防火墙过滤器和增强型网络服务模式概述
在正常情况下,每个 防火墙过滤器 都以两种不同的格式生成 -- 编译和基于术语。编译后的格式由路由引擎 (RE) 内核、FPC 和 MS-DPS 使用。MPC 使用基于术语的格式。对应用防火墙过滤器的每个接口或 逻辑接口 复制已编译的防火墙过滤器。基于术语的过滤器由每个接口或逻辑接口引用,而不是重复。
当机箱中填充 MPC 和任何其他卡的组合时,必须同时创建两种防火墙过滤器文件格式。在大多数网络中,为已编译的防火墙过滤器创建过滤器格式和任意数量的复制对路由器没有影响。但是,在包含数千个静态配置的用户接口的订阅者管理网络中,创建多种格式的过滤器并为每个接口复制这些过滤器可能会占用很大一部分路由器内存资源。您可以使用增强型 IP 网络服务模式或增强型以太网网络服务模式来改进使用静态配置的用户接口的订阅者接入网络中特定于路由过滤器的扩展和性能。
在静态或动态创建接口并动态应用防火墙过滤器的配置中,您必须将机箱网络服务配置为在增强模式下运行。在静态创建接口并静态应用防火墙过滤器的配置中,您必须将机箱网络服务配置为在增强模式下运行,同时将每个防火墙过滤器配置为增强型模式。
请勿对用于控制平面流量的防火墙过滤器使用增强模式。控制平面过滤由路由引擎内核处理,路由引擎内核无法使用增强模式过滤器基于术语的格式。
表 1 显示了确定增强型网络服务模式使用情况时的配置选项。
接口和过滤器配置 |
需要机箱增强型模式 |
需要防火墙过滤器增强模式 |
|---|---|---|
动态创建的接口和动态应用的过滤器 |
是的 |
不 |
静态创建的接口和动态应用的过滤器 |
是的 |
不 |
静态创建的接口和静态应用的过滤器 |
是的 |
是的 |
要大幅节省路由器的资源,请组合使用机箱并过滤增强型模式配置,如下所示:
仅在机箱中安装 MPC。
注意:将机箱网络服务配置为运行其中一种增强型网络服务模式将导致路由器仅启用 MPC 和 MS-DPC。由于 MS-DPC 使用编译的防火墙过滤器格式,因此为某种增强型网络服务模式配置标准(非增强型)防火墙过滤器的路由器机箱可降低最佳资源效率。
在路由器上配置静态接口时,请将机箱网络服务配置为运行增强型 IP 网络服务模式或增强型以太网网络服务模式。
将防火墙过滤器静态应用于静态创建的接口时,请为增强模式配置任何防火墙过滤器,以将过滤器创建限制为仅基于术语的格式。
注意:即使机箱正在运行其中一种增强型网络服务模式,未为增强型模式配置的任何防火墙过滤器也会以编译格式和基于术语的格式创建。无论在 [
edit chassis network-services] 层次结构级别设置enhanced-mode语句,都将仅生成基于术语的(增强型)防火墙过滤器,如果以下任何一项均为真:在或
[edit firewall filter filter-name term term-name from]层级配置[edit firewall family family-name filter filter-name term term-name from]灵活的过滤器匹配条件。隧道标头推送或弹出操作(如 GRE 封装或解封装)在
[edit firewall family family-name filter filter-name term term-name then]层次结构级别上配置。有效负载协议匹配条件在
[edit firewall family family-name filter filter-name term term-name from]或[edit firewall filter filter-name term term-name from]层级配置。扩展标头匹配在或
[edit firewall filter filter-name term term-name from]层级配置[edit firewall family family-name filter filter-name term term-name from]。配置的匹配条件仅适用于 MPC 卡,例如 IPv6 流量的防火墙桥接过滤器。
警告:任何符合上述标准的防火墙过滤器都不会应用于基于 DPC 的 FPC 的环路、lo0 接口。这意味着,不会应用为在基于 DPC 的 FPC 的环路接口上使用而配置的基于术语的(增强型)过滤器。这会使 RE 不受该过滤器的保护。