El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX
Cuando se define un filtro de firewall para un conmutador de la serie EX, se definen criterios de filtrado (terms, con match conditions) para los paquetes y un action (y, opcionalmente, un action modifier) para el conmutador si los paquetes coinciden con los criterios de filtrado. Puede definir un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP.
En este tema se describen en detalle las distintas condiciones, acciones y modificadores de acción de coincidencia que puede definir en un filtro de firewall. Para obtener información acerca de la compatibilidad con condiciones de coincidencia en varios conmutadores de la serie EX, consulte Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de filtro de firewall en conmutadores de la serie EX.
Elementos de filtro del firewall
Una configuración de filtro de firewall contiene un término, una condición de coincidencia, una acción y, opcionalmente, un modificador de acción. Tabla 1 Describe cada elemento de una configuración de filtro de firewall.
Nombre del elemento |
Description |
---|---|
Término |
Define los criterios de filtrado para los paquetes. Cada término del filtro de firewall consta de condiciones de coincidencia y una acción. Puede definir un solo término o varios términos en el filtro de firewall. Si define varios términos, cada término debe tener un nombre único. |
Condición de coincidencia |
Consta de una cadena (denominada match statement) que define la condición de coincidencia. Las condiciones de coincidencia son los valores o campos que debe contener un paquete. Puede definir una condición de coincidencia única o varias condiciones de coincidencia para un término. También puede optar por no definir una condición de coincidencia. Si no se especifica ninguna condición de coincidencia para un término, todos los paquetes coinciden de forma predeterminada. |
Acción |
Especifica la acción que realiza el conmutador si un paquete coincide con todos los criterios especificados en las condiciones de coincidencia. |
Modificador de acción |
Especifica una o más acciones que realiza el conmutador si un paquete coincide con las condiciones de coincidencia para el término específico. |
Condiciones de coincidencia admitidas en los conmutadores
Según el tipo de tráfico que desee supervisar, puede configurar un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP. Cuando configure un filtro de firewall para supervisar un tipo concreto de tráfico, asegúrese de especificar las condiciones de coincidencia admitidas para ese tipo de tráfico. Para obtener información acerca de las condiciones de coincidencia admitidas para un tipo específico de tráfico y los conmutadores en los que se admiten, consulte Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtros de firewall en conmutadores de la serie EX.
Tabla 2 describe todas las condiciones de coincidencia admitidas para los filtros de firewall en los conmutadores de la serie EX.
Condición de coincidencia |
Description |
---|---|
|
Campo Dirección de destino IP, que es la dirección del nodo de destino final. |
|
Campo Dirección de destino IP, que es la dirección del nodo de destino final. |
|
Campo Dirección de destino IP, que es la dirección del nodo de destino final. |
destination-mac-address mac-address |
Dirección MAC (control de acceso a medios de destino) del paquete. Puede definir una dirección MAC de destino con un prefijo, como destination-mac-address 00:01:02:03:04:05/24. Si no se especifica ningún prefijo, se utiliza el valor predeterminado 48. |
destination-port number |
Campo Puerto de destino TCP o UDP. Normalmente, esta condición de coincidencia se especifica junto con la afs (1483), bgp (179), biff (512), bootpc (68)dhcp (67)printer (515)domain (53)radacct (1813)eklogin (2105)radius (1812)ekshell (2106)rip (520)exec (512)rkinit (2108)finger (79)smtp (25)ftp (21)snmp (161)ftp-data (20)snmptrap (162)http (80)snpp (444)https (443)socks (1080)ident (113)ssh (22)imap (143)sunrpc (111)kerberos-sec (88)zephyr-clt (2103)krb-prop (754)xdmcp (177)kpasswd (761)who (513)krbupdate (760)timed (525)klogin (543)tftp (69)kshell (544)cvspserver (2401)ntp (123)ldap (389)pop3 (110)login (513)pptp (1723)talk (517)ntalk (518)telnet (23)tacacs-ds (65)syslog (514)nntp (119)nfsd (2049)netbios-ssn (139)netbios-ns (137)msdp (639)mobileip-agent (434)netbios-dgm (138)bootps (67)cmd (514)mobilip-mn (435),zephyr-hm (2104) |
destination-prefix-list prefix-list |
Campo Lista de prefijos de destino IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el nivel jerárquico |
|
El campo de etiqueta en el encabezado de Ethernet. Los valores de etiqueta van del 1 al 4095. La |
|
El campo de etiqueta en el encabezado de Ethernet. Los valores de etiqueta van del 1 al 4095. La |
dot1q-user-priority number |
Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden oscilar entre 0 y 7. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):
|
user-vlan-1p-priority number |
Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden oscilar entre 0 y 7. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):
|
dscp number |
Especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP. Puede especificar DSCP en formato hexadecimal, binario o decimal. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):
|
ether-type value |
Campo de tipo Ethernet de un paquete. El valor especifica qué protocolo se transporta en la trama Ethernet. Para value, puede especificar uno de los siguientes sinónimos de texto:
Nota:
Las siguientes condiciones de coincidencia no se admiten cuando ether-type se establece en ipv6:
|
fragment-flags fragment-flags |
Indicadores de fragmentación IP, especificados en formatos simbólicos o hexadecimales. Puede especificar una de las siguientes opciones:
|
gbp-dst-tag | Haga coincidir la etiqueta de destino, para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN |
gbp-src-tag | Haga coincidir la etiqueta de origen, para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN |
icmp-code number |
Campo de código ICMP. Este valor u opción proporciona información más específica que icmp-type. Dado que el significado del valor depende del valor asociado icmp-type, debe especificar icmp-type junto con icmp-code. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las opciones se agrupan por el tipo de ICMP con el que están asociadas:
|
icmp-type number |
Campo de tipo de paquete ICMP. Normalmente, esta condición de coincidencia se especifica junto con la echo-reply (0), echo-request (8), , info-request (15)info-reply (16), ,mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), , source-quench (4)router-solicit (10), , time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3) |
interface interface-name |
Interfaz en la que se recibe el paquete. Puede especificar el carácter comodín (*) como parte de un nombre de interfaz. Nota:
La interface condición de coincidencia no se admite para el tráfico de salida en un Virtual Chassis EX8200. |
ip-options |
Presencia del campo de opciones en el encabezado IP. |
ip-version version match_condition(s) |
Versión del protocolo IP para filtros de firewall de puerto y VLAN. El valor de version puede ser ipv4 o ipv6. Para match_condition(s), puede especificar una o varias de las siguientes condiciones de coincidencia:
|
is-fragment |
Si el paquete es un fragmento final, esta condición de coincidencia no coincide con el primer fragmento de un paquete fragmentado. Utilice dos términos para hacer coincidir tanto el primer fragmento como el siguiente. Nota:
Debido a una limitación en los conmutadores EX2300, EX3400 y EX4300, esta condición de coincidencia no coincide con el último fragmento de un paquete fragmentado cuando se aplica a la "conmutación Ethernet familiar". |
l2-encap-type llc-non-snap |
Coincidir en paquetes de capa de control de vínculo lógico (LLC) para el tipo de encapsulación Ethernet del Protocolo de acceso a no subred (SNAP). |
next-header bytes |
Campo de protocolo de 8 bits que identifica el tipo de encabezado inmediatamente después del encabezado IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah (51), dstops (60), , esp (50)egp (8), fragment (44)gre (47), hop-by-hop (0), icmp6 (1)icmp (1), , igmp (2), ipip (4), ipv6 (41), , no-next-header (59), ospf (89)routing (43)rsvp (46)sctp (132)pim (103)tcp (6), , , udp (17)vrrp (112) |
packet-length bytes |
Longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. |
|
Prioridad de IP. Para precedence, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp (5), flash (3), flash-override (4), , internet-control (6)immediate (2), net-control (7), priority (1), ,routine (0) |
|
Prioridad de IP. Para precedence, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp (5), flash (3), flash-override (4), , internet-control (6)immediate (2), net-control (7), priority (1), ,routine (0) |
|
Valor del protocolo IPv4. Para protocols, puede especificar uno de los siguientes sinónimos de texto: egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), , tcp (6)rsvp (46), ,udp (17) |
|
Valor del protocolo IPv4. Para protocols, puede especificar uno de los siguientes sinónimos de texto: egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), , tcp (6)rsvp (46), ,udp (17) |
source-address ip-address |
Campo Dirección IP de origen, que es la dirección del nodo de origen que envía el paquete. Para IPv6, el campo de dirección de origen tiene una longitud de 128 bits. La sintaxis de descripción de filtro admite las representaciones de texto para direcciones IPv6 que se describen en RFC 2373, Arquitectura de direccionamiento IP versión 6. |
|
Campo Dirección IP de origen, que es la dirección del nodo de origen que envía el paquete. Puede especificar una dirección IPv4 ( |
source-mac-address mac-address |
Dirección MAC de origen. Puede definir una dirección MAC de origen con un prefijo, como source-mac-address 00:01:02:03:04:05/24. Si no se especifica ningún prefijo, se utiliza el valor predeterminado 48. |
source-port number |
Campo TCP o UDP source-port . Normalmente, esta coincidencia se especifica junto con la |
source-prefix-list prefix-list |
Campo de lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el nivel jerárquico |
tcp-established |
Paquetes TCP de una conexión TCP establecida. Esta condición coincide con paquetes distintos del primer paquete de una conexión. tcp-established es un sinónimo de los nombres "(ack | rst)"de bits . tcp-established no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la condición de next-header tcp coincidencia. |
tcp-flags (flags tcp-initial) |
Uno o más indicadores TCP:
Para especificar varios indicadores, utilice operadores lógicos. |
tcp-initial |
Hace coincidir el primer paquete TCP de una conexión. tcp-initial es un sinónimo de los nombres "(syn&!ack)"de bits . tcp-initial no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la |
traffic-class number |
Especifica el punto de código DSCP para un paquete. |
ttl value |
Tipo de TTL para que coincida. El valor oscila entre 1 y 255. |
|
La VLAN que está asociada con el paquete. Para vlan-id, puede especificar el ID de VLAN o un rango de VLAN. La vlan condición de coincidencia y la condición de dot1q-tag coincidencia son mutuamente excluyentes. |
|
La VLAN que está asociada con el paquete. Para vlan-id, puede especificar el ID de VLAN o un rango de VLAN. La vlan condición de coincidencia y la condición de user-vlan-id coincidencia son mutuamente excluyentes. |
Acciones para filtros de firewall
Puede definir una acción para que el conmutador realice si un paquete coincide con los criterios de filtrado definidos en una condición de coincidencia. Tabla 3 Describe las acciones admitidas en una configuración de filtro de firewall.
Acción |
Description |
---|---|
accept |
Aceptar un paquete. |
discard |
Descartar un paquete silenciosamente sin enviar un mensaje de Protocolo de mensajes de control de Internet (ICMP). |
reject message-type |
Descarte un paquete y envíe el mensaje ICMPv4 (tipo 3). destination unreachable Puede registrar los paquetes rechazados si configura el modificador de acción syslog . Puede especificar uno de los siguientes códigos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. Si especifica tcp-reset, se devuelve un restablecimiento TCP si el paquete es un paquete TCP. De lo contrario, no se devuelve nada. Si no especifica un tipo de mensaje, la notificación destination unreachable ICMP se envía con el mensaje communication administratively filteredpredeterminado . |
routing-instance routing-instance-name |
Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual. Nota:
Los conmutadores EX4200 no admiten la redirección basada en filtros de firewall a la instancia de enrutamiento predeterminada. |
vlan vlan-name |
Reenvíe paquetes coincidentes a una VLAN específica. Asegúrese de especificar el nombre o ID de VLAN y no un rango de VLAN, ya que la vlan acción no admite la vlan-range opción. Nota:
Si ha definido una VLAN habilitada para la tunelización dot1q, esa VLAN en particular no se admite como una acción (mediante la vlan vlan-name acción) para un filtro de firewall VLAN de entrada. |
Modificadores de acción para filtros de firewall
Además de las acciones descritas en Tabla 3, puede definir modificadores de acción en una configuración de filtro de firewall para un conmutador si los paquetes coinciden con los criterios de filtrado definidos en la condición de coincidencia. Tabla 4 Describe los modificadores de acción admitidos en una configuración de filtro de firewall.
Modificador de acción |
Description |
---|---|
analyzer analyzer-name |
Refleje el tráfico del puerto a un puerto de destino especificado o VLAN que esté conectado a una aplicación de análisis de protocolos. La creación de reflejo copia todos los paquetes vistos en un puerto de conmutador a una conexión de supervisión de red en otro puerto de conmutador. El nombre del analizador debe configurarse en Nota:
analyzer no es un modificador de acción admitido para una interfaz de administración. Nota:
En los conmutadores EX4500, puede configurar solo un analizador e incluirlo en un filtro de firewall. Si configura varios analizadores, no podrá incluir ninguno de ellos en un filtro de firewall. |
|
Cambie el valor DSCP de los paquetes coincidentes al valor DSCP especificado con este modificador de acción. number especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP. Puede especificar DSCP en formato hexadecimal, binario o decimal. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):
|
count counter-name |
Cuente el número de paquetes que pasan este filtro, término o aplicador de política. Un aplicador de políticas le permite especificar límites de velocidad para el tráfico que entra en una interfaz en un conmutador. Nota:
En los conmutadores EX4300, puede configurar el mismo número de contadores y políticas que el número de términos en la memoria direccionable de contenido ternario (TCAM). |
forwarding-class class |
Clasifique el paquete en una de las siguientes clases de reenvío:
|
gbp-src-tag (solo EX4400 y EX4650) | Establezca la etiqueta de origen de política basada en grupos (0..65535) para usarla con microsegmentación en VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN |
interface interface-name |
Reenvíe el tráfico a la interfaz especificada sin pasar por la búsqueda de conmutación. |
log |
Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ejecute el Nota:
Si el o el modificador de syslog acción está configurado junto con un modificador de logvlan acción o accióninterface, es posible que los eventos no se registren. Sin embargo, la funcionalidad de la interfaz de redireccionamiento funciona como se esperaba. |
loss-priority (high | low) |
Establezca la prioridad de pérdida de paquetes (PLP). |
policer policer-name |
Aplicar límites de velocidad al tráfico. Puede especificar un aplicador de políticas en un filtro de firewall solo para el tráfico de entrada en un puerto, VLAN y enrutador. Nota:
No se admite un contador para un aplicador de policía en los conmutadores EX8200. Nota:
En los conmutadores EX4300, puede configurar la misma cantidad de contadores y políticas que la cantidad de términos del TCAM. |
|
Refleje paquetes en la interfaz definida en la |
|
Reflejar paquetes en la instancia definida en la |
syslog |
Registre una alerta para este paquete. Puede especificar que el registro se envíe a un servidor para su almacenamiento y análisis. Nota:
Si el o el modificador de syslog acción está configurado junto con un modificador de logvlan acción o accióninterface, es posible que los eventos no se registren. Sin embargo, la funcionalidad de la interfaz de redireccionamiento funciona como se esperaba. |
three-color-policer |
Aplique un controlador de tres colores. |