Condições e ações de correspondência do filtro de firewall (QFX10000 switches)

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote combina com um filtro, o switch toma a ação especificada no termo. Além disso, você pode especificar modificadores de ação para contar, espelhar, limitar a taxa e classificar pacotes. Se nenhuma condição de correspondência for especificada para o termo, o switch aceita o pacote por padrão.

Este tópico descreve as várias condições de correspondência, ações e modificadores de ação que você pode definir em filtros de firewall em switches QFX10000. Para obter informações semelhantes sobre outros switches QFX, veja Condições e ações de correspondência do filtro de firewall (switches da série QFX e EX).

Tabela 1 descreve as condições de correspondência que você pode especificar ao configurar um filtro de firewall. Algumas das condições de correspondência de campo numérico e numérico permitem que você especifique um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de correspondência, digite no local apropriado em uma declaração.?
Tabela 2 mostra as ações que você pode especificar em um termo.
Tabela 3 mostra os modificadores de ação que você pode usar para contar, espelhar, limitar a taxa e classificar pacotes.

Tabela 1: Condições de correspondência suportadas (QFX10000 switches)
Condição da partida	Descrição	Direção e interface
`destination-address ip-address`	Campo de endereço de destino IP, que é o endereço do nó de destino final.	Interfaces IPv4 (inet) de entrada e interfaces IPv6 (inet6). Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6). Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`destination-mac-address mac-address`	Endereço de controle de acesso de mídia de destino (MAC) do pacote.	Portas de entrada e VLANs. Portas de saída e VLANs.
`destination-port value`	Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta correspondência em conjunto com a declaração da partida.`protocol` Para as seguintes portas bem conhecidas, você pode especificar sinônimos de texto (os números da porta também estão listados): , , , , , `afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)` , `cmd (514)cvspserver (2401)` , `dhcp (67)domain (53)` , , `eklogin (2105)ekshell (2106)exec (512)` , , `finger (79)ftp (21)ftp-data (20)` , `http (80)https (443)` , `ident (113)imap (143)` , , , , , , `kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)` , `ldap (389)login (513)` , , `mobileip-agent (434)mobilip-mn (435)msdp (639)` , , , , , , , `netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)` , , `pop3 (110)pptp (1723)printer (515)` ,, `radacct (1813)radius (1812)rip (520)rkinit (2108)` , , , , , , , , `smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)` , , , , , `tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)` `who (513)`, `xdmcp (177)`, `zephyr-clt (2103)`, `zephyr-hm (2104)`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`destination-prefix-list prefix-list`	Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica .`[edit policy-options]`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`dscp value`	Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Você pode especificar DSCP em forma hexadédica, binária ou decima. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `be`— melhor esforço (padrão) — conforme definido no RFC 3246, um PHB de encaminhamento acelerado.`ef (46)`http://www.ietf.org/rfc/rfc3246.txt , ; `af11 (10)af12 (12)af13 (14)` , ; `af21 (18)af22 (20)af23 (22)` , ; `af31 (26)af32 (28)af33 (30)` , `af41 (34)af42 (36)af43 (38)` Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.http://www.ietf.org/rfc/rfc2597.txt , , , , , , , , `cs0cs1cs2cs3cs4cs5cs6cs7cs5`	Portas de entrada, VLANs e interfaces IPv4 (inet). Portas de saída, VLANs e interfaces IPv4 (inet).
`ether-type value`	Tipo de campo de ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `aarp (0x80F3)`— Valor de EtherOtipo AARP `appletalk (0x809B)`— Valor de EtherOtipo AppleTalk `arp (0x0806)`— ARP de valor do EtherOquétipo `fcoe (0x8906)`— FCoE de valor do EtherOquécnico `fip (0x8914)`— FIP de valor do EtherOquétipo `ipv4 (0x0800)`— IPv4 de valor de EtherOquétipo `ipv6 (0x08DD)`— IPv6 de valor de EtherOquétipo `mpls-multicast (0x8848)`— Valor de EtherHavia MPLS multicast `mpls-unicast (0x8847)`— MpLS unicast de valor de EtherType `oam (0x88A8)`— Valor de EtherOAM `ppp (0x880B)`— PPP de valor do EtherOquétipo `pppoe-discovery (0x8863)`— Valor de EtherPoE PPPoE Discovery Stage `pppoe-session (0x8864)`— Valor de EtherPoE Estágio de sessão de PPPoE `sna (0x80D5)`— SNA de valor de EtherOtip	Portas de entrada e VLANs. Portas de saída e VLANs.
`forwarding-class class`	Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário: `best-effort` `fcoe` `network-control` `no-loss`	Interfaces IPv4 (inet) e IPv6 (inet6) de saída.
`fragment-flags value`	Bandeiras de fragmentação de IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores hexadecimal também estão listados): `is-fragment` `dont-fragment (0x4000)` `more-fragments (0x2000)` `reserved (0x8000)`	Portas de entrada, VLANs e interfaces IPv4 (inet).
`hop-limit value`	Corresponda ao limite de salto ou conjunto especificado de limites de salto. Especifique um único valor ou uma gama de valores de 0 a 255.	Interfaces IPv6 (inet6) de entrada e saída.
`icmp-code value`	Campo de código ICMP. Como o significado do valor depende do associado , você deve especificar um valor para .`icmp-typeicmp-typeicmp-code` No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas: IPv4: problema de parâmetro —`ip-header-bad (0)required-option-missing (1)` IPv6: problema de parâmetro —`ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)` — , `redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)` —`time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)` IPv4: inalcançável — , , , , , , , , , , , , , , , , , `network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)` IPv6: inalcançável — , `address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6)
`icmp-type value`	Campo do tipo de mensagem do ICMP. Normalmente, você especifica esta correspondência em conjunto com a declaração de correspondência para determinar qual protocolo está sendo usado na porta.`protocol` No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): IPv4:, , , , , , , , , , , , , , , , , , , , `echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)` IPv6:, , , , , , , , , , , , , , , , , , , , `destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)` Veja também .`icmp-code variable`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`interface interface-name`	Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere curinga () como parte de um nome de interface ou unidade lógica.`*` Nota: Uma interface da qual um pacote é enviado não pode ser usada como condição de correspondência.	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).
`ip-destination-address address`	Endereço IPv4 que é o endereço de nó de destino final para o pacote.	Portas de entrada, portas de saída e VLANs. Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`ip-options`	Especifique para criar uma correspondência se algo estiver especificado no campo de opções no cabeçalho ip.`any`	Portas de entrada, VLANs e interfaces IPv4 (inet).
`ip-precedence ip-precedence-field`	Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) ou (0x00).`critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine`	Portas de entrada e VLANs. Portas de saída e VLANs.
`ip-protocol number`	Campo de protocolo IP.	Portas de entrada e VLANs. Portas de saída e VLANs. Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`ip-source-address` `address`	Endereço IPv4 do nó de origem que envia o pacote.	Portas de entrada e VLANs. Portas de saída e VLANs. Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`ip-version address`	Versão IP do pacote. Use essa condição para combinar com campos de cabeçalho IPv4 ou IPv6 em tráfego que chegam em uma porta de Camada 2 ou interface VLAN.	Portas de entrada e VLANs. Portas de saída e VLANs.
`is-fragment`	Usar essa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho IP ou se a compensação do fragmento não for zero.	Portas de entrada, VLANs e interfaces IPv4 (inet). Interfaces IPv4 de saída (inet).
`learn-1p-priority number`	Corresponde aos bits de prioridade de VLAN IEEE 802.1p especificados na faixa .`0-7`	Portas de entrada e VLANs. Portas de saída e VLANs.
`learn-vlan-id number`	Corresponde à ID de uma VLAN normal ou do ID da VLAN externa (serviço) (para VLANs Q-in-Q). Para usar a memória do filtro de forma mais eficiente e maximizar o número de possíveis filtros, use essa condição, além de quando quiser combinar com o ID VLAN interno (do cliente).`user-id` Os valores aceitáveis são 1-4095.	Portas de entrada e VLANs. Portas de saída e VLANs. Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`loss-priority (low \| medium-low \| medium-high \| high)`	Definir a prioridade de perda de pacotes (PLP). Nota: O modificador de ação não é suportado em combinação com a ação .`loss-prioritypolicer`	Interfaces IPv4 (inet) e IPv6 (inet6) de saída.
`next-header value`	Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados): ,, , , , , , , , , , , , `hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)`	Interfaces IPv6 (inet6) de entrada. Interfaces IPv6 de saída (inet6).
`packet-length number`	Comprimento do pacote em bytes. Você deve digitar um número entre 0 e 65535.	Portas de entrada, VLANs, IPv4 (inet) e interfaces IPv6 (inet6). Interfaces IPv4 de saída (inet).
`precedence value`	Bits de precedência de IP no byte de tipo de serviço (ToS) no cabeçalho IP. (Este byte também pode ser usado para o DSCP DiffServ.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados): `routine (0)` `priority (1)` `immediate (2)` `flash (3)` `flash-override (4)` `critical-ecp (5)` `internet-control (6)` `net-control (7)`	Interfaces IPv4 (inet) de entrada. Interfaces IPv4 de saída (inet).
`protocol type`	Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados): ,, , , , , , , , , , , , `hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)`	Interfaces IPv4 (inet) de entrada. Interfaces IPv4 de saída (inet).
`source-address ip-address`	Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.	Interfaces IPv4 (inet) de entrada e interfaces IPv6 (inet6). Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6). Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`source-mac-address mac-address`	Endereço de controle de acesso de mídia (MAC) de origem do pacote.	Portas de entrada e VLANs. Portas de saída e VLANs.
`source-port value`	Porta de origem TCP ou UDP. Normalmente, você especifica esta correspondência em conjunto com a declaração da partida.`protocol` No lugar do campo numérico, você pode especificar um dos sinônimos de texto listados em .`destination-port`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`source-prefix-list prefix-list`	Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica .`[edit policy-options]`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Portas de saída, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`tcp-established`	Pacotes compatíveis de uma conexão TCP estabelecida. Essa condição corresponde a pacotes diferentes daqueles usados para configurar uma conexão TCP — ou seja, os pacotes de uso de três vias não são compatíveis. Quando você especifica , um switch não verifica implicitamente se o protocolo é TCP.`tcp-established` Você também deve especificar a condição da correspondência.`protocol tcp`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Interfaces IPv4 de saída (inet).
`tcp-flags value`	Uma ou mais bandeiras de TCP: `ack (0x10)` `fin (0x01)` `push (0x08)` `rst (0x04)` `syn (0x02)` `urgent (0x20)`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Interfaces IPv4 de saída (inet).
`tcp-initial`	Combine com o primeiro pacote TCP de uma conexão. Uma correspondência ocorre quando a bandeira do TCP é definida e a bandeira TCP não é definida.`SYNACK` Quando você especifica , um switch não verifica implicitamente se o protocolo é TCP.`tcp-initial` Você também deve especificar a condição da correspondência.`protocol tcp`	Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6). Interfaces IPv4 de saída (inet).
`traffic-class value`	Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4. Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): , , , , , , , , , , , , , `af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)`	Interfaces IPv6 (inet6) de entrada. Interfaces IPv6 de saída (inet6).
`ttl value`	Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255.	Interfaces IPv4 (inet) de entrada. Interfaces IPv4 de saída (inet). Interface IRB de entrada para malha EVPN/VXLAN, quando aplicável
`user-vlan-id number`	Combina com a ID da VLAN interna (cliente) em uma VLAN Q-in-Q. Para usar a memória do filtro de forma mais eficiente e maximizar o número de filtros possíveis, use em combinação com para combinar com o ID VLAN externo (serviço).`learn-vlan-id` Os valores aceitáveis são 1-4095.	Portas de entrada e VLANs. Portas de saída e VLANs.

Use declarações para definir ações que devem ocorrer se um pacote corresponde a todas as condições em uma declaração. Mostra as ações que você pode especificar em um termo.thenfromTabela 2 (Se você não incluir uma declaração, o sistema aceita pacotes compatíveis com o filtro.)then

Tabela 2: Ações
Ação	Descrição
`accept`	Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.
`discard`	Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).
`reject message-type`	Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o modificador de ação .`syslog` Você pode especificar um dos seguintes tipos de mensagem: ou .`administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,tcp-reset` Se você especificar , o sistema envia um reset de TCP se o pacote for um pacote TCP; caso contrário, nada é enviado.`tcp-reset` Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente". Nota: A ação é apoiada apenas em interfaces de entrada.`reject`
`routing-instance instance-name`	Encaminhe pacotes combinados para uma instância de roteamento virtual. (O único tipo de instância suportada é .) Os pacotes podem ser encaminhados para a instância padrão.`virtual-router`
`vlan VLAN-name`	Encaminhe pacotes combinados para uma VLAN específica. Nota: A ação é apoiada apenas em interfaces de entrada.`vlan` Nota: Essa ação não é suportada em switches da série OCX.

Você também pode especificar os modificadores de ação listados para contar, espelhar, limitar a taxa e classificar pacotes.Tabela 3

Tabela 3: Modificadores de ação
Modificador de ação	Descrição
`count counter-name`	Conte o número de pacotes compatíveis com o termo.
`forwarding-class class`	Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário: `best-effort` `fcoe` `mcast` `network-control` `no-loss` Nota: Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.
`log`	Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, insira o comando do modo operacional.`show firewall log` Nota: O modificador de ação é suportado apenas em interfaces de entrada.`log`
`loss-priority (low \| medium-low \| medium-high \| high)`	Definir a prioridade de perda de pacotes (PLP). Nota: O modificador de ação é suportado apenas em interfaces de entrada.`loss-priority` Nota: O modificador de ação não é suportado em combinação com a ação .`loss-prioritypolicer`
`policer policer-name`	Envie pacotes a um policial (com a finalidade de aplicar limitações de taxa). Você pode especificar um policial para filtros de firewall de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6). Nota: O modificador de ação não é suportado em combinação com a ação .`policerloss-priority`
`port-mirror`	(plataformas ELS) Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível de hierarquia.`[edit forwarding-options port-mirroring]` Você pode especificar o espelhamento de porta para filtros de firewall de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6).
`port-mirror-instance port-mirror-instance-name`	(plataformas ELS) Espelhar o tráfego para uma instância de espelhamento de porta configurada no nível de hierarquia.`[edit forwarding-options port-mirroring]` Você pode especificar o espelhamento de porta para filtros de firewall de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6). Nota:
`syslog`	Registre um alerta para este pacote. Nota: O modificador de ação é suportado apenas em interfaces de entrada.`syslog`
`three-color-policer three-color-policer-name`	Envie pacotes a um policiador de três cores (com a finalidade de aplicar limitações de taxa). Você pode especificar um policiador de três cores para filtros de entrada e saída, VLAN, IPv4 (inet) e IPv6 (inet6). Nota: O modificador de ação não é suportado em combinação com a ação .`policerloss-priority`

Condições e ações de correspondência do filtro de firewall (QFX10000 switches)

Tópicos relacionados