Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo

Puede configurar un filtro de firewall con condiciones coincidentes para el tráfico independiente del protocolo (family any).

Para aplicar un filtro de firewall independiente del protocolo a una interfaz lógica, configure la filter instrucción en la unidad lógica.

Nota:

En los enrutadores de la serie MX, adjunte un filtro de firewall independiente del protocolo a una interfaz lógica configurando la filter instrucción directamente debajo de la unidad lógica:

  • [edit interfaces name unit number filter]

  • [edit logical-systems name interfaces name unit number filter]

En todos los demás dispositivos compatibles, adjunte un filtro de firewall independiente del protocolo a una interfaz lógica configurando la filter instrucción en la familia de protocolos (family any):

  • [edit interfaces name unit number family any filter]

  • [edit logical-systems name interfaces name unit number family any filter]

Tabla 1 Describe cómo match-conditions se puede configurar en el nivel jerárquico [edit firewall family any filter filter-name term term-name from] .

Tabla 1: Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo

Condición de coincidencia

Description

forwarding-class class

Hacer coincidir la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwarding, o network-control.

Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

Nota:

En las FPC T4000 de tipo 5, un filtro conectado en el punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete establecido por un clasificador de capa 3 como DSCP, DSCP V6 inet-precedencey mpls-exp.

forwarding-class-except class

No coincida en la clase de reenvío. Para obtener más información, consulte la condición de forwarding-class coincidencia.

interface interface-name

Haga coincidir la interfaz en la que se recibió el paquete.

Nota:

Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.

interface-set interface-set-name

Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la interface-set instrucción en el nivel de [edit firewall] jerarquía. Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.

loss-priority level

Coincidir con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique uno o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores de la serie MX.

Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) Enhanced II, debe incluir la tri-color instrucción en el nivel de [edit class-of-service] jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, sólo podrá configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX.

Para obtener información acerca de la tri-color instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

loss-priority-except level

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX.

packet-length bytes

Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que deben coincidir.

packet-length-except bytes

No coincida en la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

Temas relacionados