Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

定义端口镜像防火墙过滤器

在包含互联网处理器 II 应用特定集成电路 (ASIC) 的路由器上,可以将 IP 版本 4 (IPv4) 或 IP 版本 6 (IPv6) 数据包的副本从路由器发送到外部主机地址或数据包分析器进行分析。这称为 端口镜像

端口镜像不同于流量采样。在流量采样中,基于 IPv4 报头的采样密钥被发送到路由引擎。在那里,可以将密钥放入文件中,或者可以将基于密钥的 cflowd 数据包发送到 cflowd 服务器。在端口镜像中,整个数据包被复制并通过下一跃点接口发送出去。

您可以配置同时使用采样和端口镜像,并为端口镜像数据包设置独立的采样速率和运行长度。但是,如果同时选择数据包进行采样和端口镜像,则只能执行一个作,端口镜像优先。例如,如果将一个接口配置为对输入到该接口的每个数据包进行采样,并且过滤器还选择要将端口镜像到其他接口的数据包,则仅端口镜像生效。在转发到最终目的地时,继续对与显式过滤器端口镜像标准不匹配的所有其他数据包进行采样。

防火墙过滤器提供了一种保护路由器免受从路由器传输到网络目标或发往路由引擎的过多流量影响的方法。控制本地数据包的防火墙过滤器还可以保护您的路由器免受外部事件的影响。

您可以配置 防火墙过滤器 执行以下作:

  • 根据路由引擎的来源、协议和应用限制发往该的流量。

  • 限制发往路由引擎的数据包的流量速率,以防止泛洪或拒绝服务 (DoS) 攻击。

  • 解决与发往路由引擎的分段数据包相关的特殊情况。由于设备会根据防火墙过滤器(包括分片)评估每个数据包,因此您必须对过滤器进行配置,以容纳不包含数据包标头信息的分片。否则,过滤器将丢弃分段数据包中除第一个分片之外的所有分片。

有关常规配置防火墙过滤器(包括在第 3 层环境中)的信息,请参阅《路由策略、防火墙过滤器和流量监管器用户指南》中的无状态防火墙过滤器概述标准防火墙过滤器如何评估数据包

要使用端口镜像作定义防火墙过滤器:

  1. 通过在层次结构级别包含filter[edit firewall family (inet | inet6)]语句来准备用于端口镜像的流量。

    此层级过滤器 [edit firewall family (inet | inet6)] 选择要进行端口镜像的流量:

  2. 启用防火墙过滤器的配置。

    选项的 family 值可以是 inet inet6或 。

  3. 启用防火墙过滤器filter-name的配置。
  4. 启用防火墙过滤器术语filter-term-name的配置。

    有关防火墙过滤器术语的更多信息,请参阅《Junos OS 路由策略、防火墙过滤器和路由设备流量监管器用户指南》中的防火墙过滤器配置准则

  5. 根据 路由源地址指定防火墙过滤器匹配条件,以镜像采样数据包的子集。

    有关配置防火墙过滤器匹配条件的信息,请参阅《路由设备路由策略、防火墙过滤器和流量监管器用户指南》Junos OS中的基于数字或文本别名的防火墙过滤器匹配条件、基于位字段值的防火墙过滤器匹配条件、基于地址字段的防火墙过滤器匹配条件和基于地址类的防火墙过滤器匹配条件

  6. 启用 和 action-modifieraction配置以应用于匹配的数据包。
  7. 指定要对匹配数据包执行的作。

    建议 action 的值是 accept。如果未指定作,或者完全省略该 then 语句,则与语句中 from 条件匹配的所有数据包都将被接受。

  8. 将 port-mirror 指定为 action-modifier.

    当过滤器作为 port-mirror时,数据包将被复制到本地接口以进行本地或远程监控。

  9. 验证防火墙过滤器的最低配置。

相关文档