Übersicht über Firewall-Filter (QFX-Serie)
Firewall-Filter, manchmal auch als Zugriffskontrolllisten (ACLs) bezeichnet, stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle durchqueren, akzeptiert oder verworfen werden sollen. Wenn ein Paket akzeptiert wird, können Sie weitere Aktionen für das Paket konfigurieren, z. B. CoS-Markierung (Class-of-Service) (Gruppierung ähnlicher Datenverkehrstypen und Behandlung jedes Datenverkehrstyps als Klasse mit eigener Service-Priorität) und Datenverkehrsüberwachung (Steuerung der maximalen Rate des gesendeten oder empfangenen Datenverkehrs).
Sie können Firewall-Filter konfigurieren, um zu bestimmen, wo ein Paket angenommen oder verworfen werden soll, bevor es einen Port, ein VLAN, einen Layer-2-CCC, eine Layer-3-Schnittstelle (geroutet), eine geroutete VLAN-Schnittstelle (RVI) oder eine MPLS-Schnittstelle betritt oder verlässt.
Ein Eingangs-Firewall-Filter (Eingabe) wird auf Pakete angewendet, die in eine Schnittstelle oder ein VLAN gelangen, und ein Ausgangs-Firewall-Filter(Ausgabe) wird auf Pakete angewendet, die eine Schnittstelle oder ein VLAN verlassen.
Policer auf Netzwerkport-, Layer-2- und Layer-3- oder IRB-Schnittstellen überwachen den hostgebundenen Datenverkehr nicht. Wenn Sie jedoch DDoS-Angriffe verhindern möchten, können Sie einen Firewall-Filter auf lo0 erstellen, der die Routing-Engine schützt.
Wo Sie Filter anwenden können
Nachdem Sie den Firewallfilter konfiguriert haben, können Sie ihn auf Folgendes anwenden:
-
Port: Filtert Layer-2-Datenverkehr, der Systemports durchläuft.
-
VLAN: Filtert und bietet Zugriffskontrolle für Layer-2-Pakete, die in ein VLAN eingehen, innerhalb eines VLAN überbrückt werden oder ein VLAN verlassen.
-
Layer-3-Schnittstelle (geroutet): Filtert den Datenverkehr auf IPv4- und IPv6-Schnittstellen, gerouteten VLAN-Schnittstellen (RVI) und der Loopback-Schnittstelle. Die Loopback-Schnittstelle filtert den Datenverkehr, der an den Switch selbst gesendet oder vom Switch generiert wird.
-
Layer-2-CCC-Schnittstelle: Filtert CCC-Schnittstellen (Circuit Cross-Connect) auf Layer-2-Circuit-Cross-Connect.
-
MPLS: Filtert MPLS-Schnittstellen.
Sie können auch einen Firewall-Filter auf eine Managementschnittstelle (z. B. me0) auf einem eigenständigen QFX- und EX4600-Switch anwenden. Es ist nicht möglich, einen Filter auf eine Verwaltungsschnittstelle auf einem QFX3000-G- oder QFX3000-M-System anzuwenden.
Sie können nur einen Firewall-Filter auf einen Port, ein VLAN oder eine Layer-2-CCC-Schnittstelle für eine bestimmte Richtung anwenden. Beispielsweise können Sie für die Schnittstelle ge-0/0/6.0 einen Filter für die Eingangsrichtung und einen für die Ausgangsrichtung anwenden.
-
(QFX-Serie) Ab Junos OS Version 13.2X51-D15 können Sie einen Filter auf eine Loopback-Schnittstelle in Ausgangsrichtung anwenden.
-
(QFX10000) Ab Junos OS Version 18.2R1 können Sie Eingangs- und Ausgangs-Firewallfilter mit und als Policer-Aktionen auf Layer-2-Verbindungsschnittstellen anwenden.
countdiscard -
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Ab Junos OS Version 19.2R1 können Sie auf IPv4- und IPv6-Schnittstellen die Bedingungen , und Übereinstimmung in Ausgangsrichtung anwenden.
interfaceforwarding-classloss-priority
Die Switches der EX4600-, QFX5000-Serie und QFX5000 EVO-Serie sind nicht von der VRF-Übereinstimmung für Loopback-Filter abhängig, die auf verschiedenen Routing-Instanzen konfiguriert sind. Loopback-Filter pro Routinginstanz (z. B. lo0.100, lo0.103, lo0.105) werden nicht unterstützt und können zu unvorhersehbarem Verhalten führen. Es wird empfohlen, den Loopback-Filter (lo0.0) nur auf die Master-Routing-Instanz anzuwenden.
Was macht einen Firewall-Filter aus?
Wenn Sie einen Firewallfilter konfigurieren, definieren Sie den Familienadresstyp (Ethernet-Switching, inet (für IPv4), inet6 (für IPv6), Circuit Cross-Connect (CCC) oder MPLS), die Filterkriterien (Begriffe, mit Übereinstimmungsbedingungen) und die Aktion, die bei einer Übereinstimmung ausgeführt werden soll.
Jedes Semester setzt sich wie folgt zusammen
-
Übereinstimmungsbedingung - Werte, die ein Paket enthalten muss, um als Übereinstimmung zu gelten. Sie können Werte für die meisten Felder in den IP-, TCP-, UDP- oder ICMP-Headern angeben. Sie können auch nach Schnittstellennamen abgleichen.
-
Aktion: Aktion, die ausgeführt wird, wenn ein Paket eine Übereinstimmungsbedingung erfüllt. Sie können einen Firewallfilter so konfigurieren, dass er ein übereinstimmendes Paket akzeptiert, verwirft oder ablehnt, und dann weitere Aktionen ausführen, z. B. Zählen, Klassifizieren und Überwachen. Die Standardaktion ist "Akzeptieren".
Wie Firewall-Filter verarbeitet werden
Wenn ein Filter mehrere Begriffe enthält, ist die Reihenfolge der Begriffe wichtig. Wenn ein Paket mit dem ersten Begriff übereinstimmt, führt der Switch die durch diesen Begriff definierte Aktion aus, und es werden keine anderen Begriffe ausgewertet. Wenn der Switch keine Übereinstimmung zwischen dem Paket und der ersten Laufzeit findet, vergleicht er das Paket mit der nächsten Laufzeit. Wenn keine Übereinstimmung zwischen dem Paket und dem zweiten Term auftritt, vergleicht das System das Paket weiterhin mit jedem nachfolgenden Term im Filter, bis eine Übereinstimmung gefunden wird. Wenn keine Bedingungen übereinstimmen, verwirft der Switch das Paket standardmäßig.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
interfaceforwarding-classloss-priority countdiscard