Verstehen von Firewall-Filterverarbeitungspunkten für Bridged- und Routing-Pakete auf Switches der EX-Serie
Die Ethernet-Switches der EX-Serie von Juniper Networks sind mehrschichtige Switches, die Layer-2-Switching und Layer-3-Routing bieten. Sie wenden Firewall-Filter an mehreren Verarbeitungspunkten im Paketweiterleitungspfad auf Switches der EX-Serie an. An jedem Verarbeitungspunkt wird die für ein Paket zu ergreifende Aktion anhand der Ergebnisse der Suche in der Weiterleitungstabelle des Switches ermittelt. Eine Tabellensuche bestimmt, welcher Exit-Port auf dem Switch zur Weiterleitung des Pakets verwendet wird.
Für Bridged-Unicast-Pakete und geroutete Unicast-Pakete werden Firewall-Filter hierarchisch ausgewertet und angewendet. Zunächst wird ein Paket gegen den Port-Firewall-Filter geprüft, falls vorhanden. Wenn das Paket zulässig ist, wird es gegebenenfalls gegen den VLAN-Firewall-Filter geprüft. Wenn das Paket zulässig ist, wird es im Anschluss an den Router-Firewall-Filter geprüft, falls vorhanden. Das Paket muss durch den Router-Firewall-Filter zulässig sein, bevor es verarbeitet wird.
Abbildung 1 zeigt die verschiedenen Firewall-Filterverarbeitungspunkte im Paketweiterleitungspfad in einer mehrschichtigen Switching-Plattform.
Für ein Multicastpaket, das zu Replikationen führt, wird auf jede Kopie des Pakets basierend auf dem entsprechenden Ausgangs-VLAN ein Egress-Firewall-Filter angewendet.
Für Layer 2(Bridged)-Unicast-Pakete gelten die folgenden Verarbeitungspunkte für Firewall-Filter:
Ingress-Port-Firewall-Filter
Ingress-VLAN-Firewall-Filter
Egress-Port-Firewall-Filter
Egress VLAN-Firewall-Filter
Für Layer-3-Unicast-Pakete (geroutet und multilayer-switched) gelten die folgenden Verarbeitungspunkte für Firewall-Filter:
Ingress-Port-Firewall-Filter
Ingress VLAN Firewall-Filter (Layer 2 CoS)
Firewall-Filter für Eingangsrouter (Layer 3 CoS)
Egress-Router-Firewall-Filter
Egress VLAN-Firewall-Filter