Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

EX 系列交换机的防火墙过滤器概述

防火墙过滤器提供的规则用于定义是允许、拒绝还是转发在瞻博网络 EX 系列以太网交换机上通过接口的数据包从源地址到目标地址。您可以配置防火墙过滤器,以确定在流量进入或退出应用 防火墙过滤器 的端口、VLAN 或第 3 层(路由)接口之前是允许、拒绝还是转发流量。要应用防火墙过滤器,必须先配置过滤器,然后将其应用于端口、VLAN 或第 3 层接口。

您可以将防火墙过滤器应用于网络接口、聚合以太网接口(也称为链路聚合组 (LAG))、环路接口、管理接口、虚拟管理以太网接口 (VME) 和路由 VLAN 接口 (RVI)。有关在这些接口上支持防火墙过滤器的 EX 系列交换机的信息,请参阅 EX 系列交换机软件功能概述。https://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/ex-series-software-features-overview.html

入口防火墙过滤器是应用于进入网络的数据包的过滤器。出口防火墙过滤器是应用于退出网络的数据包的过滤器。您可以配置防火墙过滤器,以对数据包进行过滤、服务等级 (CoS) 标记(将类似类型的流量分组在一起,并将每种类型的流量视为具有自己服务优先级级别的一类)和流量监管(控制接口上发送或接收的最大流量速率)。

注:

网络端口、第 2 层和第 3 层或 IRB 接口上的监管器不监管主机绑定流量。但是,如果要防止 DDoS 攻击,则可以在 lo0 上创建防火墙过滤器来保护路由引擎。

防火墙过滤器类型

EX 系列交换机支持以下防火墙过滤器类型:

  • 端口(第 2 层)防火墙过滤器 — 端口防火墙过滤器适用于第 2 层交换机端口。您可以在物理端口的入口和出口方向上应用端口防火墙过滤器。

  • VLAN 防火墙过滤器 — VLAN 防火墙过滤器为进入 VLAN、在 VLAN 内桥接或离开 VLAN 的数据包提供访问控制。您可以在 VLAN 的入口和出口方向应用 VLAN 防火墙过滤器。VLAN 防火墙过滤器适用于转发到 VLAN 或从 VLAN 转发的所有数据包。

  • 路由器(第 3 层)防火墙过滤器 — 您可以在第 3 层(路由)接口和路由 VLAN 接口 (RVI) 上的入口和出口方向应用路由器防火墙过滤器。您也可以在环路接口 () 上的入口方向应用路由器防火墙过滤器。lo0 在环路接口上配置的防火墙过滤器仅适用于发送到路由引擎 CPU 进行进一步处理的数据包。

您可以将端口、VLAN 或路由器防火墙过滤器应用于这些交换机上的 IPv4 和 IPv6 流量:

  • EX2200 交换机

  • EX3300 交换机

  • EX3200 交换机

  • EX4200 交换机

  • EX4300 交换机

  • EX4400 交换机

  • EX4500 交换机

  • EX4550 交换机

  • EX6200 交换机

  • EX8200 交换机

有关不同交换机支持的防火墙过滤器的信息,请参阅 EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持。EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持

防火墙过滤器组件

在防火墙过滤器中,首先定义家族地址类型 (、 或 ),然后定义一个或多个术语,用于指定发生匹配时要执行的过滤条件(指定为具有匹配条件的术语)和操作(指定为操作或操作修饰符)。ethernet-switchinginetinet6

对于 EX 系列交换机,每个防火墙过滤器允许的最大术语数为:

  • 512 用于 EX2200 交换机

  • 1436 EX3300 交换机

    注:

    在 EX3300 交换机上,如果在同一提交操作中添加和删除具有大量术语(大约 1000 个或更多)的过滤器,则不会安装所有过滤器。必须在一个提交操作中添加筛选器,并在单独的提交操作中删除筛选器。

  • EX3200 和 EX4200 交换机为 7,042 — 由防火墙过滤器动态分配的三元内容可寻址存储器 (TCAM) 分配。

  • 在 EX4300 交换机上,对于在端口、VLAN 和第 3 层接口上配置的防火墙文件管理器,入口和出口流量支持以下最大术语数:

    • 对于入口流量:

      • 端口上配置的防火墙过滤器的 3500 个术语

      • VLAN 上配置的防火墙过滤器的 3500 个术语

      • 在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 7000 个术语

      • 在 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 3500 个术语

    • 对于 EX4300-MP 设备,入口支持与上述相同,但以下情况除外:

      • 在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 3072 术语

    • 对于出口流量:

      • 端口上配置的防火墙过滤器的 512 术语

      • VLAN 上配置的防火墙过滤器的 256 个术语

      • 在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语

      • 在 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语

    注:

    仅当在交换机上配置一种类型的防火墙过滤器(端口、VLAN 或路由器(第 3 层)防火墙过滤器)时,以及交换机中任何接口上未启用风暴控制时,才能配置最大术语数。

  • 对于 EX4400 交换机,入口和出口流量、端口、VLAN 和第 3 层接口上配置的防火墙过滤器支持以下最大术语数。

    • 对于入口流量:

      • 端口上配置的防火墙过滤器的 2048 个术语。

      • VLAN 上配置的防火墙过滤器的 2048 个术语。

      • 第 3 层接口上配置的防火墙过滤器的 2048 个术语。

    • 对于出口流量:

      • 端口上配置的防火墙过滤器的 1024 个术语。

      • VLAN 上配置的防火墙过滤器的 512 个术语。

      • 第 3 层接口上配置的防火墙过滤器的 1024 个术语。

  • 1200 用于 EX4500 和 EX4550 交换机

  • 1400 EX6200 交换机

  • EX8200 交换机为 32,768

注:

EX8200 交换机中共享空间 TCAM 的按需动态分配是通过为防火墙过滤器分配可用空间块来实现的。防火墙过滤器分为两个不同的池。端口和 VLAN 过滤器池化在一起(此池的内存阈值为 22K),而路由器防火墙过滤器单独池化(此池的阈值为 32K)。分配基于筛选器池类型进行。可用空间块只能在属于相同过滤器池类型的防火墙过滤器之间共享。当您尝试配置超出 TCAM 阈值的防火墙过滤器时,将生成错误消息。

每个术语由以下组件组成:

  • 匹配条件 — 指定数据包必须包含的值或字段。您可以定义各种匹配条件,包括 IP 源地址字段、IP 目标地址字段、传输控制协议 (TCP) 或用户数据报协议 (UDP) 源端口字段、IP 协议字段、互联网控制消息协议 (ICMP) 数据包类型、TCP 标志和接口。

  • 操作 — 指定数据包与匹配条件匹配时要执行的操作。可能的操作是接受或丢弃数据包,或者将数据包发送到特定的虚拟路由接口。此外,可以对数据包进行计数以收集统计信息。如果未为术语指定操作,则默认操作是接受数据包。

  • 操作修饰符 — 如果数据包与匹配条件匹配,则为交换机指定一个或多个操作。您可以指定操作修饰符,例如计数、镜像、速率限制和分类数据包。

防火墙过滤器处理

防火墙过滤器配置中术语的顺序非常重要。按照术语在防火墙过滤器配置中列出的顺序,针对每个术语测试数据包。有关防火墙过滤器如何处理数据包的信息,请参阅 了解如何评估防火墙过滤器。了解如何评估防火墙过滤器

相关主题