Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Puntos de aplicación de filtro de firewall sin estado

Después de definir el filtro de firewall, debe aplicarlo a un punto de aplicación. Estos puntos de aplicación incluyen interfaces lógicas, interfaces físicas, interfaces de enrutamiento e instancias de enrutamiento.

En la mayoría de los casos, puede aplicar un filtro de firewall como filtro de entrada o como filtro de salida , o como ambos al mismo tiempo. Los filtros de entrada actúan sobre los paquetes que se reciben en la interfaz especificada, mientras que los filtros de salida actúan sobre los paquetes que se transmiten a través de la interfaz especificada.

Normalmente, se aplica un filtro con varios términos a una única interfaz lógica, al tráfico entrante, saliente o a ambos. Sin embargo, hay ocasiones en las que es posible que desee encadenar varios filtros de firewall (con uno o varios términos) y aplicarlos a una interfaz. Utilice una lista de entradas para aplicar varios filtros de firewall al tráfico entrante en una interfaz. Utilice una lista de salida para aplicar varios filtros de firewall al tráfico saliente en una interfaz. Puede incluir hasta 16 filtros en una lista de entrada o en una lista de salida.

No hay límite para el número de filtros y contadores que puede establecer, pero hay algunas consideraciones prácticas. Más contadores requieren más términos, y un gran número de términos puede tardar mucho tiempo en procesarse durante una operación de confirmación. Sin embargo, los filtros con más de 4000 términos y contadores se han implementado con éxito.

Tabla 1 Describe cada punto al que se puede aplicar un filtro de firewall. Para cada punto de aplicación, la tabla describe los tipos de filtros de firewall admitidos en ese punto, el nivel de jerarquía del enrutador (o conmutador) en el que se puede aplicar el filtro y cualquier limitación específica de la plataforma.

Tabla 1: Configuración del filtro de firewall sin estado y resumen de la aplicación

Tipo de filtro

Punto de aplicación

Restricciones

Filtro de firewall sin estado

Configure incluyendo la filter filter-name instrucción [edit firewall] el nivel de jerarquía:

filter filter-name;
Nota:

Si no incluye la instrucción, el filtro de firewall procesa el family tráfico IPv4 de forma predeterminada.

Interfaz lógica

Aplique en el nivel jerárquico [edit interfaces interface-name unit unit-number family inet] incluyendo las input filter-name instrucciones o output filter-name :

filter {
    input filter-name;
    output filter-name;
}
Nota:

Un filtro configurado con la familia de protocolos implícitos inet no se puede incluir en una lista de filtros de entrada o de filtros de salida.

Nota:

En las FPC T4000 de tipo 5, un filtro conectado en el punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete establecido por un clasificador de capa 3 como DSCP, DSCP V6 inet-precedencey mpls-exp.

Compatible con los siguientes enrutadores:

  • Enrutadores serie T

  • Enrutadores M320

  • Enrutadores M7i con CFEB mejorado (CFEB-e)

  • Enrutadores M10i con el CFEB-e mejorado

También es compatible con los siguientes concentradores de puertos modulares (MPC) de enrutadores de la serie MX:

  • MPC de 10 Gigabit Ethernet

  • MPC de cola de 60 Gigabit Ethernet

  • MPC de cola mejorada de 60 Gigabit Ethernet

  • MPC de 100 Gigabit Ethernet

  • También se admite en conmutadores de la serie EX

Filtro de firewall sin estado

Configure en el nivel de [edit firewall family family-name] jerarquía incluyendo la siguiente instrucción:

filter filter-name;

Puede family-name ser cualquiera de las siguientes familias de protocolos:

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Familia de protocolos en una interfaz lógica

Aplicar en el nivel jerárquico[edit interfaces interface-name unit unit-number family family-name], incluyendo las inputinstrucciones, outputinput-list, , ooutput-list:

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

La familia bridge de protocolos solo se admite en enrutadores de la serie MX.

Filtro de firewall sin estado

Interfaz de circuito cerrado del motor de enrutamiento

 

Filtro de servicio

Configure en el nivel de [edit firewall family (inet | inet6)] jerarquía incluyendo la siguiente instrucción:

service-filter service-filter-name;

Familia inet o inet6 en una interfaz lógica

Aplicar en el nivel de [edit interfaces interface-name unit unit-number family (inet | inet6)] jerarquía mediante la instrucción para aplicar un filtro de servicio como filtro de entrada o salida a un conjunto de service-set servicios:

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
} 

Configure un conjunto de servicios en el nivel de [edit services] jerarquía incluyendo la instrucción siguiente:

 service-set service-set-name;

Solo se admite en PIC de servicios adaptables (AS) y multiservicios (MS).

Filtro posterior al servicio

Configure en el nivel de [edit firewall family (inet | inet6)] jerarquía incluyendo la siguiente instrucción:

service-filter service-filter-name;

Familia inet o inet6 en una interfaz lógica

Aplique en el nivel de jerarquía incluyendo la post-service-filter instrucción para aplicar un filtro de [edit interfaces interface-name unit unit-number family (inet | inet6)] servicio como filtro de entrada:

service {
    input {
        post-service-filter filter-name;
    }
}

Se aplica un filtro posterior al servicio al tráfico que regresa a la interfaz de servicios después del procesamiento del servicio. El filtro sólo se aplica si se configura y selecciona un conjunto de servicios.

Filtro simple

Configure en el nivel de [edit firewall family inet] jerarquía incluyendo la siguiente instrucción:

simple-filter filter-name

Familia inet en una interfaz lógica

Aplique en el nivel de [edit interfaces interface-name unit unit-number family inet] jerarquía incluyendo la siguiente instrucción:

simple-filter simple-filter-name;

Los filtros simples solo se pueden aplicar como filtros de entrada.

Solo es compatible con las siguientes plataformas:

  • PIC de cola inteligente Gigabit Ethernet (IQ2) en los enrutadores serie M120, M320 y T.

  • Concentradores de puerto denso de cola mejorados (EQ DPC) en enrutadores de la serie MX (y conmutadores de la serie EX).

Filtro de comprobación del reenvío inverso de paquetes (RPF)

Se configura en el nivel de [edit firewall family (inet | inet6)] jerarquía mediante la siguiente instrucción:

filter filter-name; 

Familia inet o inet6 en una interfaz lógica

Aplique en el nivel de [edit interfaces interface-name unit unit-number family (inet | inet6)] jerarquía incluyendo la siguiente instrucción:

rpf-check fail-filter filter-name

para aplicar el filtro de firewall sin estado como filtro de comprobación de RPF.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Solo es compatible con enrutadores de la serie MX y conmutadores de la serie EX.