Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 系列交换机的防火墙过滤器概述

防火墙过滤器提供的规则可用于定义是否允许、拒绝或转发从来源地址到目标地址的瞻博网络 EX 系列以太网交换机上的接口的数据包。您可以配置防火墙过滤器,以确定是允许、拒绝还是转发信息流,然后再进入或退出应用防火墙过滤器的端口、VLAN 或第 3 层(路由)接口。要应用防火墙过滤器,必须先配置过滤器,然后将其应用于端口、VLAN 或第3层接口。

您可以将防火墙过滤器应用于网络接口、聚合以太网接口(也称为链路聚合组(lag))、回传接口、管理接口、虚拟管理以太网接口(VMEs)和路由 VLAN 接口(Rvi).有关在这些接口上支持防火墙过滤器的 EX 系列交换机的信息,请参阅EX 系列交换机软件功能概述

入口防火墙过滤器是应用于进入网络的数据包的过滤器。出口防火墙过滤器是应用于正在退出网络的数据包的过滤器。您可以将防火墙过滤器配置为使用者数据包过滤、服务类(CoS)标记(将相似类型的信息流组合在一起,并将每种类型的信息流视为具有自己的服务优先级级别的类)和流量管制(控制在接口上发送或接收的最大流量速率。

防火墙过滤器类型

EX 系列交换机支持以下防火墙过滤器类型:

  • 端口(第 2 层)防火墙过滤器 — 端口防火墙过滤器适用于第 2 层交换机端口。您可以在物理端口的入口和出口方向上应用端口防火墙过滤器。

  • VLAN 防火墙过滤器 — VLAN 防火墙过滤器为进入 VLAN、在 VLAN 内桥接或离开 VLAN 的数据包提供访问控制。您可以在 VLAN 的入口和出口方向上应用 VLAN 防火墙过滤器。VLAN 防火墙过滤器适用于从 VLAN 转发或转发的所有数据包。

  • 路由器(第 3 层)防火墙过滤器 — 您可以在第 3 层(路由)接口和路由的 VLAN 接口 (VLAN) 上的入口和出口方向应用路由器防火墙过滤器。您还可以在环路接口 ( ) 上的入口方向上应用路由器防火墙 lo0 过滤器。在回传接口上配置的防火墙过滤器仅适用于发送至路由引擎 CPU 以进行进一步处理的数据包。

您可以将端口、VLAN 或路由器防火墙过滤器应用于这些交换机上的 IPv4 和IPv6 流量:

  • EX2200 交换机

  • EX3300 交换机

  • EX3200 交换机

  • EX4200 交换机

  • EX4300 交换机

  • EX4500 交换机

  • EX4550 交换机

  • EX6200 交换机

  • EX8200 交换机

有关不同交换机上支持的防火墙过滤器的信息,请参阅EX 系列交换机上的防火墙过滤器匹配条件、操作和操作修饰符的平台支持

防火墙过滤器组件

在防火墙过滤器中,首先定义家族地址类型 ( 、 或 ),然后定义一个或多个术语,用于指定过滤标准(指定为具有匹配条件的术语)以及发生匹配时要采取的操作(指定为操作或操作修改器)。 ethernet-switchinginetinet6

EX 系列交换机的每个防火墙过滤器允许的最大条款数量为:

  • 用于 EX2200 交换机的512

  • 用于 EX3300 交换机的1436

    注:

    在 EX3300 交换机上,如果在同一提交操作中添加和删除具有大量术语(顺序为1000或更高)的过滤器,则并非所有过滤器都已安装。您必须在一个提交操作中添加过滤器,并在单独的提交操作中删除过滤器。

  • EX3200 和 EX4200 交换机 7,042 个 — 由防火墙过滤器三元内容可地址存储器 (TCAM) 动态分配。

  • 在 EX4300 交换机上,对于端口、VLAN 和3层接口上配置的防火墙文件和流量而言,以下最大搜索条件支持的术语数:

    • 对于入口流量:

      • 在端口上配置的防火墙过滤器的3500术语

      • 用于 VLAN 上配置的防火墙过滤器的3500术语

      • 用于 IPv4 流量的第3层接口上配置的防火墙过滤器的7000条款

      • 用于在第3层接口上配置的防火墙过滤器的3500条款 IPv6 流量

    • 对于出口流量:

      • 在端口上配置的防火墙过滤器的512术语

      • 用于 VLAN 上配置的防火墙过滤器的256术语

      • 用于 IPv4 流量的第3层接口上配置的防火墙过滤器的512条款

      • 用于在第3层接口上配置的防火墙过滤器的512条款 IPv6 流量

    注:

    只有在交换机上配置一种类型的防火墙过滤器(端口、VLAN 或路由器(第3层)防火墙过滤器,以及在交换机中的任何接口上未启用风暴控制时,才能配置最大条款数。

  • 用于 EX4500 和 EX4550 交换机的1200

  • 用于 EX6200 交换机的1400

  • 用于 EX8200 交换机的32768

注:

通过向防火墙过滤器分配可用空间块,可实现 EX8200 交换机中的共享空间 TCAM 的按需动态分配。防火墙过滤器分为两个不同的池。端口和 VLAN 过滤器一起汇集在一起(此池的内存阈值为22K),而路由器防火墙过滤器则单独共用(此池的阈值为32K)。分配将根据过滤器池类型发生。只能在属于相同过滤器池类型的防火墙过滤器之间共享可用空间块。当您尝试配置的防火墙过滤器超过 TCAM 阈值时,将生成错误消息。

每个术语都由以下组件构成:

  • 匹配条件 — 指定数据包必须包含的值或字段。您可以定义各种匹配条件,包括 IP 源地址字段、IP 目标地址字段、传输控制协议(TCP)或用户数据报协议(UDP)源端口字段、IP 协议字段、Internet 控制消息协议(ICMP)数据包类型、TCP 标记和接口。

  • 操作 — 指定在数据包符合匹配条件时要做些什么。可能的操作是接受或丢弃数据包或将数据包发送至特定虚拟路由接口。此外,还可以盘点数据包以收集统计信息。如果未指定术语的任何操作,则默认操作是接受数据包。

  • 操作修改器 — 指定数据包符合匹配条件时为交换机执行一个或多个操作。您可以指定操作修饰符,例如计数、镜像、速率限制和对数据包进行分类。

防火墙过滤器处理

防火墙过滤器配置中的条款顺序至关重要。按照防火墙过滤器配置中列出的顺序为每个术语测试数据包。有关防火墙过滤器如何处理数据包的信息,请参阅了解如何评估防火墙过滤器