Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改器

定义 EX 系列交换机的防火墙过滤器时,将定义数据包的过滤标准(条款,具有 匹配条件),以及如果数据包与过滤标准相符时交换机应采取的 操作 (也可选为 操作修改器)。您可以定义防火墙过滤器以监控 IPv4、IPv6 或非 IP 流量。

本主题详细介绍了您可以在防火墙过滤器中定义的各种匹配条件、操作和操作修改符。有关支持各种 EX 系列交换机上的匹配条件的信息,请参阅 EX 系列交换机上的防火墙过滤器匹配条件、操作和操作的平台支持

防火墙过滤器元素

防火墙过滤器配置包含一个术语、匹配条件、一个操作以及一个操作修改器。 表 1 介绍了防火墙过滤器配置中的每个元素。

表 1: 防火墙过滤器配置的元素

元素名称

说明

术语

定义数据包的过滤标准。防火墙过滤器中的每个术语都包含匹配条件和操作。您可以在防火墙过滤器中定义一个术语或多个术语。如果定义多个术语,则每个术语都必须有一个唯一的名称。

匹配条件

由定义匹配条件的字符串(称为 匹配语句)构成。匹配条件是数据包必须包含的值或字段。您可以为一个术语定义单个匹配条件或多个匹配条件。您也可以选择不定义匹配条件。如果一个术语未指定匹配条件,则默认情况下所有数据包均匹配。

行动

如果数据包匹配匹配匹配条件中指定的所有标准,指定交换机采取的操作。

操作修改器

指定交换机在数据包与特定术语的匹配条件匹配时采取的一个或多个操作。

交换机上支持的匹配条件

根据要监控的流量类型,您可以配置一个防火墙过滤器来监控 IPv4、IPv6 或非 IP 流量。将防火墙过滤器配置为监控特定类型的流量时,请确保为该类型的流量指定支持的匹配条件。有关支持特定类型的流量和交换机的匹配条件的信息,请参阅 EX 系列交换机上的防火墙过滤器匹配条件、操作和操作平台支持

表 2 介绍了 EX 系列交换机上防火墙过滤器支持的所有匹配条件。

表 2: EX 系列交换机上支持的防火墙过滤器匹配条件

匹配条件

说明

destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

ip-destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

ip6-destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

destination-mac-address mac-address

数据包的目标媒体访问控制 (MAC) 地址。

您可以使用前缀定义目标 MAC 地址,例如 destination-mac-address 00:01:02:03:04:05/24。如果未指定前缀,则使用默认值 48。

destination-port number

TCP 或 UDP 目标端口字段。通常,您会将此匹配条件与 protocolip-protocol 匹配条件一起指定,以确定端口上使用的协议。对于 编号,您可以指定以下文本同义词之一(端口号也列出):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

IP 目标前缀列表字段。

您可以在前缀列表别名下定义 IP 地址前缀列表,以便频繁使用。您可在 [edit policy-options] 层次结构级别定义此匹配条件。

dot1q-tag number

以太网标头中的标记字段。标记值范围为 1 到 4095。匹配 dot1q-tag 条件和匹配条件是相互排斥的 vlan

user-vlan-id number

以太网标头中的标记字段。标记值范围为 1 到 4095。匹配 user-vlan-id 条件和匹配条件是相互排斥的 learn-vlan-id

dot1q-user-priority number

标记以太网数据包的用户优先级字段。用户优先级值可从 0 到 7 不等。

对于 编号,您可以指定以下文本同义词之一(字段值也列出):

  • background (1)—背景

  • best-effort (0)—尽力而为

  • controlled-load (4)— 受控负载

  • excellent-load (3)— 出色的负载

  • network-control (7)— 网络控制预留流量

  • standard (2)— 标准或备件

  • video (5)—视频

  • voice (6)—语音

user-vlan-1p-priority number

标记以太网数据包的用户优先级字段。用户优先级值可从 0 到 7 不等。

对于 编号,您可以指定以下文本同义词之一(字段值也列出):

  • background (1)—背景

  • best-effort (0)—尽力而为

  • controlled-load (4)— 受控负载

  • excellent-load (3)— 出色的负载

  • network-control (7)— 网络控制预留流量

  • standard (2)— 标准或备件

  • video (5)—视频

  • voice (6)—语音

dscp number

指定差异服务代码点 (DSCP)。DiffServ 协议在 IP 标头中使用服务类型 (ToS) 字节。此字节中最重要的六个位形成 DSCP。

您可以以十六进制、二进制或十进制形式指定 DSCP。

对于 编号,您可以指定以下文本同义词之一(字段值也列出):

  • ef (46)— 如 RFC 2598加速转发 PHB”中定义。

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    这四个类,每个类有三个丢弃优先级,为 RFC 2597保证转发 PHB 组中的 12 个代码点定义。

ether-type value

数据包的以太网类型字段。该 指定了在以太网帧中传输的协议。为了 实现价值,您可以指定以下文本同义词之一:

  • aarp—EtherType 值 AARP (0x80F3)

  • appletalk—EtherType 值 AppleTalk (0x809B)

  • arp—以太类型值 ARP (0x0806)

  • ipv4—EtherType 值 IPv4 (0x0800)

  • ipv6—EtherType 值 IPv6 (0x08DD)

  • mpls multicast—EtherType 值 MPLS 组播 (0x8848)

  • mpls unicast—以太类型值 MPLS 单播 (0x8847)

  • oam—EtherType 值 OAM (0x88A8)

  • ppp—EtherType 值 PPP (0x880B)

  • pppoe-discovery—EtherType 值 PPPoE 发现阶段 (0x8863)

  • pppoe-session—EtherType 值 PPPoE 会话阶段 (0x8864)

  • sna—EtherType 值 SNA (0x80D5)

注:

设置为ipv6ether-type

  • dscp

  • fragment-flags

  • is-fragment

  • precedenceip-precedence

  • protocolip-protocol

fragment-flags fragment-flags

IP 分片标记,以象征性或十六倍格式指定。您可以指定以下选项之一:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst 标记 匹配目标标记,以便在 VXLAN 上使用微分段,如下所述:示例:在 VXLAN 中使用基于组的策略进行微分段和宏分段
gbp-src 标记 匹配源标记,以便在 VXLAN 上使用微分段,如下所述:示例:在 VXLAN 中使用基于组的策略进行微分段和宏分段

icmp-code number

ICMP 代码字段。此值或选项提供的信息比 icmp-type。因为该值的含义取决于关联icmp-type的,因此您必须同时icmp-code指定icmp-type。对于 编号,您可以指定以下文本同义词之一(字段值也列出)。这些选项按与之关联的 ICMP 类型分组:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirect-redirect-for-host (1) 、 、 redirect-for-tos-and-host (3)redirect-for-network (0)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachable-communication-prohibited-by-filtering (13)destination-host-unknown (7)destination-host-prohibited (10)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)network-unreachable (0)host-unreachable-for-TOS (12)、 、 network-unreachable-for-TOS (11)、 、 、 precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)port-unreachable (3)source-route-failed (5)

icmp-type number

ICMP 数据包类型字段。通常,您会将此匹配条件与 protocolip-protocol 匹配条件一起指定,以确定端口上正在使用哪个协议。对于 编号,您可以指定以下文本同义词之一(字段值也列出):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

接收数据包的接口。您可以指定通配符字符 (*) 作为接口名称的一部分。

注:

interface EX8200 虚拟机箱上的出口信息流不支持匹配条件。

ip-options

IP 报头中存在选项字段。

ip-version 版本 match_condition

端口和 VLAN 防火墙过滤器的 IP 协议版本。版本的值可以是 ipv4ipv6

对于 match_condition,您可以指定以下一个或多个匹配条件:

  • destination-addressip-destination-addressip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedenceip-precedence

  • protocolip-protocol

  • source-addressip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

如果数据包是尾随分片,则此匹配条件与分片数据包的第一个分片不匹配。使用两个术语来匹配第一个分片和尾随分片。

注:

由于 EX2300、EX3400 和 EX4300 交换机受到限制,此匹配条件在应用于“系列以太网交换”时与分片数据包的最后一个分片不符。

l2-encap-type llc-non-snap

匹配非子网访问协议 (SNAP) 以太网封装类型的逻辑链路控制 (LLC) 层数据包。

next-header bytes

8 位协议字段,用于识别紧随 IPv6 标头之后的标头类型。代替数字值时,您可以指定以下文本同义词之一(字段值也列出):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

接收的数据包长度(以字节为字节)。

长度仅指 IP 数据包(包括数据包标头)且不包含任何第 2 层封装开销。

precedence precedence

IP 优先级。对于 优先级,您可以指定以下文本同义词之一(字段值也列出):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

IP 优先级。对于 优先级,您可以指定以下文本同义词之一(字段值也列出):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

IPv4 协议值。对于 协议,您可以指定以下文本同义词之一:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

IPv4 协议值。对于 协议,您可以指定以下文本同义词之一:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP 源地址字段,即发送数据包的源节点的地址。对于 IPv6,源地址字段长度为 128 位。过滤器说明语法支持 RFC 2373IP 版本 6 寻址架构中所述的 IPv6 地址的文本表示。

ip-source-address (ip-address | ip6-address)

IP 源地址字段,即发送数据包的源节点的地址。您可以指定 IPv4 地址 (ip-address) 或 IPv6 地址 (ip6-address)。对于 IPv6,IP 源地址字段长度为 128 位。过滤器说明语法支持 RFC 2373IP 版本 6 寻址架构中所述的 IPv6 地址的文本表示。

source-mac-address mac-address

源 MAC 地址。

您可以使用前缀定义源 MAC 地址,例如 source-mac-address 00:01:02:03:04:05/24。如果未指定前缀,则使用默认值 48。

source-port number

TCP 或 UDP source-port 字段。通常,您会将此匹配项与 protocolip-protocol 匹配条件一起指定,以确定端口上正在使用哪个协议。对于 编号,您可以指定下 destination-port列的一个文本同义词。

source-prefix-list prefix-list

IP 源前缀列表字段。

您可以在前缀列表别名下定义 IP 地址前缀列表,以便频繁使用。您可在 [edit policy-options] 层次结构级别定义此匹配条件。

tcp-established

已建立 TCP 连接的 TCP 数据包。此条件与连接第一个数据包以外的数据包匹配。 tcp-established 是位名称 "(ack | rst)"的同义词。

tcp-established 不会暗中检查协议是否为 TCP。为此,请指定 next-header tcp 匹配条件。

tcp-flags (flags tcp-initial)

一个或多个 TCP 标志:

  • 位名称 —finsynrstpushackurgent

  • 逻辑运算器 —& (逻辑 AND)、 | (逻辑 OR)、 ! (否定)

  • 数字值 — 0x01到0x20

  • 文本同义词 —tcp-initial

要指定多个标志,请使用逻辑操作员。

tcp-initial

匹配连接的第一个 TCP 数据包。 tcp-initial 是位名称 "(syn&!ack)"的同义词。

tcp-initial 不会暗中检查协议是否为 TCP。为此,请指定 protocol tcpip-protocol tcp 匹配条件。

traffic-class number

指定数据包的 DSCP 代码点。

ttl value

要匹配的 TTL 类型。值范围为 1 到 255。

vlan (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan ID,您可以指定 VLAN ID 或 VLAN 范围。匹配 vlan 条件和匹配条件是相互排斥的 dot1q-tag

learn-vlan-id (vlan-name | vlan-id)

与数据包关联的 VLAN。对于 vlan ID,您可以指定 VLAN ID 或 VLAN 范围。匹配 vlan 条件和匹配条件是相互排斥的 user-vlan-id

防火墙过滤器操作

如果数据包与匹配条件下定义的过滤标准匹配,则可以定义交换机要采取的操作。 表 3 介绍了防火墙过滤器配置中支持的操作。

表 3: 防火墙过滤器操作

行动

说明

accept

接受数据包。

discard

在不发送互联网控制消息协议 (ICMP) 消息的情况下静默丢弃数据包。

reject message-type

丢弃数据包,然后发送 ICMPv4 消息(3 类) destination unreachable。如果配置 syslog 了操作修改器,则可以记录拒绝的数据包。

您可以指定以下消息代码之一:administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

如果指定 tcp-reset,如果数据包是 TCP 数据包,将返回 TCP 重置。否则,不会返回任何内容。

如果未指定消息类型,则会使用默认消息communication administratively filtered发送 ICMP 通知destination unreachable

routing-instance routing-instance-name

将匹配的数据包转发至虚拟路由实例。

注:

EX4200 交换机不支持基于防火墙过滤器的重定向到默认路由实例。

vlan vlan-name

将匹配的数据包转发至特定 VLAN。确保指定 VLAN 名称或 VLAN ID,而不是 VLAN 范围,因为该 vlan 操作不支持 vlan 范围 选项。

注:

如果已定义启用 dot1q 隧道的 VLAN,则该特定 VLAN 不受入口 VLAN 防火墙过滤器的操作(使用 vlan vlan-name 操作)支持。

防火墙过滤器操作修改器

除了中 表 3所述的操作外,如果数据包与匹配条件下定义的过滤标准相符,您还可以在交换机的防火墙过滤器配置中定义操作修改器。 表 4 说明防火墙过滤器配置中支持的操作修改器。

表 4: 防火墙过滤器操作修改器

操作莫迪菲尔

说明

analyzer analyzer-name

将端口流量镜像到已连接到协议分析器应用程序的指定目标端口或 VLAN。镜像可将一个交换机端口上看到的所有数据包复制到另一个交换机端口上的网络监控连接。分析器名称必须在 下方配置 [edit ethernet-switching-options analyzer]

注:

analyzer 不是管理接口支持的操作修改器。

注:

在 EX4500 交换机上,您只能配置一个分析器并将其包含在防火墙过滤器中。如果配置多个分析器,则无法将其中任何一个分析器包含在防火墙过滤器中。

dscp number

使用此操作修改器将匹配数据包的 DSCP 值更改为指定的 DSCP 值。 编号 指定了差异服务代码点 (DSCP)。DiffServ 协议在 IP 标头中使用服务类型 (ToS) 字节。此字节中最重要的六个位形成 DSCP。

您可以以十六进制、二进制或十进制形式指定 DSCP。

对于 编号,您可以指定以下文本同义词之一(字段值也列出):

  • ef (46)— 如 RFC 2598加速转发 PHB”中定义。

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    这四个类,每个类有三个丢弃优先级,为 RFC 2597保证转发 PHB 组中的 12 个代码点定义。

count counter-name

计算通过此过滤器、术语或监管器的数据包数。监管器允许您指定进入交换机接口的信息流的速率限制。

注:

在 EX4300 交换机上,您可以配置与三元内容可寻址内存 (TCAM) 中的术语数量相同的计数器和监管器数量。

forwarding-class class

在以下转发类之一对数据包进行分类:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src 标记(仅限 EX4400 和 EX4650) 设置基于组的策略源标记 (0.65535),以便在 VXLAN 上使用微分段,如下所述:示例:在 VXLAN 中使用基于组的策略进行微分段和宏分段

interface interface-name

绕过交换查找,将信息流转发至指定接口。

log

记录路由引擎中的数据包标头信息。要查看此信息,请在 CLI 中发出 show firewall log 命令。

注:

log如果将修改操作与syslog操作或操作修改器一vlaninterface起配置,则可能无法记录事件。但是,重定向接口功能可根据预期运行。

loss-priority (high | low)

设置数据包丢失优先级 (PLP)。

policer policer-name

对信息流应用速率限制。

您只能为端口、VLAN 和路由器上的入口流量指定防火墙过滤器中的监管器。

注:

EX8200 交换机上不支持监管器计数器。

注:

在 EX4300 交换机上,您可以配置与 TCAM 中的术语数量相同的计数器和监管器数量。

port-mirror

将数据包镜像到层次结构中定义的 [edit forwarding-options analyzer] 接口。

port-mirror-instance instance-name

将数据包镜像到层次结构中定义的 [edit forwarding-options analyzer] 实例。

syslog

记录此数据包的警报。您可以指定将日志发送至服务器进行存储和分析。

注:

log如果将修改操作与syslog操作或操作修改器一vlaninterface起配置,则可能无法记录事件。但是,重定向接口功能可根据预期运行。

three-color-policer

应用三色监管器。