EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符

术语

定义数据包的过滤条件。防火墙过滤器中的每个术语都由匹配条件和一个操作组成。您可以在防火墙过滤器中定义单个术语或多个术语。如果定义多个术语，则每个术语必须具有唯一的名称。

匹配条件

由定义匹配条件的字符串（称为 match statement）组成。匹配条件是数据包必须包含的值或字段。您可以为一个术语定义单个匹配条件或多个匹配条件。您也可以选择不定义匹配条件。如果未为术语指定匹配条件，则默认情况下会匹配所有数据包。

操作

指定当数据包与匹配条件中指定的所有标准匹配时交换机将采取的操作。

动作修饰符

指定当数据包与特定术语的匹配条件匹配时交换机采取的一个或多个操作。

destination-address ip-address

IP 目标地址字段，即最终目标节点的地址。

ip-destination-address ip-address

IP 目标地址字段，即最终目标节点的地址。

ip6-destination-address ip-address

IP 目标地址字段，即最终目标节点的地址。

destination-mac-address mac-address

数据包的目标介质访问控制 （MAC） 地址。

您可以使用前缀定义目标 MAC 地址，例如 destination-mac-address 00:01:02:03:04:05/24。如果未指定前缀，则使用默认值 48。

destination-port number

TCP 或 UDP 目标端口字段。通常，将此匹配条件与 protocol 或 ip-protocol 匹配条件一起指定，以确定端口上使用的协议。对于 number，可以指定以下文本同义词之一（还会列出端口号）：

afs (1483)， bgp (179)， biff (512)， bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

IP 目标前缀列表字段。

您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。您可以在层次结构级别定义此匹配条件 [edit policy-options] 。

dot1q-tag number

以太网标头中的标记字段。标记值的范围为 1 到 4095。dot1q-tag匹配条件和vlan匹配条件互斥。

user-vlan-id number

以太网标头中的标记字段。标记值的范围为 1 到 4095。user-vlan-id匹配条件和learn-vlan-id匹配条件互斥。

dot1q-user-priority number

标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。

对于 number，可以指定以下文本同义词之一（还会列出字段值）：

• background (1)—背景

• best-effort (0)—尽力而为。

• controlled-load (4)—受控负载

• excellent-load (3)—出色的负载

• network-control (7)- 网络控制保留流量

• standard (2)- 标准或备用

• video (5)—视频

• voice (6)- 语音

user-vlan-1p-priority number

标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。

对于 number，可以指定以下文本同义词之一（还会列出字段值）：

• background (1)—背景

• best-effort (0)—尽力而为。

• controlled-load (4)—受控负载

• excellent-load (3)—出色的负载

• network-control (7)- 网络控制保留流量

• standard (2)- 标准或备用

• video (5)—视频

• voice (6)- 语音

dscp number

指定差异服务代码点 （DSCP）。DiffServ 协议在 IP 报头中使用服务类型 （ToS） 字节。此字节中最重要的六位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

对于 number，可以指定以下文本同义词之一（还会列出字段值）：

• ef (46)— 如 RFC 2598《加速转发 PHB》中所定义。

• af11 (10)、 af12 (12)、 af13 (14)、 af21 (18)、 af22 (20)、 、 af23 (22)

  af31 (26)、 af32 (28)、 af33 (30)、 af41 (34)、 、 af42 (36)af43 (38)

  这四个类（每个类中有三个删除优先级）为 RFC 2597“ 保证转发 PHB 组”中的 12 个代码点定义。

ether-type value

数据包的以太网类型字段。该 值 指定在以太网帧中传输的协议。对于 value，可以指定以下文本同义词之一：

• aarp—以太类型值 AARP （0x80F3）

• appletalk—EtherType value AppleTalk （0x809B）

• arp—以太类型值 ARP （0x0806）

• ipv4—以太类型值 IPv4 （0x0800）

• ipv6—以太类型值 IPv6 （0x08DD）

• mpls multicast—以太类型值 MPLS 组播 （0x8848）

• mpls unicast—以太类型值 MPLS 单播 （0x8847）

• oam—以太类型值 OAM （0x88A8）

• ppp—以太类型值购买力平价 （0x880B）

• pppoe-discovery—以太类型值 PPPoE 发现阶段 （0x8863）

• pppoe-session—以太类型值 PPPoE 会话阶段 （0x8864）

• sna—以太类型值 SNA （0x80D5）

fragment-flags fragment-flags

IP 分段标志，以符号或十六进制格式指定。您可以指定以下选项之一：

• dont-fragment （0x4000）

• more-fragments （0x2000）

• reserved （0x8000）

icmp-code number

ICMP 代码字段。此值或选项提供的信息比 更 icmp-type具体。因为值的含义取决于关联的 icmp-type，所以必须与 一起icmp-code指定icmp-type。对于 number，您可以指定以下文本同义词之一（还会列出字段值）。选项按与其关联的 ICMP 类型分组：

• parameter-problem—ip-header-bad (0)， required-option-missing (1)

• redirect—redirect-for-host (1)、 redirect-for-network (0)、 redirect-for-tos-and-host (3)， redirect-for-tos-and-net (2)

• time-exceeded—ttl-eq-zero- during-reassembly (1)， ttl-eq-zero-during-transit (0)

• unreachable—communication-prohibited-by-filtering (13)、 destination-host-prohibited (10)、 destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP 数据包类型字段。通常，将此匹配条件与 protocol 或 ip-protocol 匹配条件一起指定，以确定端口上使用的协议。对于 number，可以指定以下文本同义词之一（还会列出字段值）：

echo-reply (0)、 echo-request (8)、 info-reply (16)、 info-request (15)，mask-request (17)、 mask-reply (18)、 parameter-problem (12)， redirect (5)、 router-advertisement (9)、 router-solicit (10)、 source-quench (4)， time-exceeded (11)、 timestamp (13)、 timestamp-reply (14)， unreachable (3)

interface interface-name

接收数据包的接口。您可以将通配符 （*） 指定为接口名称的一部分。

ip-options

IP 报头中存在选项字段。

ip-version version match_condition(s)

端口和 VLAN 防火墙过滤器的 IP 协议版本。的值 version 可以是 ipv4 或 ipv6。

对于 ， match_condition(s)可以指定以下一个或多个匹配条件：

• destination-address、 ip-destination-address或 ip6-destination-address

• destination-port

• destination-prefix-list

• dscp

• fragment-flags

• icmp-code

• icmp-type

• is-fragment

• precedence （也称为数字签名 ip-precedence

• protocol （也称为数字签名 ip-protocol

• source-address （也称为数字签名 ip-source-address

• source-port

• source-prefix-list

• tcp-established

• tcp-flags

• tcp-initial

is-fragment

如果数据包是尾随分片，则此匹配条件与分片数据包的第一个分片不匹配。使用两个术语来匹配第一个片段和尾随片段。

l2-encap-type llc-non-snap

在逻辑链路控制 （LLC） 层上匹配非子网访问协议 （SNAP） 以太网封装类型的数据包。

next-header bytes

8 位协议字段，用于标识紧跟在 IPv6 标头之后的标头类型。代替数值，您可以指定以下文本同义词之一（字段值也会列出）：

ah (51)， dstops (60)， egp (8)， esp (50)， fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

接收的数据包的长度（以字节为单位）。

长度仅指 IP 数据包，包括数据包标头，不包括任何第 2 层封装开销。

precedence precedence

IP 优先级。对于 precedence，可以指定以下文本同义词之一（还会列出字段值）：

critical-ecp (5)、 flash (3)、 flash-override (4)、 immediate (2)、 internet-control (6)、 net-control (7)、 priority (1)、 routine (0)

ip-precedence precedence

IP 优先级。对于 precedence，可以指定以下文本同义词之一（还会列出字段值）：

critical-ecp (5)、 flash (3)、 flash-override (4)、 immediate (2)、 internet-control (6)、 net-control (7)、 priority (1)、 routine (0)

protocol list of protocol

IPv4 协议值。对于 protocols，可以指定以下文本同义词之一：

egp (8)、 esp (50)、 gre (47)、 icmp (1)、 igmp (2)、 、 ipip (4) ospf (89)、 pim (103)、 rsvp (46)、 tcp (6)， udp (17)

ip-protocol list of protocol

IPv4 协议值。对于 protocols，可以指定以下文本同义词之一：

egp (8)、 esp (50)、 gre (47)、 icmp (1)、 igmp (2)、 、 ipip (4) ospf (89)、 pim (103)、 rsvp (46)、 tcp (6)， udp (17)

source-address ip-address

IP 源地址字段，即发送数据包的源节点的地址。对于 IPv6，源地址字段的长度为 128 位。过滤器说明语法支持 RFC 2373IP 版本 6 寻址体系结构中所述的 IPv6 地址的文本表示形式。

ip-source-address (ip-address | ip6-address)

IP 源地址字段，即发送数据包的源节点的地址。您可以指定 IPv4 地址 （ip-address） 或 IPv6 地址 （ip6-address）。对于 IPv6，IP 源地址字段的长度为 128 位。过滤器说明语法支持 RFC 2373IP 版本 6 寻址体系结构中所述的 IPv6 地址的文本表示形式。

source-mac-address mac-address

源 MAC 地址。

您可以使用前缀定义源 MAC 地址，例如 source-mac-address 00:01:02:03:04:05/24。如果未指定前缀，则使用默认值 48。

source-port number

TCP 或 UDP source-port 字段。通常，将此匹配与 protocol or ip-protocol match 条件一起指定，以确定端口上使用的协议。对于 number，可以指定 下 destination-port列出的文本同义词之一。

source-prefix-list prefix-list

IP 源前缀列表字段。

您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。您可以在层次结构级别定义此匹配条件 [edit policy-options] 。

tcp-established

已建立的 TCP 连接的 TCP 数据包。此条件匹配连接的第一个数据包以外的数据包。 tcp-established 是位名 "(ack | rst)"的同义词。

tcp-established 不会隐式检查协议是否为 TCP。为此，请指定 next-header tcp 匹配条件。

tcp-flags (flags tcp-initial)

一个或多个 TCP 标志：

• 位名—fin、 syn、 rst、 push、 、 ackurgent

• 逻辑运算符 —& （逻辑 AND）、 | （逻辑 OR）、 ! （否定）

• 数值 - 0x01 到 0x20

• 文本同义词—tcp-initial

若要指定多个标志，请使用逻辑运算符。

tcp-initial

匹配连接的第一个 TCP 数据包。 tcp-initial 是位名 "(syn&!ack)"的同义词。

tcp-initial 不会隐式检查协议是否为 TCP。为此，请指定 protocol tcp 或 ip-protocol tcp 匹配条件。

traffic-class number

指定数据包的 DSCP 代码点。

ttl value

要匹配的 TTL 类型。值的范围为 1 到 255。

vlan (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan-id，您可以指定 VLAN ID 或 VLAN 范围。vlan匹配条件和dot1q-tag匹配条件互斥。

learn-vlan-id (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan-id，您可以指定 VLAN ID 或 VLAN 范围。vlan匹配条件和user-vlan-id匹配条件互斥。

accept

接受数据包。

discard

以静默方式丢弃数据包，而不发送互联网控制消息协议 （ICMP） 消息。

reject message-type

丢弃数据包，然后发送 ICMPv4 消息（类型 3）。 destination unreachable 如果配置 syslog 操作修饰符，则可以记录被拒绝的数据包。

您可以指定以下消息代码之一：administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

如果指定 tcp-reset，如果数据包是 TCP 数据包，则会返回 TCP 重置。否则，不会返回任何内容。

如果未指定消息类型，那么将发送 ICMP 通知 destination unreachable 以及缺省消息 communication administratively filtered。

routing-instance routing-instance-name

将匹配的数据包转发到虚拟路由实例。

vlan vlan-name

将匹配的数据包转发到特定 VLAN。确保指定 VLAN 名称或 VLAN ID，而不是 VLAN 范围，因为操作 vlan 不支持该 vlan-range 选项。

analyzer analyzer-name

将端口流量镜像到连接到协议分析器应用程序的指定目标端口或 VLAN。镜像会将在一个交换机端口上看到的所有数据包复制到另一个交换机端口上的网络监控连接。必须在 下 [edit ethernet-switching-options analyzer]配置分析器名称。

dscp number

将匹配数据包的 DSCP 值更改为使用此操作修饰符指定的 DSCP 值。 number 指定差异服务代码点 （DSCP）。DiffServ 协议在 IP 报头中使用服务类型 （ToS） 字节。此字节中最重要的六位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

对于 number，可以指定以下文本同义词之一（还会列出字段值）：

• ef (46)— 如 RFC 2598《加速转发 PHB》中所定义。

• af11 (10)、 af12 (12)、 af13 (14)、 af21 (18)、 af22 (20)、 、 af23 (22)

  af31 (26)、 af32 (28)、 af33 (30)、 af41 (34)、 、 af42 (36)af43 (38)

  这四个类（每个类中有三个删除优先级）为 RFC 2597“ 保证转发 PHB 组”中的 12 个代码点定义。

count counter-name

计算通过此过滤器、术语或监管器的数据包数。监管器允许您指定进入交换机接口的流量的速率限制。

forwarding-class class

将数据包分类为以下转发类之一：

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

interface interface-name

绕过交换查找，将流量转发到指定接口。

log

在路由引擎中记录数据包的标头信息。要查看此信息，请在 CLI 中发出 show firewall log 命令。

loss-priority (high | low)

设置丢包优先级 （PLP）。

policer policer-name

对流量应用速率限制。

您只能在防火墙过滤器中为端口、VLAN 和路由器上的入口流量指定监管器。

port-mirror

将数据包镜像到层次结构中 [edit forwarding-options analyzer] 定义的接口。

port-mirror-instance instance-name

将数据包镜像到层次结构中 [edit forwarding-options analyzer] 定义的实例。

syslog

记录此数据包的警报。您可以指定将日志发送到服务器进行存储和分析。

three-color-policer

应用三色监管器。