Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 系列交换机的防火墙过滤器匹配条件、操作和操作修饰符

为 EX 系列交换机定义防火墙过滤器时,您可为数据包定义过滤标准(术语,匹配条件),以及定义数据包与过滤标准匹配时交换机要采取的操作(以及(可选)操作修改器)。 您可以定义防火墙过滤器以监控 IPv4、IPv6 或非 IP 流量。

本主题详细介绍了可在防火墙过滤器中定义的各种匹配条件、操作和操作修饰符。有关各种 EX 系列交换机上的匹配条件支持的信息,请参阅EX 系列交换机上的防火墙过滤器匹配条件、操作和操作修饰符的平台支持

防火墙过滤器元素

防火墙过滤器配置包含术语、匹配条件、操作和操作修饰符(可选)。表 1介绍防火墙过滤器配置中的每个元素。

表 1: 防火墙过滤器配置的元素

元素名称

Description

术语

定义了数据包的过滤标准。防火墙过滤器中的每个术语都包含匹配条件和操作。您可以在防火墙过滤器中定义单个词或多个术语。如果定义多个术语,每个术语都必须具有唯一的名称。

匹配条件

由定义匹配条件的字符串(称为 match语句)组成。匹配条件是数据包必须包含的值或字段。您可以为一个术语定义单个匹配条件或多个匹配条件。您也可以选择不定义匹配条件。如果没有为术语指定匹配条件,则默认情况下将匹配所有数据包。

操作

指定当数据包符合匹配条件中指定的所有条件时,交换机采取的操作。

操作修饰符

指定数据包符合特定术语的匹配条件时,交换机执行的一个或多个操作。

符合交换机上支持的条件

根据要监控的流量类型,您可以配置防火墙过滤器以监控 IPv4、IPv6 或非 IP 流量。将防火墙过滤器配置为监控特定类型的信息流时,请确保指定了该类型信息流支持的匹配条件。有关受支持的特定类型的信息流和交换机所支持的匹配条件的信息,请参阅EX 系列交换机上的防火墙过滤器匹配条件、操作和操作修饰符的平台支持

表 2介绍 EX 系列交换机上的防火墙过滤器支持的所有匹配条件。

表 2: EX 系列交换机支持的防火墙过滤器匹配条件

匹配条件

Description

destination-address ip-address

IP 目标地址字段,是最终目标节点的地址。

ip-destination-address ip-address

IP 目标地址字段,是最终目标节点的地址。

ip6-destination-address ip-address

IP 目标地址字段,是最终目标节点的地址。

destination-mac-address mac-address

数据包的目标媒体访问控制(地址)(MAC)地址。

您可以使用前缀来定义MAC 地址组,例如 destination-mac-address 00:01:02:03:04:05/24 。如果未指定前缀,则使用默认值48。

destination-port number

TCP 或 UDP 目标端口字段。一般将此匹配条件与 或 匹配条件一起指定, protocolip-protocol 以确定端口上使用了哪个协议。对于 编号,您可以指定以下文本联合词之一(端口号也会列出):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

IP 目标前缀列表字段。

您可以在前缀列表别名下定义 IP 地址前缀列表,以便经常使用。您可以在[edit policy-options]层次结构级别定义此匹配条件。

dot1q-tag number

以太网标头中的标记字段。标记值的范围为1到4095。dot1q-tag Match 条件和vlan match 条件相互排斥。

user-vlan-id number

以太网标头中的标记字段。标记值的范围为1到4095。user-vlan-id Match 条件和learn-vlan-id match 条件相互排斥。

dot1q-user-priority number

标记以太网数据包的用户优先级字段。用户优先级值的范围为0到7。

对于 编号,您可以指定以下文本联合词之一(字段值也会列出):

  • background (1)— 背景

  • best-effort (0)— 尽力服务

  • controlled-load (4)— 受控负载

  • excellent-load (3)— 良好的负载

  • network-control (7)—网络控制保留的流量

  • standard (2)— 标准或备件

  • video (5)— 视频

  • voice (6)—语音

user-vlan-1p-priority number

标记以太网数据包的用户优先级字段。用户优先级值的范围为0到7。

对于 编号,您可以指定以下文本联合词之一(字段值也会列出):

  • background (1)— 背景

  • best-effort (0)— 尽力服务

  • controlled-load (4)— 受控负载

  • excellent-load (3)— 良好的负载

  • network-control (7)—网络控制保留的流量

  • standard (2)— 标准或备件

  • video (5)— 视频

  • voice (6)—语音

dscp number

指定差异化服务代码点(DSCP)。DiffServ 协议使用 IP 标头中的服务类型(ToS)字节。此字节的最高有效6位形成 DSCP。

您可以以十六进制、二进制或十进制形式指定 DSCP。

对于 编号,您可以指定以下文本联合词之一(字段值也会列出):

  • ef (46)— 如 RFC 2598" 加速转发 PHB "中定义

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    这四个类的每个类有三个丢弃优先级,适用于 RFC 2597中的 12 个代码点 ( 保证转发 PHB 组)。

ether-type value

数据包的以太网类型字段。该值指定要在以太网帧中传输的协议。对于 ,您可以指定以下文本的同名之一:

  • aarp—EtherType 值 AARP(0x80F3)

  • appletalk—EtherType 值 AppleTalk (0x809B)

  • arp—EtherType 值 ARP(0x0806)

  • ipv4—EtherType 值 IPv4(0x0800)

  • ipv6—EtherType 值 IPv6(0x08DD)

  • mpls multicast—组播MPLS EtherType 值(0x8848)

  • mpls unicast—EtherType 值MPLS单播(0x8847)

  • oam—EtherType 值 OAM(0x88A8)

  • ppp—EtherType 值 PPP (0x880B)

  • pppoe-discovery—EtherType 值 PPPoE 发现阶段 (0x8863)

  • pppoe-session—EtherType 值 PPPoE 会话阶段 (0x8864)

  • sna—EtherType 值 SNA(0x80D5)

注:

设置为 时,不支持以下 ether-type 匹配条件 ipv6

  • dscp

  • fragment-flags

  • is-fragment

  • precedence 或者 ip-precedence

  • protocol 或者 ip-protocol

fragment-flags fragment-flags

IP 分段标志,在符号或十六进制格式中指定。您可以指定以下选项之一:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag 匹配目标标记,在路由上与微分段VXLAN,如下所述: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
gbp-src-tag 匹配源标记,用于网络分段VXLAN,如下所述: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

icmp-code number

ICMP 代码字段。此值或选项提供的信息比 icmp-type 。由于值的含义取决于关联的 , icmp-type 因此您必须与 icmp-type 一起指定 icmp-code 。对于 编号,您可以指定以下文本联合词之一(字段值也会列出)。选项按与其关联的 ICMP 类型分组:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10) 、 、 、 destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP 数据包类型字段。通常,您可以与protocol or ip-protocol match 条件一起指定此匹配条件,以确定端口上使用的协议。对于 编号,您可以指定以下文本联合词之一(字段值也会列出):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14),unreachable (3)

interface interface-name

接收数据包的接口。您可以将通配符 ( * ) 指定为接口名称的一部分。

注:

对于 interface 出口流量,不支持匹配EX8200 虚拟机箱。

ip-options

IP 标头中是否存在 options 字段。

ip-version 版本 match_condition)

端口和 VLAN 防火墙过滤器的 IP 协议版本。版本的值 可以是ipv4ipv6

对于 match_condition,您可以指定以下一个或多个匹配条件:

  • destination-addressip-destination-addressip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence 或者 ip-precedence

  • protocol 或者 ip-protocol

  • source-address 或者 ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

如果数据包是一个尾部片段,则此匹配条件与分段数据包的第一个分段不匹配。使用两个术语匹配第一个和尾部分段。

注:

由于组EX2300、EX3400 和 EX4300 交换机存在限制,因此当应用于"系列以太网交换"时,此匹配条件与已分片数据包的最后一个分片不匹配。

l2-encap-type llc-non-snap

逻辑链路控制(LLC)层数据包匹配非子网接入协议(快照)以太网封装类型。

next-header bytes

8位协议字段,用于标识紧接在 IPv6 标头后面的标头类型。为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17),vrrp (112)

packet-length bytes

收到的数据包的长度(以字节为单位)。

该长度仅引用 IP 数据包,包括数据包标头,不包括任何第2层封装开销。

precedence precedence

IP 优先级。对于 优先级,您可以指定以下文本联合词之一(字段值也会列出):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

IP 优先级。对于 优先级,您可以指定以下文本联合词之一(字段值也会列出):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

IPv4 协议值。对于协议,您可以指定以下文本联合词之一:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

IPv4 协议值。对于协议,您可以指定以下文本联合词之一:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP 源地址字段,这是发送数据包的源节点的地址。对于 IPv6,源地址字段的长度为128位。过滤器说明语法支持 RFC 2373(IP 版本 6 寻址架构)中介绍的 IPv6 地址 的文本表示

ip-source-address (ip-address | ip6-address)

IP 源地址字段,这是发送数据包的源节点的地址。您可以指定 IPv4 地址(ip-address)或 IPv6 地址(ip6-address)。对于 IPv6,ip 来源地址字段的长度为128位。过滤器说明语法支持 RFC 2373(IP 版本 6 寻址架构)中介绍的 IPv6 地址 的文本表示

source-mac-address mac-address

源 MAC 地址。

您可使用前缀MAC 地址定义源组,例如 source-mac-address 00:01:02:03:04:05/24 。如果未指定前缀,则使用默认值48。

source-port number

TCP 或 UDP source-port 字段。一般将此匹配与 或 匹配条件一起指定,以确定端口上使用了 protocolip-protocol 哪个协议。对于 数字,您可以指定 中列出的一个文本联合词 destination-port

source-prefix-list prefix-list

IP 源前缀列表字段。

您可以在前缀列表别名下定义 IP 地址前缀列表,以便经常使用。您可以在[edit policy-options]层次结构级别定义此匹配条件。

tcp-established

已建立 TCP 连接的 TCP 数据包。此条件匹配连接第一个数据包外的其他数据包。 tcp-established 是位名称的同名名称 "(ack | rst)"

tcp-established 不会隐式检查协议是否为 TCP。为此,请指定 next-header tcp 匹配条件。

tcp-flags (flags tcp-initial)

一个或多个 TCP 标记:

  • 位名称 — finsyn 、 、 、 rstpushackurgent

  • 逻辑运算符 — & (逻辑 AND)、( | 逻辑 ! OR)、(负)

  • 数字值 — 0x01到0x20

  • 文本联合体 —tcp-initial

要指定多个标志,请使用逻辑运算符。

tcp-initial

匹配连接的第一个 TCP 数据包。 tcp-initial 是位名称的同名名称 "(syn&!ack)"

tcp-initial 不会隐式检查协议是否为 TCP。为此,请指定 protocol tcpip-protocol tcp 匹配条件。

traffic-class number

指定数据包的 DSCP 码位。

ttl value

要匹配的 TTL 类型。该值的范围为1到255。

vlan (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan ID,您可以指定 VLAN ID 或 VLAN 范围。vlan Match 条件和dot1q-tag match 条件相互排斥。

learn-vlan-id (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan ID,您可以指定 VLAN ID 或 VLAN 范围。vlan Match 条件和user-vlan-id match 条件相互排斥。

防火墙过滤器操作

您可以定义一个操作,以便在数据包与匹配条件中定义的过滤标准匹配时执行。表 3介绍了防火墙过滤器配置中支持的操作。

表 3: 防火墙过滤器操作

操作

Description

accept

接受数据包。

discard

无需发送互联网控制消息协议(ICMP)消息就能静默丢弃数据包。

reject message-type

丢弃数据包,然后发送 ICMPv4 消息(3 类 destination unreachable )。如果配置操作修改器,可以记录 syslog 被拒绝的数据包。

您可以指定以下消息代码之一:administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

如果指定 tcp-reset ,则当数据包为 TCP 数据包时,将返回 TCP 重置。否则不会返回任何内容。

如果不指定消息类型,ICMP 通知 destination unreachable 将随默认消息一起发送 communication administratively filtered

routing-instance routing-instance-name

向虚拟路由实例转发匹配的数据包。

注:

EX4200 交换机不支持基于防火墙筛选器的默认路由实例重定向。

vlan vlan-name

向特定 VLAN 转发匹配的数据包。请确保指定 VLAN 名称或 VLAN ID,而非 VLAN 范围,因为操作不支持 vlanvlan 范围 选项。

注:

如果您定义了为 dot1q 隧道启用的 VLAN,则不支持该特定 VLAN 作为入口 VLAN 防火墙过滤器的操作(使用 vlan vlan-name 操作)。

防火墙过滤器的操作修饰符

除了中表 3所述的操作,如果数据包与在匹配条件中定义的过滤标准匹配,则可以在交换机的防火墙过滤器配置中定义操作修饰符。表 4介绍了防火墙过滤器配置中支持的操作修饰符。

表 4: 防火墙过滤器的操作修饰符

操作修饰符

Description

analyzer analyzer-name

连接到协议分析器应用程序的指定目标端口或 VLAN 的镜像端口流量。镜像将在一个交换机端口上发现的所有数据包复制到另一个交换机端口上的网络监控连接。必须在[edit ethernet-switching-options analyzer]中配置分析器名称。

注:

analyzer 不是管理接口支持的操作修饰符。

注:

在 EX4500 交换机上,只能配置一个 analyzer 并将其包含在防火墙过滤器中。如果配置多个分析器,则不能在防火墙过滤器中包含其中任何一个分析器。

dscp number

将匹配数据包的 DSCP 值更改为使用此操作修改器指定的 DSCP 值。 编号 用于指定差异服务代码点 (DSCP)。DiffServ 协议使用 IP 标头中的服务类型(ToS)字节。此字节的最高有效6位形成 DSCP。

您可以以十六进制、二进制或十进制形式指定 DSCP。

对于 编号,您可以指定以下文本联合词之一(字段值也会列出):

  • ef (46)— 如 RFC 2598" 加速转发 PHB "中定义

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    这四个类的每个类有三个丢弃优先级,适用于 RFC 2597中的 12 个代码点 ( 保证转发 PHB 组)。

count counter-name

计算通过此过滤器、术语或监管器的数据包数量。通过监管器,您可以为在交换机上输入接口的流量指定速率限制。

注:

在 EX4300 交换机上,您可以将相同数量的计数器和监管器配置为三元内容寻址内存(TCAM)中的条款数量。

forwarding-class class

将数据包分类为以下转发类之一:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag(仅适用于 EX4400) 将基于组的策略源标记 (0.65535) 设置为在 VXLAN 上用于微分段,如下所述: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

interface interface-name

绕过交换查找,将信息流转发至指定接口。

log

将数据包的标头信息记录在 路由引擎 中。要查看此信息,请在show firewall log CLI 中发出命令。

注:

如果 配置了 或 操作修改器 以及操作或操作修改器, logsyslogvlaninterface 则事件可能不会记录。但是,重定向接口功能按预期方式工作。

loss-priority (high | low)

设置数据包丢失优先级(PLP)。

policer policer-name

对流量应用速率限制。

您只能在防火墙过滤器中为端口、VLAN 和路由器上的入口流量指定监管器。

注:

EX8200 交换机上不支持监管器的计数器。

注:

在 EX4300 交换机上,您可以将相同数量的计数器和监管器配置为 TCAM 中的条款数量。

port-mirror

将数据包镜像到[edit forwarding-options analyzer]层次结构中定义的接口。

port-mirror-instance instance-name

将数据包镜像到[edit forwarding-options analyzer]层次结构中定义的实例。

syslog

为此数据包记录警报。您可以指定将日志发送至服务器进行存储和分析。

注:

如果 配置了 或 操作修改器 以及操作或操作修改器, logsyslogvlaninterface 则事件可能不会记录。但是,重定向接口功能按预期方式工作。

three-color-policer

应用三色监管器。