Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于地址类的防火墙过滤器匹配条件

仅适用于 IPv4 和 IPv6 流量,您可以使用基于等级 的防火墙过滤条件 来匹配基于源类或目标类的数据包字段。

源类使用

A 是将一组源前缀分组在一起并指定一个类名称。要配置将 IP 源地址字段匹配到一个或多个源类的防火墙过滤器术语,请在层次结构级别下[edit firewall family (inet | inet6) filter filter-name term term-name from]使用source-class class-name匹配条件。

源类使用 (SCU) 使您能够监控源自特定前缀的信息流量。借助此功能,可以跟踪使用情况,并为收到的信息流向客户计费。

目标类使用

A 是将一组目标前缀分组在一起并指定一个类名称。要配置将 IP 目标地址字段与一个或多个目标类匹配的防火墙过滤器术语,请在层次结构级别使用 destination-class class-name 匹配条件 [edit firewall family (inet | inet6) filter filter-name term term-name from]

目标类使用 (DCU) 允许您跟踪向来自指定接口之一的网络核心中的特定前缀发送的流量。

但是,请注意,DCU 会限制您跟踪流量朝着反向移动的能力。它可以解释到达核心接口并朝特定客户方向到达的所有信息流,但是无法从特定前缀计算到核心接口上的流量。

将 SCU 或 DCU 防火墙过滤器应用于输出接口的准则

将 SCU 或 DCU 防火墙过滤器应用到接口时,请注意以下准则:

  • 输出接口 — 基于等级的防火墙过滤器匹配条件仅适用于适用于输出接口的防火墙过滤器。这是因为 SCU 和 DCU 是在发生路由查找后确定的。

  • 输入接口 — 虽然可以为输入防火墙过滤器指定源类和目标类,但仅当在输出接口上应用防火墙过滤器时,计数器才会递增。

  • 通道信息流的输出接口 — 在您配置为通道信息流的输出接口上,SCU 和 DCU 不受支持。对于通过隧道退出路由器(或交换机)的传输数据包而言,SCU 和 DCU 不受支持。