Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo
Puede configurar un filtro de firewall con condiciones coincidentes para el tráfico independiente del protocolo (family any).
Para aplicar un filtro de firewall independiente del protocolo a una interfaz lógica, configure la filter instrucción en la unidad lógica.
En los enrutadores de la serie MX, adjunte un filtro de firewall independiente del protocolo a una interfaz lógica configurando la filter instrucción directamente debajo de la unidad lógica:
[edit interfaces name unit number filter][edit logical-systems name interfaces name unit number filter]
En todos los demás dispositivos compatibles, adjunte un filtro de firewall independiente del protocolo a una interfaz lógica configurando la filter instrucción en la familia de protocolos (family any):
[edit interfaces name unit number family any filter][edit logical-systems name interfaces name unit number family any filter]
Tabla 1 Describe cómo match-conditions se puede configurar en el nivel jerárquico [edit firewall family any filter filter-name term term-name from] .
Condición de coincidencia |
Description |
|---|---|
|
|
Hacer coincidir la clase de reenvío del paquete. Especifique Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida. Nota:
En las FPC T4000 de tipo 5, un filtro conectado en el punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete establecido por un clasificador de capa 3 como DSCP, DSCP V6 |
|
|
No coincida en la clase de reenvío. Para obtener más información, consulte la condición de |
|
|
Haga coincidir la interfaz en la que se recibió el paquete. Nota:
Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete. |
|
|
Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado. Para definir un conjunto de interfaces, incluya la |
|
|
Coincidir con el nivel de prioridad de pérdida de paquetes (PLP). Especifique uno o varios niveles: Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores de la serie MX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) Enhanced II, debe incluir la Nota:
Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Para obtener información acerca de la |
|
|
No coincida con el nivel de PLP. Para obtener más información, consulte la condición de Nota:
Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que deben coincidir. |
|
|
No coincida en la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de |
|
|
Haga coincidir el ID de VLAN del paquete. El rango es 0 - 4095. |