Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Firewall-Filter für Switches der EX-Serie

Firewall-Filter stellen Regeln bereit, mit denen festgelegt wird, ob Pakete, die eine Schnittstelle auf einer Juniper Networks-Serie Ethernet-Switch von einer Quelladresse an eine Zieladresse übertragen, zulassen, verweigern oder weitergeleitet werden sollen. Sie konfigurieren Firewall-Filter, um zu bestimmen, ob Datenverkehr zulassen, verweigern oder weitergeleitet werden soll, bevor ein Port, VLAN oder eine Layer 3-Schnittstelle (Routed) ein- oder austritt, auf die der Firewall-Filter angewendet wird. Um einen Firewall-Filter anzuwenden, müssen Sie den Filter zuerst konfigurieren und dann auf einen Port, VLAN oder eine Layer 3-Schnittstelle anwenden.

Sie können Firewall-Filter auf Netzwerkschnittstellen, aggregierte Ethernet-Schnittstellen (auch als Link Aggregation Groups (LAGs) bekannt), Loopback-Schnittstellen, Verwaltungsschnittstellen, virtuelle Management-Ethernet-Schnittstellen (VMEs) und Geroutete VLAN-Schnittstellen (RVIs) anwenden. Informationen zu Switches der EX-Serie, die einen Firewall-Filter an diesen Schnittstellen unterstützen, finden Sie unter Übersicht über die Switch-Softwarefunktionen der EX-Serie.

Ein Eingehender Firewall-Filter ist ein Filter, der auf Pakete angewendet wird, die in ein Netzwerk eindringen. Ein Egress Firewall-Filter ist ein Filter, der auf Pakete angewendet wird, die ein Netzwerk verlassen. Sie können Firewall-Filter so konfigurieren, dass Pakete gefiltert, Class-of-Service (CoS) markiert (ähnliche Datenverkehrstypen gruppierungen und jede Art von Datenverkehr als eine Klasse mit eigener Dienstpriorität behandelt) und Datenverkehr-Policing (die maximale Datenverkehrsrate, die an der Schnittstelle gesendet oder empfangen wird) steuert.

Firewall-Filtertypen

Für Switches der EX-Serie werden die folgenden Firewall-Filtertypen unterstützt:

  • Port (Layer 2) Firewall-Filter: Port-Firewall-Filter gelten für Layer-2-Switch-Ports. Sie können Port-Firewall-Filter sowohl in Die- als auch Egress-Richtungen auf einem physischen Port anwenden.

  • VLAN-Firewallfilter: VLAN-Firewall-Filter ermöglichen die Zugangskontrolle für Pakete, die in ein VLAN übertragen werden, innerhalb eines VLANs überbrückt werden oder ein VLAN verlassen. Sie können VLAN-Firewall-Filter sowohl in Ingress- als auch Egress-Richtungen in einem VLAN anwenden. VlaN-Firewall-Filter werden auf alle Pakete angewendet, die an das VLAN weitergeleitet oder von diesem weitergeleitet werden.

  • Firewall-Filter für Router (Layer 3): Sie können einen Router-Firewall-Filter sowohl in Den-Gres- als auch Egress-Richtungen auf Layer-3-Schnittstellen (Routed) und Gerouteten VLAN-Schnittstellen (RVIs) anwenden. Sie können einen Router-Firewall-Filter in die Richtung des Ingress auf der Loopback-Schnittstelle ( lo0 ) anwenden. Firewall-Filter, die auf Loopback-Schnittstellen konfiguriert sind, werden nur auf Pakete angewendet, die zur weiteren Verarbeitung an die Routing-Engine-CPU gesendet werden.

Auf diesen Switches können Port-, VLAN- oder Router-Firewall-Filter sowohl auf IPv4- als auch IPv6-Datenverkehr angewendet werden:

  • EX2200-Switch

  • EX3300-Switch

  • EX3200-Switch

  • EX4200-Switch

  • EX4300-Switch

  • EX4500-Switch

  • EX4550-Switch

  • EX6200-Switch

  • EX8200-Switch

Informationen zu Firewall-Filtern, die auf verschiedenen Switches unterstützt werden, finden Sie unter Plattformunterstützung für Firewall-Filter Und Match Conditions, Actions und Action Modifizierer auf Switches der EX-Serie.

Firewall-Filter-Komponenten

In einem Firewall-Filter definieren Sie zuerst den Typen der Familienadresse ( oder ), und Sie definieren dann einen oder mehrere Begriffe, die die Filterkriterien (als Bedingungen mit Übereinstimmungsbedingungen angegeben) und die Aktion (die als Aktionen oder Aktionsmodfizierer angegeben wird) angeben, wenn eine Übereinstimmung ethernet-switchinginetinet6 auftritt.

Die maximale Anzahl von Begriffen, die pro Firewall-Filter für Switches der EX-Serie zulässig ist, ist:

  • 512 für EX2200-Switches

  • 1436 für EX3300-Switches

    Anmerkung:

    Wenn Sie EX3300 Switches im selben Commit-Betrieb Filter mit einer großen Anzahl von Begriffen (in der Reihenfolge von 1000 oder mehr) hinzufügen und löschen, werden nicht alle Filter installiert. Sie müssen in einem Commit-Vorgang Filter hinzufügen und Filter in einem separaten Commit-Vorgang löschen.

  • 7.042 für EX3200- und EX4200-Switches – entsprechend der dynamischen Zuordnung des ternary Content Addressable Memory (TCAM) für Firewall-Filter.

  • Auf EX4300-Switches wird für den in- und ausgehenden Datenverkehr die folgende maximale Anzahl von Begriffen für Firewall-Filer unterstützt, die auf einer Port-, VLAN- und Layer 3-Schnittstelle konfiguriert sind:

    • Für den ein- und anderen Datenverkehr:

      • 3500 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 3500 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 7000 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 3500 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    • Für ausgehenden Datenverkehr:

      • Konfiguration von 512 Begriffen für Firewallfilter auf einem Port

      • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 512 Begriffe für Firewallfilter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 512 Begriffe für Firewallfilter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    Anmerkung:

    Sie können die maximale Anzahl von Begriffen nur konfigurieren, wenn Sie einen Firewall-Filtertyp (Port, VLAN oder Router (Layer 3) auf dem Switch konfigurieren und wenn Sturmkontrolle auf jeder Schnittstelle am Switch nicht aktiviert ist.

  • 1200 für EX4500- EX4550 Switches

  • 1400 für EX6200-Switches

  • 32.768 für EX8200-Switches

Anmerkung:

Die on-Demand-dynamische Zuordnung des Shared Space-TCAM in EX8200-Switches wird durch die Zuweisung von kostenlosen Platzblöcken zu Firewall-Filtern erreicht. Firewall-Filter werden in zwei verschiedene Pools kategorisiert. Port- und VLAN-Filter werden gebündelt (der Arbeitsspeicherwert für diesen Pool beträgt 22.000), während Router-Firewall-Filter separat gebündelt werden (der Schwellenwert für diesen Pool beträgt 32.000). Die Zuweisung erfolgt basierend auf dem Filterpooltyp. Freie Platzblöcke können nur von den Firewall-Filtern gemeinsam genutzt werden, die zum selben Filterpooltyp gehören. Wenn Sie versuchen, einen Firewall-Filter über den TCAM-Grenzwert hinaus zu konfigurieren, wird eine Fehlermeldung generiert.

Jeder Begriff besteht aus folgenden Komponenten:

  • Bedingungen übereinstimmen: Geben Sie die Werte oder Felder an, die das Paket enthalten muss. Sie können verschiedene Übereinstimmungsbedingungen definieren, darunter das IP-Quelladressenfeld, das IP-Zieladressenfeld, TCP (Transmission Control Protocol) oder das Quellportfeld des User Datagram Protocol (UDP), IP-Protokollfeld, ICMP-Pakettyp (Internet Control Message Protocol), TCP-Flags und Schnittstellen.

  • Aktion: Gibt an, was zu tun ist, wenn ein Paket mit den Übereinstimmungsbedingungen übereinstimmen soll. Mögliche Aktionen sind das Akzeptieren oder Verwerfen des Pakets oder das Senden des Pakets an eine bestimmte virtuelle Routingschnittstelle. Zusätzlich können Pakete zu statistischen Informationen gezählt werden. Wenn für einen Begriff keine Aktion angegeben wird, heißt die Standard aktion, das Paket zu akzeptieren.

  • Aktionsmoderator: Gibt eine oder mehrere Aktionen für den Switch an, wenn ein Paket mit den Übereinstimmungsbedingungen übereinstimmen sollte. Sie können Aktionsmoderatoren wie Zählen, Spiegelung, Begrenzung der Raten und Klassifizierung von Paketen angeben.

Verarbeitung von Firewall-Filtern

Die Reihenfolge der Bedingungen innerhalb einer Firewall-Filterkonfiguration ist wichtig. Pakete werden mit jedem Begriff in der Reihenfolge getestet, in der die Begriffe in der Konfiguration von Firewall-Filtern aufgeführt sind. Informationen dazu, wie Firewall-Filter Pakete verarbeiten, finden Sie unter Verstehen der Ausgewerteten Firewall-Filter.