Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Обзор фильтров межсетевых экранов (серия QFX)

Фильтры межсетевых экранов, иногда называемые списками управления доступом (ALS), предоставляют правила, определяющие, принимать или отбрасывать пакеты, которые транзитом через интерфейс. Если пакет принят, можно настроить на пакете дополнительные действия, такие как маркировка класса обслуживания (CoS) (группировка сходных типов трафика и классификация каждого типа трафика как класс со своим собственным уровнем приоритета службы) и управление трафиком (управление максимальной скоростью отправленного или полученного трафика).

Фильтры межсетевых экранов можно настроить для определения места следования или отбрасывания пакета до того, как он будет входить или выходить из порта, VLAN, CCC уровня 2, интерфейс (маршрутизируемый) уровня 3, интерфейс маршрутизируемых VLAN (RVI) или MPLS интерфейс.

Входной (входной) фильтр межсетевых экранов применяется к пакетам, входным в интерфейс или VLAN, а фильтр выходного (выходного) межсетевых экрана применяется к пакетам, выходным пакетам, выходным или VLAN.

Где можно использовать фильтры

После настройки фильтра межсетевых экранов можно применить его к следующему:

  • Port— фильтрует порты системы, транзитив трафик уровня 2.

  • VLAN — фильтры и обеспечивает управление доступом для пакетов уровня 2, которые входят в VLAN, мостом внутри VLAN или покидают VLAN.

  • Интерфейс 3-го (маршрутного) уровня — фильтрует трафик на интерфейсах IPv4 и IPv6, маршрутных интерфейсах VLAN (RVI) и интерфейсе обратной связи. Интерфейс обратной связи фильтрует трафик, отосланный на сам коммутатор или генерируемый коммутатором.

  • Интерфейс CCC уровня 2 фильтрует интерфейсы перекрестного соединения (CCC) уровня 2.

  • MPLS— фильтры MPLS интерфейсов.

Можно также применить фильтр межсетевых экранов к интерфейсу управления (например, me0) на QFX и EX4600 автономным коммутатором. Нельзя применить фильтр к интерфейсу управления на системе QFX3000-G или QFX3000-M.

Прим.:

К порту, VLAN или интерфейсу CCC 2-го уровня для данного направления можно применить только один фильтр межсетевых экранов. Например, для интерфейса ge-0/0/6.0 можно применить один фильтр для веского направления, а другой для направления на откат.

  • (серия QFX) Начиная с Junos OS версии 13.2X51-D15, можно применить фильтр к интерфейсу обратной связи в направлении выхода.

  • (QFX10000) Начиная с Junos OS версии 18.2R1, можно применить фильтры в отношении веского и выходного межсетевых экранов, применяя и в качестве действий по устраивлянию нарушений на интерфейсах цепи уровня countdiscard 2.

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Начиная Junos OS версии 19.2R1, можно применить условия и условия совпадения в направлении выхода на интерфейсах interfaceforwarding-class IPv4 и loss-priority IPv6.

Что создает фильтр межсетевых экранов

При настройке фильтра межсетевых экранов определяется тип адреса семейства (ethernet-коммутатор, inet (для IPv4), inet6 (для IPv6), перекрестный канал (CCC) или MPLS), критерии фильтрации (термины, с условиями соответствия) и действия, которые необходимо принять при совпадении.

Каждый термин состоит из следующих

  • Условие совпадения — значения, которые пакет должен содержать, считаются совпадать. Можно указать значения для большинства полей в заглавных полях IP, TCP, UDP или ICMP. Можно также использовать имена интерфейсов.

  • Action (Действие) — действие, принятое в случае, если пакет соответствует условию совпадения. Можно настроить фильтр межсетевых экранов на прием, отбрасывание или отклонение совпадающих пакетов, а затем выполнить больше действий, таких как подсчет, классификация и политика. По умолчанию принято действие.

Обработка фильтров межсетевых экранов

Если в фильтре существует несколько терминов, то порядок этих терминов имеет важное значение. Если пакет соответствует первому термину, коммутатор принимает действие, определенное этим термином, и другие термины не оцениваются. Если коммутатор не находит совпадения между пакетом и первым термином, он сравнивает его с другим термином. Если между пакетом и вторым термином нет совпадения, система продолжает сравнивать пакет с каждым последовательным сроком фильтра до тех пор, пока не будет найдено совпадение. Если не совпадают ни один термин, коммутатор по умолчанию отбрасывается пакет.

Связанные темы

Таблица истории выпусков
Версия
Описание
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Начиная Junos OS версии 19.2R1, можно применить условия и условия совпадения в направлении выхода на интерфейсах interfaceforwarding-class IPv4 и loss-priority IPv6.
18.2R1
(QFX10000) Начиная с Junos OS версии 18.2R1, можно применить фильтры в отношении веского и выходного межсетевых экранов, применяя и в качестве действий по устраивлянию нарушений на интерфейсах цепи уровня countdiscard 2.
13.2X51-D15
(серия QFX) Начиная с Junos OS версии 13.2X51-D15, можно применить фильтр к интерфейсу обратной связи в направлении выхода.