Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS

Coincidir en campos de puerto, dirección de encabezado de paquete IPv4 o IPv6 en flujos MPLS

Para admitir el servicio basado en red en una red principal, puede configurar un filtro de firewall que coincida con los campos de encabezado de paquete Protocolo de Internet versión 4 (IPv4) o versión 6 (IPv6) en el tráfico MPLS (family mpls). El filtro de firewall puede hacer coincidir paquetes IPv4 o IPv6 como una carga interna de un paquete MPLS que tiene una sola etiqueta MPLS o hasta cinco etiquetas MPLS apiladas juntas. Puede configurar condiciones de coincidencia basadas en direcciones IPv4 y números de puerto IPv4 o direcciones IPv6 y números de puerto IPv6 en el encabezado.

Los filtros de firewall basados en encabezados IPv4 etiquetados con MPLS solo se admiten para interfaces en concentradores PIC flexibles (FPC) de escalado mejorado en enrutadores y conmutadores T320, T640, T1600, TX Matrix y TX Matrix Plus. Sin embargo, los filtros de firewall basados en encabezados IPv6 etiquetados con MPLS solo se admiten para interfaces de FPC tipo 5 en enrutadores de núcleo T4000. La función no es compatible con la interfaz de bucle invertido del enrutador o conmutador (lo0), la interfaz de administración del enrutador o conmutador (fxp0 o em0) o las interfaces de módem USB (umd).

Para configurar un término de filtro de firewall que coincida con una dirección o campos de puerto en el encabezado de capa 4 de paquetes en un flujo MPLS, utilice la ip-version ipv4 condición de coincidencia para especificar que el término es para hacer coincidir paquetes basados en campos IP internos:

  • Para hacer coincidir un paquete IPv4 etiquetado con MPLS en el campo dirección de origen o destino del encabezado IPv4, especifique la condición de coincidencia en el nivel de [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] jerarquía.

  • Para hacer coincidir un paquete IPv4 etiquetado con MPLS en el campo puerto de origen o destino del encabezado Capa 4, especifique la condición de coincidencia en el nivel de [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] jerarquía.

Para configurar un término de filtro de firewall que coincida con los campos de dirección o puerto del encabezado IPv6 de los paquetes de un flujo MPLS, utilice la ip-version ipv6 condición de coincidencia para especificar que el término es para hacer coincidir paquetes basados en campos IP internos:

  • Para hacer coincidir un paquete IPv6 etiquetado con MPLS en el campo dirección de origen o destino del encabezado IPv6, especifique la condición de coincidencia en el nivel de [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] jerarquía.

  • Para hacer coincidir un paquete IPv6 etiquetado con MPLS en el campo puerto de origen o destino del encabezado de capa 4, especifique la condición de coincidencia en el nivel de [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] jerarquía.

Condiciones de coincidencia de direcciones IP para tráfico MPLS

Tabla 1 describe las condiciones de coincidencia específicas de la dirección IP que puede configurar en el nivel jerárquico [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] .

Tabla 1: Condiciones de coincidencia del filtro de firewall específico de la dirección IP para el tráfico MPLS

Condición de coincidencia

Description

destination-address address

Haga coincidir la dirección del nodo de destino para recibir el paquete.

destination-address address except

No coincida con la dirección del nodo de destino para recibir el paquete.

protocol number

Haga coincidir el campo Tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) o vrrp (112).

source-address address

Haga coincidir la dirección del nodo de origen que envía el paquete.

source-address address except

No coincida con la dirección del nodo de origen que envía el paquete.

Condiciones de coincidencia de puertos IP para el tráfico MPLS

Tabla 2 describe el puerto IP específico match-conditions que puede configurar en el nivel jerárquico [edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )] .

Tabla 2: Condiciones de coincidencia del filtro de firewall específico del puerto IP para el tráfico MPLS

Condición de coincidencia

Description

destination-port number

Coincidir en el campo Puerto de destino UDP o TCP.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-port-except number

No coincida en el campo Puerto de destino UDP o TCP.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port condición de coincidencia.

source-port number

Coincidir en el campo Puerto de origen TCP o UDP.

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

source-port-except number

No coincida en el campo Puerto de origen TCP o UDP.

Condiciones de coincidencia de interfaz para tráfico MPLS

Tabla 3 Describe la interfaz específica match-conditions que se puede configurar en el nivel de [edit firewall family mpls filter filter-name term term-name] jerarquía.

Tabla 3: Condiciones de coincidencia del filtro de firewall específico de la interfaz para el tráfico MPLS

Condición de coincidencia

Description

interface-group interface-device name | unit-list

Haga coincidir el grupo de interfaz. Las opciones son:

  • interface-device name - Nombre del dispositivo de interfaz. Solo se permiten dispositivos Ethernet. El nombre de la interfaz del dispositivo incluye ge, ae, xe and et.

  • unit-list - Uno o más números de unidad de interfaz lógica.

    • Gama: Una cadena en el intervalo <0-16385> o <0-16385>-<0-16385>. Por ejemplo, unit-list[12 23-33 44]

Temas relacionados