了解防火墙过滤器如何控制数据包流
瞻博网络 EX 系列以太网交换机支持防火墙过滤器,允许您控制数据包和本地数据包的流动。数据包 是在从源转发到目标时通过交换机传输的数据块。本地数据包 是发往交换机或由交换机发送的数据块。本地数据包通常包含路由协议数据、用于 IP 服务(如 Telnet 或 SSH)的数据,以及用于管理协议(如互联网控制消息协议 (ICMP))的数据。
您可以创建防火墙过滤器,以保护交换机免受过多流量将交换机传输到网络目标或发往交换机上的路由引擎的影响。控制本地数据包的防火墙过滤器还可以保护您的交换机免受拒绝服务 (DoS) 攻击等外部事件的影响。
防火墙过滤器会影响进出交换机接口的数据包流:
入口防火墙过滤器会影响交换机接口接收的数据包流。数据包转发引擎处理此流程。当交换机在接口上收到数据包时,交换机会在转发表中查找到目标的最佳路由(第 2 层交换,第 3 层路由),从而确定数据包的转发位置。数据包通过传出接口转发到目的地。本地发往的数据包将转发至路由引擎。
出口防火墙过滤器会影响从交换机接口传输的数据包流,但不会影响从路由引擎本地生成的控制数据包的流。数据包转发引擎处理从交换机传输的数据包流,并在此处应用出口防火墙过滤器。数据包转发引擎还处理来自路由引擎的控制数据包流。
图 1 说明了入口和出口防火墙过滤器的应用,以控制通过交换机的数据包流。
图 1: 应用防火墙过滤器控制数据包流
入口 防火墙过滤器 用于控制在交换机接口上接收并发往路由引擎的本地发往数据包。
用于控制交换机接口上的传入数据包的入口防火墙过滤器。
出口防火墙过滤器用于控制通过交换机接口的数据包。