EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符

为 EX 系列交换机定义防火墙过滤器时，需要为数据包定义过滤条件（，带），如果数据包与过滤标准匹配，则为交换机定义过滤条件（和），也可以选择）。termsmatch conditionsactionaction modifier 您可以定义防火墙过滤器来监控 IPv4、IPv6 或非 IP 流量。

本主题详细介绍了您可以在防火墙过滤器中定义的各种匹配条件、操作和操作修改器。有关各种 EX 系列交换机上对匹配条件的支持的信息，请参阅 EX 系列交换机上防火墙过滤器匹配条件、操作和操作修改器的平台支持。EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持

防火墙过滤器元素

防火墙过滤器配置包含术语、匹配条件、操作和（可选）操作修饰符。描述防火墙过滤器配置中的每个元素。表 1

表 1：防火墙过滤器配置的元素
元素名称	Description
术语	定义数据包的过滤条件。防火墙过滤器中的每个术语都由匹配条件和一个操作组成。您可以在防火墙过滤器中定义单个术语或多个术语。如果定义多个术语，则每个术语必须具有唯一的名称。
匹配条件	由定义匹配条件的字符串（称为）组成。`match statement` 匹配条件是数据包必须包含的值或字段。您可以为一个术语定义单个匹配条件或多个匹配条件。您也可以选择不定义匹配条件。如果未为术语指定匹配条件，则默认情况下会匹配所有数据包。
操作	指定当数据包与匹配条件中指定的所有标准匹配时交换机将采取的操作。
动作修饰符	指定当数据包与特定术语的匹配条件匹配时交换机采取的一个或多个操作。

交换机支持的匹配条件

根据要监控的流量类型，可以配置防火墙过滤器来监控 IPv4、IPv6 或非 IP 流量。配置防火墙过滤器以监控特定类型的流量时，请确保指定该类型流量支持的匹配条件。有关特定类型的流量支持的匹配条件以及支持这些条件的交换机的信息，请参阅 EX 系列交换机上防火墙过滤器匹配条件、操作和操作修改器的平台支持。EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持

表 2 介绍了 EX 系列交换机上的防火墙过滤器支持的所有匹配条件。

表 2： EX 系列交换机支持的防火墙过滤器匹配条件
匹配条件	Description
`destination-address ip-address`	IP 目标地址字段，即最终目标节点的地址。
`ip-destination-address ip-address`	IP 目标地址字段，即最终目标节点的地址。
`ip6-destination-address ip-address`	IP 目标地址字段，即最终目标节点的地址。
destination-mac-address `mac-address`	数据包的目标介质访问控制（MAC）地址。您可以使用前缀定义目标 MAC 地址，例如。`destination-mac-address 00:01:02:03:04:05/24` 如果未指定前缀，则使用默认值 48。
destination-port `number`	TCP 或 UDP 目标端口字段。通常，将此匹配条件与或匹配条件一起指定，以确定端口上使用的协议。`protocol`ip-protocol 对于，可以指定以下文本同义词之一（还会列出端口号）：`number` ，，， afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)
destination-prefix-list `prefix-list`	IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。您可以在层次结构级别定义此匹配条件。`[edit policy-options]`
`dot1q-tag number`	以太网标头中的标记字段。标记值的范围为 1 到 4095。匹配条件和匹配条件互斥。`dot1q-tag`vlan
`user-vlan-id number`	以太网标头中的标记字段。标记值的范围为 1 到 4095。匹配条件和匹配条件互斥。`user-vlan-idlearn-vlan-id`
dot1q-user-priority `number`	标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。对于，可以指定以下文本同义词之一（还会列出字段值）：`number` background (1)—背景 best-effort (0)—尽力而为。 controlled-load (4)—受控负载 excellent-load (3)—出色的负载 network-control (7)- 网络控制保留流量 standard (2)- 标准或备用 video (5)—视频 voice (6)- 语音
user-vlan-1p-priority `number`	标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。对于，可以指定以下文本同义词之一（还会列出字段值）：`number` background (1)—背景 best-effort (0)—尽力而为。 controlled-load (4)—受控负载 excellent-load (3)—出色的负载 network-control (7)- 网络控制保留流量 standard (2)- 标准或备用 video (5)—视频 voice (6)- 语音
dscp `number`	指定差异服务代码点（DSCP）。DiffServ 协议在 IP 报头中使用服务类型（ToS）字节。此字节中最重要的六位构成 DSCP。可以十六进制、二进制或十进制形式指定 DSCP。对于，可以指定以下文本同义词之一（还会列出字段值）：`number` — 如 RFC 2598《加速转发 PHB》中所定义。ef (46)http://www.ietf.org/rfc/rfc2598.txt 、、、、、、 af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22) 、、、、、 af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38) 这四个类（每个类中有三个删除优先级）为 RFC 2597“ 保证转发 PHB 组”中的 12 个代码点定义。http://www.ietf.org/rfc/rfc2597.txt
ether-type `value`	数据包的以太网类型字段。该值指定在以太网帧中传输的协议。对于，可以指定以下文本同义词之一：`value` aarp—以太类型值 AARP （0x80F3） appletalk—EtherType value AppleTalk （0x809B） arp—以太类型值 ARP （0x0806） ipv4—以太类型值 IPv4 （0x0800） ipv6—以太类型值 IPv6 （0x08DD） mpls multicast—以太类型值 MPLS 组播（0x8848） mpls unicast—以太类型值 MPLS 单播（0x8847） oam—以太类型值 OAM （0x88A8） ppp—以太类型值购买力平价（0x880B） pppoe-discovery—以太类型值 PPPoE 发现阶段（0x8863） pppoe-session—以太类型值 PPPoE 会话阶段（0x8864） sna—以太类型值 SNA （0x80D5）注：设置为时，不支持以下匹配条件：ether-typeipv6 dscp fragment-flags is-fragment `precedence` （也称为数字签名 `ip-precedence` `protocol` （也称为数字签名 `ip-protocol`
fragment-flags `fragment-flags`	IP 分段标志，以符号或十六进制格式指定。您可以指定以下选项之一： dont-fragment （0x4000） more-fragments （0x2000） reserved （0x8000）
GBP-DST 标签	匹配目标标记，以便与 VXLAN 上的微分段配合使用，如下所述：示例：在 VXLAN 中使用基于组策略的微观和宏观分段
GBP-src-tag	匹配源标记，以便与 VXLAN 上的微分段配合使用，如下所述：示例：在 VXLAN 中使用基于组策略的微观和宏观分段
icmp-code `number`	ICMP 代码字段。此值或选项提供的信息比更具体。icmp-type 因为值的含义取决于关联的，所以必须与一起指定。icmp-typeicmp-typeicmp-code 对于，您可以指定以下文本同义词之一（还会列出字段值）。`number` 选项按与其关联的 ICMP 类型分组： —， parameter-problemip-header-bad (0)required-option-missing (1) —、、，redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2) —， time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0) —、、 unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10)destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)
icmp-type `number`	ICMP 数据包类型字段。通常，将此匹配条件与或匹配条件一起指定，以确定端口上使用的协议。`protocolip-protocol` 对于，可以指定以下文本同义词之一（还会列出字段值）：`number` 、、、，echo-reply (0)echo-request (8)info-reply (16)info-request (15)、、，mask-request (17)mask-reply (18)parameter-problem (12) 、、、，redirect (5)router-advertisement (9)router-solicit (10)source-quench (4) 、、，time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3)
interface `interface-name`	接收数据包的接口。您可以将通配符（）指定为接口名称的一部分。* 注： EX8200 虚拟机箱上的出口流量不支持匹配条件。interface
ip-options	IP 报头中存在选项字段。
ip-version `version` `match_condition(s)`	端口和 VLAN 防火墙过滤器的 IP 协议版本。的值可以是或。`version`ipv4ipv6 对于，可以指定以下一个或多个匹配条件：`match_condition(s)` 、或 `destination-addressip-destination-addressip6-destination-address` destination-port destination-prefix-list dscp fragment-flags icmp-code icmp-type is-fragment `precedence` （也称为数字签名 `ip-precedence` `protocol` （也称为数字签名 `ip-protocol` `source-address` （也称为数字签名 `ip-source-address` source-port source-prefix-list tcp-established tcp-flags tcp-initial
is-fragment	如果数据包是尾随分片，则此匹配条件与分片数据包的第一个分片不匹配。使用两个术语来匹配第一个片段和尾随片段。注：由于 EX2300、EX3400 和 EX4300 交换机的限制，当应用于“系列以太网交换”时，此匹配条件与分段数据包的最后一个分段不匹配。
l2-encap-type llc-non-snap	在逻辑链路控制（LLC）层上匹配非子网访问协议（SNAP）以太网封装类型的数据包。
next-header `bytes`	8 位协议字段，用于标识紧跟在 IPv6 标头之后的标头类型。代替数值，您可以指定以下文本同义词之一（字段值也会列出）：，，，， ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)
packet-length `bytes`	接收的数据包的长度（以字节为单位）。长度仅指 IP 数据包，包括数据包标头，不包括任何第 2 层封装开销。
`precedence precedence`	IP 优先级。对于，可以指定以下文本同义词之一（还会列出字段值）：`precedence` 、、、、、、、 critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)
`ip-precedence precedence`	IP 优先级。对于，可以指定以下文本同义词之一（还会列出字段值）：`precedence` 、、、、、、、 critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)
`protocol list of protocol`	IPv4 协议值。对于，可以指定以下文本同义词之一：`protocols` 、、、、、、 egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) 、、、，ospf (89)pim (103)rsvp (46)tcp (6)udp (17)
`ip-protocol list of protocol`	IPv4 协议值。对于，可以指定以下文本同义词之一：`protocols` 、、、、、、 egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) 、、、，ospf (89)pim (103)rsvp (46)tcp (6)udp (17)
source-address `ip-address`	IP 源地址字段，即发送数据包的源节点的地址。对于 IPv6，源地址字段的长度为 128 位。过滤器说明语法支持 RFC 2373IP 版本 6 寻址体系结构中所述的 IPv6 地址的文本表示形式。http://www.ietf.org/rfc/rfc2373.txt
`ip-source-address (ip-address \| ip6-address)`	IP 源地址字段，即发送数据包的源节点的地址。您可以指定 IPv4 地址（）或 IPv6 地址（）。`ip-addressip6-address` 对于 IPv6，IP 源地址字段的长度为 128 位。过滤器说明语法支持 RFC 2373IP 版本 6 寻址体系结构中所述的 IPv6 地址的文本表示形式。http://www.ietf.org/rfc/rfc2373.txt
source-mac-address `mac-address`	源 MAC 地址。您可以使用前缀定义源 MAC 地址，例如。`source-mac-address 00:01:02:03:04:05/24` 如果未指定前缀，则使用默认值 48。
source-port `number`	TCP 或 UDP 字段。source-port 通常，将此匹配与 or match 条件一起指定，以确定端口上使用的协议。`protocol`ip-protocol 对于，可以指定下列出的文本同义词之一。`number`destination-port
source-prefix-list `prefix-list`	IP 源前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。您可以在层次结构级别定义此匹配条件。`[edit policy-options]`
tcp-established	已建立的 TCP 连接的 TCP 数据包。此条件匹配连接的第一个数据包以外的数据包。是位名的同义词。tcp-established"(ack \| rst)" tcp-established 不会隐式检查协议是否为 TCP。为此，请指定匹配条件。next-header tcp
tcp-flags (`flags` tcp-initial)	一个或多个 TCP 标志：位名—、、、、、 finsynrstpushackurgent 逻辑运算符 — （逻辑 AND）、（逻辑 OR）、（否定）&\|! 数值 - 0x01 到 0x20 文本同义词—tcp-initial 若要指定多个标志，请使用逻辑运算符。
tcp-initial	匹配连接的第一个 TCP 数据包。是位名的同义词。tcp-initial"(syn&!ack)" tcp-initial 不会隐式检查协议是否为 TCP。为此，请指定或匹配条件。`protocol tcp`ip-protocol tcp
traffic-class `number`	指定数据包的 DSCP 代码点。
ttl `value`	要匹配的 TTL 类型。值的范围为 1 到 255。
`vlan (vlan-name \| vlan-id)`	与数据包关联的 VLAN。对于，您可以指定 VLAN ID 或 VLAN 范围。`vlan-id` 匹配条件和匹配条件互斥。vlandot1q-tag
`learn-vlan-id (vlan-name \| vlan-id)`	与数据包关联的 VLAN。对于，您可以指定 VLAN ID 或 VLAN 范围。`vlan-id` 匹配条件和匹配条件互斥。vlanuser-vlan-id

防火墙过滤器的操作

您可以定义当数据包与匹配条件中定义的过滤标准匹配时交换机要采取的操作。介绍了防火墙过滤器配置中支持的操作。表 3

表 3：防火墙过滤器的操作
操作	Description
accept	接受数据包。
discard	以静默方式丢弃数据包，而不发送互联网控制消息协议（ICMP）消息。
reject `message-type`	丢弃数据包，然后发送 ICMPv4 消息（类型 3）。 destination unreachable 如果配置操作修饰符，则可以记录被拒绝的数据包。syslog 您可以指定以下消息代码之一：administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. 如果指定，如果数据包是 TCP 数据包，则会返回 TCP 重置。tcp-reset 否则，不会返回任何内容。如果未指定消息类型，那么将发送 ICMP 通知以及缺省消息。destination unreachablecommunication administratively filtered
routing-instance `routing-instance-name`	将匹配的数据包转发到虚拟路由实例。注： EX4200 交换机不支持基于防火墙过滤器重定向到默认路由实例。
vlan `vlan-name`	将匹配的数据包转发到特定 VLAN。确保指定 VLAN 名称或 VLAN ID，而不是 VLAN 范围，因为操作不支持该选项。vlan`vlan-range` 注：如果您定义了启用了 dot1q 隧道的 VLAN，则不支持将该特定 VLAN 作为入口 VLAN 防火墙过滤器的操作（使用该操作）。vlan `vlan-name`

防火墙过滤器的操作修改符

除了中所述的操作之外，如果数据包与匹配条件中定义的过滤标准匹配，则可以在交换机的防火墙过滤器配置中定义操作修饰符。介绍了防火墙过滤器配置中支持的操作修饰符。表 3 表 4

表 4：防火墙过滤器的操作修改符
动作修改器	Description
analyzer `analyzer-name`	将端口流量镜像到连接到协议分析器应用程序的指定目标端口或 VLAN。镜像会将在一个交换机端口上看到的所有数据包复制到另一个交换机端口上的网络监控连接。必须在下配置分析器名称。`[edit ethernet-switching-options analyzer]` 注： analyzer 不是管理接口受支持的操作修饰符。注：在 EX4500 交换机上，您只能配置一个分析器并将其包含在防火墙过滤器中。如果配置多个分析器，则不能在防火墙过滤器中包含其中一个分析器。
`dscp number`	将匹配数据包的 DSCP 值更改为使用此操作修饰符指定的 DSCP 值。指定差异服务代码点（DSCP）。`number` DiffServ 协议在 IP 报头中使用服务类型（ToS）字节。此字节中最重要的六位构成 DSCP。可以十六进制、二进制或十进制形式指定 DSCP。对于，可以指定以下文本同义词之一（还会列出字段值）：`number` — 如 RFC 2598《加速转发 PHB》中所定义。ef (46)http://www.ietf.org/rfc/rfc2598.txt 、、、、、、 af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22) 、、、、、 af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38) 这四个类（每个类中有三个删除优先级）为 RFC 2597“ 保证转发 PHB 组”中的 12 个代码点定义。http://www.ietf.org/rfc/rfc2597.txt
count `counter-name`	计算通过此过滤器、术语或监管器的数据包数。监管器允许您指定进入交换机接口的流量的速率限制。注：在 EX4300 交换机上，您可以配置与三元内容可寻址存储器（TCAM）中术语数相同的计数器和监管器数量。
forwarding-class `class`	将数据包分类为以下转发类之一： assured-forwarding best-effort expedited-forwarding network-control
gbp-src-tag（仅限 EX4400 和 EX4650）	设置基于组的策略源标记（0..65535）以用于 VXLAN 上的微分段，如下所述：示例：在 VXLAN 中使用基于组策略的微观和宏观分段
interface `interface-name`	绕过交换查找，将流量转发到指定接口。
log	在路由引擎中记录数据包的标头信息。要查看此信息，请在 CLI 中发出命令。`show firewall log` 注：如果或操作修饰符与操作或操作修饰符一起配置，则可能不会记录事件。logsyslogvlaninterface 但是，重定向接口功能按预期工作。
loss-priority (high \| low)	设置丢包优先级（PLP）。
policer `policer-name`	对流量应用速率限制。您只能在防火墙过滤器中为端口、VLAN 和路由器上的入口流量指定监管器。注： EX8200 交换机不支持监管器计数器。注：在 EX4300 交换机上，您可以配置与 TCAM 中的术语数相同的计数器和监管器数量。
`port-mirror`	将数据包镜像到层次结构中定义的接口。`[edit forwarding-options analyzer]`
`port-mirror-instance instance-name`	将数据包镜像到层次结构中定义的实例。`[edit forwarding-options analyzer]`
syslog	记录此数据包的警报。您可以指定将日志发送到服务器进行存储和分析。注：如果或操作修饰符与操作或操作修饰符一起配置，则可能不会记录事件。logsyslogvlaninterface 但是，重定向接口功能按预期工作。
three-color-policer	应用三色监管器。

在本页

EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符

防火墙过滤器元素

交换机支持的匹配条件

防火墙过滤器的操作

防火墙过滤器的操作修改符

相关主题