配置防火墙过滤器（CLI 过程）

您可以在 EX 系列交换机上配置防火墙过滤器，以控制进入交换机端口或进出网络和第 3 层（路由）接口上的 VLAN 的流量。要配置防火墙过滤器，您必须配置过滤器，然后将其应用于端口、VLAN 或第 3 层接口。

配置防火墙过滤器

在将防火墙过滤器应用于端口、VLAN 或第 3 层接口之前，必须使用所需的详细信息配置防火墙过滤器，例如防火墙过滤器的家族类型、防火墙过滤器名称和匹配条件。防火墙过滤器配置中的匹配条件可以包含多个术语，用于定义匹配条件的条件。对于每个术语，您必须指定在数据包与术语中的条件匹配时要执行的操作。有关不同匹配条件和操作的信息，请参阅 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器。

要配置防火墙过滤器：

配置防火墙过滤器的家族地址类型：
- 对于应用于端口或 VLAN 的防火墙过滤器，请指定家族地址类型 ethernet-switching 以过滤第 2 层（以太网）数据包和第 3 层（IP）数据包，例如：
- 对于应用于第 3 层（路由）接口的防火墙过滤器：
  - 要过滤 IPv4 数据包，请指定家族地址类型 inet，例如：
  - 要过滤 IPv6 数据包，请指定家族地址类型 inet6，例如：
  注：
  您可以在同一第 3 层接口上为 IPv4 和 IPv6 流量配置防火墙过滤器。
指定筛选器名称：
筛选器名称可以包含字母、数字和连字符（-），最多可以包含 64 个字符。每个筛选器名称必须是唯一的。
如果要将防火墙过滤器应用于多个接口并命名特定于每个接口的单个防火墙计数器，请配置以下 interface-specific 选项：
指定术语名称：
术语名称可以包含字母、数字和连字符（-），最多可以包含 64 个字符。

防火墙过滤器可以包含一个或多个术语。每个术语名称在筛选器中必须是唯一的。
注：
对于 EX 系列交换机，每个防火墙过滤器允许的最大术语数为：
- 512 用于 EX2200 交换机
- EX3300 交换机为 1436
  
  注：
  在 EX3300 交换机上，如果在同一提交操作中添加和删除具有大量术语（大约 1000 个或更多）的过滤器，则不会安装所有过滤器。必须在一个提交操作中添加筛选器，并在单独的提交操作中删除筛选器。
- EX3200 和 EX4200 交换机为 7168
- 在 EX4300 交换机上，以下是端口、VLAN 和第 3 层接口上配置的防火墙文件管理器的入口和出口流量支持的术语数：
  
  对于入口流量：
  
  端口上配置的防火墙过滤器的 3,500 个术语
  
  VLAN 上配置的防火墙过滤器的 3,500 个术语
  
  在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 7,000 个术语
  
  在用于 IPv6 流量的第 3 层接口上配置的防火墙文件管理器的 3,500 个术语
  
  对于出口流量：
  
  端口上配置的防火墙过滤器的 512 术语
  
  VLAN 上配置的防火墙过滤器的 256 个术语
  
  在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语
  
  512 术语，用于在 IPv6 流量的第 3 层接口上配置的防火墙文件管理器
  
  注：
  仅当在交换机上配置一种类型的防火墙过滤器（端口、VLAN 或路由器（第 3 层）防火墙过滤器）时，并且未在交换机中的所有接口上启用风暴控制时，才能配置这些最大术语数。
- EX4500 和 EX4550 交换机为 1,200
- EX6200 交换机为 1,400 个
- EX8200 交换机为 32,768
如果尝试配置超出这些限制的防火墙过滤器，交换机将在您提交配置时返回错误消息。
对于每个防火墙过滤器术语，请指定要包括的匹配条件。以下示例显示了如何匹配来自给定 IP 地址和端口的数据包：
您可以在单个 from 语句中指定一个或多个匹配条件。要进行匹配，数据包必须与术语中的所有条件匹配。

语句 from 是可选的，但如果包含在术语中， from 则该语句不能为空。如果省略该 from 语句，则认为所有数据包都匹配。
对于每个防火墙过滤器术语，指定当数据包符合该术语中的所有条件时要执行的操作。
您可以指定动作和/或动作修饰符：
- 要指定过滤器操作，例如，丢弃与过滤器术语条件匹配的数据包，请执行以下操作：
  每个筛选术语只能指定一个操作。
- 要指定操作修饰符，例如，对转发类中的数据包进行计数和分类，请执行以下操作：
  在语句中 then ，可以指定以下操作修饰符：
  - analyzer analyzer-name— 将端口流量镜像到连接到协议分析器应用程序的指定目标端口或 VLAN。必须在家族地址类型下ethernet-switching配置。analyzer 请参阅配置端口镜像以分析流量（CLI 过程）。
  - count counter-name— 计算通过此过滤器术语的数据包数。
    
    注：
    我们建议您为防火墙过滤器中的每个术语配置一个计数器，以便可以监控与每个过滤器术语中指定的条件匹配的数据包数。
  - forwarding-class class— 对转发类中的数据包进行分类。
  - loss-priority priority— 设置丢弃数据包的优先级。
  - policer policer-name- 对流量应用速率限制。
  - interface interface-name— 绕过交换查找，将流量转发到指定接口。
  - log— 在路由引擎中记录数据包的标头信息。
如果省 then 略语句或未指定操作，则接受与语句中 from 所有条件匹配的数据包。但是，您必须始终在语句中 then 显式配置操作和/或操作修饰符。只能包含一个动作，但可以使用动作修饰符的任意组合。要使操作或操作修饰符生效，语句中的所有 from 条件都必须匹配。

注：
隐式丢弃也适用于应用于环路接口 lo0的防火墙过滤器。

在瞻博网络 EX8200 以太网交换机上，如果在环路接口上为 IPv4 流量配置了隐式或显式 discard 操作，则会接受并允许下一跃点解析数据包通过交换机。但是，对于 IPv6 流量，您必须显式配置规则，以允许下一跃点 IPv6 解析数据包通过交换机。

配置 IPv4 或 IPv6 流量专用术语

要在防火墙过滤器配置中专门为 IPv4 流量配置术语：

验证配置中的术语中是否未 ether-type ipv6 指定或 ip-version ipv6 。默认情况下，不包含或ip-version ipv6术语中的配置ether-type ipv6适用于 IPv4 流量。
（可选）执行以下任务之一：
- 在配置中的术语中定义 ether-type ipv4 。
- 在配置中的术语中定义 ip-version ipv4 。
- ether-type ipv4在配置中定义和 ip-version ipv4 术语。
- 验证配置的术语中是否未ether-type ipv6指定或 ip-version ipv6 — 默认情况下，不包含或的配置ether-type ipv6如果不包含或ip-version ipv6ip-version ipv6，则ether-type ipv6适用于 IPv4 流量。
确保术语中的其他匹配条件对 IPv4 流量有效。

要在防火墙过滤器配置中专门为 IPv6 流量配置术语：

执行以下任务之一：
- 在配置中的术语中定义 ether-type ipv6 。
- 在配置中的术语中定义 ip-version ipv6 。
- ether-type ipv6在配置中定义和 ip-version ipv4 术语。
  
  注：
  默认情况下，不包含或ip-version ipv6术语中的配置ether-type ipv6适用于 IPv4 流量。
确保术语中的其他匹配条件对 IPv6 流量有效。

注：

如果术语包含匹配条件 ether-type ipv6 之一，或者 ip-version ipv6未指定其他 IPv6 匹配条件，则匹配所有 IPv6 流量。

注：

要为 IPv4 和 IPv6 流量配置防火墙过滤器，必须包含两个单独的术语，一个用于 IPv4 流量，另一个用于 IPv6 流量。

将防火墙过滤器应用于交换机上的端口

您可以将防火墙过滤器应用于交换机上的端口，以过滤交换机上的入口或出口流量。配置防火墙过滤器时，可以指定在 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器中指定的任何匹配条件、操作和操作修改器。匹配条件中指定的操作指示针对入口或出口流量中匹配数据包的操作。

要将防火墙过滤器应用于端口以过滤入口或出口流量，请执行以下操作：

注：

要将防火墙过滤器应用于管理接口，请参阅将防火墙过滤器应用于交换机上的管理接口

指定接口名称，并提供防火墙过滤器和应用过滤器的接口的有意义的描述：

注：

提供描述是可选的。

指定接口的单元号和家族地址类型：
对于应用于端口的防火墙过滤器，系列地址类型必须为 ethernet-switching。
要应用防火墙过滤器来过滤进入端口的数据包，请执行以下操作：
要应用防火墙过滤器来过滤退出端口的数据包，请执行以下操作：
注：
每个端口、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于交换机上的管理接口

您可以配置防火墙过滤器并将其应用于管理接口，以控制进出交换机接口的流量。您可以使用 SSH 或 Telnet 等实用程序通过网络连接到管理接口，然后使用 SNMP 等管理协议从交换机收集统计数据。与在其他类型的接口上配置防火墙过滤器类似，您可以使用在 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器中指定的任何匹配条件、操作和操作修改器（以下操作修改器除外）在管理接口上配置防火墙过滤器：

loss-priority
forwarding-class

您可以将防火墙过滤器应用于任何 EX 系列交换机上的管理以太网接口。您还可以将防火墙过滤器应用于 EX4200 交换机上的虚拟管理以太网（VME）接口。有关管理以太网接口和 VME 接口的详细信息，请参阅交换机接口概述。

要在管理接口上应用防火墙过滤器以过滤入口或出口流量，请执行以下操作：

指定接口名称，并提供防火墙过滤器和应用过滤器的接口的有意义的描述：
注：
提供描述是可选的。
指定管理接口的单元号和家族地址类型：
注：
对于应用于管理接口的防火墙过滤器，家族地址类型可以是 inet 或 inet6。
要应用防火墙过滤器来过滤进入管理接口的数据包，请执行以下操作：
要应用防火墙过滤器来过滤退出管理接口的数据包，请执行以下操作：
注：
每个管理接口、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于网络上的 VLAN

您可以将防火墙过滤器应用于网络上的 VLAN，以过滤网络上的入口或出口流量。要将防火墙过滤器应用于 VLAN，请指定 VLAN 名称和 ID，然后将防火墙过滤器应用于 VLAN。配置防火墙过滤器时，可以指定在 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器中指定的任何匹配条件、操作和操作修改器。匹配条件中指定的操作指示针对入口或出口流量中匹配数据包的操作。

要将防火墙过滤器应用于 VLAN：

指定 VLAN 名称和 VLAN ID，并提供防火墙过滤器和应用过滤器的 VLAN 的有意义的描述：
注：
提供描述是可选的。
应用防火墙过滤器过滤进入或退出 VLAN 的数据包：
- 要应用防火墙过滤器来过滤进入 VLAN 的数据包，请执行以下操作：
  （在 EX4300 交换机上）要应用防火墙过滤器来过滤进入 VLAN 的数据包，请执行以下操作：
- 要应用防火墙过滤器来过滤退出 VLAN 的数据包，请执行以下操作：
  （在 EX4300 交换机上）要应用防火墙过滤器来过滤退出 VLAN 的数据包，请执行以下操作：
注：
每个 VLAN、每个方向只能应用一个防火墙过滤器。

将防火墙过滤器应用于第 3 层（路由）接口

您可以将防火墙过滤器应用于第 3 层（路由）接口，以过滤交换机上的入口或出口流量。配置防火墙过滤器时，可以指定在 EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器中指定的任何匹配条件、操作和操作修改器。匹配条件中指定的操作指示针对入口或出口流量中匹配数据包的操作。

要将防火墙过滤器应用于交换机上的第 3 层接口，请执行以下操作：

指定接口名称，并提供防火墙过滤器和应用过滤器的接口的有意义的描述：

注：

提供描述是可选的。

指定接口的单元号、家族地址类型和地址：
对于应用于第 3 层接口的防火墙过滤器，家族地址类型必须为 inet （对于 IPv4 流量）或 inet6 （对于 IPv6 流量）。
您可以应用防火墙过滤器来过滤进入或退出第 3 层（路由）接口的数据包：
- 要应用防火墙过滤器来过滤进入第 3 层接口的数据包，请执行以下操作：
- 要应用防火墙过滤器来过滤退出第 3 层接口的数据包，请执行以下操作：
注：
将过滤器应用于与给定 VLAN 关联的 IRB 接口时，将在具有匹配 VLAN ID 的任何第 3 层接口上执行过滤器。这是因为过滤器在所有第 3 层接口上与相应的 VLAN 标记进行匹配。

注：
每个方向的每个第 3 层接口只能应用一个防火墙过滤器。

在本页

配置防火墙过滤器（CLI 过程）