SR6600系列路由器R24版本与R26版本Firewall功能处理方式的区别

  SR6600系列路由器R24版本与R26版本

  Firewall功能处理方式的区别

 

关键字：SR6600；R24；R26；firewall

 

一、区别简述：

 

在SR6600系列路由器中配置Firewall（包过滤防火墙）功能时，需进行如下配置：系统视图下使能Firewall功能；使用ACL（访问控制列表）匹配相关的流量；在相关接口下配置相应方向的Firewall。

（1）      R24版本中，在ACL中更改规则后，Firewall功能无法实时感知规则的变化，需要重启相关的session后，更改的规则才能生效。

（2）      R26版本中，Firewall功能可以实时感知ACL中规则的变化，也就是说，更改规则后，即可生效，无须重启相关的session。

 

二、举例说明：

 

以下案例由客户现场的实际情况抽象而成，实现了静态路由与BFD联动。拓扑图：

 

     G0/1.2       T    A         G0/1

SR6602--------------SW--------------MSR----100.0.0.1/32

     50.0.0.1                      .2

SR6602上配置如下：

#

     bfd echo-source-ip 2.2.2.2       

#

     ip route-static 100.0.0.1 255.255.255.255 GigabitEthernet0/1.2 50.0.0.2 bfd echo-packet

    #

配置完成后，发现BFD Session无法UP。排查后发现，SR6602 G0/1.2口配置了入方向的Firewall，过滤了MSR发过来的BFD-ECHO报文。

对这种情况的处理方法：

（1）     R24版本：在相关ACL中加入规则：rule X permit udp destination-port eq 3785，然后重启相关会话：reset session protocol-type udp destination-port 3785，BFD Session即可UP。

（2）     R26版本：在相关ACL中加入规则：rule X permit udp destination-port eq 3785，BFD Session即可UP。