Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ループバック インターフェイスでのファイアウォール フィルターのサポート

ループバック インターフェイスは、ルーターのルーティング エンジンに入るすべての制御トラフィックのゲートウェイです。この制御トラフィックを監視する場合は、ループバックインターフェイス(lo0)にファイアウォールフィルターを設定する必要があります。

ループバックファイアウォールフィルターは、さらなる処理のためにルーティングエンジンに送信されたパケットにのみ適用されます。inetとinet6の両方のファミリーフィルターをサポートしており、lo0インターフェイスの入力方向と出力方向にファイアウォールフィルターを適用できます。ただし、ファイアウォールフィルターのインスタンスは interface-specific つだけサポートされます。

標準のファイアウォールフィルター一致条件については、 IPv4トラフィックの一致条件(ACXシリーズルーター)を参照してください。

lo0 のファイアウォール フィルターは、次の例外パケットをイングレス方向で処理します。

  • TTL 例外パケット

  • 宛先 IP アドレスとして 224.0.0.x を持つマルチキャスト パケット

  • ブロードキャスト パケット

  • IPオプションパケット

注:

ポリサー アクションはイングレス方向のループバック フィルターにアタッチできますが、正確な動作は CPU RX キューの構成によって異なります。例えば、(ポリサー設定による)イングレス方向のレート制限は、CPU レート リミッターの後に行われます。

以下は、ループバックインターフェイスにファイアウォールを接続するための設定例です。

ループバックファイアウォールフィルターは、BGP、OSPF、SSH、Telnet、ICMP、SNMPなどの一般的に使用されるプロトコルに一致するように設定することもできます。構成例を以下に示します。