Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX

Cuando se define un filtro de firewall para un conmutador de la serie EX, se definen criterios de filtrado (terms, con match conditions) para los paquetes y un action (y, opcionalmente, un action modifier) para el conmutador si los paquetes coinciden con los criterios de filtrado. Puede definir un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP.

En este tema se describen en detalle las distintas condiciones, acciones y modificadores de acción de coincidencia que puede definir en un filtro de firewall. Para obtener información acerca de la compatibilidad con condiciones de coincidencia en varios conmutadores de la serie EX, consulte Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de filtro de firewall en conmutadores de la serie EX.

Elementos de filtro del firewall

Una configuración de filtro de firewall contiene un término, una condición de coincidencia, una acción y, opcionalmente, un modificador de acción. Tabla 1 Describe cada elemento de una configuración de filtro de firewall.

Tabla 1: Elementos de una configuración de filtro de firewall

Nombre del elemento

Description

Término

Define los criterios de filtrado para los paquetes. Cada término del filtro de firewall consta de condiciones de coincidencia y una acción. Puede definir un solo término o varios términos en el filtro de firewall. Si define varios términos, cada término debe tener un nombre único.

Condición de coincidencia

Consta de una cadena (denominada match statement) que define la condición de coincidencia. Las condiciones de coincidencia son los valores o campos que debe contener un paquete. Puede definir una condición de coincidencia única o varias condiciones de coincidencia para un término. También puede optar por no definir una condición de coincidencia. Si no se especifica ninguna condición de coincidencia para un término, todos los paquetes coinciden de forma predeterminada.

Acción

Especifica la acción que realiza el conmutador si un paquete coincide con todos los criterios especificados en las condiciones de coincidencia.

Modificador de acción

Especifica una o más acciones que realiza el conmutador si un paquete coincide con las condiciones de coincidencia para el término específico.

Condiciones de coincidencia admitidas en los conmutadores

Según el tipo de tráfico que desee supervisar, puede configurar un filtro de firewall para supervisar el tráfico IPv4, IPv6 o no IP. Cuando configure un filtro de firewall para supervisar un tipo concreto de tráfico, asegúrese de especificar las condiciones de coincidencia admitidas para ese tipo de tráfico. Para obtener información acerca de las condiciones de coincidencia admitidas para un tipo específico de tráfico y los conmutadores en los que se admiten, consulte Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtros de firewall en conmutadores de la serie EX.

Tabla 2 describe todas las condiciones de coincidencia admitidas para los filtros de firewall en los conmutadores de la serie EX.

Tabla 2: Condiciones de coincidencia del filtro de firewall admitidas en los conmutadores de la serie EX

Condición de coincidencia

Description

destination-address ip-address

Campo Dirección de destino IP, que es la dirección del nodo de destino final.

ip-destination-address ip-address

Campo Dirección de destino IP, que es la dirección del nodo de destino final.

ip6-destination-address ip-address

Campo Dirección de destino IP, que es la dirección del nodo de destino final.

destination-mac-address mac-address

Dirección MAC (control de acceso a medios de destino) del paquete.

Puede definir una dirección MAC de destino con un prefijo, como destination-mac-address 00:01:02:03:04:05/24. Si no se especifica ningún prefijo, se utiliza el valor predeterminado 48.

destination-port number

Campo Puerto de destino TCP o UDP. Normalmente, esta condición de coincidencia se especifica junto con la protocol condición de coincidencia or ip-protocol para determinar qué protocolo se utiliza en el puerto. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto):

afs (1483), bgp (179), biff (512), bootpc (68)dhcp (67)printer (515)domain (53)radacct (1813)eklogin (2105)radius (1812)ekshell (2106)rip (520)exec (512)rkinit (2108)finger (79)smtp (25)ftp (21)snmp (161)ftp-data (20)snmptrap (162)http (80)snpp (444)https (443)socks (1080)ident (113)ssh (22)imap (143)sunrpc (111)kerberos-sec (88)zephyr-clt (2103)krb-prop (754)xdmcp (177)kpasswd (761)who (513)krbupdate (760)timed (525)klogin (543)tftp (69)kshell (544)cvspserver (2401)ntp (123)ldap (389)pop3 (110)login (513)pptp (1723)talk (517)ntalk (518)telnet (23)tacacs-ds (65)syslog (514)nntp (119)nfsd (2049)netbios-ssn (139)netbios-ns (137)msdp (639)mobileip-agent (434)netbios-dgm (138)bootps (67)cmd (514)mobilip-mn (435),zephyr-hm (2104)

destination-prefix-list prefix-list

Campo Lista de prefijos de destino IP.

Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el nivel jerárquico [edit policy-options] .

dot1q-tag number

El campo de etiqueta en el encabezado de Ethernet. Los valores de etiqueta van del 1 al 4095. La dot1q-tag condición de coincidencia y la condición de vlan coincidencia son mutuamente excluyentes.

user-vlan-id number

El campo de etiqueta en el encabezado de Ethernet. Los valores de etiqueta van del 1 al 4095. La user-vlan-id condición de coincidencia y la condición de learn-vlan-id coincidencia son mutuamente excluyentes.

dot1q-user-priority number

Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden oscilar entre 0 y 7.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • background (1)—Antecedentes

  • best-effort (0)—Mejor esfuerzo

  • controlled-load (4)—Carga controlada

  • excellent-load (3)—Excelente carga

  • network-control (7)—Tráfico reservado de control de red

  • standard (2)—Estándar o de repuesto

  • video (5)—Video

  • voice (6)—Voz

user-vlan-1p-priority number

Campo de prioridad del usuario del paquete Ethernet etiquetado. Los valores de prioridad del usuario pueden oscilar entre 0 y 7.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • background (1)—Antecedentes

  • best-effort (0)—Mejor esfuerzo

  • controlled-load (4)—Carga controlada

  • excellent-load (3)—Excelente carga

  • network-control (7)—Tráfico reservado de control de red

  • standard (2)—Estándar o de repuesto

  • video (5)—Video

  • voice (6)—Voz

dscp number

Especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • ef (46)—como se define en RFC 2598, Un PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), , af43 (38)

    Estas cuatro clases, con tres precedencias de caída en cada clase, se definen para 12 puntos de código en RFC 2597, Assured Forwarding PHB Group.

ether-type value

Campo de tipo Ethernet de un paquete. El valor especifica qué protocolo se transporta en la trama Ethernet. Para value, puede especificar uno de los siguientes sinónimos de texto:

  • aarp—Valor de EtherType AARP (0x80F3)

  • appletalk—Valor EtherType AppleTalk (0x809B)

  • arp—EtherType valor ARP (0x0806)

  • ipv4—Valor de EtherType IPv4 (0x0800)

  • ipv6—Valor de EtherType IPv6 (0x08DD)

  • mpls multicast—Valor de EtherType Multidifusión MPLS (0x8848)

  • mpls unicast—Unidifusión MPLS (0x8847) del valor EtherType

  • oam—Valor EtherType OAM (0x88A8)

  • ppp—Valor EtherType PPP (0x880B)

  • pppoe-discovery—Valor de EtherType Etapa de descubrimiento PPPoE (0x8863)

  • pppoe-session—Valor de EtherType Etapa de sesión PPPoE (0x8864)

  • sna—Valor EtherType SNA (0x80D5)

Nota:

Las siguientes condiciones de coincidencia no se admiten cuando ether-type se establece en ipv6:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence o ip-precedence

  • protocol o ip-protocol

fragment-flags fragment-flags

Indicadores de fragmentación IP, especificados en formatos simbólicos o hexadecimales. Puede especificar una de las siguientes opciones:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Haga coincidir la etiqueta de destino, para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN
gbp-src-tag Haga coincidir la etiqueta de origen, para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

icmp-code number

Campo de código ICMP. Este valor u opción proporciona información más específica que icmp-type. Dado que el significado del valor depende del valor asociado icmp-type, debe especificar icmp-type junto con icmp-code. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las opciones se agrupan por el tipo de ICMP con el que están asociadas:

  • parameter-problemip-header-bad (0), required-option-missing (1)

  • redirectredirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), destination-host-prohibited (10), , destination-network-prohibited (9)destination-host-unknown (7), destination-network-unknown (6)host-unreachable (1)host-precedence-violation (14)fragmentation-needed (4), host-unreachable-for-TOS (12), , network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), , precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

Campo de tipo de paquete ICMP. Normalmente, esta condición de coincidencia se especifica junto con la protocol condición de coincidencia or ip-protocol para determinar qué protocolo se está utilizando en el puerto. Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

echo-reply (0), echo-request (8), , info-request (15)info-reply (16), ,mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), , source-quench (4)router-solicit (10), , time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Interfaz en la que se recibe el paquete. Puede especificar el carácter comodín (*) como parte de un nombre de interfaz.

Nota:

La interface condición de coincidencia no se admite para el tráfico de salida en un Virtual Chassis EX8200.

ip-options

Presencia del campo de opciones en el encabezado IP.

ip-version version match_condition(s)

Versión del protocolo IP para filtros de firewall de puerto y VLAN. El valor de version puede ser ipv4 o ipv6.

Para match_condition(s), puede especificar una o varias de las siguientes condiciones de coincidencia:

  • destination-address, ip-destination-address, o ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence o ip-precedence

  • protocol o ip-protocol

  • source-address o ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Si el paquete es un fragmento final, esta condición de coincidencia no coincide con el primer fragmento de un paquete fragmentado. Utilice dos términos para hacer coincidir tanto el primer fragmento como el siguiente.

Nota:

Debido a una limitación en los conmutadores EX2300, EX3400 y EX4300, esta condición de coincidencia no coincide con el último fragmento de un paquete fragmentado cuando se aplica a la "conmutación Ethernet familiar".

l2-encap-type llc-non-snap

Coincidir en paquetes de capa de control de vínculo lógico (LLC) para el tipo de encapsulación Ethernet del Protocolo de acceso a no subred (SNAP).

next-header bytes

Campo de protocolo de 8 bits que identifica el tipo de encabezado inmediatamente después del encabezado IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

ah (51), dstops (60), , esp (50)egp (8), fragment (44)gre (47), hop-by-hop (0), icmp6 (1)icmp (1), , igmp (2), ipip (4), ipv6 (41), , no-next-header (59), ospf (89)routing (43)rsvp (46)sctp (132)pim (103)tcp (6), , , udp (17)vrrp (112)

packet-length bytes

Longitud del paquete recibido, en bytes.

La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

precedence precedence

Prioridad de IP. Para precedence, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

critical-ecp (5), flash (3), flash-override (4), , internet-control (6)immediate (2), net-control (7), priority (1), ,routine (0)

ip-precedence precedence

Prioridad de IP. Para precedence, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

critical-ecp (5), flash (3), flash-override (4), , internet-control (6)immediate (2), net-control (7), priority (1), ,routine (0)

protocol list of protocol

Valor del protocolo IPv4. Para protocols, puede especificar uno de los siguientes sinónimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), , tcp (6)rsvp (46), ,udp (17)

ip-protocol list of protocol

Valor del protocolo IPv4. Para protocols, puede especificar uno de los siguientes sinónimos de texto:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), , tcp (6)rsvp (46), ,udp (17)

source-address ip-address

Campo Dirección IP de origen, que es la dirección del nodo de origen que envía el paquete. Para IPv6, el campo de dirección de origen tiene una longitud de 128 bits. La sintaxis de descripción de filtro admite las representaciones de texto para direcciones IPv6 que se describen en RFC 2373, Arquitectura de direccionamiento IP versión 6.

ip-source-address (ip-address | ip6-address)

Campo Dirección IP de origen, que es la dirección del nodo de origen que envía el paquete. Puede especificar una dirección IPv4 (ip-address) o una dirección IPv6 (ip6-address). Para IPv6, el campo dirección de origen IP tiene una longitud de 128 bits. La sintaxis de descripción de filtro admite las representaciones de texto para direcciones IPv6 que se describen en RFC 2373, Arquitectura de direccionamiento IP versión 6.

source-mac-address mac-address

Dirección MAC de origen.

Puede definir una dirección MAC de origen con un prefijo, como source-mac-address 00:01:02:03:04:05/24. Si no se especifica ningún prefijo, se utiliza el valor predeterminado 48.

source-port number

Campo TCP o UDP source-port . Normalmente, esta coincidencia se especifica junto con la protocol condición de coincidencia o ip-protocol para determinar qué protocolo se está utilizando en el puerto. Para number, puede especificar uno de los sinónimos de texto enumerados en destination-port.

source-prefix-list prefix-list

Campo de lista de prefijos de origen IP.

Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Esta condición de coincidencia se define en el nivel jerárquico [edit policy-options] .

tcp-established

Paquetes TCP de una conexión TCP establecida. Esta condición coincide con paquetes distintos del primer paquete de una conexión. tcp-established es un sinónimo de los nombres "(ack | rst)"de bits .

tcp-established no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la condición de next-header tcp coincidencia.

tcp-flags (flags tcp-initial)

Uno o más indicadores TCP:

  • bit-name—fin, syn, rst, push, ack, , urgent

  • operadores lógicos:& (lógica AND), | (lógica O), ! (negación)

  • Valor numérico: 0x01 a 0x20

  • sinónimo de texto—tcp-initial

Para especificar varios indicadores, utilice operadores lógicos.

tcp-initial

Hace coincidir el primer paquete TCP de una conexión. tcp-initial es un sinónimo de los nombres "(syn&!ack)"de bits .

tcp-initial no comprueba implícitamente si el protocolo es TCP. Para ello, especifique la protocol tcp condición de coincidencia o ip-protocol tcp .

traffic-class number

Especifica el punto de código DSCP para un paquete.

ttl value

Tipo de TTL para que coincida. El valor oscila entre 1 y 255.

vlan (vlan-name | vlan-id)

La VLAN que está asociada con el paquete. Para vlan-id, puede especificar el ID de VLAN o un rango de VLAN. La vlan condición de coincidencia y la condición de dot1q-tag coincidencia son mutuamente excluyentes.

learn-vlan-id (vlan-name | vlan-id)

La VLAN que está asociada con el paquete. Para vlan-id, puede especificar el ID de VLAN o un rango de VLAN. La vlan condición de coincidencia y la condición de user-vlan-id coincidencia son mutuamente excluyentes.

Acciones para filtros de firewall

Puede definir una acción para que el conmutador realice si un paquete coincide con los criterios de filtrado definidos en una condición de coincidencia. Tabla 3 Describe las acciones admitidas en una configuración de filtro de firewall.

Tabla 3: Acciones para filtros de firewall

Acción

Description

accept

Aceptar un paquete.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de Protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe el mensaje ICMPv4 (tipo 3). destination unreachable Puede registrar los paquetes rechazados si configura el modificador de acción syslog .

Puede especificar uno de los siguientes códigos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Si especifica tcp-reset, se devuelve un restablecimiento TCP si el paquete es un paquete TCP. De lo contrario, no se devuelve nada.

Si no especifica un tipo de mensaje, la notificación destination unreachable ICMP se envía con el mensaje communication administratively filteredpredeterminado .

routing-instance routing-instance-name

Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual.

Nota:

Los conmutadores EX4200 no admiten la redirección basada en filtros de firewall a la instancia de enrutamiento predeterminada.

vlan vlan-name

Reenvíe paquetes coincidentes a una VLAN específica. Asegúrese de especificar el nombre o ID de VLAN y no un rango de VLAN, ya que la vlan acción no admite la vlan-range opción.

Nota:

Si ha definido una VLAN habilitada para la tunelización dot1q, esa VLAN en particular no se admite como una acción (mediante la vlan vlan-name acción) para un filtro de firewall VLAN de entrada.

Modificadores de acción para filtros de firewall

Además de las acciones descritas en Tabla 3, puede definir modificadores de acción en una configuración de filtro de firewall para un conmutador si los paquetes coinciden con los criterios de filtrado definidos en la condición de coincidencia. Tabla 4 Describe los modificadores de acción admitidos en una configuración de filtro de firewall.

Tabla 4: Modificadores de acción para filtros de firewall

Modificador de acción

Description

analyzer analyzer-name

Refleje el tráfico del puerto a un puerto de destino especificado o VLAN que esté conectado a una aplicación de análisis de protocolos. La creación de reflejo copia todos los paquetes vistos en un puerto de conmutador a una conexión de supervisión de red en otro puerto de conmutador. El nombre del analizador debe configurarse en [edit ethernet-switching-options analyzer].

Nota:

analyzer no es un modificador de acción admitido para una interfaz de administración.

Nota:

En los conmutadores EX4500, puede configurar solo un analizador e incluirlo en un filtro de firewall. Si configura varios analizadores, no podrá incluir ninguno de ellos en un filtro de firewall.

dscp number

Cambie el valor DSCP de los paquetes coincidentes al valor DSCP especificado con este modificador de acción. number especifica el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

Para number, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • ef (46)—como se define en RFC 2598, Un PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), , af43 (38)

    Estas cuatro clases, con tres precedencias de caída en cada clase, se definen para 12 puntos de código en RFC 2597, Assured Forwarding PHB Group.

count counter-name

Cuente el número de paquetes que pasan este filtro, término o aplicador de política. Un aplicador de políticas le permite especificar límites de velocidad para el tráfico que entra en una interfaz en un conmutador.

Nota:

En los conmutadores EX4300, puede configurar el mismo número de contadores y políticas que el número de términos en la memoria direccionable de contenido ternario (TCAM).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (solo EX4400 y EX4650) Establezca la etiqueta de origen de política basada en grupos (0..65535) para usarla con microsegmentación en VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

interface interface-name

Reenvíe el tráfico a la interfaz especificada sin pasar por la búsqueda de conmutación.

log

Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ejecute el show firewall log comando en la CLI.

Nota:

Si el o el modificador de syslog acción está configurado junto con un modificador de logvlan acción o accióninterface, es posible que los eventos no se registren. Sin embargo, la funcionalidad de la interfaz de redireccionamiento funciona como se esperaba.

loss-priority (high | low)

Establezca la prioridad de pérdida de paquetes (PLP).

policer policer-name

Aplicar límites de velocidad al tráfico.

Puede especificar un aplicador de políticas en un filtro de firewall solo para el tráfico de entrada en un puerto, VLAN y enrutador.

Nota:

No se admite un contador para un aplicador de policía en los conmutadores EX8200.

Nota:

En los conmutadores EX4300, puede configurar la misma cantidad de contadores y políticas que la cantidad de términos del TCAM.

port-mirror

Refleje paquetes en la interfaz definida en la [edit forwarding-options analyzer] jerarquía.

port-mirror-instance instance-name

Reflejar paquetes en la instancia definida en la [edit forwarding-options analyzer] jerarquía.

syslog

Registre una alerta para este paquete. Puede especificar que el registro se envíe a un servidor para su almacenamiento y análisis.

Nota:

Si el o el modificador de syslog acción está configurado junto con un modificador de logvlan acción o accióninterface, es posible que los eventos no se registren. Sin embargo, la funcionalidad de la interfaz de redireccionamiento funciona como se esperaba.

three-color-policer

Aplique un controlador de tres colores.