Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

配置防火墙过滤器

按照以下部分中的步骤在交换机上配置和应用防火墙过滤器。

配置防火墙过滤器

要配置防火墙过滤器:

  1. 配置家族地址类型、过滤器名称、术语名称和至少一个匹配条件,例如,对包含特定源地址的数据包进行匹配。

    • 要过滤第 2 层流量(端口或 VLAN),请指定家族地址类型 。ethernet-switching

    • 要过滤第 3 层(路由)流量,请指定家族地址类型(对于 IPv4)或(对于 IPv6)。inetinet6

    • 要过滤第 2 层电路接口流量,请指定家族地址类型 。ccc

    筛选器和术语名称可以包含字母、数字和连字符 (-),最长可达 64 个字符。每个筛选器名称必须是唯一的。筛选器可以包含一个或多个术语,并且每个术语名称在筛选器中必须是唯一的。

  2. 配置其他匹配条件。例如:

    在此配置中,过滤器与包含源端口 80 的第 2 层数据包匹配。

    在此配置中,过滤器在包含接口 ge-0/0/6.0 的 VLAN 上匹配。

    您可以在单个 语句中指定一个或多个匹配条件。from 要进行匹配,数据包必须与术语中的所有条件匹配。语句 是可选的,但如果将其包含在术语中,则它不能为空。from 如果省略该 语句,则认为所有数据包都匹配。from

  3. 如果要将防火墙过滤器应用于多个接口并能够查看特定于每个接口的计数器,请配置以下 选项:interface-specific
  4. 在每个防火墙过滤器术语中,指定当数据包与该术语中的所有条件匹配时要执行的操作。您可以指定动作和动作修饰符:

    • 要指定过滤器操作,例如,丢弃与过滤器术语条件匹配的数据包,请执行以下操作:

      每个术语只能指定一个操作(、 、 、 、 或 )。acceptdiscardfloodrejectrouting-instancevlan

    • 要指定过滤器操作,例如,泛洪与 QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210 上的 MAC 地址匹配的数据包,请执行以下操作:

      您可以将基于入口端口的防火墙过滤器 配置为使用目标 MAC 地址作为匹配条件来泛洪或丢弃以下 BPDU。

      协议

      目标媒体访问控制 (DMAC) 地址

      防火墙操作

      链路聚合控制协议 (LACP)

      01:80:C2:00:00:02

      泛滥/丢弃/计数

      链路层发现协议 (LLDP)

      01:80:c2:00:00:0E

      泛滥/丢弃/计数

      基于 LAN 的可扩展身份验证协议 (EAPOL)

      01:80:C2:00:00:03

      泛滥/丢弃/计数

      生成树协议 (STP)

      01:80:C2:00:00:00

      泛滥/丢弃/丢弃

      VLAN 生成树协议 (VSTP)

      01:00:0C:CC:CC:CD

      泛滥/丢弃/计数

      思科发现协议 (CDP)/VLAN 中继协议 (VTP)

      01:00:0C:cc:cc:cc

      丢弃/计数

      ISIS L1

      01:80:C2:00:00:14

      丢弃/计数

      ISIS L2

      01:80:C2:00:00:15

      丢弃/计数
      注:

      • CDP/VTP、ISIS L1/L2 协议使用默认动态过滤器泛洪。因此,不需要为这些协议配置其他筛选器。

      • 由于基于入口端口的防火墙过滤器是在端口级别应用的,因此在服务提供商样式配置中,只能为物理接口应用一个过滤器 。

      • 必须配置本机 VLAN,以确保中继端口上收到的未标记 BPDU 泛洪。如果未配置本机 VLAN,则未标记的 BPDU 将在本地 FPC 中的所有接口上泛洪。

      • 启用 IGMP 侦听或组播侦听器发现 (MLD) 侦听后,泛洪功能将不起作用。

      • 在接口上应用具有泛洪操作的防火墙过滤器时,以及稍后如果接口出现故障,则在该接口上接收的 BPDU 满足匹配条件时将被泛洪。

    • 要指定操作修饰符,例如,对转发类的数据包进行计数和分类:

      您可以在语句中 指定以下任何操作修饰符:then

      • — 将端口流量镜像到指定的分析器,您必须在级别配置 该分析器。analyzer analyzer-name[ethernet-switching-options]

      • count counter-name— 计算通过此过滤器术语的数据包数。

        注:

        我们建议您为防火墙过滤器中的每个术语配置一个计数器,以便可以监控与每个过滤器术语中指定的条件匹配的数据包数。

        注:

        在 QFX3500 和 QFX3600 交换机上,过滤器会自动计算由于循环冗余校验 (CRC) 错误而在入口方向丢弃的数据包。

      • forwarding-class class— 将数据包分配给转发类。

      • log— 在路由引擎中记录数据包标头信息。

      • loss-priority priority— 设置丢弃数据包的优先级。

      • policer policer-name—对流量应用速率限制。

      • flood— 数据包泛洪。

      • syslog— 记录此数据包的警报。

    如果省 略语句或未指定操作,则会接受与语句中 所有条件匹配的数据包。thenfrom 但请确保始终在语句中 配置操作。then 只能包含一个操作语句,但可以使用操作修饰符的任意组合。要使操作或操作修饰符生效,语句中的所有 条件都必须匹配。from

    注:

    适用于应用于环路接口的防火墙过滤器的操作。implicit discardlo0

配置增强型出口防火墙过滤器(QFX5110 和 QFX5220 交换机)

由于硬件限制,QFX5110 交换机和QFX5220交换机 最多只能支持 1000 个出口防火墙过滤器 (eRACL)。您可以通过在缩放模式下配置交换机,将此数字增加到 2000。在此模式下,交换机使用入口 TCAM 空间 (IFP) 来实现更高的扩展。

要配置出口过滤器,请指定家族地址类型( 对于 IPv4)或 (对于 IPv6)、过滤器名称和术语名称。inetinet6 包括交换机适用的扩展选项,并指定发生匹配时要采取的匹配条件和操作。然后在接口的输出方向上应用滤波器。

配置、修改或删除扩展选项后,必须提交配置,并且必须重新启动数据包转发引擎 (PFE)。

要增加QFX5110上的出口过滤器数量,请在配置中包含该 选项。egress-to-ingress 您可以在任何术语下添加此选项。下面是一个示例配置:

要增加QFX5220上的出口过滤器数量,请在语句下包含该选项。eracl-scaleegress-profile 下面是一个示例配置:

注:

该 选项在全局模式下配置。eracl-scale 启用后,现有出口过滤器将在扩展模式下自动重新安装。

启用缩放模式时,将应用以下限制:

  • 您只能在出口方向(退出 VLAN 的流量)上应用过滤器。

  • 仅 支持和 协议家族。inetinet6

  • 不支持通用路由封装 (GRE) 接口。

  • 仅对出口防火墙过滤器使用扩展选项。

  • 您不能将具有相同匹配条件的过滤器应用于不同的出口 VLAN 或第 3 层接口。唯一支持的操作是 、 和 。acceptdiscardcount

  • 匹配条件在入口防火墙过滤器 TCAM 中编程。这意味着连接到过滤器的任何计数器都会对任何传入 VLAN 上的流量进行计数。

将防火墙过滤器应用于端口

要将防火墙过滤器应用于端口:

  1. 为防火墙过滤器提供有意义的描述性名称。该名称是用于将筛选器应用于端口的名称。
  2. 将过滤器应用于接口,指定单元号、家族地址类型 ()、过滤器的方向(适用于进入端口的数据包)和过滤器名称:ethernet-switching
    注:

    您只能将一个过滤器应用于入口方向的端口。

将防火墙过滤器应用于 VLAN

注:

EVPN-VXLAN 环境中的 QFX5100、QFX5100虚拟机箱、QFX5110 交换机和 QFX5120 交换机不支持 VLAN 防火墙过滤器。

要将防火墙过滤器应用于 VLAN:

  1. 为防火墙过滤器提供有意义的描述性名称。此名称是用于将过滤器应用于 VLAN 的名称。
  2. 应用防火墙过滤器过滤进入或退出 VLAN 的数据包:

    • 要应用过滤器以匹配进入 VLAN 的数据包,请执行以下操作:

    • 要应用防火墙过滤器以匹配退出 VLAN 的数据包,请执行以下操作:

    注:

    对于给定方向(入口或出口),您只能将一个过滤器应用于 VLAN。

将防火墙过滤器应用于第 3 层(路由)接口

您可以将防火墙过滤器应用于 IPv4 和 IPv6 接口、路由 VLAN 接口 (RVI)( 也称为集成路由和桥接 (IRB) 接口)以及环路接口。这些接口都被视为第 3 层路由接口。

注:

(QFX5100 和QFX5110交换机)在 EVPN-VXLAN 环境中,您可以使用 IRB 接口为交换机提供第 3 层连接。要配置 IRB 接口,请参阅 示例:在 EVPN-VXLAN 环境中配置 IRB 接口,以便为数据中心内的主机提供第 3 层连接。然后,您可以按照以下步骤将防火墙过滤器应用于 IRB 接口(仅支持入口方向)。有关支持的匹配条件列表,请参阅防火墙过滤器匹配条件和操作(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)。防火墙过滤器匹配条件和操作(EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5700)
注:

将过滤器应用于与给定 VLAN 关联的 IRB 接口时,将在具有匹配 VLAN ID 的任何第 3 层接口上执行过滤器。这是因为过滤器在所有第 3 层接口上与相应的 VLAN 标记进行匹配。

要将防火墙过滤器应用于第 3 层接口,请执行以下操作:

  1. 为防火墙过滤器提供有意义的描述性名称。此名称是用于将筛选器应用于接口的名称。
  2. 应用防火墙过滤器。

    • 要过滤进入接口的数据包,请执行以下操作:

    • 要过滤退出接口的数据包,请执行以下操作:

      家族地址类型可以是 ( 对于 IPv4) 或 ( 对于 IPv6)。inetinet6

    注:

    对于给定方向(入口或出口),您只能将一个过滤器应用于接口。

将防火墙过滤器应用于第 2 层 CCC(QFX10000 交换机)

您可以对交换机上的第 2 层电路交叉连接 (CCC) 流量应用具有计数和监管器操作QFX10000防火墙过滤器。这使您可以计算和监控在层次结构级别设置的 监管器活动。[edit firewall family ccc]

在此示例中, 是监管器操作。count

在此示例中, 是监管器操作。discard

相关主题