配置防火墙过滤器(J-Web 过程)
本主题仅适用于 J-Web 应用程序包。
您可以在 EX 系列交换机上配置防火墙过滤器,以控制进入交换机端口或进入和退出网络及第 3 层 (路由)接口上的 VLAN 的流量。要配置防火墙过滤器,必须配置过滤器,然后将其应用于端口、VLAN 或第 3 层 接口。
要使用 J-Web 界面配置防火墙过滤器设置:
领域 |
功能 |
您的行动 |
---|---|---|
“过滤器”选项卡 |
||
过滤器类型 |
指定过滤器类型:端口或 VLAN 防火墙过滤器或路由器防火墙过滤器。 |
选择过滤器类型。 |
过滤器名称 |
指定过滤器的名称。 |
输入名称。 |
选择属于过滤器的术语 |
指定要与过滤器关联的术语。添加新术语或编辑现有术语。 |
|
“关联”选项卡 |
||
端口关联 |
指定与过滤器关联的端口。
注意:
对于端口或 VLAN 过滤器类型,端口关联仅支持入口方向。 |
|
VLAN 关联 |
指定与过滤器关联的 VLAN。
注意:
由于路由器防火墙过滤器只能与端口相关联,因此不会为路由器防火墙过滤器显示此部分。 |
|
领域 |
功能 |
您的行动 |
---|---|---|
术语名称 |
指定术语的名称。 |
输入名称。 |
协议 |
指定要与术语关联的协议。 |
|
源 |
指定源 IP 地址、MAC 地址和可用端口。
注意:
仅为端口或 VLAN 过滤器指定 MAC 地址。 |
要指定 IP 地址,请单击 添加 > IP 并输入 IP 地址。 要指定 MAC 地址,请单击 添加 > MAC 并输入 MAC 地址。 要指定端口(接口),请单击 Add > 端口 并输入端口号。 要删除 IP 地址、MAC 地址或端口详细信息,请将其选中 ,然后单击 Remove。 |
目的地 |
指定目标 IP 地址、MAC 地址和可用端口。
注意:
仅为端口或 VLAN 过滤器指定 MAC 地址。 |
要指定 IP 地址,请单击 添加 > IP 并输入 IP 地址。 要指定 MAC 地址,请单击 Add > MAC 并输入 MAC 地址。 要指定端口(接口),请单击 Add > 端口 并输入端口号。 要删除 IP 地址、MAC 地址或端口详细信息,请将其选中 ,然后单击 Remove。 |
行动 |
为术语指定数据包操作。 |
选择以下其中一个选项:
|
更 |
为过滤器指定高级配置选项。 |
选择 表 3 中规定的匹配条件。 选择 表 3 中指定的术语的数据包操作。 |
表 |
功能 |
您的行动 |
---|---|---|
ICMP 类型 |
指定 ICMP 数据包类型字段。通常,您可以结合协议匹配条件指定此匹配条件,以确定端口上使用哪个协议。 |
从列表中选择选项。 |
ICMP 代码 |
指定比 ICMP 类型更具体的信息。由于值的意义取决于关联的 ICMP 类型,因此您必须指定 icmp 类型 以及 icmp 代码。 这些关键词按与之关联的 ICMP 类型进行分组。 |
从列表中选择一个值。 |
DSCP |
指定差异化服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的六位组成 DSCP。 |
从列表中选择 DSCP 编号。 |
优先 |
指定 IP 优先级。
注意:
不能为同一术语同时指定 IP 优先级和 DSCP 编号。 |
从列表中选择选项。 |
IP 选项 |
指定 IP 报头中是否存在选项字段。 |
从列表中选择选项。 |
接口 |
指定接收数据包的接口。 |
从列表中选择接口。 |
以太网类型 |
指定数据包的以太网类型字段。
注意:
此选项不适用于路由过滤器。 |
从列表中选择一个值。 |
Dot 1q 用户优先级 |
指定已标记以太网数据包的用户优先级字段。用户优先级值可以是 0-7。 您可以指定以下其中一个文本同义词(其中也列出了字段值)来代替数值:
注意:
此选项不适用于路由过滤器。 |
从列表中选择一个值。 |
Vlan |
指定要与数据包关联的 VLAN。
注意:
此选项不适用于路由过滤器。 |
从列表中选择 VLAN。 |
TCP 标志 |
指定一个或多个 TCP 标志。
注意:
入口端口、VLAN 和路由器接口支持 TCP 标记。 |
选择选项 TCP 初始 值或输入 TCP 标志组合。 |
分片标志 |
指定 IP 分片标志。
注意:
入口端口、VLAN 和路由器接口支持分段标记。 |
选择 选项 is-fragment ,或输入分片操作标志组合。 |
Dot1q 标记 |
为以太网标头中的标记字段指定值。值可以是 1 到 4095。
注意:
此选项不适用于路由过滤器。 |
输入值。 |
行动 |
||
计数器名称 |
指定通过此过滤器、术语或监管器的数据包计数。 |
输入一个值。 |
转发类 |
将数据包分类为以下一个转发类:
|
从列表中选择选项。 |
丢失优先级 |
指定数据包丢失优先级。
注意:
必须同时为同一术语指定转发类和丢失优先级。 |
输入值。 |
分析仪 |
指定是否对数据包执行端口镜像。端口镜像会将进入一个交换机端口的所有数据包复制到另一个交换机端口上的网络监控连接。 |
从列表中选择分析器(端口镜像配置)。 |