EX 시리즈 스위치의 방화벽 필터 매치 조건, 동작 및 동작 수정

용어

패킷에 대한 필터링 기준을 정의합니다. 방화벽 필터의 각 용어는 일치 조건과 작업으로 구성됩니다. 방화벽 필터에서 단일 용어 또는 여러 용어를 정의할 수 있습니다. 여러 용어를 정의하는 경우 각 용어에는 고유한 이름이 있어야 합니다.

일치 조건

일치 조건을 정의하는 문자열( 라고 함 )로 구성됩니다.match statement 일치 조건은 패킷에 포함되어야 하는 값 또는 필드입니다. 용어에 대해 단일 일치 조건 또는 여러 일치 조건을 정의할 수 있습니다. 일치 조건을 정의하지 않도록 선택할 수도 있습니다. 용어에 대해 일치 조건이 지정되지 않은 경우, 기본적으로 모든 패킷이 일치합니다.

작업

패킷이 일치 조건에 지정된 모든 기준과 일치할 경우 스위치가 수행하는 작업을 지정합니다.

작업 수정자

패킷이 특정 용어의 일치 조건과 일치하는 경우 스위치가 수행하는 하나 이상의 작업을 지정합니다.

destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

ip-destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

ip6-destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

destination-mac-address mac-address

패킷의 대상 미디어 액세스 제어(MAC) 주소입니다.

와 같은 접두사를 사용하여 대상 MAC 주소를 정의할 수 있습니다.destination-mac-address 00:01:02:03:04:05/24 접두사를 지정하지 않으면 기본값 48이 사용됩니다.

destination-port number

TCP 또는 UDP 대상 필드. 일반적으로 이 일치 조건을 또는 일치 조건과 함께 지정하여 포트에서 어떤 프로토콜이 사용되는지 결정합니다.protocolip-protocol 의 경우 , 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있음).number

, , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

IP 대상 접두사 목록 필드입니다.

자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 정의합니다.[edit policy-options]

dot1q-tag number

이더넷 헤더의 태그 필드. 태그 값의 범위는 1에서 4095 사이입니다. 일치 조건과 일치 조건은 상호 배타적입니다.dot1q-tagvlan

user-vlan-id number

이더넷 헤더의 태그 필드. 태그 값의 범위는 1에서 4095 사이입니다. 일치 조건과 일치 조건은 상호 배타적입니다.user-vlan-idlearn-vlan-id

dot1q-user-priority number

태그가 지정된 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값의 범위는 0에서 7까지입니다.

의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).number

• background (1)- 배경

• best-effort (0)—최선의 노력

• controlled-load (4)- 제어된 하중

• excellent-load (3)- 우수한 하중

• network-control (7)- 네트워크 제어 예약된 트래픽

• standard (2)- 표준 또는 예비 부품

• video (5)—비디오

• voice (6)—목소리

user-vlan-1p-priority number

태그가 지정된 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값의 범위는 0에서 7까지입니다.

의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).number

• background (1)- 배경

• best-effort (0)—최선의 노력

• controlled-load (4)- 제어된 하중

• excellent-load (3)- 우수한 하중

• network-control (7)- 네트워크 제어 예약된 트래픽

• standard (2)- 표준 또는 예비 부품

• video (5)—비디오

• voice (6)—목소리

dscp number

DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).number

• - RFC 2598, 신속한 포워딩 PHB에 정의되어 있습니다.ef (46)http://www.ietf.org/rfc/rfc2598.txt

• , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

  , , , , , af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

  각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB Group의 12개 코드 포인트에 대해 정의됩니다.http://www.ietf.org/rfc/rfc2597.txt

ether-type value

패킷의 이더넷 유형 필드입니다. 이 값은 이더넷 프레임에서 전송되는 프로토콜을 지정합니다. 의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.value

• aarp- EtherType 값 AARP(0x80F3)

• appletalk—EtherType 값 AppleTalk(0x809B)

• arp- EtherType 값 ARP(0x0806)

• ipv4—EtherType 값 IPv4(0x0800)

• ipv6- EtherType 값 IPv6(0x08DD)

• mpls multicast- EtherType 값 MPLS 멀티캐스트(0x8848)

• mpls unicast—EtherType 값 MPLS 유니캐스트(0x8847)

• oam- EtherType 값 OAM(0x88A8)

• ppp—EtherType 값 PPP(0x880B)

• pppoe-discovery—EtherType 값 PPPoE 0x8863(Discovery Stage)

• pppoe-session—EtherType 값 PPPoE 세션 스테이지(0x8864)

• sna- EtherType 값 SNA(0x80D5)

fragment-flags fragment-flags

IP 단편화 플래그로, 기호 형식 또는 16진수 형식으로 지정됩니다. 다음 옵션 중 하나를 지정할 수 있습니다.

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

icmp-code number

ICMP 코드 필드입니다. 이 값 또는 옵션은 보다 더 구체적인 정보를 제공합니다.icmp-type 값의 의미는 연결된 에 따라 달라지므로 와 함께 지정해야 합니다.icmp-typeicmp-typeicmp-code 의 경우 , 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).number 옵션은 연결된 ICMP 유형별로 그룹화됩니다.

• —, parameter-problemip-header-bad (0)required-option-missing (1)

• —, , , redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• —, , , unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10)destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP 패킷 유형 필드입니다. 일반적으로 이 일치 조건을 또는 일치 조건과 함께 지정하여 포트에서 사용 중인 프로토콜을 결정합니다.protocolip-protocol 의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).number

, , , , echo-reply (0)echo-request (8)info-reply (16)info-request (15), , , mask-request (17)mask-reply (18)parameter-problem (12) , , , , redirect (5)router-advertisement (9)router-solicit (10)source-quench (4) , , , time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3)

interface interface-name

패킷이 수신되는 인터페이스입니다. 와일드카드 문자()를 인터페이스 이름의 일부로 지정할 수 있습니다.*

ip-options

IP 헤더에 옵션 필드가 있는지 확인합니다.

ip-version version match_condition(s)

포트 및 VLAN 방화벽 필터에 대한 IP 프로토콜의 버전입니다. 에 대한 값은 또는 일 수 있습니다.versionipv4ipv6

의 경우 , 다음 일치 조건 중 하나 이상을 지정할 수 있습니다.match_condition(s)

• , 또는 destination-addressip-destination-addressip6-destination-address

• destination-port

• destination-prefix-list

• dscp

• fragment-flags

• icmp-code

• icmp-type

• is-fragment

• precedence 또는 ip-precedence

• protocol 또는 ip-protocol

• source-address 또는 ip-source-address

• source-port

• source-prefix-list

• tcp-established

• tcp-flags

• tcp-initial

is-fragment

패킷이 후행 조각인 경우 이 일치 조건은 조각화된 패킷의 첫 번째 조각과 일치하지 않습니다. 두 용어를 사용하여 첫 번째 부분과 마지막 부분을 일치시킵니다.

l2-encap-type llc-non-snap

비서브넷 액세스 프로토콜(SNAP) 이더넷 캡슐화 유형에 대한 LLC(논리적 링크 제어) 계층 패킷에서 일치합니다.

next-header bytes

IPv6 헤더 바로 뒤에 오는 헤더 유형을 식별하는 8비트 프로토콜 필드입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

, , ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

수신된 패킷의 길이(바이트)입니다.

길이는 패킷 헤더를 포함한 IP 패킷만 참조하며, 레이어 2 캡슐화 오버헤드는 포함하지 않습니다.

precedence precedence

IP 우선 순위. 의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).precedence

, , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

ip-precedence precedence

IP 우선 순위. 의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).precedence

, , , , , , , critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

protocol list of protocol

IPv4 프로토콜 값. 의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.protocols

, , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

ip-protocol list of protocol

IPv4 프로토콜 값. 의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.protocols

, , , , , , egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) , , , , ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

source-address ip-address

IP 소스 주소 필드로, 패킷을 전송하는 소스 노드의 주소입니다. IPv6의 경우, source-address 필드의 길이는 128비트입니다. 필터 설명 구문은 RFC 2373, IP 버전 6 주소 지정 아키텍처에 설명된 IPv6 주소에 대한 텍스트 표현을 지원합니다.http://www.ietf.org/rfc/rfc2373.txt

ip-source-address (ip-address | ip6-address)

IP 소스 주소 필드로, 패킷을 전송하는 소스 노드의 주소입니다. IPv4 주소() 또는 IPv6 주소()를 지정할 수 있습니다.ip-addressip6-address IPv6의 경우 ip-source-address 필드의 길이는 128비트입니다. 필터 설명 구문은 RFC 2373, IP 버전 6 주소 지정 아키텍처에 설명된 IPv6 주소에 대한 텍스트 표현을 지원합니다.http://www.ietf.org/rfc/rfc2373.txt

source-mac-address mac-address

소스 MAC 주소입니다.

소스 MAC 주소를 다음과 같은 접두사로 정의할 수 있습니다.source-mac-address 00:01:02:03:04:05/24 접두사를 지정하지 않으면 기본값 48이 사용됩니다.

source-port number

TCP 또는 UDP 필드.source-port 일반적으로 또는 일치 조건과 함께 이 일치를 지정하여 포트에서 사용 중인 프로토콜을 결정합니다.protocolip-protocol 의 경우 , 아래에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.numberdestination-port

source-prefix-list prefix-list

IP 소스 접두사 목록 필드입니다.

자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 정의합니다.[edit policy-options]

tcp-established

설정된 TCP 연결의 TCP 패킷입니다. 이 조건은 연결의 첫 번째 패킷 이외의 패킷과 일치합니다. 는 비트 이름의 동의어입니다.tcp-established"(ack | rst)"

tcp-established 프로토콜이 TCP인지 여부를 암시적으로 확인하지 않습니다. 이렇게 하려면 일치 조건을 지정합니다 .next-header tcp

tcp-flags (flags tcp-initial)

하나 이상의 TCP 플래그:

• 비트 이름—, , , , finsynrstpushackurgent

• 논리 연산자 - (논리형 AND), (논리형 OR), (부정)&|!

• 숫자 값 - 0x01 - 0x20

• 텍스트 동의어—tcp-initial

여러 플래그를 지정하려면 논리 연산자를 사용합니다.

tcp-initial

연결의 첫 번째 TCP 패킷과 일치합니다. 는 비트 이름의 동의어입니다.tcp-initial"(syn&!ack)"

tcp-initial 프로토콜이 TCP인지 여부를 암시적으로 확인하지 않습니다. 이렇게 하려면 또는 일치 조건을 지정합니다.protocol tcpip-protocol tcp

traffic-class number

패킷에 대한 DSCP 코드 포인트를 지정합니다.

ttl value

일치시킬 TTL 유형입니다. 값의 범위는 1에서 255 사이입니다.

vlan (vlan-name | vlan-id)

패킷과 연결된 VLAN입니다. 의 경우 VLAN ID 또는 VLAN 범위를 지정할 수 있습니다.vlan-id 일치 조건과 일치 조건은 상호 배타적입니다.vlandot1q-tag

learn-vlan-id (vlan-name | vlan-id)

패킷과 연결된 VLAN입니다. 의 경우 VLAN ID 또는 VLAN 범위를 지정할 수 있습니다.vlan-id 일치 조건과 일치 조건은 상호 배타적입니다.vlanuser-vlan-id

accept

패킷을 수락합니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다.

reject message-type

패킷을 버리고 ICMPv4 메시지(유형 3) 를 보냅니다.destination unreachable 작업 수정자를 구성 하면 거부된 패킷을 기록할 수 있습니다.syslog

다음 메시지 코드 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset를 입력합니다.

를 지정하면 패킷이 TCP 패킷인 경우 TCP 재설정이 반환됩니다.tcp-reset 그렇지 않으면 아무 것도 반환되지 않습니다.

메시지 유형을 지정하지 않으면 ICMP 알림 이 기본 메시지 와 함께 전송됩니다.destination unreachablecommunication administratively filtered

routing-instance routing-instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다.

vlan vlan-name

일치하는 패킷을 특정 VLAN으로 전달합니다. 작업이 옵션을 지원하지 않으므로 VLAN 이름 또는 VLAN ID를 지정하고 VLAN 범위를 지정하지 않아야 합니다.vlanvlan-range

analyzer analyzer-name

프로토콜 분석기 애플리케이션에 연결된 지정된 대상 포트 또는 VLAN에 대한 포트 트래픽 미러링 미러링은 한 스위치 포트에서 보이는 모든 패킷을 다른 스위치 포트의 네트워크 모니터링 연결로 복사합니다. 분석기 이름은 에서 구성해야 합니다.[edit ethernet-switching-options analyzer]

dscp number

일치하는 패킷의 DSCP 값을 이 작업 수정자로 지정된 DSCP 값으로 변경합니다. DSCP(Differentiated Services Code Point)를 지정합니다.number DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

의 경우 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).number

• - RFC 2598, 신속한 포워딩 PHB에 정의되어 있습니다.ef (46)http://www.ietf.org/rfc/rfc2598.txt

• , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

  , , , , , af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

  각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB Group의 12개 코드 포인트에 대해 정의됩니다.http://www.ietf.org/rfc/rfc2597.txt

count counter-name

이 필터, 용어 또는 폴리서를 통과하는 패킷 수를 카운트합니다. 폴리서를 사용하면 스위치의 인터페이스로 들어오는 트래픽에 대한 속도 제한을 지정할 수 있습니다.

forwarding-class class

다음 포워딩 클래스 중 하나에서 패킷을 분류합니다.

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

interface interface-name

스위칭 조회를 우회하여 트래픽을 지정된 인터페이스로 전달합니다.

log

라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 CLI에서 명령을 실행합니다 .show firewall log

loss-priority (high | low)

패킷 손실 우선순위(PLP)를 설정합니다.

policer policer-name

트래픽에 속도 제한을 적용합니다.

포트, VLAN, 라우터의 수신 트래픽에 대해서만 방화벽 필터에서 폴리서를 지정할 수 있습니다.

port-mirror

계층에 정의된 인터페이스에 패킷을 미러링합니다 .[edit forwarding-options analyzer]

port-mirror-instance instance-name

계층에 정의된 인스턴스로 패킷을 미러링합니다 .[edit forwarding-options analyzer]

syslog

이 패킷에 대한 경고를 기록합니다. 저장 및 분석을 위해 로그를 서버로 보내도록 지정할 수 있습니다.

three-color-policer

3색 폴리서를 적용합니다.