Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones y acciones de coincidencia de filtro de Firewall (modificadores de QFX10000)

Cada término en un filtro de Firewall se compone de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y los valores que un paquete debe contener para que se considere una coincidencia. Puede definir una o varias condiciones de coincidencia en instrucciones Match. También puede incluir ninguna instrucción Match, en cuyo caso el término coincidirá con todos los paquetes.

Cuando un paquete coincide con un filtro, el conmutador toma la acción especificada en el término. Además, puede especificar modificadores de acciones para contar, reflejar, limitar el límite y clasificar los paquetes. Si no se especifican condiciones de coincidencia para el término, el conmutador acepta el paquete de forma predeterminada.

En este tema se describen las distintas condiciones, acciones y modificadores de acciones que se pueden definir en los filtros del cortafuegos en QFX10000 conmutadores. Para obtener información similar acerca de otros conmutadores QFX, consulte Condiciones y acciones de coincidencia de filtro de firewall (conmutadores serie QFX y EX) .

  • Tabla 1describe las condiciones de coincidencia que puede especificar al configurar un filtro de Firewall. Algunas condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, ? escriba en el lugar apropiado de la instrucción.

  • Tabla 2muestra las acciones que puede especificar en un término.

  • Tabla 3muestra los modificadores de acciones que puede utilizar para contar, reflejar, limitar el límite y clasificar los paquetes.

Tabla 1: Condiciones de coincidencia compatibles (conmutadores de QFX10000)

Condición coincidir

Descriptiva

Dirección e interfaz

destination-address ip-address

IP Destination Address, que es la dirección del nodo de destino final.

Interfaces IPv4 (inet) e interfaces IPv6 (inet6) de entrada.

Interfaces de IPv4 (inet) de salida e interfaces IPv6 (inet6).

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

destination-mac-address mac-address

Dirección de dirección MAC de destino (MAC) del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

destination-port value

Campo de puerto de destino TCP o UDP. Normalmente, esta coincidencia se especifica junto con la protocol instrucción Match. Para los siguientes puertos bien conocidos puede especificar sinónimos de texto (los números de Puerto también se enumeran):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Puertos de salida, VLAN, interfaces de IPv4 (inet) e interfaces IPv6 (inet6).

interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

destination-prefix-list prefix-list

Campo de lista de prefijo de destino IP. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Puertos de salida, VLAN, interfaces de IPv4 (inet) e interfaces IPv6 (inet6).

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • be— el mejor esfuerzo (predeterminado)

  • ef (46)— tal como se define en RFC 3246,An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de colocación en cada clase, para un total de 12 puntos de código, se definen en rfc 2597, Reenvío asegurado DESC.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Puertos de salida, VLAN e interfaces de IPv4 (inet).

ether-type value

Campo del tipo de Ethernet de un paquete. El valor EtherType especifica qué protocolo se está transportando en el fotograma Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • aarp (0x80F3)— Valor EtherType AARP

  • appletalk (0x809B)— Valor EtherType de AppleTalk

  • arp (0x0806)— ARP de valor EtherType

  • fcoe (0x8906)— Valor EtherType FCoE

  • fip (0x8914)— FIP de valor EtherType

  • ipv4 (0x0800)— Valor EtherType IPv4

  • ipv6 (0x08DD)— Valor EtherType IPv6

  • mpls-multicast (0x8848): valor EtherType MPLS multidifusión

  • mpls-unicast (0x8847): valor EtherType MPLS unidifusión

  • oam (0x88A8)— Valor EtherType OAM

  • ppp (0x880B)— PPP con valor EtherType

  • pppoe-discovery (0x8863)— Etapa de descubrimiento PPPoE con valor EtherType

  • pppoe-session (0x8864)— Etapa de sesión PPPoE con valor EtherType

  • sna (0x80D5)— Valor EtherType de SNA

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • network-control

  • no-loss

Interfaces IPv4 (inet) e IPv6 (inet6) de salida.

fragment-flags value

Las marcas de fragmentación IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores hexadecimales):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

hop-limit value

Busca una coincidencia con el límite de saltos especificado o el conjunto de límites de saltos. Especifique un valor único o un rango de valores de 0 a 255.

Interfaces IPv6 de entrada y salida (inet6).

icmp-code value

Campo de código de ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor, icmp-type junto con un valor, para. icmp-code En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • IPv4: problema de parámetros: ip-header-bad (0) , required-option-missing (1)

  • IPv6: problema de parámetros: ip6-header-bad (0) , unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0) , redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • IPv4: inaccesible: network-unreachable (0) , , , , , , , host-unreachable (1) , protocol-unreachable (2) , port-unreachable (3) , fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12) , communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inaccesible: address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0) , port-unreachable (4)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Puertos de salida, VLAN, interfaces de IPv4 (inet) e interfaces IPv6 (inet6)

icmp-type value

Campo tipo de mensaje ICMP. Normalmente, esta coincidencia se especifica junto con la protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17),mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138), node-information-request (139),node-information-reply (140)

Consulte también icmp-code variable.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Puertos de salida, VLAN, interfaces de IPv4 (inet) e interfaces IPv6 (inet6).

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o una unidad lógica.

Nota:

Una interfaz desde la que se envía un paquete no se puede usar como condición de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida e IPv6 (inet6).

ip-destination-address address

Dirección IPv4 que constituye la dirección de nodo de destino final del paquete.

Puertos de entrada, puertos de salida y VLANs.

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

ip-options

Especifica any si se debe crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también aparecen en la lista): critical-ecp(0XA0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xE0), priority (0x20) o routine (0x00).

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

ip-protocol number

Campo protocolo IP.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

ip-source-address domicilio

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o interfaz VLAN.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

is-fragment

El uso de esta condición produce una coincidencia si está habilitado el marcador más fragmentos en el encabezado IP o si el desplazamiento de fragmento no es cero.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

learn-1p-priority number

Coincide con los bits de prioridad IEEE 802.1 p VLAN especificados 0-7en el rango.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

learn-vlan-id number

Coincide con el ID de una VLAN normal o con el ID de la VLAN externa (servicio) (para VLAN Q-in-Q). Para utilizar la memoria de filtro de forma más eficiente y maximizar el número de filtros posibles, utilice user-id esta condición junto con el momento en que desee hacer coincidir el ID. Los valores aceptables son 1-4095.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

loss-priority (low | medium-low | medium-high | high)

Establecer la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción no se admite en combinación con policer la acción.

Interfaces IPv4 (inet) e IPv6 (inet6) de salida.

next-header value

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Interfaces IPv6 (inet6) de entrada.

Interfaces IPv6 de salida (inet6).

packet-length number

Longitud del paquete en bytes. Debe escribir un número entre 0 y 65535.

Interfaces de entrada puertos, VLAN, IPv4 (inet) e IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

precedence value

Bits de precedencia IP en el byte de tipo de servicio (ToS) del encabezado IP. (Este byte también se puede utilizar para el DSCP DiffServ.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces de IPv4 (inet) de entrada.

Interfaces de IPv4 (inet) de salida.

protocol type

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Interfaces de IPv4 (inet) de entrada.

Interfaces de IPv4 (inet) de salida.

source-address ip-address

IP Source address, que es la dirección del nodo que envió el paquete.

Interfaces IPv4 (inet) e interfaces IPv6 (inet6) de entrada.

Interfaces de IPv4 (inet) de salida e IPv6 (inet6).

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

source-mac-address mac-address

Dirección de dirección MAC de origen (MAC) del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

source-port value

Puerto de origen TCP o UDP. Normalmente, esta coincidencia se especifica junto con la protocol instrucción Match. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Puertos de salida, VLAN, interfaces de IPv4 (inet) e interfaces IPv6 (inet6).

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Puertos de salida, VLAN, interfaces de IPv4 (inet) e interfaces IPv6 (inet6).

tcp-established

Hacer coincidir paquetes de una conexión TCP establecida. Esta condición coincide con paquetes distintos de los utilizados para configurar una conexión TCP; es decir, no se hace coincidir paquetes de enlace de tres vías.

Cuando se especifica tcp-established, un modificador no comprueba implícitamente que el protocolo es TCP. También debe especificar la condición protocol tcp de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

tcp-flags value

Uno o más indicadores TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

tcp-initial

Busca una coincidencia con el primer paquete TCP de una conexión. Cuando se establece el indicador SYN TCP y no se establece el indicador ACK TCP, se produce una coincidencia.

Cuando se especifica tcp-initial, un modificador no comprueba implícitamente que el protocolo es TCP. También debe especificar la condición protocol tcp de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

traffic-class value

campo de 8 bits que especifica la prioridad de la clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usó anteriormente como campo de tipo de servicio (ToS) en IPv4, y la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

Interfaces IPv6 (inet6) de entrada.

Interfaces IPv6 de salida (inet6).

ttl value

Período de vida (TTL) de IP en formato decimal. El valor puede ser 1-255.

Interfaces de IPv4 (inet) de entrada.

Interfaces de IPv4 (inet) de salida.

Interfaz de IRB de entrada para el tejido de EVPN/VXLAN, si es aplicable

user-vlan-id number

Coincide con el identificador de la VLAN interna (cliente) en una VLAN Q-in-Q. Para utilizar la memoria de filtro de forma más eficiente y maximizar el número de filtros posibles learn-vlan-id , utilice la combinación con para hacer coincidir el ID. Los valores aceptables son 1-4095.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Utilice then las instrucciones para definir acciones que deberían tener lugar si un paquete coincide con todas from las condiciones de una instrucción. Tabla 2 muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema aceptará paquetes que coincidan con el filtro.)

Tabla 2: Realizadas

Intervención

Descriptiva

accept

Aceptar un paquete. Esta es la acción predeterminada para paquetes que coinciden con un término.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inaccesible" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,o tcp-reset.

Si lo especifica tcp-reset, el sistema envía un reinicio TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces de entrada.

routing-instance instance-name

Reenvía paquetes coincidentes a una instancia de enrutamiento virtual. (El único tipo de instancia admitido es virtual-router). Los paquetes se pueden reenviar a la instancia predeterminada.

vlan VLAN-name

Reenvía paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en interfaces de entrada.

Nota:

Esta acción no se admite en los conmutadores de la serie OCX.

También puede especificar los modificadores de acciones enumerados Tabla 3 en para recuento, reflejo, límite de tasa y paquetes de clasificación.

Tabla 3: Modificadores de acciones

Modificador de acción

Descriptiva

count counter-name

Cuente el número de paquetes que coinciden con el término.

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

log

Registra la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, escriba el show firewall log comando del modo operativo.

Nota:

El log modificador de acción solo es compatible con las interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

Establecer la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo es compatible con las interfaces de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con policer la acción.

policer policer-name

Enviar paquetes a una policía (con el fin de aplicar la limitación de velocidad).

Puede especificar una policía para los filtros de cortafuegos de entrada y salida, VLAN, IPv4 (inet) e IPv6 (inet6).

Nota:

El policer modificador de acción no se admite en combinación con loss-priority la acción.

port-mirror

(Plataformas ELS) Espejar el tráfico (paquetes de copia) a una interfaz de salida configurada en una instancia de [edit forwarding-options port-mirroring] creación de reflejo de puerto en el nivel de jerarquía.

Puede especificar la creación de reflejos de puertos para los filtros de Firewall de entrada y salida, VLAN, IPv4 (inet) e IPv6 (inet6).

port-mirror-instance port-mirror-instance-name

(Plataformas ELS) Reflejar el tráfico en una instancia de creación de reflejos configurada en el nivel de [edit forwarding-options port-mirroring] jerarquía.

Puede especificar la creación de reflejos de puertos para los filtros de Firewall de entrada y salida, VLAN, IPv4 (inet) e IPv6 (inet6).

Nota:

syslog

Registrar una alerta para este paquete.

Nota:

El syslog modificador de acción solo es compatible con las interfaces de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un responsable de tres colores (con el fin de aplicar la limitación de velocidad).

Puede especificar una policía de tres colores para filtros de entrada y salida, VLAN, IPv4 (inet) e IPv6 (inet6).

Nota:

El policer modificador de acción no se admite en combinación con loss-priority la acción.