Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

O filtro de firewall combina condições e ações (QFX10000 switches)

Cada termo em um filtro de firewall consiste em condições de combinação e uma ação. As condições de combinação são os campos e os valores que um pacote deve conter para serem considerados uma combinação. Você pode definir condições de combinação única ou múltiplas nas declarações de combinação. Você também pode incluir nenhuma declaração de combinação, e nesse caso o termo combina com todos os pacotes.

Quando um pacote combina com um filtro, o switch toma a ação especificada no termo. Além disso, você pode especificar modificadores de ação para contar, espelhar, limitar a taxa e classificar pacotes. Se não for especificado condições de combinação para o termo, o switch aceitará o pacote por padrão.

Este tópico descreve as várias condições de combinação, ações e modificadores de ação que você pode definir em filtros de firewall em QFX10000 switches. Para obter informações semelhantes sobre outros switches QFX, consulte O filtro de firewall combina condições e ações (switches série QFX e EX) .

  • Tabela 1 descreve as condições de combinação que você pode especificar ao configurar um filtro de firewall. Algumas das condições de match do intervalo numérico e do campo de bit permitem especificar um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de combinação, digite o ? local apropriado em uma declaração.

  • Tabela 2 mostra as ações que você pode especificar em um termo.

  • Tabela 3 mostra os modificadores de ação que você pode usar para contar, espelhar, limitar a taxa e classificar pacotes.

Tabela 1: Condições de combinação suportadas (QFX10000 switches)

Condição de combinação

Descrição

Direção e interface

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Interfaces IPv4 de entrada (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

destination-mac-address mac-address

Endereço controle de acesso ao meio de destino (MAC) do pacote.

Portas de entrada e VLANs.

Portas de saída e VLANs.

destination-port value

Campo de porta de destino TCP ou UDP. Normalmente, você especifica essa combinação com a instrução protocol de match. Para as seguintes portas conhecidas, você pode especificar sinônimos de texto (os números de porta também estão listados):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

destination-prefix-list prefix-list

campo da lista de prefixos de destino IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Defina essa lista no nível [edit policy-options] da hierarquia.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os 6 bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP na forma hexadecimal, binária ou decimal.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • be— melhor esforço (padrão)

  • ef (46)—como definido na RFC 3246,um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de drop em cada classe, para um total de 12 pontos de código, são definidas em RFC 2597,PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces de portas de saída, VLANs e IPv4 (inet).

ether-type value

Campo do tipo Ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro de Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • aarp (0x80F3)— Valor do EtherType AARP

  • appletalk (0x809B)— Valor do EtherType AppleTalk

  • arp (0x0806)— Valor do EtherType ARP

  • fcoe (0x8906)— Valor do EtherType FCoE

  • fip (0x8914)— Valor do EtherType FIP

  • ipv4 (0x0800)— Valor do EtherType IPv4

  • ipv6 (0x08DD)— Valor do EtherType IPv6

  • mpls-multicast (0x8848)— O valor do EtherType MPLS multicast

  • mpls-unicast (0x8847)— Valor do EtherType MPLS unicast

  • oam (0x88A8)— Valor do EtherType OAM

  • ppp (0x880B)— Valor do EtherType PPP

  • pppoe-discovery (0x8863)— Valor do EtherType PPPoE Discovery Stage

  • pppoe-session (0x8864)— O EtherType valoriza o estágio de sessão do PPPoE

  • sna (0x80D5)— Valor do EtherType SNA

Portas de entrada e VLANs.

Portas de saída e VLANs.

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento padrão ou em uma classe de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • network-control

  • no-loss

Interfaces IPv4 de saída (inet) e IPv6 (inet6).

fragment-flags value

bandeiras de fragmentação de IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores hexadecimal também estão relacionados):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Interfaces de portas de entrada, VLANs e IPv4 (inet).

hop-limit value

De acordo com o limite de hop especificado ou o conjunto de limites de hop. Especifique um único valor ou uma variedade de valores de 0 a 255.

Interfaces de entrada e saída IPv6 (inet6).

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado, você deve especificar um icmp-type valor para junto com um valor para icmp-typeicmp-code . No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • IPv4: problema nos parâmetros— ip-header-bad (0) , required-option-missing (1)

  • IPv6: problema de parâmetro — ip6-header-bad (0) , unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável network-unreachable (0)host-unreachable (1) —, protocol-unreachable (2) , , , , , , , , port-unreachable (3) , , , fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12) , communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável— address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0) , port-unreachable (4)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6)

icmp-type value

Campo do tipo de mensagem ICMP. Normalmente, você especifica essa combinação com a instrução de combinação para protocol determinar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

IPv4: echo-reply (0), destination unreachable (3) , , , , , , , , source-quench (4) , redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15) , info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2) , , , , , , , , time-exceeded (3) , , parameter-problem (4) , echo-request (128) , echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137) , router-renumbering (138)node-information-request (139)node-information-reply (140)

Veja também icmp-code variable .

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

interface interface-name

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere wildcard * () como parte de um nome da interface ou unidade lógica.

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como uma condição de combinação.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

ip-destination-address address

Endereço IPv4, que é o endereço do nó de destino final do pacote.

Portas de entrada, portas de saída e VLANs.

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

ip-options

Especifique criar uma combinação se algo for especificado no campo de opções any no header IP.

Interfaces de portas de entrada, VLANs e IPv4 (inet).

ip-precedence ip-precedence-field

campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): critical-ecp (0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Portas de entrada e VLANs.

Portas de saída e VLANs.

ip-protocol number

campo de protocolo IP.

Portas de entrada e VLANs.

Portas de saída e VLANs.

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

ip-source-address Endereço

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs.

Portas de saída e VLANs.

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

ip-version address

versão IP do pacote. Use essa condição para combinar campos de header IPv4 ou IPv6 no tráfego que chegam em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs.

Portas de saída e VLANs.

is-fragment

Usar essa condição causa uma combinação se o sinal Mais Fragments estiver ativado no header IP ou se o deslocamento do fragmento não for zero.

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

learn-1p-priority number

Combina com os bits de prioridade IEEE 802.1p VLAN especificados no 0-7 intervalo.

Portas de entrada e VLANs.

Portas de saída e VLANs.

learn-vlan-id number

Combina com a ID de uma VLAN normal ou a ID da VLAN externa (para VLANs Q-in-Q). Para usar a memória do filtro de maneira mais eficiente e maximizar o número de filtros possíveis, use essa condição além de quando você deseja combinar a user-id ID VLAN interna (do cliente). Os valores aceitáveis são 1-4095.

Portas de entrada e VLANs.

Portas de saída e VLANs.

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

loss-priority (low | medium-low | medium-high | high)

De definir a prioridade de perda de pacotes (PLP).

Nota:

O loss-priority modificador de ação não tem suporte combinado com a policer ação.

Interfaces IPv4 de saída (inet) e IPv6 (inet6).

next-header value

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 de entrada (inet6).

Interfaces IPv6 de saída (inet6).

packet-length number

Comprimento do pacote em bytes. Você deve inserir um número entre 0 e 65535.

Interfaces de portas de entrada, VLANs, IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de saída (inet).

precedence value

Bits de precedência DE IP no byte do tipo de serviço (ToS) no header IP. (Este byte também pode ser usado no DiffServ DSCP.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada (inet).

Interfaces IPv4 de saída (inet).

protocol type

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv4 de entrada (inet).

Interfaces IPv4 de saída (inet).

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Interfaces IPv4 de entrada (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

source-mac-address mac-address

Endereço controle de acesso ao meio de origem (MAC) do pacote.

Portas de entrada e VLANs.

Portas de saída e VLANs.

source-port value

Porta de origem TCP ou UDP. Normalmente, você especifica essa combinação com a instrução protocol de match. No lugar do campo numérico, você pode especificar um dos sinônimos de texto indicados em destination-port .

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

source-prefix-list prefix-list

lista de prefixos de origem IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Defina essa lista no nível [edit policy-options] da hierarquia.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

tcp-established

Combinar pacotes de uma conexão TCP estabelecida. Essa condição combina com pacotes que não os usados para configurar uma conexão TCP, ou seja, pacotes de aperto de mão de três vias não são combinações.

Quando você tcp-established especifica, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a protocol tcp condição da combinação.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-flags value

Uma ou mais bandeiras TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-initial

Combinar o primeiro pacote TCP de uma conexão. Ocorre uma combinação quando o sinal TCP SYN está definido e o sinal TCP não está ACK definido.

Quando você tcp-initial especifica, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a protocol tcp condição da combinação.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

traffic-class value

campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica àquelas do IPv4.

Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 de entrada (inet6).

Interfaces IPv6 de saída (inet6).

ttl value

campo IP Time-to-Live (TTL) em decimal. O valor pode ser de 1 a 255.

Interfaces IPv4 de entrada (inet).

Interfaces IPv4 de saída (inet).

Interface de IRB de entrada para EVPN/VXLAN malha, quando aplicável

user-vlan-id number

Combina com a ID da VLAN interna (do cliente) em uma VLAN Q-in-Q. Para usar a memória do filtro de maneira mais eficiente e maximizar o número de filtros possíveis, use-a combinada com a learn-vlan-id ID VLAN externa (serviço). Os valores aceitáveis são 1-4095.

Portas de entrada e VLANs.

Portas de saída e VLANs.

Use declarações para definir ações que devem ocorrer se um pacote estiver de acordo com todas as condições de uma declaração. mostra as ações que você then pode especificar em um fromTabela 2 termo. (Se você não incluir uma then declaração, o sistema aceitará pacotes que combinarão com o filtro.)

Tabela 2: Ações

Ação

Descrição

accept

Aceite um pacote. Essa é a ação padrão para pacotes que se igualam a um termo.

discard

Descarte um pacote sem enviar uma mensagem ICMP (Internet Control Message Protocol, Protocolo de Mensagem de Controle da Internet).

reject message-type

Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o syslog modificador de ação.

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, ou tcp-reset .

Se você especificar, o sistema enviará uma reinicialização de TCP se o pacote for um tcp-reset pacote TCP; caso contrário, nada será enviado.

Caso você não especifique um tipo de mensagem, a notificação de ICMP "destino inalcançável" será enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A reject ação é suportada apenas em interfaces de entrada.

routing-instance instance-name

Encaminhe pacotes com combinação de pacotes para uma instância de roteamento virtual. (O único tipo de instância suportado é virtual-router .) Os pacotes podem ser encaminhados para a instância padrão.

vlan VLAN-name

Pacotes encaminhados e de acordo com uma VLAN específica.

Nota:

A vlan ação é suportada apenas em interfaces de entrada.

Nota:

Essa ação não é suportada em switches da série OCX.

Você também pode especificar os modificadores de ação indicados para Tabela 3 contar, espelhar, limitar a taxa e classificar pacotes.

Tabela 3: Modificadores de ação

Modificador de ação

Descrição

count counter-name

Conte o número de pacotes que se igualam ao termo.

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento padrão ou em uma classe de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

log

Registre as informações do cabeamento do pacote no Mecanismo de Roteamento. Para exibir essas informações, insira o comando show firewall log modo operacional.

Nota:

O log modificador de ação é suportado apenas em interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

De definir a prioridade de perda de pacotes (PLP).

Nota:

O loss-priority modificador de ação é suportado apenas em interfaces de entrada.

Nota:

O loss-priority modificador de ação não tem suporte combinado com a policer ação.

policer policer-name

Envie pacotes para um policial (com a finalidade de aplicar limitação de taxa).

Você pode especificar um policial para filtros de firewall de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6).

Nota:

O policer modificador de ação não tem suporte combinado com a loss-priority ação.

port-mirror

(plataformas ELS) Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível [edit forwarding-options port-mirroring] da hierarquia.

Você pode especificar o espelhamento de porta para filtros de firewall de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6).

port-mirror-instance port-mirror-instance-name

(plataformas ELS) Espelhar o tráfego para uma instância de espelhamento de porta configurada em [edit forwarding-options port-mirroring] nível de hierarquia.

Você pode especificar o espelhamento de porta para filtros de firewall de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6).

Nota:

syslog

Registre um alerta para este pacote.

Nota:

O syslog modificador de ação é suportado apenas em interfaces de entrada.

three-color-policer three-color-policer-name

Envie pacotes para um policial de três cores (com a finalidade de aplicar limitação de taxa).

Você pode especificar um policial de três cores para filtros de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6).

Nota:

O policer modificador de ação não tem suporte combinado com a loss-priority ação.