Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Directrices para configurar filtros simples

Jerarquía de instrucciones para configurar filtros simples

Para configurar un filtro simple, incluya la simple-filter simple-filter-name instrucción en el [edit firewall family inet] nivel de jerarquía.

Las instrucciones individuales compatibles con la simple-filter simple-filter-name instrucción se describen por separado en este tema y se ilustran en el ejemplo de configuración y aplicación de un filtro simple.

Familias de protocolos de filtro simple

Puede configurar filtros simples para filtrar solo el tráfico IPv4 (family inet). No se admite ninguna otra familia de protocolos para filtros simples.

Nombres de filtro simples

En la family inet instrucción, puede incluir simple-filter simple-filter-name instrucciones para crear y nombrar filtros simples. El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres de longitud. Para incluir espacios en el nombre, encierre el nombre completo entre comillas (" ").

Términos de filtro simple

En la simple-filter simple-filter-name instrucción, puede incluir term term-name instrucciones para crear y nombrar términos de filtro.

  • Debe configurar al menos un término en un filtro de firewall.

  • Debe especificar un nombre único para cada término dentro de un filtro de firewall. El nombre del término puede contener letras, números y guiones (-) y puede tener hasta 64 caracteres de longitud. Para incluir espacios en el nombre, encierre el nombre completo entre comillas (" ").

  • El orden en el que se especifican los términos en la configuración de un filtro de firewall es importante. Los términos del filtro de firewall se evalúan en el orden en que están configurados. De forma predeterminada, siempre se agregan nuevos términos al final del filtro existente. Puede usar el comando del modo de insert configuración para reordenar los términos de un filtro de firewall.

Los filtros simples no admiten la next term acción.

Condiciones simples de coincidencia de filtro

Los términos de filtro simple solo admiten un subconjunto de las condiciones de coincidencia IPv4 que se admiten para filtros estándar de firewall sin estado.

A diferencia de los filtros estándar de firewall sin estado, se aplican las siguientes restricciones a los filtros simples:

  • En los enrutadores serie MX con la DPC de cola mejorada y en los conmutadores serie EX, los filtros simples no admiten la condición de forwarding- class coincidencia.

  • Los filtros simples solo admiten uno source-address y un destination-address prefijo para cada término de filtro. Si configura varios prefijos, solo se utilizará el último.

  • Los filtros simples no admiten varias direcciones de origen y destino en un solo término. Si configura varias direcciones, solo se utilizará la última.

  • Los filtros simples no admiten condiciones de coincidencia negadas, como la protocol-except condición de coincidencia o la exception palabra clave.

  • Los filtros simples admiten un rango de valores solo para source-port condiciones de destination-port coincidencia. Por ejemplo, puede configurar source-port 400-500 o destination-port 600-700.

  • Los filtros simples no admiten valores de máscara nocontiguos.

Tabla 1 enumera las condiciones simples de coincidencia de filtro.

Tabla 1: Condiciones simples de coincidencia de filtro

Condición de coincidencia

Descripción

destination-address destination-address

Coincida con la dirección IP de destino.

destination-port number

Campo de puerto de destino TCP o UDP.

Si configura esta condición de coincidencia, recomendamos que también configure la protocol instrucción match para determinar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (los números de puerto también se enumeran): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

forwarding-class class

Coincida con la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwardingo network-control.

Para obtener más información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

protocol number

Campo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (los valores de campo también se enumeran): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) o vrrp (112).

source-address ip-source-address

Coincida con la dirección IP de origen.

source-port number

Coincida con el campo de puerto de origen UDP o TCP.

Si configura esta condición de coincidencia, recomendamos que también configure la protocol instrucción match para determinar qué protocolo se utiliza en el puerto.

En lugar del campo numérico, puede especificar uno de los alias de texto enumerados para destination-port.

Acciones de terminación de filtro simple

Los filtros simples no admiten acciones de terminación configurables explícitamente, como accept, rejecty discard. Los términos configurados en un filtro simple siempre aceptan paquetes.

Los filtros simples no admiten la next acción.

Acciones nominativas de filtro simple

Los filtros simples solo admiten las siguientes acciones nominativas:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    Nota:

    En los enrutadores de la serie MX y los conmutadores de la serie EX con DPC de cola mejorada, la clase de reenvío no se admite como condición from de coincidencia.

  • loss-priority (high | low | medium-high | medium-low)

Los filtros simples no admiten acciones que realicen otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, tomar muestras de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema).