Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Unterstützung für Übereinstimmungsbedingungen und -aktionen für Loopback-Firewall-Filter auf Switches

Bei Ethernet-Switches der EX-Serie ist eine Loopback-Schnittstelle ein Gateway für den gesamten Steuerungsdatenverkehr, der in die Routing-Engine des Switches gelangt. Wenn Sie diesen Steuerungsdatenverkehr überwachen möchten, müssen Sie einen Firewallfilter auf der Loopback-Schnittstelle (lo0) konfigurieren. Loopback-Firewall-Filter werden nur auf Pakete angewendet, die zur weiteren Verarbeitung an die Routing-Engine-CPU gesendet werden. Daher können Sie einen Firewallfilter nur in Eingangsrichtung auf der Loopback-Schnittstelle anwenden.

Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Werte oder Felder, die ein Paket enthalten muss. Sie können mehrere, einzelne oder keine Übereinstimmungsbedingungen definieren. Wenn keine Übereinstimmungsbedingungen für den Begriff angegeben sind, werden standardmäßig alle Pakete abgeglichen. Die Zeichenfolge, die eine Übereinstimmungsbedingung definiert, wird als Übereinstimmungsanweisung bezeichnet. Die Aktion ist die Aktion, die der Switch ausführt, wenn ein Paket die Übereinstimmungsbedingungen für den bestimmten Begriff erfüllt. Aktionsmodifikatoren sind optional und geben eine oder mehrere Aktionen an, die der Switch ausführt, wenn ein Paket die Übereinstimmungsbedingungen für den jeweiligen Begriff erfüllt.

In den folgenden Tabellen sind Übereinstimmungsbedingungen, Aktionen und Aktionsmodifizierer aufgeführt, die für einen Firewallfilter unterstützt werden, der auf einer Loopback-Schnittstelle auf einem Switch konfiguriert ist:

Informationen zu Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren, die für einen auf einer Netzwerkschnittstelle konfigurierten Firewallfilter unterstützt werden, finden Sie unter Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie.Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie

Tabelle 1: Übereinstimmungsbedingungen für Firewall-Filter auf Loopback-Schnittstellen für IPv4- und IPv6-Datenverkehr – Unterstützung pro Switch

Übereinstimmungsbedingung

EX2200

EX3200, EX4200

EX3300

EX4500

EX6200

EX8200

Übereinstimmungsbedingungen für IPv4-Datenverkehr:

Zieladresse

Zielhafen

Ziel-Präfix-Liste

Dscp

ICMP-Code

ICMP-Typ

Schnittstelle

ist-fragment

Paketlänge

Vorrang

Protokoll

Quelladresse

Quell-Port

source-präfix-liste

Übereinstimmungsbedingungen für IPv6-Datenverkehr:

ip6-zieladresse

Zielhafen

Ziel-Präfix-Liste

ICMP-Code

ICMP-Typ

Schnittstelle

Nächste-Kopfzeile

Paketlänge

Quelladresse

Quell-Port

source-präfix-liste

TCP-etabliert

TCP-Flags

tcp-initial

traffic-class

Tabelle 2: Aktionen für Firewall-Filter auf Loopback-Schnittstellen für IPv4- und IPv6-Datenverkehr – Unterstützung pro Switch

Was

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Aktionen für IPv4-Datenverkehr:

Akzeptieren

Verwerfen

Aktionen für IPv6-Datenverkehr:

Akzeptieren

Verwerfen

Tabelle 3: Aktionsmodifikatoren für Firewall-Filter auf Loopback-Schnittstellen für IPv4- und IPv6-Datenverkehr – Unterstützung pro Switch

Was

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Aktionsmodifikatoren für IPv4-Datenverkehr:

Count

forwarding-class

Verlust-Priorität

Aktionsmodifikatoren für IPv6-Datenverkehr:

Count

forwarding-class

Verlust-Priorität

HINWEIS:

Wenn auf EX8200-Switches eine implizite oder explizite Aktion auf einer Loopback-Schnittstelle für IPv4-Datenverkehr konfiguriert ist, werden Next-Hop-Resolve-Pakete akzeptiert und dürfen den Switch passieren.discard Für IPv6-Datenverkehr müssen Sie jedoch explizit eine Regel konfigurieren, damit die IPv6-Auflösungspakete der Nachbarerkennung den Switch passieren können.