Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu pour le trafic indépendant du protocole

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic indépendant du protocole (family any).

Pour appliquer un filtre de pare-feu indépendant du protocole à une interface logique, configurez l’instruction filter sous l’unité logique.

REMARQUE :

Sur les routeurs MX Series, attachez un filtre de pare-feu indépendant du protocole à une interface logique en configurant l’instruction filterdirectement sous l’unité logique :

  • [edit interfaces name unit number filter]

  • [edit logical-systems name interfaces name unit number filter]

Sur tous les autres équipements pris en charge, attachez un filtre de pare-feu indépendant du protocole à une interface logique en configurant l’instruction filter dans la famille de protocoles () :family any

  • [edit interfaces name unit number family any filter]

  • [edit logical-systems name interfaces name unit number family any filter]

Tableau 1 décrit les match-conditions paramètres que vous pouvez configurer au niveau de la [edit firewall family any filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance des filtres de pare-feu pour le trafic indépendant du protocole

Condition de correspondance

Description

forwarding-class class

Correspond à la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effortou expedited-forwardingnetwork-control.

Pour plus d’informations sur les classes de transfert et les files d’attente de sortie internes au routeur, consultez la section Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie.

REMARQUE :

Sur les SPC de type 5 T4000, un filtre attaché au point d’application de couche 2 (c’est-à-dire au niveau de l’interface logique) ne peut pas correspondre avec la classe de transfert d’un paquet définie par un classificateur de couche 3 tel que DSCP, DSCP V6 et inet-precedencempls-exp.

forwarding-class-except class

Ne correspondez pas à la classe de transfert. Pour plus de détails, consultez l’état des forwarding-class correspondances.

interface interface-name

Correspond à l’interface sur laquelle le paquet a été reçu.

REMARQUE :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-set interface-set-name

Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un ensemble d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie. Pour plus d’informations, reportez-vous à la section Présentation du filtrage des paquets reçus sur un ensemble d’interfaces.

loss-priority level

Correspond au niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-highou high.

Compatible avec les routeurs M120 et M320 ; M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E) ; et les routeurs MX Series.

Pour le trafic IP sur les routeurs M320, MX Series et T Series équipés de concentrateurs PIC flexibles (FPC) Enhanced II), vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction tri-color n’est pas activée, vous pouvez uniquement configurer les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.

Pour plus d’informations sur l’instruction tri-color , voir Configuration et application de polices de marquage tricolore. Pour plus d’informations sur l’utilisation de classificateurs BA (Behavior Aggregate) pour définir le niveau PLP des paquets entrants, consultez la section Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie.

loss-priority-except level

Ne correspondez pas au niveau PLP. Pour plus de détails, consultez l’état des loss-priority correspondances.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.

packet-length bytes

Correspond à la longueur du paquet reçu, en octets. La longueur se réfère uniquement au paquet IP, y compris l’en-tête du paquet, et n’inclut pas de frais d’encapsulation de couche 2. Vous pouvez également spécifier une plage de valeurs à correspondre.

packet-length-except bytes

Ne correspondez pas à la longueur des paquets reçus, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Rubriques connexes