Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übereinstimmungsbedingungen für Firewallfilter für IPv4- oder IPv6-Datenverkehr mit MPLS-Tags

Abgleich von IPv4- oder IPv6-Paket-Header-Adress- oder Port-Feldern in MPLS-Datenströmen

Um netzwerkbasierte Dienste in einem Kernnetzwerk zu unterstützen, können Sie einen Firewallfilter konfigurieren, der mit den Paket-Header-Feldern von Internet Protocol Version 4 (IPv4) oder Version 6 (IPv6) im MPLS-Datenverkehr (family mpls) übereinstimmt. Der Firewall-Filter kann IPv4- oder IPv6-Pakete als innere Nutzlast eines MPLS-Pakets abgleichen, das ein einzelnes MPLS-Label oder bis zu fünf MPLS-Labels aneinander gestapelt hat. Sie können Übereinstimmungsbedingungen basierend auf IPv4-Adressen und IPv4-Portnummern oder IPv6-Adressen und IPv6-Portnummern im Header konfigurieren.

Firewall-Filter, die auf MPLS-getaggten IPv4-Headern basieren, werden nur für Schnittstellen mit flexiblen PIC-Konzentratoren (FPCs) mit erweiterter Skalierung auf T320-, T640-, T1600-, TX Matrix- und TX Matrix Plus-Routern und -Switches unterstützt. Die Firewall-Filter, die auf MPLS-getaggten IPv6-Headern basieren, werden jedoch nur für Schnittstellen auf dem Typ 5 FPC auf T4000 Core-Routern unterstützt. Die Funktion wird für die Router- oder Switch-Loopback-Schnittstelle (lo0), die Router- oder Switch-Managementschnittstelle (fxp0 oder em0) oder USB-Modemschnittstellen (umd) nicht unterstützt.

Um einen Firewallfilterbegriff zu konfigurieren, der mit Adress- oder Portfeldern im Layer-4-Header von Paketen in einem MPLS-Datenfluss übereinstimmt, verwenden Sie die ip-version ipv4 Übereinstimmungsbedingung, um anzugeben, dass der Begriff Pakete basierend auf inneren IP-Feldern abgleichen soll:

  • Um ein MPLS-getaggtes IPv4-Paket im Quell- oder Zieladressfeld im IPv4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] an.

  • Um ein MPLS-getaggtes IPv4-Paket im Feld "Quell- oder Zielport" im Layer-4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] an.

Um einen Firewallfilterbegriff zu konfigurieren, der mit Adress- oder Portfeldern im IPv6-Header von Paketen in einem MPLS-Datenfluss übereinstimmt, verwenden Sie die ip-version ipv6 Übereinstimmungsbedingung, um anzugeben, dass der Begriff Pakete basierend auf inneren IP-Feldern abgleichen soll:

  • Um ein MPLS-getaggtes IPv6-Paket im Quell- oder Zieladressfeld im IPv6-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] an.

  • Um ein MPLS-getaggtes IPv6-Paket im Feld "Quell- oder Zielport" im Layer-4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] an.

Bedingungen für IP-Adressenübereinstimmung für MPLS-Datenverkehr

Tabelle 1 beschreibt die IP-Adressen-spezifischen Übereinstimmungsbedingungen, die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] konfigurieren können.

Tabelle 1: IP-Adressenspezifische Firewall-Filterübereinstimmungsbedingungen für MPLS-Datenverkehr

Übereinstimmungsbedingung

Beschreibung

destination-address address

Stimmt mit der Adresse des Zielknotens überein, der das Paket empfangen soll.

destination-address address except

Stimmt nicht mit der Adresse des Zielknotens überein, um das Paket zu empfangen.

protocol number

Stimmt mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): ah ( 51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), (41 ipv6 ), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) oder vrrp (112).

source-address address

Stimmt mit der Adresse des Quellknotens überein, der das Paket sendet.

source-address address except

Stimmen Sie nicht mit der Adresse des Quellknotens überein, der das Paket sendet.

IP-Port-Übereinstimmungsbedingungen für MPLS-Datenverkehr

Tabelle 2 beschreibt die IP-Port-spezifischen match-conditions , die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )] konfigurieren können.

Tabelle 2: IP-Port-spezifische Firewall-Filterübereinstimmungsbedingungen für MPLS-Datenverkehr

Übereinstimmungsbedingung

Beschreibung

destination-port number

Übereinstimmung im Feld UDP- oder TCP-Zielport.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): afs ( 1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs ((49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) oder xdmcp (177).

destination-port-except number

Stimmen Sie im Feld UDP- oder TCP-Zielport nicht überein.

Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der destination-port Übereinstimmungsbedingung aufgeführt sind.

source-port number

Übereinstimmung im Feld TCP- oder UDP-Quellport.

Anstelle des numerischen Feldes können Sie eines der unter destination-portaufgeführten Textsynonyme angeben.

source-port-except number

Übereinstimmung im Feld TCP- oder UDP-Quellport nicht.

Schnittstellen-Übereinstimmungsbedingungen für MPLS-Datenverkehr

Tabelle 3 Beschreibt die Schnittstellen-spezifischen match-conditions , die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name] konfigurieren können.

Tabelle 3: Schnittstellenspezifische Firewall-Filter-Übereinstimmungsbedingungen für MPLS-Datenverkehr

Übereinstimmungsbedingung

Beschreibung

interface-group interface-device name | unit-list

Übereinstimmung mit der Schnittstellengruppe. Folgende Optionen stehen zur Verfügung:

  • interface-device name - Name des Schnittstellengeräts. Es sind nur Ethernet-Geräte zulässig. Der Name der Geräteschnittstelle enthält ge, ae, xe and et.

  • unit-list - Eine oder mehrere logische Interface-Unit-Nummern.

    • Bereich: Eine Zeichenfolge im Bereich <0-16385> oder <0-16385>-<0-16385>. Beispiel: unit-list[12 23-33 44]