Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Firewall-Filter (OCX-Serie)

Firewall-Filter bieten Regeln, die festlegen, ob Pakete, die eine Schnittstelle passieren, akzeptiert oder verworfen werden sollen. Wenn ein Paket akzeptiert wird, können Sie zusätzliche Aktionen konfigurieren, die auf dem Paket ausgeführt werden, z. B. CoS-Markierung (Class-of-Service) (Gruppierung ähnlicher Arten von Datenverkehr zusammen und Behandeln jeder Art von Datenverkehr als Klasse mit eigener Dienstpriorität) und Datenverkehrs-Policing (Kontrolle der maximalen Datenverkehrsrate gesendet oder empfangen). Sie konfigurieren Firewall-Filter, um zu bestimmen, ob ein Paket akzeptiert oder verworfen werden soll, bevor es eine Layer-3-Schnittstelle (geroutet) eingibt oder beendet.

Ein Eingangs-Firewall-Filter wird auf Pakete angewendet, die eine Schnittstelle betreten, und ein Ausgangs-Firewall-Filter wird auf Pakete angewendet, die eine Schnittstelle verlassen.

Anmerkung:

Firewall-Filter werden manchmal als Access Control Lists (ACLs) bezeichnet.

Wo Sie Filter anwenden können

Sie können einen Router-Firewall-Filter sowohl in Eingangs- als auch in Egress-Richtungen auf IPv4- oder IPv6 Layer 3 -Schnittstellen (Geroutet) und eine Loopback-Schnittstelle anwenden, die den Datenverkehr filtert, der an den Switch selbst gesendet oder vom Switch generiert wird.

Sie wenden einen Filter auf eine Loopback-Schnittstelle in Eingangsrichtung an, um den Switch vor unerwünschtem Datenverkehr zu schützen. Sie könnten auch einen Filter auf eine Loopback-Schnittstelle in Ausgaberichtung anwenden, damit Sie den Weiterleitungsklassen- und DSCP-Bitwert für Pakete festlegen können, die vom Switch selbst stammen. Diese Funktion gibt Ihnen eine sehr feine Kontrolle über die Klassifizierung von CPU-generierten Paketen. Sie könnten beispielsweise unterschiedliche DSCP-Werte und Weiterleitungsklassen dem Datenverkehr zuweisen, der von verschiedenen Routingprotokollen generiert wird, sodass der Datenverkehr für diese Protokolle auf differenzierte Weise von anderen Geräten behandelt werden kann.

Anmerkung:

Auf QFX5220-Switches können Sie nur einen Filter auf eine Loopback-Schnittstelle in Eingangsrichtung anwenden.

Anmerkung:

Wenn Sie Eingangs- und Ausgangsfilter auf dieselbe Schnittstelle anwenden, wird der Eingangsfilter zuerst verarbeitet.

So wenden Sie einen Firewall-Filter an:

  1. Konfigurieren Sie den Firewall-Filter.

  2. Wenden Sie den Firewall-Filter auf eine Layer-3-Schnittstelle an, und geben Sie die Richtung an. Wenn Sie die Richtung angeben, wird der input Datenverkehr am Eingang gefiltert. Wenn Sie die output Richtung angeben, wird der Datenverkehr am Ausgang gefiltert.

Anmerkung:

Sie können für eine bestimmte Richtung nur einen Firewall-Filter auf eine Layer-3-Schnittstelle anwenden. Beispielsweise können Sie für eine bestimmte family inet Schnittstelle einen Filter für den Eingang und einen für die Ausgabe anwenden.

OCX-Switches unterstützen die maximale Anzahl von Firewall-Filterbegriffen pro Typ des Befestigungspunkts, wie in Tabelle 1dargestellt.

Tabelle 1: Unterstützte Firewall-Filternummern
Filtertyp Maximale Anzahl von Filtern

Eindringen

1536

Ausstieg

1024

Firewall-Filterkomponenten

In einem Firewall-Filter definieren Sie zunächst den Adresstyp der Familie (inet für IPv4 oder inet6 IPv6) und dann einen oder mehrere Begriffe, die die Filterkriterien und die bei einer Übereinstimmung durchzuführenden Aktion angeben.

Jeder Begriff besteht aus folgenden Komponenten:

  • Übereinstimmungsbedingungen: Geben Sie Werte an, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden.

  • Aktion: Gibt an, was zu tun ist, wenn ein Paket den Übereinstimmungsbedingungen entspricht. Ein Filter kann ein übereinstimmendes Paket akzeptieren, verwerfen oder ablehnen und dann weitere Aktionen ausführen, wie Zählen, Klassifizieren und Policing. Wenn für einen Begriff keine Aktion angegeben ist, wird standardmäßig das übereinstimmende Paket akzeptiert.

Verarbeitung von Firewall-Filtern

Wenn in einem Filter mehrere Begriffe vorhanden sind, ist die Reihenfolge der Begriffe wichtig. Wenn ein Paket mit dem ersten Begriff übereinstimmt, führt der Switch die durch diesen Begriff festgelegte Aktion aus, und es werden keine anderen Begriffe ausgewertet. Wenn der Switch keine Übereinstimmung zwischen dem Paket und dem ersten Begriff findet, vergleicht er das Paket mit dem nächsten Begriff. Wenn keine Übereinstimmung zwischen dem Paket und dem zweiten Begriff auftritt, vergleicht das System das Paket weiterhin mit jedem aufeinanderfolgenden Begriff im Filter, bis eine Übereinstimmung gefunden wird. Wenn das Paket nicht mit den Bedingungen im Filter übereinstimmt, verwirft der Switch das Paket standardmäßig.