Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones y acciones de coincidencia de filtro de firewall (conmutadores QFX10000)

Cada término en un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse coincidencia. Puede definir condiciones de coincidencia única o varias en instrucciones de coincidencia. También puede incluir instrucción no match, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, el conmutador realiza la acción especificada en el término. Además, puede especificar modificadores de acciones para contar, reflejar, límite de velocidad y clasificar paquetes. Si no se especifican condiciones de coincidencia para el término, el conmutador acepta el paquete de forma predeterminada.

En este tema se describen las diversas condiciones de coincidencia, acciones y modificadores de acción que puede definir en filtros de firewall en conmutadores QFX10000. Para obtener información similar acerca de otros conmutadores QFX, consulte Condiciones y acciones de coincidencia de filtro de firewall (conmutadores de las series QFX y EX).

  • Tabla 1 describe las condiciones de coincidencia que puede especificar al configurar un filtro de firewall. Algunas de las condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, escriba ? en el lugar adecuado de una instrucción.

  • Tabla 2 muestra las acciones que puede especificar en un término.

  • Tabla 3 muestra los modificadores de acciones que puede usar para contar, reflejar, límite de velocidad y clasificar paquetes.

Tabla 1: Condiciones de coincidencia compatibles (conmutadores QFX10000)

Condición de coincidencia

Descripción

Dirección e interfaz

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

Interfaces IPv4 (inet) de entrada e interfaces IPv6 (inet6).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

destination-mac-address mac-address

Dirección MAC de destino del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

destination-port value

Campo de puerto de destino TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. Para los siguientes puertos conocidos, puede especificar sinónimos de texto (los números de puerto también se enumeran):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513), las

xdmcp (177), las

zephyr-clt (2103), zephyr-hm (2104)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en forma hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

  • be—mejor esfuerzo (por defecto)

  • ef (46)—como se define en el RFC 3246, PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Puertos de salida, VLAN e interfaces IPv4 (inet).

ether-type value

Campo tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

  • aarp (0x80F3)—Valor EtherType AARP

  • appletalk (0x809B)—Valor EtherType AppleTalk

  • arp (0x0806)—Valor EtherType ARP

  • fcoe (0x8906)—Valor EtherType FCoE

  • fip (0x8914)—Valor EtherType FIP

  • ipv4 (0x0800)—Valor EtherType IPv4

  • ipv6 (0x08DD)—Valor EtherType IPv6

  • mpls-multicast (0x8848)—Valor EtherType MPLS multidifusión

  • mpls-unicast (0x8847)—Valor EtherType MPLS unidifusión

  • oam (0x88A8)—Valor EtherType OAM

  • ppp (0x880B)—Valor EtherType PPP

  • pppoe-discovery (0x8863)—Etapa de descubrimiento de PPPoE del valor EtherType

  • pppoe-session (0x8864)—Valor EtherType PPPoE Etapa de sesión

  • sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • network-control

  • no-loss

Interfaces IPv4 (inet) e IPv6 (inet6) de salida.

fragment-flags value

Indicadores de fragmentación de IP. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los valores hexadecimales):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

hop-limit value

Coincida con el límite de salto especificado o el conjunto de límites de salto. Especifique un solo valor o un rango de valores del 0 al 255.

Interfaces IPv6 (inet6) de entrada y salida.

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor para junto con un valor para icmp-typeicmp-code. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

  • IPv4: problema de parámetros—ip-header-bad (0), required-option-missing (1)

  • IPv6: problema de parámetros—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4: inalcanzable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2), fragmentation-needed (4)port-unreachable (3)destination-network-unknown (6)source-route-failed (5), destination-network-prohibited (9)source-host-isolated (8)destination-host-unknown (7)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)destination-host-prohibited (10), , , host-precedence-violation (14)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

  • IPv6: inalcanzable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0)port-unreachable (4)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6)

icmp-type value

Campo de tipo de mensaje ICMP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match para determinar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4)redirect (5), , echo-request (8)IPv4 (inet)-advertisement (9), , IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), , timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4)echo-request (128), echo-reply (129), , membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), , router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), router-renumbering (138), node-information-request (139)redirect (137)node-information-reply (140)

Consulte también icmp-code variable.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o de una unidad lógica.

Nota:

No se puede utilizar una interfaz desde la que se envía un paquete como condición de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada, puertos de salida y VLAN.

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

ip-options

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

ip-protocol number

Campo de protocolo IP.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

is-fragment

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

learn-1p-priority number

Hace coincidir los bits de prioridad VLAN IEEE 802.1p especificados en el intervalo 0-7.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

learn-vlan-id number

Hace coincidir el ID de una VLAN normal o el ID de la VLAN externa (de servicio) (para VLAN Q-in-Q). Para utilizar la memoria de filtro de manera más eficiente y maximizar la cantidad de filtros posibles, utilice esta condición además user-id de cuando desee hacer coincidir en el ID de VLAN interno (cliente). Los valores aceptables son 1-4095.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción no se admite en combinación con la policer acción.

Interfaces IPv4 (inet) e IPv6 (inet6) de salida.

next-header value

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 de entrada (inet6).

Interfaces IPv6 (inet6) de salida.

packet-length number

Longitud del paquete en bytes. Debe introducir un número entre 0 y 65535.

Interfaces de puertos de entrada, VLAN, IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 (inet) de salida.

precedence value

Bits de prioridad IP en el byte de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede usar para diffServ DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 (inet) de entrada.

Interfaces IPv4 (inet) de salida.

protocol type

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv4 (inet) de entrada.

Interfaces IPv4 (inet) de salida.

source-address ip-address

Campo de dirección ip de origen, que es la dirección del nodo que envió el paquete.

Interfaces IPv4 (inet) de entrada e interfaces IPv6 (inet6).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

source-mac-address mac-address

Dirección MAC del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

source-port value

Puerto de origen TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

source-prefix-list prefix-list

Lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

tcp-established

Hacer coincidir paquetes de una conexión TCP establecida. Esta condición coincide con paquetes distintos de los utilizados para configurar una conexión TCP, es decir, no se coinciden los paquetes de enlace de tres vías.

Cuando especifica tcp-established, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-flags value

Uno o más indicadores TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-initial

Coincida con el primer paquete TCP de una conexión. Se produce una coincidencia cuando el indicador SYN TCP está establecido y el indicador ACK TCP no está establecido.

Cuando especifica tcp-initial, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

traffic-class value

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 de entrada (inet6).

Interfaces IPv6 (inet6) de salida.

ttl value

Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255.

Interfaces IPv4 (inet) de entrada.

Interfaces IPv4 (inet) de salida.

Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda

user-vlan-id number

Hace coincidir el ID de la VLAN interna (del cliente) en una VLAN Q-in-Q. Para usar la memoria de filtro de manera más eficiente y maximizar la cantidad de filtros posibles, use en combinación con para que coincida con learn-vlan-id el ID de VLAN externo (servicio). Los valores aceptables son 1-4095.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

Use then instrucciones para definir acciones que deberían producirse si un paquete coincide con todas las condiciones de una from instrucción. Tabla 2 Muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.)

Tabla 2: Acciones

Acción

Descripción

accept

Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.

discard

Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, o tcp-reset.

Si especifica tcp-reset, el sistema envía un restablecimiento TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces de entrada.

routing-instance instance-name

Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual. (El único tipo de instancia compatible es virtual-router.) Los paquetes se pueden reenviar a la instancia predeterminada.

vlan VLAN-name

Reenviar paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en interfaces de entrada.

Nota:

Esta acción no se admite en conmutadores de la serie OCX.

También puede especificar los modificadores de acciones enumerados Tabla 3 para contar, reflejar, límite de velocidad y clasificar paquetes.

Tabla 3: Modificadores de acción

Modificador de acción

Descripción

count counter-name

Cuente la cantidad de paquetes que coincidan con el término.

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

log

Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando de show firewall log modo operativo.

Nota:

El log modificador de acción solo se admite en interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo se admite en interfaces de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con la policer acción.

policer policer-name

Enviar paquetes a un agente de policía (con el propósito de aplicar una limitación de velocidad).

Puede especificar un agente de policía para el puerto de entrada y salida, VLAN, filtros de firewall IPv4 (inet) y IPv6 (inet6).

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

port-mirror

(Plataformas ELS) Espejo de tráfico (copiar paquetes) en una interfaz de salida configurada en una instancia de duplicación de puerto en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puertos para los puertos de entrada y salida, los filtros de firewall VLAN, IPv4 (inet) y IPv6 (inet6).

port-mirror-instance port-mirror-instance-name

(Plataformas ELS) Espejo de tráfico en una instancia de duplicación de puerto configurada en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puertos para los puertos de entrada y salida, los filtros de firewall VLAN, IPv4 (inet) y IPv6 (inet6).

Nota:

syslog

Registre una alerta para este paquete.

Nota:

El syslog modificador de acción solo se admite en interfaces de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar una limitación de velocidad).

Puede especificar un agente de policía de tres colores para los filtros de entrada y salida, VLAN, IPv4 (inet) e IPv6 (inet6).

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.