Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Условия совпадения фильтра межсетевых экранов для трафика, независимого от протокола

Можно настроить фильтр межсетевых экранов с условиями совпадения для трафика, независимого от протокола family any ( ).

Для применения к логическому интерфейсу фильтр межсетевых экранов, не завися от протокола, настройте утверждение filter под логическим блоком.

Прим.:

На серия MX маршрутизаторах прикрепляют к логическому интерфейсу фильтр межсетевых экранов, не зависяющий от протокола, путем настройки утверждения непосредственно под filter логическим блоком:

  • [edit interfaces name unit number filter]

  • [edit logical-systems name interfaces name unit number filter]

На всех остальных поддерживаемых устройствах прикрепляй к логическому интерфейсу фильтр межсетевых экранов, не зависяющий от протоколов, путем настройки утверждения в семейство filter протоколов family any ():

  • [edit interfaces name unit number family any filter]

  • [edit logical-systems name interfaces name unit number family any filter]

Табл. 1 описывает match-conditions конфигурацию на уровне [edit firewall family any filter filter-name term term-name from] иерархии.

Табл. 1: Условия совпадения фильтра межсетевых экранов для трафика, независимого от протокола

Условие совпадения

Описание

forwarding-class class

Соответствует классу переадварки пакета.

assured-forwardingbest-effort Укажите, expedited-forwardingnetwork-control или.

Для получения информации о классах переад назначения и внутренних выходных очередях маршрутизатора см. "Понимание того, как классы переад пути назначения классов выходным очередям".

Прим.:

На T4000 FPC типа 5 фильтр, установленный в точке приложения второго уровня (то есть на логическом уровне интерфейса), не может соответствовать классу переадстройки пакета, задаемого классификатором уровня 3, таким как DSCP, DSCP V6 inet-precedencempls-exp и.

forwarding-class-except class

Не совпадают в классе переадваровки. Подробные сведения см. в forwarding-class условии совпадения.

interface interface-name

Со соответствовать интерфейсу, на котором был получен пакет.

Прим.:

Если это условие совпадения настроено для не существует интерфейса, то термин не соответствует любому пакету.

interface-set interface-set-name

Со соответствовать интерфейсу, на котором был получен пакет, с указанным набором интерфейсов.

Чтобы определить набор интерфейсов, включим interface-set в себя утверждение на уровне [edit firewall] иерархии. Дополнительные сведения Обзор фильтрации пакетов, полученных на наборе интерфейсов см. в .

loss-priority level

Со соответствовать уровню приоритета потери пакетов (PLP).

Укажите один или несколько уровней: low, medium-lowmedium-high , или high .

Поддерживается M120 и M320 маршрутизаторах; M7i и M10i с расширенным CFEB (CFEB-E); и серия MX маршрутизаторов.

Для IP-трафика M320, серия MX и серия T с расширенными гибкими концентраторами PIC II (FFPC), необходимо включить утверждение на уровне иерархии, чтобы сфиксировать конфигурацию PLP с любым из четырех указанных tri-color[edit class-of-service] уровней. Если утверждение tri-color не включено, можно настроить только уровни high и low уровни. Это относится ко всем семействам протоколов.

Прим.:

Это условие совпадения не поддерживается на маршрутизаторах пакетной переноски PTX.

Для получения сведений об tri-color этом сообщении см. "Настройка и применение трехсторонней маркировки policers". Сведения об использовании классификаторов поведения (BA) для назначения уровня PLP входящих пакетов см. в "Сведениях о назначении классов переадностики выходным очередям".

loss-priority-except level

Не соответствует уровню PLP. Подробные сведения см. в loss-priority условии совпадения.

Прим.:

Это условие совпадения не поддерживается на маршрутизаторах пакетной переноски PTX.

packet-length bytes

Со соответствовать длине полученного пакета в bytes. Длина относится только к IP-пакету, включая заголовок пакета, и не включает в себя слою инкапсуляции уровня 2. Можно также указать диапазон значений, которые будут соответствовать.

packet-length-except bytes

Не совпадают в полученных длинах пакетов в bytes. Подробные сведения см. в packet-length типе совпадения.

Связанные темы