Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器(CLI 过程)

您可以在 EX 系列交换机上配置防火墙过滤器,以控制进入交换机端口或进入和退出网络和 3 层(路由)接口的 V VPN 的流量。要配置防火墙过滤器,您必须配置过滤器,然后应用到端口、VLAN 或第 3 层接口。

配置防火墙过滤器

在将防火墙过滤器应用于端口、VLAN 或3层接口之前,必须使用所需详细信息(例如,用于防火墙过滤器的系列类型、防火墙过滤器名称和匹配条件)来配置防火墙过滤器。防火墙过滤器配置中的匹配条件可以包含多个术语,用于定义匹配条件的标准。对于每个术语,您都必须指定一个在数据包符合术语条件时要执行的操作。有关不同的匹配条件和操作的信息,请参阅适用于 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符

要配置防火墙过滤器:

  1. 配置防火墙过滤器的系列地址类型:
    • 对于应用于端口或 VLAN 的防火墙过滤器,请指定系列地址类型以过滤第 2 层(以太网)数据包和 3 层 ethernet-switching (IP) 数据包,例如:

    • 对于应用于第3层(路由)接口的防火墙过滤器:

      • 要过滤 IPv4 数据包,请指定家族地址 inet 类型,例如:

      • 要过滤 IPv6 数据包,请指定家族地址 inet6 类型 ,例如:

      注:

      您可以为同一第3层接口上的 IPv4 和 IPv6 流量配置防火墙过滤器。

  2. 指定过滤器名称:

    过滤器名称可以包含字母、数字和连字符(-),最多可以有64个字符。每个过滤器名称都必须是唯一的。

  3. 如果要将防火墙过滤器应用于多个接口,并命名每个接口特定的各个防火墙计数器,请配置 interface-specific 选项:
  4. 指定术语名称:

    术语名称可以包含字母、数字和连字符(-),最多可以有64个字符。

    一个防火墙过滤器可包含一个或多个条款。每个术语名称在过滤器中必须是唯一的。

    注:

    EX 系列交换机的每个防火墙过滤器允许的最大条款数量为:

    • 用于 EX2200 交换机的512

    • 用于 EX3300 交换机的1436

      注:

      在 EX3300 交换机上,如果在同一提交操作中添加和删除具有大量术语(顺序为1000或更高)的过滤器,则并非所有过滤器都已安装。您必须在一个提交操作中添加过滤器,并在单独的提交操作中删除过滤器。

    • 用于 EX3200 和 EX4200 交换机的7168

    • 在 EX4300 交换机上,以下是在端口、VLAN 和3层接口上配置的防火墙文件的入向和出向流量支持的术语数量:

      • 对于入口流量:

        • 在端口上配置的防火墙过滤器的3500术语

        • 用于 VLAN 上配置的防火墙过滤器的3500术语

        • 用于 IPv4 流量的第3层接口上配置的防火墙过滤器的7000条款

        • 用于在第3层接口上配置的防火墙文件流的3500术语 IPv6 流量

      • 对于出口流量:

        • 在端口上配置的防火墙过滤器的512术语

        • 用于 VLAN 上配置的防火墙过滤器的256术语

        • 用于 IPv4 流量的第3层接口上配置的防火墙过滤器的512条款

        • 用于在第3层接口上配置的防火墙文件流的512术语 IPv6 流量

      注:

      只有在交换机上配置一种类型的防火墙过滤器(端口、VLAN 或路由器(第3层)防火墙过滤器,以及在交换机中的所有接口上未启用风暴控制时,才能配置这些最大数量的条款。

    • 用于 EX4500 和 EX4550 交换机的1200

    • 用于 EX6200 交换机的1400

    • 用于 EX8200 交换机的32768

    如果您尝试配置超过这些限制的防火墙过滤器,则在提交配置时交换机将返回错误消息。

  5. 在每个防火墙过滤器术语中,指定用于匹配数据包组件的匹配条件。

    要指定在包含特定源地址和源端口的数据包上匹配的匹配条件,例如:

    您可在单个from语句中指定一个或多个匹配条件。为实现匹配,数据包必须与术语中的所有条件匹配。

    from语句是可选的,但如果包含在术语中, from则语句不能为空。如果您省略该from语句,所有数据包都将被视为匹配。

  6. 在每个防火墙过滤器术语中,指定数据包符合该术语中的所有条件时要采取的操作。

    您可以指定操作和/或操作修饰符:

    • 要指定过滤器操作,例如,丢弃符合过滤器术语条件的数据包:

      每个过滤器术语只能指定一个操作。

    • 要指定操作修饰符,例如要对转发类中的数据包进行计数和分类:

      then语句中,您可以指定以下操作修饰符:

      • analyzer analyzer-name—将端口流量镜像到连接到协议分析器应用程序的指定目标端口或 VLAN。必须 analyzer 按照家族地址 ethernet-switching 类型进行配置。请参阅配置端口镜像以分析流量(CLI 过程)

      • count counter-name— 计算通过此过滤术语的数据包数。

        注:

        建议为防火墙过滤器中的每个术语配置一个计数器,以便您可以监控与每个过滤器术语中指定的条件相匹配的数据包数量。

      • forwarding-class class—对转发类中的数据包进行分类。

      • loss-priority priority—设置丢弃数据包的优先级。

      • policer policer-name— 对流量应用速率限制。

      • interface 接口名称—将信息流转发至指定接口,绕过交换查找。

      • log—在数据包的数据包标头信息中记录路由引擎。

    如果省略该then语句或不指定操作,将接受与from语句中的所有条件相匹配的数据包。但是,您必须始终在then语句中显式配置操作和/或操作修饰符。您可以不包含多个操作,但可以使用操作修饰符的任意组合。要使操作或操作修饰符生效, from语句中的所有条件都必须匹配。

    注:

    隐含放弃也适用于应用于回传接口的防火墙过滤器lo0

    通常瞻博网络 EX8200 以太网交换机,如果在 IPv4 流量的环回接口上配置了隐式或显式操作,则接受下一跃点解析数据包,并允许其通过 discard 交换机。但是,对于 IPv6 流量,您必须显式配置一个规则,以允许下一跳跃 IPv6 解析数据包通过交换机。

配置专用于 IPv4 或 IPv6 流量的术语

要为专用于 IPv4 流量的防火墙过滤器配置配置术语:

  1. 确认未在ether-type ipv6配置ip-version ipv6中的术语中指定任何和。默认情况下,不包含ether-type ipv6ip-version ipv6的配置将应用于 IPv4 流量。
  2. 必执行以下任务之一:
    • ether-type ipv4配置中的术语中定义。

    • ip-version ipv4配置中的术语中定义。

    • 在配置ether-type ipv4ip-version ipv4术语中定义和。

    • 验证配置中的搜索词或搜索词是否未指定 — 默认情况下,不包含任一术语或搜索词的配置如果不包含 或 ,则适用于 ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6 IPv4 ether-type ipv6 流量 ip-version ipv6

  3. 确保术语中的其他匹配条件对于 IPv4 流量有效。

要在防火墙过滤器配置中配置专用于 IPv6 信息流的术语:

  1. 执行以下任务之一:

    • ether-type ipv6配置中的术语中定义。

    • ip-version ipv6配置中的术语中定义。

    • 在配置ether-type ipv6ip-version ipv4术语中定义和。

      注:

      默认情况下,不包含ether-type ipv6ip-version ipv6的配置将应用于 IPv4 流量。

  2. 确保术语中的其他匹配条件对于 IPv6 流量有效。

注:

如果该术语包含任一匹配条件ether-type ipv6ip-version ipv6未指定其他 ipv6 匹配条件,则会匹配所有 ipv6 流量。

注:

要为 IPv4 和 IPv6 流量配置防火墙过滤器,必须包含两个单独的术语,一个用于 IPv4 流量,另一个用于 IPv6 流量。

将防火墙过滤器应用于交换机上的端口

您可将防火墙过滤器应用于交换机上的端口,以过滤交换机上的入口或出口流量。配置防火墙过滤器时,可以指定在EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符中指定的任何匹配条件、操作和操作修饰符。在 match 条件中指定的操作表示进出信息流中匹配数据包的操作。

要将防火墙过滤器应用于端口以过滤入口或出口流量:

注:

要将防火墙过滤器应用于管理接口,请参阅将防火墙过滤器应用于交换机上的管理接口

  1. 指定接口名称并提供有关防火墙过滤器的有意义说明和要应用过滤器的接口:
    注:

    提供说明是可选的。

  2. 指定接口的设备号和系列地址类型:

    对于应用于端口的防火墙过滤器,系列地址类型必须为 ethernet-switching

  3. 要应用防火墙过滤器以过滤输入端口的数据包:

    要应用防火墙过滤器以过滤正在退出端口的数据包:

    注:

    每个端口的每个方向上不能应用一个防火墙过滤器。

将防火墙过滤器应用于交换机上的管理接口

您可以配置防火墙过滤器并将其应用于管理接口,以控制在交换机上进入或退出接口的流量。您可以使用 SSH 或 Telnet 等实用程序通过网络连接到管理接口,然后使用 SNMP 等管理协议从交换机中收集统计数据。类似于在其他类型的接口上配置防火墙过滤器,您可以使用在防火墙过滤器匹配条件、操作和操作中指定的任何匹配条件、操作和操作修饰符,在管理接口上配置防火墙过滤器EX 系列交换机的修饰符(以下操作修饰符除外):

  • loss-priority

  • forwarding-class

您可将防火墙过滤器应用于任何 EX 系列交换机上的管理以太网接口。您也可将防火墙过滤器应用于 EX4200 交换机上的虚拟管理以太网(VME)接口。有关管理以太网接口和 VME 接口的详细信息,请参阅接口概述(交换机)。

要在管理接口上应用防火墙过滤器,以过滤入向或出向流量:

  1. 指定接口名称并提供有关防火墙过滤器的有意义说明和要应用过滤器的接口:
    注:

    提供说明是可选的。

  2. 指定管理接口的设备号和系列地址类型:
    注:

    对于应用于管理接口的防火墙过滤器,系列地址类型可以是 inetinet6 或 。

  3. 要应用防火墙过滤器以过滤进入管理接口的数据包:

    要应用防火墙过滤器以过滤正在退出管理接口的数据包:

    注:

    每个方向上不能对每个管理接口应用一个以上的防火墙过滤器。

将防火墙过滤器应用于网络上的 VLAN

您可以将防火墙过滤器应用于网络上的 VLAN,以过滤网络上的入口或出口流量。要将防火墙过滤器应用于 VLAN,请指定 VLAN 名称和 ID,然后将防火墙过滤器应用到 VLAN。配置防火墙过滤器时,可以指定在EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符中指定的任何匹配条件、操作和操作修饰符。在 match 条件中指定的操作表示进出信息流中匹配数据包的操作。

要将防火墙过滤器应用于 VLAN:

  1. 指定 VLAN 名称和 VLAN ID,并提供有关防火墙过滤器和要应用过滤器的 VLAN 的有意义说明:
    注:

    提供说明是可选的。

  2. 应用防火墙过滤器以过滤进入或退出 VLAN 的数据包:
    • 要应用防火墙过滤器以过滤进入 VLAN 的数据包:

      (在 EX4300 交换机上)要应用防火墙过滤器以过滤进入 VLAN 的数据包:

    • 要应用防火墙过滤器以过滤正在退出 VLAN 的数据包:

      (在 EX4300 交换机上)要应用防火墙过滤器以过滤正在退出 VLAN 的数据包:

    注:

    每个 VLAN 每个方向不能应用一个以上的防火墙过滤器。

将防火墙过滤器应用于第3层(路由)接口

您可以将防火墙过滤器应用于第3层(路由)接口,以过滤交换机上的入口或出口流量。配置防火墙过滤器时,可以指定在EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符中指定的任何匹配条件、操作和操作修饰符。在 match 条件中指定的操作表示进出信息流中匹配数据包的操作。

要将防火墙过滤器应用于交换机上的第3层接口:

  1. 指定接口名称并提供有关防火墙过滤器的有意义说明和要应用过滤器的接口:
    注:

    提供说明是可选的。

  2. 指定接口的设备号、系列地址类型和地址:

    对于应用于第 3 层接口的防火墙过滤器,系列地址类型必须为 inet (适用于 IPv4 流量)或 inet6 (对于 IPv6 流量)。

  3. 您可以应用防火墙过滤器过滤进入或退出第 3 层(路由)接口的数据包:
    • 要应用防火墙过滤器以过滤进入第3层接口的数据包:

    • 要应用防火墙过滤器以过滤正在退出第3层接口的数据包:

    注:

    每个第3层接口(每个方向)不能应用一个以上的防火墙过滤器。