Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 avec balise MPLS

Mise en correspondance sur les champs d’adresse ou de port d’en-tête de paquet IPv4 ou IPv6 dans les flux MPLS

Pour prendre en charge un service basé sur le réseau dans un réseau central, vous pouvez configurer un filtre de pare-feu qui correspond aux champs d’en-tête de paquet du protocole Internet version 4 (IPv4) ou version 6 (IPv6) dans le trafic MPLS (family mpls). Le filtre de pare-feu peut faire correspondre des paquets IPv4 ou IPv6 en tant que charge utile interne d’un paquet MPLS comportant une seule étiquette MPLS ou jusqu’à cinq étiquettes MPLS empilées. Vous pouvez configurer des conditions de correspondance en fonction des adresses IPv4 et des numéros de port IPv4 ou des adresses IPv6 et des numéros de port IPv6 dans l’en-tête.

Les filtres de pare-feu basés sur les en-têtes IPv4 marqués MPLS sont pris en charge pour les interfaces des concentrateurs PIC flexibles (FPC) Enhanced Scaling sur les routeurs et commutateurs T320, T640, T1600, TX Matrix et TX Matrix Plus uniquement. Toutefois, les filtres de pare-feu basés sur les en-têtes IPv6 balisés MPLS ne sont pris en charge que pour les interfaces sur le FPC de type 5 sur les routeurs centraux T4000. Cette fonctionnalité n’est pas prise en charge pour l’interface de bouclage du routeur ou du commutateur (), l’interface de gestion du routeur ou du commutateur ( ou ) ou les interfaces de modem USB (lo0fxp0umd).em0

Pour configurer un terme de filtre de pare-feu qui correspond à des champs d’adresse ou de port dans l’en-tête de couche 4 des paquets d’un flux MPLS, vous utilisez la ip-version ipv4 condition de correspondance pour spécifier que le terme doit correspondre aux paquets en fonction des champs IP internes :

  • Pour faire correspondre un paquet IPv4 balisé MPLS dans le champ d’adresse source ou de destination de l’en-tête IPv4, spécifiez la condition de correspondance au niveau de la [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] hiérarchie.

  • Pour faire correspondre un paquet IPv4 balisé MPLS dans le champ Port source ou de destination de l’en-tête Couche 4, spécifiez la condition de correspondance au niveau de la [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] hiérarchie.

Pour configurer un terme de filtre de pare-feu qui correspond à des champs d’adresse ou de port dans l’en-tête IPv6 des paquets d’un flux MPLS, vous utilisez la ip-version ipv6 condition de correspondance pour spécifier que le terme doit faire correspondre les paquets en fonction des champs IP internes :

  • Pour faire correspondre un paquet IPv6 balisé MPLS dans le champ d’adresse source ou de destination de l’en-tête IPv6, spécifiez la condition de correspondance au niveau de la [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] hiérarchie.

  • Pour faire correspondre un paquet IPv6 balisé MPLS dans le champ Port source ou de destination de l’en-tête Couche 4, spécifiez la condition de correspondance au niveau de la [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] hiérarchie.

Conditions de correspondance des adresses IP pour le trafic MPLS

Tableau 1 décrit les conditions de correspondance spécifiques à l’adresse IP que vous pouvez configurer au niveau de la [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu spécifique à l’adresse IP pour le trafic MPLS

Condition de correspondance

Description

destination-address address

Faites correspondre l’adresse du nœud de destination pour recevoir le paquet.

destination-address address except

Ne correspond pas à l’adresse du noeud de destination pour recevoir le paquet.

protocol number

Correspond au champ Type de protocole IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah( 51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), udp gredstoptsegpicmpv6icmp6igmpicmpipiphop-by-hopipv6ospffragmentesprsvpsctppimtcp (17) ou vrrp (112).

source-address address

Faites correspondre l’adresse du nœud source qui envoie le paquet.

source-address address except

Ne correspond pas à l’adresse du noeud source qui envoie le paquet.

Conditions de correspondance de port IP pour le trafic MPLS

Tableau 2 décrit le port IP spécifique match-conditions que vous pouvez configurer au niveau de la [edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )] hiérarchie.

Tableau 2 : Conditions de correspondance du filtre de pare-feu spécifique au port IP pour le trafic MPLS

Condition de correspondance

Description

destination-port number

Correspondance dans le champ Port de destination UDP ou TCP.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed (513) ou xdmcp (177).

destination-port-except number

Ne pas correspondre dans le champ Port de destination UDP ou TCP.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port condition de correspondance.

source-port number

Correspondance dans le champ Port source TCP ou UDP.

À la place du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

source-port-except number

Ne pas correspondre dans le champ Port source TCP ou UDP.