Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen, wie Firewall-Filter Paketflüsse steuern

Ethernet-Switches der EX-Serie von Juniper Networks unterstützen Firewall-Filter, mit denen Sie den Fluss von Datenpaketen und lokalen Paketen steuern können. Datenpakete sind Datenblöcke, die den Switch passieren, wenn sie von einer Quelle zu einem Ziel weitergeleitet werden. Lokale Pakete sind Datenblöcke, die für den Switch bestimmt sind oder von diesem gesendet werden. Lokale Pakete enthalten in der Regel Routingprotokolldaten, Daten für IP-Dienste wie Telnet oder SSH und Daten für administrative Protokolle wie das Internet Control Message Protocol (ICMP).

Sie erstellen Firewall-Filter, um Ihren Switch vor übermäßigem Datenverkehr zu schützen, der den Switch zu einem Netzwerkziel leitet oder für die Routing-Engine auf dem Switch bestimmt ist. Firewall-Filter, die lokale Pakete kontrollieren, können Ihren Switch auch vor externen Vorfällen wie Denial-of-Service-Angriffen (DoS) schützen.

Firewall-Filter wirken sich auf Paketflüsse aus, die in die Schnittstellen des Switches eingehen oder diese verlassen:

  • Ingress-Firewall-Filter beeinflussen den Fluss von Datenpaketen, die von den Schnittstellen des Switches empfangen werden. Die Packet Forwarding Engine verarbeitet diesen Datenstrom. Wenn ein Switch ein Datenpaket auf einer Schnittstelle empfängt, bestimmt der Switch, wohin das Paket weitergeleitet werden soll, indem er in der Weiterleitungstabelle nach der besten Route (Layer-2-Switching, Layer-3-Routing) zu einem Ziel sucht. Datenpakete werden über eine ausgehende Schnittstelle an ihr Ziel weitergeleitet. Lokal bestimmte Pakete werden an die Routing-Engine weitergeleitet.

  • Ausgangs-Firewall-Filter wirken sich auf den Fluss von Datenpaketen aus, die von den Schnittstellen des Switches übertragen werden, aber nicht auf den Fluss lokal generierter Steuerpakete von der Routing-Engine. Die Packet Forwarding Engine verarbeitet den Fluss von Datenpaketen, die vom Switch übertragen werden, und hier werden Ausgangs-Firewall-Filter angewendet. Die Packet Forwarding Engine verarbeitet auch den Fluss von Kontrollpaketen von der Routing-Engine.

Abbildung 1 Veranschaulicht die Anwendung von Eingangs- und Ausgangs-Firewall-Filtern zur Steuerung des Paketflusses durch den Switch.

Abbildung 1: Anwendung von Firewall-Filtern zur Steuerung des PaketflussesAnwendung von Firewall-Filtern zur Steuerung des Paketflusses
  1. Eingangs-Firewall-Filter, der angewendet wird, um lokal bestimmte Pakete zu steuern, die auf den Schnittstellen des Switches empfangen werden und für die Routing-Engine bestimmt sind.

  2. Eingangs-Firewall-Filter, der angewendet wird, um eingehende Pakete auf den Schnittstellen des Switches zu kontrollieren.

  3. Ausgangs-Firewall-Filter, der angewendet wird, um Pakete zu steuern, die die Schnittstellen des Switches passieren.