Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Directrices para configurar filtros simples

Jerarquía de instrucciones para configurar filtros simples

Para configurar un filtro sencillo, incluya la simple-filter simple-filter-name instrucción en el [edit firewall family inet] nivel jerárquico.

Las instrucciones individuales que se simple-filter simple-filter-name admiten en el resumen se describen de forma independiente en este tema y se muestran en el ejemplo de configuración y aplicación de un filtro sencillo.

Familias de protocolos de filtro simple

Puede configurar filtros simples para filtrar el tráfico IPv4family inet() solamente. No se admite ninguna otra familia de protocolos para filtros sencillos.

Nombres de filtro sencillos

En la family inet instrucción, puede incluir simple-filter simple-filter-name instrucciones para crear y asignar nombres a filtros simples. El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").

Términos de filtro sencillos

En el simple-filter simple-filter-name extracto, puede incluir term term-name extractos para crear y asignar nombres a los términos del filtro.

  • Debe configurar al menos un término en un filtro de Firewall.

  • Debe especificar un nombre único para cada término dentro de un filtro de Firewall. El nombre del término puede contener letras, números y guiones (-), y puede tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").

  • El orden en el que se especifican los términos en una configuración de filtro de Firewall es importante. Los términos de filtro del cortafuegos se evalúan en el orden en que se configuran. De forma predeterminada, los términos nuevos siempre se agregan al final del filtro existente. Puede utilizar el insert comando modo de configuración para reordenar los términos de un filtro de cortafuegos.

Los filtros simples no admiten la next term acción.

Condiciones de coincidencia de filtro simple

Los términos de filtro sencillos solo admiten un subconjunto de las condiciones de coincidencia IPv4 que se admiten para los filtros estándar del firewall sin estado.

A diferencia de los filtros estándar del firewall sin estado, se aplican las siguientes restricciones a los filtros simples:

  • En enrutadores serie MX con el comando Enhanced Queue CPC y en conmutadores de la serie EX, los filtros simples no admiten la forwarding- class condición de coincidencia.

  • Los filtros simples admiten source-address solo un destination-address prefijo y uno para cada término de filtro. Si configura varios prefijos, solo se utilizará el último.

  • Los filtros simples no admiten varias direcciones de origen y direcciones de destino en un solo término. Si configura varias direcciones, solo se utilizará la última.

  • Los filtros simples no admiten condiciones de coincidencia anuladas, como la protocol-except condición de coincidencia o la palabra exception clave.

  • Los filtros simples admiten un rango de source-port valores destination-port para coincidir solo con las condiciones. Por ejemplo, puede configurar source-port 400-500 o. destination-port 600-700

  • Los filtros simples no admiten valores de máscara no convencionales.

Tabla 1enumera las condiciones simples de coincidencia de filtro.

Tabla 1: Condiciones de coincidencia de filtro simple

Condición coincidir

Descriptiva

destination-address destination-address

Hacer coincidir dirección de destino IP.

destination-port number

Campo de puerto de destino TCP o UDP.

Si configura esta condición de coincidencia, es recomendable que configure también la protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (también se muestran los números de puertos): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (20), (19) https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), ((639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3pptp (110), (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

forwarding-class class

Coincide con la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwardingo network-control.

Para obtener más información sobre las clases de reenvío y colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

protocol number

Campo protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (también se muestran los valores de los campos): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmpicmp6 (1), (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospfpim (89), (103), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

source-address ip-source-address

Hacer coincidir con la dirección IP de origen.

source-port number

Coincida con el campo de puerto de origen UDP o TCP.

Si configura esta condición de coincidencia, es recomendable que configure también la protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto.

En lugar del campo numérico, puede especificar uno de los alias de texto que se muestran para destination-portla lista.

Acciones de terminación de filtro simple

Los filtros simples no admiten acciones de terminación configurables explícitamente, como accept , y rejectdiscard . Los términos configurados en un filtro simple aceptan siempre paquetes.

Los filtros simples no admiten la next acción.

Acciones de no terminación de filtro simple

Los filtros simples sólo admiten las siguientes acciones de no terminación:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    Nota:

    En los enrutadores de la serie MX y los conmutadores de la serie EX con el DPC de cola mejorado, la from clase de reenvío no se admite como condición de coincidencia.

  • loss-priority (high | low | medium-high | medium-low)

Los filtros simples no admiten acciones que realicen otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, realizar el muestreo de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema).