在此页面上
访问控制列表(防火墙过滤器)
总结 阅读本主题,了解云原生路由器中的第 2 层访问控制列表(防火墙过滤器)。
访问控制列表(防火墙过滤器)
从瞻博网络云原生路由器 22.2 版开始,我们增加了有限的防火墙过滤功能。您可以使用云原生路由器控制器中的 Junos OS CLI、NETCONF 或云原生路由器 API 来配置过滤器。从瞻博网络云原生路由器 23.2 版开始,您还可以在部署 cRPD 时使用节点注释和自定义配置模板来配置防火墙过滤器。有关更多详细信息,请查看部署指南。
在部署期间,系统会定义并应用防火墙过滤器,以阻止流量直接在路由器接口之间传递。您可以动态定义和应用更多筛选器。使用防火墙过滤器可以:
-
为网桥系列流量定义防火墙过滤器。
-
根据以下一个或多个字段定义过滤器:源 MAC 地址、目标 MAC 地址或以太网类型。
-
在每个过滤器中定义多个术语。
-
丢弃与过滤器匹配的流量。
-
将过滤器应用于网桥域。
配置示例
您可以在下面看到云原生路由器部署中的防火墙过滤器配置示例:
root@jcnr01> show configuration firewall
firewall {
family {
bridge {
filter example {
term t1 {
from {
destination-mac-address 10:10:10:10:10:11;
source-mac-address 10:10:10:10:10:10;
ether-type arp;
}
then {
discard;
}
}
}
}
}
}
注意:您最多可以在单个防火墙过滤器中配置 16 个术语。
唯一可以在防火墙过滤器中配置的操作是丢弃操作。
set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1然后,您必须提交配置才能使防火墙过滤器生效。
要查看有多少数据包与过滤器匹配(每个 VLAN),可以在 cRPD CLI 上发出 show firewall filter filter1 命令。例如:
show firewall filter filter1 Filter : filter1 vlan-id : 3001 Term Packet t1 0
在前面的示例中,我们将过滤器应用于桥接域 bd3001。过滤器尚未匹配任何数据包。
故障 排除
下表列出了在云原生路由器中实施防火墙规则或 ACL 时可能遇到的一些潜在问题。您可以在主机服务器上运行其中的大多数命令。
| 问题 | 可能的原因和解决 | 命令 |
|---|---|---|
| 防火墙过滤器或 ACL 不起作用 | 与虚拟路由器的 gRPC 连接(端口 50052)已关闭。检查 gRPC 连接。 | netstat -antp|grep 50052 |
ui-pubd进程未运行。检查是否ui-pubd正在运行。 |
ps aux|grep ui-pubd |
|
| 防火墙过滤器或 ACL 显示命令不起作用 | 与虚拟路由器的 gRPC 连接(端口 50052)已关闭。检查 gRPC 连接。 | netstat -antp|grep 50052 |
| 防火墙服务未运行。 | ps aux|grep firewall |
|
show log filter.log您必须在 JCNR 控制器 (cRPD) CLI 中运行此命令。 |