Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance du filtre de pare-feu pour le trafic indépendant du protocole

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic indépendant du protocole (family any).

Pour appliquer un filtre de pare-feu indépendant du protocole à une interface logique, configurez l’instruction filter sous l’unité logique.

REMARQUE :

Sur les routeurs MX Series, attachez un filtre de pare-feu indépendant du protocole à une interface logique en configurant l’instruction filterdirectement sous l’unité logique :

  • [edit interfaces name unit number filter]

  • [edit logical-systems name interfaces name unit number filter]

Sur tous les autres périphériques pris en charge, attachez un filtre de pare-feu indépendant du protocole à une interface logique en configurant l’instruction filter sous la famille de protocoles (family any) :

  • [edit interfaces name unit number family any filter]

  • [edit logical-systems name interfaces name unit number family any filter]

Tableau 1 décrit ce que match-conditions vous pouvez configurer au niveau de la [edit firewall family any filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic indépendant du protocole

Condition de correspondance

Description

forwarding-class class

Faites correspondre la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effort, expedited-forwarding, ou network-control.

Pour plus d’informations sur le transfert de classes et les files d’attente de sortie internes au routeur, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

REMARQUE :

Sur les FPC T4000 de type 5, un filtre attaché au point d’application de couche 2 (c’est-à-dire au niveau de l’interface logique) ne peut pas correspondre à la classe de transfert d’un paquet définie par un classificateur de couche 3 tel que DSCP, DSCP V6 inet-precedenceet mpls-exp.

forwarding-class-except class

Ne pas correspondre sur la classe de transfert. Pour plus de détails, voir la condition de forwarding-class correspondance.

interface interface-name

Faites correspondre l’interface sur laquelle le paquet a été reçu.

REMARQUE :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-set interface-set-name

Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un jeu d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie. Pour plus d’informations, reportez-vous à la section Vue d’ensemble du filtrage des paquets reçus sur un ensemble d’interfaces.

loss-priority level

Faites correspondre le niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-high, ou high.

Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et routeurs MX Series.

Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) Enhanced II, vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction n’est tri-color pas activée, vous ne pouvez configurer que les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.

Pour plus d’informations sur l’instruction, reportez-vous à la tri-colorsection Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

loss-priority-except level

Ne correspond pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.

packet-length bytes

Faites correspondre la longueur du paquet reçu, en octets. La longueur fait uniquement référence au paquet IP, y compris l’en-tête du paquet, et n’inclut aucune surcharge d’encapsulation de couche 2. Vous pouvez également spécifier une plage de valeurs à mettre en correspondance.

packet-length-except bytes

Ne pas correspondre sur la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

vlan-id number

Faites correspondre l’ID VLAN du paquet. La plage est comprise entre 0 et 4095.

Rubriques connexes