Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia de filtro de cortafuegos, acciones y modificadores de acciones de los conmutadores de la serie EX

Cuando se define un filtro de firewall para un conmutador de la serie EX, se definen criterios de filtrado(términos , con condiciones de coincidencia )para los paquetes y una acción (y, opcionalmente, un modificador de acción)para que el conmutador tome si los paquetes cumplen los criterios de filtrado. Puede definir un filtro de Firewall para supervisar IPv4, IPv6 o el tráfico no IP.

En este tema se describen en detalle las distintas condiciones de coincidencia, acciones y modificadores de acciones que puede definir en un filtro de Firewall. Para obtener información sobre la compatibilidad con condiciones de coincidencia en varios conmutadores de la serie EX, consulte la compatibilidad de la plataforma para condiciones de coincidencia de filtro de cortafuegos, acciones y modificadores de acciones en los conmutadores de la serie ex.

Elementos de filtro de Firewall

Una configuración de filtro de Firewall contiene un término, una condición de coincidencia, una acción y, opcionalmente, un modificador de acción. Tabla 1 describe cada elemento en una configuración de filtro de Firewall.

Tabla 1: Elementos de una configuración de filtro de Firewall

Nombre de elemento

Descriptiva

Período

Define los criterios de filtro de los paquetes. Cada término del filtro de Firewall se compone de condiciones de coincidencia y una acción. Puede definir un solo término o varios términos en el filtro Firewall. Si define varios términos, cada término debe tener un nombre único.

Condición coincidir

Consta de una cadena (denominada instrucción match)que define la condición de coincidencia. Las condiciones de coincidencia son los valores o los campos que un paquete debe contener. Puede definir una sola condición de coincidencia o varias condiciones de coincidencia para un término. También puede optar por no definir una condición de coincidencia. Si no se especifican condiciones de coincidencia para un término, todos los paquetes coinciden de forma predeterminada.

Intervención

Especifica la acción que tomará el modificador si un paquete coincide con todos los criterios especificados en las condiciones de coincidencia.

Modificador de acción

Especifica una o más acciones que tomará el conmutador si un paquete coincide con las condiciones de coincidencia del término específico.

Condiciones compatibles con los conmutadores

En función del tipo de tráfico que desee supervisar, puede configurar un filtro de Firewall para supervisar el tráfico IPv4, IPv6 o no IP. Cuando configure un filtro de Firewall para supervisar un determinado tipo de tráfico, asegúrese de especificar condiciones de coincidencia que se admitan para ese tipo de tráfico. Para obtener más información sobre las condiciones de coincidencia compatibles con un tipo específico de tráfico y los conmutadores en los que se admite, consulte la compatibilidad de la plataforma para condiciones de coincidencia de filtro de firewall, acciones y modificadores de acciones en los conmutadores de la serie ex.

Tabla 2describe todas las condiciones de coincidencia que se admiten en los filtros de firewall en los conmutadores de la serie EX.

Tabla 2: Condiciones de coincidencia de filtro de cortafuegos compatibles con los conmutadores de la serie EX

Condición coincidir

Descriptiva

destination-address ip-address

IP Destination Address, que es la dirección del nodo de destino final.

ip-destination-address ip-address

IP Destination Address, que es la dirección del nodo de destino final.

ip6-destination-address ip-address

IP Destination Address, que es la dirección del nodo de destino final.

destination-mac-address mac-address

Dirección de dirección MAC de destino (MAC) del paquete.

Puede definir una dirección MAC de destino con un prefijo, como destination-mac-address 00:01:02:03:04:05/24 . Si no se especifica un prefijo, se utiliza el valor predeterminado 48.

destination-port number

Campo de puerto de destino TCP o UDP. Normalmente, se especifica esta condición de coincidencia junto con la condición o de coincidencia para protocol determinar qué protocolo se usa en el ip-protocol puerto. Para number,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

Campo de lista de prefijo de destino IP.

Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en [edit policy-options] el nivel de jerarquía.

dot1q-tag number

Campo de etiqueta del encabezado Ethernet. Los valores de la etiqueta oscilan entre 1 y 4095. La dot1q-tag condición coincidir y vlan la condición coincidir se excluyen mutuamente.

user-vlan-id number

Campo de etiqueta del encabezado Ethernet. Los valores de la etiqueta oscilan entre 1 y 4095. La user-vlan-id condición coincidir y learn-vlan-id la condición coincidir se excluyen mutuamente.

dot1q-user-priority number

Campo de prioridad del usuario del paquete con etiqueta Ethernet. Los valores de prioridad de usuario pueden estar comprendidos entre el 0 y el 7.

Para number,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • background (1)— Antecedentes

  • best-effort (0)— El mejor esfuerzo

  • controlled-load (4): carga controlada

  • excellent-load (3): excelente carga

  • network-control (7): control de red de tráfico reservado

  • standard (2): estándar o de repuesto

  • video (5)— Video

  • voice (6)— Voz

user-vlan-1p-priority number

Campo de prioridad del usuario del paquete con etiqueta Ethernet. Los valores de prioridad de usuario pueden estar comprendidos entre el 0 y el 7.

Para number,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • background (1)— Antecedentes

  • best-effort (0)— El mejor esfuerzo

  • controlled-load (4): carga controlada

  • excellent-load (3): excelente carga

  • network-control (7): control de red de tráfico reservado

  • standard (2): estándar o de repuesto

  • video (5)— Video

  • voice (6)— Voz

dscp number

Especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

Para number,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • ef (46)— tal como se define en RFC 2598,An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres precedencias de colocación en cada clase, se definen para 12 puntos de código en rfc 2597, Reenvío seguro grupo PHB.

ether-type value

Campo del tipo de Ethernet de un paquete. El valor especifica qué protocolo se está transportando en el fotograma Ethernet. Para value,puede especificar uno de los siguientes sinónimos de texto:

  • aarp— Valor EtherType AARP (0x80F3)

  • appletalk— Valor EtherType AppleTalk (0x809B)

  • arp— ARP de valor EtherType (0x0806)

  • ipv4— Valor EtherType IPv4 (0x0800)

  • ipv6— Valor EtherType IPv6 (0x08DD)

  • mpls multicast: valor EtherType MPLS multidifusión (0x8848)

  • mpls unicast: valor EtherType MPLS unidifusión (0x8847)

  • oam— Valor EtherType OAM (0x88A8)

  • ppp— PPP de valor EtherType (0x880B)

  • pppoe-discovery— Etapa de descubrimiento PPPoE con valor EtherType (0x8863)

  • pppoe-session— Etapa de sesión PPPoE con valor EtherType (0x8864)

  • sna— Valor EtherType de SNA (0x80D5)

Nota:

No se admiten las siguientes condiciones de coincidencia cuando ether-type se establece ipv6 en:

  • dscp

  • fragment-flags

  • is-fragment

  • precedenceoip-precedence

  • protocoloip-protocol

fragment-flags fragment-flags

Indicadores de fragmentación IP, especificados en formato simbólico o hexadecimal. Puede especificar una de las siguientes opciones:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Haga coincidir la etiqueta de destino para usarla con microse segmentación en una VXLAN, como se describe a continuación: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
gbp-src-tag Haga coincidir la etiqueta de origen para usarla con microse segmentación en VXLAN, como se describe a continuación: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

icmp-code number

Campo de código de ICMP. Este valor u opción proporciona información más específica que icmp-type . Dado que el significado del valor depende de lo icmp-type asociado, debe especificar icmp-type junto con icmp-code . Para number,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las opciones se agrupan según el tipo de ICMP con el que están asociadas:

  • parameter-problemip-header-bad (0) , required-option-missing (1)

  • redirectredirect-for-host (1) , redirect-for-network (0) , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13) , , , , , , destination-host-prohibited (10) , , destination-host-unknown (7) , destination-network-prohibited (9) , destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2) , source-host-isolated (8)source-route-failed (5)

icmp-type number

Campo tipo de paquete ICMP. Normalmente, esta condición de coincidencia se especifica junto con la protocol condición ip-protocol o coincidir para determinar qué protocolo se está utilizando en el puerto. Para number,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14),unreachable (3)

interface interface-name

Interfaz en la que se recibe el paquete. Puede especificar el carácter comodín ( * ) como parte de un nombre de interfaz.

Nota:

La interface condición de coincidencia no se admite para el tráfico de salida en un EX8200 Virtual Chassis.

ip-options

La presencia del campo de opciones en el encabezado de IP.

ip-version versión match_condition(s)

Versión del protocolo IP para filtros de Firewall de puerto y VLAN. El valor de la versión puede ser ipv4 o ipv6 .

Para match_condition(s), puede especificar una o más de las siguientes condiciones de coincidencia:

  • destination-address, ip-destination-address, oip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedenceoip-precedence

  • protocoloip-protocol

  • source-addressoip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Si el paquete es un fragmento final, esta condición de coincidencia no coincide con el primer fragmento de un paquete fragmentado. Utilice dos términos para encontrar los fragmentos primero y final.

Nota:

Debido a una limitación en los conmutadores EX2300, EX3400 y EX4300, esta condición de coincidencia no coincide con el último fragmento de un paquete fragmentado cuando se aplica a la "conmutación Ethernet de familia".

l2-encap-type llc-non-snap

Coincidencia en paquetes de capa de control de vínculo lógico (LLC) para el tipo de encapsulación Ethernet de protocolo de acceso no de subred (SNAP).

next-header bytes

el campo protocolo de 8 bits que identifica el tipo de encabezado inmediatamente posterior al encabezado IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17),vrrp (112)

packet-length bytes

Longitud del paquete recibido, en bytes.

La longitud sólo hace referencia al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

precedence precedence

Prioridad IP. Para obtener prioridad,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

Prioridad IP. Para obtener prioridad,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

Valor del protocolo IPv4. Para protocolos,puede especificar uno de los siguientes sinónimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

Valor del protocolo IPv4. Para protocolos,puede especificar uno de los siguientes sinónimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

IP Source address, que es la dirección del nodo de origen que envía el paquete. En el caso de IPv6, el campo de dirección de origen tiene una longitud de 128 bits. La sintaxis de descripción del filtro admite las representaciones de texto para direcciones IPv6 que se describen en RFC 2373, Arquitectura de direccionamiento IP versión 6.

ip-source-address (ip-address | ip6-address)

IP Source address, que es la dirección del nodo de origen que envía el paquete. Puede especificar una dirección IPv4 (ip-address) o una dirección IPv6 (ip6-address). Para IPv6, el campo IP-Source-Address tiene una longitud de 128 bits. La sintaxis de descripción del filtro admite las representaciones de texto para direcciones IPv6 que se describen en RFC 2373, Arquitectura de direccionamiento IP versión 6.

source-mac-address mac-address

Dirección MAC de origen.

Puede definir una dirección MAC de origen con un prefijo, como source-mac-address 00:01:02:03:04:05/24 . Si no se especifica un prefijo, se utiliza el valor predeterminado 48.

source-port number

Campo TCP o source-port UDP. Normalmente, se especifica esta coincidencia junto con la condición o coincidencia para protocol determinar qué protocolo se está utilizando en el ip-protocol puerto. Para number,puede especificar uno de los sinónimos de texto enumerados en destination-port .

source-prefix-list prefix-list

Campo de lista de prefijos de origen IP.

Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en [edit policy-options] el nivel de jerarquía.

tcp-established

Paquetes TCP de una conexión TCP establecida. Esta condición coincide con paquetes distintos del primer paquete de una conexión. tcp-established es sinónimo de los nombres de "(ack | rst)" bits.

tcp-established no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la next-header tcp condición de coincidencia.

tcp-flags (flags tcp-initial)

Uno o más indicadores TCP:

  • bit-name: finsyn , , , , rstpushack , urgent

  • operadores lógicos: & (AND lógico), | (O lógico), ! (anulación)

  • valor numérico: 0x01 a través de 0x20

  • sinónimo de texto:tcp-initial

Para especificar varios indicadores, utilice operadores lógicos.

tcp-initial

Hace juego el primer paquete TCP de una conexión. tcp-initial es sinónimo de los nombres de "(syn&!ack)" bits.

tcp-initial no comprueba implícitamente si el protocolo es TCP. Para hacerlo, especifique la protocol tcp condición ip-protocol tcp o coincidencia.

traffic-class number

Especifica el punto de código de DSCP para un paquete.

ttl value

Tipo TTL que debe coincidir. El valor varía entre 1 y 255.

vlan (vlan-name | vlan-id)

La VLAN asociada al paquete. Para vlan-id,puede especificar el ID de VLAN o un intervalo de VLAN. La vlan condición coincidir y dot1q-tag la condición coincidir se excluyen mutuamente.

learn-vlan-id (vlan-name | vlan-id)

La VLAN asociada al paquete. Para vlan-id,puede especificar el ID de VLAN o un intervalo de VLAN. La vlan condición coincidir y user-vlan-id la condición coincidir se excluyen mutuamente.

Acciones para filtros de cortafuegos

Puede definir una acción para que el conmutador tome si un paquete coincide con el criterio de filtro definido en una condición de coincidencia. Tabla 3 describe las acciones compatibles con una configuración de filtro de Firewall.

Tabla 3: Acciones para filtros de cortafuegos

Intervención

Descriptiva

accept

Aceptar un paquete.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe el mensaje ICMPv4 (escriba destination unreachable 3). Puede registrar los paquetes rechazadas si configura el syslog modificador de acción.

Puede especificar uno de los siguientes códigos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Si tcp-reset especifica, se devuelve un restablecimiento de TCP si el paquete es un paquete TCP. De lo contrario, no se devuelve nada.

Si no especifica un tipo de mensaje, la notificación ICMP destination unreachable se envía con el mensaje communication administratively filtered predeterminado.

routing-instance routing-instance-name

Reenvía paquetes coincidentes a una instancia de enrutamiento virtual.

Nota:

Los conmutadores EX4200 no admiten el redireccionamiento basado en el filtro de Firewall a la instancia de enrutamiento predeterminada.

vlan vlan-name

Reenvía paquetes coincidentes a una VLAN específica. Asegúrese de especificar el nombre o ID de VLAN y no un intervalo de VLAN, ya que la acción no admite la vlan opción de rango de VLAN.

Nota:

Si ha definido una VLAN que está habilitada para la tunelización dot1q, no se admite esa VLAN en particular como una acción (mediante la acción) para un filtro de firewall de VLAN de vlan vlan-name entrada.

Modificadores de acciones para filtros de cortafuegos

Además de las acciones descritas en Tabla 3, puede definir modificadores de acciones en una configuración de filtro de Firewall para un conmutador si los paquetes coinciden con los criterios de filtrado definidos en la condición coincidir. Tabla 4 describe los modificadores de acciones compatibles con una configuración de filtro de Firewall.

Tabla 4: Modificadores de acciones para filtros de cortafuegos

Modificador de acción

Descripción

analyzer analyzer-name

El tráfico del puerto de espejo a un puerto de destino o VLAN especificado que esté conectado a una aplicación de analizador de protocolos. La creación de reflejos copia todos los paquetes que se ven en un puerto de conmutación a una conexión de supervisión de red en otro puerto de conmutación. Debe configurarse el nombre del [edit ethernet-switching-options analyzer]analizador en.

Nota:

analyzer no es un modificador de acción admitido para una interfaz de administración.

Nota:

En los conmutadores EX4500, sólo puede configurar un analizador e incluirlo en un filtro de Firewall. Si configura varios analizadores, no puede incluir ninguno de esos analizadores en un filtro de Firewall.

dscp number

Cambie el valor DSCP para los paquetes coincidentes al valor DSCP especificado con este modificador de acción. número especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

Para number,puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • ef (46)— tal como se define en RFC 2598,An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres precedencias de colocación en cada clase, se definen para 12 puntos de código en rfc 2597, Reenvío seguro grupo PHB.

count counter-name

Cuente el número de paquetes que superan este filtro, término o policía. Un usuario de políticas le permite especificar límites de velocidad para el tráfico que entra en una interfaz de un conmutador.

Nota:

En los conmutadores EX4300, puede configurar el mismo número de contadores y políticas que el número de términos de la memoria a la que puede direccionar el contenido ternario (TCAM).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (solo EX4400) Establezca la etiqueta de origen de política basada en grupo (0..65535) para usarla con microse segmentación en VXLAN, como se describe a continuación: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

interface interface-name

Reenviar el tráfico a la interfaz especificada omitiendo la búsqueda de conmutación.

log

Registre la información de encabezado del paquete en la motor de enrutamiento. Para ver esta información, ejecute el show firewall log comando en la CLI.

Nota:

Si el modificador de acción o o está configurado junto con una acción o un modificador de acción, es posible que no logsyslog se vlaninterface registrarán los eventos. Sin embargo, la funcionalidad de interfaz de redireccionamiento funciona de la manera esperada.

loss-priority (high | low)

Establecer la prioridad de pérdida de paquetes (PLP).

policer policer-name

Aplique límites de velocidad de transmisión al tráfico.

Puede especificar una policía en un filtro de Firewall solo para el tráfico de entrada en un puerto, VLAN y enrutador.

Nota:

Los conmutadores de EX8200 no admiten un contador para un responsable de la policía.

Nota:

En los conmutadores EX4300, puede configurar el mismo número de contadores y políticas que el número de términos de la TCAM.

port-mirror

Los paquetes reflejados en la interfaz definida en [edit forwarding-options analyzer] la jerarquía.

port-mirror-instance instance-name

Refleja los paquetes en la instancia definida en la [edit forwarding-options analyzer] jerarquía.

syslog

Registrar una alerta para este paquete. Puede especificar que el registro se envíe a un servidor para su almacenamiento y análisis.

Nota:

Si el modificador de acción o o está configurado junto con una acción o un modificador de acción, es posible que no logsyslog se vlaninterface registrarán los eventos. Sin embargo, la funcionalidad de interfaz de redireccionamiento funciona de la manera esperada.

three-color-policer

Aplique un policía de tres colores.