Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器匹配条件和操作(QFX10000交换机)

防火墙过滤器中的每个术语都由 匹配条件 和一个 操作组成。匹配条件是数据包必须包含才能被视为匹配的字段和值。您可以在 匹配语句中定义单个或多个匹配条件。您还可以不包含 match 语句,在这种情况下,术语将匹配所有数据包。

当数据包与过滤器匹配时,交换机将执行术语中指定的操作。此外,您还可以指定操作修饰符来对数据包进行计数、镜像、速率限制和分类。如果未为术语指定匹配条件,则交换机默认接受数据包。

本主题介绍可在交换机上的防火墙过滤器中定义的各种匹配条件、操作和操作修改器QFX10000。有关其他 QFX 交换机的类似信息,请参阅 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)

  • 表 1 描述配置防火墙过滤器时可以指定的匹配条件。某些数字范围和位字段匹配条件允许您指定文本同义词。若要查看匹配条件的所有同义词的列表,请在语句中的适当位置键入 ?

  • 表 2 显示可以在术语中指定的操作。

  • 表 3 显示可用于对数据包进行计数、镜像、速率限制和分类的操作修饰符。

表 1: 支持的匹配条件(QFX10000交换机)

匹配条件

Description

方向和接口

destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

入口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

destination-mac-address mac-address

数据包的目标介质访问控制 (MAC) 地址。

入口端口和 VLAN。

出口端口和 VLAN。

destination-port value

TCP 或 UDP 目标端口字段。通常,将此匹配项与 protocol match 语句一起指定。对于以下已知端口,可以指定文本同义词(还会列出端口号):

afs (1483)bgp (179)biff (512)bootpc (68)、 、 bootps (67)

cmd (514)cvspserver (2401)

dhcp (67)domain (53)

eklogin (2105)ekshell (2106)exec (512)

finger (79)ftp (21)ftp-data (20)

http (80)https (443)

ident (113)imap (143)

kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)、 、 kshell (544)

ldap (389)login (513)

mobileip-agent (434)mobilip-mn (435)msdp (639)

netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

pop3 (110)pptp (1723)printer (515)

radacct (1813)radius (1812)rip (520), , rkinit (2108)

smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65)talk (517)telnet (23)tftp (69)、 、 timed (525)

who (513)

xdmcp (177)

zephyr-clt (2103), zephyr-hm (2104)

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

destination-prefix-list prefix-list

IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

dscp value

差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • be- 尽力而为(默认)

  • ef (46)— 如 RFC 3246加速转发 PHB”中所定义。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    这四个类,每个类有三个丢弃优先级,总共 12 个代码点,在 RFC 2597 保证 转发 PHB 中定义。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

入口端口、VLAN 和 IPv4 (inet) 接口。

出口端口、VLAN 和 IPv4 (inet) 接口。

ether-type value

数据包的以太网类型字段。EtherType 值指定在以太网帧中传输的协议。代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • aarp (0x80F3)—以太类型值 AARP

  • appletalk (0x809B)—以太类型值AppleTalk

  • arp (0x0806)—以太类型值 ARP

  • fcoe (0x8906)—以太类型值 FCoE

  • fip (0x8914)—以太类型值 FIP

  • ipv4 (0x0800)—以太类型值 IPv4

  • ipv6 (0x08DD)—以太类型值 IPv6

  • mpls-multicast (0x8848)—以太类型值 MPLS 组播

  • mpls-unicast (0x8847)—以太类型值 MPLS 单播

  • oam (0x88A8)—以太类型值 OAM

  • ppp (0x880B)—以太类型值购买力平价

  • pppoe-discovery (0x8863)—以太类型值 PPPoE 发现阶段

  • pppoe-session (0x8864)—以太类型值 PPPoE 会话阶段

  • sna (0x80D5)—以太类型值 SNA

入口端口和 VLAN。

出口端口和 VLAN。

forwarding-class class

将数据包分类为以下默认转发类之一或用户定义的转发类:

  • best-effort

  • fcoe

  • network-control

  • no-loss

出口 IPv4 (inet) 和 IPv6 (inet6) 接口。

fragment-flags value

IP 分段标志。代替数值,可以指定以下文本同义词之一(还会列出十六进制值):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

入口端口、VLAN 和 IPv4 (inet) 接口。

hop-limit value

匹配指定的跃点限制或一组跃点限制。指定单个值或 0 到 255 之间的值范围。

入口和出口 IPv6 (inet6) 接口。

icmp-code value

ICMP 代码字段。因为值的含义取决于关联的 icmp-type,所以必须为 指定 icmp-type 一个值和一个 的值 icmp-code。要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • IPv4: 参数问题—ip-header-bad (0)required-option-missing (1)

  • IPv6: 参数问题—ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4:无法访问 —network-unreachable (0)host-unreachable (1)、 、 fragmentation-needed (4)network-unreachable-for-TOS (11)destination-host-prohibited (10)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)port-unreachable (3)destination-network-unknown (6)host-precedence-violation (14)source-route-failed (5)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)protocol-unreachable (2)precedence-cutoff-in-effect (15)

  • IPv6: 无法访问—address-unreachable (3)administratively-prohibited (1)、、 no-route-to-destination (0)port-unreachable (4)

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口

icmp-type value

ICMP 消息类型字段。通常,将此匹配项与 protocol match 语句一起指定,以确定端口上使用的协议。代替数值,您可以指定以下文本同义词之一(字段值也会列出):

IPv4: echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

icmp-code variable请参阅。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

interface interface-name

接收数据包的接口,包括逻辑单元。您可以将通配符 (*) 作为接口名称或逻辑单元的一部分包含在内。

注:

发送数据包的接口不能用作匹配条件。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

ip-destination-address address

IPv4 地址,即数据包的最终目标节点地址。

入口端口、出口端口和 VLAN。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

ip-options

如果在 IP 标头的选项字段中指定了任何内容,则指定 any 以创建匹配项。

入口端口、VLAN 和 IPv4 (inet) 接口。

ip-precedence ip-precedence-field

IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值):critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)或 routine (0x00)。

入口端口和 VLAN。

出口端口和 VLAN。

ip-protocol number

IP 协议字段。

入口端口和 VLAN。

出口端口和 VLAN。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

ip-source-address address

发送数据包的源节点的 IPv4 地址。

入口端口和 VLAN。

出口端口和 VLAN。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

ip-version address

数据包的 IP 版本。使用此条件可匹配到达第 2 层端口或 VLAN 接口的流量中的 IPv4 或 IPv6 标头字段。

入口端口和 VLAN。

出口端口和 VLAN。

is-fragment

如果在 IP 报头中启用了“更多片段”标志或片段偏移量不为零,则使用此条件会导致匹配。

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

learn-1p-priority number

匹配范围内 0-7指定的 IEEE 802.1p VLAN 优先级位。

入口端口和 VLAN。

出口端口和 VLAN。

learn-vlan-id number

匹配普通 VLAN 的 ID 或外部(服务)VLAN 的 ID(对于 Q-in-Q VLAN)。要最有效地使用过滤器内存并最大化可能的过滤器数量,除了要匹配内部(客户)VLAN ID 时,还要 user-id 使用此条件。可接受的值为 1-4095。

入口端口和 VLAN。

出口端口和 VLAN。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

loss-priority (low | medium-low | medium-high | high)

设置丢包优先级 (PLP)。

注:

loss-priority不支持将动作修饰符与policer动作结合使用。

出口 IPv4 (inet) 和 IPv6 (inet6) 接口。

next-header value

IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6 (58)sctp (132)

入口 IPv6 (inet6) 接口。

出口 IPv6 (inet6) 接口。

packet-length number

数据包长度(以字节为单位)。必须输入一个介于 0 和 65535 之间的数字。

入口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

precedence value

IP 报头中服务类型 (ToS) 字节中的 IP 优先级位。(此字节也可用于 DiffServ DSCP。代替数值,可以指定以下文本同义词之一(还会列出数值):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

入口 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

protocol type

IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6sctp (132)

入口 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

source-address ip-address

IP 源地址字段,即发送数据包的节点的地址。

入口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

source-mac-address mac-address

数据包的源媒体访问控制 (MAC) 地址。

入口端口和 VLAN。

出口端口和 VLAN。

source-port value

TCP 或 UDP 源端口。通常,将此匹配项与 protocol match 语句一起指定。您可以指定 下 destination-port列出的文本同义词之一,以代替数值字段。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

source-prefix-list prefix-list

IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

tcp-established

匹配已建立的 TCP 连接的数据包。此条件匹配用于设置 TCP 连接的数据包以外的数据包,也就是说,三次握手数据包不匹配。

指定 tcp-established时,交换机不会隐式验证协议是否为 TCP。还必须指定 protocol tcp 匹配条件。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

tcp-flags value

一个或多个 TCP 标志:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

tcp-initial

匹配连接的第一个 TCP 数据包。当设置了 TCP 标志 SYN 但未设置 TCP 标志 ACK 时,将发生匹配。

指定 tcp-initial时,交换机不会隐式验证协议是否为 TCP。还必须指定 protocol tcp 匹配条件。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

traffic-class value

8 位字段,用于指定数据包的服务等级 (CoS) 优先级。信息流类字段用于指定 DiffServ 代码点 (DSCP) 值。此字段以前用作 IPv4 中的服务类型 (ToS) 字段,并且此字段的语义(例如 DSCP)与 IPv4 的语义相同。

您可以指定以下文本同义词之一(还会列出字段值):

af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

入口 IPv6 (inet6) 接口。

出口 IPv6 (inet6) 接口。

ttl value

IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。

入口 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口(如适用)

user-vlan-id number

匹配 Q-in-Q VLAN 中内部(客户)VLAN 的 ID。要最有效地使用过滤器内存并最大化可能的过滤器数量,请与 以 learn-vlan-id 匹配外部(服务)VLAN ID。可接受的值为 1-4095。

入口端口和 VLAN。

出口端口和 VLAN。

使用 then 语句定义数据包与语句中的所有 from 条件匹配时应执行的操作。 表 2 显示了可以在术语中指定的操作。(如果未包含 then 语句,系统将接受与过滤器匹配的数据包。

表 2: 行动

操作

Description

accept

接受数据包。这是与术语匹配的数据包的默认操作。

discard

以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。

reject message-type

丢弃数据包并发送“目标无法访问”ICMPv4 消息(类型 3)。要记录被拒绝的数据包,请配置 syslog 操作修改器。

您可以指定以下消息类型之一:administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,tcp-reset

如果指定 tcp-reset,则当数据包是 TCP 数据包时,系统将发送 TCP 重置;否则不发送任何内容。

如果未指定消息类型,那么将发送 ICMP 通知“目标无法访问”,并附带默认消息“已管理性过滤的通信”。

注:

仅在入口接口上支持此操作 reject

routing-instance instance-name

将匹配的数据包转发到虚拟路由实例。(唯一支持的实例类型是 virtual-router.)数据包可以转发到默认实例。

vlan VLAN-name

将匹配的数据包转发到特定 VLAN。

注:

仅在入口接口上支持此操作 vlan

注:

OCX 系列交换机不支持此操作。

您还可以指定 中 表 3 列出的操作修饰符,以对数据包进行计数、镜像、速率限制和分类。

表 3: 动作修改器

动作修改器

Description

count counter-name

计算与术语匹配的数据包数。

forwarding-class class

将数据包分类为以下默认转发类之一或用户定义的转发类:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

要配置转发类,还必须配置丢失优先级。

log

在路由引擎中记录数据包的标头信息。要查看此信息,请输入 show firewall log 操作模式命令。

注:

log操作修饰符仅在入口接口上受支持。

loss-priority (low | medium-low | medium-high | high)

设置丢包优先级 (PLP)。

注:

loss-priority操作修饰符仅在入口接口上受支持。

注:

loss-priority不支持将动作修饰符与policer动作结合使用。

policer policer-name

将数据包发送到监管器(以便应用速率限制)。

您可以为入口和出口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 防火墙过滤器指定监管器。

注:

policer不支持将动作修饰符与loss-priority动作结合使用。

port-mirror

(ELS 平台)将流量(复制数据包)镜像到在层次结构级别的端口镜像实例 [edit forwarding-options port-mirroring] 中配置的输出接口。

您可以为入口和出口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 防火墙过滤器指定端口镜像。

port-mirror-instance port-mirror-instance-name

(ELS 平台)将流量镜像到在层次结构级别配置 [edit forwarding-options port-mirroring] 的端口镜像实例。

您可以为入口和出口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 防火墙过滤器指定端口镜像。

注:

syslog

记录此数据包的警报。

注:

syslog操作修饰符仅在入口接口上受支持。

three-color-policer three-color-policer-name

将数据包发送到三色监管器(用于应用速率限制)。

您可以为入口和出口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 过滤器指定三色监管器。

注:

policer不支持将动作修饰符与loss-priority动作结合使用。