Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo

Puede configurar un filtro de firewall con condiciones coincidentes para el tráfico independiente del protocolo (family any).

Para aplicar un filtro de firewall independiente del protocolo a una interfaz lógica, configure la filter instrucción en la unidad lógica.

Nota:

En los enrutadores de la serie MX, adjunte un filtro de firewall independiente del protocolo a una interfaz lógica configurando la filter instrucción directamente debajo de la unidad lógica:

[edit interfaces name unit number filter]
[edit logical-systems name interfaces name unit number filter]

En todos los demás dispositivos compatibles, adjunte un filtro de firewall independiente del protocolo a una interfaz lógica configurando la filter instrucción en la familia de protocolos (family any):

[edit interfaces name unit number family any filter]
[edit logical-systems name interfaces name unit number family any filter]

Tabla 1 Describe cómo match-conditions se puede configurar en el nivel jerárquico [edit firewall family any filter filter-name term term-name from] .

Tabla 1: Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo
Condición de coincidencia	Description
`forwarding-class class`	Hacer coincidir la clase de reenvío del paquete. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`, o `network-control`. Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida. Nota: En las FPC T4000 de tipo 5, un filtro conectado en el punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete establecido por un clasificador de capa 3 como DSCP, DSCP V6 `inet-precedence`y `mpls-exp`.
`forwarding-class-except class`	No coincida en la clase de reenvío. Para obtener más información, consulte la condición de `forwarding-class` coincidencia.
`interface interface-name`	Haga coincidir la interfaz en la que se recibió el paquete. Nota: Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.
`interface-set interface-set-name`	Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado. Para definir un conjunto de interfaces, incluya la `interface-set` instrucción en el nivel de `[edit firewall]` jerarquía. Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.
`loss-priority level`	Coincidir con el nivel de prioridad de pérdida de paquetes (PLP). Especifique uno o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores de la serie MX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) Enhanced II, debe incluir la `tri-color` instrucción en el nivel de `[edit class-of-service]` jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la `tri-color` instrucción no está habilitada, sólo podrá configurar los `high` niveles y `low` . Esto se aplica a todas las familias de protocolos. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Para obtener información acerca de la `tri-color` instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.
`loss-priority-except level`	No coincida con el nivel de PLP. Para obtener más información, consulte la condición de `loss-priority` coincidencia. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX.
`packet-length bytes`	Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que deben coincidir.
`packet-length-except bytes`	No coincida en la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de `packet-length` coincidencia.
`packet-length bytes`	Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que deben coincidir.
`vlan-id number`	Haga coincidir el ID de VLAN del paquete. El rango es 0 - 4095.
`egress-interface interface-name`	Haga coincidir la interfaz de salida del paquete. Aplicable a los filtros aplicados al tráfico de salida (salida).
`mpls-bottom-of-stack bytes`	Coincidir si la etiqueta MPLS es la parte inferior de la pila (es decir, la última etiqueta antes de la carga). Aplicable a los filtros aplicados al tráfico MPLS.
mapa de políticas	Haga coincidir paquetes según un mapa de políticas predefinido (por ejemplo, políticas de QoS o de seguridad). Configure mapas en `[edit policy-options policy-map]`

Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo

Temas relacionados