Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器

按照以下部分中的步骤操作,在交换机上配置和应用防火墙过滤器。

配置防火墙过滤器

要配置防火墙过滤器:

  1. 配置家族地址类型、过滤器名称、术语名称以及至少一个匹配条件—例如,在包含特定源地址的数据包上匹配。
    • 要过滤2层流量(端口或 VLAN),请指定系列地址类型ethernet-switching

    • 要过滤3层(路由)信息流,请指定系列地址类型(inet对于 IPv4)或(inet6对于 IPv6)。

    • 要过滤2层电路接口流量,请指定系列地址类型ccc

    过滤器和术语名称可以包含字母、数字和连字符(-),长度最高可达64个字符。每个过滤器名称都必须是唯一的。过滤器可以包含一个或多个术语,并且每个术语名称在过滤器中必须是唯一的。

  2. 配置附加的匹配条件。例如:

    在此配置中,过滤器在包含源端口80的第2层数据包上匹配。

    在此配置中,过滤器与包含接口 ge-0/0/6.0 的 Vlan 相匹配。

    您可在单个from语句中指定一个或多个匹配条件。为实现匹配,数据包必须与术语中的所有条件匹配。语句 from 是可选的,但是,如果包含于一个术语中,则它不能为空。如果您省略该from语句,所有数据包都将被视为匹配。

  3. 如果要将防火墙过滤器应用于多个接口,并且能够查看每个接口特定的计数器,请配置以下interface-specific选项:
  4. 在每个防火墙过滤器术语中,指定数据包符合该术语中的所有条件时要采取的操作。您可以指定操作和操作修饰符:
    • 要指定过滤器操作,例如,丢弃符合过滤器术语条件的数据包:

      您每个术语 ( 、 或 acceptdiscardfloodreject 只能 routing-instance 指定一个操作 vlan

    • 例如,要指定过滤器操作,以泛滥与 QFX5100/QFX5100/QFX5120-32C QFX5110 QFX5200/MAC 地址/QFX5210 上QFX5210:

      您可将基于入口端口的防火墙过滤器配置为泛滥或丢弃以下 BPDUS,方法MAC 地址匹配条件。

      协议

      目标媒体访问控制 (DMAC) 地址

      防火墙操作

      链路聚合控制协议 (LACP)

      01:80:c2:00:00:02

      泛滥/丢弃/计数

      链路层发现协议 (LLDP)

      01:80:c2:00:00:0E

      泛滥/丢弃/计数

      通过 LAN 的可扩展身份验证协议 (EAPOL)

      01:80:c2:00:00:03

      泛滥/丢弃/计数

      生成树协议 (STP)

      01:80:c2:00:00:00

      泛滥/丢弃/Coun

      VLAN 生成树协议 (VSTP)

      01:00:0c:cc:cc:cd

      泛滥/丢弃/计数

      Cisco 发现协议 (CDP)/VLAN 中继协议 (VTP)

      01:00:0C:cc:cc:cc

      丢弃/计数

      ISIS L1

      01:80:c2:00:00:14

      丢弃/计数

      ISIS L2

      01:80:c2:00:00:15

      丢弃/计数

      注:
      • CDP/VTP、ISIS L1/L2 协议通过使用默认动态过滤器进行泛洪。因此,无需为这些协议配置附加过滤器。

      • 由于在端口级别应用了基于入口端口的防火墙过滤器,因此对于服务提供商样式配置中的物理接口, 只能应用一个过滤器。

      • 必须配置本机 VLAN,以确保在中继端口上收到的未标记 BPDUS 泛滥。如果未配置本机 VLAN,则未标记的 BPDUS 将在本地 FPC 中所有接口上泛洪。

      • 当启用 IGMP 侦听或组播侦听发现 (MLD) 侦听时,泛滥功能将不起作用。

      • 当对接口应用具有泛洪操作防火墙过滤器时,如果接口关闭,则该接口上收到的 BPUS 如果满足匹配条件,则该接口上收到的 BPUS 将会泛洪。

    • 要指定操作修饰符,例如要对数据包进行计数并将其分类到转发类:

      您可以在then语句中指定以下任何操作修饰符:

      • analyzer analyzer-name—将端口流量镜像到指定分析器,您必须在级别进行 [ethernet-switching-options] 配置。

      • count counter-name— 计算通过此过滤术语的数据包数。

        注:

        建议为防火墙过滤器中的每个术语配置一个计数器,以便您可以监控与每个过滤器术语中指定的条件相匹配的数据包数量。

        注:

        在 QFX3500 和 QFX3600 交换机上,过滤器将自动计算由于循环冗余检查(CRC)错误而在入站方向上丢弃的数据包。

      • forwarding-class class—将数据包分配给转发类。

      • log—记录数据包标头信息路由引擎。

      • loss-priority priority— 设置丢弃数据包的优先级。

      • policer policer-name— 对流量应用速率限制。

      • flood—泛滥数据包。

      • syslog—记录此数据包的警报。

    如果您省略语句或不指定操作,将接受与语句中所有 then 条件匹配的 from 数据包。但是,请确保始终在then语句中配置一个操作。您只能包含一条 action 语句,但可以使用任何操作修饰符组合。要使操作或操作修饰符生效, from语句中的所有条件都必须匹配。

    注:

    适用implicit discard于对回传接口应用的防火墙过滤器的操作lo0

配置增强型出口防火墙过滤器(QFX5110 和 QFX5220 交换机)

由于硬件限制,QFX5110 和 QFX5220 最多只能支持1000个出口防火墙过滤器(eRACLs)。您可以将此编号增加到2000,方法是在缩放模式下配置交换机。在此模式下,交换机使用入口 TCAM space (IFP)来实现更高的规模。

要配置出口过滤器,请指定系列地址类型(inet用于 IPv4)或(inet6用于 IPv6)、过滤器名称和术语名称。将适用的扩展选项包括在交换机上,并指定匹配条件和要在发生相符时采取的措施。然后在接口的输出方向上应用过滤器。

配置、修改或删除扩展选项之后,必须提交配置,并且必须重新启动数据包转发引擎(PFE)。

要增加 QFX5110 上的出口过滤器数量,请在配置中egress-to-ingress包括该选项。您可以在任何术语下添加此选项。以下是示例配置:

要增加 QFX5220 上的出口过滤器数量,请在eracl-scaleegress-profile语句下面包含该选项。以下是示例配置:

注:

eracl-scale选项在全局模式下配置。启用时,将在缩放模式下自动重新安装现有出口过滤器。

启用缩放模式时,以下限制适用:

  • 您只能在出口方向上应用过滤器(流将会退出 VLAN)。

  • inet支持inet6和协议系列。

  • 不支持通用路由封装(GRE)接口。

  • 仅使用传出防火墙过滤器的扩展选项。

  • 您不能将具有相同匹配条件的过滤器应用于不同的出口 Vlan 或第3层接口。仅支持acceptdiscardcount的操作。

  • 匹配条件在入口防火墙过滤器 TCAM 中编程。这意味着任何附加到过滤器的计数器都会对任何传入 Vlan 的流量进行计数。

将防火墙过滤器应用于端口

要将防火墙过滤器应用于端口:

  1. 为防火墙过滤器提供有意义的描述性名称。此名称用于将过滤器应用于端口。
  2. 将过滤器应用于接口,指定设备编号、系列地址类型(ethernet-switching)、过滤器的方向(用于输入端口的数据包)和过滤器名称:
    注:

    您只能将一个过滤器应用到入向入口方向的端口。

将防火墙过滤器应用于 VLAN

注:

在 EVPN VXLAN 环境中,QFX5100、QFX5100 虚拟机箱和 QFX5110 交换机不支持 VLAN 防火墙过滤器。

要将防火墙过滤器应用于 VLAN:

  1. 为防火墙过滤器提供有意义的描述性名称。此名称用于将过滤器应用于 VLAN。
  2. 应用防火墙过滤器以过滤进入或退出 VLAN 的数据包:
    • 要应用过滤器以匹配进入 VLAN 的数据包:

    • 要应用防火墙过滤器以匹配正在退出 VLAN 的数据包:

    注:

    您只能将一个过滤器应用于给定方向(入口或出口)的 VLAN。

将防火墙过滤器应用于第3层(路由)接口

您可以将防火墙过滤器应用于 IPv4 和 IPv6 接口、路由 VLAN 接口(RVI)和回传接口。这些都是第3层路由接口。

注:

(QFX5100和 QFX5110 交换机)在 EVPN VXLAN 环境中,您可以使用 IRB 接口为交换机提供3层连接。要配置 IRB 接口,请参阅示例:在 EVPN VXLAN 环境中配置 IRB 接口,以便为数据中心内的主机提供3层连接。然后,您可以按照以下步骤将防火墙过滤器应用于 IRB 接口(仅支持入口方向)。有关受支持的匹配条件的列表,请参阅防火墙过滤器匹配条件和操作(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)

要将防火墙过滤器应用于第3层接口:

  1. 为防火墙过滤器提供有意义的描述性名称。此名称用于将过滤器应用于接口。
  2. 应用防火墙过滤器。
    • 要过滤进入接口的数据包:

    • 要过滤正在退出接口的数据包:

      系列地址类型可以是(inet对于 IPv4)或(inet6对于 IPv6)。

    注:

    您只能将一个过滤器应用于给定方向(入口或出口)的接口。

将防火墙过滤器应用于第2层 CCC (QFX10000 交换机)

您可以在 QFX10000 交换机上的第2层电路交叉连接(CCC)流量上应用带有计数和监管器操作的防火墙过滤器。这使您可以统计和监控[edit firewall family ccc]层次结构级别的监管器活动集。

在此示例中count ,是监管器操作。

在此示例中discard ,是监管器操作。