Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall filtrar condições, ações e modificadores de ação para switches da Série EX

Quando você define um filtro de firewall para um switch da Série EX, você define critérios de filtragem (com ) para os pacotes e um (e, opcionalmente, um ) para o switch tomar se os pacotes corresponderem aos critérios de filtragem.termsmatch conditionsactionaction modifier Você pode definir um filtro de firewall para monitorar o tráfego IPv4, IPv6 ou não IP.

Este tópico descreve detalhadamente as várias condições de correspondência, ações e modificadores de ação que você pode definir em um filtro de firewall. Para obter informações sobre o suporte para condições de correspondência em vários switches da Série EX, consulte o suporte da plataforma para condições, ações e modificadores de ação do filtro de firewall em switches da Série EX.Suporte de plataforma para condições de correspondência de filtro de firewall, ações e modificadores de ação em switches da Série EX

Elementos de filtro de firewall

Uma configuração de filtro de firewall contém um termo, uma condição de correspondência, uma ação e, opcionalmente, um modificador de ação. descreve cada elemento em uma configuração de filtro de firewall.Tabela 1

Tabela 1: Elementos de uma configuração de filtro de firewall

Nome do elemento

Descrição

Termo

Define os critérios de filtragem para os pacotes. Cada termo no filtro de firewall consiste em condições de correspondência e uma ação. Você pode definir um único termo ou vários termos no filtro de firewall. Se você definir vários termos, cada termo deve ter um nome único.

Condição da partida

Consiste em uma corda (chamada a ) que define a condição da partida.match statement As condições de correspondência são os valores ou campos que um pacote deve conter. Você pode definir uma única condição de correspondência ou várias condições de correspondência por um termo. Você também pode optar por não definir uma condição de correspondência. Se nenhuma condição de correspondência for especificada para um termo, todos os pacotes serão combinados por padrão.

Ação

Especifica a ação que o switch toma se um pacote corresponder a todos os critérios especificados nas condições de correspondência.

Modificador de ação

Especifica uma ou mais ações que o switch toma se um pacote corresponder às condições de correspondência para o termo específico.

Condições de correspondência suportadas em switches

Com base no tipo de tráfego que você deseja monitorar, você pode configurar um filtro de firewall para monitorar o tráfego IPv4, IPv6 ou não-IP. Ao configurar um filtro de firewall para monitorar um determinado tipo de tráfego, certifique-se de especificar as condições de correspondência que são suportadas para esse tipo de tráfego. Para obter informações sobre condições de correspondência suportadas para um tipo específico de tráfego e switches nos quais eles são suportados, veja Suporte de plataforma para condições, ações e modificadores de ação do filtro de firewall em switches da Série EX.Suporte de plataforma para condições de correspondência de filtro de firewall, ações e modificadores de ação em switches da Série EX

Tabela 2 descreve todas as condições de correspondência que são suportadas para filtros de firewall em switches da Série EX.

Tabela 2: Condições de correspondência do filtro de firewall suportadas em switches da Série EX

Condição da partida

Descrição

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

ip-destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

ip6-destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

destination-mac-address mac-address

Endereço de controle de acesso de mídia de destino (MAC) do pacote.

Você pode definir um endereço MAC de destino com um prefixo, como .destination-mac-address 00:01:02:03:04:05/24 Se nenhum prefixo for especificado, o valor padrão 48 é usado.

destination-port number

Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta condição de correspondência em conjunto com a condição ou condição de correspondência para determinar qual protocolo é usado na porta.protocolip-protocol Para , você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados):number

, , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

Campo de lista de prefixo de destino IP.

Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Você define essa condição de correspondência no nível de hierarquia.[edit policy-options]

dot1q-tag number

O campo de tags no cabeçalho Ethernet. Os valores da tag variam de 1 a 4095. A condição da partida e a condição da partida são mutuamente exclusivas.dot1q-tagvlan

user-vlan-id number

O campo de tags no cabeçalho Ethernet. Os valores da tag variam de 1 a 4095. A condição da partida e a condição da partida são mutuamente exclusivas.user-vlan-idlearn-vlan-id

dot1q-user-priority number

Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7.

Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):number

  • background (1)— Histórico

  • best-effort (0)— Melhor esforço

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Excelente carga

  • network-control (7)— Tráfego reservado para controle de rede

  • standard (2)— Padrão ou sobressalente

  • video (5)— Vídeo

  • voice (6)— Voz

user-vlan-1p-priority number

Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7.

Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):number

  • background (1)— Histórico

  • best-effort (0)— Melhor esforço

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Excelente carga

  • network-control (7)— Tráfego reservado para controle de rede

  • standard (2)— Padrão ou sobressalente

  • video (5)— Vídeo

  • voice (6)— Voz

dscp number

Especifica o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os seis bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):number

  • — conforme definido na RFC 2598, um PHB de encaminhamento acelerado.ef (46)http://www.ietf.org/rfc/rfc2598.txt

  • , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    , , , , , af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, são definidas para 12 pontos de código no RFC 2597, Assured Forwarding PHB Group.http://www.ietf.org/rfc/rfc2597.txt

ether-type value

Tipo de campo de ethernet de um pacote. O valor especifica qual protocolo está sendo transportado no quadro Ethernet. Para , você pode especificar um dos seguintes sinônimos de texto:value

  • aarp— AARP de valor do EtherOquétipo (0x80F3)

  • appletalk— Valor de EtherOtipo AppleTalk (0x809B)

  • arp— ARP de valor do EtherPossário (0x0806)

  • ipv4— IPv4 de valor de EtherOquétipo (0x0800)

  • ipv6— IPv6 de valor de EtherOquétipo (0x08DD)

  • mpls multicast— Valor de EtherOP multicast MPLS (0x8848)

  • mpls unicast— Unicast MPLS de valor EtherO (0x8847)

  • oam— OAM de valor de EtherPossário (0x88A8)

  • ppp— PPP de valor de EtherPossário (0x880B)

  • pppoe-discovery— EtherPoE Value PPPoE Discovery Stage (0x8863)

  • pppoe-session— Estágio de sessão de PPPoE com valor de EtherPoE (0x8864)

  • sna— SNA de valor do EtherPossário (0x80D5)

Nota:

As condições da partida a seguir não são suportadas quando definidas para :ether-typeipv6

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

fragment-flags fragment-flags

Bandeiras de fragmentação de IP especificadas em formatos simbólicos ou hexadecimal. Você pode especificar uma das seguintes opções:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Combine a tag de destino, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN
gbp-src-tag Combine a tag de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

icmp-code number

Campo de código ICMP. Esse valor ou opção fornece informações mais específicas do que .icmp-type Como o significado do valor depende do associado , você deve especificar junto com .icmp-typeicmp-typeicmp-code Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados).number As opções são agrupadas pelo tipo ICMP com o qual estão associadas:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • — , redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • — , , , , , , , , , , , , , , , unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10)destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

Campo do tipo de pacote ICMP. Normalmente, você especifica esta condição de correspondência em conjunto com a condição ou condição de correspondência para determinar qual protocolo está sendo usado na porta.protocolip-protocol Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):number

, , , echo-reply (0)echo-request (8)info-reply (16)info-request (15), , mask-request (17)mask-reply (18)parameter-problem (12) , , , redirect (5)router-advertisement (9)router-solicit (10)source-quench (4) , , time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3)

interface interface-name

Interface na qual o pacote é recebido. Você pode especificar o caractere curinga () como parte de um nome de interface.*

Nota:

A condição de correspondência não é suportada para tráfego de saída em um Virtual Chassis EX8200.interface

ip-options

Presença do campo de opções no cabeçalho IP.

ip-version version match_condition(s)

Versão do protocolo IP para filtros de firewall de porta e VLAN. O valor pode ser ou .versionipv4ipv6

Para , você pode especificar uma ou mais das seguintes condições de correspondência:match_condition(s)

  • , ou destination-addressip-destination-addressip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

  • source-address Ou ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Se o pacote for um fragmento de rastreamento, essa condição de correspondência não corresponde ao primeiro fragmento de um pacote fragmentado. Use dois termos para combinar tanto em primeiro lugar quanto em fragmentos de rastreamento.

Nota:

Devido a uma limitação nos switches EX2300, EX3400 e EX4300, essa condição de correspondência não corresponde ao último fragmento de um pacote fragmentado quando aplicado à "comutação de ethernet da família".

l2-encap-type llc-non-snap

Combine com pacotes de camada de controle de enlace lógico (LLC) para o tipo de encapsulamento de ethernet não sub-subnet Access Protocol (SNAP).

next-header bytes

Campo de protocolo de 8 bits que identifica o tipo de cabeçalho imediatamente após o cabeçalho IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

, , , , , , , , , , , , , ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

Duração do pacote recebido, em bytes.

O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

precedence precedence

Precedência de IP. Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):precedence

, , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

ip-precedence precedence

Precedência de IP. Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):precedence

, , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

protocol list of protocol

Valor do protocolo IPv4. Para , você pode especificar um dos seguintes sinônimos de texto:protocols

, , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

ip-protocol list of protocol

Valor do protocolo IPv4. Para , você pode especificar um dos seguintes sinônimos de texto:protocols

, , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Para IPv6, o campo de endereço de origem tem 128 bits de comprimento. A sintaxe da descrição do filtro oferece suporte às representações de texto para endereços IPv6 descritos na RFC 2373, Arquitetura de endereçamento IP Versão 6.http://www.ietf.org/rfc/rfc2373.txt

ip-source-address (ip-address | ip6-address)

Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Você pode especificar um endereço IPv4 () ou um endereço IPv6 ().ip-addressip6-address Para O IPv6, o campo de endereço ip-source tem 128 bits de comprimento. A sintaxe da descrição do filtro oferece suporte às representações de texto para endereços IPv6 descritos na RFC 2373, Arquitetura de endereçamento IP Versão 6.http://www.ietf.org/rfc/rfc2373.txt

source-mac-address mac-address

Endereço MAC de origem.

Você pode definir um endereço MAC de origem com um prefixo, como .source-mac-address 00:01:02:03:04:05/24 Se nenhum prefixo for especificado, o valor padrão 48 é usado.

source-port number

Campo TCP ou UDP .source-port Normalmente, você especifica esta correspondência em conjunto com a condição ou condição de correspondência para determinar qual protocolo está sendo usado na porta.protocolip-protocol Para , você pode especificar um dos sinônimos de texto listados em .numberdestination-port

source-prefix-list prefix-list

Campo de lista de prefixo de origem IP.

Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Você define essa condição de correspondência no nível de hierarquia.[edit policy-options]

tcp-established

Pacotes TCP de uma conexão TCP estabelecida. Essa condição combina com pacotes diferentes do primeiro pacote de uma conexão. é um sinônimo para os nomes de bits.tcp-established"(ack | rst)"

tcp-established não verifica implicitamente se o protocolo é TCP. Para isso, especifique a condição da correspondência.next-header tcp

tcp-flags (flags tcp-initial)

Uma ou mais bandeiras de TCP:

  • nome de bit — , , , , finsynrstpushackurgent

  • operadores lógicos — (lógico E), (OR lógico), (negação)&|!

  • valor numérico — 0x01 até 0x20

  • sinônimo de texto:tcp-initial

Para especificar várias bandeiras, use operadores lógicos.

tcp-initial

Corresponde ao primeiro pacote TCP de uma conexão. é um sinônimo para os nomes de bits.tcp-initial"(syn&!ack)"

tcp-initial não verifica implicitamente se o protocolo é TCP. Para isso, especifique a condição ou a correspondência.protocol tcpip-protocol tcp

traffic-class number

Especifica o ponto de código DSCP para um pacote.

ttl value

Tipo de TTL compatível. O valor varia de 1 a 255.

vlan (vlan-name | vlan-id)

A VLAN associada ao pacote. Para , você pode especificar a ID de VLAN ou uma faixa de VLAN.vlan-id A condição da partida e a condição da partida são mutuamente exclusivas.vlandot1q-tag

learn-vlan-id (vlan-name | vlan-id)

A VLAN associada ao pacote. Para , você pode especificar a ID de VLAN ou uma faixa de VLAN.vlan-id A condição da partida e a condição da partida são mutuamente exclusivas.vlanuser-vlan-id

Ações para filtros de firewall

Você pode definir uma ação para o switch tomar se um pacote corresponder aos critérios de filtragem definidos em uma condição de correspondência. descreve as ações suportadas em uma configuração de filtro de firewall.Tabela 3

Tabela 3: Ações para filtros de firewall

Ação

Descrição

accept

Aceite um pacote.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).

reject message-type

Descarte um pacote e envie a mensagem ICMPv4 (tipo 3) .destination unreachable Você pode registrar os pacotes rejeitados se configurar o modificador de ação .syslog

Você pode especificar um dos seguintes códigos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. .

Se você especificar , um reset de TCP é devolvido se o pacote for um pacote TCP.tcp-reset Caso contrário, nada é devolvido.

Se você não especificar um tipo de mensagem, a notificação do ICMP é enviada com a mensagem padrão.destination unreachablecommunication administratively filtered

routing-instance routing-instance-name

Encaminhe pacotes combinados para uma instância de roteamento virtual.

Nota:

Os switches EX4200 não oferecem suporte ao redirecionamento baseado em filtro de firewall para a instância de roteamento padrão.

vlan vlan-name

Encaminhe pacotes combinados para uma VLAN específica. Certifique-se de especificar o nome VLAN ou O ID de VLAN e não uma faixa de VLAN, porque a ação não oferece suporte à opção .vlanvlan-range

Nota:

Se você tiver definido uma VLAN habilitada para tunelamento de ponto1q, essa VLAN em particular não será suportada como uma ação (usando a ação ) para um filtro de firewall VLAN de entrada.vlan vlan-name

Modificadores de ação para filtros de firewall

Além das ações descritas , você pode definir modificadores de ação em uma configuração de filtro de firewall para um switch se os pacotes corresponderem aos critérios de filtragem definidos na condição de correspondência. Descreve os modificadores de ação suportados em uma configuração de filtro de firewall.Tabela 3Tabela 4

Tabela 4: Modificadores de ação para filtros de firewall

Modificador de ação

Descrição

analyzer analyzer-name

Espelhar o tráfego de porta para uma porta de destino ou VLAN especificada que está conectada a um aplicativo de analisador de protocolo. Espelhamento copia todos os pacotes vistos em uma porta de switch para uma conexão de monitoramento de rede em outra porta do switch. O nome do analisador deve ser configurado em .[edit ethernet-switching-options analyzer]

Nota:

analyzer não é um modificador de ação suportado para uma interface de gerenciamento.

Nota:

Nos switches EX4500, você pode configurar apenas um analisador e incluí-lo em um filtro de firewall. Se você configurar vários analisadores, não poderá incluir nenhum desses analisadores em um filtro de firewall.

dscp number

Altere o valor do DSCP para pacotes combinados para o valor DSCP especificado com este modificador de ação. especifica o ponto de código de serviços diferenciados (DSCP).number O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os seis bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

Para , você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):number

  • — conforme definido na RFC 2598, um PHB de encaminhamento acelerado.ef (46)http://www.ietf.org/rfc/rfc2598.txt

  • , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    , , , , , af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, são definidas para 12 pontos de código no RFC 2597, Assured Forwarding PHB Group.http://www.ietf.org/rfc/rfc2597.txt

count counter-name

Conte o número de pacotes que passam por esse filtro, termo ou policial. Um policial permite que você especifique limites de taxa no tráfego que insira uma interface em um switch.

Nota:

Nos switches EX4300, você pode configurar o mesmo número de contadores e policiais que o número de termos na memória endereçada de conteúdo ternário (TCAM).

forwarding-class class

Classifique o pacote em uma das seguintes aulas de encaminhamento:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (apenas EX4400 e EX4650) Defina a tag fonte de política baseada em grupo (0,65535) para uso com microssegmento na VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

interface interface-name

Encaminhe o tráfego para a interface especificada ignorando a busca por comutação.

log

Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, emita o comando na CLI.show firewall log

Nota:

Se o modificador de ação ou ação estiver configurado juntamente com uma ação ou um modificador de ação, os eventos podem não ser registrados.logsyslogvlaninterface No entanto, a funcionalidade de interface de redirecionamento funciona como esperado.

loss-priority (high | low)

Definir a prioridade de perda de pacotes (PLP).

policer policer-name

Aplicar limites de taxa ao tráfego.

Você pode especificar um policial em um filtro de firewall apenas para tráfego de entrada em uma porta, VLAN e roteador.

Nota:

Um contador para um policiador não é suportado em switches EX8200.

Nota:

Nos switches EX4300, você pode configurar o mesmo número de contadores e policiais que o número de termos no TCAM.

port-mirror

Espelhamento de pacotes para a interface definida na hierarquia.[edit forwarding-options analyzer]

port-mirror-instance instance-name

Espelhar pacotes para a instância definida na hierarquia.[edit forwarding-options analyzer]

syslog

Registre um alerta para este pacote. Você pode especificar que o log seja enviado a um servidor para armazenamento e análise.

Nota:

Se o modificador de ação ou ação estiver configurado juntamente com uma ação ou um modificador de ação, os eventos podem não ser registrados.logsyslogvlaninterface No entanto, a funcionalidade de interface de redirecionamento funciona como esperado.

three-color-policer

Aplique um policial de três cores.