Condiciones de coincidencia de filtros de firewall, acciones y modificadores de acción para conmutadores de la serie EX

Cuando se define un filtro de firewall para un conmutador de la serie EX, se definen criterios de filtrado (termscon match conditions) para los paquetes y un action (y, opcionalmente, un action modifier) para el conmutador para tomar si los paquetes coinciden con los criterios de filtrado. Puede definir un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP.

En este tema, se describen en detalle las diversas condiciones de coincidencia, acciones y modificadores de acciones que puede definir en un filtro de firewall. Para obtener más información acerca de la compatibilidad con condiciones de coincidencia en varios conmutadores de la serie EX, consulte Soporte de plataforma para condiciones de coincidencia de filtros de firewall, acciones y modificadores de acción en conmutadores de la serie EX.

Elementos de filtro de firewall

Una configuración de filtro de firewall contiene un término, una condición de coincidencia, una acción y, opcionalmente, un modificador de acción. Tabla 1 describe cada elemento en la configuración de un filtro de firewall.

Tabla 1: Elementos de una configuración de filtro de firewall
Nombre del elemento	Descripción
Término	Define los criterios de filtrado para los paquetes. Cada término del filtro de firewall consta de condiciones de coincidencia y una acción. Puede definir un solo término o varios términos en el filtro de firewall. Si define varios términos, cada término debe tener un nombre único.
Condición de coincidencia	Consta de una cadena (llamada `match statement`a ) que define la condición de coincidencia. Las condiciones de coincidencia son los valores o campos que debe contener un paquete. Puede definir una condición de coincidencia única o varias condiciones de coincidencia para un término. También puede optar por no definir una condición de coincidencia. Si no se especifican condiciones de coincidencia para un término, todos los paquetes se coincidirán de forma predeterminada.
Acción	Especifica la acción que realiza el conmutador si un paquete coincide con todos los criterios especificados en las condiciones de coincidencia.
Modificador de acción	Especifica una o más acciones que el conmutador realiza si un paquete coincide con las condiciones de coincidencia para el término específico.

Condiciones de coincidencia compatibles con conmutadores

Según el tipo de tráfico que desee supervisar, puede configurar un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP. Cuando configure un filtro de firewall para supervisar un tipo determinado de tráfico, asegúrese de especificar condiciones de coincidencia compatibles compatibles con ese tipo de tráfico. Para obtener más información acerca de las condiciones de coincidencia compatibles con un tipo específico de tráfico y conmutadores en los que se admiten, consulte Compatibilidad de plataforma para condiciones, acciones y modificadores de acciones de coincidencia de filtros de firewall en conmutadores de la serie EX.

Tabla 2 describe todas las condiciones de coincidencia compatibles con los filtros de firewall en los conmutadores de la serie EX.

Tabla 2: Condiciones de coincidencia del filtro de firewall compatibles con conmutadores de la serie EX
Condición de coincidencia	Descripción
`destination-address ip-address`	Campo de dirección de destino IP, que es la dirección del nodo de destino final.
`ip-destination-address ip-address`	Campo de dirección de destino IP, que es la dirección del nodo de destino final.
`ip6-destination-address ip-address`	Campo de dirección de destino IP, que es la dirección del nodo de destino final.
destination-mac-address `mac-address`	Dirección MAC de destino del paquete. Puede definir una dirección MAC de destino con un prefijo, como `destination-mac-address 00:01:02:03:04:05/24`. Si no se especifica ningún prefijo, se utiliza el valor predeterminado 48.
destination-port `number`	Campo de puerto de destino TCP o UDP. Normalmente, se especifica esta condición de coincidencia junto con la `protocol` condición o ip-protocol de coincidencia para determinar qué protocolo se utiliza en el puerto. Para `number`, puede especificar uno de los siguientes sinónimos de texto (los números de puerto también se enumeran): afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)
destination-prefix-list `prefix-list`	Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el `[edit policy-options]` nivel jerárquico.
`dot1q-tag number`	El campo de etiqueta en el encabezado de Ethernet. Los valores de etiqueta oscilan entre 1 y 4095. La `dot1q-tag` condición de coincidencia y la vlan condición de coincidencia son mutuamente excluyentes.
`user-vlan-id number`	El campo de etiqueta en el encabezado de Ethernet. Los valores de etiqueta oscilan entre 1 y 4095. La `user-vlan-id` condición de coincidencia y la `learn-vlan-id` condición de coincidencia son mutuamente excluyentes.
dot1q-user-priority `number`	Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden variar del 0 al 7. Para `number`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): background (1)—Contexto best-effort (0)—El mejor esfuerzo controlled-load (4)—Carga controlada excellent-load (3)—Carga excelente network-control (7)—Tráfico reservado de control de red standard (2)—Estándar o de repuesto video (5)—Video voice (6)—Voz
user-vlan-1p-priority `number`	Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden variar del 0 al 7. Para `number`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): background (1)—Contexto best-effort (0)—El mejor esfuerzo controlled-load (4)—Carga controlada excellent-load (3)—Carga excelente network-control (7)—Tráfico reservado de control de red standard (2)—Estándar o de repuesto video (5)—Video voice (6)—Voz
dscp `number`	Especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP. Puede especificar DSCP en forma hexadecimal, binario o decimal. Para `number`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): ef (46)—como se define en el RFC 2598, PHB de reenvío acelerado. af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38) Estas cuatro clases, con tres precedencias de caída en cada clase, se definen para 12 puntos de código en el RFC 2597, Grupo PHB de reenvío garantizado.
ether-type `value`	Campo tipo Ethernet de un paquete. El valor especifica qué protocolo se transporta en la trama Ethernet. Para `value`, puede especificar uno de los sinónimos de texto siguientes: aarp—Valor EtherType AARP (0x80F3) appletalk—Valor EtherType AppleTalk (0x809B) arp—Valor EtherType ARP (0x0806) ipv4—Valor EtherType IPv4 (0x0800) ipv6—Valor EtherType IPv6 (0x08DD) mpls multicast—Valor EtherType MPLS multidifusión (0x8848) mpls unicast—Valor EtherType de unidifusión MPLS (0x8847) oam—Valor EtherType OAM (0x88A8) ppp—Valor EtherType PPP (0x880B) pppoe-discovery—Etapa de descubrimiento ppPoE del valor EtherType (0x8863) pppoe-session—Valor EtherType PPPoE Etapa de sesión (0x8864) sna—Valor EtherType SNA (0x80D5) Nota: No se admiten las siguientes condiciones de coincidencia cuando ether-type se establece en ipv6: dscp fragment-flags is-fragment `precedence` O `ip-precedence` `protocol` O `ip-protocol`
fragment-flags `fragment-flags`	Indicadores de fragmentación de IP, especificados en formatos simbólicos o hexadecimales. Puede especificar una de las siguientes opciones: dont-fragment (0x4000) more-fragments (0x2000) reserved (0x8000)
gbp-dst-tag	Haga coincidir la etiqueta de destino, para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN
gbp-src-tag	Haga coincidir la etiqueta de origen, para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN
icmp-code `number`	Campo de código ICMP. Este valor u opción proporciona información más específica que icmp-type. Dado que el significado del valor depende del asociado icmp-type, debe especificar icmp-type junto con icmp-code. Para `number`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se muestran). Las opciones se agrupan por el tipo ICMP con el que están asociadas: parameter-problem—ip-header-bad (0), required-option-missing (1) redirect—redirect-for-host (1), redirect-for-network (0), , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2) time-exceeded—ttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0) unreachable—communication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4)host-precedence-violation (14), , host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), , protocol-unreachable (2), , source-host-isolated (8)source-route-failed (5)
icmp-type `number`	Campo de tipo de paquete ICMP. Normalmente, se especifica esta condición de coincidencia junto con la `protocol` condición de coincidencia para `ip-protocol` determinar qué protocolo se utiliza en el puerto. Para `number`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)
interface `interface-name`	Interfaz en la que se recibe el paquete. Puede especificar el carácter comodín (*) como parte de un nombre de interfaz. Nota: La interface condición de coincidencia no se admite para el tráfico de salida en un Virtual Chassis EX8200.
ip-options	Presencia del campo de opciones en el encabezado IP.
ip-version `version` `match_condition(s)`	Versión del protocolo IP para filtros de puerto y firewall VLAN. El valor de `version` puede ser ipv4 o ipv6. Para `match_condition(s)`, puede especificar una o más de las siguientes condiciones de coincidencia: `destination-address`, `ip-destination-address`o `ip6-destination-address` destination-port destination-prefix-list dscp fragment-flags icmp-code icmp-type is-fragment `precedence` O `ip-precedence` `protocol` O `ip-protocol` `source-address` O `ip-source-address` source-port source-prefix-list tcp-established tcp-flags tcp-initial
is-fragment	Si el paquete es un fragmento final, esta condición de coincidencia no coincide con el primer fragmento de un paquete fragmentado. Utilice dos términos para coincidir con los fragmentos primero y final. Nota: Debido a una limitación en los conmutadores EX2300, EX3400 y EX4300, esta condición de coincidencia no coincide con el último fragmento de un paquete fragmentado cuando se aplica a "conmutación Ethernet de familia".
l2-encap-type llc-non-snap	Coincidencia en paquetes de capa de control de vínculos lógicos (LLC) para el tipo de encapsulación Ethernet del Protocolo de acceso no subred (SNAP).
next-header `bytes`	Campo de protocolo de 8 bits que identifica el tipo de encabezado inmediatamente siguiente al encabezado IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)
packet-length `bytes`	Longitud del paquete recibido, en bytes. La longitud se refiere solo al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.
`precedence precedence`	Precedencia de IP. Para `precedence`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)
`ip-precedence precedence`	Precedencia de IP. Para `precedence`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)
`protocol list of protocol`	Valor de protocolo IPv4. Para `protocols`, puede especificar uno de los sinónimos de texto siguientes: egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)
`ip-protocol list of protocol`	Valor de protocolo IPv4. Para `protocols`, puede especificar uno de los sinónimos de texto siguientes: egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)
source-address `ip-address`	Campo de dirección ip de origen, que es la dirección del nodo de origen que envía el paquete. Para IPv6, el campo de dirección de origen tiene 128 bits de longitud. La sintaxis de la descripción del filtro admite las representaciones de texto para direcciones IPv6 que se describen en rfc 2373, arquitectura de direccionamiento IP versión 6.
`ip-source-address (ip-address \| ip6-address)`	Campo de dirección ip de origen, que es la dirección del nodo de origen que envía el paquete. Puede especificar una dirección IPv4 (`ip-address`) o una dirección IPv6 (`ip6-address`). Para IPv6, el campo ip-source-address tiene 128 bits de longitud. La sintaxis de la descripción del filtro admite las representaciones de texto para direcciones IPv6 que se describen en rfc 2373, arquitectura de direccionamiento IP versión 6.
source-mac-address `mac-address`	Dirección MAC de origen. Puede definir una dirección MAC de origen con un prefijo, como `source-mac-address 00:01:02:03:04:05/24`. Si no se especifica ningún prefijo, se utiliza el valor predeterminado 48.
source-port `number`	Campo TCP o UDP source-port . Normalmente, se especifica esta coincidencia junto con la `protocol` condición o ip-protocol coincidencia para determinar qué protocolo se utiliza en el puerto. Para `number`, puede especificar uno de los sinónimos de texto enumerados en destination-port.
source-prefix-list `prefix-list`	Campo de lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el `[edit policy-options]` nivel jerárquico.
tcp-established	Paquetes TCP de una conexión TCP establecida. Esta condición coincide con paquetes distintos del primer paquete de una conexión. tcp-established es un sinónimo de los nombres "(ack \| rst)"de bits. tcp-established no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la condición de next-header tcp coincidencia.
tcp-flags (`flags` tcp-initial)	Uno o más indicadores TCP: bit-name—fin, syn, rst, push, , ackurgent operadores lógicos—& (Y lógicos), \| (or lógicos), ! (negación) valor numérico: 0x01 mediante 0x20 sinónimo de texto—tcp-initial Para especificar varios indicadores, utilice operadores lógicos.
tcp-initial	Hace coincidir el primer paquete TCP de una conexión. tcp-initial es un sinónimo de los nombres "(syn&!ack)"de bits. tcp-initial no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la `protocol tcp` condición o ip-protocol tcp coincide.
traffic-class `number`	Especifica el punto de código DSCP para un paquete.
ttl `value`	Tipo TTL para coincidir. El valor oscila entre 1 y 255.
`vlan (vlan-name \| vlan-id)`	La VLAN que está asociada con el paquete. Para `vlan-id`, puede especificar el ID de VLAN o un intervalo de VLAN. La vlan condición de coincidencia y la dot1q-tag condición de coincidencia son mutuamente excluyentes.
`learn-vlan-id (vlan-name \| vlan-id)`	La VLAN que está asociada con el paquete. Para `vlan-id`, puede especificar el ID de VLAN o un intervalo de VLAN. La vlan condición de coincidencia y la user-vlan-id condición de coincidencia son mutuamente excluyentes.

Acciones para filtros de firewall

Puede definir una acción para que el conmutador realice si un paquete coincide con los criterios de filtrado definidos en una condición de coincidencia. Tabla 3 describe las acciones admitidas en la configuración de un filtro de firewall.

Tabla 3: Acciones para filtros de firewall
Acción	Descripción
accept	Aceptar un paquete.
discard	Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).
reject `message-type`	Descartar un paquete y enviar el mensaje ICMPv4 (tipo 3) destination unreachable. Puede registrar los paquetes rechazados si configura el modificador de acción syslog . Puede especificar uno de los siguientes códigos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. Si especifica tcp-reset, se devuelve un restablecimiento TCP si el paquete es un paquete TCP. De lo contrario, no se devuelve nada. Si no especifica un tipo de mensaje, la notificación destination unreachable ICMP se envía con el mensaje communication administratively filteredpredeterminado .
routing-instance `routing-instance-name`	Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual. Nota: Los conmutadores EX4200 no admiten la redirección basada en filtros de firewall a la instancia de enrutamiento predeterminada.
vlan `vlan-name`	Reenviar paquetes coincidentes a una VLAN específica. Asegúrese de especificar el nombre de VLAN o id de VLAN y no un intervalo de VLAN, ya que la vlan acción no admite la `vlan-range` opción. Nota: Si ha definido una VLAN habilitada para la tunelización dot1q, esa VLAN en particular no se admite como una acción (mediante la vlan `vlan-name` acción) para un filtro de firewall de entrada de VLAN.

Modificadores de acción para filtros de firewall

Además de las acciones descritas en Tabla 3, puede definir modificadores de acciones en una configuración de filtro de firewall para un conmutador si los paquetes coinciden con los criterios de filtrado definidos en la condición de coincidencia. Tabla 4 Describe los modificadores de acciones admitidos en una configuración de filtro de firewall.

Tabla 4: Modificadores de acción para filtros de firewall
Modificador de acción	Descripción
analyzer `analyzer-name`	Espejo de tráfico de puerto en un puerto de destino o VLAN especificado que esté conectado a una aplicación de analizador de protocolos. La duplicación copia todos los paquetes vistos en un puerto de conmutación a una conexión de monitoreo de red en otro puerto de conmutación. El nombre del analizador debe configurarse en `[edit ethernet-switching-options analyzer]`. Nota: analyzer no es un modificador de acción compatible para una interfaz de administración. Nota: En conmutadores EX4500, solo puede configurar un analizador e incluirlo en un filtro de firewall. Si configura varios analizadores, no puede incluir ninguno de esos analizadores en un filtro de firewall.
`dscp number`	Cambie el valor DSCP para paquetes coincidentes al valor DSCP especificado con este modificador de acción. `number` especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP. Puede especificar DSCP en forma hexadecimal, binario o decimal. Para `number`, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): ef (46)—como se define en el RFC 2598, PHB de reenvío acelerado. af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38) Estas cuatro clases, con tres precedencias de caída en cada clase, se definen para 12 puntos de código en el RFC 2597, Grupo PHB de reenvío garantizado.
count `counter-name`	Cuente la cantidad de paquetes que pasan este filtro, término o agente de policía. Un agente de policía le permite especificar límites de velocidad en el tráfico que entra en una interfaz en un conmutador. Nota: En conmutadores EX4300, puede configurar la misma cantidad de contadores y políticas que el número de términos en la memoria direccionable de contenido ternario (TCAM).
forwarding-class `class`	Clasifique el paquete en una de las siguientes clases de reenvío: assured-forwarding best-effort expedited-forwarding network-control
gbp-src-tag (solo EX4400 y EX4650)	Establezca la etiqueta de origen de política basada en grupo (0..65535) para su uso con microsegmentación en VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN
interface `interface-name`	Reenvíe el tráfico a la interfaz especificada sin pasar por la búsqueda de conmutación.
log	Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, emita el `show firewall log` comando en la CLI. Nota: Si el log modificador de acción o de syslog o está configurado junto con una vlan acción o un modificador de interface acción, es posible que no se registren los eventos. Sin embargo, la funcionalidad de la interfaz de redirección funciona como se esperaba.
loss-priority (high \| low)	Establezca la prioridad de pérdida de paquetes (PLP).
policer `policer-name`	Aplique límites de velocidad al tráfico. Puede especificar un agente de policía en un filtro de firewall solo para el tráfico de entrada en un puerto, VLAN y enrutador. Nota: No se admite un contador para un agente de policía en conmutadores EX8200. Nota: En conmutadores EX4300, puede configurar la misma cantidad de contadores y policías que la cantidad de términos en la TCAM.
`port-mirror`	Duplicar paquetes en la interfaz definida en la `[edit forwarding-options analyzer]` jerarquía.
`port-mirror-instance instance-name`	Duplicar paquetes en la instancia definida en la `[edit forwarding-options analyzer]` jerarquía.
syslog	Registre una alerta para este paquete. Puede especificar que el registro se envíe a un servidor para almacenamiento y análisis. Nota: Si el log modificador de acción o de syslog o está configurado junto con una vlan acción o un modificador de interface acción, es posible que no se registren los eventos. Sin embargo, la funcionalidad de la interfaz de redirección funciona como se esperaba.
three-color-policer	Aplique un agente de policía de tres colores.

EN ESTA PÁGINA

Condiciones de coincidencia de filtros de firewall, acciones y modificadores de acción para conmutadores de la serie EX

Elementos de filtro de firewall

Condiciones de coincidencia compatibles con conmutadores

Acciones para filtros de firewall

Modificadores de acción para filtros de firewall

Temas relacionados