Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Pautas para configurar filtros simples

Jerarquía de instrucciones para configurar filtros simples

Para configurar un filtro simple, incluya la simple-filter simple-filter-name instrucción en el [edit firewall family inet] nivel de jerarquía.

Las instrucciones individuales compatibles con la simple-filter simple-filter-name instrucción se describen por separado en este tema y se ilustran en el ejemplo de configurar y aplicar un filtro simple.

Familias de protocolo de filtro simple

Puede configurar filtros simples para filtrar solo el tráfico IPv4 (family inet). No se admite ninguna otra familia de protocolos para filtros simples.

Nombres de filtro sencillos

En la family inet instrucción, puede incluir simple-filter simple-filter-name instrucciones para crear y nombrar filtros simples. El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres. Para incluir espacios en el nombre, incluya el nombre completo entre comillas (" ").

Términos de filtro simple

En la simple-filter simple-filter-name instrucción, puede incluir term term-name instrucciones para crear y nombrar términos de filtro.

  • Debe configurar al menos un término en un filtro de firewall.

  • Debe especificar un nombre único para cada término dentro de un filtro de firewall. El nombre del término puede contener letras, números y guiones (-) y puede tener hasta 64 caracteres. Para incluir espacios en el nombre, incluya el nombre completo entre comillas (" ").

  • El orden en el que se especifican términos dentro de una configuración de filtro de firewall es importante. Los términos de filtro de firewall se evalúan en el orden en que se configuran. De forma predeterminada, los términos nuevos siempre se agregan al final del filtro existente. Puede utilizar el comando de insert modo de configuración para reordenar los términos de un filtro de firewall.

Los filtros simples no admiten la next term acción.

Condiciones de coincidencia de filtro simple

Los términos de filtro simples solo admiten un subconjunto de las condiciones de coincidencia IPv4 compatibles con filtros de firewall estándar sin estado.

A diferencia de los filtros estándar de firewall sin estado, las siguientes restricciones se aplican a filtros simples:

  • En los enrutadores de la serie MX con el DPC de cola mejorada y en los conmutadores de la serie EX, los filtros simples no admiten la condición de forwarding- class coincidencia.

  • Los filtros simples solo admiten un source-addressdestination-address prefijo para cada término de filtro. Si configura varios prefijos, solo se utilizará el último.

  • Los filtros simples no admiten varias direcciones de origen ni direcciones de destino en un solo término. Si configura varias direcciones, solo se utilizará la última.

  • Los filtros simples no admiten condiciones de coincidencia negadas, como la protocol-except condición de coincidencia o la exception palabra clave.

  • Los filtros simples admiten un rango de valores solo para source-port condiciones de coincidencia.destination-port Por ejemplo, puede configurar source-port 400-500 o destination-port 600-700.

  • Los filtros simples no admiten valores de máscaras nocontituosos.

Tabla 1 enumera las condiciones de coincidencia de filtros simples.

Tabla 1: Condiciones de coincidencia de filtro simple

Condición de coincidencia

Descripción

destination-address destination-address

Haga coincidir la dirección de destino IP.

destination-port number

Campo de puerto de destino TCP o UDP.

Si configura esta condición de coincidencia, recomendamos que también configure la protocol instrucción match para determinar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21 ( ekshell 2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

forwarding-class class

Haga coincidir la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, , expedited-forwardingo network-control.

Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

protocol number

Campo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (también se enumeran los valores de campo): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) o vrrp (112).

source-address ip-source-address

Haga coincidir la dirección IP de origen.

source-port number

Haga coincidir el campo del puerto de origen UDP o TCP.

Si configura esta condición de coincidencia, recomendamos que también configure la protocol instrucción match para determinar qué protocolo se utiliza en el puerto.

En lugar del campo numérico, puede especificar uno de los alias de texto enumerados para destination-port.

Acciones de terminación de filtros simples

Los filtros simples no admiten acciones de terminación configurables explícitamente, como accept, reject, y discard. Los términos configurados en un filtro simple siempre aceptan paquetes.

Los filtros simples no admiten la next acción.

Acciones sencillas de filtrado sin terminación

Los filtros simples solo admiten las siguientes acciones noterminantes:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    Nota:

    En los enrutadores de la serie MX y los conmutadores de la serie EX con la DPC de cola mejorada, la clase de reenvío no se admite como condición de from coincidencia.

  • loss-priority (high | low | medium-high | medium-low)

Los filtros simples no admiten acciones que realicen otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, tomar muestras de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema).