基于地址类的防火墙过滤器匹配条件
仅对于 IPv4 和 IPv6 流量,您可以使用基于类的 防火墙过滤 条件,根据源类或目标类匹配数据包字段。
源类用法
A 是一组组合在一起并给定类名的源前缀。要配置将 IP 源地址字段与一个或多个源类匹配的防火墙过滤器术语,请使用 source-class class-name
层次结构级别下的 [edit firewall family (inet | inet6) filter filter-name term term-name from]
匹配条件。
源类使用情况 (SCU) 使您能够监控源自特定前缀的流量。借助此功能,可以跟踪使用情况,并可以为客户收到的流量付费。
目标类用法
A 是一组组合在一起并给定类名的目标前缀。要配置将 IP 目标地址字段与一个或多个目标类匹配的防火墙过滤器术语,请在层次结构级别使用 destination-class class-name
匹配条件 [edit firewall family (inet | inet6) filter filter-name term term-name from]
。
通过目标类使用情况 (DCU),您可以跟踪从指定接口之一发送到网络核心中特定前缀的流量。
但请注意,DCU 会限制您跟踪反向流量的能力。它可以考虑到达核心接口并流向特定客户的所有流量,但无法计算从特定前缀到达核心接口的流量。
将 SCU 或 DCU 防火墙过滤器应用于输出接口的准则
将 SCU 或 DCU 防火墙过滤器应用于接口时,请记住以下准则:
输出接口 — 基于类的防火墙过滤器匹配条件仅适用于应用于输出接口的防火墙过滤器。这是因为 SCU 和 DCU 是在路由查找发生后确定的。
输入接口 — 尽管您可以为输入防火墙过滤器指定源类和目标类,但仅当在输出接口上应用防火墙过滤器时,计数器才会递增。
隧道流量的输出接口 — 您配置为通过隧道从路由器(或交换机)离开路由器(或交换机)的传输数据包的隧道流量输出接口的接口不支持 SCU 和 DCU。