Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Anwendungspunkte für zustandslose Firewallfilter

Nachdem Sie den Firewallfilter definiert haben, müssen Sie ihn auf einen Anwendungspunkt anwenden. Zu diesen Anwendungspunkten gehören logische Schnittstellen, physische Schnittstellen, Routingschnittstellen und Routinginstanzen.

In den meisten Fällen können Sie einen Firewallfilter als Eingabefilter oder Ausgabefilter oder beides gleichzeitig anwenden. Eingabefilter ergreifen Aktionen für Pakete, die auf der angegebenen Schnittstelle empfangen werden, während Ausgabefilter Aktionen für Pakete ausführen, die über die angegebene Schnittstelle übertragen werden.

In der Regel wenden Sie einen Filter mit mehreren Begriffen auf eine einzelne logische Schnittstelle, auf eingehenden Datenverkehr, ausgehenden Datenverkehr oder beides an. Es kann jedoch vorkommen, dass Sie mehrere Firewallfilter (mit einem oder mehreren Begriffen) verketten und auf eine Schnittstelle anwenden möchten. Sie verwenden eine Eingabeliste , um mehrere Firewallfilter auf den eingehenden Datenverkehr auf einer Schnittstelle anzuwenden. Sie verwenden eine Ausgabeliste , um mehrere Firewallfilter auf den ausgehenden Datenverkehr auf einer Schnittstelle anzuwenden. Sie können bis zu 16 Filter in eine Eingabe- oder Ausgabeliste aufnehmen.

Es gibt keine Begrenzung für die Anzahl der Filter und Indikatoren, die Sie festlegen können, aber es gibt einige praktische Überlegungen. Mehr Leistungsindikatoren erfordern mehr Begriffe, und die Verarbeitung einer großen Anzahl von Begriffen während eines Commitvorgangs kann sehr lange dauern. Filter mit mehr als 4000 Begriffen und Zählern wurden jedoch erfolgreich implementiert.

Tabelle 1 Beschreibt jeden Punkt, auf den Sie einen Firewallfilter anwenden können. Für jeden Anwendungspunkt beschreibt die Tabelle die Typen von Firewallfiltern, die zu diesem Zeitpunkt unterstützt werden, die Router- (oder Switch-) Hierarchieebene, auf der der Filter angewendet werden kann, sowie alle plattformspezifischen Einschränkungen.

Tabelle 1: Konfiguration des zustandslosen Firewall-Filters und Anwendungsübersicht

Filtertyp

Anwendungspunkt

Einschränkungen

Zustandsloser Firewall-Filter

Konfigurieren Sie durch Einbinden der Anweisung die Hierarchieebene:filter filter-name[edit firewall]

filter filter-name;
HINWEIS:

Wenn Sie die Anweisung nicht angeben, verarbeitet der Firewallfilter standardmäßig IPv4-Datenverkehr.family

Logische Schnittstelle

Anwenden auf Hierarchieebene , indem Sie die oder-Anweisungen einschließen:[edit interfaces interface-name unit unit-number family inet]input filter-nameoutput filter-name

filter {
    input filter-name;
    output filter-name;
}
HINWEIS:

Ein Filter, der mit der impliziten Protokollfamilie konfiguriert ist, kann nicht in eine Eingabefilterliste oder eine Ausgabefilterliste aufgenommen werden.inet

HINWEIS:

Bei T4000-FPCs vom Typ 5 kann ein Filter, der am Layer-2-Anwendungspunkt (d. h. auf der Ebene der logischen Schnittstelle) angebracht ist, nicht mit der Weiterleitungsklasse eines Pakets übereinstimmen, das von einem Layer-3-Klassifizierer wie DSCP, DSCP V6 und festgelegt wird.inet-precedencempls-exp

Wird auf den folgenden Routern unterstützt:

  • Router der T-Serie

  • M320-Router

  • M7i-Router mit erweitertem CFEB (CFEB-e)

  • M10i-Router mit dem erweiterten CFEB-e

Wird auch von den folgenden modularen Portkonzentratoren (MPCs) auf Routern der MX-Serie unterstützt:

  • 10-Gigabit-Ethernet-MPC

  • 60-Gigabit-Ethernet-Warteschlangen-MPC

  • 60-Gigabit-Ethernet Enhanced Queuing MPC

  • 100-Gigabit-Ethernet-MPC

  • Wird auch von Switches der EX-Serie unterstützt

Zustandsloser Firewall-Filter

Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:[edit firewall family family-name]

filter filter-name;

Dabei kann es sich um eine der folgenden Protokollfamilien handeln:family-name

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Protokollfamilie auf einer logischen Schnittstelle

Anwenden auf Hierarchieebene durch, einschließlich der Anweisungen , , oder :[edit interfaces interface-name unit unit-number family family-name]inputinput-listoutputoutput-list

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

Die Protokollfamilie wird nur von Routern der MX-Serie unterstützt.bridge

Zustandsloser Firewall-Filter

Routing-Engine-Loopback-Schnittstelle

  

Service-Filter

Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:[edit firewall family (inet | inet6)]

service-filter service-filter-name;

Familie oder auf einer logischen Schnittstelleinetinet6

Auf Hierarchieebene anwenden, indem Sie die Anweisung verwenden, um einen Dienstfilter als Eingabe- oder Ausgabefilter auf eine Dienstmenge anzuwenden:[edit interfaces interface-name unit unit-number family (inet | inet6)]service-set 

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
}

Konfigurieren Sie einen Servicesatz auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:[edit services]

 service-set service-set-name;

Wird nur für Adaptive Services (AS)- und Multiservices (MS) PICs unterstützt.

Postservice-Filter

Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:[edit firewall family (inet | inet6)]

service-filter service-filter-name;

Familie oder auf einer logischen Schnittstelleinetinet6

Auf Hierarchieebene anwenden, indem Sie die Anweisung zum Anwenden eines Dienstfilters als Eingabefilter einfügen:[edit interfaces interface-name unit unit-number family (inet | inet6)]post-service-filter

service {
    input {
        post-service-filter filter-name;
    }
}

Ein Post-Service-Filter wird auf Datenverkehr angewendet, der nach der Service-Verarbeitung zur Services-Schnittstelle zurückkehrt. Der Filter wird nur angewendet, wenn ein Service-Set konfiguriert und ausgewählt ist.

Einfacher Filter

Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:[edit firewall family inet]

simple-filter filter-name

Familie auf einer logischen Schnittstelleinet

Bewerben Sie sich auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:[edit interfaces interface-name unit unit-number family inet]

simple-filter simple-filter-name;

Einfache Filter können nur als Eingabefilter angewendet werden.

Wird nur auf den folgenden Plattformen unterstützt:

  • Gigabit Ethernet Intelligent Queuing (IQ2) PICs auf den Routern der M120-, M320- und T-Serie.

  • Verbesserte Warteschlangen-Dense Port Concentrators (EQ DPC) bei Routern der MX-Serie (und Switches der EX-Serie).

Prüffilter für Reverse Packet Forwarding (RPF)

Wird auf Hierarchieebene durch Einschließen der folgenden Anweisung konfiguriert:[edit firewall family (inet | inet6)]

filter filter-name;

Familie oder auf einer logischen Schnittstelleinetinet6

Bewerben Sie sich auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:[edit interfaces interface-name unit unit-number family (inet | inet6)]

rpf-check fail-filter filter-name

, um den zustandslosen Firewallfilter als RPF-Prüffilter anzuwenden.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Wird nur auf Routern der MX-Serie und Switches der EX-Serie unterstützt.