Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解防火墙过滤器如何控制数据包流

交换机支持防火墙过滤器,使您能够控制数据包和本地数据包的流。通过交换机传输的数据包在从源转发到目标时。本地数据包 发往路由引擎或由路由引擎发送(它们不会通过交换机)。本地数据包通常包含路由协议数据、Telnet 或 SSH 等 IP 服务数据,或管理协议的数据,如 Internet 控制消息协议 (ICMP)。

防火墙过滤器影响进入交换机或从交换机退出的数据包流,如下所示:

  • 入口防火墙过滤器会影响交换机接口上接收的数据包流。当交换机收到数据包时,包含入口接口的系统中的数据包转发引擎会在其第 2 层或第 3 层转发表中查找到目标的最佳路由,从而确定数据包转发的位置。数据包被转发到出口接口。本地发运的数据包被转发到路由引擎。

  • 出口防火墙过滤器影响通过交换机传输的数据包,但不会影响路由引擎发送的数据包。这些过滤器由包含出口接口的系统中的数据包转发引擎应用。

图 1 展示了应用入口和出口防火墙过滤器来控制通过交换机的数据包流:

  1. 入口 防火墙过滤器 应用于在交换机接口上接收并发往路由引擎的本地发运数据包。

  2. 入口防火墙过滤器应用于交换机接口上接收并将通过交换机传输的数据包。

  3. 出口防火墙过滤器应用于通过交换机传输的数据包。

图 1: 应用防火墙过滤器来控制数据包流应用防火墙过滤器来控制数据包流