防火墙过滤器和增强型网络服务模式概述
在正常情况下,每个 防火墙过滤器 都以两种不同的格式生成:编译格式和基于术语的格式。路由引擎 (RE) 内核、FPC 和 MS-DP 使用编译格式。MPC 使用基于术语的格式。 已编译的防火墙过滤器会针对应用到的每个接口或 逻辑接口 进行复制。基于术语的过滤器不会被复制,而是由每个接口或逻辑接口引用。
当 MPC 和任何其他卡组合填充机箱时,需要同时创建两种防火墙过滤器文件格式。在大多数网络中,为已编译的防火墙过滤器创建过滤器格式和任意数量的重复都不会对路由器产生影响。但是,在包含数千个静态配置的用户接口的用户管理网络中,创建多种格式的过滤器并为每个接口复制这些过滤器可能会占用大量路由器内存资源。在使用静态配置的用户接口的用户访问网络中,您可以使用增强型 IP 网络服务模式或增强型以太网网络服务模式来改进特定于路由过滤器的扩展和性能。
在静态或动态创建接口并动态应用防火墙过滤器的配置中,您必须将机箱网络服务配置为在增强模式下运行。在静态创建接口并静态应用防火墙过滤器的配置中,您必须将机箱网络服务配置为在增强模式下运行,并且还要将每个防火墙过滤器配置为增强模式。
请勿对用于控制平面流量的防火墙过滤器使用增强模式。控制平面过滤由路由引擎内核处理,内核不能使用增强模式过滤器的基于术语的格式。
表 1 显示了在确定增强型网络服务模式使用时的配置选项。
接口和过滤器配置 |
需要机箱增强模式 |
需要防火墙过滤器增强模式 |
|---|---|---|
动态创建的接口和动态应用的过滤器 |
是的 |
不 |
静态创建的接口和动态应用的过滤器 |
是的 |
不 |
静态创建的接口和静态应用的过滤器 |
是的 |
是的 |
要显著节省路由器的资源,请按如下方式组合机箱和过滤器增强模式配置:
仅在机箱中安装 MPC。
注意:将机箱网络服务配置为运行其中一种增强型网络服务模式会导致路由器仅启用 MPC 和 MS-DPC。由于 MS-DPC 使用编译的防火墙过滤器格式,因此为其中一种增强型网络服务模式配置的路由器机箱,因此配置标准(非增强型)防火墙过滤器以与任何 MS-DPC 配合使用可能会降低最佳资源效率。
在路由器上配置静态接口时,将机箱网络服务配置为运行增强型 IP 网络服务模式或增强型以太网网络服务模式。
将防火墙过滤器静态应用于静态创建的接口时,请为增强模式配置任何防火墙过滤器,以将过滤器创建限制为仅基于术语的格式。
注意:即使机箱运行的是其中一种增强型网络服务模式,未配置为增强模式的任何防火墙过滤器都将以编译格式和基于术语的格式创建。如果满足以下任何一项条件,则无论语句在
enhanced-mode[edit chassis network-services] 层级的设置如何,都将仅生成基于术语(增强型)防火墙过滤器:灵活的过滤器匹配条件在 或
[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]。隧道标头推送或弹出作(如 GRE 封装或解封装)是在层次结构级别配置
[edit firewall family family-name filter filter-name term term-name then]的。有效负载协议匹配条件在 或
[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]。扩展报头匹配在 或
[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]。配置的匹配条件仅适用于 MPC 卡,例如用于 IPv6 流量的防火墙网桥过滤器。
警告:任何满足上述条件的防火墙过滤器都不会应用于基于 DPC 的 FPC 的环路、lo0 接口。这意味着,将不会应用配置为在基于 DPC 的 FPC 的环路接口上使用的基于术语的(增强型)滤波器。这将使 RE 不受该过滤器的保护。