Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Suporte para condições e ações de correspondência para filtros de firewall de loopback em switches

Nos switches Ethernet da Série EX, uma interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Se você quiser monitorar esse tráfego de controle, você deve configurar um filtro de firewall na interface de loopback (lo0). Os filtros de firewall de loopback são aplicados apenas a pacotes que são enviados à CPU do mecanismo de roteamento para processamento adicional. Portanto, você pode aplicar um filtro de firewall apenas na direção de entrada na interface de loopback.

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os valores ou campos que um pacote deve conter. Você pode definir várias condições individuais ou sem correspondência. Se nenhuma condição de correspondência for especificada para o termo, todos os pacotes serão combinados por padrão. A sequência que define uma condição de correspondência é chamada de declaração de correspondência. A ação é a ação que o switch toma se um pacote corresponder às condições de correspondência para o termo específico. Os modificadores de ação são opcionais e especificam uma ou mais ações que o switch toma se um pacote corresponder às condições de correspondência para o termo específico.

As tabelas a seguir listam condições, ações e modificadores de ação compatíveis com um filtro de firewall configurado em uma interface de loopback em um switch:

Para obter informações sobre condições de correspondência, ações e modificadores de ação suportados para um filtro de firewall configurado em uma interface de rede, consulte o suporte da plataforma para condições de correspondência do filtro de firewall, ações e modificadores de ação nos switches da Série EX.

Tabela 1: Condições de correspondência para filtros de firewall em interfaces de loopback para tráfego IPv4 e IPv6 — suporte por switch

Condição de correspondência

EX2200

EX3200, EX4200

EX3300

EX4500

EX6200

EX8200

Condições de correspondência para tráfego IPv4:

endereço de destino

porta de destino

lista de prefixo de destino

Dscp

código de cânhamo

tipo de cânhamo

Interface

é fragmento

comprimento de pacote

Precedência

Protocolo

endereço de origem

porta de origem

lista de prefixo de origem

Condições de correspondência para tráfego IPv6:

ip6-destination-address

porta de destino

lista de prefixo de destino

código de cânhamo

tipo de cânhamo

Interface

próximo cabeçalho

comprimento de pacote

endereço de origem

porta de origem

lista de prefixo de origem

estabelecido por tcp

bandeiras tcp

tcp-inicial

classe de tráfego

Tabela 2: Ações para filtros de firewall em interfaces de loopback para tráfego IPv4 e IPv6 — suporte por switch

Ação

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Ações para tráfego IPv4:

Aceitar

Descartar

Ações para tráfego IPv6:

Aceitar

Descartar

Tabela 3: Modificadores de ação para filtros de firewall em interfaces de loopback para tráfego IPv4 e IPv6 — suporte por switch

Ação

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Modificadores de ação para tráfego IPv4:

Contar

classe de encaminhamento

prioridade de perda

Modificadores de ação para tráfego IPv6:

Contar

classe de encaminhamento

prioridade de perda

Nota:

Nos switches EX8200, se uma ação implícita ou explícita discard for configurada em uma interface de loopback para tráfego IPv4, os pacotes next hop resolvem são aceitos e podem passar pelo switch. No entanto, para o tráfego IPv6, você deve configurar explicitamente uma regra para permitir que o IPv6 de descoberta vizinha resolva pacotes para passar pelo switch.

Tópicos relacionados