Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

交换机上的回传防火墙过滤器支持匹配条件和操作

在 EX 系列以太网交换机上,回传接口是进入交换机路由引擎的所有控制流量的网关。如果要监控此控制流量,则必须在回传接口(lo0)上配置防火墙过滤器。回传防火墙过滤器仅适用于发送至路由引擎 CPU 进行进一步处理的数据包。因此,只能在回传接口上的入口方向上应用防火墙过滤器。

防火墙过滤器中的每个术语都包含匹配条件操作。匹配条件是数据包必须包含的值或字段。您可以定义多个、一个或无匹配条件。如果没有为此术语指定匹配条件,则默认情况下将匹配所有数据包。定义匹配条件的字符串称为match 语句。操作是当数据包符合特定术语的匹配条件时,交换机采取的措施。操作修饰符是可选的,指定数据包符合特定术语的匹配条件时交换机所执行的一个或多个操作。

下表列出了在交换机上的回传接口上配置的防火墙过滤器支持的匹配条件、操作和操作修饰符:

有关在网络接口上配置的防火墙过滤器支持的匹配条件、操作和操作修饰符的信息,请参阅EX 系列交换机上的防火墙过滤器匹配条件、操作和操作修饰符的平台支持

表 1: IPv4 和 IPv6 流量环路接口上的防火墙过滤器的匹配条件 — 每个交换机支持

匹配条件

EX2200

EX3200,

EX4200

EX3300

EX4500

EX6200

EX8200

符合 IPv4 流量的条件:

目的地-地址

目标端口

目标前缀列表

dscp

icmp-代码

icmp 类型

接口

是分段

数据包长度

优先

协议

来源地址

源端口

源前缀列表

符合 IPv6 信息流的条件:

ip6-destination-address

目标端口

目标前缀列表

icmp-代码

icmp 类型

接口

接下来标头

数据包长度

来源地址

源端口

源前缀列表

tcp 建立

tcp 标志

tcp-初始

信息流类

表 2: IPv4 和 IPv6 流量环路接口上的防火墙过滤器操作 — 每个交换机支持

行动

EX2200

EX3200,

EX4200

EX3300

EX4500

EX6200

EX8200

IPv4 流量的操作:

接受

discard

针对 IPv6 流量的操作:

接受

discard

表 3: IPv4 和 IPv6 流量环路接口上的防火墙过滤器操作修改器 — 每个交换机支持

行动

EX2200

EX3200,

EX4200

EX3300

EX4500

EX6200

EX8200

IPv4 流量的操作修饰符:

数量

转发类

丢失优先级

IPv6 信息流的操作修饰符:

数量

转发类

丢失优先级

注:

在 EX8200 交换机上,如果在 IPv4 流量discard的回传接口上配置了隐式或显式操作,则接受下一跳跃解析数据包并允许通过交换机。但是,对于 IPv6 流量,您必须显式配置规则,以允许邻居发现 IPv6 解析数据包通过交换机。