Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Firewall-Filter (QFX-Serie)

Firewall-Filter, die manchmal als Access Control Lists (ACLs) bezeichnet werden, stellen Regeln bereit, die festlegen, ob Pakete, die eine Schnittstelle übertragen, akzeptiert oder verworfen werden sollen. Wenn ein Paket akzeptiert wird, können Sie weitere Aktionen auf dem Paket konfigurieren, wie die CoS-Markierung (Class-of-Service) (Gruppierung ähnlicher Datenverkehrstypen und die Behandlung jeder Art von Datenverkehr als Eine Klasse mit eigener Dienstpriorität) und Datenverkehrs-Policing (Kontrolle der maximalen Datenverkehrsrate, die gesendet oder empfangen wird).

Sie können Firewall-Filter so konfigurieren, dass sie bestimmen, wo ein Paket akzeptiert oder verworfen werden soll, bevor es einen Port, VLAN, Layer 2 CCC, layer 3 (geroutete) Schnittstelle, RVI (Routed VLAN Interface) oder MPLS-Schnittstelle eingibt oder verlässt.

Ein Eingangs-Firewall-Filterwird auf Pakete angewendet, die eine Schnittstelle oder ein VLAN betreten, und ein Ausgangs-Firewall-Filter (Ausgabe) wird auf Pakete angewendet, die eine Schnittstelle oder ein VLAN verlassen.

Wo Sie Filter anwenden können

Nachdem Sie den Firewall-Filter konfiguriert haben, können Sie ihn auf Folgendes anwenden:

  • Port– Filtert Layer-2-Datenverkehrs-Systemports.

  • VLAN: Filtert und bietet Zugangskontrolle für Layer-2-Pakete, die in ein VLAN gelangen, innerhalb eines VLANs überbrückt werden oder ein VLAN verlassen.

  • Layer-3-Schnittstelle (Routing): Filtert den Datenverkehr an IPv4- und IPv6-Schnittstellen, gerouteten VLAN-Schnittstellen (RVI) und der Loopback-Schnittstelle. Die Loopback-Schnittstelle filtert den Datenverkehr, der an den Switch selbst gesendet oder vom Switch generiert wird.

  • Layer 2 CCC-Schnittstelle– Filtert Layer 2 Circuit Cross-Connect (CCC)-Schnittstellen.

  • MPLS– Filtert MPLS-Schnittstellen.

Sie können auch einen Firewall-Filter auf eine Verwaltungsschnittstelle (z. B. me0) auf einem eigenständigen QFX- und EX4600-Switch anwenden. Sie können auf einem QFX3000-G- oder QFX3000-M-System keinen Filter auf eine Verwaltungsschnittstelle anwenden.

Anmerkung:

Sie können für eine bestimmte Richtung nur einen Firewall-Filter auf eine Port-, VLAN- oder Layer-2-CCC-Schnittstelle anwenden. Für die Schnittstelle ge-0/0/6.0 können Sie beispielsweise einen Filter für die Eingangsrichtung und einen für die Ausgangsrichtung anwenden.

  • (QFX-Serie) Beginnend mit Junos OS Version 13.2X51-D15 können Sie einen Filter auf eine Loopback-Schnittstelle in Ausgangsrichtung anwenden.

  • (QFX10000) Ab Junos OS Version 18.2R1 können Sie Ingress- und Egress-Firewall-Filter mit count und discard als Policer-Aktionen auf Layer-2-Circuit-Schnittstellen anwenden.

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Ab Junos OS Version 19.2R1 können Sie die interfaceforwarding-classBedingungen in Ausgangsrichtung auf IPv4- und IPv6-Schnittstellen anwenden und loss-priority anpassen.

Was macht einen Firewall-Filter aus?

Wenn Sie einen Firewall-Filter konfigurieren, definieren Sie den Adresstyp der Familie (Ethernet-Switching, Inet (für IPv4), Inet6 (für IPv6), Circuit Cross-Connect (CCC) oder MPLS), die Filterkriterien (Begriffe mit Übereinstimmungsbedingungen) und die Aktion, die durchgeführt werden soll, wenn eine Übereinstimmung auftritt.

Jeder Begriff setzt sich aus dem folgenden Begriff

  • Übereinstimmungsbedingung: Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können Werte für die meisten Felder in den IP-, TCP-, UDP- oder ICMP-Headern angeben. Sie können auch Schnittstellennamen gleichen.

  • Aktion: Wird ausgeführt, wenn ein Paket mit einer Übereinstimmungsbedingung übereinstimmt. Sie können einen Firewall-Filter so konfigurieren, dass ein übereinstimmendes Paket akzeptiert, verworfen oder abgelehnt wird, und dann weitere Aktionen ausführen, wie Zählen, Klassifizieren und Policing. Die Standardaktion wird akzeptiert.

So werden Firewall-Filter verarbeitet

Wenn in einem Filter mehrere Begriffe vorhanden sind, ist die Reihenfolge der Begriffe wichtig. Wenn ein Paket mit dem ersten Begriff übereinstimmt, führt der Switch die durch diesen Begriff definierte Aktion durch, und es werden keine anderen Begriffe ausgewertet. Wenn der Switch keine Übereinstimmung zwischen dem Paket und dem ersten Begriff findet, vergleicht er das Paket mit dem nächsten Begriff. Wenn keine Übereinstimmung zwischen dem Paket und dem zweiten Begriff auftritt, vergleicht das System das Paket weiterhin mit jedem aufeinanderfolgenden Begriff im Filter, bis eine Übereinstimmung gefunden wird. Wenn keine Bedingungen übereinstimmen, verwirft der Switch standardmäßig das Paket.

Release-Verlaufstabelle
Release
Beschreibung
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Ab Junos OS Version 19.2R1 können Sie die interfaceforwarding-classBedingungen in Ausgangsrichtung auf IPv4- und IPv6-Schnittstellen anwenden und loss-priority anpassen.
18.2R1
(QFX10000) Ab Junos OS Version 18.2R1 können Sie Ingress- und Egress-Firewall-Filter mit count und discard als Policer-Aktionen auf Layer-2-Circuit-Schnittstellen anwenden.
13.2X51-D15
(QFX-Serie) Beginnend mit Junos OS Version 13.2X51-D15 können Sie einen Filter auf eine Loopback-Schnittstelle in Ausgangsrichtung anwenden.