四層字段(Layer 4 Fields)：

可以申明一個(gè)TCP 的源端口、目的端口或者都申明

可以申明一個(gè)UDP 的源端口、目的端口或者都申明

2. 過濾域，指的就是在生成一條ACE 時(shí)，根據(jù)報(bào)文中的哪些字段用以對(duì)報(bào)文進(jìn)行識(shí)別、分類;

3. 過濾域模板，就是這些字段組合的定義，對(duì)應(yīng)于字段解析器中預(yù)先設(shè)置到的匹配域，比如，在生成某一條ACE時(shí)希望根據(jù)報(bào)文的目的IP 字段對(duì)報(bào)文進(jìn)行識(shí)別、分類，而在生成另一條ACE 時(shí)，希望根據(jù)的是報(bào)文的源IP 地址字段和UDP 的源端口字段，這樣，這兩條ACE 就使用了不同的過濾域模板。

4. 規(guī)則(Rules)，指的是ACE 過濾域模板對(duì)應(yīng)的值，對(duì)應(yīng)于查找匹配引擎中預(yù)先申明的匹配規(guī)則。

5. 行為(Action)，指的是ACE中指定的動(dòng)作，對(duì)應(yīng)于動(dòng)作策略引擎中預(yù)先申明的動(dòng)作策略。

6. 比如有一條ACE 內(nèi)容如下：

permit tcp host 192.168.12.2 any eq telnet

在這條ACE 中，匹配域?yàn)橐韵伦侄蔚募希涸碔P地址字段、IP 協(xié)議字段、目的TCP 端口字段;

匹配規(guī)則為：源IP 地址=Host 192.168.12.2;IP 協(xié)議=TCP;TCP 目的端口= Telnet;

動(dòng)作策略為：允許通過(permit)，即do_not_drop。

在實(shí)現(xiàn)上，為每個(gè)應(yīng)用創(chuàng)建一個(gè)或者多個(gè)ACL并關(guān)聯(lián)，然后根據(jù)各種應(yīng)用的優(yōu)先級(jí)，將各應(yīng)用關(guān)聯(lián)的ACL按照硬件表項(xiàng)的優(yōu)先級(jí)關(guān)系設(shè)置硬件，從而達(dá)到高優(yōu)先級(jí)表項(xiàng)優(yōu)先生效的目的。

在不同產(chǎn)品上，支持的過濾域模板數(shù)量存在較大差異，實(shí)現(xiàn)原理及含義也不近一樣。

默認(rèn)行為

在目前已經(jīng)實(shí)現(xiàn)的各種FFP相關(guān)應(yīng)用中，有些應(yīng)用存在默認(rèn)的行為，隱含“拒絕所有數(shù)據(jù)流”規(guī)則表項(xiàng)，目的是為了將不匹配的非法報(bào)文全部丟棄，對(duì)于這些存在默認(rèn)行為的應(yīng)用，存在默認(rèn)添加的表項(xiàng)，占用了一定數(shù)量的硬件表項(xiàng)。

同時(shí)，在起機(jī)后空配置的情況下，會(huì)有一些CPP及信任模式的默認(rèn)表項(xiàng)，這些隱含的表項(xiàng)也占用了一定數(shù)量的硬件表項(xiàng)，但是在統(tǒng)計(jì)硬件容量的過程中，又容易被忽略。

優(yōu)先級(jí)沖突處理

應(yīng)用優(yōu)先級(jí)是指多種應(yīng)用同時(shí)存在時(shí)，根據(jù)應(yīng)用的優(yōu)先級(jí)關(guān)系，將高優(yōu)先級(jí)應(yīng)用的ACE裝在高優(yōu)先級(jí)的硬件表項(xiàng)上，以保證高優(yōu)先級(jí)的應(yīng)用先生效，只有高優(yōu)先級(jí)的應(yīng)用沒有表項(xiàng)匹配時(shí)，低優(yōu)先級(jí)應(yīng)用的表項(xiàng)才能生效。

某些應(yīng)用由于隱含“拒絕所有數(shù)據(jù)流”規(guī)則，會(huì)存在一條deny any的表項(xiàng)，這導(dǎo)致在同一個(gè)端口下多種應(yīng)用同時(shí)打開時(shí)產(chǎn)生優(yōu)先級(jí)沖突，低優(yōu)先級(jí)的應(yīng)用表項(xiàng)完全不生效，例如：當(dāng)一個(gè)端口同時(shí)打開DOT1X IP授權(quán)綁定、DHCP SNP綁定，這時(shí)候由于DOT1X IP授權(quán)綁定默認(rèn)會(huì)添加一個(gè)denyip any的表項(xiàng)，導(dǎo)致而DHCP SNP綁定的所有表項(xiàng)不生效，因此，我們判斷一個(gè)端口的某個(gè)應(yīng)用配置是否生效是，需要考慮兩個(gè)方面：

1. 端口下是否存在高優(yōu)先級(jí)應(yīng)用被匹配，或者存在影響這個(gè)端口的高優(yōu)先級(jí)全局應(yīng)用被匹配;

2. 端口下是否存在隱含“拒絕所有數(shù)據(jù)流”規(guī)則的高優(yōu)先級(jí)應(yīng)用。

3. 對(duì)于不同端口下的多種應(yīng)用，則不存在優(yōu)先級(jí)沖突。在交換機(jī)上嵌入各種功能強(qiáng)大FFP引擎后，使得交換機(jī)能夠提供強(qiáng)大的數(shù)據(jù)流過濾功能，能很方便根據(jù)網(wǎng)絡(luò)具體情況進(jìn)行安全部署，對(duì)數(shù)據(jù)流進(jìn)行控制，提高交換機(jī)在安全接入、匯聚等各方面的性能，在發(fā)展迅速的網(wǎng)絡(luò)市場(chǎng)中將得到廣泛應(yīng)用。