Übereinstimmungsbedingungen für Firewallfilter für IPv4- oder IPv6-Datenverkehr mit MPLS-Tags
Abgleich von IPv4- oder IPv6-Paket-Header-Adress- oder Port-Feldern in MPLS-Datenströmen
Um netzwerkbasierte Dienste in einem Kernnetzwerk zu unterstützen, können Sie einen Firewallfilter konfigurieren, der mit den Paket-Header-Feldern von Internet Protocol Version 4 (IPv4) oder Version 6 (IPv6) im MPLS-Datenverkehr (family mpls
) übereinstimmt. Der Firewall-Filter kann IPv4- oder IPv6-Pakete als innere Nutzlast eines MPLS-Pakets abgleichen, das ein einzelnes MPLS-Label oder bis zu fünf MPLS-Labels aneinander gestapelt hat. Sie können Übereinstimmungsbedingungen basierend auf IPv4-Adressen und IPv4-Portnummern oder IPv6-Adressen und IPv6-Portnummern im Header konfigurieren.
Firewall-Filter, die auf MPLS-getaggten IPv4-Headern basieren, werden nur für Schnittstellen mit flexiblen PIC-Konzentratoren (FPCs) mit erweiterter Skalierung auf T320-, T640-, T1600-, TX Matrix- und TX Matrix Plus-Routern und -Switches unterstützt. Die Firewall-Filter, die auf MPLS-getaggten IPv6-Headern basieren, werden jedoch nur für Schnittstellen auf dem Typ 5 FPC auf T4000 Core-Routern unterstützt. Die Funktion wird für die Router- oder Switch-Loopback-Schnittstelle (lo0
), die Router- oder Switch-Managementschnittstelle (fxp0
oder em0
) oder USB-Modemschnittstellen (umd
) nicht unterstützt.
Um einen Firewallfilterbegriff zu konfigurieren, der mit Adress- oder Portfeldern im Layer-4-Header von Paketen in einem MPLS-Datenfluss übereinstimmt, verwenden Sie die ip-version ipv4
Übereinstimmungsbedingung, um anzugeben, dass der Begriff Pakete basierend auf inneren IP-Feldern abgleichen soll:
-
Um ein MPLS-getaggtes IPv4-Paket im Quell- oder Zieladressfeld im IPv4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene
[edit firewall family mpls filter filter-name term term-name from ip-version ipv4]
an. -
Um ein MPLS-getaggtes IPv4-Paket im Feld "Quell- oder Zielport" im Layer-4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene
[edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)]
an.
Um einen Firewallfilterbegriff zu konfigurieren, der mit Adress- oder Portfeldern im IPv6-Header von Paketen in einem MPLS-Datenfluss übereinstimmt, verwenden Sie die ip-version ipv6
Übereinstimmungsbedingung, um anzugeben, dass der Begriff Pakete basierend auf inneren IP-Feldern abgleichen soll:
-
Um ein MPLS-getaggtes IPv6-Paket im Quell- oder Zieladressfeld im IPv6-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene
[edit firewall family mpls filter filter-name term term-name from ip-version ipv6]
an. -
Um ein MPLS-getaggtes IPv6-Paket im Feld "Quell- oder Zielport" im Layer-4-Header abzugleichen, geben Sie die Übereinstimmungsbedingung auf Hierarchieebene
[edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)]
an.
Bedingungen für IP-Adressenübereinstimmung für MPLS-Datenverkehr
Tabelle 1 beschreibt die IP-Adressen-spezifischen Übereinstimmungsbedingungen, die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ip-version]
konfigurieren können.
Übereinstimmungsbedingung |
Beschreibung |
---|---|
|
Stimmt mit der Adresse des Zielknotens überein, der das Paket empfangen soll. |
|
Stimmt nicht mit der Adresse des Zielknotens überein, um das Paket zu empfangen. |
|
Stimmt mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): |
|
Stimmt mit der Adresse des Quellknotens überein, der das Paket sendet. |
|
Stimmen Sie nicht mit der Adresse des Quellknotens überein, der das Paket sendet. |
IP-Port-Übereinstimmungsbedingungen für MPLS-Datenverkehr
Tabelle 2 beschreibt die IP-Port-spezifischen match-conditions
, die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )]
konfigurieren können.
Übereinstimmungsbedingung |
Beschreibung |
---|---|
|
Übereinstimmung im Feld UDP- oder TCP-Zielport. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): |
|
Stimmen Sie im Feld UDP- oder TCP-Zielport nicht überein. Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der |
|
Übereinstimmung im Feld TCP- oder UDP-Quellport. Anstelle des numerischen Feldes können Sie eines der unter |
|
Übereinstimmung im Feld TCP- oder UDP-Quellport nicht. |
Schnittstellen-Übereinstimmungsbedingungen für MPLS-Datenverkehr
Tabelle 3 Beschreibt die Schnittstellen-spezifischen match-conditions
, die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name]
konfigurieren können.
Übereinstimmungsbedingung |
Beschreibung |
---|---|
|
Übereinstimmung mit der Schnittstellengruppe. Folgende Optionen stehen zur Verfügung:
|