防火墙过滤器和增强型网络服务模式概述
在正常情况下,每个 防火墙过滤器 都以两种不同的格式生成 - 编译格式和基于术语的格式。编译格式由路由引擎 (RE) 内核、FPC 和 MS-DP 使用。MPC 使用基于术语的格式。已编译的防火墙过滤器对于应用它们的每个接口或 逻辑接口 都是重复的。基于术语的过滤器不是重复的,而是由每个接口或逻辑接口引用的。
当 MPC 和任何其他卡的组合填充机箱时,必须创建两种防火墙过滤器文件格式。在大多数网络中,为编译的防火墙过滤器创建过滤器格式和任意数量的重复项对路由器没有影响。但是,在包含数千个静态配置的用户接口的用户管理网络中,创建多种格式的过滤器并为每个接口复制这些过滤器可能会占用大部分路由器内存资源。您可以使用增强型 IP 网络服务模式或增强型以太网网络服务模式,以改进在使用静态配置的用户接口的用户接入网络中特定于路由过滤器的扩展和性能。
在静态或动态创建接口且动态应用防火墙过滤器的配置中,您必须将机箱网络服务配置为在增强模式下运行。在静态创建接口和静态应用防火墙过滤器的配置中,您必须将机箱网络服务配置为在增强模式下运行,并将每个防火墙过滤器配置为增强模式。
不要对用于控制平面流量的防火墙过滤器使用增强模式。控制平面过滤由路由引擎内核处理,该内核无法使用增强型模式过滤器的基于术语的格式。
表 1 显示了确定增强型网络服务模式使用情况时的配置选项。
接口和过滤器配置 |
需要机箱增强模式 |
需要防火墙过滤器增强模式 |
|---|---|---|
动态创建的接口和动态应用的过滤器 |
是的 |
不 |
静态创建的接口和动态应用的过滤器 |
是的 |
不 |
静态创建的接口和静态应用的过滤器 |
是的 |
是的 |
要为路由器节省大量资源,请按如下方式组合机箱和过滤器增强模式配置:
在机箱中仅安装 MPC。
注意:将机箱网络服务配置为运行其中一种增强型网络服务模式会导致路由器仅启用 MPC 和 MS-DPC。由于 MS-DPC 使用编译的防火墙过滤器格式(配置为增强型网络服务模式之一的路由器机箱),因此配置标准(非增强)防火墙过滤器以用于任何 MS-DPC 可能会降低最佳资源效率。
在路由器上配置静态接口时,请将机箱网络服务配置为运行增强型 IP 网络服务模式或增强型以太网网络服务模式。
将防火墙过滤器静态应用于静态创建的接口时,请将任何防火墙过滤器配置为增强模式,以将过滤器创建限制为仅基于术语的格式。
注意:任何未配置为增强模式的防火墙过滤器都将以编译和基于术语的格式创建,即使机箱正在运行其中一种增强型网络服务模式也是如此。如果满足以下任一条件,则只会生成基于术语的(增强型)防火墙过滤器,无论语句在
enhanced-mode[edit chassis network-services] 层级的设置如何:灵活的过滤器匹配条件在或
[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]。隧道标头推送或弹出操作(如 GRE 封装或解封装)在层次结构级别进行配置
[edit firewall family family-name filter filter-name term term-name then]。有效负载协议匹配条件在或
[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]。扩展标头匹配是在 或
[edit firewall filter filter-name term term-name from]层次结构级别配置[edit firewall family family-name filter filter-name term term-name from]的。配置的匹配条件仅适用于 MPC 卡,例如 IPv6 流量的防火墙网桥过滤器。
警告:任何满足上述条件的防火墙过滤器都不会应用于基于 DPC 的 FPC 的环路 lo0 接口。这意味着,不会应用配置为在基于 DPC 的 FPC 的环路接口上使用的基于术语的(增强型)过滤器。这将使 RE 不受该筛选器的保护。