Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

配置防火墙过滤器

您可以在交换机中配置防火墙过滤器,以控制进出第 3 层(路由)接口的流量。要使用防火墙过滤器,您必须配置过滤器,然后将其应用于第 3 层接口。

配置防火墙过滤器

要配置防火墙过滤器:

  1. 配置家族地址类型、过滤器名称、术语名称和至少一个匹配条件,例如,对包含特定源地址的数据包进行匹配:

    指定 IPv4 或 inet6 IPv6 的家族地址类型inet

    筛选器和术语名称可以包含字母、数字和连字符 (-),最长可达 64 个字符。每个筛选器名称必须是唯一的。筛选器可以包含一个或多个术语,并且每个术语名称在筛选器中必须是唯一的。

  2. 配置其他匹配条件。例如,匹配包含特定源端口的数据包:

    您可以在单个 from 语句中指定一个或多个匹配条件。要进行匹配,数据包必须与术语中的所有条件匹配。语句 from 是可选的,但如果包含在术语中,则不能为空。如果省略该 from 语句,则认为所有数据包都匹配。

  3. 如果要将防火墙过滤器应用于多个接口并能够查看特定于每个接口的计数器,请配置以下 interface-specific 选项:
  4. 在每个防火墙过滤器术语中,指定当数据包与该术语中的所有条件匹配时要执行的操作。您可以指定动作和动作修饰符:

    • 要指定过滤器操作,例如,丢弃与过滤器术语条件匹配的数据包,请执行以下操作:

      每个术语只能指定一个操作(acceptdiscardrejectrouting-instancevlan)。

    • 指定操作修饰符,例如,对转发类的数据包进行计数和分类。例如:

    如果省 then 略语句或未指定操作,则接受与语句中 from 所有条件匹配的数据包。但是,应始终在语句中 then 显式配置操作。只能包含一个操作语句,但可以使用操作修饰符的任意组合。要使操作或操作修饰符生效,语句中的所有 from 条件都必须匹配。

    注:

    隐式丢弃也适用于应用于环路接口 lo0的防火墙过滤器。

注:

有关匹配条件、操作和操作修饰符的完整列表,请参见 防火墙过滤器匹配条件和操作(EX4100、EX4100-F、EX4100-H、EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210)。请注意,在 OCX1100 交换机上,您只能使用对 IPv4 和 IPv6 接口有效的匹配条件。

将防火墙过滤器应用于第 3 层(路由)接口

要将防火墙过滤器应用于第 3 层接口,请执行以下操作:

  1. 在将应用过滤器的接口配置中提供防火墙过滤器的有意义的描述:
  2. 您可以应用防火墙过滤器来过滤进入或退出第 3 层接口的数据包:

    • 要应用防火墙过滤器来过滤进入第 3 层接口的数据包,请执行以下操作:

    • 要应用防火墙过滤器来过滤退出第 3 层接口的数据包,请执行以下操作:

    注:

    对于给定方向(入口或出口),您只能将一个过滤器应用于接口。

相关主题