Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia de filtro de firewall para tráfico independiente del protocolo

Puede configurar un filtro de firewall con condiciones de coincidencia para tráfico independiente del protocolo (family any).

Para aplicar un filtro de firewall independiente de protocolo a una interfaz lógica, configure la filter instrucción en la unidad lógica.

Nota:

En enrutadores serie MX, conecte un filtro de firewall independiente de protocolo a una interfaz lógica configurando la filter instrucción directamente en la unidad lógica:

  • [edit interfaces name unit number filter]

  • [edit logical-systems name interfaces name unit number filter]

En todos los demás dispositivos compatibles, conecte un filtro de firewall independiente de protocolo a una interfaz lógica mediante la configuración de la filter instrucción en la familia de protocolos (family any):

  • [edit interfaces name unit number family any filter]

  • [edit logical-systems name interfaces name unit number family any filter]

Tabla 1 describe la match-conditions que se puede configurar en el [edit firewall family any filter filter-name term term-name from] nivel de jerarquía.

Tabla 1: Condiciones de coincidencia de filtro de firewall para tráfico independiente del protocolo

Condición de coincidencia

Descripción

forwarding-class class

Coincida con la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwardingo network-control.

Para obtener más información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

Nota:

En FPC T4000 tipo 5, un filtro adjunto al punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete que establece un clasificador de capa 3 como DSCP, DSCP V6 inet-precedencey mpls-exp.

forwarding-class-except class

No haga coincidir en la clase de reenvío. Para obtener más información, consulte la condición de forwarding-class coincidencia.

interface interface-name

Coincida con la interfaz en la que se recibió el paquete.

Nota:

Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.

interface-set interface-set-name

Coincida la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la interface-set instrucción en el [edit firewall] nivel de jerarquía. Para obtener más información, consulte Descripción general del filtrado de paquetes recibidos en un conjunto de interfaces.

loss-priority level

Coincida con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique un solo nivel o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con la CFEB mejorada (CFEB-E); y enrutadores serie MX.

Para el tráfico IP en enrutadores serie M320, MX y T con concentradores de PIC flexibles (FPC) mejorados II, debe incluir la instrucción en el tri-color[edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Nota:

Esta condición de coincidencia no es compatible con los enrutadores de transporte de paquetes de la serie PTX.

Para obtener más información acerca de la tri-color instrucción, consulte Configurar y aplicar policiacos de marcado tricolor. Para obtener más información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

loss-priority-except level

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

Nota:

Esta condición de coincidencia no es compatible con los enrutadores de transporte de paquetes de la serie PTX.

packet-length bytes

Haga coincidir la longitud del paquete recibido en bytes. La longitud se refiere solo al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que se coincidirán.

packet-length-except bytes

No coincida en la longitud del paquete recibida, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

Temas relacionados