Compatibilidad con condiciones y acciones de coincidencia para filtros de firewall de circuito cerrado en conmutadores
En los conmutadores Ethernet de la serie EX, una interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Si desea supervisar este tráfico de control, debe configurar un filtro de firewall en la interfaz de circuito cerrado (lo0). Los filtros de firewall de circuito cerrado sólo se aplican a los paquetes que se envían a la CPU del motor de enrutamiento para su posterior procesamiento. Por lo tanto, puede aplicar un filtro de firewall solo en la dirección de entrada en la interfaz de circuito cerrado.
Cada término de un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los valores o campos que debe contener un paquete. Puede definir condiciones de coincidencia múltiples, únicas o sin coincidencia. Si no se especifica ninguna condición de coincidencia para el término, todos los paquetes coinciden de forma predeterminada. La cadena que define una condición de coincidencia se denomina instrucción de coincidencia. La acción es la acción que realiza el conmutador si un paquete coincide con las condiciones de coincidencia para el término específico. Los modificadores de acción son opcionales y especifican una o más acciones que el conmutador realiza si un paquete coincide con las condiciones de coincidencia para el término específico.
En las tablas siguientes se enumeran las condiciones, las acciones y los modificadores de acción de coincidencia compatibles con un filtro de firewall configurado en una interfaz de circuito cerrado en un conmutador:
Para obtener información sobre las condiciones de coincidencia, las acciones y los modificadores de acción admitidos para un filtro de firewall configurado en una interfaz de red, consulte Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtros de firewall en conmutadores de la serie EX.
Condición de coincidencia |
EX2200 |
EX3200, EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
|---|---|---|---|---|---|---|
Condiciones de coincidencia para el tráfico IPv4: |
||||||
dirección-destino |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
puerto de destino |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
lista de prefijos de destino |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
DSCP |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
código icmp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Tipo ICMP |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
interfaz |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
is-fragmento |
✓ |
✓ |
✓ |
✓ |
– |
– |
longitud del paquete |
– |
– |
– |
– |
– |
✓ |
precedencia |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
protocolo |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
dirección de origen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
puerto de origen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
source-prefix-list |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Condiciones de coincidencia para el tráfico IPv6: |
||||||
dirección de destino ip6 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
puerto de destino |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
lista de prefijos de destino |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
código icmp |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Tipo ICMP |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
interfaz |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
siguiente-encabezado |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
longitud del paquete |
– |
– |
– |
– |
– |
✓ |
dirección de origen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
puerto de origen |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
source-prefix-list |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Establecido por TCP |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
Indicadores TCP |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
TCP-inicial |
✓ |
✓ |
✓ |
✓ |
✓ |
– |
clase de tráfico |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Acción |
EX2200 |
EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
|---|---|---|---|---|---|---|
Acciones para el tráfico IPv4: |
||||||
aceptar |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
descartar |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Acciones para tráfico IPv6: |
||||||
aceptar |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
descartar |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
Acción |
EX2200 |
EX3200,EX4200 |
EX3300 |
EX4500 |
EX6200 |
EX8200 |
|---|---|---|---|---|---|---|
Modificadores de acción para el tráfico IPv4: |
||||||
cuenta |
– |
✓ |
– |
✓ |
✓ |
– |
clase de reenvío |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
prioridad a la pérdida |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
Modificadores de acción para el tráfico IPv6: |
||||||
cuenta |
– |
✓ |
– |
✓ |
– |
– |
clase de reenvío |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
prioridad a la pérdida |
✓ |
✓ |
✓ |
✓ |
– |
✓ |
En los conmutadores EX8200, si se configura una acción implícita o explícita discard en una interfaz de circuito cerrado para el tráfico IPv4, se aceptan los paquetes de resolución del próximo salto y se les permite pasar a través del conmutador. Sin embargo, para el tráfico IPv6, debe configurar explícitamente una regla para permitir que los paquetes de resolución IPv6 de detección de vecinos pasen a través del conmutador.