Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (QFX10000 Switches)
Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungen definieren. Sie können auch no match-Anweisung einschließen, in diesem Fall stimmt der Begriff mit allen Paketen überein.
Wenn ein Paket mit einem Filter übereinstimmt, führt der Switch die im Begriff angegebene Aktion aus. Darüber hinaus können Sie Aktionsmodifikatoren zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen angeben. Wenn keine Übereinstimmungsbedingungen für den Begriff angegeben sind, akzeptiert der Switch das Paket standardmäßig.
In diesem Thema werden die verschiedenen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren beschrieben, die Sie in Firewall-Filtern auf QFX10000 Switches definieren können. Ähnliche Informationen zu anderen QFX-Switches finden Sie unter Bedingungen und Aktionen für Firewall-Filter (Switches der QFX- und EX-Serie).
Tabelle 1 Beschreibt die Übereinstimmungsbedingungen, die Sie beim Konfigurieren eines Firewallfilters angeben können. Bei einigen der Übereinstimmungsbedingungen für numerische Bereiche und Bitfelder können Sie ein Textsynonym angeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung anzuzeigen, geben Sie an der entsprechenden Stelle in einer Anweisung ein .
?
Tabelle 2 Zeigt die Aktionen an, die Sie in einem Begriff angeben können.
Tabelle 3 Zeigt die Aktionsmodifikatoren an, die Sie zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen verwenden können.
Übereinstimmungsbedingung |
Beschreibung |
Richtung und Schnittstelle |
---|---|---|
|
IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt. |
Ingress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
MAC-Adresse (Destination Media Access Control) des Pakets. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,, , , , , , , , , , , , , , , , , , , ,
|
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene . |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). |
|
Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
Eingangsports, VLANs und IPv4-Schnittstellen (inet). Ausgangsports, VLANs und IPv4-Schnittstellen (inet). |
|
Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:
|
Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6). |
|
IP-Fragmentierungs-Flags. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Hexadezimalwerte werden ebenfalls aufgelistet):
|
Eingangsports, VLANs und IPv4-Schnittstellen (inet). |
|
Stimmt mit dem angegebenen Hop-Limit oder dem Satz von Hop-Limits überein. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an. |
IPv6-Schnittstellen (inet6) für eingehenden und ausgehenden Datenverkehr. |
|
ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten abhängt, müssen Sie einen Wert für zusammen mit einem Wert für angeben.
|
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen |
|
ICMP-Nachrichtentypfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. IPv4:, , , , IPv6:, , , , Siehe auch . |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). |
|
Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen () als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen. HINWEIS:
Eine Schnittstelle, von der ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). |
|
IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt. |
Ingress-Ports, Egress-Ports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
Geben Sie an , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist. |
Eingangsports, VLANs und IPv4-Schnittstellen (inet). |
|
Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00). |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
IP-Protokoll-Feld. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
IPv4-Adresse des Quellknotens, der das Paket sendet. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle eintrifft. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist. |
Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
Entspricht den angegebenen IEEE 802.1p VLAN-Prioritätsbits im Bereich . |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
Stimmt mit der ID eines normalen VLANs oder der ID des äußeren (Service-)VLANs (für Q-in-Q-VLANs) überein. Um den Filterspeicher so effizient wie möglich zu nutzen und die Anzahl der möglichen Filter zu maximieren, verwenden Sie diese Bedingung zusätzlich zu dem Zeitpunkt, an dem Sie die innere (Kunden-)VLAN-ID abgleichen möchten. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
Legen Sie die Paketverlustpriorität (PLP) fest. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6). |
|
IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): ,, , , |
Ingress IPv6 (inet6)-Schnittstellen. IPv6-Ausgangsschnittstellen (inet6). |
|
Paketlänge in Bytes. Sie müssen eine Zahl zwischen 0 und 65535 eingeben. |
Ingress-Ports, VLANs, IPv4- (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
IP-Rangfolgebits im ToS-Byte (Type-of-Service) im IP-Header. (Dieses Byte kann auch für den DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):
|
Ingress-IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): ,, , , |
Ingress-IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat. |
Ingress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
MAC-Adresse (Source Media Access Control) des Pakets. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
TCP- oder UDP-Quellport. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene . |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). |
|
Pakete einer bestehenden TCP-Verbindung abgleichen. Diese Bedingung stimmt mit Paketen überein, die nicht zum Einrichten einer TCP-Verbindung verwendet werden, d. h., Drei-Wege-Handshake-Pakete werden nicht abgeglichen. Wenn Sie angeben , überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Ein oder mehrere TCP-Flags:
|
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag festgelegt ist und das TCP-Flag nicht festgelegt ist. Wenn Sie angeben , überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4. Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): , , , |
Ingress IPv6 (inet6)-Schnittstellen. IPv6-Ausgangsschnittstellen (inet6). |
|
IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen. |
Ingress-IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend |
|
Stimmt mit der ID des inneren (Kunden-)VLANs in einem Q-in-Q-VLAN überein. Um den Filterspeicher möglichst effizient zu nutzen und die Anzahl der möglichen Filter zu maximieren, verwenden Sie in Kombination mit , um die äußere (Service-)VLAN-ID abzugleichen. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
Use-Anweisungen, um Aktionen zu definieren, die ausgeführt werden sollen, wenn ein Paket alle Bedingungen in einer Anweisung erfüllt. Zeigt die Aktionen an, die Sie in einem Begriff angeben können. then
from
Tabelle 2 (Wenn Sie keine Anweisung angeben, akzeptiert das System Pakete, die dem Filter entsprechen.)then
Was |
Beschreibung |
---|---|
|
Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen. |
|
Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. |
|
Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den Aktionsmodifizierer. Sie können einen der folgenden Nachrichtentypen angeben: oder . Wenn Sie angeben , sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt, andernfalls wird nichts gesendet. Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet. HINWEIS:
Die Aktion wird nur auf Eingangsschnittstellen unterstützt. |
|
Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter. (Der einzige unterstützte Instance-Typ ist .) Pakete können an die Standardinstanz weitergeleitet werden. |
|
Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter. HINWEIS:
Die Aktion wird nur auf Eingangsschnittstellen unterstützt. HINWEIS:
Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt. |
Sie können auch die Aktionsmodifikatoren angeben, die unter zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen aufgeführt sind.Tabelle 3
Modifikator "Aktion" |
Beschreibung |
---|---|
|
Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen. |
|
Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:
HINWEIS:
Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren. |
|
Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl Betriebsmodus ein. HINWEIS:
Der Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt. |
|
Legen Sie die Paketverlustpriorität (PLP) fest. HINWEIS:
Der Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
|
Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung). Sie können einen Policer für Eingangs- und Ausgangsport-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
|
(ELS-Plattformen) Spiegeln des Datenverkehrs (Kopieren von Paketen) auf eine Ausgabeschnittstelle, die in einer Port-Spiegelungsinstanz auf Hierarchieebene konfiguriert ist. Sie können die Port-Spiegelung für Eingangs- und Ausgangs-Port-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben. |
|
(ELS-Plattformen) Spiegeln Sie den Datenverkehr auf eine Portspiegelungsinstanz, die auf Hierarchieebene konfiguriert ist. Sie können die Port-Spiegelung für Eingangs- und Ausgangs-Port-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben. HINWEIS:
|
|
Protokollieren Sie eine Warnung für dieses Paket. HINWEIS:
Der Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt. |
|
Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung). Sie können einen dreifarbigen Policer für Eingangs- und Ausgangsport-, VLAN-, IPv4- (inet) und IPv6-Filter (inet6) angeben. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |