二层组网过滤规则有什么用？如何配置？举例说明

admin · 发表于 2024-2-22 17:02:03

目前仅收费版支持。请在线升级到最新版本5.2.2.22838以及以后的版本。

二层防火墙在系统中的位置和作用.jpg

由于二层自组网模拟了一条网线，该网线将两个或者多个异地的局域网里面的傻瓜交换机连接起来了，因此内网的ARP、DHCP以及其他UDP广播包以及单播报文均可以传输到异地的局域网，因此，参与组网的局域网有时要求只允许转发某些流量其他全部过滤，有时则需要过滤掉某些流量其他则默认全部通过。因此二层过滤规则【又叫二层防火墙】应运而生【路由器界面行为管理 --》二层过滤规则】。

上述描述的过滤需求的第一类是白名单配置模式，而第二类则对应了黑名单的配置模式

二层过滤规则【二层防火墙】界面设计时遵循的原则：如不明确禁止，则默认允许通过。
所以，当啥都没有配置的时候，那么所有流量都允许通过二层组网转发。

至于什么是二层自组网的更多信息，可以看看论坛的帖子

白名单配置模式举例

某个场景两个局域网二层组网，有如下过滤需求
允许ping包通过
允许ARP包通过
允许UDP端口10443的报文通过
允许UDP端口10088的报文通过
其他流量全部禁止通过

根据上述需求，具体配置，请看下图：
白名单模式举例.png

前面几条全部允许，特别要注意，要允许ping，否则无法监测是否通，另外要允许ARP包通过，否则基本通信都有问题。最后一条也非常重要，其他流量全部禁止。

黑名单配置模式举例

某个场景两个局域网二层组网，有如下过滤需求：
禁止目的端口为800的流量通过
其他全部不做限制，默认允许通过

针对上述需求，具体配置如下：
黑名单模式举例.png