Grundlegendes zu Verarbeitungspunkten von Firewallfiltern für Bridge- und Routing-Pakete
Sie wenden Firewall-Filter an mehreren Verarbeitungspunkten im Weiterleitungspfad an. An jedem Verarbeitungspunkt wird die Aktion, die für ein Paket ausgeführt werden soll, durch die Konfiguration des Filters und die Ergebnisse der Suche in der Weiterleitungs- oder Routing-Tabelle bestimmt.
Sowohl für Bridged-Unicast-Pakete (Layer 2) als auch für geroutete (Layer 3) Unicast-Pakete werden Firewallfilter in der unten angegebenen Reihenfolge angewendet (vorausgesetzt, dass jeder Filter vorhanden ist und ein Paket von jedem akzeptiert wird).
Überbrückte Pakete:
Eingangsport-Filter
Ingress-VLAN-Filter
Ausgangs-VLAN-Filter
Filter für Ausgangsport
Geroutete Pakete:
Firewall-Filter für Eingangsport
Firewall-Filter für Eingangs-VLAN (Layer 2 CoS)
Firewall-Filter für Eingangsrouter (Layer 3 CoS)
Firewall-Filter für ausgehenden Router
Firewall-Filter für Ausgangs-VLAN
Filter für Ausgangsport
Das MAC-Lernen findet statt, bevor Filter angewendet werden, sodass Switches die MAC-Adressen von Paketen lernen, die von Eingangsfiltern verworfen werden.