Prise en charge des conditions de correspondance et des actions pour les filtres de pare-feu de bouclage sur les commutateurs
Sur les commutateurs Ethernet EX Series, une interface de bouclage est une passerelle pour tout le trafic de contrôle entrant dans le moteur de routage du commutateur. Si vous souhaitez surveiller ce trafic de contrôle, vous devez configurer un filtre de pare-feu sur l’interface de bouclage (lo0). Les filtres de pare-feu de bouclage sont appliqués uniquement aux paquets envoyés au processeur du moteur de routage pour un traitement ultérieur. Par conséquent, vous ne pouvez appliquer un filtre de pare-feu que dans le sens d’entrée de l’interface de bouclage.
Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les valeurs ou les champs qu’un paquet doit contenir. Vous pouvez définir des conditions de correspondance multiples, uniques ou nulles. Si aucune condition de correspondance n’est spécifiée pour le terme, tous les paquets sont mis en correspondance par défaut. La chaîne qui définit une condition de correspondance est appelée instruction de correspondance. Il s’agit de l’action effectuée par le commutateur si un paquet correspond aux conditions de correspondance pour le terme spécifique. Les modificateurs d’action sont facultatifs et spécifient une ou plusieurs actions que le commutateur effectue si un paquet correspond aux conditions de correspondance pour le terme spécifique.
Les tableaux suivants répertorient les conditions de correspondance, les actions et les modificateurs d’action qui sont pris en charge pour un filtre de pare-feu configuré sur une interface de bouclage sur un commutateur :
Pour plus d’informations sur les conditions de correspondance, les actions et les modificateurs d’action pris en charge pour un filtre de pare-feu configuré sur une interface réseau, reportez-vous à la section Prise en charge de la plate-forme pour les conditions de correspondance du filtre de pare-feu, les actions et les modificateurs d’action sur les commutateurs EX Series.
Condition de correspondance |
EX2200 |
L’EX3200, EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
|---|---|---|---|---|---|---|
Conditions de correspondance pour le trafic IPv4 : |
||||||
adresse_destination |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
port_destination |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
liste_prefix_destination |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Dscp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
code icmp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
de type icmp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Interface |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
is-fragment |
✓ |
✓ |
✓ |
✓ |
– |
– |
longueur_paquet |
– |
– |
– |
– |
– |
✓ |
Priorité |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Protocole |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
adresse_source |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
port_source |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
liste_prefix_source |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Conditions de correspondance pour le trafic IPv6 : |
||||||
adresse de destination ip6 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
port_destination |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
liste_prefix_destination |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
code icmp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
de type icmp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Interface |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
en-tête suivant |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
longueur_paquet |
– |
– |
– |
– |
– |
✓ |
adresse_source |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
port_source |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
liste_prefix_source |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Établi par TCP |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
tcp-flags |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
tcp-initial |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
de classe trafic |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Action |
EX2200 |
L’EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
|---|---|---|---|---|---|---|
Actions pour le trafic IPv4 : |
||||||
Accepter |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Jeter |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Actions pour le trafic IPv6 : |
||||||
Accepter |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Jeter |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Action |
EX2200 |
L’EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
|---|---|---|---|---|---|---|
Modificateurs d’action pour le trafic IPv4 : |
||||||
Compter |
– |
✓ |
– |
✓ |
✓ |
– |
classe_transfert |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
priorité_perte |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
Modificateurs d’action pour le trafic IPv6 : |
||||||
Compter |
– |
✓ |
– |
✓ |
– |
– |
classe_transfert |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
priorité_perte |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
Sur les commutateurs EX8200, si une action implicite ou explicite discard est configurée sur une interface de bouclage pour le trafic IPv4, les paquets de résolution du tronçon suivant sont acceptés et autorisés à passer par le commutateur. Toutefois, pour le trafic IPv6, vous devez configurer explicitement une règle afin d’autoriser les paquets IPv6 resolve de découverte du voisin à passer par le commutateur.