了解防火墙过滤器如何控制数据包流
交换机支持防火墙过滤器,允许您控制数据包和本地数据包的流。数据包 在从源转发到目标时会传输交换机。本地数据包 发往路由引擎或由路由引擎发送(它们不通过交换机)。本地数据包通常包含路由协议数据、用于 IP 服务(如 Telnet 或 SSH)的数据,或用于管理协议(如互联网控制消息协议 (ICMP))的数据。
防火墙过滤器会影响进出交换机的数据包流,如下所示:
-
入口防火墙过滤器会影响交换机接口上接收的数据包流。当交换机收到数据包时,系统中包含入口接口的数据包转发引擎会通过查看其第 2 层或第 3 层转发表寻找到达目标的最佳路由来确定数据包转发的位置。数据包被转发到出口接口。本地发往的数据包将转发至路由引擎。
-
出口防火墙过滤器会影响通过交换机的数据包,但不会影响路由引擎发送的数据包。这些过滤器由包含出口接口的系统中的数据包转发引擎应用。
注:
在某些使用 PTX 代码库的 QFX 平台上,例如 QFX10002-60C,支持对基于 RE 的传出流量进行防火墙过滤器检查。
图 1 说明了入口和出口防火墙过滤器在控制通过交换机的数据包流方面的应用:
-
入口 防火墙过滤器 应用于在交换机接口上接收并发往路由引擎的本地发往的数据包。
-
入口防火墙过滤器应用于在交换机接口上接收并将通过交换机传输的数据包。
-
出口防火墙过滤器应用于通过交换机的数据包。
图 1: 应用防火墙过滤器控制数据包流