Unterstützung für Übereinstimmungsbedingungen und -aktionen für Loopback-Firewall-Filter auf Switches
Bei Ethernet-Switches der EX-Serie ist eine Loopback-Schnittstelle ein Gateway für den gesamten Steuerungsdatenverkehr, der in die Routing-Engine des Switches gelangt. Wenn Sie diesen Steuerungsdatenverkehr überwachen möchten, müssen Sie einen Firewallfilter auf der Loopback-Schnittstelle (lo0) konfigurieren. Loopback-Firewall-Filter werden nur auf Pakete angewendet, die zur weiteren Verarbeitung an die Routing-Engine-CPU gesendet werden. Daher können Sie einen Firewallfilter nur in Eingangsrichtung auf der Loopback-Schnittstelle anwenden.
Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Werte oder Felder, die ein Paket enthalten muss. Sie können mehrere, einzelne oder keine Übereinstimmungsbedingungen definieren. Wenn keine Übereinstimmungsbedingungen für den Begriff angegeben sind, werden standardmäßig alle Pakete abgeglichen. Die Zeichenfolge, die eine Übereinstimmungsbedingung definiert, wird als Übereinstimmungsanweisung bezeichnet. Die Aktion ist die Aktion, die der Switch ausführt, wenn ein Paket die Übereinstimmungsbedingungen für den bestimmten Begriff erfüllt. Aktionsmodifikatoren sind optional und geben eine oder mehrere Aktionen an, die der Switch ausführt, wenn ein Paket die Übereinstimmungsbedingungen für den jeweiligen Begriff erfüllt.
In den folgenden Tabellen sind Übereinstimmungsbedingungen, Aktionen und Aktionsmodifizierer aufgeführt, die für einen Firewallfilter unterstützt werden, der auf einer Loopback-Schnittstelle auf einem Switch konfiguriert ist:
Informationen zu Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren, die für einen auf einer Netzwerkschnittstelle konfigurierten Firewallfilter unterstützt werden, finden Sie unter Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie.Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie
Übereinstimmungsbedingung |
EX2200 |
EX3200, EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
Übereinstimmungsbedingungen für IPv4-Datenverkehr: |
||||||
Zieladresse |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Zielhafen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Ziel-Präfix-Liste |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Dscp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP-Code |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP-Typ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Schnittstelle |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ist-fragment |
✓ |
✓ |
✓ |
✓ |
– |
– |
Paketlänge |
– |
– |
– |
– |
– |
✓ |
Vorrang |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Protokoll |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Quelladresse |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Quell-Port |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
source-präfix-liste |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Übereinstimmungsbedingungen für IPv6-Datenverkehr: |
||||||
ip6-zieladresse |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Zielhafen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Ziel-Präfix-Liste |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP-Code |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMP-Typ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Schnittstelle |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Nächste-Kopfzeile |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Paketlänge |
– |
– |
– |
– |
– |
✓ |
Quelladresse |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Quell-Port |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
source-präfix-liste |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
TCP-etabliert |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
TCP-Flags |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
tcp-initial |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
traffic-class |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Was |
EX2200 |
EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
Aktionen für IPv4-Datenverkehr: |
||||||
Akzeptieren |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Verwerfen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Aktionen für IPv6-Datenverkehr: |
||||||
Akzeptieren |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Verwerfen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Was |
EX2200 |
EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
Aktionsmodifikatoren für IPv4-Datenverkehr: |
||||||
Count |
– |
✓ |
– |
✓ |
✓ |
– |
forwarding-class |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
Verlust-Priorität |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
Aktionsmodifikatoren für IPv6-Datenverkehr: |
||||||
Count |
– |
✓ |
– |
✓ |
– |
– |
forwarding-class |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
Verlust-Priorität |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
Wenn auf EX8200-Switches eine implizite oder explizite Aktion auf einer Loopback-Schnittstelle für IPv4-Datenverkehr konfiguriert ist, werden Next-Hop-Resolve-Pakete akzeptiert und dürfen den Switch passieren.discard
Für IPv6-Datenverkehr müssen Sie jedoch explizit eine Regel konfigurieren, damit die IPv6-Auflösungspakete der Nachbarerkennung den Switch passieren können.