Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

動的ファイアウォール フィルターについて

ファイアウォールフィルターは、ルーター上のインターフェイスを通過するパケットを受け入れるか拒否するかを定義するルールを提供します。加入者管理機能は、4 つのカテゴリーのファイアウォール フィルターをサポートします。

  • 従来のフィルターは、動的にインターフェイスに適用される静的フィルターです。これらはコミット時にコンパイルされ、サービスがアクティブになると、インターフェイス固有のフィルターが作成され、 論理インターフェイスにアタッチされます。この動的アプリケーションは、入力フィルターまたは出力フィルターを動的プロファイルに関連付けることで実行されます。トリガーされると、動的プロファイルがフィルターをインターフェイスに適用します。従来のフィルターは静的であるため、加入者固有の用語(ルールとも呼ばれます)を含めることはできません。

  • パラメーター化されたフィルターを使用すると、各加入者セッションに対してカスタマイズされたフィルターを実装できます。パラメーター化フィルターでは、変数を使用してフィルターを定義します。加入者に対してサービスをアクティブ化すると、ポリシー設定のレート、宛先アドレス、ポートなどの実際の値が変数に置き換わり、フィルターの作成に使用されます。

  • Ascend-Data-Filtersでは、RADIUS属性242(Ascend-Data-Filter)でRADIUSサーバーから受信した値に基づいて動的フィルターを作成できます。フィルターは RADIUS サーバーで設定され、トラフィックの条件に特に一致するルールが含まれており、ルーターが実行するアクションを定義します。加入者に対してサービスをアクティブ化すると、RADIUS属性の値に基づいてフィルターが作成されます。また、Ascend-Data-Filters を使用して、動的プロファイルで Ascend-Data-Filter 属性を設定することで静的フィルタを作成することもできます。

  • 高速更新フィルターは、従来のフィルターと似ています。ただし、高速更新フィルターは、インターフェイス固有ではなく加入者固有のフィルター値をサポートします。高速更新フィルターを使用すると、フィルタを再コンパイルするたびにフィルタ全体を再コンパイルする必要なく、個々のフィルタ条件をフィルタから段階的に追加または削除できます。複数の加入者が同じ論理インターフェイスを共有するネットワーク環境では、高速更新フィルターが不可欠です。

ファイアウォールフィルターを設定して、ファイアウォールフィルターが適用されるインターフェイスに出入りする前に、トラフィックを受け入れるか拒否するかを決定します。入力(またはイングレス)ファイアウォールフィルターは、ネットワークに入るパケットに適用されます。出力(またはエグレス)ファイアウォールフィルターは、ネットワークから出るパケットに適用されます。ファイアウォールフィルターを設定して、パケットにフィルタリングまたはサービスクラス(CoS)マーキングを適用できます(同様のタイプのトラフィックをグループ化し、各タイプのトラフィックを独自のサービス優先度レベルのクラスとして扱います)。