Firewall filtrar condições, ações e modificadores de ação para switches da Série EX
Quando você define um filtro de firewall para um switch da Série EX, você define critérios de filtragem (termscom match conditions) para os pacotes e um action (e, opcionalmente, um action modifier) para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Você pode definir um filtro de firewall para monitorar o tráfego IPv4, IPv6 ou não IP.
Este tópico descreve detalhadamente as várias condições de correspondência, ações e modificadores de ação que você pode definir em um filtro de firewall. Para obter informações sobre o suporte para condições de correspondência em vários switches da Série EX, consulte o suporte da plataforma para condições, ações e modificadores de ação do filtro de firewall em switches da Série EX.
Elementos de filtro de firewall
Uma configuração de filtro de firewall contém um termo, uma condição de correspondência, uma ação e, opcionalmente, um modificador de ação. Tabela 1 descreve cada elemento em uma configuração de filtro de firewall.
Nome do elemento |
Descrição |
---|---|
Prazo |
Define os critérios de filtragem para os pacotes. Cada termo no filtro de firewall consiste em condições de correspondência e uma ação. Você pode definir um único termo ou vários termos no filtro de firewall. Se você definir vários termos, cada termo deve ter um nome único. |
Condição da partida |
Consiste em uma corda (chamada a match statement) que define a condição da partida. As condições de correspondência são os valores ou campos que um pacote deve conter. Você pode definir uma única condição de correspondência ou várias condições de correspondência por um termo. Você também pode optar por não definir uma condição de correspondência. Se nenhuma condição de correspondência for especificada para um termo, todos os pacotes serão combinados por padrão. |
Ação |
Especifica a ação que o switch toma se um pacote corresponder a todos os critérios especificados nas condições de correspondência. |
Modificador de ação |
Especifica uma ou mais ações que o switch toma se um pacote corresponder às condições de correspondência para o termo específico. |
Condições de correspondência suportadas em switches
Com base no tipo de tráfego que você deseja monitorar, você pode configurar um filtro de firewall para monitorar o tráfego IPv4, IPv6 ou não-IP. Ao configurar um filtro de firewall para monitorar um determinado tipo de tráfego, certifique-se de especificar as condições de correspondência que são suportadas para esse tipo de tráfego. Para obter informações sobre condições de correspondência suportadas para um tipo específico de tráfego e switches nos quais eles são suportados, veja Suporte de plataforma para condições, ações e modificadores de ação do filtro de firewall em switches da Série EX.
Tabela 2 descreve todas as condições de correspondência que são suportadas para filtros de firewall em switches da Série EX.
Condição da partida |
Descrição |
---|---|
|
Campo de endereço de destino IP, que é o endereço do nó de destino final. |
|
Campo de endereço de destino IP, que é o endereço do nó de destino final. |
|
Campo de endereço de destino IP, que é o endereço do nó de destino final. |
destination-mac-address mac-address |
Endereço de controle de acesso de mídia de destino (MAC) do pacote. Você pode definir um endereço MAC de destino com um prefixo, como destination-mac-address 00:01:02:03:04:05/24. Se nenhum prefixo for especificado, o valor padrão 48 é usado. |
destination-port number |
Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta condição de correspondência em conjunto com a afs (1483), bgp (179), biff (512), bootpc (68), bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104) |
destination-prefix-list prefix-list |
Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Você define essa condição de correspondência no nível de |
|
O campo de tags no cabeçalho Ethernet. Os valores da tag variam de 1 a 4095. A |
|
O campo de tags no cabeçalho Ethernet. Os valores da tag variam de 1 a 4095. A |
dot1q-user-priority number |
Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7. Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
user-vlan-1p-priority number |
Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7. Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
dscp number |
Especifica o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os seis bits mais significativos desse byte formam o DSCP. Você pode especificar DSCP em forma hexadédica, binária ou decima. Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
ether-type value |
Tipo de campo de ethernet de um pacote. O valor especifica qual protocolo está sendo transportado no quadro Ethernet. Para value, você pode especificar um dos seguintes sinônimos de texto:
Nota:
As condições da partida a seguir não são suportadas quando ether-type definidas para ipv6:
|
fragment-flags fragment-flags |
Bandeiras de fragmentação de IP especificadas em formatos simbólicos ou hexadecimal. Você pode especificar uma das seguintes opções:
|
gbp-dst-tag | Combine a tag de destino, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN |
gbp-src-tag | Combine a tag de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN |
icmp-code number |
Campo de código ICMP. Esse valor ou opção fornece informações mais específicas do que icmp-type. Como o significado do valor depende do associado icmp-type, você deve especificar icmp-type junto com icmp-code. Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As opções são agrupadas pelo tipo ICMP com o qual estão associadas:
|
icmp-type number |
Campo do tipo de pacote ICMP. Normalmente, você especifica esta condição de correspondência em conjunto com a echo-reply (0), , echo-request (8)info-reply (16), info-request (15)mask-request (17), , mask-reply (18)parameter-problem (12) redirect (5), , router-advertisement (9)router-solicit (10), source-quench (4) time-exceeded (11), , timestamp (13)timestamp-reply (14)unreachable (3) |
interface interface-name |
Interface na qual o pacote é recebido. Você pode especificar o caractere curinga (*) como parte de um nome de interface. Nota:
A interface condição de correspondência não é suportada para tráfego de saída em um Virtual Chassis EX8200. |
ip-options |
Presença do campo de opções no cabeçalho IP. |
ip-version version match_condition(s) |
Versão do protocolo IP para filtros de firewall de porta e VLAN. O valor version pode ser ipv4 ou ipv6. Para match_condition(s), você pode especificar uma ou mais das seguintes condições de correspondência:
|
is-fragment |
Se o pacote for um fragmento de rastreamento, essa condição de correspondência não corresponde ao primeiro fragmento de um pacote fragmentado. Use dois termos para combinar tanto em primeiro lugar quanto em fragmentos de rastreamento. Nota:
Devido a uma limitação nos switches EX2300, EX3400 e EX4300, essa condição de correspondência não corresponde ao último fragmento de um pacote fragmentado quando aplicado à "comutação de ethernet da família". |
l2-encap-type llc-non-snap |
Combine com pacotes de camada de controle de enlace lógico (LLC) para o tipo de encapsulamento de ethernet não sub-subnet Access Protocol (SNAP). |
next-header bytes |
Campo de protocolo de 8 bits que identifica o tipo de cabeçalho imediatamente após o cabeçalho IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah (51), dstops (60), egp (8), esp (50), , fragment (44), hop-by-hop (0)gre (47), icmp (1)igmp (2)icmp6 (1), ipip (4), , ipv6 (41), no-next-header (59)pim (103)ospf (89), , routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112) |
packet-length bytes |
Duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2. |
|
Precedência de IP. Para precedence, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): critical-ecp (5), flash (3), flash-override (4), immediate (2), , internet-control (6), net-control (7), priority (1)routine (0) |
|
Precedência de IP. Para precedence, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): critical-ecp (5), flash (3), flash-override (4), immediate (2), , internet-control (6), net-control (7), priority (1)routine (0) |
|
Valor do protocolo IPv4. Para protocols, você pode especificar um dos seguintes sinônimos de texto: egp (8), esp (50), gre (47), icmp (1), , igmp (2), ipip (4) ospf (89), , pim (103)rsvp (46), tcp (6)udp (17) |
|
Valor do protocolo IPv4. Para protocols, você pode especificar um dos seguintes sinônimos de texto: egp (8), esp (50), gre (47), icmp (1), , igmp (2), ipip (4) ospf (89), , pim (103)rsvp (46), tcp (6)udp (17) |
source-address ip-address |
Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Para IPv6, o campo de endereço de origem tem 128 bits de comprimento. A sintaxe da descrição do filtro oferece suporte às representações de texto para endereços IPv6 descritos na RFC 2373, Arquitetura de endereçamento IP Versão 6. |
|
Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Você pode especificar um endereço IPv4 ( |
source-mac-address mac-address |
Endereço MAC de origem. Você pode definir um endereço MAC de origem com um prefixo, como source-mac-address 00:01:02:03:04:05/24. Se nenhum prefixo for especificado, o valor padrão 48 é usado. |
source-port number |
Campo TCP ou UDP source-port . Normalmente, você especifica esta correspondência em conjunto com a |
source-prefix-list prefix-list |
Campo de lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Você define essa condição de correspondência no nível de |
tcp-established |
Pacotes TCP de uma conexão TCP estabelecida. Essa condição combina com pacotes diferentes do primeiro pacote de uma conexão. tcp-established é um sinônimo para os nomes "(ack | rst)"de bits. tcp-established não verifica implicitamente se o protocolo é TCP. Para isso, especifique a condição da next-header tcp correspondência. |
tcp-flags (flags tcp-initial) |
Uma ou mais bandeiras de TCP:
Para especificar várias bandeiras, use operadores lógicos. |
tcp-initial |
Corresponde ao primeiro pacote TCP de uma conexão. tcp-initial é um sinônimo para os nomes "(syn&!ack)"de bits. tcp-initial não verifica implicitamente se o protocolo é TCP. Para isso, especifique a condição ou ip-protocol tcp a |
traffic-class number |
Especifica o ponto de código DSCP para um pacote. |
ttl value |
Tipo de TTL compatível. O valor varia de 1 a 255. |
|
A VLAN associada ao pacote. Para vlan-id, você pode especificar a ID de VLAN ou uma faixa de VLAN. A vlan condição da partida e a condição da dot1q-tag partida são mutuamente exclusivas. |
|
A VLAN associada ao pacote. Para vlan-id, você pode especificar a ID de VLAN ou uma faixa de VLAN. A vlan condição da partida e a condição da user-vlan-id partida são mutuamente exclusivas. |
Ações para filtros de firewall
Você pode definir uma ação para o switch tomar se um pacote corresponder aos critérios de filtragem definidos em uma condição de correspondência. Tabela 3 descreve as ações suportadas em uma configuração de filtro de firewall.
Ação |
Descrição |
---|---|
accept |
Aceite um pacote. |
discard |
Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). |
reject message-type |
Descarte um pacote e envie a mensagem ICMPv4 (tipo 3) destination unreachable. Você pode registrar os pacotes rejeitados se configurar o modificador de ação syslog . Você pode especificar um dos seguintes códigos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. Se você especificar tcp-reset, um reset de TCP é devolvido se o pacote for um pacote TCP. Caso contrário, nada é devolvido. Se você não especificar um tipo de mensagem, a notificação destination unreachable do ICMP é enviada com a mensagem communication administratively filteredpadrão. |
routing-instance routing-instance-name |
Encaminhe pacotes combinados para uma instância de roteamento virtual. Nota:
Os switches EX4200 não oferecem suporte ao redirecionamento baseado em filtro de firewall para a instância de roteamento padrão. |
vlan vlan-name |
Encaminhe pacotes combinados para uma VLAN específica. Certifique-se de especificar o nome VLAN ou O ID de VLAN e não uma faixa de VLAN, porque a ação vlan não oferece suporte à opção vlan-range . Nota:
Se você tiver definido uma VLAN habilitada para tunelamento de ponto1q, essa VLAN em particular não será suportada como uma ação (usando a ação vlan vlan-name ) para um filtro de firewall VLAN de entrada. |
Modificadores de ação para filtros de firewall
Além das ações descritas Tabela 3, você pode definir modificadores de ação em uma configuração de filtro de firewall para um switch se os pacotes corresponderem aos critérios de filtragem definidos na condição de correspondência. Tabela 4 Descreve os modificadores de ação suportados em uma configuração de filtro de firewall.
Modificador de ação |
Descrição |
---|---|
analyzer analyzer-name |
Espelhar o tráfego de porta para uma porta de destino ou VLAN especificada que está conectada a um aplicativo de analisador de protocolo. Espelhamento copia todos os pacotes vistos em uma porta de switch para uma conexão de monitoramento de rede em outra porta do switch. O nome do analisador deve ser configurado em Nota:
analyzer não é um modificador de ação suportado para uma interface de gerenciamento. Nota:
Nos switches EX4500, você pode configurar apenas um analisador e incluí-lo em um filtro de firewall. Se você configurar vários analisadores, não poderá incluir nenhum desses analisadores em um filtro de firewall. |
|
Altere o valor do DSCP para pacotes combinados para o valor DSCP especificado com este modificador de ação. number especifica o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os seis bits mais significativos desse byte formam o DSCP. Você pode especificar DSCP em forma hexadédica, binária ou decima. Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
count counter-name |
Conte o número de pacotes que passam por esse filtro, termo ou policial. Um policial permite que você especifique limites de taxa no tráfego que insira uma interface em um switch. Nota:
Nos switches EX4300, você pode configurar o mesmo número de contadores e policiais que o número de termos na memória endereçada de conteúdo ternário (TCAM). |
forwarding-class class |
Classifique o pacote em uma das seguintes aulas de encaminhamento:
|
gbp-src-tag (apenas EX4400 e EX4650) | Defina a tag fonte de política baseada em grupo (0,65535) para uso com microssegmento na VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN |
interface interface-name |
Encaminhe o tráfego para a interface especificada ignorando a busca por comutação. |
log |
Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, emita o Nota:
Se o log modificador de ação ou ação syslog estiver configurado juntamente com uma vlan ação ou um interface modificador de ação, os eventos podem não ser registrados. No entanto, a funcionalidade de interface de redirecionamento funciona como esperado. |
loss-priority (high | low) |
Definir a prioridade de perda de pacotes (PLP). |
policer policer-name |
Aplicar limites de taxa ao tráfego. Você pode especificar um policial em um filtro de firewall apenas para tráfego de entrada em uma porta, VLAN e roteador. Nota:
Um contador para um policiador não é suportado em switches EX8200. Nota:
Nos switches EX4300, você pode configurar o mesmo número de contadores e policiais que o número de termos no TCAM. |
|
Espelhamento de pacotes para a interface definida na |
|
Espelhar pacotes para a instância definida na |
syslog |
Registre um alerta para este pacote. Você pode especificar que o log seja enviado a um servidor para armazenamento e análise. Nota:
Se o log modificador de ação ou ação syslog estiver configurado juntamente com uma vlan ação ou um interface modificador de ação, os eventos podem não ser registrados. No entanto, a funcionalidade de interface de redirecionamento funciona como esperado. |
three-color-policer |
Aplique um policial de três cores. |