Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 系列交换机的防火墙过滤器概述

防火墙过滤器提供规则,用于定义是允许、拒绝还是转发正在将瞻博网络 EX 系列以太网交换机上的接口从源地址传输到目标地址的数据包。您可以配置防火墙过滤器,以确定是否允许、拒绝或转发信息流,然后再进入或退出应用 防火墙过滤器 的端口、VLAN 或第 3 层(路由)接口。要应用防火墙过滤器,必须先配置过滤器,然后将其应用到端口、VLAN 或第 3 层接口。

您可以将防火墙过滤器应用于网络接口、聚合以太网接口(也称为链路聚合组 (LAG)、环路接口、管理接口、虚拟管理以太网接口 (VME) 和路由 VLAN 接口 (RVI)。有关在这些接口上支持防火墙过滤器的 EX 系列交换机的信息,请参阅 EX 系列交换机软件功能概述

入口防火墙过滤器是应用于进入网络的数据包的过滤器。出口防火墙过滤器是应用于正在退出网络的数据包的过滤器。您可以将防火墙过滤器配置为对数据包进行过滤、服务等级 (CoS) 标记(将类似类型的流量分组在一起,并将每种类型的流量视为一类,并具有自己的服务优先级),以及信息流管制(控制接口上发送或接收的最大流量速率)。

注:

网络端口、第 2 层和第 3 层或 IRB 接口上的监管器不会监管主机绑定流量。但是,如果您想防止 DDoS 攻击,则可以在 lo0 上创建一个防火墙过滤器来保护路由引擎。

防火墙过滤器类型

EX 系列交换机支持以下防火墙过滤器类型:

  • 端口(第 2 层)防火墙过滤器 — 端口防火墙过滤器适用于第 2 层交换机端口。您可以在物理端口的入口和出口方向上应用端口防火墙过滤器。

  • VLAN 防火墙过滤器 — VLAN 防火墙过滤器为进入 VLAN、在 VLAN 中桥接或离开 VLAN 的数据包提供访问控制。您可以在 VLAN 上的入口和出口方向上应用 VLAN 防火墙过滤器。VLAN 防火墙过滤器适用于从 VLAN 转发或转发的所有数据包。

  • 路由器(第 3 层)防火墙过滤器 — 您可以在第 3 层(路由)接口和路由 VLAN 接口 (RVI) 上的入口和出口方向上应用路由器防火墙过滤器。您还可以在环路接口 (lo0) 上的入口方向上应用路由器防火墙过滤器。在环路接口上配置的防火墙过滤器仅应用于发送至路由引擎 CPU 以进行进一步处理的数据包。

您可以将端口、VLAN 或路由器防火墙过滤器应用于这些交换机上 的 IPv4 和 IPv6 流量:

  • EX2200 交换机

  • EX3300 交换机

  • EX3200 交换机

  • EX4200 交换机

  • EX4300 交换机

  • EX4500 交换机

  • EX4550 交换机

  • EX6200 交换机

  • EX8200 交换机

有关不同交换机上支持的防火墙过滤器的信息,请参阅 EX 系列交换机上的防火墙过滤器匹配条件、操作和操作支持平台支持

防火墙过滤器组件

在防火墙过滤器中,首先定义家族地址类型(ethernet-switchinginetinet6),然后定义一个或多个术语,用于指定过滤标准(指定为具有匹配条件的条款)以及在发生匹配时应执行的操作(指定为操作或操作修改器)。

EX 系列交换机每个防火墙过滤器允许的最大条款数为:

  • 512(EX2200 交换机)

  • 1436(EX3300 交换机)

    注:

    在 EX3300 交换机上,如果在同一提交操作中添加并删除了具有大量术语(按 1000 或更多顺序)的过滤器,则并非所有过滤器都已安装。您必须在一次提交操作中添加过滤器,并在单独的提交操作中删除过滤器。

  • 7,042(用于 EX3200 和 EX4200 交换机),由防火墙过滤器的三元内容可寻址内存 (TCAM) 动态分配分配。

  • 在 EX4300 交换机上,对于在端口、VLAN 和第 3 层接口上配置的防火墙文件器,支持以下最大条款数量:

    • 对于入口流量:

      • 为端口上配置的防火墙过滤器提供 3500 个术语

      • 为 VLAN 上配置的防火墙过滤器提供 3500 个术语

      • 为 IPv4 流量在第 3 层接口上配置的防火墙过滤器的 7000 个术语

      • 为 IPv6 流量在第 3 层接口上配置的防火墙过滤器 3500 条款

    • 对于 EX4300-MP 设备,入口支持与上述支持相同,但以下情况例外:

      • 为 IPv4 流量在第 3 层接口上配置的防火墙过滤器的 3072 个术语

    • 对于出口流量:

      • 为端口上配置的防火墙过滤器提供 512 个术语

      • 为 VLAN 上配置的防火墙过滤器提供 256 个术语

      • 为 IPv4 流量在第 3 层接口上配置的防火墙过滤器的 512 个术语

      • 为 IPv6 流量在第 3 层接口上配置的防火墙过滤器的 512 个术语

    注:

    只有在在交换机上配置一种类型的防火墙过滤器(端口、VLAN 或路由器(第 3 层)防火墙过滤器),并且交换机上的任何接口上未启用风暴控制时,才能配置最大术语数。

  • 1200(EX4500 和 EX4550 交换机)

  • 1400(EX6200 交换机)

  • 32,768 台 EX8200 交换机

注:

通过向防火墙过滤器分配免费空间块,实现了 EX8200 交换机中共享空间 TCAM 的按需动态分配。防火墙过滤器可分类为两个不同的池。端口和 VLAN 过滤器汇聚在一起(此池的内存阈值为 22K),而路由器防火墙过滤器则单独池(此池的阈值为 32K)。分配基于过滤器池类型进行。仅可以在属于相同过滤器池类型的防火墙过滤器之间共享免费空间块。尝试将防火墙过滤器配置到 TCAM 阈值之外时,将生成错误消息。

每个术语都由以下组件组成:

  • 匹配条件 — 指定数据包必须包含的值或字段。您可以定义各种匹配条件,包括 IP 源地址字段、IP 目标地址字段、传输控制协议 (TCP) 或用户数据报协议 (UDP) 源端口字段、IP 协议字段、互联网控制消息协议 (ICMP) 数据包类型、TCP 标志和接口。

  • 操作 — 指定数据包与匹配条件匹配时该执行的操作。可能的操作是接受或丢弃数据包或将数据包发送至特定虚拟路由接口。此外,数据包可以计算以收集统计信息。如果一个术语未指定任何操作,则默认操作是接受数据包。

  • 操作修改器 — 指定交换机的一个或多个操作(如果数据包与匹配条件匹配)。您可以指定操作修改器,例如计数、镜像、速率限制,以及对数据包进行分类。

防火墙过滤器处理

防火墙过滤器配置中的条款顺序很重要。按照防火墙过滤器配置中列出术语的顺序,对每个术语的数据包进行测试。有关防火墙过滤器如何处理数据包的信息,请参阅 了解防火墙过滤器的评估方式