Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符

为 EX 系列交换机定义防火墙过滤器时,将为数据包action定义过滤标准 (termswithmatch conditions),为交换机定义数据包的过滤标准(和可选action modifier)(可选)。您可以定义防火墙过滤器来监控 IPv4、IPv6 或非 IP 流量。

本主题详细介绍可以在防火墙过滤器中定义的各种匹配条件、操作和操作修改符。有关支持各种 EX 系列交换机上的匹配条件的信息,请参阅 平台支持 EX 系列交换机上的防火墙过滤器匹配条件、操作和操作修改器

防火墙过滤器元素

防火墙过滤器配置包含术语、匹配条件、操作和操作修改符(可选)。 表 1 介绍了防火墙过滤器配置中的每个元素。

表 1: 防火墙过滤器配置的元素

元素名称

说明

术语

定义数据包的过滤标准。防火墙过滤器中的每个术语都包含匹配条件和操作。您可以在防火墙过滤器中定义一个或多个术语。如果定义多个术语,则每个术语都必须有一个唯一的名称。

匹配条件

由定义匹配条件的字符串(称为 match statement)组成。匹配条件是数据包必须包含的值或字段。您可以为一个术语定义一个匹配条件或多个匹配条件。您也可以选择不定义匹配条件。如果未为某个术语指定匹配条件,则默认匹配所有数据包。

行动

指定如果数据包符合匹配条件中指定的所有标准时交换机采取的操作。

操作修改符

指定如果数据包与特定术语的匹配条件匹配时交换机采取的一个或多个操作。

交换机支持的匹配条件

根据要监控的流量类型,您可以配置防火墙过滤器以监控 IPv4、IPv6 或非 IP 流量。配置防火墙过滤器以监控特定类型的流量时,请确保指定该类型流量支持的匹配条件。有关特定流量类型和交换机支持的匹配条件的信息,请参阅 平台支持 EX 系列交换机上的防火墙过滤器匹配条件、操作和操作修改器

表 2 介绍了 EX 系列交换机上的防火墙过滤器支持的所有匹配条件。

表 2: EX 系列交换机支持的防火墙过滤器匹配条件

匹配条件

说明

destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

ip-destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

ip6-destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

destination-mac-address mac-address

数据包的目标媒体访问控制 (MAC) 地址。

您可以定义带有前缀的目标 MAC 地址,例如 destination-mac-address 00:01:02:03:04:05/24。如果未指定前缀,则使用默认值 48。

destination-port number

TCP 或 UDP 目标端口字段。通常,您可以结合 protocolip-protocol 匹配条件指定此匹配条件,以确定端口上使用哪个协议。对于 number,您可以指定以下文本同义词之一(端口号也列出):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

IP 目标前缀列表字段。

您可以在前缀列表别名下定义一个 IP 地址前缀列表,以便频繁使用。您可以在层次结构级别定义此匹配条件 [edit policy-options]

dot1q-tag number

以太网标头中的标记字段。标记值的范围从 1 到 4095。匹配 dot1q-tag 条件和 vlan 匹配条件是相互排斥的。

user-vlan-id number

以太网标头中的标记字段。标记值的范围从 1 到 4095。匹配 user-vlan-id 条件和 learn-vlan-id 匹配条件是相互排斥的。

dot1q-user-priority number

标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。

对于 number,您可以指定以下文本同义词之一(同时列出了字段值):

  • background (1)— 背景

  • best-effort (0)— 尽力而为

  • controlled-load (4)— 受控负载

  • excellent-load (3)— 出色的负载

  • network-control (7)—网络控制保留流量

  • standard (2)- 标准或备件

  • video (5)—视频

  • voice (6)—语音

user-vlan-1p-priority number

标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。

对于 number,您可以指定以下文本同义词之一(同时列出了字段值):

  • background (1)— 背景

  • best-effort (0)— 尽力而为

  • controlled-load (4)— 受控负载

  • excellent-load (3)— 出色的负载

  • network-control (7)—网络控制保留流量

  • standard (2)- 标准或备件

  • video (5)—视频

  • voice (6)—语音

dscp number

指定差异化服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的六位组成 DSCP。

您可以以十六进制、二进制或十进制形式指定 DSCP。

对于 number,您可以指定以下文本同义词之一(同时列出了字段值):

  • ef (46)— 在 RFC 2598加速转发 PHB 中定义。

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    这四个类,每个类都有三个丢弃优先级,在 RFC 2597保证转发 PHB 组中为 12 个代码点定义。

ether-type value

数据包的以太网类型字段。指定在以太网帧中传输的协议。对于 value,您可以指定以下文本同义词之一:

  • aarp-EtherType 值 AARP (0x80F3)

  • appletalk—EtherType 值 AppleTalk (0x809B)

  • arp-EtherType 值 ARP (0x0806)

  • ipv4—EtherType 值 IPv4 (0x0800)

  • ipv6—EtherType 值 IPv6 (0x08DD)

  • mpls multicast-EtherType 值 MPLS 组播 (0x8848)

  • mpls unicast—EtherType 值 MPLS 单播 (0x8847)

  • oam-EtherType 值 OAM (0x88A8)

  • ppp-EtherType 值 PPP (0x880B)

  • pppoe-discovery-EtherType 值 PPPoE 发现阶段 (0x8863)

  • pppoe-session—EtherType 值 PPPoE 会话阶段 (0x8864)

  • sna-EtherType 值 SNA (0x80D5)

注:

如果 ether-type 设置为 ipv6以下匹配条件,则不支持:

  • dscp

  • fragment-flags

  • is-fragment

  • precedenceip-precedence

  • protocolip-protocol

fragment-flags fragment-flags

以符号或十六进制格式指定的 IP 分片标志。您可以指定以下选项之一:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag 匹配目标标记,用于 VXLAN 上的微分段,如下所述:示例:在 VXLAN 中使用基于组策略的微和宏观分段
gbp-src-标记 匹配源标记,用于 VXLAN 上的微分段,如下所述:示例:在 VXLAN 中使用基于组策略的微和宏观分段

icmp-code number

ICMP 代码字段。此值或选项提供的信息比 icmp-type。由于值的意义取决于关联的icmp-type,因此您必须一起icmp-code指定icmp-type。对于 number,您可以指定以下文本同义词之一(字段值也会列出)。这些选项按与之关联的 ICMP 类型进行分组:

  • parameter-problem-,ip-header-bad (0)required-option-missing (1)

  • redirect-redirect-for-host (1)、 、 redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceeded-,ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachable-communication-prohibited-by-filtering (13)destination-host-prohibited (10)、 、 destination-host-unknown (7)destination-network-unknown (6)destination-network-prohibited (9)fragmentation-needed (4)host-precedence-violation (14)、 、 host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)protocol-unreachable (2)precedence-cutoff-in-effect (15)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP 数据包类型字段。通常,您可以与或ip-protocol匹配条件一起protocol指定此匹配条件,以确定端口上使用哪个协议。对于 number,您可以指定以下文本同义词之一(同时列出了字段值):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

接收数据包的接口。您可以将通配符字符 (*) 指定为接口名称的一部分。

注:

interface EX8200 虚拟机箱上的出口流量不支持匹配条件。

ip-options

IP 报头中存在选项字段。

ip-version version match_condition(s)

端口和 VLAN 防火墙过滤器的 IP 协议版本。的值 version 可以是 ipv4ipv6

对于 match_condition(s),您可以指定以下一个或多个匹配条件:

  • destination-addressip-destination-addressip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedenceip-precedence

  • protocolip-protocol

  • source-addressip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

如果数据包是尾随分片,则此匹配条件与分片数据包的第一个分片不匹配。使用两个术语来匹配第一个和末尾的分片。

注:

由于 EX2300、EX3400 和 EX4300 交换机存在限制,当应用于“家族以太网交换”时,此匹配条件与分片数据包的最后一个分片不匹配。

l2-encap-type llc-non-snap

匹配非子网接入协议 (SNAP) 以太网封装类型的逻辑链路控制 (LLC) 层数据包。

next-header bytes

8 位协议字段,标识紧跟 IPv6 报头的报头类型。代替数值,您可以指定以下文本同义词之一(字段值也列出):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

接收的数据包长度(以字节为单位)。

长度仅指 IP 数据包,包括数据包标头,不包括任何第 2 层封装开销。

precedence precedence

IP 优先级。对于 precedence,您可以指定以下文本同义词之一(同时列出了字段值):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

IP 优先级。对于 precedence,您可以指定以下文本同义词之一(同时列出了字段值):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

IPv4 协议值。对于 protocols,您可以指定以下文本同义词之一:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

IPv4 协议值。对于 protocols,您可以指定以下文本同义词之一:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP 源地址字段,即发送数据包的源节点的地址。对于 IPv6,源地址字段的长度为 128 位。过滤器描述语法支持 RFC 2373IP 版本 6 寻址架构中描述的 IPv6 地址的文本表示。

ip-source-address (ip-address | ip6-address)

IP 源地址字段,即发送数据包的源节点的地址。您可以指定 IPv4 地址 (ip-address) 或 IPv6 地址 (ip6-address)。对于 IPv6,IP 源地址字段的长度为 128 位。过滤器描述语法支持 RFC 2373IP 版本 6 寻址架构中描述的 IPv6 地址的文本表示。

source-mac-address mac-address

源 MAC 地址。

您可以定义带有前缀的源 MAC 地址,例如 source-mac-address 00:01:02:03:04:05/24。如果未指定前缀,则使用默认值 48。

source-port number

TCP 或 UDP source-port 字段。通常,您可以结合 protocolip-protocol 匹配条件指定此匹配,以确定端口上使用哪个协议。对于 number,您可以指定下 destination-port列出的文本同义词之一。

source-prefix-list prefix-list

IP 源前缀列表字段。

您可以在前缀列表别名下定义一个 IP 地址前缀列表,以便频繁使用。您可以在层次结构级别定义此匹配条件 [edit policy-options]

tcp-established

已建立 TCP 连接的 TCP 数据包。此条件与连接的第一个数据包以外的数据包匹配。 tcp-established 是位名称 "(ack | rst)"的同义词。

tcp-established 不会隐式检查协议是否为 TCP。为此,请 next-header tcp 指定匹配条件。

tcp-flags (flags tcp-initial)

一个或多个 TCP 标志:

  • 位名称 —finsynrst、 、 pushackurgent

  • 逻辑运算符 —& (逻辑 AND)、 | (逻辑 OR) ! (否定)

  • 数字值 — 0x01到0x20

  • 文本同义词 —tcp-initial

要指定多个标志,请使用逻辑运算符。

tcp-initial

匹配连接的第一个 TCP 数据包。 tcp-initial 是位名称 "(syn&!ack)"的同义词。

tcp-initial 不会隐式检查协议是否为 TCP。为此,请 protocol tcp 指定或 ip-protocol tcp 匹配条件。

traffic-class number

为数据包指定 DSCP 代码点。

ttl value

要匹配的 TTL 类型。值的范围从 1 到 255。

vlan (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan-id,您可以指定 VLAN ID 或 VLAN 范围。匹配 vlan 条件和 dot1q-tag 匹配条件是相互排斥的。

learn-vlan-id (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan-id,您可以指定 VLAN ID 或 VLAN 范围。匹配 vlan 条件和 user-vlan-id 匹配条件是相互排斥的。

防火墙过滤器的操作

您可以定义如果数据包符合匹配条件中定义的过滤标准时交换机要采取的操作。 表 3 介绍了防火墙过滤器配置中支持的操作。

表 3: 防火墙过滤器的操作

行动

说明

accept

接受数据包。

discard

在不发送 Internet 控制消息协议 (ICMP) 消息的情况下以静默方式丢弃数据包。

reject message-type

丢弃数据包,然后发送 ICMPv4 消息(类型 3 destination unreachable)。配置操作修改符后,您可以记录被拒绝的 syslog 数据包。

您可以指定以下消息代码之一:administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

如果指定 tcp-reset,则当数据包为 TCP 数据包时,将返回 TCP 重置。否则,不会返回任何内容。

如果未指定消息类型,则 ICMP 通知 destination unreachable 将随默认消息 communication administratively filtered一起发送。

routing-instance routing-instance-name

将匹配的数据包转发到虚拟路由实例。

注:

EX4200 交换机不支持基于防火墙过滤器的默认路由实例的重定向。

vlan vlan-name

将匹配的数据包转发到特定 VLAN。请确保指定 VLAN 名称或 VLAN ID,而不是 VLAN 范围,因为 vlan 操作不支持 vlan-range 选项。

注:

如果您定义的 VLAN 启用了 dot1q 隧道,则不支持该特定 VLAN 作为入口 VLAN 防火墙过滤器的操作(使用该 vlan vlan-name 操作)。

防火墙过滤器的操作修改符

除了上述 表 3操作之外,如果数据包与匹配条件中定义的过滤标准匹配,您还可以在交换机的防火墙过滤器配置中定义操作修改符。 表 4 介绍了防火墙过滤器配置中支持的操作修改符。

表 4: 防火墙过滤器的操作修改符

操作修改符

说明

analyzer analyzer-name

将端口流量镜像到连接到协议分析器应用程序的指定目标端口或 VLAN。镜像会将在一个交换机端口上看到的所有数据包复制到另一个交换机端口上的网络监控连接。分析器名称必须在下 [edit ethernet-switching-options analyzer]配置。

注:

analyzer 不是管理接口支持的操作修改符。

注:

在 EX4500 交换机上,您只能配置一个分析器,并将其包含在防火墙过滤器中。如果配置多个分析器,则防火墙过滤器中不能包含其中任何一个分析器。

dscp number

将匹配数据包的 DSCP 值更改为此操作修改符指定的 DSCP 值。 number 指定差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的六位组成 DSCP。

您可以以十六进制、二进制或十进制形式指定 DSCP。

对于 number,您可以指定以下文本同义词之一(同时列出了字段值):

  • ef (46)— 在 RFC 2598加速转发 PHB 中定义。

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    这四个类,每个类都有三个丢弃优先级,在 RFC 2597保证转发 PHB 组中为 12 个代码点定义。

count counter-name

计算通过此过滤器、术语或监管器的数据包数量。监管器允许您指定进入交换机接口的流量的速率限制。

注:

在 EX4300 交换机上,您可以配置与三元内容寻址存储器 (TCAM) 中的术语数量相同的计数器和监管器数量。

forwarding-class class

将数据包分类为以下其中一个转发类:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-标记(仅限 EX4400 和 EX4650) 设置基于组的策略源标记 (0..65535),以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微和宏观分段

interface interface-name

将流量转发至指定接口,绕过交换查找。

log

将数据包标头信息记录在路由引擎中。要查看此信息,请发出 show firewall log 命令在 CLI 中。

注:

如果与 log 操作或 syslog 操作修改器一 vlan 起配置了操作或 interface 操作修改器,则可能不会记录事件。但是,重定向接口功能按预期工作。

loss-priority (high | low)

设置数据包丢失优先级 (PLP)。

policer policer-name

对流量应用速率限制。

您可以在防火墙过滤器中为端口、VLAN 和路由器上的入口流量指定监管器。

注:

EX8200 交换机不支持监管器的计数器。

注:

在 EX4300 交换机上,您可以配置与 TCAM 中的术语数量相同的计数器和监管器数量。

port-mirror

将数据包镜像到层次结构中 [edit forwarding-options analyzer] 定义的接口。

port-mirror-instance instance-name

将数据包镜像到层次结构中 [edit forwarding-options analyzer] 定义的实例。

syslog

记录此数据包的警报。您可以指定将日志发送到服务器进行存储和分析。

注:

如果与 log 操作或 syslog 操作修改器一 vlan 起配置了操作或 interface 操作修改器,则可能不会记录事件。但是,重定向接口功能按预期工作。

three-color-policer

应用三色监管器。