示例:绕过防火墙过滤器
此示例介绍如何使用匹配/作组合配置 service-filter-hit 多个过滤器,并包含以下部分:
开始之前
使用 service-filter-hit 匹配/动作组合时,请记住以下几点:
应用过滤器的顺序很重要。您可以通过为接口指定过滤器优先级值来确保过滤器的处理顺序。有关动态过滤器处理以及如何使用
precedence该语句的详细信息,请参阅定义动态过滤器处理顺序。
过滤器旁路概述
数据包必须通过链中的每个过滤器。但是,如果创建过滤器链来处理不同类型的数据包(例如,语音、视频和数据包),则可以在层次结构级别使用service-filter-hit[edit firewall family family-name filter filter-name term term-name]匹配/作组合,简化过滤器过程,减少链中每个过滤器的数据包处理量,有效绕过不必要的过滤器。
图 1 显示了通过三个过滤器(语音、视频和数据)链的逻辑处理流程,其中只需要处理特定数据类型。此配置示例显示入口过滤器流。尽管链中的后续入口过滤器可以检测作是否 service-filter-hit 已设置,但出口过滤器无法检测。要绕过出口过滤器,还必须在这些过滤器上配置 service-filter-hit 匹配/作组合。
的逻辑流示例
配置过滤器旁路
CLI 快速配置
要快速配置此示例:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
配置语音过滤器
分步程序
要为 图 1 中的逻辑流配置语音过滤器:
配置过滤器以应用保证转发类,并为来自特定地址和端口范围(预期语音流量超过该范围)的流量设置
service-filter-hit作。[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
配置过滤器默认作以传递(接受)来自任何其他地址或端口范围的数据包流量。
[edit] set firewall filter voice term default then accept
配置视频过滤器
分步程序
要为 图 1 中的逻辑流配置视频过滤器:
配置过滤器以传递(接受)由作标记
service-filter-hit的传入数据包。[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
配置过滤器以应用视频监管器,并为
service-filter-hit来自特定地址(预期视频流量超过该地址)的流量设置作。[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
配置过滤器默认作以传递(接受)来自任何其他地址或端口范围的数据包流量。
[edit] set firewall filter video term default then accept
配置数据过滤器
分步程序
要为 图 1 中的逻辑流配置数据过滤器:
配置过滤器以传递(接受)由作标记
service-filter-hit的传入数据包。[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
配置过滤器以应用数据监管器,并为来自特定地址(预期视频流量通过该地址)的流量设置
service-filter-hit作。[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
结果
显示配置结果:
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}