Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Présentation des filtres de pare-feu (OCX Series)

Les filtres de pare-feu fournissent des règles qui définissent l’acceptation ou le rejet des paquets qui transitent par une interface. Si un paquet est accepté, vous pouvez configurer des actions supplémentaires à effectuer sur le paquet, telles que le marquage de classe de service (CoS) (regroupement de types de trafic similaires et le traitement de chaque type de trafic comme une classe avec son propre niveau de priorité de service) et la régulation du trafic (contrôle du débit maximal de trafic envoyé ou reçu). Vous configurez des filtres de pare-feu pour déterminer s’il faut accepter ou rejeter un paquet avant qu’il n’entre ou ne sorte d’une interface de couche 3 (routé).

Un filtre de pare-feu d’entrée est appliqué aux paquets qui entrent dans une interface, et un filtre de pare-feu de sortie est appliqué aux paquets qui sortent d’une interface.

REMARQUE :

Les filtres de pare-feu sont parfois appelés listes de contrôle d’accès (ACL).

Où pouvez-vous appliquer des filtres ?

Vous pouvez appliquer un filtre de pare-feu de routeur dans les sens d’entrée et de sortie sur les interfaces IPv4 ou IPv6 de couche 3 (routé), ainsi qu’une interface de bouclage, qui filtre le trafic envoyé au commutateur lui-même ou généré par le commutateur.

Vous appliquez un filtre à une interface de bouclage dans le sens d’entrée pour protéger le commutateur du trafic indésirable. Vous pouvez également appliquer un filtre à une interface de bouclage dans la direction de sortie afin de pouvoir définir la classe de transfert et la valeur de bit DSCP pour les paquets provenant du commutateur lui-même. Cette fonctionnalité vous donne un contrôle très fin sur la classification des paquets générés par le processeur. Par exemple, vous pouvez affecter des valeurs DSCP et des classes de transfert différentes au trafic généré par différents protocoles de routage afin que le trafic de ces protocoles puisse être traité de manière différenciée par d’autres périphériques.

REMARQUE :

Sur QFX5220 commutateurs, vous ne pouvez appliquer un filtre qu’à une interface de bouclage dans le sens entrant.

REMARQUE :

Si vous appliquez des filtres d’entrée et de sortie à la même interface, le filtre d’entrée est traité en premier.

Pour appliquer un filtre de pare-feu :

  1. Configurez le filtre du pare-feu.

  2. Appliquez le filtre de pare-feu à une interface de couche 3 et spécifiez la direction. Si vous spécifiez la direction, le trafic est filtré à l’entrée input . Si vous spécifiez la output direction, le trafic est filtré à la sortie.

REMARQUE :

Vous ne pouvez appliquer qu’un seul filtre de pare-feu à une interface de couche 3 pour une direction donnée. Par exemple, pour une interface donnée family inet , vous pouvez appliquer un filtre pour l’entrée et un pour la sortie.

Les commutateurs OCX prennent en charge le nombre maximal de termes de filtre de pare-feu par type de point d’attache indiqué à Tableau 1la .

Tableau 1 : Numéros de filtre de pare-feu pris en charge
Type de filtre Nombre maximal de filtres

Pénétration

1536

Sortie

1024

Composants du filtre de pare-feu

Dans un filtre de pare-feu, vous définissez d’abord le type d’adresse de famille (inet pour IPv4 ou pour IPv6), puis définissez un ou inet6 plusieurs termes qui spécifient les critères de filtrage et l’action à effectuer en cas de correspondance.

Chaque terme se compose des éléments suivants :

  • Conditions de correspondance : spécifiez les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance.

  • Action : spécifie ce qu’il faut faire si un paquet correspond aux conditions de correspondance. Un filtre peut accepter, rejeter ou rejeter un paquet correspondant, puis effectuer des actions supplémentaires, telles que le comptage, la classification et le contrôle. Si aucune action n’est spécifiée pour un terme, la valeur par défaut est d’accepter le paquet correspondant.

Traitement du filtre de pare-feu

S’il y a plusieurs termes dans un filtre, l’ordre des termes est important. Si un paquet correspond au premier terme, le commutateur exécute l’action définie par ce terme, et aucun autre terme n’est évalué. Si le commutateur ne trouve pas de correspondance entre le paquet et le premier terme, il compare le paquet au terme suivant. Si aucune correspondance ne se produit entre le paquet et le second terme, le système continue de comparer le paquet à chaque terme successif dans le filtre jusqu’à ce qu’une correspondance soit trouvée. Si le paquet ne correspond à aucun terme du filtre, le commutateur ignore le paquet par défaut.

Rubriques connexes