Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zu Firewall-Filterverarbeitungspunkten für Bridge- und Routing-Pakete auf Switches der EX-Serie

Die Ethernet-Switches der EX-Serie von Juniper Networks sind mehrschichtige Switches, die Layer-2-Switching und Layer-3-Routing bereitstellen. Sie wenden Firewall-Filter an mehreren Verarbeitungspunkten im Paketweiterleitungspfad auf Switches der EX-Serie an. An jedem Verarbeitungspunkt wird die Aktion, die für ein Paket ausgeführt werden soll, basierend auf den Ergebnissen der Suche in der Weiterleitungstabelle des Switches bestimmt. Eine Tabellensuche bestimmt, welcher Ausgangsport auf dem Switch zum Weiterleiten des Pakets verwendet werden soll.

Sowohl für Bridged-Unicast-Pakete als auch für geroutete Unicast-Pakete werden Firewallfilter ausgewertet und hierarchisch angewendet. Zuerst wird ein Paket mit dem Port-Firewall-Filter abgeglichen, falls vorhanden. Wenn das Paket zugelassen wird, wird es mit dem VLAN-Firewall-Filter abgeglichen, falls vorhanden. Wenn das Paket zugelassen wird, wird es mit dem Firewall-Filter des Routers abgeglichen, falls vorhanden. Das Paket muss vom Firewall-Filter des Routers zugelassen werden, bevor es verarbeitet wird.

Abbildung 1 Zeigt die verschiedenen Verarbeitungspunkte des Firewall-Filters im Paketweiterleitungspfad in einer mehrschichtigen Switching-Plattform.

Abbildung 1: Verarbeitungspunkte für Firewallfilter im PaketweiterleitungspfadVerarbeitungspunkte für Firewallfilter im Paketweiterleitungspfad

Für ein Multicast-Paket, das zu Replikationen führt, wird basierend auf dem entsprechenden Ausgangs-VLAN ein Ausgangs-Firewall-Filter auf jede Kopie des Pakets angewendet.

Für Layer-2-Unicast-Pakete (Bridged) gelten die folgenden Verarbeitungspunkte für Firewallfilter:

  • Firewall-Filter für Eingangsport

  • Firewall-Filter für Eingangs-VLAN

  • Firewall-Filter für Ausgangsport

  • Firewall-Filter für Ausgangs-VLAN

Für Layer-3-Unicast-Pakete (geroutet und Multilayer-Switched) gelten die folgenden Verarbeitungspunkte für Firewall-Filter:

  • Firewall-Filter für Eingangsport

  • Firewall-Filter für Eingangs-VLAN (Layer 2 CoS)

  • Firewall-Filter für Eingangsrouter (Layer 3 CoS)

  • Firewall-Filter für ausgehenden Router

  • Firewall-Filter für Ausgangs-VLAN

Verwandte Themen