Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie
Wenn Sie einen Firewall-Filter für einen Switch der EX-Serie definieren, definieren Sie Filterkriterien (, mit ) für die Pakete und ein (und optional ein ) für den Switch, der verwendet werden soll, wenn die Pakete den Filterkriterien entsprechen.termsmatch conditionsactionaction modifier Sie können einen Firewallfilter definieren, um IPv4-, IPv6- oder Nicht-IP-Datenverkehr zu überwachen.
In diesem Thema werden die verschiedenen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren, die Sie in einem Firewallfilter definieren können, ausführlich beschrieben. Informationen zur Unterstützung von Übereinstimmungsbedingungen auf verschiedenen Switches der EX-Serie finden Sie unter Plattformunterstützung für Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie.Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie
Firewall-Filterelemente
Eine Firewallfilterkonfiguration enthält einen Begriff, eine Übereinstimmungsbedingung, eine Aktion und optional einen Aktionsmodifizierer. Beschreibt jedes Element in einer Firewallfilterkonfiguration.Tabelle 1
Elementname |
Beschreibung |
---|---|
Begriff |
Definiert die Filterkriterien für die Pakete. Jeder Begriff im Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Sie können einen einzelnen Begriff oder mehrere Begriffe im Firewall-Filter definieren. Wenn Sie mehrere Begriffe definieren, muss jeder Begriff einen eindeutigen Namen haben. |
Übereinstimmungsbedingung |
Besteht aus einer Zeichenfolge (als ) bezeichnet , die die Übereinstimmungsbedingung definiert.match statement Übereinstimmungsbedingungen sind die Werte oder Felder, die ein Paket enthalten muss. Sie können eine einzelne Übereinstimmungsbedingung oder mehrere Übereinstimmungsbedingungen für eine Benennung definieren. Sie können sich auch dafür entscheiden, keine Übereinstimmungsbedingung zu definieren. Wenn für einen Begriff keine Übereinstimmungsbedingungen angegeben sind, werden standardmäßig alle Pakete abgeglichen. |
Was |
Gibt die Aktion an, die der Switch ausführt, wenn ein Paket alle in den Übereinstimmungsbedingungen angegebenen Kriterien erfüllt. |
Modifikator "Aktion" |
Gibt eine oder mehrere Aktionen an, die der Switch ausführt, wenn ein Paket die Übereinstimmungsbedingungen für den jeweiligen Begriff erfüllt. |
Übereinstimmungsbedingungen, die auf Switches unterstützt werden
Je nach Art des Datenverkehrs, den Sie überwachen möchten, können Sie einen Firewallfilter konfigurieren, um IPv4-, IPv6- oder Nicht-IP-Datenverkehr zu überwachen. Wenn Sie einen Firewallfilter für die Überwachung eines bestimmten Datenverkehrstyps konfigurieren, stellen Sie sicher, dass Sie Übereinstimmungsbedingungen angeben, die für diesen Datenverkehrstyp unterstützt werden. Informationen zu Übereinstimmungsbedingungen, die für einen bestimmten Datenverkehrstyp unterstützt werden, und zu den Switches, auf denen sie unterstützt werden, finden Sie unter Plattformunterstützung für Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Firewall-Filter auf Switches der EX-Serie.Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie
Tabelle 2 beschreibt alle Übereinstimmungsbedingungen, die für Firewall-Filter auf Switches der EX-Serie unterstützt werden.
Übereinstimmungsbedingung |
Beschreibung |
---|---|
|
IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt. |
|
IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt. |
|
IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt. |
destination-mac-address mac-address |
MAC-Adresse (Destination Media Access Control) des Pakets. Sie können eine MAC-Zieladresse mit einem Präfix definieren, z. B . .destination-mac-address 00:01:02:03:04:05/24 Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet. |
destination-port number |
TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmungsbedingung in Verbindung mit der Übereinstimmungsbedingung "oder" an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104) |
destination-prefix-list prefix-list |
Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Diese Übereinstimmungsbedingung definieren Sie auf der Hierarchieebene . |
|
Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus. |
|
Das Tag-Feld im Ethernet-Header. Die Tag-Werte reichen von 1 bis 4095. Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus. |
dot1q-user-priority number |
Feld für die Benutzerpriorität des markierten Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number
|
user-vlan-1p-priority number |
Feld für die Benutzerpriorität des markierten Ethernet-Pakets. Die Werte für die Benutzerpriorität können zwischen 0 und 7 liegen. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number
|
dscp number |
Gibt den Codepunkt für differenzierte Dienste (Differentiated Services, DSCP) an. Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen sechs Bits dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number
|
ether-type value |
Ethernet-Typfeld eines Pakets. Der Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Für können Sie eines der folgenden Textsynonyme angeben:value
HINWEIS:
Die folgenden Übereinstimmungsbedingungen werden nicht unterstützt, wenn sie auf festgelegt sind:ether-typeipv6
|
fragment-flags fragment-flags |
IP-Fragmentierungsflags, die in symbolischen oder hexadezimalen Formaten angegeben werden. Sie können eine der folgenden Optionen angeben:
|
gbp-dst-tag | Passen Sie das Ziel-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
gbp-src-tag | Passen Sie das Quell-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
icmp-code number |
ICMP-Code-Feld. Dieser Wert oder diese Option enthält spezifischere Informationen als .icmp-type Da die Bedeutung des Werts von der zugeordneten abhängt, müssen Sie zusammen mit angeben.icmp-typeicmp-typeicmp-code Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet).number Die Optionen sind nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:
|
icmp-type number |
ICMP-Pakettypfeld. In der Regel geben Sie diese Übereinstimmungsbedingung in Verbindung mit der Übereinstimmungsbedingung "oder" an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. , , , , echo-reply (0)echo-request (8)info-reply (16)info-request (15), , , mask-request (17)mask-reply (18)parameter-problem (12) , , , , redirect (5)router-advertisement (9)router-solicit (10)source-quench (4) , , , time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3) |
interface interface-name |
Schnittstelle, auf der das Paket empfangen wird. Sie können das Platzhalterzeichen () als Teil eines Schnittstellennamens angeben.* HINWEIS:
Die Übereinstimmungsbedingung wird für ausgehenden Datenverkehr auf einem EX8200 Virtual Chassis nicht unterstützt.interface |
ip-options |
Vorhandensein des Optionsfelds im IP-Header. |
ip-version version match_condition(s) |
Version des IP-Protokolls für Port- und VLAN-Firewall-Filter. Der Wert für kann oder sein.versionipv4ipv6 Für können Sie eine oder mehrere der folgenden Übereinstimmungsbedingungen angeben:match_condition(s)
|
is-fragment |
Wenn es sich bei dem Paket um ein nachgestelltes Fragment handelt, stimmt diese Übereinstimmungsbedingung nicht mit dem ersten Fragment eines fragmentierten Pakets überein. Verwenden Sie zwei Begriffe, um sowohl das erste als auch das nachfolgende Fragment abzugleichen. HINWEIS:
Aufgrund einer Einschränkung bei den Switches EX2300, EX3400 und EX4300 stimmt diese Übereinstimmungsbedingung nicht mit dem letzten Fragment eines fragmentierten Pakets überein, wenn sie auf "Familien-Ethernet-Switching" angewendet wird. |
l2-encap-type llc-non-snap |
Übereinstimmung auf LLC-Layer-Paketen (Logical Link Control) für den Nicht-SNAP-Ethernet-Kapselungstyp (Subnet Access Protocol). |
next-header bytes |
8-Bit-Protokollfeld, das den Typ des Headers identifiziert, der unmittelbar auf den IPv6-Header folgt. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): , , , ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112) |
packet-length bytes |
Länge des empfangenen Pakets in Bytes. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead. |
|
IP-Präzedenz. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):precedence , , , , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0) |
|
IP-Präzedenz. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):precedence , , , , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0) |
|
IPv4-Protokollwert. Für können Sie eines der folgenden Textsynonyme angeben:protocols , , , , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17) |
|
IPv4-Protokollwert. Für können Sie eines der folgenden Textsynonyme angeben:protocols , , , , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17) |
source-address ip-address |
IP-Quelladressfeld, bei dem es sich um die Adresse des Quellknotens handelt, der das Paket sendet. Bei IPv6 ist das Quelladressfeld 128 Bit lang. Die Filterbeschreibungssyntax unterstützt die Textdarstellungen für IPv6-Adressen, die in RFC 2373, IP Version 6 Addressing Architecture, beschrieben sind.http://www.ietf.org/rfc/rfc2373.txt |
|
IP-Quelladressfeld, bei dem es sich um die Adresse des Quellknotens handelt, der das Paket sendet. Sie können entweder eine IPv4-Adresse () oder eine IPv6-Adresse () angeben. |
source-mac-address mac-address |
MAC-Quelladresse. Sie können eine Quell-MAC-Adresse mit einem Präfix definieren, z. B . .source-mac-address 00:01:02:03:04:05/24 Wenn kein Präfix angegeben ist, wird der Standardwert 48 verwendet. |
source-port number |
TCP- oder UDP-Feld .source-port In der Regel geben Sie diese Übereinstimmung in Verbindung mit der Übereinstimmungsbedingung "oder" an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. |
source-prefix-list prefix-list |
IP-Quellpräfix-Listenfeld. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Diese Übereinstimmungsbedingung definieren Sie auf der Hierarchieebene . |
tcp-established |
TCP-Pakete einer aufgebauten TCP-Verbindung. Diese Bedingung entspricht anderen Paketen als dem ersten Paket einer Verbindung. ist ein Synonym für die Bitnamen .tcp-established"(ack | rst)" tcp-established prüft nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Geben Sie dazu die Übereinstimmungsbedingung an.next-header tcp |
tcp-flags (flags tcp-initial) |
Ein oder mehrere TCP-Flags:
Wenn Sie mehrere Flags angeben möchten, verwenden Sie logische Operatoren. |
tcp-initial |
Entspricht dem ersten TCP-Paket einer Verbindung. ist ein Synonym für die Bitnamen .tcp-initial"(syn&!ack)" tcp-initial prüft nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Geben Sie dazu die Übereinstimmungsbedingung or an. |
traffic-class number |
Gibt den DSCP-Codepunkt für ein Paket an. |
ttl value |
Entsprechender TTL-Typ. Der Wert reicht von 1 bis 255. |
|
Das VLAN, das dem Paket zugeordnet ist. Für können Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben.vlan-id Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus.vlandot1q-tag |
|
Das VLAN, das dem Paket zugeordnet ist. Für können Sie entweder die VLAN-ID oder einen VLAN-Bereich angeben.vlan-id Die Übereinstimmungsbedingung und die Übereinstimmungsbedingung schließen sich gegenseitig aus.vlanuser-vlan-id |
Aktionen für Firewall-Filter
Sie können eine Aktion definieren, die der Switch ausführen soll, wenn ein Paket den Filterkriterien entspricht, die in einer Übereinstimmungsbedingung definiert sind. Beschreibt die Aktionen, die in einer Firewallfilterkonfiguration unterstützt werden.Tabelle 3
Was |
Beschreibung |
---|---|
accept |
Akzeptieren Sie ein Paket. |
discard |
Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. |
reject message-type |
Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Nachricht (Typ 3). destination unreachable Sie können die zurückgewiesenen Pakete protokollieren, wenn Sie den Aktionsmodifizierer konfigurieren.syslog Sie können einen der folgenden Nachrichtencodes angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-resetaus. Wenn Sie angeben , wird ein TCP-Reset zurückgegeben, wenn es sich bei dem Paket um ein TCP-Paket handelt.tcp-reset Andernfalls wird nichts zurückgegeben. Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung mit der Standardnachricht gesendet.destination unreachablecommunication administratively filtered |
routing-instance routing-instance-name |
Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter. HINWEIS:
EX4200-Switches unterstützen keine Firewall-filterbasierte Umleitung zur Standard-Routing-Instanz. |
vlan vlan-name |
Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter. Stellen Sie sicher, dass Sie den VLAN-Namen oder die VLAN-ID und keinen VLAN-Bereich angeben, da die Aktion die Option nicht unterstützt.vlanvlan-range HINWEIS:
Wenn Sie ein VLAN definiert haben, das für dot1q-Tunneling aktiviert ist, wird dieses bestimmte VLAN nicht als Aktion (unter Verwendung der Aktion) für einen Eingangs-VLAN-Firewall-Filter unterstützt.vlan vlan-name |
Aktionsmodifikatoren für Firewall-Filter
Zusätzlich zu den in beschriebenen Aktionen können Sie Aktionsmodifikatoren in einer Firewall-Filterkonfiguration für einen Switch definieren, wenn Pakete den in der Übereinstimmungsbedingung definierten Filterkriterien entsprechen. Beschreibt die Aktionsmodifikatoren, die in einer Firewallfilterkonfiguration unterstützt werden. Tabelle 3Tabelle 4
Modifikator "Aktion" |
Beschreibung |
---|---|
analyzer analyzer-name |
Spiegeln Sie den Port-Datenverkehr an einen bestimmten Zielport oder ein VLAN, das mit einer Protokollanalyseanwendung verbunden ist. Bei der Spiegelung werden alle Pakete, die auf einem Switch-Port angezeigt werden, in eine Netzwerküberwachungsverbindung an einem anderen Switch-Port kopiert. Der Name des Analyzers muss unter konfiguriert werden. HINWEIS:
analyzer ist kein unterstützter Aktionsmodifizierer für eine Verwaltungsschnittstelle. HINWEIS:
Auf EX4500-Switches können Sie nur einen Analyzer konfigurieren und ihn in einen Firewall-Filter einschließen. Wenn Sie mehrere Analysetools konfigurieren, können Sie keines dieser Analysetools in einen Firewallfilter aufnehmen. |
|
Ändern Sie den DSCP-Wert für übereinstimmende Pakete in den DSCP-Wert, der mit diesem Aktionsmodifizierer angegeben wurde. gibt den Differentiated Services-Codepunkt (Differentiated Services Code Point, DSCP) an.number Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen sechs Bits dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Für können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):number
|
count counter-name |
Zählen Sie die Anzahl der Pakete, die diesen Filter, Begriff oder Policer passieren. Mit einem Policer können Sie Ratenbegrenzungen für Datenverkehr festlegen, der in eine Schnittstelle auf einem Switch gelangt. HINWEIS:
Auf EX4300-Switches können Sie dieselbe Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe im ternären Content Addressable Memory (TCAM). |
forwarding-class class |
Klassifizieren Sie das Paket in eine der folgenden Weiterleitungsklassen:
|
gbp-src-tag (nur EX4400 und EX4650) | Legen Sie das gruppenbasierte Richtlinienquellen-Tag (0..65535) für die Verwendung mit der Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
interface interface-name |
Leiten Sie den Datenverkehr an die angegebene Schnittstelle weiter, indem Sie die Switching-Suche umgehen. |
log |
Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl in der CLI ein. HINWEIS:
Wenn der oder der Aktionsmodifizierer zusammen mit einer Aktion oder einem Aktionsmodifizierer konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert.logsyslogvlaninterface Die Funktionalität der Umleitungsschnittstelle funktioniert jedoch wie erwartet. |
loss-priority (high | low) |
Legen Sie die Paketverlustpriorität (PLP) fest. |
policer policer-name |
Wenden Sie Ratenbegrenzungen auf den Datenverkehr an. Sie können einen Policer in einem Firewall-Filter nur für eingehenden Datenverkehr an einem Port, VLAN und Router angeben. HINWEIS:
Ein Zähler für einen Policer wird auf EX8200-Switches nicht unterstützt. HINWEIS:
Auf EX4300-Switches können Sie dieselbe Anzahl von Zählern und Policern konfigurieren wie die Anzahl der Begriffe im TCAM. |
|
Spiegeln Sie Pakete auf die in der Hierarchie definierte Schnittstelle. |
|
Spiegeln Sie Pakete auf die in der Hierarchie definierte Instanz. |
syslog |
Protokollieren Sie eine Warnung für dieses Paket. Sie können angeben, dass das Protokoll zur Speicherung und Analyse an einen Server gesendet wird. HINWEIS:
Wenn der oder der Aktionsmodifizierer zusammen mit einer Aktion oder einem Aktionsmodifizierer konfiguriert ist, werden die Ereignisse möglicherweise nicht protokolliert.logsyslogvlaninterface Die Funktionalität der Umleitungsschnittstelle funktioniert jedoch wie erwartet. |
three-color-policer |
Wenden Sie einen dreifarbigen Policer an. |