Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compatibilidad con condiciones y acciones de coincidencia para filtros de firewall de circuito cerrado en conmutadores

En los conmutadores Ethernet de la serie EX, una interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Si desea supervisar este tráfico de control, debe configurar un filtro de firewall en la interfaz de circuito cerrado (lo0). Los filtros de firewall de circuito cerrado se aplican solo a los paquetes que se envían a la CPU del motor de enrutamiento para su posterior procesamiento. Por lo tanto, puede aplicar un filtro de firewall solo en la dirección de entrada en la interfaz de circuito cerrado.

Cada término en un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los valores o campos que debe contener un paquete. Puede definir varias condiciones de coincidencia, una o ninguna. Si no se especifican condiciones de coincidencia para el término, todos los paquetes se coincidirán de forma predeterminada. La cadena que define una condición de coincidencia se denomina instrucción match. La acción es la acción que realiza el conmutador si un paquete coincide con las condiciones de coincidencia para el término específico. Los modificadores de acciones son opcionales y especifican una o más acciones que el conmutador realiza si un paquete coincide con las condiciones de coincidencia para el término específico.

Las siguientes tablas lista coinciden con condiciones, acciones y modificadores de acción compatibles con un filtro de firewall configurado en una interfaz de circuito cerrado en un conmutador:

Para obtener información sobre condiciones de coincidencia, acciones y modificadores de acción compatibles con un filtro de firewall configurado en una interfaz de red, consulte Soporte de plataforma para condiciones, acciones y modificadores de acciones de coincidencia de filtros de firewall en conmutadores de la serie EX.

Tabla 1: Condiciones de coincidencia para filtros de firewall en interfaces de circuito cerrado para tráfico IPv4 e IPv6: soporte por conmutador

Condición de coincidencia

EX2200

EX3200, EX4200

EX3300

EX4500

EX6200

EX8200

Condiciones de coincidencia para el tráfico IPv4:

dirección de destino

puerto de destino

lista de prefijos de destino

Dscp

icmp-code

tipo icmp

interfaz

is-fragment

longitud de paquete

Precedencia

Protocolo

dirección de origen

puerto de origen

lista de prefijos de origen

Condiciones de coincidencia para el tráfico IPv6:

ip6-destination-address

puerto de destino

lista de prefijos de destino

icmp-code

tipo icmp

interfaz

siguiente encabezado

longitud de paquete

dirección de origen

puerto de origen

lista de prefijos de origen

establecido por tcp

tcp-flags

inicial tcp

clase de tráfico

Tabla 2: Acciones para filtros de firewall en interfaces de circuito cerrado para tráfico IPv4 e IPv6: compatibilidad por conmutador

Acción

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Acciones para el tráfico IPv4:

Aceptar

Deseche

Acciones para el tráfico IPv6:

Aceptar

Deseche

Tabla 3: Modificadores de acción para filtros de firewall en interfaces de circuito cerrado para tráfico IPv4 e IPv6: soporte por conmutador

Acción

EX2200

EX3200,EX4200

EX3300

EX4500

EX6200

EX8200

Modificadores de acción para tráfico IPv4:

Contar

clase de reenvío

prioridad de pérdida

Modificadores de acción para el tráfico IPv6:

Contar

clase de reenvío

prioridad de pérdida

Nota:

En conmutadores EX8200, si se configura una acción implícita o explícita discard en una interfaz de circuito cerrado para el tráfico IPv4, se aceptan paquetes de resolución de salto siguiente y se les permite pasar por el conmutador. Sin embargo, para el tráfico IPv6, debe configurar explícitamente una regla para permitir que los paquetes IPv6 de descubrimiento vecino resuelvan para pasar por el conmutador.