Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

了解防火墙过滤器如何控制数据包流

 

交换机支持防火墙过滤器,允许您控制数据包和本地数据包的信息流。数据包在从源转发到目的地时传输交换机。本地数据包由路由引擎或发送(不传输交换机)。本地数据包通常包含路由协议数据、IP 服务(如 Telnet 或 SSH)的数据或管理协议(如 Internet 控制消息协议(ICMP))的数据。

防火墙过滤器会影响从交换机中进入或退出的数据包流,如下所示:

  • 入口防火墙过滤器会影响交换机接口上接收的数据包流。当交换机收到数据包时,系统中包含入口接口的数据包转发引擎将确定在何处转发数据包,方法是查看其第2层 或第3层 转发表,以获取到达目标的最佳路径。数据包将转发到出口接口。本地目的地的数据包将转发至路由引擎。

  • 出口防火墙会影响经过交换机的数据包,但不会影响路由引擎发送的数据包。这些过滤器由系统中包含出口接口的数据包转发引擎应用。

图 1展示了用于通过交换机控制数据包流的入口和出口防火墙过滤器的应用:

  1. 入口防火墙过滤器应用于在交换机接口上接收并发往路由引擎的本地目标数据包。
  2. 入口防火墙过滤器应用于在交换机接口上接收并将传输交换机的数据包。
  3. 应用于经过交换机的数据包的出口防火墙过滤器。
图 1: 防火墙过滤器的应用程序,用于控制数据包流
防火墙过滤器的应用程序,用于控制数据包流