防火墙过滤器概述(OCX 系列)
防火墙过滤器提供的规则用于定义是接受还是丢弃正在传输接口的数据包。如果数据包被接受,您可以配置要对数据包执行的其他操作,例如服务等级 (CoS) 标记(将相似类型的流量分组在一起,并将每种类型的流量视为具有自己的服务优先级级别的类)和流量监管(控制发送或接收的最大流量速率)。您可以配置防火墙过滤器,以确定在数据包进入或退出第 3 层(路由)接口之前是接受还是丢弃数据包。
入口防火墙过滤器应用于进入接口的数据包,出口 防火墙过滤器应用于退出接口的数据包。
防火墙过滤器有时称为 访问控制列表 (ACL)。
可在何处应用过滤器
您可以在 IPv4 或 IPv6 第 3 层(路由)接口 的入口和出口方向以及环路接口上应用路由器防火墙过滤器,用于过滤发送到交换机本身或由交换机生成的流量。
您可将过滤器应用于输入方向的环路接口,以保护交换机免受不需要的流量的影响。您可能还希望将过滤器应用于输出方向的环路接口,以便为源自交换机本身的数据包设置转发类和 DSCP 位值。此功能使您可以非常精细地控制 CPU 生成的数据包的分类。例如,您可能希望为不同路由协议生成的流量分配不同的 DSCP 值和转发类,以便其他设备可以以不同的方式处理这些协议的流量。
在 QFX5220 交换机上,您只能将过滤器应用于入口方向的环路接口。
如果将入口和出口过滤器应用于同一接口,则首先处理入口过滤器。
要应用防火墙过滤器:
配置防火墙过滤器。
将防火墙过滤器应用于第 3 层接口并指定方向。如果指定 方向,则会在入口处过滤流量。
input如果指定 方向,则会在出口处过滤流量。output
对于给定方向,您只能将一个防火墙过滤器应用于第 3 层接口。例如,对于给定 的接口,您可以对输入应用一个筛选器,为输出应用一个筛选器。family inet
OCX 交换机支持每种连接点类型的最大防火墙过滤器术语数,如 所示。表 1
| 过滤器类型 | 最大过滤器数 |
入口 |
1536 |
出口 |
1024 |
防火墙过滤器组件
在防火墙过滤器中,首先定义家族地址类型( 对于 IPv4 或 IPv6),然后定义一个或多个术语,用于指定过滤条件和发生匹配时要采取的操作。inetinet6
每个术语由以下组件组成:
匹配条件 — 指定数据包必须包含的值才能被视为匹配。
操作 — 指定数据包与匹配条件匹配时要执行的操作。过滤器可以接受、丢弃或拒绝匹配的数据包,然后执行其他操作,例如计数、分类和监管。如果未为某个术语指定操作,则默认为接受匹配的数据包。
防火墙过滤器处理
如果筛选器中有多个术语,则术语的顺序很重要。如果数据包与第一个术语匹配,交换机将执行该术语定义的操作,并且不会评估其他术语。如果交换机未找到数据包与第一个术语之间的匹配项,则会将该数据包与下一个术语进行比较。如果数据包与第二个术语之间没有匹配,系统将继续将数据包与过滤器中的每个连续术语进行比较,直到找到匹配项。如果数据包与过滤器中的任何术语都不匹配,则交换机默认丢弃该数据包。