Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Suporte para condições e ações de correspondência para filtros de firewall de loopback em switches

Nos switches Ethernet da Série EX, uma interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Se você quiser monitorar esse tráfego de controle, você deve configurar um filtro de firewall na interface de loopback (lo0). Os filtros de firewall de loopback são aplicados apenas a pacotes que são enviados à CPU do mecanismo de roteamento para processamento adicional. Portanto, você pode aplicar um filtro de firewall apenas na direção de entrada na interface de loopback.

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os valores ou campos que um pacote deve conter. Você pode definir várias condições, individuais ou sem correspondência. Se nenhuma condição de correspondência for especificada para o termo, todos os pacotes serão combinados por padrão. A corda que define uma condição de correspondência é chamada de declaração de correspondência. A ação é a ação que o switch toma se um pacote corresponder às condições de correspondência para o termo específico. Os modificadores de ação são opcionais e especificam uma ou mais ações que o switch toma se um pacote corresponder às condições de correspondência para o termo específico.

As tabelas a seguir listam condições de correspondência, ações e modificadores de ação que são suportados para um filtro de firewall configurado em uma interface de loopback em um switch:

Para obter informações sobre condições de correspondência, ações e modificadores de ação suportados para um filtro de firewall configurado em uma interface de rede, veja Suporte de plataforma para condições, ações e modificadores de ação do filtro de firewall em switches da Série EX.Suporte de plataforma para condições de correspondência de filtro de firewall, ações e modificadores de ação em switches da Série EX

Tabela 1: Condições de correspondência para filtros de firewall em interfaces de loopback para tráfego IPv4 e IPv6 — suporte por switch

Condição da partida

EX2200

EX3200, EX4200

EX3300

EX4500

EX6200

EX8200

Condições de correspondência para tráfego IPv4:

endereço de destino

porta de destino

lista de prefixo de destino

Dscp

código de cânhamo

tipo de cânhamo

Interface

is-fragment

comprimento de pacote

Precedência

Protocolo

endereço-fonte

porta-fonte

lista de prefixo-fonte

Condições de correspondência para tráfego IPv6:

endereço de destino ip6

porta de destino

lista de prefixo de destino

código de cânhamo

tipo de cânhamo

Interface

cabeçalho próximo

comprimento de pacote

endereço-fonte

porta-fonte

lista de prefixo-fonte

estabelecido por tcp

bandeiras tcp

tcp-inicial

classe de tráfego

Tabela 2: Ações para filtros de firewall em interfaces de loopback para tráfego IPv4 e IPv6 — suporte por switch

Ação

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Ações para tráfego IPv4:

Aceitar

Descartar

Ações para tráfego IPv6:

Aceitar

Descartar

Tabela 3: Modificadores de ação para filtros de firewall em interfaces de loopback para tráfego IPv4 e IPv6 — suporte por switch

Ação

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Modificadores de ação para tráfego IPv4:

Contar

classe de encaminhamento

prioridade de perda

Modificadores de ação para tráfego IPv6:

Contar

classe de encaminhamento

prioridade de perda

Nota:

Nos switches EX8200, se uma ação implícita ou explícita for configurada em uma interface de loopback para tráfego IPv4, os pacotes de resolução de próximo salto são aceitos e podem passar pelo switch.discard No entanto, para o tráfego IPv6, você deve configurar explicitamente uma regra para permitir que o IPv6 de descoberta vizinha resolva os pacotes para passar pelo switch.

Tópicos relacionados