Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter und erweiterte Netzwerkservices Modusübersicht

Unter normalen Bedingungen wird jeder Firewallfilter in zwei verschiedenen Formaten generiert - kompiliert und termbasiert. Das kompilierte Format wird vom RE-Kernel (Routing Engine), FPCs und MS-DPs verwendet. Das laufzeitbasierte Format wird von MPCs verwendet. Kompilierte Firewall-Filter werden für jede Schnittstelle oder logische Schnittstelle , auf die sie angewendet werden, dupliziert. Termbasierte Filter werden nicht dupliziert, sondern von jeder Schnittstelle oder logischen Schnittstelle referenziert.

Wenn ein Gehäuse mit einer Kombination aus MPCs und anderen Karten bestückt wird, müssen beide Firewall-Filterdateiformate erstellt werden. In den meisten Netzwerken hat die Erstellung von Filterformaten und jede Menge Duplizierung für kompilierte Firewall-Filter keine Auswirkungen auf den Router. In Anwender-Management-Netzwerken, die Tausende von statisch konfigurierten Anwender-Schnittstellen umfassen, kann das Erstellen von Filtern in mehreren Formaten und das Duplizieren dieser Filter für jede Schnittstelle jedoch einen großen Teil der Speicherressourcen des Routers beanspruchen. Sie können entweder den Modus "Erweiterte IP-Netzwerkdienste" oder den Modus "Erweiterte Ethernet-Netzwerkdienste" verwenden, um die Skalierung und Leistung zu verbessern, die für Routing-Filter in einem Netzwerk mit Anwender-Zugriff spezifisch sind, das statisch konfigurierte Anwender-Schnittstellen verwendet.

In Konfigurationen, in denen Schnittstellen entweder statisch oder dynamisch erstellt und Firewallfilter dynamisch angewendet werden, müssen Sie die Chassis-Netzwerkservices so konfigurieren, dass sie im erweiterten Modus ausgeführt werden. In Konfigurationen, in denen Schnittstellen statisch erstellt und Firewallfilter statisch angewendet werden, müssen Sie die Chassis-Netzwerkservices so konfigurieren, dass sie im erweiterten Modus ausgeführt werden, und auch jeden Firewallfilter für den erweiterten Modus konfigurieren.

Hinweis:

Verwenden Sie den erweiterten Modus nicht für Firewall-Filter, die für den Datenverkehr auf Steuerungsebene vorgesehen sind. Die Filterung der Steuerungsebene wird vom Routing-Engine-Kernel verarbeitet, der das begriffsbasierte Format der erweiterten Modusfilter nicht verwenden kann.

Tabelle 1 zeigt die Konfigurationsoptionen bei der Bestimmung der Verwendung des erweiterten Netzwerkservicemodus.

Tabelle 1: Anwendungsfallbestimmung für erweiterten Netzwerkdienstmodus und Firewall-Filter

Schnittstellen- und Filterkonfiguration

Verbesserter Modus für das Gehäuse erforderlich

Erweiterter Modus für Firewall-Filter erforderlich

Dynamisch erstellte Schnittstellen und dynamisch angewendete Filter

Nein

Nein

Statisch erstellte Schnittstellen und dynamisch angewendete Filter

Nein

Nein

Statisch erstellte Schnittstellen und statisch angewendete Filter

Nein

Nein

Um erhebliche Ressourceneinsparungen für den Router zu erzielen, kombinieren Sie die Konfiguration des erweiterten Gehäuses und des Filtermodus wie folgt:

  • Installieren Sie nur MPCs im Gehäuse.

    Hinweis:

    Die Konfiguration von Chassis-Netzwerkservices für die Ausführung eines der erweiterten Netzwerkservicemodi führt dazu, dass der Router nur MPCs und MS-DPCs zulässt. Da MS-DPCs das kompilierte Firewallfilterformat verwenden, ein Router-Gehäuse, das für einen der erweiterten Netzwerkservicemodi konfiguriert ist, kann die Konfiguration von Standard-Firewallfiltern (nicht erweitert) für die Verwendung mit MS-DPCs die optimale Ressourceneffizienz verringern.

  • Konfigurieren Sie beim Konfigurieren statischer Schnittstellen auf dem Router die Chassis-Netzwerkservices so, dass entweder der erweiterte IP-Netzwerkservicemodus oder der erweiterte Ethernet-Netzwerkservicemodus ausgeführt wird.

  • Wenn Sie Firewall-Filter statisch auf statisch erstellte Schnittstellen anwenden, konfigurieren Sie alle Firewall-Filter für den erweiterten Modus, um die Filtererstellung auf das termbasierte Format zu beschränken.

    Hinweis:

    Alle Firewallfilter, die nicht für den erweiterten Modus konfiguriert sind, werden sowohl im kompilierten als auch im begriffsbasierten Format erstellt, auch wenn auf dem Gehäuse einer der erweiterten Netzwerkservicemodi ausgeführt wird. Unabhängig von der Einstellung der enhanced-mode Anweisung auf der Hierarchieebene [edit chassis network-services] werden nur laufzeitbasierte (erweiterte) Firewallfilter generiert, wenn eine der folgenden Bedingungen zutrifft:

    • Flexible Filterübereinstimmungsbedingungen werden auf der [edit firewall family family-name filter filter-name term term-name from] ODER-Hierarchieebene [edit firewall filter filter-name term term-name from] konfiguriert.

    • Eine Push- oder POP-Aktion des Tunnel-Headers, wie z. B. GRE-Kapselung oder -Entkapselung, wird auf Hierarchieebene [edit firewall family family-name filter filter-name term term-name then] konfiguriert.

    • Übereinstimmungsbedingungen für Nutzlastprotokolle werden auf der [edit firewall family family-name filter filter-name term term-name from] [edit firewall filter filter-name term term-name from] ODER-Hierarchieebene konfiguriert.

    • Eine Übereinstimmung mit dem Erweiterungsheader wird auf den [edit firewall family family-name filter filter-name term term-name from] Ebenen oder [edit firewall filter filter-name term term-name from] Hierarchie konfiguriert.

    • Es wird eine Übereinstimmungsbedingung konfiguriert, die nur mit MPC-Karten funktioniert, z. B. Firewall-Bridge-Filter für IPv6-Datenverkehr.
    Warnung:

    Firewall-Filter, die die vorherigen Kriterien erfüllen, werden nicht auf die Loopback-, lo0-Schnittstelle von DPC-basierten FPCs angewendet. Dies bedeutet, dass termbasierte (erweiterte) Filter, die für die Verwendung auf der Loopback-Schnittstelle eines DPC-basierten FPC konfiguriert sind, nicht angewendet werden. Dadurch bleibt die RE durch diesen Filter ungeschützt.

Zugehörige Dokumentation