Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen, wie Firewall-Filter Paketflüsse steuern

Ein Switch unterstützt Firewall-Filter, mit denen Sie den Fluss von Datenpaketen und lokalen Paketen steuern können. Datenpakete übertragen einen Switch, wenn sie von einer Quelle zu einem Ziel weitergeleitet werden. Lokale Pakete sind für eine Routing-Engine bestimmt oder werden von dieser gesendet (sie übertragen keinen Switch). Lokale Pakete enthalten in der Regel Routing-Protokolldaten, Daten für IP-Dienste wie Telnet oder SSH oder Daten für administrative Protokolle wie das Internet Control Message Protocol (ICMP).

Firewall-Filter wirken sich wie folgt auf Paketflüsse aus, die in einen Switch eingehen oder ihn verlassen:

  • Ingress-Firewall-Filter wirken sich auf den Fluss von Datenpaketen aus, die über Switch-Schnittstellen empfangen werden. Wenn ein Switch ein Datenpaket empfängt, bestimmt die Paketweiterleitungs-Engine in dem System, das die Eingangsschnittstelle enthält, wohin das Paket weitergeleitet werden soll, indem sie in ihrer Layer-2- oder Layer-3-Weiterleitungstabelle nach der besten Route zum Ziel sucht. Datenpakete werden an eine Ausgangsschnittstelle weitergeleitet. Lokal bestimmte Pakete werden an die Routing-Engine weitergeleitet.

  • Ausgangs-Firewall-Filter wirken sich auf Datenpakete aus, die einen Switch transtieren, aber nicht auf Pakete, die von der Routing-Engine gesendet werden. Diese Filter werden von der Paketweiterleitungs-Engine in dem System angewendet, das die Ausgangsschnittstelle enthält.

HINWEIS:

Auf einigen QFX-Plattformen, die die PTX-Codebasis verwenden, wie z. B. QFX10002-60C, gibt es Unterstützung für die Firewall-Filterprüfung von RE-basiertem ausgehendem Datenverkehr.

Abbildung 1 Zeigt die Anwendung von Eingangs- und Ausgangs-Firewall-Filtern zur Steuerung des Paketflusses durch einen Switch:

  1. Eingangs-Firewall-Filter, der auf lokal bestimmte Pakete angewendet wird, die auf Switch-Schnittstellen empfangen werden und für die Routing-Engine bestimmt sind.

  2. Eingangs-Firewall-Filter, der auf Datenpakete angewendet wird, die auf Switch-Schnittstellen empfangen werden und den Switch durchqueren.

  3. Ausgangs-Firewall-Filter, der auf Datenpakete angewendet wird, die den Switch übertragen.

Abbildung 1: Anwendung von Firewall-Filtern zur Steuerung des PaketflussesAnwendung von Firewall-Filtern zur Steuerung des Paketflusses