量（family inet）。简单筛选器不支持其他协议家族。

简单筛选器名称

在 family inet 语句下，可以包含 simple-filter simple-filter-name 用于创建和命名简单筛选器的语句。筛选器名称可以包含字母、数字和连字符（-），长度最多为 64 个字符。要在名称中包含空格，请用引号（“ ”）将整个名称括起来。

简单筛选术语

在 simple-filter simple-filter-name 语句下，可以包含 term term-name 用于创建和命名筛选器术语的语句。

您必须在防火墙过滤器中至少配置一个术语。
您必须为防火墙过滤器中的每个术语指定唯一的名称。术语名称可以包含字母、数字和连字符（-），最长可达 64 个字符。要在名称中包含空格，请用引号（“ ”）将整个名称括起来。
在防火墙过滤器配置中指定术语的顺序非常重要。防火墙过滤器术语按其配置顺序进行评估。默认情况下，新术语始终添加到现有筛选器的末尾。您可以使用配置模式命令对 insert 防火墙过滤器的条款重新排序。

简单筛选器不支持 该 next term 操作。

简单过滤器匹配条件

简单过滤器术语仅支持标准无状态防火墙过滤器支持的 IPv4 匹配条件的子集。

与标准无状态防火墙过滤器不同，以下限制适用于简单过滤器：

在具有增强型队列 DPC 的 MX 系列路由器和 EX 系列交换机上，简单筛选器不支持forwarding- class匹配条件。
简单筛选器仅 source-address 支持每个筛选器术语的一个前缀 destination-address 。如果配置多个前缀，则仅使用最后一个前缀。
简单筛选器不支持 单个术语中的多个源地址和目标地址。如果配置多个地址，则仅使用最后一个地址。
简单筛选器不支持 否定匹配条件，例如 protocol-except 匹配条件或 exception 关键字。
简单筛选器仅支持一系列值 source-port 和 destination-port 匹配条件。例如，您可以配置 source-port 400-500 或 destination-port 600-700。
简单筛选器不支持 不连续的掩码值。

表 1 列出了简单筛选器匹配条件。

表 1：简单过滤器匹配条件
匹配条件	Description
`destination-address destination-address`	匹配 IP 目标地址。
`destination-port number`	TCP 或 UDP 目标端口字段。如果配置此匹配条件，建议您同时配置 `protocol` match 语句以确定端口上使用的协议。要代替数值，您可以指定以下文本别名之一（端口号也会列出）：`afs`（1483）， `bgp` （179）， `biff` （512）， `bootpc` （68）， `bootps` （67）， `cmd` （514）， `cvspserver` （2401）， `dhcp` （67）， `domain` （53）， `eklogin` （2105）， `ekshell` （2106）， `exec` （512）， `finger` （79）， `ftp` （21）， `ftp-data` （20）， `http` （80）， `https` （443）， `ident` （113）， `imap` （143）， `kerberos-sec` （88）， `klogin` （543）， `kpasswd` （761）， `krb-prop` （754）， `krbupdate` （760）， `kshell` （544）， `ldap` （389）， `login` （513）， `mobileip-agent` （434）， `mobilip-mn` （435）， `msdp` （639）， `netbios-dgm` （138）， `netbios-ns` （137）， `netbios-ssn` （139）， `nfsd` （2049）， `nntp` （119）， `ntalk` （518）， `ntp` （123）， `pop3` （110）、 `pptp` （1723）、 `printer` （515）、 `radacct` （1813）、 `radius` （1812）、 `rip` （520）、 `rkinit` （2108）、 `smtp` （25）、 `snmp` （161）、 `snmptrap` （162）、 `snpp` （444）、 `socks` （1080）、 `ssh` （22）、 `sunrpc` （111）、 `syslog` （514）、 `tacacs-ds` （65）、 `talk` （517）、 `telnet` （23）、 `tftp` （69）、 `timed` （525）、 `who` （513）或 `xdmcp`（177）。
`forwarding-class class`	匹配数据包的转发类。指定 `assured-forwarding`、 `best-effortexpedited-forwarding`、或 `network-control`。有关转发类和路由器内部输出队列的信息，请参阅了解转发类如何将类分配给输出队列。
`protocol number`	IP 协议字段。要代替数值，您可以指定以下文本别名之一（还会列出字段值）：`ah`（51）、 `dstopts` （60）、 `egp` （8）、 `esp` （50）、 `fragment` （44）、 `gre` （47）、 `hop-by-hop` （0）、 `icmp` （1）、 `icmp6` （58）、（58）、 `igmpicmpv6` （2）、 `ipip` （4）、 `ipv6` （41）、 `ospf` （89）、 `pim` （103）、 `rsvp` （46）、 `sctp` （132）、 `tcp` （6）、`udp` （17）或`vrrp`（112）。
`source-address ip-source-address`	匹配 IP 源地址。
`source-port number`	匹配 UDP 或 TCP 源端口字段。如果配置此匹配条件，建议您同时配置 `protocol` match 语句以确定端口上使用的协议。要代替数值字段，您可以指定为列出的 `destination-port`文本别名之一。

简单过滤器终止操作

简单过滤器不支持 显式配置的终止操作，如 accept、 reject和 discard。在简单过滤器中配置的术语始终接受数据包。

简单筛选器不支持 该 next 操作。

简单过滤器非终止操作

简单筛选器仅支持以下非终止操作：

forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

注：
在具有增强型排队 DPC 的 MX 系列路由器和 EX 系列交换机上，不支持将转发类作为 from 匹配条件。
loss-priority (high | low | medium-high | medium-low)

简单过滤器不支持对数据包执行其他功能的操作（如递增计数器、记录有关数据包标头的信息、对数据包数据进行采样或使用系统日志功能向远程主机发送信息）。

在本页