Configuración de clasificadores de varios campos
En este tema se describe cómo configurar los clasificadores de varios campos.
Los clasificadores de varios campos clasifican los paquetes en una clase de reenvío y prioridad de pérdida según los criterios de coincidencia de filtro. La clasificación de varios campos generalmente se realiza en el borde de la red para paquetes que no tienen puntos de código de agregado de comportamiento válidos o confiables.
Si configura tanto un clasificador de agregado de comportamiento (BA) como un clasificador de varios campos, la clasificación de BA se realiza primero; luego se realiza la clasificación de varios campos. Si están en conflicto, el clasificador de varios campos anula cualquier resultado de la clasificación de BA.
Para una interfaz especificada, puede configurar un clasificador de varios campos y un clasificador ba sin conflictos. Dado que los clasificadores siempre se aplican en orden secuencial, el clasificador de BA seguido del clasificador de varios campos, cualquier resultado de la clasificación de BA es anulado por un clasificador de varios campos si entran en conflicto.
Para activar (aplicar) un clasificador de varios campos, debe configurarlo en una interfaz lógica. No hay ninguna restricción en la cantidad de clasificadores de varios campos que puede configurar.
En el caso de los enrutadores serie MX y los conmutadores de la serie EX, si configura un filtro de firewall con una acción DSCP o una acción de clase de tráfico en una DPC, la confirmación no falla, pero se muestra una advertencia y se realiza una entrada en el syslog.
Para una LNS L2TP en enrutadores serie MX, puede adjuntar firewall para sesiones LNS estáticas configurándolas en interfaces lógicas directamente en el dispositivo de servicios en línea (si-fpc/pic/port
). No se admiten datos adjuntos de firewall configurados por RADIUS.
Los clasificadores de varios campos se configuran de la siguiente manera:
Defining the filter: configure un filtro de firewall o un filtro simple. Los filtros simples filtran solo el tráfico IPv4 (familia inet). Los filtros de firewall le permiten filtrar familias de protocolos adicionales y filtros más complejos. En las siguientes secciones se describen ambos procedimientos.
Applying the filter— Active el filtro configurando una interfaz lógica como filtro de entrada .
Para configurar un filtro de firewall:
Para configurar un filtro sencillo:
Especifique un nombre para el filtro simple.
[edit firewall family family-name] user@host# edit simple-filter filter-name
Especifique el nombre del término y los criterios de coincidencia que desea buscar en los paquetes entrantes.
[edit firewall family family-name simple-filter filter-name] user@host# set term term-name from match-conditions
Especifique la acción que desea realizar cuando un paquete coincida con las condiciones.
[edit firewall family family-name simple-filter filter-name] user@host# set term term-name then actions
En el caso de los clasificadores de varios campos, puede realizar las siguientes acciones para un filtro simple:
Establezca la clase de reenvío de los paquetes entrantes.
Establezca laprioridad de pérdida de los paquetes entrantes.
Para aplicar el filtro de firewall a las interfaces lógicas adecuadas como filtro de entrada.
Especifique la interfaz física y lógica en la que desea aplicar el filtro de firewall.
edit user@host# edit interfaces interface-name unit unit-number
Especifique la familia de protocolos para el filtro de firewall.
[edit interfaces interface-name unit unit-number] user@host# set family family-name
Especifique los nombres de los filtros de firewall que se aplicarán a los paquetes recibidos.
[edit interfaces interface-name unit unit-number] user@host# set filter input filter-name
Repita este paso para el filtro de protocolo de familia y el filtro simple.
Guarda la configuración.
[edit] user@host# commit