配置防火墙过滤器(CLI 过程)
您可以在 EX 系列交换机上配置防火墙过滤器,以控制进入交换机端口或进入和退出网络及第 3 层(路由)接口上的 VLAN 的流量。要配置防火墙过滤器,必须配置过滤器,然后将其应用到端口、VLAN 或第 3 层接口。
配置防火墙过滤器
在将防火墙过滤器应用到端口、VLAN 或第 3 层接口之前,必须配置具有所需详细信息的防火墙过滤器,例如防火墙过滤器的家族类型、防火墙过滤器名称和匹配条件。防火墙过滤器配置中的匹配条件可以包含定义匹配条件标准的多个术语。对于每个术语,您必须指定如果数据包与术语中的条件匹配要执行的操作。有关不同匹配条件和操作的信息,请参阅 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器。
要配置防火墙过滤器:
专门为 IPv4 或 IPv6 流量配置术语
在防火墙过滤器配置中专门为 IPv4 流量配置术语:
在防火墙过滤器配置中专门为 IPv6 流量配置术语:
执行以下任一任务:
在配置中的术语中定义
ether-type ipv6
。在配置中的术语中定义
ip-version ipv6
。定义两者
ether-type ipv6
,并在ip-version ipv4
配置中的术语中定义。注:默认情况下,不包含任
ether-type ipv6
一项或ip-version ipv6
一个术语中的配置适用于 IPv4 流量。
确保术语中的其他匹配条件对 IPv6 流量有效。
如果术语包含其中一个匹配条件 ether-type ipv6
,或者 ip-version ipv6
未指定其他 IPv6 匹配条件,则匹配所有 IPv6 流量。
要同时为 IPv4 和 IPv6 流量配置防火墙过滤器,必须包含两个单独的术语,一个用于 IPv4 流量,另一个用于 IPv6 流量。
将防火墙过滤器应用于交换机上的端口
您可以将防火墙过滤器应用于交换机上的端口,以过滤交换机上的入口或出口流量。配置防火墙过滤器时,您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符中指定的任何匹配条件、操作和操作修改符。在匹配条件中指定的操作表示对入口或出口流量中匹配数据包的操作。
要对端口应用防火墙过滤器以过滤入口或出口流量:
有关将防火墙过滤器应用于管理界面,请参阅 将防火墙过滤器应用于交换机上的管理接口
将防火墙过滤器应用于交换机上的管理接口
您可以配置防火墙过滤器并将其应用于管理接口,以控制进入或退出交换机上接口的流量。您可以使用 SSH 或 Telnet 等公用事业通过网络连接到管理接口,然后使用管理协议(如 SNMP)从交换机收集统计数据。与在其他类型的接口上配置防火墙过滤器类似,您可以使用 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符(以下操作修改符除外)中规定的任何匹配 条件、操作和操作修改符 在管理接口上配置防火墙过滤器:
loss-priority
forwarding-class
您可以将防火墙过滤器应用于任何 EX 系列交换机上的管理以太网接口。您还可以将防火墙过滤器应用于 EX4200 交换机上的虚拟管理以太网 (VME) 接口。有关管理以太网接口和 VME 接口的更多信息,请参阅 交换机接口概述。
在管理接口上应用防火墙过滤器以过滤入口或出口流量:
将防火墙过滤器应用于网络上的 VLAN
您可以将防火墙过滤器应用于网络上的 VLAN,以过滤网络上的入口或出口流量。要向 VLAN 应用防火墙过滤器,请指定 VLAN 名称和 ID,然后将防火墙过滤器应用于 VLAN。配置防火墙过滤器时,您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符中指定的任何匹配条件、操作和操作修改符。在匹配条件中指定的操作表示对入口或出口流量中匹配数据包的操作。
将防火墙过滤器应用于 VLAN:
将防火墙过滤器应用于第 3 层(路由)接口
您可以将防火墙过滤器应用于第 3 层(路由)接口,以过滤交换机上的入口或出口流量。配置防火墙过滤器时,您可以指定 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符中指定的任何匹配条件、操作和操作修改符。在匹配条件中指定的操作表示对入口或出口流量中匹配数据包的操作。
要向交换机上的第 3 层接口应用防火墙过滤器: