Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于地址类的防火墙过滤器匹配条件

仅适用于 IPv4 和 IPv6 流量,您可以使用基于类的防火墙过滤器条件根据源类或目标类匹配数据包字段。

源类用法

一 组源前缀组合在一起,提供类名称。要将防火墙过滤器术语(与 IP 源地址字段匹配)配置为一个或多个源类, source-class class-name请使用[edit firewall family (inet | inet6) filter filter-name term term-name from]层次结构级别下的 match 条件。

源类用法(SCU)可用于监控来自特定前缀的信息流量。借助此功能,可以跟踪使用情况,并对客户收到的信息流计费。

目标类用法

一 组目标前缀组合在一起,提供一个类名称。要将防火墙过滤器术语(与 IP 目标地址字段相匹配)配置为一个或多个目标类destination-class class-name ,请在[edit firewall family (inet | inet6) filter filter-name term term-name from]层次结构级别使用 match 条件。

目标类用法(DCU)允许您在源自某个指定接口的网络核心中跟踪发送至特定前缀的流量。

但是请注意,DCU 限制了您跟踪以相反方向移动的流量的能力。它可以考虑到达核心接口的所有流量,并以特定客户为头,但不能计算到达具有特定前缀的核心接口的流量。

将 SCU 或 DCU 防火墙过滤器应用于输出接口的准则

将 SCU 或 DCU 防火墙过滤器应用于接口时,请记住以下准则:

  • 输出接口 — 基于类的防火墙过滤器匹配条件仅适用于应用于输出接口的防火墙过滤器。这是因为 SCU 和 DCU 是在路由查找发生之后确定的。

  • 输入接口 - 尽管您可以为输入防火墙过滤器指定源类和目标类,但只有在输出接口上应用防火墙过滤器时,计数器才递增。

  • 通道信息流的输出接口 — 您配置为通道信息流输出接口的接口不支持 SCU 和 DCU,这些接口用于通过隧道从路由器(或交换机)退出的传输数据包。