Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器(J-Web 过程)

注意:

本主题仅适用于 J-Web 应用程序包。

您可以在 EX 系列交换机上配置防火墙过滤器,以控制进入交换机端口或进入和退出网络及第 3 层 (路由)接口上的 VLAN 的流量。要配置防火墙过滤器,必须配置过滤器,然后将其应用于端口、VLAN 或第 3 层 接口。

要使用 J-Web 界面配置防火墙过滤器设置:

  1. 选择 配置 > 安全 > 过滤器

    防火墙过滤器配置页面会显示一个列表,其中列出了所有配置的端口或 VLAN 或路由器过滤器以及与特定过滤器关联的端口或 VLAN。

    注意:

    在此页面上对配置进行更改后,必须提交更改才能使其生效。要对活动配置提交所有更改,请选择“提交>提交选项”。 有关所有提交选项的详细信息,请参阅使用提交选项提交配置更改。

  2. 单击以下其中一个选项:
    • 添加 - 选择此选项可创建新的过滤器。输入 表 1 中指定的信息。

    • 编辑 - 选择此选项可编辑现有过滤器。输入 表 1 中指定的信息。

    • 删除 - 选择此选项可删除过滤器。

    • 期限上行 — 选择此选项可在过滤器术语列表中向上移动某个术语。

    • 术语向下移动 - 选择此选项可在过滤器术语列表中向下移动某个术语。

表 1:创建新的过滤器

领域

功能

您的行动

“过滤器”选项卡

过滤器类型

指定过滤器类型:端口或 VLAN 防火墙过滤器或路由器防火墙过滤器。

选择过滤器类型。

过滤器名称

指定过滤器的名称。

输入名称。

选择属于过滤器的术语

指定要与过滤器关联的术语。添加新术语或编辑现有术语。

单击 Add 以添加新条款。输入 表 2表 3 中指定的信息。

“关联”选项卡

端口关联

指定与过滤器关联的端口。

注意:

对于端口或 VLAN 过滤器类型,端口关联仅支持入口方向。

  1. 单击 Add

  2. 选择方向:入口或出口。

  3. 选择端口。对于 EX8200 虚拟机箱配置,请从列表中选择成员、FPC 和可用端口。

  4. 单击 确定

VLAN 关联

指定与过滤器关联的 VLAN。

注意:

由于路由器防火墙过滤器只能与端口相关联,因此不会为路由器防火墙过滤器显示此部分。

  1. 单击 Add

  2. 选择方向:入口或出口。

  3. 选择 VLAN。

  4. 单击 确定

表 2:创建新术语

领域

功能

您的行动

术语名称

指定术语的名称。

输入名称。

协议

指定要与术语关联的协议。

  1. 单击 Add

  2. 选择协议。

  3. 单击 确定

指定源 IP 地址、MAC 地址和可用端口。

注意:

仅为端口或 VLAN 过滤器指定 MAC 地址。

要指定 IP 地址,请单击 添加 > IP 并输入 IP 地址。

要指定 MAC 地址,请单击 添加 > MAC 并输入 MAC 地址。

要指定端口(接口),请单击 Add > 端口 并输入端口号。

要删除 IP 地址、MAC 地址或端口详细信息,请将其选中 ,然后单击 Remove

目的地

指定目标 IP 地址、MAC 地址和可用端口。

注意:

仅为端口或 VLAN 过滤器指定 MAC 地址。

要指定 IP 地址,请单击 添加 > IP 并输入 IP 地址。

要指定 MAC 地址,请单击 Add > MAC 并输入 MAC 地址。

要指定端口(接口),请单击 Add > 端口 并输入端口号。

要删除 IP 地址、MAC 地址或端口详细信息,请将其选中 ,然后单击 Remove

行动

为术语指定数据包操作。

选择以下其中一个选项:

  • 接受

  • 丢弃

为过滤器指定高级配置选项。

选择 表 3 中规定的匹配条件。

选择 表 3 中指定的术语的数据包操作。

表 3:高级期限选项

功能

您的行动

ICMP 类型

指定 ICMP 数据包类型字段。通常,您可以结合协议匹配条件指定此匹配条件,以确定端口上使用哪个协议。

从列表中选择选项。

ICMP 代码

指定比 ICMP 类型更具体的信息。由于值的意义取决于关联的 ICMP 类型,因此您必须指定 icmp 类型 以及 icmp 代码。 这些关键词按与之关联的 ICMP 类型进行分组。

从列表中选择一个值。

DSCP

指定差异化服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的六位组成 DSCP。

从列表中选择 DSCP 编号。

优先

指定 IP 优先级。

注意:

不能为同一术语同时指定 IP 优先级和 DSCP 编号。

从列表中选择选项。

IP 选项

指定 IP 报头中是否存在选项字段。

从列表中选择选项。

接口

指定接收数据包的接口。

从列表中选择接口。

以太网类型

指定数据包的以太网类型字段。

注意:

此选项不适用于路由过滤器。

从列表中选择一个值。

Dot 1q 用户优先级

指定已标记以太网数据包的用户优先级字段。用户优先级值可以是 0-7。

您可以指定以下其中一个文本同义词(其中也列出了字段值)来代替数值:

  • 背景 (1)— 背景

  • 尽力而为 (0) — 尽力而为

  • 控制负载 (4) — 受控负载

  • 出色负载 (3) — 出色负载

  • 网络控制 (7) — 网络控制保留流量

  • 标准 (2) — 标准或备件

  • 视频 (5) — 视频

  • 语音 (6) — 语音

注意:

此选项不适用于路由过滤器。

从列表中选择一个值。

Vlan

指定要与数据包关联的 VLAN。

注意:

此选项不适用于路由过滤器。

从列表中选择 VLAN。

TCP 标志

指定一个或多个 TCP 标志。

注意:

入口端口、VLAN 和路由器接口支持 TCP 标记。

选择选项 TCP 初始 值或输入 TCP 标志组合。

分片标志

指定 IP 分片标志。

注意:

入口端口、VLAN 和路由器接口支持分段标记。

选择 选项 is-fragment ,或输入分片操作标志组合。

Dot1q 标记

为以太网标头中的标记字段指定值。值可以是 1 到 4095。

注意:

此选项不适用于路由过滤器。

输入值。

行动

计数器名称

指定通过此过滤器、术语或监管器的数据包计数。

输入一个值。

转发类

将数据包分类为以下一个转发类:

  • 保证转发

  • 尽力而为

  • 加速转发

  • 网络控制

  • 没有

从列表中选择选项。

丢失优先级

指定数据包丢失优先级。

注意:

必须同时为同一术语指定转发类和丢失优先级。

输入值。

分析仪

指定是否对数据包执行端口镜像。端口镜像会将进入一个交换机端口的所有数据包复制到另一个交换机端口上的网络监控连接。

从列表中选择分析器(端口镜像配置)。