Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Compatibilidad con condiciones y acciones de coincidencia para filtros del firewall de bucle invertido en conmutadores

 

En los conmutadores Ethernet de la serie EX, una interfaz de bucle de retroceso es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Si desea supervisar este tráfico de control, debe configurar un filtro de firewall en la interfaz de bucle invertido (lo0). Los filtros del firewall de bucle invertido sólo se aplican a los paquetes que se envían al motor de enrutamiento CPU para su posterior procesamiento. Por lo tanto, solo puede aplicar un filtro de firewall en la dirección de entrada de la interfaz de bucle invertido.

Cada término en un filtro de Firewall se compone de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los valores o los campos que un paquete debe contener. Puede definir condiciones de coincidencia múltiple, única o no. Si no se especifican condiciones de coincidencia para el término, todos los paquetes coinciden de forma predeterminada. La cadena que define una condición de coincidencia se denomina instrucción de coincidencia. La acción es la acción que toma el modificador si un paquete coincide con las condiciones de coincidencia del término específico. Los modificadores de acción son opcionales y especifican una o varias acciones que tomará el conmutador si un paquete coincide con las condiciones de coincidencia del término específico.

Las siguientes tablas enumeran las condiciones, acciones y modificadores de acciones compatibles con un filtro de firewall configurado en una interfaz de bucle de retroceso en un conmutador:

Para obtener información sobre condiciones de coincidencia, acciones y modificadores de acciones compatibles con un filtro de firewall configurado en una interfaz de red, consulte Platform Support for Firewall Filter Match Conditions, Actions, and Action Modifiers on EX Series Switches.

Tabla 1: Condiciones de coincidencia para filtros de firewall en interfaces de bucle de retroceso—para la compatibilidad de tráfico IPv4 e IPv6 por conmutador

Condición coincidir

EX2200

EX3200,

EX4200

EX3300

EX4500

EX6200

EX8200

Condiciones de coincidencia para el tráfico IPv4:

Dirección de destino

Puerto de destino

destino-prefijo-lista

valida

código de ICMP

tipo de ICMP

interfaz

is-Fragment

longitud de paquete

prioridad

Protocolo

Dirección de origen

Puerto de origen

Source-prefix-List

Condiciones de coincidencia para el tráfico IPv6:

ip6-destination-address

Puerto de destino

destino-prefijo-lista

código de ICMP

tipo de ICMP

interfaz

siguiente encabezado

longitud de paquete

Dirección de origen

Puerto de origen

Source-prefix-List

establecida por TCP

indicadores TCP

inicial de TCP

clase de tráfico

Tabla 2: Acciones para filtros de firewall en interfaces de bucle invertido para la—compatibilidad de tráfico IPv4 e IPv6 por conmutador

Intervención

EX2200

EX3200,

EX4200

EX3300

EX4500

EX6200

EX8200

Acciones para el tráfico IPv4:

recibir

rechaza

Acciones para el tráfico IPv6:

recibir

rechaza

Tabla 3: Modificadores de acciones para filtros de cortafuegos en interfaces de bucle para—el soporte de tráfico IPv4 e IPv6 por conmutador

Intervención

EX2200

EX3200,

EX4200

EX3300

EX4500

EX6200

EX8200

Modificadores de acciones para el tráfico IPv4:

cuentan

de clase de reenvío

prioridad de pérdida

Modificadores de acciones para el tráfico IPv6:

cuentan

de clase de reenvío

prioridad de pérdida

Nota

En los conmutadores EX8200, si se configura discard una acción implícita o explícita en una interfaz de bucle de retroceso para el tráfico IPv4, se aceptarán los paquetes de resolución de siguiente salto y se les permitirá pasar por el conmutador. Sin embargo, para el tráfico IPv6 debe configurar explícitamente una regla que permita que la IPv6 de detección de vecinos pase a través del conmutador.