Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解防火墙过滤器如何控制数据包流

瞻博网络 EX 系列以太网交换机支持防火墙过滤器,允许您控制数据包和本地数据包的信息流。数据包是在从源转发到目的地时传输交换机的数据块。本地数据包是指交换机所发或发送的数据块。本地数据包通常包含路由协议数据、IP 服务(如 Telnet 或 SSH)的数据以及用于管理协议(如 Internet 控制消息协议(ICMP))的数据。

您可以创建防火墙过滤器,防止交换机过多的流量经过交换机到网络目标或交换机上的路由引擎。控制本地数据包的防火墙过滤器还可以保护交换机免遭外部事故(如拒绝服务(DoS)攻击)。

防火墙过滤器会影响进入或退出交换机接口的数据包流:

  • 入口防火墙过滤器会影响交换机接口接收的数据包流。数据包转发引擎处理此流。交换机在接口上接收数据包时,交换机将在转发表中查找最佳路由(2 层交换、3 层路由)以确定将数据包转发至何处。数据包通过输出接口转发至目的地。本地目的地的数据包将转发至路由引擎。

  • 出口防火墙过滤器会影响从交换机接口中传输的数据包流,但不影响来自交换机本地生成控制数据包路由引擎。数据包转发引擎处理从交换机传输来的数据包流,而出口防火墙过滤器则在此处应用。数据包转发引擎还处理来自路由引擎的控制数据包流。

图 1说明了使用入口和出口防火墙过滤器来控制通过交换机的数据包流的应用程序。

图 1: 防火墙过滤器的应用程序,用于控制数据包流防火墙过滤器的应用程序,用于控制数据包流
  1. 入口 防火墙 过滤器,用于控制在交换机接口上接收并发往网络的本地路由引擎。

  2. 入口防火墙过滤器,用于控制交换机接口上的传入数据包。

  3. 出口防火墙过滤器,应用于控制通过交换机接口的数据包。