示例:绕过防火墙过滤器
此示例介绍如何使用匹配/操作组合配置 service-filter-hit
多个筛选器,并包含以下部分:
开始之前
使用 service-filter-hit
匹配/操作组合时,请记住以下几点:
筛选器的应用顺序很重要。您可以通过为接口指定过滤器优先级值来确保过滤器的处理顺序。有关动态筛选器处理以及如何使用该
precedence
语句的详细信息,请参阅定义动态筛选器处理顺序。
过滤器旁路概述
数据包必须通过链中的每个过滤器。但是,如果创建筛选器链来处理不同类型的数据包(例如,语音、视频和数据包),则可以通过在层次结构级别使用 service-filter-hit
匹配/操作组合 [edit firewall family family-name filter filter-name term term-name]
来简化筛选器过程,减少链中每个筛选器的数据包处理量,从而有效地绕过不必要的筛选器。
图 1 显示了通过三个筛选器(语音、视频和数据)链的逻辑处理流,其中只需要处理特定数据类型。此配置示例显示入口过滤器流。尽管链中的后续入口过滤器可以检测是否设置了 service-filter-hit
操作,但出口过滤器则不会。要绕过出口过滤器,还必须在这些过滤器上配置 service-filter-hit
匹配/操作组合。
配置过滤器旁路
CLI 快速配置
要快速配置此示例,请执行以下操作:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
配置语音过滤器
分步过程
要为 图 1 中的逻辑流配置语音过滤器,请执行以下操作:
配置过滤器以应用有保证的转发类,并为来自特定地址和端口范围(预期语音流量)的流量设置
service-filter-hit
操作。[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
配置过滤器默认操作以传递(接受)来自任何其他地址或端口范围的数据包流量。
[edit] set firewall filter voice term default then accept
配置视频过滤器
分步过程
要为 图 1 中的逻辑流配置视频过滤器,请执行以下操作:
配置过滤器以传递(接受)操作标记
service-filter-hit
的传入数据包。[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
配置过滤器以应用视频监管器,并为来自特定地址(预期视频流量)的流量设置
service-filter-hit
操作。[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
配置过滤器默认操作以传递(接受)来自任何其他地址或端口范围的数据包流量。
[edit] set firewall filter video term default then accept
配置数据过滤器
分步过程
要为 图 1 中的逻辑流配置数据过滤器,请执行以下操作:
配置过滤器以传递(接受)操作标记
service-filter-hit
的传入数据包。[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
配置过滤器以应用数据监管器,并为来自特定地址(预期视频流量)的流量设置
service-filter-hit
操作。[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
结果
显示配置结果:
[edit firewall] user@host# show filter voice { term T1 { from { address { 203.0.113.11/32; } source-port 5004-5005; } then { forwarding-class assured-forwarding; service-filter-hit; accept; } } term default { then accept; } } filter video { term T1 { from { service-filter-hit; } then accept; } term T2 { from { source-address { 203.0.113.100/32; } } then { policer video_policer; service-filter-hit; accept; } } term default { then accept; } } filter data { term T1 { from { service-filter-hit; } then accept; } term T2 { then { policer data_policer; service-filter-hit; accept; } } }