Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

단순 필터 구성 지침

단순 필터 구성을 위한 문 계층

간단한 필터를 구성하려면 계층 수준에서 문을 [edit firewall family inet] 포함합니다simple-filter simple-filter-name.

문 아래에서 simple-filter simple-filter-name 지원되는 개별 문은 이 주제에 대해 별도로 설명되어 있으며 간단한 필터를 구성하고 적용하는 예에 설명되어 있습니다.

단순 필터 프로토콜 제품군

IPv4 트래픽()만 필터링하도록 간단한 필터를family inet 구성할 수 있습니다. 간단한 필터에 대해 다른 프로토콜 체계는 지원되지 않습니다.

단순 필터 이름

문 아래에서 family inet 간단한 필터를 생성하고 이름을 지정하는 문을 포함 simple-filter simple-filter-name 할 수 있습니다. 필터 이름은 문자, 숫자 및 하이픈(-)을 포함하며 최대 64자 길이입니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.

단순한 필터 용어

문 아래에서 simple-filter simple-filter-name 필터 용어를 만들고 이름을 지정하는 문을 포함 term term-name 할 수 있습니다.

  • 방화벽 필터에서 적어도 하나의 용어를 구성해야 합니다.

  • 방화벽 필터 내에서 각 용어에 대해 고유한 이름을 지정해야 합니다. 용어 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자 길이입니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.

  • 방화벽 필터 구성 내에서 용어를 지정하는 순서가 중요합니다. 방화벽 필터 용어는 구성된 순서대로 평가됩니다. 기본적으로 새 용어는 항상 기존 필터 끝에 추가됩니다. 구성 모드 명령을 사용하여 insert 방화벽 필터의 용어를 재정의할 수 있습니다.

간단한 필터는 작업을 지원하지 next term않습니다.

단순 필터 일치 조건

간단한 필터 용어는 표준 스테이트리스 방화벽 필터에 지원되는 IPv4 일치 조건의 하위 집합만 지원합니다.

표준 무상태 방화벽 필터와 달리 간단한 필터에 다음 제한이 적용됩니다.

  • Enhanced Queuing DPC가 있는 MX 시리즈 라우터와 EX 시리즈 스위치에서는 간단한 필터가 forwarding- class 일치 조건을 지원하지 않습니다.

  • 간단한 필터는 각 필터 용어에 대해 하나 source-address 및 하나의 destination-address 접두사만 지원합니다. 여러 접두사 구성하면 마지막 접두사만 사용됩니다.

  • 간단한 필터는 단일 용어에 여러 소스 주소와 대상 주소를 지원하지 않습니다 . 여러 주소를 구성하는 경우 마지막 주소만 사용됩니다.

  • 단순 필터는 일치 조건 또는 exception 키워드와 같은 protocol-except 부정 일치 조건을 지원하지 않습니다.

  • 단순 필터는 및 destination-port 일치 조건만에 대한 source-port 값 범위를 지원합니다. 예를 들어, 또는 destination-port 600-700을(를) 구성할 source-port 400-500 수 있습니다.

  • 단순 필터는 인접하지 않은 마스크 값을 지원하지 않습니다.

표 1 은(는) 간단한 필터 일치 조건을 나열합니다.

표 1: 단순 필터 일치 조건

일치 조건

설명

destination-address destination-address

IP 대상 주소를 일치합니다.

destination-port number

TCP 또는 UDP 대상 포트 필드입니다.

이 일치 조건을 구성하는 경우, 포트에서 사용 중인 프로토콜을 protocol 결정하기 위해 일치 문을 구성하는 것이 좋습니다.

숫자 값 대신 다음 텍스트 별칭 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있음). afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), (514), cmd (2401), cvspserverdhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), (80), httpshttp (443), ident (113), imap (143), kerberos-sec (88), (543), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), (639), msdpnetbios-dgm (138), netbios-ns (137), netbios-ssn (139), (2049), nntpnfsd (119), (518), ntalk (123), ntppop3 (110), pptp (1723), (515), printerradacct (1813), radius (1812), rip (520), rkinit (2108), (25), snmpsmtp (161), snmptrap (162), (444 socks ) snpp (1080), (22), ssh (111), sunrpc (514), tacacs-dssyslog (65), (517), telnettalk (23), (69), tftp (525), timedwho (513), 또는 xdmcp (177).

forwarding-class class

패킷 포워딩 클래스를 일치시킬 수 있습니다.

, , 또는 network-control을(를expedited-forwarding) best-effort지정합니다assured-forwarding.

포워딩 클래스 및 라우터 내부 출력 대기열에 대한 정보는 포워딩 클래스가 클래스를 출력 대기열에 할당하는 방법 이해하기를 참조하십시오.

protocol number

IP 프로토콜 필드. 숫자 값 대신 다음 텍스트 별칭 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), (50), dstopts (8), egp (50), esp (44), fragmentgre (47), hop-by-hop (0), (1), icmp6icmp (58), (58), icmpv6 (2), igmp (4), ipip (41), ipv6 (89), pimospf (103), (46), rsvpsctp (132), (6), tcpudp (17), 또는 vrrp (112).

source-address ip-source-address

IP 소스 주소를 일치합니다.

source-port number

UDP 또는 TCP 소스 포트 필드를 일치시킬 수 있습니다.

이 일치 조건을 구성하는 경우, 포트에서 사용 중인 프로토콜을 protocol 결정하기 위해 일치 문을 구성하는 것이 좋습니다.

숫자 필드 대신 에 나열된 destination-port텍스트 별칭 중 하나를 지정할 수 있습니다.

간단한 필터 종료 작업

단순 필터는 , rejectdiscard, 와 같이 accept명시적으로 구성 가능한 종료 작업을 지원하지 않습니다. 간단한 필터에 구성된 용어는 항상 패킷을 허용합니다.

간단한 필터는 작업을 지원하지 next않습니다.

단순 필터 비테마이팅 작업

간단한 필터는 다음과 같은 비결정 작업만 지원합니다.

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    주:

    Enhanced Queuing DPC가 있는 MX 시리즈 라우터 및 EX 시리즈 스위치에서 포워딩 클래스는 일치 조건으로 지원 from 되지 않습니다.

  • loss-priority (high | low | medium-high | medium-low)

간단한 필터는 패킷에서 다른 기능을 수행하는 작업을 지원하지 않습니다(예: 카운터 증분, 패킷 헤더에 대한 정보 로깅, 패킷 데이터 샘플링 또는 시스템 로그 기능을 사용하여 원격 호스트에 정보 전송).

관련 항목