Инструкции по настройке простых фильтров

Иерархия цехов для настройки простых фильтров

Для настройки простого фильтра включите simple-filter simple-filter-name утверждение на [edit firewall family inet] уровне иерархии.

Отдельные утверждения, поддерживаемые в данном разделе, описываются отдельно и показано на примере настройки и применения simple-filter simple-filter-name простого фильтра.

Семейства протоколов простого фильтра

Можно настроить простые фильтры для фильтрации трафика IPv4 family inet () только. Для простых фильтров другие семейства протоколов не поддерживаются.

Простые имена фильтров

В утверждение можно включить утверждения для family inetsimple-filter simple-filter-name создания и именовать простые фильтры. Имя фильтра может содержать буквы, цифры и дефис (-) и длиной до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").

Простые условия фильтра

В этом simple-filter simple-filter-name выражении можно включить утверждения для создания и имен term term-name фильтра.

• Необходимо настроить как минимум один термин в фильтре межсетевых экранов.

• В фильтре межсетевых экранов необходимо указать уникальное имя для каждого термина. Термин "имя" может содержать буквы, цифры и дефис (-) и может содержать до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").

• Важен порядок указания терминов в конфигурации фильтра межсетевых экранов. Термины фильтра межсетевых экранов оцениваться в порядке их настройки. По умолчанию новые термины всегда добавляются к концу существующего фильтра. Команду configuration insert mode можно использовать для переубора условий фильтра межсетевых экранов.

Простые фильтры не поддерживают это next term действие.

Условия совпадения простого фильтра

Простые термины фильтра поддерживают только подмножество условий совпадения IPv4, которые поддерживаются для стандартных фильтров межсетевых экранов без сточки зрения состояния.

В отличие от стандартных фильтров межсетевых экранов без с состоянием состояния, к простым фильтрам применяются следующие ограничения:

• На серия MX маршрутизаторах с улучшенной DPC очереди и на коммутаторах серии EX простые фильтры не поддерживают forwarding- class условие совпадения.

• Простые фильтры поддерживают только один префикс для каждого source-addressdestination-address срока фильтрации. При настройке нескольких префиксов используется только последний.

• Простые фильтры не поддерживают несколько адресов источника и адресов назначения в одном термине. При настройке нескольких адресов используется только последний.

• Простые фильтры не поддерживают отрицание условий совпадения, таких как условие protocol-except совпадения или exception ключевое слово.

• Простые фильтры поддерживают диапазон значений только для условий source-portdestination-port совпадения. Например, можно настроить source-port 400-500 или destination-port 600-700 .

• Простые фильтры не поддерживают значения несоотвержденных масок.

Табл. 1 перечисляет простые условия совпадения фильтров.

Простые действия по прерываниям фильтра

Простые фильтры не поддерживают явно настраиваемые действия, acceptreject например, и discard . Термины, сконфигурируемые с простым фильтром, всегда принимают пакеты.

Простые фильтры не поддерживают это next действие.

Простые неустанавляющие действия фильтра

Простые фильтры поддерживают только следующие неустандартные действия:

• forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

  Прим.:

  На маршрутизаторах серия MX маршрутизаторах и коммутаторах серии EX с расширенным DPC очереди класс переадительной DPC не поддерживается в качестве условия from совпадения.

• loss-priority (high | low | medium-high | medium-low)

Простые фильтры не поддерживают действия, которые выполняют другие функции на пакете (такие как приращение счетчика, ведение журнала данных о пакете, выборка данных пакетов или отправка информации удаленному хосту с использованием функции системного журнала).