Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compatibilidad con filtros de firewall en interfaz de circuito cerrado

Una interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del enrutador. Si desea supervisar este tráfico de control, debe configurar un filtro de firewall en la interfaz de circuito cerrado (lo0).

Los filtros de firewall de circuito cerrado solo se aplican a los paquetes enviados al motor de enrutamiento para su posterior procesamiento. Se admiten los filtros de familia inet e inet6, y puede aplicar un filtro de firewall en las direcciones de entrada y salida de la interfaz lo0. Sin embargo, solo interface-specific se admiten instancias del filtro de firewall.

Para conocer las condiciones estándar de coincidencia del filtro de firewall, consulte Condiciones de coincidencia para tráfico IPv4 (enrutadores de la serie ACX).

El filtro de firewall en lo0 controla los siguientes paquetes de excepción en la dirección de entrada:

  • Paquetes de excepción TTL

  • Paquetes de multidifusión con 224.0.0.x como dirección IP de destino

  • Paquetes de difusión

  • Paquetes de opciones IP

Nota:

Aunque las acciones de policía se pueden adjuntar a filtros de circuito cerrado en la dirección de entrada, el comportamiento exacto depende de las configuraciones de cola RX de la CPU. Por ejemplo, la limitación de velocidad en la dirección de entrada (a través de la configuración del aplicador de políticas) se produce después de cualquier limitador de velocidad de CPU.

A continuación se muestra un ejemplo de configuración para adjuntar un firewall a la interfaz de circuito cerrado:

También se puede configurar un filtro de firewall de circuito cerrado para que coincida con los protocolos de uso común, como BGP, OSPF, SSH, Telnet, ICMP, SNMP, etc. A continuación se muestra una configuración de ejemplo: