Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX

Cuando define un filtro de firewall para un conmutador de la serie EX, define criterios de filtrado (termscon ) para los paquetes y un action (y, opcionalmente, un action modifier) para que el conmutador tome si los paquetes coinciden con match conditionslos criterios de filtrado. Puede definir un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP.

En este tema se describen detalladamente las distintas condiciones de coincidencia, acciones y modificadores de acción que puede definir en un filtro de firewall. Para obtener información acerca de la compatibilidad con condiciones de coincidencia en varios conmutadores de la serie EX, consulte Compatibilidad de plataforma para condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción en conmutadores de la serie EX.

Elementos de filtro de firewall

Una configuración de filtro de firewall contiene un término, una condición de coincidencia, una acción y, opcionalmente, un modificador de acción. Tabla 1 describe cada elemento en una configuración de filtro de firewall.

Tabla 1: Elementos de una configuración de filtro de firewall

Nombre del elemento

Descripción

Término

Define los criterios de filtrado para los paquetes. Cada término del filtro de firewall consta de condiciones de coincidencia y una acción. Puede definir un solo término o varios términos en el filtro de firewall. Si define varios términos, cada término debe tener un nombre único.

Condición de coincidencia

Consta de una cadena (denominada a match statement) que define la condición de coincidencia. Las condiciones de coincidencia son los valores o campos que un paquete debe contener. Puede definir una sola condición de coincidencia o varias condiciones de coincidencia para un término. También puede optar por no definir una condición de coincidencia. Si no se especifica ninguna condición de coincidencia para un término, todos los paquetes se coincidirán de forma predeterminada.

Acción

Especifica la acción que realiza el conmutador si un paquete coincide con todos los criterios especificados en las condiciones de coincidencia.

Modificador de acción

Especifica una o más acciones que toma el conmutador si un paquete coincide con las condiciones de coincidencia para el término específico.

Condiciones de coincidencia compatibles con conmutadores

Según el tipo de tráfico que desea supervisar, puede configurar un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP. Cuando configure un filtro de firewall para supervisar un tipo determinado de tráfico, asegúrese de especificar condiciones de coincidencia compatibles con ese tipo de tráfico. Para obtener información acerca de las condiciones de coincidencia compatibles con un tipo específico de tráfico y conmutadores en los que se admiten, consulte Compatibilidad de plataforma para condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción en conmutadores de la serie EX.

Tabla 2 describe todas las condiciones de coincidencia compatibles con filtros de firewall en conmutadores de la serie EX.

Tabla 2: Condiciones de coincidencia de filtro de firewall compatibles con conmutadores de la serie EX

Condición de coincidencia

Descripción

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

ip-destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

ip6-destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

destination-mac-address mac-address

Dirección de control de acceso de medios de destino (MAC) del paquete.

Puede definir una dirección MAC de destino con un prefijo, como destination-mac-address 00:01:02:03:04:05/24. Si no se especifica ningún prefijo, se utilizará el valor predeterminado 48.

destination-port number

Campo de puerto de destino TCP o UDP. Normalmente, especifica esta condición de coincidencia junto con la protocol condición de coincidencia o ip-protocol para determinar qué protocolo se utiliza en el puerto. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP.

Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el [edit policy-options] nivel de jerarquía.

dot1q-tag number

El campo de etiqueta en el encabezado Ethernet. Los valores de etiqueta van del 1 al 4095. La dot1q-tag condición de coincidencia y la vlan condición de coincidencia son mutuamente exclusivas.

user-vlan-id number

El campo de etiqueta en el encabezado Ethernet. Los valores de etiqueta van del 1 al 4095. La user-vlan-id condición de coincidencia y la learn-vlan-id condición de coincidencia son mutuamente exclusivas.

dot1q-user-priority number

Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden variar del 0 al 7.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • background (1)—Antecedentes

  • best-effort (0)—El mejor esfuerzo

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Excelente carga

  • network-control (7)—Control de red de tráfico reservado

  • standard (2)— Estándar o de repuesto

  • video (5)—Video

  • voice (6)—Voz

user-vlan-1p-priority number

Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden variar del 0 al 7.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • background (1)—Antecedentes

  • best-effort (0)—El mejor esfuerzo

  • controlled-load (4)— Carga controlada

  • excellent-load (3)— Excelente carga

  • network-control (7)—Control de red de tráfico reservado

  • standard (2)— Estándar o de repuesto

  • video (5)—Video

  • voice (6)—Voz

dscp number

Especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • ef (46)— como se define en RFC 2598, Un PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de caída en cada clase, se definen para 12 puntos de código en RFC 2597, Grupo PHB de reenvío garantizado.

ether-type value

Campo de tipo Ethernet de un paquete. El valor especifica qué protocolo se está transportando en la trama Ethernet. Para value, puede especificar uno de los siguientes sinónimos de texto:

  • aarp—Valor EtherType AARP (0x80F3)

  • appletalk— Valor EtherType AppleTalk (0x809B)

  • arp— ARP de valor EtherType (0x0806)

  • ipv4— Valor EtherType IPv4 (0x0800)

  • ipv6— Valor EtherType IPv6 (0x08DD)

  • mpls multicast— Multidifusión MPLS de valor EtherType (0x8848)

  • mpls unicast— Valor EtherType unidifusión MPLS (0x8847)

  • oam—Valor EtherType OAM (0x88A8)

  • ppp—Ppp de valor EtherType (0x880B)

  • pppoe-discovery— Etapa de descubrimiento PPPoE de valor EtherType (0x8863)

  • pppoe-session— Etapa de sesión PPPoE de valor EtherType (0x8864)

  • sna—Valor EtherType SNA (0x80D5)

Nota:

No se admiten las siguientes condiciones de coincidencia cuando ether-type se establece en ipv6:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence O ip-precedence

  • protocol O ip-protocol

fragment-flags fragment-flags

Indicadores de fragmentación IP, especificados en formatos simbólicos o hexadecimales. Puede especificar una de las siguientes opciones:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Haga coincidir la etiqueta de destino para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Micro y segmentación de macro mediante políticas basadas en grupos en una VXLAN
gbp-src-tag Haga coincidir la etiqueta de origen para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Micro y segmentación de macro mediante políticas basadas en grupos en una VXLAN

icmp-code number

Campo de código ICMP. Este valor u opción proporciona información más específica que icmp-type. Dado que el significado del valor depende del asociado icmp-type, debe especificar icmp-type junto con icmp-code. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las opciones se agrupan por el tipo ICMP con el que están asociadas:

  • parameter-problemip-header-bad (0), required-option-missing (1)

  • redirectredirect-for-host (1), redirect-for-network (0), , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), , host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), , network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), , source-host-isolated (8), source-route-failed (5)

icmp-type number

Campo de tipo de paquete ICMP. Normalmente, especifica esta condición de coincidencia junto con la protocol condición de coincidencia o ip-protocol para determinar qué protocolo se utiliza en el puerto. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Interfaz en la que se recibe el paquete. Puede especificar el carácter comodín (*) como parte de un nombre de interfaz.

Nota:

La interface condición de coincidencia no se admite para el tráfico de salida en un Virtual Chassis EX8200.

ip-options

Presencia del campo de opciones en el encabezado IP.

ip-version version match_condition(s)

Versión del protocolo IP para filtros de puerto y firewall VLAN. El valor para version puede ser ipv4 o ipv6.

Para match_condition(s), puede especificar una o varias de las siguientes condiciones de coincidencia:

  • destination-address, ip-destination-addresso ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence O ip-precedence

  • protocol O ip-protocol

  • source-address O ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Si el paquete es un fragmento final, esta condición de coincidencia no coincide con el primer fragmento de un paquete fragmentado. Utilice dos términos para hacer coincidir los fragmentos primero y final.

Nota:

Debido a una limitación en los conmutadores EX2300, EX3400 y EX4300, esta condición de coincidencia no coincide con el último fragmento de un paquete fragmentado cuando se aplica a la "conmutación ethernet familiar".

l2-encap-type llc-non-snap

Coincidencia en paquetes de capa de control de vínculo lógico (LLC) para el tipo de encapsulación Ethernet del protocolo de acceso no subred (SNAP).

next-header bytes

Campo de protocolo de 8 bits que identifica el tipo de encabezado inmediatamente después del encabezado IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Longitud del paquete recibido, en bytes.

La longitud se refiere solo al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

precedence precedence

Prioridad IP. Para precedence, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

Prioridad IP. Para precedence, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

Valor del protocolo IPv4. Para protocols, puede especificar uno de los siguientes sinónimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

Valor del protocolo IPv4. Para protocols, puede especificar uno de los siguientes sinónimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

Campo de dirección de origen IP, que es la dirección del nodo de origen que envía el paquete. Para IPv6, el campo de dirección de origen tiene 128 bits de longitud. La sintaxis de descripción del filtro admite las representaciones de texto para direcciones IPv6 que se describen en RFC 2373, Arquitectura de direccionamiento de la versión 6 de IP.

ip-source-address (ip-address | ip6-address)

Campo de dirección de origen IP, que es la dirección del nodo de origen que envía el paquete. Puede especificar una dirección IPv4 (ip-address) o una dirección IPv6 (ip6-address). Para IPv6, el campo ip-source-address tiene 128 bits de longitud. La sintaxis de descripción del filtro admite las representaciones de texto para direcciones IPv6 que se describen en RFC 2373, Arquitectura de direccionamiento de la versión 6 de IP.

source-mac-address mac-address

Dirección MAC de origen.

Puede definir una dirección MAC de origen con un prefijo, como source-mac-address 00:01:02:03:04:05/24. Si no se especifica ningún prefijo, se utilizará el valor predeterminado 48.

source-port number

Campo TCP o UDP source-port . Normalmente, especifica esta coincidencia junto con la protocol condición o ip-protocol coincidencia para determinar qué protocolo se utiliza en el puerto. Para number, puede especificar uno de los sinónimos de texto enumerados en destination-port.

source-prefix-list prefix-list

Campo de lista de prefijos de origen IP.

Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el [edit policy-options] nivel de jerarquía.

tcp-established

Paquetes TCP de una conexión TCP establecida. Esta condición coincide con paquetes distintos del primer paquete de una conexión. tcp-established es un sinónimo de los nombres "(ack | rst)"de bits.

tcp-established no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la condición de next-header tcp coincidencia.

tcp-flags (flags tcp-initial)

Una o más marcas TCP:

  • nombre de bit—fin , syn, rst, push, , ackurgent

  • operadores lógicos:& (AND lógico), | (OR lógico), ! (negación)

  • valor numérico: 0x01 a 0x20

  • sinónimo de texto:tcp-initial

Para especificar varias marcas, utilice operadores lógicos.

tcp-initial

Hace coincidir el primer paquete TCP de una conexión. tcp-initial es un sinónimo de los nombres "(syn&!ack)"de bits.

tcp-initial no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la condición o ip-protocol tcp la protocol tcp condición de coincidencia.

traffic-class number

Especifica el punto de código DSCP para un paquete.

ttl value

Tipo de TTL para que coincida. El valor varía del 1 al 255.

vlan (vlan-name | vlan-id)

La VLAN que está asociada con el paquete. Para vlan-id, puede especificar el ID de VLAN o un intervalo de VLAN. La vlan condición de coincidencia y la dot1q-tag condición de coincidencia son mutuamente exclusivas.

learn-vlan-id (vlan-name | vlan-id)

La VLAN que está asociada con el paquete. Para vlan-id, puede especificar el ID de VLAN o un intervalo de VLAN. La vlan condición de coincidencia y la user-vlan-id condición de coincidencia son mutuamente exclusivas.

Acciones para filtros de firewall

Puede definir una acción para que el conmutador realice si un paquete coincide con los criterios de filtrado definidos en una condición de coincidencia. Tabla 3 describe las acciones admitidas en una configuración de filtro de firewall.

Tabla 3: Acciones para filtros de firewall

Acción

Descripción

accept

Acepte un paquete.

discard

Descarte un paquete de forma silenciosa sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe el mensaje ICMPv4 (tipo 3). destination unreachable Puede registrar los paquetes rechazados si configura el modificador de syslog acción.

Puede especificar uno de los siguientes códigos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Si especifica tcp-reset, se devuelve un restablecimiento tcp si el paquete es un paquete TCP. De lo contrario, no se devuelve nada.

Si no especifica un tipo de mensaje, la notificación destination unreachable ICMP se envía con el mensaje communication administratively filteredpredeterminado.

routing-instance routing-instance-name

Reenviar paquetes coincidentes a una instancia de enrutamiento virtual.

Nota:

Los conmutadores EX4200 no admiten la redirección basada en filtros de firewall a la instancia de enrutamiento predeterminada.

vlan vlan-name

Reenvía paquetes coincidentes a una VLAN específica. Asegúrese de especificar el nombre de VLAN o el ID de VLAN y no un intervalo de VLAN, ya que la vlan acción no admite la vlan-range opción.

Nota:

Si ha definido una VLAN que está habilitada para la tunelización dot1q, esa VLAN determinada no se admite como una acción (mediante la vlan vlan-name acción) para un filtro de firewall de VLAN de entrada.

Modificadores de acción para filtros de firewall

Además de las acciones descritas en Tabla 3, puede definir modificadores de acción en una configuración de filtro de firewall para un conmutador si los paquetes coinciden con los criterios de filtrado definidos en la condición de coincidencia. Tabla 4 Describe los modificadores de acción admitidos en una configuración de filtro de firewall.

Tabla 4: Modificadores de acción para filtros de firewall

Modificador de acción

Descripción

analyzer analyzer-name

Duplicación del tráfico de puerto a un puerto de destino o VLAN especificado que está conectado a una aplicación de analizador de protocolos. La duplicación copia todos los paquetes vistos en un puerto de conmutador a una conexión de supervisión de red en otro puerto de conmutador. El nombre del analizador debe configurarse en [edit ethernet-switching-options analyzer].

Nota:

analyzer no es un modificador de acción compatible para una interfaz de administración.

Nota:

En conmutadores EX4500, solo puede configurar un analizador e incluirlo en un filtro de firewall. Si configura varios analizadores, no puede incluir ninguno de esos analizadores en un filtro de firewall.

dscp number

Cambie el valor DSCP de los paquetes coincidentes al valor DSCP especificado con este modificador de acción. number especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • ef (46)— como se define en RFC 2598, Un PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de caída en cada clase, se definen para 12 puntos de código en RFC 2597, Grupo PHB de reenvío garantizado.

count counter-name

Cuente la cantidad de paquetes que pasan este filtro, término o agente de policía. Un agente de policía le permite especificar límites de velocidad en el tráfico que entra en una interfaz en un conmutador.

Nota:

En los conmutadores EX4300, puede configurar la misma cantidad de contadores y agentes de policía que el número de términos en la memoria direccionable de contenido ternario (TCAM).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (solo EX4400 y EX4650) Establezca la etiqueta de origen de política basada en grupos (0.65535) para su uso con microsegmentación en VXLAN, como se describe a continuación: Ejemplo: Micro y segmentación de macro mediante políticas basadas en grupos en una VXLAN

interface interface-name

Reenvíe el tráfico a la interfaz especificada que omite la búsqueda de conmutación.

log

Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ejecute el show firewall log comando en la CLI.

Nota:

Si el log modificador de acción o syslog está configurado junto con una vlan acción o un interface modificador de acción, es posible que los eventos no se registren. Sin embargo, la funcionalidad de la interfaz de redireccionamiento funciona según lo esperado.

loss-priority (high | low)

Establezca la prioridad de pérdida de paquetes (PLP).

policer policer-name

Aplique límites de velocidad al tráfico.

Puede especificar un agente de policía en un filtro de firewall solo para el tráfico de entrada en un puerto, VLAN y enrutador.

Nota:

No se admite un contador para un policía en conmutadores EX8200.

Nota:

En los conmutadores EX4300, puede configurar la misma cantidad de contadores y agentes de policía que la cantidad de términos en el TCAM.

port-mirror

Espejado de paquetes a la interfaz definida en la [edit forwarding-options analyzer] jerarquía.

port-mirror-instance instance-name

Espejado de paquetes a la instancia definida en la [edit forwarding-options analyzer] jerarquía.

syslog

Registre una alerta para este paquete. Puede especificar que el registro se envíe a un servidor para el almacenamiento y el análisis.

Nota:

Si el log modificador de acción o syslog está configurado junto con una vlan acción o un interface modificador de acción, es posible que los eventos no se registren. Sin embargo, la funcionalidad de la interfaz de redireccionamiento funciona según lo esperado.

three-color-policer

Aplique un aplicador de tres colores.