Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compatibilidad con condiciones y acciones de coincidencia para filtros de firewall de circuito cerrado en conmutadores

En los conmutadores Ethernet de la serie EX, una interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Si desea supervisar este tráfico de control, debe configurar un filtro de firewall en la interfaz de circuito cerrado (lo0). Los filtros de firewall de circuito cerrado sólo se aplican a los paquetes que se envían a la CPU del motor de enrutamiento para su posterior procesamiento. Por lo tanto, puede aplicar un filtro de firewall solo en la dirección de entrada en la interfaz de circuito cerrado.

Cada término de un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los valores o campos que debe contener un paquete. Puede definir condiciones de coincidencia múltiples, únicas o sin coincidencia. Si no se especifica ninguna condición de coincidencia para el término, todos los paquetes coinciden de forma predeterminada. La cadena que define una condición de coincidencia se denomina instrucción de coincidencia. La acción es la acción que realiza el conmutador si un paquete coincide con las condiciones de coincidencia para el término específico. Los modificadores de acción son opcionales y especifican una o más acciones que el conmutador realiza si un paquete coincide con las condiciones de coincidencia para el término específico.

En las tablas siguientes se enumeran las condiciones, las acciones y los modificadores de acción de coincidencia compatibles con un filtro de firewall configurado en una interfaz de circuito cerrado en un conmutador:

Para obtener información sobre las condiciones de coincidencia, las acciones y los modificadores de acción admitidos para un filtro de firewall configurado en una interfaz de red, consulte Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtros de firewall en conmutadores de la serie EX.Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtro de firewall en conmutadores de la serie EX

Tabla 1: Hacer coincidir las condiciones de los filtros de firewall en interfaces de circuito cerrado para tráfico IPv4 e IPv6: compatibilidad por conmutador

Condición de coincidencia

EX2200

EX3200, EX4200

EX3300

EX4500

EX6200

EX8200

Condiciones de coincidencia para el tráfico IPv4:

dirección-destino

puerto de destino

lista de prefijos de destino

Dscp

código icmp

Tipo ICMP

interfaz

is-fragmento

longitud del paquete

Precedencia

Protocolo

dirección de origen

puerto de origen

source-prefix-list

Condiciones de coincidencia para el tráfico IPv6:

dirección de destino ip6

puerto de destino

lista de prefijos de destino

código icmp

Tipo ICMP

interfaz

siguiente-encabezado

longitud del paquete

dirección de origen

puerto de origen

source-prefix-list

Establecido por TCP

Indicadores TCP

TCP-inicial

clase de tráfico

Tabla 2: Acciones para filtros de firewall en interfaces de circuito cerrado para tráfico IPv4 e IPv6: compatibilidad por conmutador

Acción

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Acciones para el tráfico IPv4:

Aceptar

Deseche

Acciones para tráfico IPv6:

Aceptar

Deseche

Tabla 3: Modificadores de acción para filtros de firewall en interfaces de circuito cerrado para tráfico IPv4 e IPv6: compatibilidad por conmutador

Acción

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Modificadores de acción para el tráfico IPv4:

cuenta

clase de reenvío

prioridad a la pérdida

Modificadores de acción para el tráfico IPv6:

cuenta

clase de reenvío

prioridad a la pérdida

Nota:

En los conmutadores EX8200, si se configura una acción implícita o explícita en una interfaz de circuito cerrado para el tráfico IPv4, se aceptan los paquetes de resolución del próximo salto y se les permite pasar a través del conmutador.discard Sin embargo, para el tráfico IPv6, debe configurar explícitamente una regla para permitir que los paquetes de resolución IPv6 de detección de vecinos pasen a través del conmutador.