Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Обзор фильтров межсетевых экранов (серия OCX)

Фильтры межсетевых экранов предоставляют правила, определяющие, принимать или отбрасывать пакеты, которые находятся в транзитном интерфейсе. Если пакет принят, можно настроить дополнительные действия для выполнения таких пакетов, как маркировка класса обслуживания (CoS) (группировка сходных типов трафика и классификация каждого типа трафика как класс со своим собственным уровнем приоритета службы) и управление трафиком (управление максимальной скоростью отправленного или полученного трафика). Фильтры межсетевых экранов необходимо настроить для того, чтобы определить, принимать или отбрасывать пакеты до того, как он вошел или вышел из интерфейса 3-го (маршрутного) уровня.

Фильтр входного межсетевых экрана применяется к пакетам, входя в интерфейс, и фильтр выходного межсетевых экрана применяется к пакетам, выходя из интерфейса.

Прим.:

Фильтры межсетевых экранов иногда называются списками управления доступом (ALS).

Где можно использовать фильтры

На интерфейсах IPv4 или IPv6 уровня 3 (маршрутизаемых) можно применять фильтр межсетевых экранов маршрутизатора, который фильтрует трафик, отправленный самому коммутатору или генерируемый коммутатором.

Фильтр применяется к интерфейсу обратной связи на входном направлении, чтобы защитить коммутатор от нежелательного трафика. Можно также применить фильтр к интерфейсу обратной связи в направлении вывода, чтобы можно было установить класс переадправления и значение бита DSCP для пакетов, которые возникают на самом коммутаторе. Эта функция предоставляет очень точное управление классификацией сгенерированных CPU пакетов. Например, может потребоваться присвоить различные значения DSCP и классам переад назначения трафика, генерируемого различными протоколами маршрутов, чтобы трафик этих протоколов обрабатывался другими устройствами дифференцированно.

Прим.:

На коммутаторах QFX5220 фильтр можно применить только к интерфейсу обратной связи в включении.

Прим.:

При применении к одному и тем же интерфейсу фильтров в отношении в отношении впадаемых и впадаемых данных сначала обрабатывается.

Применение фильтра межсетевых экранов:

  1. Настройте фильтр брандмауэра.

  2. Примените фильтр межсетевых экранов к интерфейсу уровня 3 и укажите направление. При input указании направления трафик фильтруется на впаде. При указании output направления трафик отфильтровыется на выехаве.

Прим.:

К интерфейсу уровня 3 в заданного направления можно применить только один фильтр межсетевых экранов. Например, для данного интерфейса можно применить один фильтр для ввода и один family inet для выходных данных.

Коммутаторы OCX поддерживают максимальное число терминов фильтра межсетевых экранов для каждого типа точки вложения, показанной в Табл. 1 .

Табл. 1: Поддерживаемые номера фильтров межсетевых экранов
Тип фильтра Максимальное число фильтров

Попадания

1536

Выход

1024

Компоненты фильтра межсетевых экранов

В фильтре межсетевых экранов сначала определяется тип адреса семейства inet (для IPv4 или для IPv6), а затем определяется один или несколько терминов, определяющих критерии фильтрации и действия, которые необходимо принять при inet6 совпадении.

Каждый термин состоит из следующих компонентов:

  • Условия совпадения. Укажите значения, которые пакет должен содержать, чтобы считаться совпадать.

  • Action (Действие) — указывает, что делать, если пакет соответствует условиям совпадения. Фильтр может принимать, отбрасывать или отклонить совпадающий пакет и выполнять дополнительные действия, такие как подсчет, классификация и политика. Если для термины не заданы никакие действия, по умолчанию принимается совпадающий пакет.

Обработка фильтров межсетевых экранов

Если в фильтре существует несколько терминов, то порядок этих терминов имеет важное значение. Если пакет соответствует первому термину, коммутатор выполняет действие, определенное этим термином, и другие термины не оцениваются. Если коммутатор не находит совпадения между пакетом и первым термином, он сравнивает его со следующим термином. Если между пакетом и вторым термином нет совпадения, система продолжает сравнивать пакет с каждым последовательным сроком фильтра до тех пор, пока не будет найдено совпадение. Если пакет не соответствует условиям фильтра, коммутатор по умолчанию отбрасывается.

Связанные темы