Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtro de firewall combina condições, ações e modificadores de ação para switches da série EX

Quando você define um filtro de firewall para umswitch série EX, você define critérios de filtragem (termos, com condições de combinação)para os pacotes e uma ação (e, opcionalmente, um modificador de ação)para o switch a ser usado se os pacotes corresponderem aos critérios de filtragem. Você pode definir um filtro de firewall para monitorar IPv4, IPv6 ou tráfego não IP.

Este tópico descreve em detalhes as várias condições de combinação, ações e modificadores de ação que você pode definir em um filtro de firewall. Para obter informações sobre o suporte a condições de combinação em vários switches da Série EX, consulte o Suporte da Plataforma para Condições, Ações e Modificadores de Ação do Filtro de Firewall nos Switches da Série EX.

Elementos de filtro de firewall

Uma configuração de filtro de firewall contém um termo, uma condição de combinação, uma ação e, opcionalmente, um modificador de ação. Tabela 1 descreve cada elemento em uma configuração de filtro de firewall.

Tabela 1: Elementos de uma configuração de filtro de firewall

Nome do elemento

Descrição

Termo

Define os critérios de filtragem dos pacotes. Cada termo no filtro de firewall consiste em condições de combinação e uma ação. Você pode definir um único termo ou vários termos no filtro de firewall. Se você definir vários termos, cada termo deve ter um nome exclusivo.

Condições de combinação

Consiste em uma string (chamada de declaração de partida)que define a condição da combinação. Condições de combinação são os valores ou campos que um pacote deve conter. Você pode definir uma única condição de combinação ou várias condições de combinação por um prazo. Você também pode optar por não definir uma condição de combinação. Se nenhuma situação de combinação for especificada por um termo, todos os pacotes serão definidos por padrão.

Ação

Especifica a ação que o switch toma se um pacote corresponder a todos os critérios especificados nas condições de combinação.

Modificador de ação

Especifica uma ou mais ações realizadas pelo switch se um pacote corresponder às condições de combinação do termo específico.

Condições de combinação suportadas nos switches

Com base no tipo de tráfego que deseja monitorar, você pode configurar um filtro de firewall para monitorar IPv4, IPv6 ou tráfego não IP. Ao configurar um filtro de firewall para monitorar um tipo de tráfego específico, garanta que você especifique as condições de combinação suportadas para esse tipo de tráfego. Para obter informações sobre condições de combinação suportadas para um tipo específico de tráfego e switches nos quais são suportados, consulte Suporte da plataforma para Condições, Ações e Modificadores de Ação do Filtro de Firewall nos Switches da Série EX.

Tabela 2 descreve todas as condições de combinação suportadas para filtros de firewall em switches da série EX.

Tabela 2: Condições de combinação do filtro de firewall suportadas em switches da Série EX

Condição de combinação

Descrição

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

ip-destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

ip6-destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

destination-mac-address mac-address

Endereço controle de acesso ao meio de destino (MAC) do pacote.

Você pode definir um endereço MAC de destino com um prefixo, como destination-mac-address 00:01:02:03:04:05/24 . Se nenhum prefixo for especificado, o valor padrão 48 é usado.

destination-port number

Campo de porta de destino TCP ou UDP. Normalmente, você especifica essa condição de combinação com a condição ou a combinação para protocol determinar qual protocolo é usado na ip-protocol porta. Para número,você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

campo da lista de prefixos de destino IP.

Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Você define essa condição de combinação em nível [edit policy-options] de hierarquia.

dot1q-tag number

O campo de tags no conector Ethernet. Os valores das tags variam de 1 a 4095. A dot1q-tag condição da combinação e a condição da combinação são vlan mutuamente exclusivas.

user-vlan-id number

O campo de tags no conector Ethernet. Os valores das tags variam de 1 a 4095. A user-vlan-id condição da combinação e a condição da combinação são learn-vlan-id mutuamente exclusivas.

dot1q-user-priority number

Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7.

Para número,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • background (1)—Background

  • best-effort (0)— Melhor esforço

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Carga excelente

  • network-control (7)—Tráfego reservado de controle de rede

  • standard (2)— Padrão ou sobressalente

  • video (5)—Vídeo

  • voice (6)—Voz

user-vlan-1p-priority number

Campo de prioridade do usuário do pacote Ethernet marcado. Os valores de prioridade do usuário podem variar de 0 a 7.

Para número,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • background (1)—Background

  • best-effort (0)— Melhor esforço

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Carga excelente

  • network-control (7)—Tráfego reservado de controle de rede

  • standard (2)— Padrão ou sobressalente

  • video (5)—Vídeo

  • voice (6)—Voz

dscp number

Especifica o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os seis bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP na forma hexadecimal, binária ou decimal.

Para número,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • ef (46)—como definido na RFC 2598,um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de drop em cada classe, são definidas para 12 pontos de código no RFC 2597,Grupo PHBde Encaminhamento Garantido.

ether-type value

Campo do tipo Ethernet de um pacote. O valor especifica qual protocolo está sendo transportado no quadro de Ethernet. Quanto aovalor, você pode especificar um dos seguintes sinônimos de texto:

  • aarp— Valor do EtherType AARP (0x80F3)

  • appletalk— O EtherType valoriza o AppleTalk (0x809B)

  • arp— Valor do EtherType ARP (0x0806)

  • ipv4— Valor do EtherType IPv4 (0x0800)

  • ipv6— Valor do EtherType IPv6 (0x08DD)

  • mpls multicast— Valor do EtherType MPLS multicast (0x8848)

  • mpls unicast— Valor do EtherType MPLS unicast (0x8847)

  • oam— Valor do EtherType OAM (0x88A8)

  • ppp—O EtherType valoriza o PPP (0x880B)

  • pppoe-discovery— Valor do EtherType PPPoE Discovery Stage (0x8863)

  • pppoe-session— O EtherType valoriza o estágio de sessão do PPPoE (0x8864)

  • sna— Valor do EtherType SNA (0x80D5)

Nota:

As condições de combinação a seguir não são suportadas quando ether-type definidas ipv6 como:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

fragment-flags fragment-flags

Bandeiras de fragmentação DE IP, especificadas em formatos simbólicos ou hexadecimal. Você pode especificar uma das seguintes opções:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Marque a etiqueta de destino, para uso com micro segmentação em um VXLAN, como descrito aqui: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
gbp-src-tag Marque a etiqueta de origem, para uso com micro segmentação em um VXLAN, como descrito aqui: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

icmp-code number

Campo de código ICMP. Esse valor ou opção fornece informações mais específicas do que icmp-type . Como o significado do valor depende do icmp-type associado, você deve icmp-type especificar junto com icmp-code . Para número,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As opções são agrupadas pelo tipo ICMP com o qual estão associadas:

  • parameter-problemip-header-bad (0) , required-option-missing (1)

  • redirectredirect-for-host (1)redirect-for-network (0) , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13) , , , , , , , destination-host-prohibited (10) , , , destination-host-unknown (7) , , destination-network-prohibited (9) , destination-network-unknown (6) , fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15) , protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

Campo do tipo pacote ICMP. Normalmente, você especifica essa condição de combinação com a condição ou a combinação para determinar protocol qual protocolo está sendo usado na ip-protocol porta. Para número,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Interface na qual o pacote é recebido. Você pode especificar o caractere wildcard * () como parte de um nome de interface.

Nota:

A interface condição de combinação não é suportada para tráfego de saída em um EX8200 Virtual Chassis.

ip-options

Presença do campo de opções no header IP.

ip-version (s) match_condition versão

Versão do protocolo IP para filtros de firewall de porta e VLAN. O valor da versão pode ser ipv4 ou ipv6 .

Para match_condition(s), você pode especificar uma ou mais das seguintes condições de combinação:

  • destination-address, ip-destination-address ou ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Ou ip-precedence

  • protocol Ou ip-protocol

  • source-address Ou ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Se o pacote for um fragmento de trilha, essa condição de combinação não combina com o primeiro fragmento de um pacote fragmentado. Use dois termos para combinar os fragmentos em primeiro lugar e depois.

Nota:

Devido a uma limitação dos switches EX2300, EX3400 e EX4300, essa condição de combinação não combina com o último fragmento de um pacote fragmentado quando aplicado à "comutação ethernet da família".

l2-encap-type llc-non-snap

Combinar pacotes de camada de controle de enlace lógico (LLC) para tipos de Encapsulamento Ethernet não-Subnet Access Protocol (SNAP).

next-header bytes

Campo de protocolo de 8 bits que identifica o tipo de header imediatamente após o header IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Comprimento do pacote recebido, em bytes.

O comprimento refere-se apenas ao pacote IP, incluindo o cabeça de pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

precedence precedence

precedência de IP. Para precedência,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

precedência de IP. Para precedência,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

Valor do protocolo IPv4. Para protocolos,você pode especificar um dos seguintes sinônimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

Valor do protocolo IPv4. Para protocolos,você pode especificar um dos seguintes sinônimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Para IPv6, o campo de endereço de origem tem 128 bits de comprimento. A sintaxe de descrição do filtro aceita as representações de texto para endereços IPv6 descritos na arquitetura de endereçamento RFC 2373,IP Version 6.

ip-source-address (ip-address | ip6-address)

Campo de endereço de origem IP, que é o endereço do nó de origem que envia o pacote. Você pode especificar um endereço IPv4 ip-address () ou um endereço IPv6 ( ip6-address ). Para IPv6, o campo de endereço de ip-origem tem 128 bits de comprimento. A sintaxe de descrição do filtro aceita as representações de texto para endereços IPv6 descritos na arquitetura de endereçamento RFC 2373,IP Version 6.

source-mac-address mac-address

Endereço MAC de origem.

Você pode definir um endereço MAC de origem com um prefixo, como source-mac-address 00:01:02:03:04:05/24 . Se nenhum prefixo for especificado, o valor padrão 48 é usado.

source-port number

Campo TCP ou source-port UDP. Normalmente, você especifica essa combinação com a condição ou a combinação para protocol determinar qual protocolo está sendo usado na ip-protocol porta. Para número,você pode especificar um dos sinônimos de texto indicados em destination-port .

source-prefix-list prefix-list

campo da lista de prefixos de origem IP.

Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Você define essa condição de combinação em nível [edit policy-options] de hierarquia.

tcp-established

Pacotes TCP de uma conexão TCP estabelecida. Essa condição combina com pacotes que não o primeiro pacote de uma conexão. tcp-established é um sinônimo de nomes de "(ack | rst)" bits.

tcp-established não verifica implicitamente se o protocolo é TCP. Para isso, especifique a next-header tcp condição da combinação.

tcp-flags (flags tcp-initial)

Uma ou mais bandeiras TCP:

  • nome de bit— finsyn , , rstpush , ackurgent

  • operadores lógicos & — (E lógico), | (OR lógico), ! (negação)

  • valor numérico — 0x01 através de 0x20

  • sinônimo de texto—tcp-initial

Para especificar vários flags, use operadores lógicos.

tcp-initial

Combina com o primeiro pacote TCP de uma conexão. tcp-initial é um sinônimo de nomes de "(syn&!ack)" bits.

tcp-initial não verifica implicitamente se o protocolo é TCP. Para isso, especifique a protocol tcp condição ip-protocol tcp ou a combinação.

traffic-class number

Especifica o ponto de código DSCP para um pacote.

ttl value

Tipo TTL para combinar. O valor vai de 1 a 255.

vlan (vlan-name | vlan-id)

A VLAN associada ao pacote. Para vlan-id,você pode especificar a ID VLAN ou uma linha VLAN. A vlan condição da combinação e a condição da combinação são dot1q-tag mutuamente exclusivas.

learn-vlan-id (vlan-name | vlan-id)

A VLAN associada ao pacote. Para vlan-id,você pode especificar a ID VLAN ou uma linha VLAN. A vlan condição da combinação e a condição da combinação são user-vlan-id mutuamente exclusivas.

Ações para filtros de firewall

Você pode definir uma ação a ser tomada pelo switch se um pacote corresponder aos critérios de filtragem definidos em uma condição de combinação. Tabela 3 descreve as ações suportadas em uma configuração de filtro de firewall.

Tabela 3: Ações para filtros de firewall

Ação

Descrição

accept

Aceite um pacote.

discard

Descarte um pacote sem enviar uma mensagem ICMP (Internet Control Message Protocol, Protocolo de Mensagem de Controle da Internet).

reject message-type

Descarte um pacote e envie a mensagem ICMPv4 (tipo 3) destination unreachable . Você pode registrar os pacotes rejeitados se configurar o syslog modificador de ação.

Você pode especificar um dos seguintes códigos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Se você tcp-reset especificar, uma reinicialização do TCP será retornada se o pacote for um pacote TCP. Caso contrário, nada é devolvido.

Caso você não especifique um tipo de mensagem, a notificação do ICMP destination unreachable será enviada com a mensagem communication administratively filtered padrão.

routing-instance routing-instance-name

Encaminhe pacotes com combinação de pacotes para uma instância de roteamento virtual.

Nota:

EX4200 switches não suportam redirecionamento baseado em filtro de firewall para a instância de roteamento padrão.

vlan vlan-name

Pacotes encaminhados e de acordo com uma VLAN específica. Garanta que você especifique o nome ou a ID VLAN e não uma linha VLAN, porque a ação não tem suporte para a opção vlande intervalo de vlan.

Nota:

Se você tiver definido uma VLAN habilitada para tunelamento dot1q, essa VLAN em especial não será suportada como uma ação (usando a ação) para um filtro de firewall VLAN de vlan vlan-name entrada.

Modificadores de ação para filtros de firewall

Além das ações descritas em , você pode definir modificadores de ação em uma configuração de filtro de firewall para um switch se os pacotes corresponderem aos critérios de filtragem definidos na condição de match. descreve os modificadores de ação suportados em uma configuração de filtro de Tabela 3Tabela 4 firewall.

Tabela 4: Modificadores de ação para filtros de firewall

Modificador de ação

Descrição

analyzer analyzer-name

Espelhar o tráfego de porta para uma porta de destino ou VLAN especificada conectada a um aplicativo analisador de protocolo. O espelhamento copia todos os pacotes vistos em uma porta de switch para uma conexão de monitoramento de rede em outra porta de switch. O nome do analisador deve estar configurado em [edit ethernet-switching-options analyzer] .

Nota:

analyzer não é um modificador de ação suportado para uma interface de gerenciamento.

Nota:

Nos EX4500 switches, você pode configurar apenas um analisador e incluí-lo em um filtro de firewall. Se você configurar vários analisadores, não poderá incluir nenhum desses analisadores em um filtro de firewall.

dscp number

Altere o valor DSCP para pacotes matched com o valor DSCP especificado com este modificador de ação. o número especifica o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os seis bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP na forma hexadecimal, binária ou decimal.

Para número,você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • ef (46)—como definido na RFC 2598,um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de drop em cada classe, são definidas para 12 pontos de código no RFC 2597,Grupo PHBde Encaminhamento Garantido.

count counter-name

Conte o número de pacotes que passam por esse filtro, termo ou polícia. Um policial permite especificar limites de taxa de tráfego que entram em uma interface em um switch.

Nota:

Nos EX4300 switches, você pode configurar o mesmo número de contadores e policiais que o número de termos na memória de endereço de conteúdo ternary (TCAM).

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (somente EX4400) De definir a etiqueta de origem da política baseada em grupo (0.65535) para uso com micro segmentação no VXLAN, conforme descrito aqui: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

interface interface-name

Encaminhe o tráfego para a interface especificada que ignora a análise de complicação.

log

Registre as informações do cabeamento do pacote no Mecanismo de Roteamento. Para exibir essas informações, show firewall log emire o comando na CLI.

Nota:

Se o ou o modificador de ação estiver configurado junto com uma ação ou um modificador de ação, os eventos podem logsyslog não ser vlaninterface conectados. Entretanto, a funcionalidade da interface de redirecionamento funciona como esperado.

loss-priority (high | low)

De definir a prioridade de perda de pacotes (PLP).

policer policer-name

Aplique limites de taxa ao tráfego.

Você pode especificar um policial em um filtro de firewall apenas para tráfego de entrada em uma porta, VLAN e roteador.

Nota:

Um contador para um policial não é suportado em switches EX8200 segurança.

Nota:

Nos EX4300 switches, você pode configurar o mesmo número de contadores e agentes de segurança que o número de termos na TCAM.

port-mirror

Espelhar pacotes para a interface definida na [edit forwarding-options analyzer] hierarquia.

port-mirror-instance instance-name

Espelhar pacotes para a instância definida na [edit forwarding-options analyzer] hierarquia.

syslog

Registre um alerta para este pacote. Você pode especificar que o log seja enviado a um servidor para armazenamento e análise.

Nota:

Se o ou o modificador de ação estiver configurado junto com uma ação ou um modificador de ação, os eventos podem logsyslog não ser vlaninterface conectados. Entretanto, a funcionalidade da interface de redirecionamento funciona como esperado.

three-color-policer

Aplique um policial de três cores.