Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置防火墙过滤器(CLI 过程)

您可以在 EX 系列交换机上配置防火墙过滤器,以控制进入交换机端口或进入和退出网络和第 3 层 (路由)接口上 VLAN 的流量。要配置防火墙过滤器,您必须配置过滤器,然后将其应用于端口、VLAN 或第 3 层 接口。

配置防火墙过滤器

在将防火墙过滤器应用于端口、VLAN 或第 3 层接口之前,您必须使用所需详细信息(例如防火墙过滤器的系列类型、防火墙过滤器名称和匹配条件)配置防火墙过滤器。防火墙过滤器配置中的匹配条件可以包含多个术语,用于定义匹配条件的条件。对于每个术语,您必须指定如果数据包与术语中的条件匹配,则要执行的操作。有关不同匹配条件和操作的信息,请参阅 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符

要配置防火墙过滤器,请执行以下操作:

  1. 为防火墙过滤器配置家族地址类型:

    • 对于应用于端口或 VLAN 的防火墙过滤器,请指定家族地址类型 ethernet-switching 以过滤第 2 层 (以太网) 数据包和第 3 层 (IP) 数据包,例如:

    • 对于应用于第 3 层(路由)接口的防火墙过滤器:

      • 要过滤 IPv4 数据包,请指定家族地址类型 inet,例如:

      • 要过滤 IPv6 数据包,请指定家族地址类型 inet6,例如:

      注意:

      您可以在同一第 3 层接口上为 IPv4 和 IPv6 流量配置防火墙过滤器。

  2. 指定过滤器名称:

    过滤器名称可以包含字母、数字和连字符 (-),最多可以包含 64 个字符。每个过滤器名称必须是唯一的。

  3. 如果要将防火墙过滤器应用于多个接口,并命名特定于每个接口的防火墙计数器,请配置 特定于接口的 选项:
  4. 指定术语名称:

    术语名称可以包含字母、数字和连字符 (-),最多可以包含 64 个字符。

    防火墙过滤器可以包含一个或多个术语。每个术语名称在筛选器中必须是唯一的。

    注意:

    对于 EX 系列交换机,每个防火墙过滤器允许的最大术语数为:

    • 在 EX4300 交换机上,对于在端口、VLAN 和第 3 层接口上配置的防火墙文件程序,以下是入口和出口流量支持的术语数:

      • 对于入口流量:

        • 端口上配置的防火墙过滤器术语 3,500 个

        • 针对在 VLAN 上配置的防火墙过滤器的 3,500 个术语

        • 在第 3 层接口上为 IPv4 流量配置的防火墙过滤器的 7,000 个术语

        • 在第 3 层接口上为 IPv6 流量配置的防火墙文件管理器的 3,500 个术语

      • 对于出口流量:

        • 端口上配置的防火墙过滤器的 512 项术语

        • 关于在 VLAN 上配置的防火墙过滤器的 256 个术语

        • 在第 3 层接口上为 IPv4 流量配置的防火墙过滤器的 512 项

        • 512 在第 3 层接口上为 IPv6 流量配置的防火墙文件管理器的术语

      注意:

      仅当在交换机上配置一种类型的防火墙过滤器(端口、VLAN 或路由器(第 3 层)防火墙过滤器)时,并且交换机中的所有接口均未启用风暴控制,才能配置这些最大期限数。

    如果尝试配置的防火墙过滤器超出了这些限制,则交换机将在您提交配置时返回一条错误消息。
  5. 对于每个防火墙过滤器术语,指定要包含的匹配条件。以下示例说明如何匹配来自给定 IP 地址和端口的数据包:

    您可以在单个 from 语句中指定一个或多个匹配条件。要进行匹配,数据包必须匹配术语中的所有条件。

    from 语句是可选的,但如果包含在术语中,则该 from 语句不能为空。如果省略该 from 语句,则所有数据包都被视为匹配。

  6. 对于每个防火墙过滤器术语,指定如果数据包与该术语中的所有条件匹配,要执行的操作。

    您可以指定操作和/或操作修饰符:

    • 要指定过滤操作,例如丢弃与过滤术语条件匹配的数据包:

      每个过滤器术语只能指定一个操作。

    • 要指定操作修饰符,例如,要对转发类中的数据包进行计数和分类:

      在语句中 then ,您可以指定以下操作修饰符:

      • 分析器analyzer-name— 将端口流量镜像到连接到协议分析器应用程序的指定目标端口或 VLAN。分析必须配置在以太网交换家族地址类型下。请参阅配置端口镜像以分析流量 (CLI 过程)。

      • 计数 counter-name— 计算通过此过滤器期限的数据包数。

        注意:

        建议为防火墙过滤器中的每个术语配置计数器,以便监控与每个过滤器术语中指定的条件匹配的数据包数。

      • 转发类 class— 在转发类中对数据包进行分类。

      • 丢失优先级 priority— 设置丢弃数据包的优先级。

      • 监管器 policer-name— 对流量应用速率限制。

      • 接口 interface-name— 绕过交换查找,将流量转发到指定接口。

      • log — 在路由引擎中记录数据包的标头信息。

    如果省略该 then 语句或未指定操作,则将接受与语句中 from 所有条件匹配的数据包。但是,您必须始终在语句中 then 显式配置操作和/或操作修饰符。您最多只能包含一个操作,但可以使用操作修饰符的任意组合。要使操作或操作修饰符生效,语句中的所有 from 条件必须匹配。

    注意:

    隐式丢弃也适用于应用于环路接口 lo0 的防火墙过滤器。

专门为 IPv4 或 IPv6 流量配置术语

要在防火墙过滤器配置中专门为 IPv4 流量配置术语:

  1. 验证配置中的术语中是否未 ether-type ipv6 指定 nor ip-version ipv6 。默认情况下,术语中不包含 ether-type ipv6ip-version ipv6 的配置适用于 IPv4 流量。
  2. (可选)执行以下任务之一:

    • 在配置中的术语中定义 ether-type ipv4

    • 在配置中的术语中定义 ip-version ipv4

    • 在配置中的术语中同时定义 ether-type ipv4ip-version ipv4

    • 验证配置中的术语中是否ether-type ipv6未指定 nor ip-version ipv6 — 默认情况下,如果术语ether-type ipv6ip-version ipv6中不包含 或 ether-type ipv6 ip-version ipv6 ,则不包含 或 的配置适用于 IPv4 流量。

  3. 确保术语中的其他匹配条件对 IPv4 流量有效。

要在防火墙过滤器配置中专门为 IPv6 流量配置术语:

  1. 执行以下任务之一:

    • 在配置中的术语中定义 ether-type ipv6

    • 在配置中的术语中定义 ip-version ipv6

    • 在配置中的术语中同时定义 ether-type ipv6ip-version ipv4

      注意:

      默认情况下,术语中不包含 ether-type ipv6ip-version ipv6 的配置适用于 IPv4 流量。

  2. 确保术语中的其他匹配条件对 IPv6 流量有效。

注意:

如果术语包含任一匹配条件ether-type ipv6ip-version ipv6或 ,且未指定其他 IPv6 匹配条件,则匹配所有 IPv6 流量。
注意:

要同时为 IPv4 和 IPv6 流量配置防火墙过滤器,必须包含两个单独的术语,一个用于 IPv4 流量,另一个用于 IPv6 流量。

对交换机上的端口应用防火墙过滤器

您可以将防火墙过滤器应用于交换机上的端口,以过滤交换机上的入口或出口流量。配置防火墙过滤器时,您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符中指定的任何匹配条件、操作和操作修饰符。匹配条件中指定的操作指示对入口或出口流量中匹配数据包的操作。

要将防火墙过滤器应用于端口以过滤入口或出口流量,请执行以下操作:

注意:

要将防火墙过滤器应用于管理接口,请参阅 将防火墙过滤器应用于交换机上的管理接口
  1. 指定接口名称,并提供防火墙过滤器和应用过滤器的接口的有意义的描述:
    注意:

    提供描述是可选的。
  2. 指定接口的单元号和家族地址类型:

    对于应用于端口的防火墙过滤器,家族地址类型必须为以太网交换。

  3. 要应用防火墙过滤器来过滤进入端口的数据包:

    要应用防火墙过滤器来过滤退出端口的数据包:

    注意:

    每个端口、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于交换机上的管理接口

您可以配置防火墙过滤器并将其应用于管理接口,以控制在交换机上进入或退出该接口的流量。您可以使用 SSH 或 Telnet 等实用程序通过网络连接到管理接口,然后使用 SNMP 等管理协议从交换机收集统计数据。与其他类型的接口上配置防火墙过滤器类似,您可以使用 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符 中指定的任何匹配条件、操作和操作修饰符在管理接口上配置防火墙过滤器,但以下操作修饰符除外:

  • 丢失优先级

  • 转发类

您可以将防火墙过滤器应用于任何 EX 系列交换机上的管理以太网接口。有关管理以太网接口的详细信息,请参阅 交换机接口概述

要在管理接口上应用防火墙过滤器以过滤入口或出口流量,请执行以下操作:

  1. 指定接口名称,并提供防火墙过滤器和应用过滤器的接口的有意义的描述:
    注意:

    提供描述是可选的。
  2. 指定管理接口的单元号和家族地址类型:
    注意:

    对于应用于管理接口的防火墙过滤器,家族地址类型可以是 inetinet6
  3. 要应用防火墙过滤器来过滤进入管理接口的数据包,请执行以下操作:

    要应用防火墙过滤器来过滤退出管理接口的数据包,请执行以下操作:

    注意:

    每个管理接口、每个方向只能应用一个防火墙过滤器。

对网络上的 VLAN 应用防火墙过滤器

您可以将防火墙过滤器应用于网络上的 VLAN,以过滤网络上的入口或出口流量。要将防火墙过滤器应用于 VLAN,请指定 VLAN 名称和 ID,然后将防火墙过滤器应用于 VLAN。配置防火墙过滤器时,您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符中指定的任何匹配条件、操作和操作修饰符。匹配条件中指定的操作指示对入口或出口流量中匹配数据包的操作。

要将防火墙过滤器应用于 VLAN,请执行以下操作:

  1. 指定 VLAN 名称和 VLAN ID,并提供防火墙过滤器和应用过滤器的 VLAN 的有意义的描述:
    注意:

    提供描述是可选的。
  2. 应用防火墙过滤器过滤进入或退出 VLAN 的数据包:

    • 要应用防火墙过滤器过滤进入 VLAN 的数据包,请执行以下操作:

      (在 EX4300 交换机上)要应用防火墙过滤器过滤进入 VLAN 的数据包,请执行以下操作:

    • 要应用防火墙过滤器来过滤退出 VLAN 的数据包,请执行以下操作:

      (在 EX4300 交换机上)要应用防火墙过滤器来过滤退出 VLAN 的数据包,请执行以下操作:

    注意:

    每个 VLAN、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于第 3 层(路由)接口

您可以将防火墙过滤器应用于第 3 层(路由)接口,以过滤交换机上的入口或出口流量。配置防火墙过滤器时,您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符中指定的任何匹配条件、操作和操作修饰符。匹配条件中指定的操作指示对入口或出口流量中匹配数据包的操作。

要将防火墙过滤器应用于交换机上的第 3 层接口,请执行以下操作:

  1. 指定接口名称,并提供防火墙过滤器和应用过滤器的接口的有意义的描述:
    注意:

    提供描述是可选的。
  2. 指定接口的单元号、家族地址类型和地址:

    对于应用于第 3 层接口的防火墙过滤器,家族地址类型必须为 inet (对于 IPv4 流量)或 inet6 (对于 IPv6 流量)。

  3. 您可以应用防火墙过滤器来过滤进入或退出第 3 层 (路由)接口的数据包:

    • 要应用防火墙过滤器来过滤进入第 3 层接口的数据包,请执行以下操作:

    • 要应用防火墙过滤器来过滤退出第 3 层接口的数据包,请执行以下操作:

    注意:

    将过滤器应用于与给定 VLAN 关联的 IRB 接口时,将在具有匹配 VLAN ID 的任何第 3 层接口上执行过滤器。这是因为过滤器在所有第 3 层接口上都与相应的 VLAN 标记匹配。
    注意:

    每个方向,每个第 3 层接口只能应用一个防火墙过滤器。

相关文档