Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Anwendungspunkte für zustandslose Firewallfilter

Nachdem Sie den Firewallfilterdefiniert haben, müssen Sie ihn auf einen Anwendungspunkt anwenden. Zu diesen Anwendungspunkten gehören logische Schnittstellen, physische Schnittstellen, Routingschnittstellen und Routinginstanzen.

In den meisten Fällen können Sie einen Firewallfilter als Eingabefilter oder Ausgabefilter oder beides gleichzeitig anwenden. Eingabefilter ergreifen Aktionen für Pakete, die auf der angegebenen Schnittstelle empfangen werden, während Ausgabefilter Aktionen für Pakete ausführen, die über die angegebene Schnittstelle übertragen werden.

In der Regel wenden Sie einen Filter mit mehreren Begriffen auf eine einzelne logische Schnittstelle, auf eingehenden Datenverkehr, ausgehenden Datenverkehr oder beides an. Es kann jedoch vorkommen, dass Sie mehrere Firewallfilter (mit einem oder mehreren Begriffen) verketten und auf eine Schnittstelle anwenden möchten. Sie verwenden eine Eingabeliste , um mehrere Firewallfilter auf den eingehenden Datenverkehr auf einer Schnittstelle anzuwenden. Sie verwenden eine Ausgabeliste , um mehrere Firewallfilter auf den ausgehenden Datenverkehr auf einer Schnittstelle anzuwenden. Sie können bis zu 16 Filter in eine Eingabe- oder Ausgabeliste aufnehmen.

Es gibt keine Begrenzung für die Anzahl der Filter und Indikatoren, die Sie festlegen können, aber es gibt einige praktische Überlegungen. Mehr Leistungsindikatoren erfordern mehr Begriffe, und die Verarbeitung einer großen Anzahl von Begriffen während eines Commitvorgangs kann sehr lange dauern. Filter mit mehr als 4000 Begriffen und Zählern wurden jedoch erfolgreich implementiert.

Tabelle 1 Beschreibt jeden Punkt, auf den Sie einen Firewallfilter anwenden können. Für jeden Anwendungspunkt beschreibt die Tabelle die Typen von Firewallfiltern, die zu diesem Zeitpunkt unterstützt werden, die Router- (oder Switch-) Hierarchieebene, auf der der Filter angewendet werden kann, sowie alle plattformspezifischen Einschränkungen.

Tabelle 1: Konfiguration des zustandslosen Firewall-Filters und Anwendungsübersicht

Filtertyp

Anwendungspunkt

Einschränkungen

Zustandsloser Firewall-Filter

Konfigurieren Sie durch Einbinden der filter filter-name Anweisung die [edit firewall] Hierarchieebene:

filter filter-name;
HINWEIS:

Wenn Sie die family Anweisung nicht angeben, verarbeitet der Firewallfilter standardmäßig IPv4-Datenverkehr.

Logische Schnittstelle

Anwenden auf Hierarchieebene [edit interfaces interface-name unit unit-number family inet] , indem Sie die input filter-nameoutput filter-name oder-Anweisungen einschließen:

filter {
    input filter-name;
    output filter-name;
}
HINWEIS:

Ein Filter, der mit der impliziten inet Protokollfamilie konfiguriert ist, kann nicht in eine Eingabefilterliste oder eine Ausgabefilterliste aufgenommen werden.

HINWEIS:

Bei T4000-FPCs vom Typ 5 kann ein Filter, der am Layer-2-Anwendungspunkt (d. h. auf der Ebene der logischen Schnittstelle) angebracht ist, nicht mit der Weiterleitungsklasse eines Pakets übereinstimmen, das von einem Layer-3-Klassifizierer wie DSCP, DSCP V6 inet-precedenceund mpls-expfestgelegt wird.

Wird auf den folgenden Routern unterstützt:

  • Router der T-Serie

  • M320-Router

  • M7i-Router mit erweitertem CFEB (CFEB-e)

  • M10i-Router mit dem erweiterten CFEB-e

Wird auch von den folgenden modularen Portkonzentratoren (MPCs) auf Routern der MX-Serie unterstützt:

  • 10-Gigabit-Ethernet-MPC

  • 60-Gigabit-Ethernet-Warteschlangen-MPC

  • 60-Gigabit-Ethernet Enhanced Queuing MPC

  • 100-Gigabit-Ethernet-MPC

  • Wird auch von Switches der EX-Serie unterstützt

Zustandsloser Firewall-Filter

Konfigurieren Sie auf Hierarchieebene [edit firewall family family-name] , indem Sie die folgende Anweisung einfügen:

filter filter-name;

Dabei family-name kann es sich um eine der folgenden Protokollfamilien handeln:

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Protokollfamilie auf einer logischen Schnittstelle

Anwenden auf Hierarchieebene [edit interfaces interface-name unit unit-number family family-name] durch, einschließlich der inputAnweisungen , input-list, outputoder output-list :

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

Die Protokollfamilie bridge wird nur von Routern der MX- Serie unterstützt.

Zustandsloser Firewall-Filter

Routing-Engine-Loopback-Schnittstelle

  

Service-Filter

Konfigurieren Sie auf Hierarchieebene [edit firewall family (inet | inet6)] , indem Sie die folgende Anweisung einfügen:

service-filter service-filter-name;

Familie inet oder inet6 auf einer logischen Schnittstelle

Auf Hierarchieebene [edit interfaces interface-name unit unit-number family (inet | inet6)] anwenden, indem Sie die service-set Anweisung verwenden, um einen Dienstfilter als Eingabe- oder Ausgabefilter auf eine Dienstmenge anzuwenden: 

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
}

Konfigurieren Sie einen Servicesatz auf Hierarchieebene [edit services] , indem Sie die folgende Anweisung einfügen:

 service-set service-set-name;

Wird nur für Adaptive Services (AS)- und Multiservices (MS) PICs unterstützt.

Postservice-Filter

Konfigurieren Sie auf Hierarchieebene [edit firewall family (inet | inet6)] , indem Sie die folgende Anweisung einfügen:

service-filter service-filter-name;

Familie inet oder inet6 auf einer logischen Schnittstelle

Auf Hierarchieebene [edit interfaces interface-name unit unit-number family (inet | inet6)] anwenden, indem Sie die post-service-filter Anweisung zum Anwenden eines Dienstfilters als Eingabefilter einfügen:

service {
    input {
        post-service-filter filter-name;
    }
}

Ein Post-Service-Filter wird auf Datenverkehr angewendet, der nach der Service-Verarbeitung zur Services-Schnittstelle zurückkehrt. Der Filter wird nur angewendet, wenn ein Service-Set konfiguriert und ausgewählt ist.

Einfacher Filter

Konfigurieren Sie auf Hierarchieebene [edit firewall family inet] , indem Sie die folgende Anweisung einfügen:

simple-filter filter-name

Familie inet auf einer logischen Schnittstelle

Bewerben Sie sich auf Hierarchieebene [edit interfaces interface-name unit unit-number family inet] , indem Sie die folgende Anweisung einfügen:

simple-filter simple-filter-name;

Einfache Filter können nur als Eingabefilter angewendet werden.

Wird nur auf den folgenden Plattformen unterstützt:

  • Gigabit Ethernet Intelligent Queuing (IQ2) PICs auf den Routern der M120-, M320- und T-Serie.

  • Verbesserte Warteschlangen-Dense Port Concentrators (EQ DPC) bei Routern der MX-Serie (und Switches der EX-Serie).

Prüffilter für Reverse Packet Forwarding (RPF)

Wird auf Hierarchieebene [edit firewall family (inet | inet6)] durch Einschließen der folgenden Anweisung konfiguriert:

filter filter-name;

Familie inet oder inet6 auf einer logischen Schnittstelle

Bewerben Sie sich auf Hierarchieebene [edit interfaces interface-name unit unit-number family (inet | inet6)] , indem Sie die folgende Anweisung einfügen:

rpf-check fail-filter filter-name

, um den zustandslosen Firewallfilter als RPF-Prüffilter anzuwenden.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Wird nur auf Routern der MX-Serie und Switches der EX-Serie unterstützt.