配置防火墙过滤器
按照以下部分中的步骤在交换机上配置和应用防火墙过滤器。
配置防火墙过滤器
要配置防火墙过滤器:
配置增强型出口防火墙过滤器(QFX5110 和 QFX5220 交换机)
由于硬件限制,QFX5110 交换机和QFX5220交换机 最多只能支持 1000 个出口防火墙过滤器 (eRACL)。您可以通过在缩放模式下配置交换机,将此数字增加到 2000。在此模式下,交换机使用入口 TCAM 空间 (IFP) 来实现更高的扩展。
要配置出口过滤器,请指定家族地址类型(inet
对于 IPv4)或inet6
(对于 IPv6)、过滤器名称和术语名称。包括交换机适用的扩展选项,并指定发生匹配时要采取的匹配条件和操作。然后在接口的输出方向上应用滤波器。
配置、修改或删除扩展选项后,必须提交配置,并且必须重新启动数据包转发引擎 (PFE)。
要增加QFX5110上的出口过滤器数量,请在配置中包含该 egress-to-ingress
选项。您可以在任何术语下添加此选项。下面是一个示例配置:
set firewall family inet filter f1 term t1 from egress-to-ingress set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
要增加QFX5220上的出口过滤器数量,请在语句下egress-profile
包含该eracl-scale
选项。下面是一个示例配置:
该 eracl-scale
选项在全局模式下配置。启用后,现有出口过滤器将在扩展模式下自动重新安装。
set system packet-forwarding-options firewall eracl-profile eracl-scale set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
启用缩放模式时,将应用以下限制:
-
您只能在出口方向(退出 VLAN 的流量)上应用过滤器。
-
仅
inet
支持和inet6
协议家族。 -
不支持通用路由封装 (GRE) 接口。
-
仅对出口防火墙过滤器使用扩展选项。
-
您不能将具有相同匹配条件的过滤器应用于不同的出口 VLAN 或第 3 层接口。唯一支持的操作是
accept
、discard
和count
。 -
匹配条件在入口防火墙过滤器 TCAM 中编程。这意味着连接到过滤器的任何计数器都会对任何传入 VLAN 上的流量进行计数。
将防火墙过滤器应用于端口
要将防火墙过滤器应用于端口:
将防火墙过滤器应用于 VLAN
EVPN-VXLAN 环境中的 QFX5100、QFX5100虚拟机箱、QFX5110 交换机和 QFX5120 交换机不支持 VLAN 防火墙过滤器。
要将防火墙过滤器应用于 VLAN:
将防火墙过滤器应用于第 3 层(路由)接口
您可以将防火墙过滤器应用于 IPv4 和 IPv6 接口、路由 VLAN 接口 (RVI)( 也称为集成路由和桥接 (IRB) 接口)以及环路接口。这些接口都被视为第 3 层路由接口。
(QFX5100 和QFX5110交换机)在 EVPN-VXLAN 环境中,您可以使用 IRB 接口为交换机提供第 3 层连接。要配置 IRB 接口,请参阅 示例:在 EVPN-VXLAN 环境中配置 IRB 接口,以便为数据中心内的主机提供第 3 层连接。然后,您可以按照以下步骤将防火墙过滤器应用于 IRB 接口(仅支持入口方向)。有关支持的匹配条件列表,请参阅防火墙过滤器匹配条件和操作(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)。
将过滤器应用于与给定 VLAN 关联的 IRB 接口时,将在具有匹配 VLAN ID 的任何第 3 层接口上执行过滤器。这是因为过滤器在所有第 3 层接口上与相应的 VLAN 标记进行匹配。
要将防火墙过滤器应用于第 3 层接口,请执行以下操作:
将防火墙过滤器应用于第 2 层 CCC(QFX10000 交换机)
您可以对交换机上的第 2 层电路交叉连接 (CCC) 流量应用具有计数和监管器操作QFX10000防火墙过滤器。这使您可以计算和监控在层次结构级别设置的 [edit firewall family ccc]
监管器活动。
在此示例中, count
是监管器操作。
set firewall policer traffic-cnt if-exceeding bandwidth-limit 1g set firewall policer traffic-cnt if-exceeding burst-size-limit 100m set firewall policer traffic-cnt then loss-priority low set firewall family ccc filter srTCM-cnt term t1 then policer traffic-cnt set firewall family ccc filter srTCM-cnt term t1 then count traffic-counter
在此示例中, discard
是监管器操作。
set firewall policer discard-traffic if-exceeding bandwidth-limit 1g set firewall policer discard-traffic if-exceeding burst-size-limit 500m set firewall policer discard-traffic then discard set firewall family ccc filter srTCM1 term t1 then policer discard-traffic