Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen für die Übereinstimmung mit Firewall-Filtern MPLS tags IPv4- oder IPv6-Datenverkehr

Anpassung an IPv4- oder IPv6-Paket-Header-Adresse oder Port-Feldern in MPLS Datenflüssen

Zur Unterstützung netzwerkbasierter Dienste in einem Kernnetzwerk können Sie einen Firewall-Filter konfigurieren, der den Paket-Header-Feldern Internet Protocol Version 4 (IPv4) oder Version 6 (IPv6) in paketbasierten Header-Feldern MPLS ( family mpls ) entspricht. Der Firewall-Filter kann IPv4- oder IPv6-Pakete als die inner Payload eines MPLS-Pakets, das ein einzelnes MPLS-Label oder bis zu fünf Label MPLS verfügt, zusammengefiltert haben. Sie können Übereinstimmungsbedingungen basierend auf IPv4-Adressen und IPv4-Portnummern oder IPv6-Adressen und IPv6-Portnummern im Header konfigurieren.

Firewall-Filter, die auf MPLS-tagged IPv4-Headern basieren, werden nur für Schnittstellen auf den Routern und Switches T320, T640, T1600, TX Matrix und TX Matrix Plus unterstützt. Firewall-Filter, die auf TAGS MPLS Tagged IPv6-Header basieren, werden jedoch nur für Schnittstellen in der Typ 5 FPC auf Core-Routern T4000 unterstützt. Die Funktion wird nicht unterstützt für den Router oder die Switch-Loopback-Schnittstelle ( ), den Router oder die Switch-Verwaltungsschnittstelle ( oder ) oder lo0fxp0em0 USB-Modemschnittstellen ( umd ).

Um einen Begriff für den Firewall-Filter zu konfigurieren, der einem Adress- oder Portfeld im Layer-4-Header von Paketen in einem MPLS-Datenfluss entspricht, verwenden Sie die Bedingungen für die Übereinstimmung, um anzugeben, dass der Begriff Pakete auf der Basis von inneren IP-Feldern ip-version ipv4 entspricht:

  • Um ein MPLS-tagged IPv4-Paket auf dem Quell- oder Zieladressenfeld im IPv4-Header zu erfüllen, geben Sie die Übereinstimmungsbedingung auf der [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] Hierarchieebene an.

  • Wenn Sie ein MPLS-tagged IPv4-Paket auf dem Quell- oder Zielportfeld im Layer-4-Header auswählen können, geben Sie die Bedingungen für die Übereinstimmung in der [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] Hierarchieebene an.

Zum Konfigurieren eines Begriffs für Firewall-Filter, der einem Adressen- oder Portfeld im IPv6-Header von Paketen in einem MPLS-Datenfluss entspricht, verwenden Sie die Bedingungen für die Übereinstimmung, um anzugeben, dass der Begriff Pakete auf der Basis innerer ip-version ipv6 IP-Felder anspricht:

  • Um ein MPLS-tagged IPv6-Paket auf dem Quell- oder Zieladressenfeld im IPv6-Header zu erfüllen, geben Sie die Übereinstimmungsbedingung auf der [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] Hierarchieebene an.

  • Wenn Sie ein MPLS-tagged IPv6-Paket auf dem Quell- oder Zielportfeld im Layer-4-Header auswählen können, geben Sie die Bedingungen für die Übereinstimmung in der [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] Hierarchieebene an.

Bedingungen für die Übereinstimmung von IP-MPLS-Adressen

Tabelle 1 beschreibt die IP-adressspezifischen Übereinstimmungsbedingungen, die Sie auf der [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] Hierarchieebene konfigurieren können.

Tabelle 1: Ip-adressspezifische Firewall-Filter-Bedingungen für MPLS Datenverkehrs

Bedingungen erfüllen

Beschreibung

destination-address address

Passen Sie die Adresse des Zielknotens an, um das Paket zu erhalten.

destination-address address except

Nicht mit der Adresse des Zielknotens übereinstimmen, um das Paket zu erhalten.

protocol number

Passen Sie das Feld für den IP-Protokolltyp an. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): ah(51), dstopts (60), egp (8), esp (50), fragmentgre (44), (47), hop-by-hop (0), icmp (1), icmp6icmpv6 (58), (58), igmp (2), ipip (4), ipv6ospf (41), pim (89), (103), rsvp (46) sctp (132), tcp (6) oder udp vrrp (112).

source-address address

Passen Sie die Adresse des Quellknotens an, der das Paket sendet.

source-address address except

Nicht mit der Adresse des Quellknotens übereinstimmen, der das Paket sendet.

Bedingungen für die Übereinstimmung mit IP-Ports MPLS Datenverkehr

Tabelle 2 beschreibt die ip-portspezifische Konfiguration auf match-conditions[edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )] Hierarchieebene.

Tabelle 2: IP-portspezifische Firewall-Filter-Bedingungen für MPLS Datenverkehr

Bedingungen erfüllen

Beschreibung

destination-port number

Übereinstimmung im UDP- oder TCP-Zielportfeld.

Sie können an der Stelle des numerischen Werts eines der folgenden Text Synonyme angeben (die Portnummern sind ebenfalls aufgelistet): afs(1483), bgp (179), biff (512), bootpcbootps (68), (67), cmdcvspserver (514), (2401), dhcp (67), domaineklogin (53), ekshell (2105), (2106) exec (512), fingerftp (21) ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434) mobilip-mnmsdp (435) (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printerradacct (515), (1813) radius (1812) riprkinit (520) (2108) smtp und (2 5), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517) telnettftp (23), (69), timed (525) oder whoxdmcp (177).

destination-port-except number

Nicht im UDP- oder TCP-Zielportfeld übereinstimmen.

Sie können eines der Texts synonym für den numerischen Wert angeben, der mit der destination-port Übereinstimmungsbedingung aufgelistet ist.

source-port number

Übereinstimmung im TCP- oder UDP-Quellportfeld.

Sie können eines der unter . destination-port

source-port-except number

Im TCP- oder UDP-Quellportfeld nicht übereinstimmen.