支持交换机上环路防火墙过滤器的匹配条件和操作
在 EX 系列以太网交换机上,环路接口是进入交换机路由引擎的所有控制流量的网关。如果要监控此控制流量,则必须在环路接口 (lo0) 上配置防火墙过滤器。环路防火墙过滤器仅适用于发送到路由引擎 CPU 进行进一步处理的数据包。因此,您只能在环路接口上的入口方向应用防火墙过滤器。
防火墙过滤器中的每个术语都由 匹配条件 和一个 操作组成。匹配条件是数据包必须包含的值或字段。您可以定义多个、单个或无匹配条件。如果未为术语指定匹配条件,则默认情况下会匹配所有数据包。定义匹配条件的字符串称为 匹配语句。该操作是在数据包与特定术语的匹配条件匹配时交换机采取的操作。操作修饰符是可选的,用于指定数据包与特定术语的匹配条件匹配时交换机采取的一个或多个操作。
下表列出了交换机环路接口上配置的防火墙过滤器支持的匹配条件、操作和操作修饰符:
有关网络接口上配置的防火墙过滤器支持的匹配条件、操作和操作修改器的信息,请参阅 EX 系列交换机上防火墙过滤器匹配条件、操作和操作修改器的平台支持。
匹配条件 |
EX2200 |
EX3200, EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
IPv4 流量的匹配条件: |
||||||
目标地址 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
目标端口 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
目标前缀列表 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
DSCP |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP 代码 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP 类型 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
接口 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
是片段 |
✓ |
✓ |
✓ |
✓ |
– |
– |
数据包长度 |
– |
– |
– |
– |
– |
✓ |
优先 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
协议 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
源地址 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
源端口 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
源前缀列表 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
IPv6 流量的匹配条件: |
||||||
IP6-目的地地址 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
目标端口 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
目标前缀列表 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP 代码 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP 类型 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
接口 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
下一个标题 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
数据包长度 |
– |
– |
– |
– |
– |
✓ |
源地址 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
源端口 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
源前缀列表 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
基于 TCP 建立 |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
TCP 标志 |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
TCP 初始 |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
流量类 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
操作 |
EX2200 |
EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
针对 IPv4 流量的操作: |
||||||
接受 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
discard |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
针对 IPv6 流量的操作: |
||||||
接受 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
discard |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
操作 |
EX2200 |
EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
IPv4 流量的操作修饰符: |
||||||
count |
– |
✓ |
– |
✓ |
✓ |
– |
转发类 |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
丢失优先级 |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
IPv6 流量的操作修饰符: |
||||||
count |
– |
✓ |
– |
✓ |
– |
– |
转发类 |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
丢失优先级 |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
在 EX8200 交换机上,如果在环路接口上为 IPv4 流量配置了隐式或显式 discard
操作,则会接受并允许下一跃点解析数据包通过交换机。但是,对于 IPv6 流量,您必须显式配置规则,以允许邻居发现 IPv6 解析数据包通过交换机。