配置简单筛选器的准则
用于配置简单筛选器的语句层次结构
要配置简单筛选器,请在层次结构级别包含simple-filter simple-filter-name
[edit firewall family inet]
语句。
[edit] firewall { familyinet
{simple-filter
simple-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
本主题将单独介绍该 simple-filter simple-filter-name
语句支持的各个语句,并在配置和应用简单筛选器的示例中进行说明。
简单过滤器协议家族
您可以将简单过滤器配置为仅过滤 IPv4 流量 (family inet
)。简单筛选器不支持其他协议家族。
简单筛选器名称
在 family inet
语句下,可以包含 simple-filter simple-filter-name
用于创建和命名简单筛选器的语句。筛选器名称可以包含字母、数字和连字符 (-),长度最多为 64 个字符。要在名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
简单筛选术语
在 simple-filter simple-filter-name
语句下,可以包含 term term-name
用于创建和命名筛选器术语的语句。
您必须在 防火墙过滤器中至少配置一个术语。
您必须为防火墙过滤器中的每个术语指定唯一的名称。术语名称可以包含字母、数字和连字符 (-),最长可达 64 个字符。要在名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
在防火墙过滤器配置中指定术语的顺序非常重要。防火墙过滤器术语按其配置顺序进行评估。默认情况下,新术语始终添加到现有筛选器的末尾。您可以使用配置模式命令对
insert
防火墙过滤器的条款重新排序。
简单筛选器不支持 该 next term
操作。
简单过滤器匹配条件
简单过滤器术语仅支持标准无状态防火墙过滤器支持的 IPv4 匹配条件的子集。
与标准无状态防火墙过滤器不同,以下限制适用于简单过滤器:
在具有增强型队列 DPC 的 MX 系列路由器和 EX 系列交换机上,简单筛选器不支持
forwarding- class
匹配条件。简单筛选器仅
source-address
支持每个筛选器术语的一个前缀destination-address
。如果配置多个前缀,则仅使用最后一个前缀。简单筛选器不支持 单个术语中的多个源地址和目标地址。如果配置多个地址,则仅使用最后一个地址。
简单筛选器不支持 否定匹配条件,例如
protocol-except
匹配条件或exception
关键字。简单筛选器仅支持一系列值
source-port
和destination-port
匹配条件。例如,您可以配置source-port 400-500
或destination-port 600-700
。简单筛选器不支持 不连续的掩码值。
表 1 列出了简单筛选器匹配条件。
匹配条件 |
Description |
---|---|
|
匹配 IP 目标地址。 |
|
TCP 或 UDP 目标端口字段。 如果配置此匹配条件,建议您同时配置 要代替数值,您可以指定以下文本别名之一(端口号也会列出): |
|
匹配数据包的转发类。 指定 有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列。 |
|
IP 协议字段。要代替数值,您可以指定以下文本别名之一(还会列出字段值): |
|
匹配 IP 源地址。 |
|
匹配 UDP 或 TCP 源端口字段。 如果配置此匹配条件,建议您同时配置 要代替数值字段,您可以指定为 列出的 |
简单过滤器终止操作
简单过滤器不支持 显式配置的终止操作,如 accept
、 reject
和 discard
。在简单过滤器中配置的术语始终接受数据包。
简单筛选器不支持 该 next
操作。
简单过滤器非终止操作
简单筛选器仅支持以下非终止操作:
forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)
注:在具有增强型排队 DPC 的 MX 系列路由器和 EX 系列交换机上,不支持将转发类作为
from
匹配条件。loss-priority (high | low | medium-high | medium-low)
简单过滤器不支持对数据包执行其他功能的操作(如递增计数器、记录有关数据包标头的信息、对数据包数据进行采样或使用系统日志功能向远程主机发送信息)。