Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Présentation des filtres de pare-feu (OCX Series)

Les filtres de pare-feu fournissent des règles qui définissent s’il faut accepter ou rejeter les paquets qui transitent par une interface. Si un paquet est accepté, vous pouvez configurer des actions supplémentaires à effectuer sur le paquet, telles que le marquage de classe de service (CoS) (en regroupant des types de trafic similaires et en traitant chaque type de trafic comme une classe avec son propre niveau de priorité de service) et le contrôle du trafic (contrôle du taux maximal de trafic envoyé ou reçu). Vous configurez des filtres de pare-feu pour déterminer s’il faut accepter ou rejeter un paquet avant qu’il n’entre ou sort d’une interface de couche 3 (routée).

Un filtre de pare-feu entrant est appliqué aux paquets qui entrent dans une interface, et un filtre de pare-feu sortant est appliqué aux paquets qui sortent d’une interface .

REMARQUE :

Les filtres de pare-feu sont parfois appelés listes de contrôle d’accès (ACL).

Où vous pouvez appliquer des filtres

Vous pouvez appliquer un filtre de pare-feu de routeur dans les directions d’entrée et de sortie sur les interfaces IPv4 ou IPv6 de couche 3 (routées), ainsi qu’une interface de bouclage qui filtre le trafic envoyé au commutateur lui-même ou généré par le commutateur.

Vous appliquez un filtre à une interface de bouclage dans le sens d’entrée pour protéger le commutateur du trafic indésirable. Vous pouvez également appliquer un filtre à une interface de bouclage dans le sens de sortie afin de définir la classe de transfert et la valeur de bit DSCP pour les paquets qui proviennent du commutateur lui-même. Cette fonctionnalité vous donne un contrôle très précis sur la classification des paquets générés par le processeur. Par exemple, vous pouvez attribuer différentes valeurs DSCP et classes de transfert au trafic généré par différents protocoles de routage afin que le trafic de ces protocoles puisse être traité de manière différenciée par d’autres équipements.

REMARQUE :

Sur les commutateurs QFX5220, vous pouvez uniquement appliquer un filtre à une interface de bouclage dans le sens d’entrée.

REMARQUE :

Si vous appliquez des filtres d’entrée et de sortie à la même interface, le filtre d’entrée est d’abord traité.

Pour appliquer un filtre de pare-feu :

  1. Configurez le filtre de pare-feu.

  2. Appliquez le filtre de pare-feu à une interface de couche 3 et spécifiez la direction. Si vous spécifiez la direction, le input trafic est filtré sur les entrants. Si vous spécifiez la direction, le output trafic est filtré sur les sorties.

REMARQUE :

Vous ne pouvez appliquer qu’un seul filtre de pare-feu à une interface de couche 3 pour une direction donnée. Par exemple, pour une interface donnée family inet , vous pouvez appliquer un filtre pour l’entrée et un pour la sortie.

Les commutateurs OCX prennent en charge le nombre maximal de termes de filtre de pare-feu par type de point de pièce jointe illustré dans Tableau 1.

Tableau 1 : Numéros de filtres de pare-feu pris en charge
Type de filtre Nombre maximal de filtres

Pénétration

1536

Sortie

1024

Composants de filtre de pare-feu

Dans un filtre de pare-feu, vous définissez d’abord le type d’adresse de la famille (inet pour IPv4 ou inet6 pour IPv6), puis définissez un ou plusieurs termes qui spécifient les critères de filtrage et l’action à entreprendre en cas de correspondance.

Chaque terme se compose des éléments suivants :

  • Conditions de correspondance : spécifiez les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance.

  • Action : spécifie ce qu’il faut faire si un paquet correspond aux conditions de correspondance. Un filtre peut accepter, rejeter ou rejeter un paquet correspondant, puis effectuer des actions supplémentaires, telles que le comptage, la classification et le contrôle. Si aucune action n’est spécifiée pour un terme, le paquet correspondant est accepté par défaut.

Traitement des filtres de pare-feu

S’il y a plusieurs termes dans un filtre, l’ordre des termes est important. Si un paquet correspond au premier terme, le commutateur exécute l’action définie par ce terme, et aucun autre terme n’est évalué. Si le commutateur ne trouve pas de correspondance entre le paquet et le premier terme, il compare le paquet au terme suivant. Si aucune correspondance ne se produit entre le paquet et le deuxième terme, le système continue de comparer le paquet à chaque terme successif du filtre jusqu’à ce qu’une correspondance soit trouvée. Si le paquet ne correspond à aucun des termes du filtre, le commutateur le rejette par défaut.

Rubriques connexes