Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übereinstimmungsbedingungen für Firewall-Filter für protokollunabhängigen Datenverkehr

Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für protokollunabhängigen Datenverkehr konfigurieren (family any).

Um einen protokollunabhängigen Firewallfilter auf eine logische Schnittstelle anzuwenden, konfigurieren Sie die filter Anweisung unter der logischen Einheit.

HINWEIS:

Fügen Sie auf Routern der MX-Serie einen protokollunabhängigen Firewall-Filter an eine logische Schnittstelle an, indem Sie die filter Anweisung direkt unter der logischen Einheit konfigurieren:

  • [edit interfaces name unit number filter]

  • [edit logical-systems name interfaces name unit number filter]

Fügen Sie auf allen anderen unterstützten Geräten einen protokollunabhängigen Firewall-Filter an eine logische Schnittstelle an, indem Sie die filter Anweisung unter der Protokollfamilie ()family anykonfigurieren:

  • [edit interfaces name unit number family any filter]

  • [edit logical-systems name interfaces name unit number family any filter]

Tabelle 1 Beschreibt die match-conditions Konfigurationen, die Sie auf Hierarchieebene [edit firewall family any filter filter-name term term-name from] konfigurieren können.

Tabelle 1: Übereinstimmungsbedingungen für Firewall-Filter für protokollunabhängigen Datenverkehr

Übereinstimmungsbedingung

Beschreibung

forwarding-class class

Entspricht der Weiterleitungsklasse des Pakets.

Geben Sie , best-effort, expedited-forwardingoder network-control.assured-forwarding

Weitere Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.

HINWEIS:

Bei T4000-FPCs vom Typ 5 kann ein Filter, der am Layer-2-Anwendungspunkt (d. h. auf der Ebene der logischen Schnittstelle) angebracht ist, nicht mit der Weiterleitungsklasse eines Pakets übereinstimmen, das von einem Layer-3-Klassifizierer wie DSCP, DSCP V6 inet-precedenceund mpls-expfestgelegt wird.

forwarding-class-except class

Keine Übereinstimmung mit der Weiterleitungsklasse. Weitere Informationen finden Sie in der Übereinstimmungsbedingung forwarding-class .

interface interface-name

Stimmt mit der Schnittstelle überein, auf der das Paket empfangen wurde.

HINWEIS:

Wenn Sie diese Übereinstimmungsbedingung mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, stimmt der Begriff mit keinem Paket überein.

interface-set interface-set-name

Ordnen Sie die Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe zu.

Um eine Schnittstellenmenge zu definieren, fügen Sie die interface-set Anweisung auf Hierarchieebene [edit firewall] ein. Weitere Informationen finden Sie unter Filtern von Paketen, die auf einer Schnittstelle empfangen wurden Satzübersicht.

loss-priority level

Entspricht der PLP-Stufe (Packet Loss Priority).

Geben Sie eine einzelne Ebene oder mehrere Ebenen an: low, medium-low, medium-highoder high.

Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie.

Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die tri-color Anweisung auf Hierarchieebene [edit class-of-service] einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die high Ebenen und low konfigurieren. Dies gilt für alle Protokollfamilien.

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

Weitere Informationen zu dieser tri-color Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.

loss-priority-except level

Nicht mit dem PLP-Wert übereinstimmen. Weitere Informationen finden Sie in der Übereinstimmungsbedingung loss-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

packet-length bytes

Entspricht der Länge des empfangenen Pakets in Bytes. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead. Sie können auch einen Wertebereich angeben, der abgeglichen werden soll.

packet-length-except bytes

Stimmt nicht mit der Länge des empfangenen Pakets in Byte überein. Weitere Informationen finden Sie unter Übereinstimmungstyp packet-length .

packet-length bytes

Entspricht der Länge des empfangenen Pakets in Bytes. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead. Sie können auch einen Wertebereich angeben, der abgeglichen werden soll.

vlan-id number

Übereinstimmung mit der VLAN-ID des Pakets. Der Bereich liegt zwischen 0 und 4095.

egress-interface interface-name

Passen Sie die Ausgangsschnittstelle des Pakets an. Anwendbar für Filter, die auf Ausgangsdatenverkehr angewendet werden.

mpls-bottom-of-stack bytes

Übereinstimmung, wenn sich das MPLS-Label am unteren Ende des Stapels befindet (d. h. das letzte Label vor der Nutzlast). Anwendbar für Filter, die auf MPLS-Datenverkehr angewendet werden.

Policy-Map

Passen Sie Pakete basierend auf einer vordefinierten Richtlinienzuordnung (z. B. QoS- oder Sicherheitsrichtlinien) ab. Konfigurieren von Karten unter [edit policy-options policy-map]

Verwandte Themen