Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Filtro de firewall condições, ações e modificadores de ação para switches da Série EX

Quando você define um filtro de firewall para um switch da Série EX, você define critérios de filtragem (termscom match conditions) para os pacotes e um action (e, opcionalmente, um action modifier) para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Você pode definir um filtro de firewall para monitorar o tráfego IPv4, IPv6 ou não IP.

Este tópico descreve em detalhes as várias condições de correspondência, ações e modificadores de ação que você pode definir em um filtro de firewall. Para obter informações sobre o suporte para condições de correspondência em vários switches da Série EX, consulte o suporte de plataforma para condições de correspondência do filtro de firewall, ações e modificadores de ação nos switches da Série EX.

Elementos de filtro de firewall

Uma configuração de filtro de firewall contém um termo, uma condição de correspondência, uma ação e, opcionalmente, um modificador de ação. Tabela 1 descreve cada elemento em uma configuração de filtro de firewall.

Tabela 1: Elementos de uma configuração de filtro de firewall

Nome do elemento

Descrição

Termo

Define os critérios de filtragem para os pacotes. Cada termo no filtro de firewall consiste em condições de correspondência e uma ação. Você pode definir um único termo ou vários termos no filtro de firewall. Se você definir vários termos, cada termo deve ter um nome único.

Condição de correspondência

Consiste em uma corda (chamada de match statement) que define a condição da partida. As condições de correspondência são os valores ou campos que um pacote deve conter. Você pode definir uma única condição de correspondência ou várias condições de correspondência por um termo. Você também pode optar por não definir uma condição de correspondência. Se nenhuma condição de correspondência for especificada por um termo, todos os pacotes serão combinados por padrão.

Ação

Especifica a ação que o switch toma se um pacote corresponder a todos os critérios especificados nas condições de correspondência.

Modificador de ação

Especifica uma ou mais ações que o switch toma se um pacote corresponder às condições de correspondência para o termo específico.

Condições de correspondência suportadas em switches

Com base no tipo de tráfego que você deseja monitorar, você pode configurar um filtro de firewall para monitorar o tráfego IPv4, IPv6 ou não IP. Quando você configura um filtro de firewall para monitorar um determinado tipo de tráfego, garanta que você especifique as condições de correspondência suportadas para esse tipo de tráfego. Para obter informações sobre as condições de correspondência suportadas para um tipo específico de tráfego e switches nos quais eles são suportados, consulte o suporte da plataforma para condições de correspondência do filtro de firewall, ações e modificadores de ação nos switches da Série EX.

Tabela 2 descreve todas as condições de correspondência suportadas para filtros de firewall nos switches da Série EX.

Tabela 2: Condições de correspondência do filtro de firewall suportadas em switches da Série EX

Condição de correspondência

Descrição

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

ip-destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

ip6-destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

destination-mac-address mac-address

Endereço de controle de acesso de mídia de destino (MAC) do pacote.

Você pode definir um endereço MAC de destino com um prefixo, como destination-mac-address 00:01:02:03:04:05/24. Se nenhum prefixo for especificado, o valor padrão 48 é usado.

destination-port number

Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta condição de correspondência em conjunto com a protocol condição ou ip-protocol condição de correspondência para determinar qual protocolo é usado na porta. Para number, você pode especificar um dos seguintes sinônimos de texto (os números da porta também estão listados):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

Campo da lista de prefixo de destino IP.

Você pode definir uma lista de prefixos de endereço IP sob um pseudônimo da lista de prefixo para uso frequente. Você define essa condição de correspondência no nível de [edit policy-options] hierarquia.

dot1q-tag number

O tag field no cabeçalho Ethernet. Os valores da tag variam de 1 a 4095. A dot1q-tag condição da partida e a condição da vlan partida são mutuamente exclusivas.

user-vlan-id number

O tag field no cabeçalho Ethernet. Os valores da tag variam de 1 a 4095. A user-vlan-id condição da partida e a condição da learn-vlan-id partida são mutuamente exclusivas.

dot1q-user-priority number

Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7.

Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • background (1)— Histórico

  • best-effort (0)— Melhor esforço

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Carga excelente

  • network-control (7)— Tráfego reservado para controle de rede

  • standard (2)— Padrão ou sobressalente

  • video (5)— Vídeo

  • voice (6)— Voz

user-vlan-1p-priority number

Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7.

Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • background (1)— Histórico

  • best-effort (0)— Melhor esforço

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Carga excelente

  • network-control (7)— Tráfego reservado para controle de rede

  • standard (2)— Padrão ou sobressalente

  • video (5)— Vídeo

  • voice (6)— Voz

dscp number

Especifica o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte do tipo de serviço (ToS) no cabeçalho IP. Os seis bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP em forma hexadecimal, binária ou decima.

Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • ef (46)— conforme definido no RFC 2598, um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, são definidas para 12 pontos de código no RFC 2597, Assured Forwarding PHB Group.

ether-type value

Tipo de campo de ethernet de um pacote. O valor especifica qual protocolo está sendo transportado no quadro Ethernet. Para value, você pode especificar um dos seguintes sinônimos de texto:

  • aarp— AARP de valor do EtherType (0x80F3)

  • appletalk— Valor do EtherType AppleTalk (0x809B)

  • arp— ARP de valor do EtherType (0x0806)

  • ipv4— IPv4 de valor do EtherType (0x0800)

  • ipv6— IPv6 de valor do EtherType (0x08DD)

  • mpls multicast— Multicast MPLS de valor EtherType (0x8848)

  • mpls unicast— unicast MPLS de valor EtherType (0x8847)

  • oam— OAM de valor do EtherType (0x88A8)

  • ppp— PPP de valor do EtherType (0x880B)

  • pppoe-discovery—EtherType Value PPPoE Discovery Stage (0x8863)

  • pppoe-session— Estágio de sessão de PPPoE de valor de EtherType (0x8864)

  • sna— SNA de valor do EtherType (0x80D5)

Nota:

As condições da partida a seguir não são suportadas quando ether-type definidas para ipv6:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

fragment-flags fragment-flags

Bandeiras de fragmentação de IP, especificadas em formatos simbólicos ou hexadecimal. Você pode especificar uma das seguintes opções:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)
gbp-dst-tag Combine a tag de destino, para uso com microssegção em um VXLAN, conforme descrito aqui: Example: Segmentação micro e macro usando política baseada em grupo em uma VXLAN
gbp-src-tag Combine a tag de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Example: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

icmp-code number

Campo de código ICMP. Esse valor ou opção fornece informações mais específicas do que icmp-type. Como o significado do valor depende do associado icmp-type, você deve especificar icmp-type junto com icmp-code. Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As opções são agrupadas pelo tipo ICMP com o qual estão associadas:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1), redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13) , , destination-host-unknown (7)destination-host-prohibited (10), destination-network-prohibited (9), destination-network-unknown (6)host-unreachable (1)network-unreachable (0)host-unreachable-for-TOS (12)fragmentation-needed (4)host-precedence-violation (14), network-unreachable-for-TOS (11), port-unreachable (3), , precedence-cutoff-in-effect (15), , protocol-unreachable (2), , , source-host-isolated (8)source-route-failed (5)

icmp-type number

Campo do tipo de pacote ICMP. Normalmente, você especifica esta condição de correspondência em conjunto com a protocol condição ou ip-protocol condição de correspondência para determinar qual protocolo está sendo usado na porta. Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Interface na qual o pacote é recebido. Você pode especificar o personagem curinga (*) como parte de um nome de interface.

Nota:

A interface condição de correspondência não é suportada para tráfego de saída em um Chassi Virtual EX8200.

ip-options

Presença do campo de opções no cabeçalho IP.

ip-version version match_condition(s)

Versão do protocolo IP para filtros de firewall de porta e VLAN. O valor pode version ser ipv4 ou ipv6.

Para match_condition(s), você pode especificar uma ou mais das seguintes condições de jogo:

  • destination-address, ip-destination-addressou ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

  • source-address Ou ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Se o pacote for um fragmento de rastreamento, essa condição de correspondência não corresponde ao primeiro fragmento de um pacote fragmentado. Use dois termos para combinar com fragmentos de primeiro e de trilha.

Nota:

Devido a uma limitação nos switches EX2300, EX3400 e EX4300, essa condição de correspondência não corresponde ao último fragmento de um pacote fragmentado quando aplicado à "comutação de ethernet da família".

l2-encap-type llc-non-snap

Combine com pacotes de camada de controle de enlace lógico (LLC) para o tipo de encapsulamento de ethernet não subnet Access Protocol (SNAP).

next-header bytes

Campo de protocolo de 8 bits que identifica o tipo de cabeçalho imediatamente após o cabeçalho IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Comprimento do pacote recebido, em bytes.

O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

precedence precedence

Precedência de IP. Para precedence, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

Precedência de IP. Para precedence, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

Valor do protocolo IPv4. Para protocols, você pode especificar um dos seguintes sinônimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

Valor do protocolo IPv4. Para protocols, você pode especificar um dos seguintes sinônimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Para IPv6, o campo de endereço de origem tem 128 bits de comprimento. A sintaxe de descrição do filtro oferece suporte às representações de texto para endereços IPv6 descritos no RFC 2373, arquitetura de endereçamento IP Versão 6.

ip-source-address (ip-address | ip6-address)

Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Você pode especificar um endereço IPv4 (ip-address) ou um endereço IPv6 (ip6-address). Para IPv6, o campo de endereço ip-source tem 128 bits de comprimento. A sintaxe de descrição do filtro oferece suporte às representações de texto para endereços IPv6 descritos no RFC 2373, arquitetura de endereçamento IP Versão 6.

source-mac-address mac-address

Endereço MAC de origem.

Você pode definir um endereço MAC de origem com um prefixo, como source-mac-address 00:01:02:03:04:05/24. Se nenhum prefixo for especificado, o valor padrão 48 é usado.

source-port number

Campo TCP ou UDP source-port . Normalmente, você especifica esta correspondência em conjunto com a protocol condição ou ip-protocol condição de correspondência para determinar qual protocolo está sendo usado na porta. Para number, você pode especificar um dos sinônimos de texto listados em destination-port.

source-prefix-list prefix-list

Campo da lista de prefixo de origem IP.

Você pode definir uma lista de prefixos de endereço IP sob um pseudônimo da lista de prefixo para uso frequente. Você define essa condição de correspondência no nível de [edit policy-options] hierarquia.

tcp-established

Pacotes TCP de uma conexão TCP estabelecida. Essa condição combina com pacotes diferentes do primeiro pacote de uma conexão. tcp-established é um sinônimo para os nomes "(ack | rst)"de bits.

tcp-established não verifica implicitamente se o protocolo é TCP. Para isso, especifique a condição da next-header tcp correspondência.

tcp-flags (flags tcp-initial)

Uma ou mais bandeiras de TCP:

  • nome de bit —fin, syn, rst, push, ackurgent

  • operadores lógicos —& (lógico E), | (OR lógico), ! (negação)

  • valor numérico — 0x01 por meio de 0x20

  • sinônimo de texto:tcp-initial

Para especificar várias bandeiras, use operadores lógicos.

tcp-initial

Combina o primeiro pacote TCP de uma conexão. tcp-initial é um sinônimo para os nomes "(syn&!ack)"de bits.

tcp-initial não verifica implicitamente se o protocolo é TCP. Para isso, especifique a protocol tcp condição ou ip-protocol tcp a condição de correspondência.

traffic-class number

Especifica o ponto de código DSCP para um pacote.

ttl value

Tipo de TTL para combinar. O valor varia de 1 a 255.

vlan (vlan-name | vlan-id)

O VLAN associado ao pacote. Para vlan-id, você pode especificar o VLAN ID ou uma faixa VLAN. A vlan condição da partida e a condição da dot1q-tag partida são mutuamente exclusivas.

learn-vlan-id (vlan-name | vlan-id)

O VLAN associado ao pacote. Para vlan-id, você pode especificar o VLAN ID ou uma faixa VLAN. A vlan condição da partida e a condição da user-vlan-id partida são mutuamente exclusivas.

Ações para filtros de firewall

Você pode definir uma ação para o switch tomar se um pacote combinar com os critérios de filtragem definidos em uma condição de correspondência. Tabela 3 descreve as ações suportadas em uma configuração de filtro de firewall.

Tabela 3: Ações para filtros de firewall

Ação

Descrição

accept

Aceite um pacote.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem do Protocolo de Mensagens de Controle de Internet (ICMP).

reject message-type

Descarte um pacote e envie a mensagem ICMPv4 (tipo 3) destination unreachable. Você pode registrar os pacotes rejeitados se configurar o modificador de ação syslog .

Você pode especificar um dos seguintes códigos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Se você especificar tcp-reset, um reset de TCP é devolvido se o pacote for um pacote TCP. Caso contrário, nada é devolvido.

Se você não especificar um tipo de mensagem, a notificação destination unreachable do ICMP é enviada com a mensagem communication administratively filteredpadrão.

routing-instance routing-instance-name

Encaminhe pacotes combinados para uma instância de roteamento virtual.

Nota:

Os switches EX4200 não oferecem suporte a redirecionamento baseado em filtro de firewall para a instância de roteamento padrão.

vlan vlan-name

Encaminhe pacotes combinados a um VLAN específico. Certifique-se de especificar o nome VLAN ou VLAN ID e não uma faixa VLAN, porque a ação vlan não suporta a opção vlan-range .

Nota:

Se você definiu uma VLAN habilitada para tunelamento do ponto1q, essa VLAN em particular não é suportada como uma ação (usando a ação vlan vlan-name ) para um filtro de firewall VLAN de entrada.

Modificadores de ação para filtros de firewall

Além das ações descritasTabela 3, você pode definir modificadores de ação em uma configuração de filtro de firewall para um switch se os pacotes corresponderem aos critérios de filtragem definidos na condição de correspondência. Os modificadores de ação suportados em uma configuração de filtro de firewall. Tabela 4

Tabela 4: Modificadores de ação para filtros de firewall

Modificador de ação

Descrição

analyzer analyzer-name

Espelhar o tráfego da porta para uma porta de destino ou VLAN especificada conectada a um aplicativo analisador de protocolos. Espelhamento copia todos os pacotes vistos em uma porta de switch para uma conexão de monitoramento de rede em outra porta do switch. O nome do analisador deve ser configurado em [edit ethernet-switching-options analyzer].

Nota:

analyzer não é um modificador de ação suportado para uma interface de gerenciamento.

Nota:

Nos switches EX4500, você pode configurar apenas um analisador e incluí-lo em um filtro de firewall. Se você configurar vários analisadores, não poderá incluir nenhum desses analisadores em um filtro de firewall.

dscp number

Altere o valor do DSCP para pacotes combinados para o valor DSCP especificado com este modificador de ação. number especifica o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte do tipo de serviço (ToS) no cabeçalho IP. Os seis bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP em forma hexadecimal, binária ou decima.

Para number, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • ef (46)— conforme definido no RFC 2598, um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, são definidas para 12 pontos de código no RFC 2597, Assured Forwarding PHB Group.

count counter-name

Conte o número de pacotes que passam por esse filtro, termo ou policial. Um policial permite que você especifique limites de taxa no tráfego que entra em uma interface em um switch.

Nota:

Nos switches EX4300, você pode configurar o mesmo número de contadores e policiais que o número de termos na memória endereçada de conteúdo ternário (TCAM).

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control
gbp-src-tag (somente EX4400 e EX4650) Defina a tag de origem da política baseada em grupo (0,65535) para uso com microssegção no VXLAN, conforme descrito aqui: Example: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

interface interface-name

Encaminhe o tráfego para a interface especificada ignorando a aparência da comutação.

log

Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, emita o show firewall log comando na CLI.

Nota:

Se o log modificador de ação ou ação syslog estiver configurado juntamente com uma vlan ação ou um interface modificador de ação, os eventos podem não ser registrados. No entanto, a funcionalidade da interface de redirecionamento funciona como esperado.

loss-priority (high | low)

Defina a prioridade de perda de pacotes (PLP).

policer policer-name

Aplique limites de taxa ao tráfego.

Você pode especificar um policial em um filtro de firewall apenas para tráfego de entrada em uma porta, VLAN e roteador.

Nota:

Um contador para um policial não é suportado em switches EX8200.

Nota:

Nos switches EX4300, você pode configurar o mesmo número de contadores e policiais que o número de termos no TCAM.

port-mirror

Pacotes espelhados para a interface definida na [edit forwarding-options analyzer] hierarquia.

port-mirror-instance instance-name

Pacotes espelhados para a instância definida na [edit forwarding-options analyzer] hierarquia.

syslog

Registre um alerta para este pacote. Você pode especificar que o log seja enviado a um servidor para armazenamento e análise.

Nota:

Se o log modificador de ação ou ação syslog estiver configurado juntamente com uma vlan ação ou um interface modificador de ação, os eventos podem não ser registrados. No entanto, a funcionalidade da interface de redirecionamento funciona como esperado.

three-color-policer

Aplique um policial de três cores.

Tópicos relacionados