了解桥接和路由数据包的防火墙过滤器处理点
您可以在转发路径中的多个处理点应用防火墙过滤器。在每个处理点,要对数据包执行的操作由过滤器的配置以及转发或路由表中的查找结果决定。
对于桥接(第 2 层)单播数据包和路由(第 3 层)单播数据包,防火墙过滤器将按如下所示的规定顺序应用(假设每个过滤器都存在并且每个过滤器都接受一个数据包)。
桥接数据包:
入口端口过滤器
入口 VLAN 过滤器
出口 VLAN 过滤器
出口端口过滤器
路由的数据包:
入口端口防火墙过滤器
入口 VLAN 防火墙过滤器(第 2 层 CoS)
入口路由器防火墙过滤器(第 3 层 CoS)
出口路由器防火墙过滤器
出口 VLAN 防火墙过滤器
出口端口过滤器
注:
MAC 学习在应用过滤器之前进行,因此交换机会学习入口过滤器丢弃的数据包的 MAC 地址。