EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
为 EX 系列交换机定义防火墙过滤器时,需要为数据包定义过滤条件 (terms, 带 match conditions),如果 action 数据包与过滤标准匹配,则为交换机定义过滤条件(和 action modifier),也可以选择 )。您可以定义防火墙过滤器来监控 IPv4、IPv6 或非 IP 流量。
本主题详细介绍了您可以在防火墙过滤器中定义的各种匹配条件、操作和操作修改器。有关各种 EX 系列交换机上对匹配条件的支持的信息,请参阅 EX 系列交换机上防火墙过滤器匹配条件、操作和操作修改器的平台支持。
防火墙过滤器元素
防火墙过滤器配置包含术语、匹配条件、操作和(可选)操作修饰符。 表 1 描述防火墙过滤器配置中的每个元素。
元素名称 |
Description |
---|---|
术语 |
定义数据包的过滤条件。防火墙过滤器中的每个术语都由匹配条件和一个操作组成。您可以在防火墙过滤器中定义单个术语或多个术语。如果定义多个术语,则每个术语必须具有唯一的名称。 |
匹配条件 |
由定义匹配条件的字符串(称为 match statement)组成。匹配条件是数据包必须包含的值或字段。您可以为一个术语定义单个匹配条件或多个匹配条件。您也可以选择不定义匹配条件。如果未为术语指定匹配条件,则默认情况下会匹配所有数据包。 |
操作 |
指定当数据包与匹配条件中指定的所有标准匹配时交换机将采取的操作。 |
动作修饰符 |
指定当数据包与特定术语的匹配条件匹配时交换机采取的一个或多个操作。 |
交换机支持的匹配条件
根据要监控的流量类型,可以配置防火墙过滤器来监控 IPv4、IPv6 或非 IP 流量。配置防火墙过滤器以监控特定类型的流量时,请确保指定该类型流量支持的匹配条件。有关特定类型的流量支持的匹配条件以及支持这些条件的交换机的信息,请参阅 EX 系列交换机上防火墙过滤器匹配条件、操作和操作修改器的平台支持。
表 2 介绍了 EX 系列交换机上的防火墙过滤器支持的所有匹配条件。
匹配条件 |
Description |
---|---|
|
IP 目标地址字段,即最终目标节点的地址。 |
|
IP 目标地址字段,即最终目标节点的地址。 |
|
IP 目标地址字段,即最终目标节点的地址。 |
destination-mac-address mac-address |
数据包的目标介质访问控制 (MAC) 地址。 您可以使用前缀定义目标 MAC 地址,例如 destination-mac-address 00:01:02:03:04:05/24。如果未指定前缀,则使用默认值 48。 |
destination-port number |
TCP 或 UDP 目标端口字段。通常,将此匹配条件与 afs (1483), bgp (179), biff (512), bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104) |
destination-prefix-list prefix-list |
IP 目标前缀列表字段。 您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。您可以在层次结构级别定义此匹配条件 |
|
以太网标头中的标记字段。标记值的范围为 1 到 4095。 |
|
以太网标头中的标记字段。标记值的范围为 1 到 4095。 |
dot1q-user-priority number |
标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。 对于 number,可以指定以下文本同义词之一(还会列出字段值):
|
user-vlan-1p-priority number |
标记以太网数据包的用户优先级字段。用户优先级值的范围可以从 0 到 7。 对于 number,可以指定以下文本同义词之一(还会列出字段值):
|
dscp number |
指定差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的六位构成 DSCP。 可以十六进制、二进制或十进制形式指定 DSCP。 对于 number,可以指定以下文本同义词之一(还会列出字段值): |
ether-type value |
数据包的以太网类型字段。该 值 指定在以太网帧中传输的协议。对于 value,可以指定以下文本同义词之一:
注:
设置为 时ipv6,不支持ether-type以下匹配条件:
|
fragment-flags fragment-flags |
IP 分段标志,以符号或十六进制格式指定。您可以指定以下选项之一:
|
GBP-DST 标签 | 匹配目标标记,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
GBP-src-tag | 匹配源标记,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
icmp-code number |
ICMP 代码字段。此值或选项提供的信息比 更 icmp-type具体。因为值的含义取决于关联的 icmp-type,所以必须与 一起icmp-code指定icmp-type。对于 number,您可以指定以下文本同义词之一(还会列出字段值)。选项按与其关联的 ICMP 类型分组:
|
icmp-type number |
ICMP 数据包类型字段。通常,将此匹配条件与 echo-reply (0)、 echo-request (8)、 info-reply (16)、 info-request (15),mask-request (17)、 mask-reply (18)、 parameter-problem (12), redirect (5)、 router-advertisement (9)、 router-solicit (10)、 source-quench (4), time-exceeded (11)、 timestamp (13)、 timestamp-reply (14), unreachable (3) |
interface interface-name |
接收数据包的接口。您可以将通配符 (*) 指定为接口名称的一部分。 注:
在运行 Junos OS 演化版的设备上, 注:
interface EX8200 虚拟机箱上的出口流量不支持匹配条件。 |
ip-options |
IP 报头中存在选项字段。 |
ip-version version match_condition(s) |
端口和 VLAN 防火墙过滤器的 IP 协议版本。的值 version 可以是 ipv4 或 ipv6。 对于 , match_condition(s)可以指定以下一个或多个匹配条件:
|
is-fragment |
如果数据包是尾随分片,则此匹配条件与分片数据包的第一个分片不匹配。使用两个术语来匹配第一个片段和尾随片段。 注:
由于 EX2300、EX3400 和 EX4300 交换机的限制,当应用于“系列以太网交换”时,此匹配条件与分段数据包的最后一个分段不匹配。 |
l2-encap-type llc-non-snap |
在逻辑链路控制 (LLC) 层上匹配非子网访问协议 (SNAP) 以太网封装类型的数据包。 |
next-header bytes |
8 位协议字段,用于标识紧跟在 IPv6 标头之后的标头类型。代替数值,您可以指定以下文本同义词之一(字段值也会列出): ah (51), dstops (60), egp (8), esp (50), fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112) |
packet-length bytes |
接收的数据包的长度(以字节为单位)。 长度仅指 IP 数据包,包括数据包标头,不包括任何第 2 层封装开销。 |
|
IP 优先级。对于 precedence,可以指定以下文本同义词之一(还会列出字段值): critical-ecp (5)、 flash (3)、 flash-override (4)、 immediate (2)、 internet-control (6)、 net-control (7)、 priority (1)、 routine (0) |
|
IP 优先级。对于 precedence,可以指定以下文本同义词之一(还会列出字段值): critical-ecp (5)、 flash (3)、 flash-override (4)、 immediate (2)、 internet-control (6)、 net-control (7)、 priority (1)、 routine (0) |
|
IPv4 协议值。对于 protocols,可以指定以下文本同义词之一: egp (8)、 esp (50)、 gre (47)、 icmp (1)、 igmp (2)、 、 ipip (4) ospf (89)、 pim (103)、 rsvp (46)、 tcp (6), udp (17) |
|
IPv4 协议值。对于 protocols,可以指定以下文本同义词之一: egp (8)、 esp (50)、 gre (47)、 icmp (1)、 igmp (2)、 、 ipip (4) ospf (89)、 pim (103)、 rsvp (46)、 tcp (6), udp (17) |
source-address ip-address |
IP 源地址字段,即发送数据包的源节点的地址。对于 IPv6,源地址字段的长度为 128 位。过滤器说明语法支持 RFC 2373IP 版本 6 寻址体系结构中所述的 IPv6 地址的文本表示形式。 |
|
IP 源地址字段,即发送数据包的源节点的地址。您可以指定 IPv4 地址 ( |
source-mac-address mac-address |
源 MAC 地址。 您可以使用前缀定义源 MAC 地址,例如 source-mac-address 00:01:02:03:04:05/24。如果未指定前缀,则使用默认值 48。 |
source-port number |
TCP 或 UDP source-port 字段。通常,将此匹配与 |
source-prefix-list prefix-list |
IP 源前缀列表字段。 您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。您可以在层次结构级别定义此匹配条件 |
tcp-established |
已建立的 TCP 连接的 TCP 数据包。此条件匹配连接的第一个数据包以外的数据包。 tcp-established 是位名 "(ack | rst)"的同义词。 tcp-established 不会隐式检查协议是否为 TCP。为此,请指定 next-header tcp 匹配条件。 |
tcp-flags (flags tcp-initial) |
一个或多个 TCP 标志:
若要指定多个标志,请使用逻辑运算符。 |
tcp-initial |
匹配连接的第一个 TCP 数据包。 tcp-initial 是位名 "(syn&!ack)"的同义词。 tcp-initial 不会隐式检查协议是否为 TCP。为此,请指定 |
traffic-class number |
指定数据包的 DSCP 代码点。 |
ttl value |
要匹配的 TTL 类型。值的范围为 1 到 255。 |
|
与数据包关联的 VLAN。对于 vlan-id,您可以指定 VLAN ID 或 VLAN 范围。vlan匹配条件和dot1q-tag匹配条件互斥。 |
|
与数据包关联的 VLAN。对于 vlan-id,您可以指定 VLAN ID 或 VLAN 范围。vlan匹配条件和user-vlan-id匹配条件互斥。 |
防火墙过滤器的操作
您可以定义当数据包与匹配条件中定义的过滤标准匹配时交换机要采取的操作。 表 3 介绍了防火墙过滤器配置中支持的操作。
操作 |
Description |
---|---|
accept |
接受数据包。 |
discard |
以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。 |
reject message-type |
丢弃数据包,然后发送 ICMPv4 消息(类型 3)。 destination unreachable 如果配置 syslog 操作修饰符,则可以记录被拒绝的数据包。 您可以指定以下消息代码之一:administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. 如果指定 tcp-reset,如果数据包是 TCP 数据包,则会返回 TCP 重置。否则,不会返回任何内容。 如果未指定消息类型,那么将发送 ICMP 通知 destination unreachable 以及缺省消息 communication administratively filtered。 |
routing-instance routing-instance-name |
将匹配的数据包转发到虚拟路由实例。 注:
EX4200 交换机不支持基于防火墙过滤器重定向到默认路由实例。 |
vlan vlan-name |
将匹配的数据包转发到特定 VLAN。确保指定 VLAN 名称或 VLAN ID,而不是 VLAN 范围,因为操作 vlan 不支持该 vlan-range 选项。 注:
如果您定义了启用了 dot1q 隧道的 VLAN,则不支持将该特定 VLAN 作为入口 VLAN 防火墙过滤器的操作(使用该 vlan vlan-name 操作)。 |
防火墙过滤器的操作修改符
除了 中所述 表 3的操作之外,如果数据包与匹配条件中定义的过滤标准匹配,则可以在交换机的防火墙过滤器配置中定义操作修饰符。 表 4 介绍了防火墙过滤器配置中支持的操作修饰符。
动作修改器 |
Description |
---|---|
analyzer analyzer-name |
将端口流量镜像到连接到协议分析器应用程序的指定目标端口或 VLAN。镜像会将在一个交换机端口上看到的所有数据包复制到另一个交换机端口上的网络监控连接。必须在 下 注:
analyzer 不是管理接口受支持的操作修饰符。 注:
在 EX4500 交换机上,您只能配置一个分析器并将其包含在防火墙过滤器中。如果配置多个分析器,则不能在防火墙过滤器中包含其中一个分析器。 |
|
将匹配数据包的 DSCP 值更改为使用此操作修饰符指定的 DSCP 值。 number 指定差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的六位构成 DSCP。 可以十六进制、二进制或十进制形式指定 DSCP。 对于 number,可以指定以下文本同义词之一(还会列出字段值): |
count counter-name |
计算通过此过滤器、术语或监管器的数据包数。监管器允许您指定进入交换机接口的流量的速率限制。 注:
在 EX4300 交换机上,您可以配置与三元内容可寻址存储器 (TCAM) 中术语数相同的计数器和监管器数量。 |
forwarding-class class |
将数据包分类为以下转发类之一:
|
gbp-src-tag(仅限 EX4400 和 EX4650) | 设置基于组的策略源标记 (0..65535) 以用于 VXLAN 上的微分段,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
interface interface-name |
绕过交换查找,将流量转发到指定接口。 |
log |
在路由引擎中记录数据包的标头信息。要查看此信息,请在 CLI 中发出 注:
log如果 或 syslog 操作修饰符与操作或interface操作修饰符一起vlan配置,则可能不会记录事件。但是,重定向接口功能按预期工作。 |
loss-priority (high | low) |
设置丢包优先级 (PLP)。 |
policer policer-name |
对流量应用速率限制。 您只能在防火墙过滤器中为端口、VLAN 和路由器上的入口流量指定监管器。 注:
EX8200 交换机不支持监管器计数器。 注:
在 EX4300 交换机上,您可以配置与 TCAM 中的术语数相同的计数器和监管器数量。 |
|
将数据包镜像到层次结构中 |
|
将数据包镜像到层次结构中 |
syslog |
记录此数据包的警报。您可以指定将日志发送到服务器进行存储和分析。 注:
log如果 或 syslog 操作修饰符与操作或interface操作修饰符一起vlan配置,则可能不会记录事件。但是,重定向接口功能按预期工作。 |
three-color-policer |
应用三色监管器。 |