スイッチでのループバックファイアウォールフィルターの一致条件とアクションのサポート
EXシリーズイーサネットスイッチでは、ループバックインターフェイスは、スイッチのルーティングエンジンに入るすべての制御トラフィックのゲートウェイです。この制御トラフィックを監視する場合は、ループバックインターフェイス(lo0)にファイアウォールフィルターを設定する必要があります。ループバック ファイアウォール フィルターは、さらなる処理のためにルーティング エンジン CPU に送信されるパケットにのみ適用されます。そのため、ファイアウォールフィルターは、ループバックインターフェイスの入力方向にのみ適用できます。
ファイアウォールフィルターの各用語は、 一致条件 と アクションで構成されます。一致条件とは、パケットに含める必要のある値またはフィールドです。複数、単一、または一致なしの条件を定義できます。条件に一致する条件が指定されていない場合、すべてのパケットがデフォルトで一致します。一致条件を定義する文字列は、一致ステートメントと呼ばれます。アクションとは、パケットが特定の条件の一致条件に一致した場合にスイッチが実行するアクションです。アクション修飾子はオプションで、パケットが特定の用語の一致条件に一致した場合にスイッチが実行する 1 つ以上のアクションを指定します。
以下の表は、スイッチのループバックインターフェイスに設定されたファイアウォールフィルターでサポートされている一致条件、アクション、およびアクション修飾子を示しています。
ネットワークインターフェイスに設定されたファイアウォールフィルターでサポートされている一致条件、アクション、およびアクション修飾子については、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。
一致条件 |
EX2200 |
EX3200、 EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
IPv4トラフィックの一致条件: |
||||||
宛先アドレス |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
宛先ポート |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
宛先プレフィックスリスト |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ティッカー |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMPコード |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMPタイプ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
インターフェイス |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
IS-fragment |
✓ |
✓ |
✓ |
✓ |
– |
– |
パケット長 |
– |
– |
– |
– |
– |
✓ |
順位 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
protocol |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
送信元アドレス |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
送信元ポート |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ソースプレフィックスリスト |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
IPv6トラフィックの一致条件: |
||||||
IP6宛先アドレス |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
宛先ポート |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
宛先プレフィックスリスト |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMPコード |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ICMPタイプ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
インターフェイス |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ネクストヘッダー |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
パケット長 |
– |
– |
– |
– |
– |
✓ |
送信元アドレス |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
送信元ポート |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
ソースプレフィックスリスト |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
TCP確立 |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
tcp フラグ |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
tcp イニシャル |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
トラフィッククラス |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
アクション |
EX2200 |
EX3200、EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
IPv4トラフィックに対するアクション: |
||||||
受け入れ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
捨てる |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
IPv6トラフィックに対するアクション: |
||||||
受け入れ |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
捨てる |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
アクション |
EX2200 |
EX3200、EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
---|---|---|---|---|---|---|
IPv4 トラフィックのアクション修飾子: |
||||||
count |
– |
✓ |
– |
✓ |
✓ |
– |
転送クラス |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
損失優先度 |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
IPv6トラフィックのアクション修飾子: |
||||||
count |
– |
✓ |
– |
✓ |
– |
– |
転送クラス |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
損失優先度 |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
EX8200スイッチでは、IPv4トラフィックのループバックインターフェイスに暗黙的または明示的な discard
アクションが設定されている場合、ネクストホップ解決パケットが受け入れられ、スイッチの通過が許可されます。ただし、IPv6 トラフィックの場合、ネイバー探索 IPv6 解決パケットがスイッチの通過を許可するルールを明示的に設定する必要があります。