配置防火墙过滤器（CLI 过程）

配置防火墙过滤器

在将防火墙过滤器应用到端口、VLAN 或第 3 层接口之前，必须配置具有所需详细信息的防火墙过滤器，例如防火墙过滤器的家族类型、防火墙过滤器名称和匹配条件。防火墙过滤器配置中的匹配条件可以包含定义匹配条件标准的多个术语。对于每个术语，您必须指定如果数据包与术语中的条件匹配要执行的操作。有关不同匹配条件和操作的信息，请参阅 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器。

要配置防火墙过滤器：

配置防火墙过滤器的家族地址类型：
- 对于应用于端口或 VLAN 的防火墙过滤器，请指定用于过滤第 2 层（以太网）数据包和第 3 层（IP）数据包的家族地址类型 ethernet-switching ，例如：
- 对于应用于第 3 层（路由）接口的防火墙过滤器：
  - 要过滤 IPv4 数据包，请指定家族地址类型 inet，例如：
  - 要过滤 IPv6 数据包，请指定家族地址类型 inet6，例如：
  注：
  您可以在同一第 3 层接口上为 IPv4 和 IPv6 流量配置防火墙过滤器。
指定过滤器名称：
过滤器名称可以包含字母、数字和连字符（-），最多可包含 64 个字符。每个过滤器的名称都必须唯一。
如果要对多个接口应用防火墙过滤器并为每个接口特定的单独防火墙计数器命名，请 interface-specific 配置选项：
指定术语名称：
术语名称可包含字母、数字和连字符（-），最多可包含 64 个字符。

防火墙过滤器可以包含一个或多个术语。过滤器中每个术语名称都必须是唯一的。
注：
EX 系列交换机每个防火墙过滤器允许的最大术语数为：
- 512（用于 EX2200 交换机）
- 1，436 个，用于 EX3300 交换机
  
  注：
  在 EX3300 交换机上，如果在同一提交操作中添加和删除具有大量术语（按 1000 或更多顺序）的过滤器，则不会安装所有过滤器。您必须在一个提交操作中添加过滤器，并在单独的提交操作中删除过滤器。
- 7，168（用于 EX3200 和 EX4200 交换机）
- 在 EX4300 交换机上，对于端口、VLAN 和第 3 层接口上配置的防火墙文件程序，支持的入口和出口流量的术语数如下：
  
  对于入口流量：
  
  端口上配置的防火墙过滤器 3，500 个期限
  
  VLAN 上配置的防火墙过滤器 3，500 个期限
  
  在第 3 层接口上为 IPv4 流量配置的防火墙过滤器 7，000 项
  
  在第 3 层接口上为 IPv6 流量配置的防火墙文件 3，500 个条款
  
  对于出口流量：
  
  端口上配置的防火墙过滤器的 512 项条款
  
  VLAN 上配置的防火墙过滤器的 256 个术语
  
  在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 512 项条款
  
  在用于 IPv6 流量的第 3 层接口上配置的防火墙文件程序 512 项
  
  注：
  只有在交换机上配置一种类型的防火墙过滤器（端口、VLAN 或路由器（第 3 层）防火墙过滤器）以及交换机中的所有接口上未启用风暴控制时，您才能配置这些最大术语数。
- 1，200（EX4500 和 EX4550 交换机）
- 1，400（用于 EX6200 交换机）
- 32，768（用于 EX8200 交换机）
如果尝试配置超过这些限制的防火墙过滤器，交换机在提交配置时将返回一条错误消息。
对于每个防火墙过滤器术语，请指定要包括的匹配条件。以下示例显示如何匹配来自给定 IP 地址和端口的数据包：
您可以在单个 from 语句中指定一个或多个匹配条件。要进行匹配，数据包必须匹配术语中的所有条件。

语句 from 是可选的，但如果包含在术语中，语句 from 不能为空。如果省略该 from 语句，则所有数据包均被视为匹配。
对于每个防火墙过滤器术语，指定如果数据包与该术语中的所有条件匹配时要采取的操作。
您可以指定操作和/或操作修改符：
- 例如，要指定过滤器操作以丢弃与过滤器术语条件匹配的数据包：
  每个过滤器术语只能指定一个操作。
- 例如，要指定操作修改符以对转发类中的数据包进行计数和分类：
  在语句中 then ，您可以指定以下操作修改符：
  - analyzer analyzer-name-将端口流量镜像到指定的目标端口或连接到协议分析器应用程序的 VLAN。必须在家族地址类型下ethernet-switching配置一个analyzer。请参阅配置端口镜像以分析流量（CLI 过程）。
  - count counter-name-计算通过此过滤器术语的数据包数。
    
    注：
    我们建议为防火墙过滤器中的每个术语配置一个计数器，以便可以监控与每个过滤器术语指定条件匹配的数据包数量。
  - forwarding-class class- 对转发类中的数据包进行分类。
  - loss-priority priority- 设置丢弃数据包的优先级。
  - policer policer-name- 对流量应用速率限制。
  - interface interface-name-将流量转发至指定接口，绕过交换查找。
  - log- 将数据包的标头信息记录在路由引擎中。
如果省略语句 then 或未指定操作，则接受与语句中所有条件匹配的 from 数据包。但是，您必须始终在语句中 then 显式配置操作和/或操作修改符。您只能包含一个操作，但您可以使用任意组合操作修改符。要使操作或操作修改符生效，语句中的所有 from 条件都必须匹配。

注：
隐式丢弃也适用于应用于环路接口 lo0的防火墙过滤器。

在瞻博网络 EX8200 以太网交换机上，如果为 IPv4 流量的环路接口上配置了隐式或显式 discard 操作，则接受下一跃点解析数据包，并允许通过交换机。但是，对于 IPv6 流量，您必须显式配置一个规则，以允许下一跃点 IPv6 解析数据包通过交换机。

专门为 IPv4 或 IPv6 流量配置术语

在防火墙过滤器配置中专门为 IPv4 流量配置术语：

验证配置中的术语是否未指定或ip-version ipv6未ether-type ipv6指定。默认情况下，不包含任 ether-type ipv6 一项或 ip-version ipv6 一个术语中的配置适用于 IPv4 流量。
（可选）执行以下任一任务：
- 在配置中的术语中定义 ether-type ipv4 。
- 在配置中的术语中定义 ip-version ipv4 。
- 定义两者 ether-type ipv4 ，并在 ip-version ipv4 配置中的术语中定义。
- 验证配置中的术语是否未 ether-type ipv6 指定或 ip-version ipv6 未指定 — 默认情况下，不包含 ether-type ipv6 任一项或 ip-version ipv6 一个术语中的配置不适用于 IPv4 流量，如果它不包含 ether-type ipv6 或 ip-version ipv6。
确保术语中的其他匹配条件对 IPv4 流量有效。

在防火墙过滤器配置中专门为 IPv6 流量配置术语：

执行以下任一任务：
- 在配置中的术语中定义 ether-type ipv6 。
- 在配置中的术语中定义 ip-version ipv6 。
- 定义两者 ether-type ipv6 ，并在 ip-version ipv4 配置中的术语中定义。
  
  注：
  默认情况下，不包含任 ether-type ipv6 一项或 ip-version ipv6 一个术语中的配置适用于 IPv4 流量。
确保术语中的其他匹配条件对 IPv6 流量有效。

注：

如果术语包含其中一个匹配条件 ether-type ipv6 ，或者 ip-version ipv6未指定其他 IPv6 匹配条件，则匹配所有 IPv6 流量。

注：

要同时为 IPv4 和 IPv6 流量配置防火墙过滤器，必须包含两个单独的术语，一个用于 IPv4 流量，另一个用于 IPv6 流量。

将防火墙过滤器应用于交换机上的端口

您可以将防火墙过滤器应用于交换机上的端口，以过滤交换机上的入口或出口流量。配置防火墙过滤器时，您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符中指定的任何匹配条件、操作和操作修改符。在匹配条件中指定的操作表示对入口或出口流量中匹配数据包的操作。

要对端口应用防火墙过滤器以过滤入口或出口流量：

注：

有关将防火墙过滤器应用于管理界面，请参阅将防火墙过滤器应用于交换机上的管理接口

指定接口名称，并提供对防火墙过滤器和应用过滤器的接口的有意义说明：

注：

提供说明是可选的。

指定接口的单元号和家族地址类型：
对于应用于端口的防火墙过滤器，族地址类型必须为 ethernet-switching。

要应用防火墙过滤器以过滤进入端口的数据包：

要应用防火墙过滤器以过滤从端口出口的数据包：

注：

每个端口、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于交换机上的管理接口

您可以配置防火墙过滤器并将其应用于管理接口，以控制进入或退出交换机上接口的流量。您可以使用 SSH 或 Telnet 等公用事业通过网络连接到管理接口，然后使用管理协议（如 SNMP）从交换机收集统计数据。与在其他类型的接口上配置防火墙过滤器类似，您可以使用 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符（以下操作修改符除外）中规定的任何匹配条件、操作和操作修改符在管理接口上配置防火墙过滤器：

loss-priority
forwarding-class

您可以将防火墙过滤器应用于任何 EX 系列交换机上的管理以太网接口。您还可以将防火墙过滤器应用于 EX4200 交换机上的虚拟管理以太网（VME）接口。有关管理以太网接口和 VME 接口的更多信息，请参阅交换机接口概述。

在管理接口上应用防火墙过滤器以过滤入口或出口流量：

指定接口名称，并提供对防火墙过滤器和应用过滤器的接口的有意义说明：
注：
提供说明是可选的。
指定管理接口的单元号和家族地址类型：
注：
对于应用于管理接口的防火墙过滤器，系列地址类型可以是。inetinet6
要应用防火墙过滤器以过滤进入管理接口的数据包：
要应用防火墙过滤器以过滤从管理接口出口的数据包：
注：
每个管理界面、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于网络上的 VLAN

您可以将防火墙过滤器应用于网络上的 VLAN，以过滤网络上的入口或出口流量。要向 VLAN 应用防火墙过滤器，请指定 VLAN 名称和 ID，然后将防火墙过滤器应用于 VLAN。配置防火墙过滤器时，您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符中指定的任何匹配条件、操作和操作修改符。在匹配条件中指定的操作表示对入口或出口流量中匹配数据包的操作。

将防火墙过滤器应用于 VLAN：

指定 VLAN 名称和 VLAN ID，并提供防火墙过滤器和应用过滤器的 VLAN 的有意义说明：
注：
提供说明是可选的。
应用防火墙过滤器以过滤进入或退出 VLAN 的数据包：
- 要应用防火墙过滤器以过滤进入 VLAN 的数据包：
  （在 EX4300 交换机上）要应用防火墙过滤器以过滤进入 VLAN 的数据包：
- 要应用防火墙过滤器以过滤退出 VLAN 的数据包：
  （在 EX4300 交换机上）要应用防火墙过滤器以过滤退出 VLAN 的数据包：
注：
每个 VLAN、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于第 3 层（路由）接口

您可以将防火墙过滤器应用于第 3 层（路由）接口，以过滤交换机上的入口或出口流量。配置防火墙过滤器时，您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符中指定的任何匹配条件、操作和操作修改符。在匹配条件中指定的操作表示对入口或出口流量中匹配数据包的操作。

要向交换机上的第 3 层接口应用防火墙过滤器：

指定接口名称，并提供对防火墙过滤器和应用过滤器的接口的有意义说明：

注：

提供说明是可选的。

指定接口的单元号、家族地址类型和地址：
对于应用于第 3 层接口的防火墙过滤器，家族地址类型必须为 inet （对于 IPv4 流量）或 inet6 （对于 IPv6 流量）。
您可以应用防火墙过滤器来过滤进入或退出第 3 层（路由）接口的数据包：
- 要应用防火墙过滤器以过滤进入第 3 层接口的数据包：
- 要应用防火墙过滤器以过滤离开第 3 层接口的数据包：
注：
将过滤器应用于与给定 VLAN 关联的 IRB 接口时，过滤器将在具有匹配 VLAN ID 的任何第 3 层接口上执行。这是因为过滤器匹配具有相应 VLAN 标记的所有第 3 层接口上。

注：
每个第 3 层接口、每个方向只能应用一个防火墙过滤器。

在本页

配置防火墙过滤器（CLI 过程）