Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu pour MPLS trafic IPv4 ou IPv6 balisé

Correspondance avec l’adresse d’en-tête de paquets IPv4 ou IPv6 ou les champs de port dans MPLS flux

Pour prendre en charge un service basé sur le réseau dans un réseau central, vous pouvez configurer un filtre de pare-feu qui correspond aux champs d’en-tête des paquets IPv4 (Internet Protocol version 4) ou 6 (IPv6) dans le trafic MPLS ( family mpls ). Le filtre de pare-feu peut correspondre aux paquets IPv4 ou IPv6 en tant que charge utile interne d’un paquet MPLS qui contient un seul label MPLS ou jusqu’à cinq labels MPLS superposés. Vous pouvez configurer des conditions de correspondance en fonction des adresses IPv4, des numéros de port IPv4, des adresses IPv6 et des numéros de port IPv6 dans l’en-tête.

Les filtres de pare-feu basés sur les en-têtes IPv4 balisé MPLS sont pris en charge pour les interfaces des concentrateurs PIC flexibles à évolutation améliorée (FPC) sur les routeurs et commutateurs T320, T640, T1600, TX Matrix et TX Matrix Plus. Cependant, les filtres de pare-feu basés sur MPLS en-têtes IPv6 balisé sont pris en charge pour les interfaces du type 5 FPC sur T4000 routeurs principaux uniquement. La fonctionnalité n’est pas prise en charge pour le routeur ou l’interface de bouclation du commutateur ( ), le routeur ou l’interface de gestion du commutateur ( ou ) ou les lo0fxp0em0 interfaces de modem USB ( umd ).

Pour configurer un terme filtre de pare-feu qui correspond à une adresse ou des champs de port dans l’en-tête de couche 4 des paquets dans un flux MPLS, vous utilisez la condition de correspondance pour spécifier que le terme correspond aux paquets en fonction des champs ip-version ipv4 IP internes:

  • Pour faire correspondre un MPLS IPv4 balisé sur le champ d’adresse source ou de destination de l’en-tête IPv4, spécifiez la condition de correspondance au niveau [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] de la hiérarchie.

  • Pour faire correspondre un paquet IPv4 marqué MPLS sur le champ source ou de port de destination dans l’en-tête de couche 4, spécifiez la condition de correspondance au niveau [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] de la hiérarchie.

Pour configurer un terme filtre de pare-feu qui correspond à une adresse ou des champs de port dans l’en-tête IPv6 des paquets dans un flux MPLS, vous utilisez la condition de correspondance pour spécifier que le terme correspond aux paquets en fonction des champs ip-version ipv6 IP internes:

  • Pour faire correspondre un MPLS IPv6 marqué sur le champ source ou de l’adresse de destination dans l’en-tête IPv6, spécifiez la condition de correspondance au niveau [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] de la hiérarchie.

  • Pour faire correspondre un paquet IPv6 marqué MPLS sur le champ source ou de destination dans l’en-tête de couche 4, spécifiez la condition de correspondance au niveau de [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] la hiérarchie.

Conditions de correspondance de l’adresse IP pour MPLS trafic

Tableau 1 décrit les conditions de correspondance spécifiques à l’adresse IP que vous pouvez configurer au niveau [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] de la hiérarchie.

Tableau 1 : Conditions de filtrage de pare-feu spécifiques à l’adresse IP pour MPLS trafic

Condition de correspondance

Description

destination-address address

Correspondre à l’adresse du nœud de destination pour recevoir le paquet.

destination-address address except

Ne correspondez pas à l’adresse du nœud de destination pour recevoir le paquet.

protocol number

Faire correspondre le champ type de protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hopicmp (0), icmp6 (1), icmpv6 (58), (58), igmp (2), ipip (4), ipv6ospf (41), pim (89), (103), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

source-address address

Correspondre à l’adresse du nœud source qui envoie le paquet.

source-address address except

Ne correspondez pas à l’adresse du nœud source qui envoie le paquet.

Conditions de correspondance des ports IP pour MPLS trafic

Tableau 2 décrit le port IP spécifique match-conditions que vous pouvez configurer au niveau de la [edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )] hiérarchie.

Tableau 2 : Conditions de correspondance des filtres de pare-feu pour les ports IP MPLS trafic

Condition de correspondance

Description

destination-port number

Match sur le champ de port de destination UDP ou TCP.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les numéros de port sont également répertoriés): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftpftp-data (21), http (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-propkrbupdate (754), (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntppop3 (123), (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Ne faites pas correspondre sur le champ de port de destination UDP ou TCP.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées avec la destination-port condition de correspondance.

source-port number

Match sur le champ source TCP ou UDP.

Au lieu du champ numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées destination-port ci-dessous.

source-port-except number

Ne faites pas correspondre sur le champ de port source TCP ou UDP.