Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Richtlinien für die Konfiguration einfacher Filter

Anweisungshierarchie für die Konfiguration einfacher Filter

Um einen einfachen Filter zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein.simple-filter simple-filter-name[edit firewall family inet]

Einzelne Anweisungen, die unter der Anweisung unterstützt werden, werden in diesem Thema separat beschrieben und im Beispiel zum Konfigurieren und Anwenden eines einfachen Filters veranschaulicht.simple-filter simple-filter-name

Einfache Filterprotokollfamilien

Sie können einfache Filter so konfigurieren, dass nur IPv4-Datenverkehr () gefiltert wird.family inet Für einfache Filter wird keine andere Protokollfamilie unterstützt.

Einfache Filternamen

Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen einfacher Filter einfügen .family inetsimple-filter simple-filter-name Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.

Einfache Filterbegriffe

Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einfügen .simple-filter simple-filter-nameterm term-name

  • Sie müssen mindestens einen Begriff in einem Firewallfilter konfigurieren.

  • Sie müssen für jeden Begriff innerhalb eines Firewallfilters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.

  • Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewallfilterkonfiguration angeben, ist wichtig. Firewallfilterbegriffe werden in der Reihenfolge ausgewertet, in der sie konfiguriert wurden. Standardmäßig werden neue Begriffe immer am Ende des vorhandenen Filters hinzugefügt. Sie können den Befehl configuration mode verwenden, um die Bedingungen eines Firewallfilters neu anzuordnen.insert

Einfache Filter unterstützen die Aktion nicht.next term

Einfache Filterübereinstimmungsbedingungen

Einfache Filterbegriffe unterstützen nur eine Teilmenge der IPv4-Übereinstimmungsbedingungen, die für standardmäßige zustandslose Firewallfilter unterstützt werden.

Im Gegensatz zu standardmäßigen zustandslosen Firewallfiltern gelten für einfache Filter die folgenden Einschränkungen:

  • Bei Routern der MX-Serie mit Enhanced Queuing DPC und bei Switches der EX-Serie unterstützen einfache Filter die Übereinstimmungsbedingung nicht.forwarding- class

  • Einfache Filter unterstützen nur ein Präfix für jeden Filterbegriff.source-addressdestination-address Wenn Sie mehrere Präfixe konfigurieren, wird nur das letzte verwendet.

  • Einfache Filter unterstützen nicht mehrere Quell- und Zieladressen in einem einzigen Begriff. Wenn Sie mehrere Adressen konfigurieren, wird nur die letzte verwendet.

  • Einfache Filter unterstützen keine negierten Übereinstimmungsbedingungen, wie z. B. die Übereinstimmungsbedingung oder das Schlüsselwort.protocol-exceptexception

  • Einfache Filter unterstützen nur einen Wertebereich für und entsprechen nur Bedingungen.source-portdestination-port Sie können z. B. oder .source-port 400-500destination-port 600-700

  • Einfache Filter unterstützen keine nicht zusammenhängenden Maskenwerte.

Tabelle 1 Listet die einfachen Filterübereinstimmungsbedingungen auf.

Tabelle 1: Einfache Filterübereinstimmungsbedingungen

Übereinstimmungsbedingung

Beschreibung

destination-address destination-address

Stimmt mit der IP-Zieladresse überein.

destination-port number

TCP- oder UDP-Zielportfeld.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die match-Anweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.protocol

Anstelle des numerischen Werts können Sie einen der folgenden Textaliase angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518),  (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (65), (517), (23), (69), (525), (513) oder (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldaploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacs-dstalktelnettftptimedwhoxdmcp

forwarding-class class

Entspricht der Weiterleitungsklasse des Pakets.

Geben Sie , , oder .assured-forwardingbest-effortexpedited-forwardingnetwork-control

Weitere Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.Understanding How Forwarding Classes Assign Classes to Output Queues

protocol number

IP-Protokoll-Feld. Anstelle des numerischen Werts können Sie einen der folgenden Textaliase angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) oder (112). ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

source-address ip-source-address

Stimmt mit der IP-Quelladresse überein.

source-port number

Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die match-Anweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.protocol

Anstelle des numerischen Felds können Sie einen der für aufgelisteten Textaliase angeben.destination-port

Einfache Aktionen zum Beenden von Filtern

Einfache Filter unterstützen keine explizit konfigurierbaren Beendigungsaktionen wie , und .acceptrejectdiscard Begriffe, die in einem einfachen Filter konfiguriert sind, akzeptieren immer Pakete.

Einfache Filter unterstützen die Aktion nicht.next

Einfacher Filter, nicht beendende Aktionen

Einfache Filter unterstützen nur die folgenden nicht beendenden Aktionen:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    HINWEIS:

    Auf den Routern der MX-Serie und den Switches der EX-Serie mit der erweiterten Warteschlangen-DPC wird die Weiterleitungsklasse nicht als Übereinstimmungsbedingung unterstützt.from

  • loss-priority (high | low | medium-high | medium-low)

Einfache Filter unterstützen keine Aktionen, die andere Funktionen für ein Paket ausführen (z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion).

Verwandte Themen