Configuración de clasificadores multicampo
En este tema se describe cómo configurar clasificadores multicampo.
Los clasificadores multicampo clasifican los paquetes a una clase de reenvío y la prioridad de pérdida según los criterios de coincidencia del filtro. Por lo general, la clasificación multicampo se realiza en el borde de la red para paquetes que no tienen puntos de código agregados de comportamiento válidos o de confianza.
Si configura un clasificador de agregado de comportamiento (BA) y un clasificador multicampo, la clasificación de BA se realiza primero; luego se realiza la clasificación multicampo. Si entran en conflicto, el clasificador multicampo anula cualquier resultado de clasificación de BA.
Para una interfaz especificada, puede configurar un clasificador multicampo y un clasificador de BA sin conflictos. Dado que los clasificadores siempre se aplican en orden secuencial, el clasificador de BA seguido del clasificador de varios campos, cualquier resultado de clasificación de BA se anula por un clasificador de varios campos si entran en conflicto.
Para activar (aplicar) un clasificador de varios campos, debe configurarlo en una interfaz lógica. No hay ninguna restricción en la cantidad de clasificadores multicampo que puede configurar.
Para enrutadores serie MX y conmutadores de la serie EX, si configura un filtro de firewall con una acción DSCP o una acción de clase de tráfico en una DPC, la confirmación no falla, pero se muestra una advertencia y se realiza una entrada en el syslog.
Para una L2TP LNS en enrutadores de la serie MX, puede conectar firewall para sesiones LNS estáticas mediante la configuración de estas en interfaces lógicas directamente en el dispositivo de servicios en línea (si-fpc/pic/port). No se admiten los adjuntos de firewall configurados por RADIUS.
Configure clasificadores multicampo mediante:
Defining the filter: configure un filtro de firewall o un filtro simple. Los filtros simples solo filtran el tráfico IPv4 (inet de familia). Los filtros de firewall le permiten filtrar familias de protocolo adicionales y filtros más complejos. En las siguientes secciones se describen ambos procedimientos.
Applying the filter: active el filtro mediante la configuración en una interfaz lógica como filtro de entrada .
Para configurar un filtro de firewall:
Para configurar un filtro simple:
Especifique un nombre para el filtro simple.
[edit firewall family family-name] user@host# edit simple-filter filter-name
Especifique el nombre del término y los criterios de coincidencia que desea buscar en los paquetes entrantes.
[edit firewall family family-name simple-filter filter-name] user@host# set term term-name from match-conditions
Especifique la acción que desea realizar cuando un paquete coincida con las condiciones.
[edit firewall family family-name simple-filter filter-name] user@host# set term term-name then actions
Para clasificadores multicampo, puede realizar las siguientes acciones para un filtro simple:
Establezca la clase de reenvío de paquetes entrantes.
Establezca la prioridad de pérdida de paquetes entrantes .
Para aplicar el filtro de firewall a las interfaces lógicas adecuadas como filtro de entrada.
Especifique la interfaz física y lógica en la que desea aplicar el filtro de firewall.
edit user@host# edit interfaces interface-name unit unit-number
Especifique la familia de protocolos para el filtro de firewall.
[edit interfaces interface-name unit unit-number] user@host# set family family-name
Especifique los nombres de los filtros de firewall que se aplicarán a los paquetes recibidos.
[edit interfaces interface-name unit unit-number] user@host# set filter input filter-name
Repita este paso para el filtro de protocolo de familia y el filtro simple.
Guarde su configuración.
[edit] user@host# commit