Übereinstimmungsbedingungen für Firewallfilter für IPv4- oder IPv6-Datenverkehr mit MPLS-Tags
Abgleich von IPv4- oder IPv6-Paket-Header-Adress- oder Port-Feldern in MPLS-Datenströmen
Um netzwerkbasierte Dienste in einem Kernnetzwerk zu unterstützen, können Sie einen Firewallfilter konfigurieren, der mit den Paket-Header-Feldern von Internet Protocol Version 4 (IPv4) oder Version 6 (IPv6) im MPLS-Datenverkehr () übereinstimmt.family mpls Der Firewall-Filter kann IPv4- oder IPv6-Pakete als innere Nutzlast eines MPLS-Pakets abgleichen, das ein einzelnes MPLS-Label oder bis zu fünf MPLS-Labels aneinander gestapelt hat. Sie können Übereinstimmungsbedingungen basierend auf IPv4-Adressen und IPv4-Portnummern oder IPv6-Adressen und IPv6-Portnummern im Header konfigurieren.
Firewall-Filter, die auf MPLS-getaggten IPv4-Headern basieren, werden nur für Schnittstellen mit flexiblen PIC-Konzentratoren (FPCs) mit erweiterter Skalierung auf T320-, T640-, T1600-, TX Matrix- und TX Matrix Plus-Routern und -Switches unterstützt. Die Firewall-Filter, die auf MPLS-getaggten IPv6-Headern basieren, werden jedoch nur für Schnittstellen auf dem Typ 5 FPC auf T4000 Core-Routern unterstützt. Die Funktion wird für die Router- oder Switch-Loopback-Schnittstelle (), die Router- oder Switch-Managementschnittstelle ( oder ) oder USB-Modemschnittstellen () nicht unterstützt.lo0fxp0em0umd
Um einen Firewallfilterbegriff zu konfigurieren, der mit Adress- oder Portfeldern im Layer-4-Header von Paketen in einem MPLS-Datenfluss übereinstimmt, verwenden Sie die Übereinstimmungsbedingung, um anzugeben, dass der Begriff Pakete basierend auf inneren IP-Feldern abgleichen soll:ip-version ipv4
Um ein MPLS-getaggtes IPv4-Paket im Quell- oder Zieladressfeld im IPv4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene an.
[edit firewall family mpls filter filter-name term term-name from ip-version ipv4]Um ein MPLS-getaggtes IPv4-Paket im Feld "Quell- oder Zielport" im Layer-4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene an.
[edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)]
Um einen Firewallfilterbegriff zu konfigurieren, der mit Adress- oder Portfeldern im IPv6-Header von Paketen in einem MPLS-Datenfluss übereinstimmt, verwenden Sie die Übereinstimmungsbedingung, um anzugeben, dass der Begriff Pakete basierend auf inneren IP-Feldern abgleichen soll:ip-version ipv6
Um ein MPLS-getaggtes IPv6-Paket im Quell- oder Zieladressfeld im IPv6-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene an.
[edit firewall family mpls filter filter-name term term-name from ip-version ipv6]Um ein MPLS-getaggtes IPv6-Paket im Feld "Quell- oder Zielport" im Layer-4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene an.
[edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)]
Bedingungen für IP-Adressenübereinstimmung für MPLS-Datenverkehr
beschreibt die IP-Adressen-spezifischen Übereinstimmungsbedingungen, die Sie auf Hierarchieebene konfigurieren können.Tabelle 1[edit firewall family mpls filter filter-name term term-name from ip-version ip-version]
Übereinstimmungsbedingung |
Beschreibung |
|---|---|
|
Stimmt mit der Adresse des Zielknotens überein, der das Paket empfangen soll. |
|
Stimmt nicht mit der Adresse des Zielknotens überein, um das Paket zu empfangen. |
|
Stimmt mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) oder (112). |
|
Stimmt mit der Adresse des Quellknotens überein, der das Paket sendet. |
|
Stimmen Sie nicht mit der Adresse des Quellknotens überein, der das Paket sendet. |
IP-Port-Übereinstimmungsbedingungen für MPLS-Datenverkehr
beschreibt die IP-Port-spezifischen , die Sie auf Hierarchieebene konfigurieren können.Tabelle 2match-conditions[edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )]
Übereinstimmungsbedingung |
Beschreibung |
|---|---|
|
Übereinstimmung im Feld UDP- oder TCP-Zielport. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) oder (177). |
|
Stimmen Sie im Feld UDP- oder TCP-Zielport nicht überein. Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der Übereinstimmungsbedingung aufgeführt sind. |
|
Übereinstimmung im Feld TCP- oder UDP-Quellport. Anstelle des numerischen Feldes können Sie eines der unter aufgeführten Textsynonyme angeben. |
|
Übereinstimmung im Feld TCP- oder UDP-Quellport nicht. |