Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Условия совпадения фильтра межсетевых экранов, действия и модификаторы действий для коммутаторов серии EX

Когда определяется фильтр брандмауэра для коммутаторасерии EX, определяются критерии фильтрации (термины с условиями соответствия)для пакетов и действия (и, дополнительно, модификатор действий), которые коммутатор должен принять, если пакеты соответствуют критериям фильтрации. Можно определить фильтр межсетевых экранов для мониторинга трафика IPv4, IPv6 или не IP.

В этой теме подробно описываются различные условия совпадения, действия и модификаторы действий, которые можно определить с помощью фильтра межсетевых экранов. Для получения сведений о поддержке условий совпадения на различных коммутаторах серии EX см. "Поддержка платформы для условий совпадения фильтра межсетевых экранов, действий и модификаторов действия на коммутаторах серии EX".

Элементы фильтрации межсетевых экранов

Конфигурация фильтра брандмауэра содержит термин, условие совпадения, действие и, дополнительно, модификатор действия. Табл. 1 описывает каждый элемент в конфигурации фильтра межсетевых экранов.

Табл. 1: Элементы конфигурации фильтра брандмауэра

Element Name

Описание

Термин

Определяет критерии фильтрации для пакетов. Каждый термин фильтра межсетевых экранов состоит из условий совпадения и действия. В фильтре межсетевых экранов можно определить один или несколько терминов. При определении нескольких терминов каждый из них должен иметь уникальное имя.

Условие совпадения

Состоит из строки (называемой строкой совпадения),определяемой условием совпадения. Условия совпадения – это значения или поля, которые должны содержать пакеты. Можно определить одно условие совпадения или несколько условий совпадения для определенного термина. Можно также отказаться от определения условия совпадения. Если для термины не заданы условия совпадения, по умолчанию со всеми пакетами совпадают.

Действий

Указывает действие, которое коммутатор принимает, если пакет соответствует всем критериям, заданным в условиях соответствия.

Модификатор действий

Указывает одно или несколько действий, которые коммутатор делает, если пакет соответствует условиям совпадения в течение определенного срока.

Условия совпадения, поддерживаемые на коммутаторах

В зависимости от типа трафика, который необходимо отслеживать, можно настроить фильтр брандмауэра для мониторинга трафика IPv4, IPv6 или вне IP. При настройке фильтра межсетевых экранов для отслеживания определенного типа трафика убедитесь, что заданной являются условия совпадения, которые поддерживаются для этого типа трафика. Для получения сведений об условиях совпадения, которые поддерживаются для конкретного типа трафика и коммутаторов, см. "Поддержка платформы для условий совпадения фильтра межсетевых экранов, действий и модификаторов действия на коммутаторах серии EX".

Табл. 2 описывает все условия совпадения, которые поддерживаются для фильтров межсетевых экранов на коммутаторах серии EX.

Табл. 2: Условия совпадения фильтра межсетевых экранов, поддерживаемые на коммутаторах серии EX

Условие совпадения

Описание

destination-address ip-address

Поле IP-адреса назначения ( адрес конечного узла назначения).

ip-destination-address ip-address

Поле IP-адреса назначения ( адрес конечного узла назначения).

ip6-destination-address ip-address

Поле IP-адреса назначения ( адрес конечного узла назначения).

destination-mac-address mac-address

Адрес MAC-адрес (MAC) пакета.

Назначение можно определить MAC-адрес с префиксом, destination-mac-address 00:01:02:03:04:05/24 например. Если не задан ни один префикс, используется значение по умолчанию 48.

destination-port number

Поле порта назначения TCP или UDP. Обычно это условие совпадения определяется в сочетании с условием или условием protocolip-protocol совпадения, чтобы определить протокол, используемый на порте. Для numberможно указать одно из следующих текстовых синнимов (номера портов также перечислены):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813),radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103), zephyr-hm (2104)

destination-prefix-list prefix-list

Поле списка префиксов IP-адресата.

Для частого использования можно определить список префиксов IP-адресов под псевдонимом префикса- списка. Это состояние совпадения определяется на [edit policy-options] уровне иерархии.

dot1q-tag number

Поле тега в загоне Ethernet. Значения тега варьируются от 1 до 4095. Условия dot1q-tag совпадения и условия vlan совпадения являются взаимоисключающими.

user-vlan-id number

Поле тега в загоне Ethernet. Значения тега варьируются от 1 до 4095. Условия user-vlan-id совпадения и условия learn-vlan-id совпадения являются взаимоисключающими.

dot1q-user-priority number

Поле приоритета пользователя тегированного пакета Ethernet. Значения приоритета пользователя могут колебаться от 0 до 7.

Для numberможно указать одно из следующих текстовых синонимов (в списке также указаны значения поля):

  • background (1)— Фоновая информация

  • best-effort (0)— Наилучшие усилия

  • controlled-load (4)— Контрольная нагрузка

  • excellent-load (3)- Отличная нагрузка

  • network-control (7)- Управление сетью зарезервированного трафика

  • standard (2)— стандартный или запасной

  • video (5)— Видео

  • voice (6)— Голосовые

user-vlan-1p-priority number

Поле приоритета пользователя тегированного пакета Ethernet. Значения приоритета пользователя могут колебаться от 0 до 7.

Для numberможно указать одно из следующих текстовых синонимов (в списке также указаны значения поля):

  • background (1)— Фоновая информация

  • best-effort (0)— Наилучшие усилия

  • controlled-load (4)— Контрольная нагрузка

  • excellent-load (3)- Отличная нагрузка

  • network-control (7)- Управление сетью зарезервированного трафика

  • standard (2)— стандартный или запасной

  • video (5)— Видео

  • voice (6)— Голосовые

dscp number

Указывает точку кода дифференцированного обслуживания (DSCP). Протокол DiffServ использует тип обслуживания (ToS) в IP-загоне. Наиболее значимые шесть битов этого byte образуют DSCP.

DSCP можно указать в коде dSCP в форме hexadecimal, binary или decimal.

Для numberможно указать одно из следующих текстовых синонимов (в списке также указаны значения поля):

  • ef (46)(как определено в RFC 2598,PHB срочной переадребовки.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Эти четыре класса с тремя приоритетами сброса в каждом классе определены для 12 кодовых точек в RFC 2597, гарантированная переадребовка PHB Group.

ether-type value

Поле типа Ethernet пакета. Это значение указывает, какой протокол был доставлен в кадре Ethernet. Для значенияможно указать один из следующих текстовых синонимов:

  • aarp- Значение EtherType AARP (0x80F3)

  • appletalk- Значение EtherType AppleTalk (0x809B)

  • arp- Значение EtherType ARP (0x0806)

  • ipv4- Значение EtherType IPv4 (0x0800)

  • ipv6- Значение EtherType IPv6 (0x08DD)

  • mpls multicast- Значение EtherType MPLS (0x8848)

  • mpls unicast- Значение EtherType MPLS (0x8847)

  • oam- Значение EtherType OAM (0x88A8)

  • ppp- Значение EtherType PPP (0x880B)

  • pppoe-discovery- Значение EtherType: этап обнаружения PPPoE (0x8863)

  • pppoe-session- Этап сеанса PPPoE (0x8864)

  • sna- Значение EtherType SNA (0x80D5)

Прим.:

Следующие условия совпадения не поддерживаются, ether-type если установлено: ipv6

  • dscp

  • fragment-flags

  • is-fragment

  • precedence Или ip-precedence

  • protocol Или ip-protocol

fragment-flags fragment-flags

Флаги фрагментации IP, указанные в символьном или hexademal формате. Можно указать один из следующих параметров:

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

gbp-dst-tag Со соответствовать метке назначения, для использования с микро сегментацией на VXLAN, как описано здесь: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN
gbp-src-tag Со соответствовать тегу источника, для использования с микро сегментацией на VXLAN, как описано здесь: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

icmp-code number

Поле кода ICMP. Это значение или параметр предоставляют более конкретные сведения, чем icmp-type . Так как значение значения зависит от icmp-type связанного, необходимо указать вместе с icmp-typeicmp-code . Для numberможно указать одно из следующих текстовых синонимов (также перечислены значения поля). Параметры группируются по типу ICMP, с которым они связаны:

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1)redirect-for-network (0) , redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10) , , , destination-host-unknown (7) , , , , destination-network-prohibited (9) , destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3) , precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

Поле типа пакета ICMP. Обычно это условие совпадения определяется в сочетании с условием или условием совпадения, чтобы определить protocolip-protocol протокол, используемый на порте. Для numberможно указать одно из следующих текстовых синонимов (в списке также указаны значения поля):

echo-reply (0), echo-request (8), info-reply (16), info-request (15),mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3)

interface interface-name

Интерфейс, на котором получен пакет. В качестве части имени интерфейса можно * указать символ подинтерфейта ().

Прим.:

Условие interface совпадения не поддерживается для трафика, выпадаемного на EX8200 Virtual Chassis.

ip-options

Присутствие полей параметров в IP-загоере.

ip-version version match_condition (s)

Версия ПРОТОКОЛА IP для фильтров порта и межсетевых экранов VLAN. Значение для версии может быть ipv4ipv6 или.

Для match_condition)можно указать одно или несколько условий совпадения:

  • destination-address, ip-destination-address или ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence Или ip-precedence

  • protocol Или ip-protocol

  • source-address Или ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

Если пакет является первым фрагментом, данное условие совпадения не совпадает с первым фрагментом фрагментированного пакета. Используйте два термина для совпадения как первого, так и заднего фрагментов.

Прим.:

Из-за ограничения на EX2300, EX3400 и EX4300, это условие совпадения не соответствует последнему фрагменту фрагментированного пакета, примененного к "семейство ethernet-коммутации".

l2-encap-type llc-non-snap

Соповедите пакеты уровня управления логическим соединением (LLC) для неподсетного протокола доступа (SNAP) типа инкапсуляции Ethernet.

next-header bytes

8-битное поле протокола, которое определяет тип загона непосредственно после загона IPv6. В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей):

ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (1), igmp (2), ipip (4), ipv6 (41), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17), vrrp (112)

packet-length bytes

Длина полученного пакета в bytes.

Длина относится только к IP-пакету, включая заголовок пакета, и не включает в себя слою инкапсуляции уровня 2.

precedence precedence

Приоритет IP-адреса. Для приоритетаможно указать один из следующих текстовых синнимов (в списке также указаны значения поля):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

ip-precedence precedence

Приоритет IP-адреса. Для приоритетаможно указать один из следующих текстовых синнимов (в списке также указаны значения поля):

critical-ecp (5), flash (3), flash-override (4), immediate (2), internet-control (6), net-control (7), priority (1), routine (0)

protocol list of protocol

Значение протокола IPv4. Для протоколовможно указать одно из следующих текстовых синонимов:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

ip-protocol list of protocol

Значение протокола IPv4. Для протоколовможно указать одно из следующих текстовых синонимов:

egp (8), esp (50), gre (47), icmp (1), igmp (2), ipip (4), ospf (89), pim (103), rsvp (46), tcp (6), udp (17)

source-address ip-address

Поле IP-адреса источника , которое является адресом узла источника, отправляя пакет. В IPv6 длина поля адреса источника составляет 128 бит. Синтаксис описания фильтра поддерживает текстовое представление для адресов IPv6, описанных в RFC 2373, IP-версия 6 Адресация архитектура.

ip-source-address (ip-address | ip6-address)

Поле IP-адреса источника , которое является адресом узла источника, отправляя пакет. Можно указать адрес IPv4 ip-address () или адрес IPv6 ip6-address (). В IPv6 длина поля ip-source-address составляет 128 бит. Синтаксис описания фильтра поддерживает текстовое представление для адресов IPv6, описанных в RFC 2373, IP-версия 6 Адресация архитектура.

source-mac-address mac-address

Исходные MAC-адрес.

Источник можно определить MAC-адрес с префиксом, source-mac-address 00:01:02:03:04:05/24 например. Если не задан ни один префикс, используется значение по умолчанию 48.

source-port number

Поле TCP или source-port UDP. Обычно это совпадение указывается в сочетании с условием или условием совпадения, чтобы определить protocolip-protocol протокол, используемый на порте. Для numberможно указать один из текстовых синнимов, указанных в destination-port списке.

source-prefix-list prefix-list

Поле списка префиксов IP-источника.

Для частого использования можно определить список префиксов IP-адресов под псевдонимом префикса- списка. Это состояние совпадения определяется на [edit policy-options] уровне иерархии.

tcp-established

TCP-пакеты установленного соединения TCP. Это условие соответствует пакетам, кроме первого пакета соединения. tcp-established является синонимом имен "(ack | rst)" битов.

tcp-established не проверяет, является ли протокол TCP неявным. Для этого укажите условие next-header tcp совпадения.

tcp-flags (flags tcp-initial)

Один или несколько флагов TCP:

  • bit-name finsyn , , rstpush , ackurgent

  • логические операторы & (логические AND), | (логические OR), ! (отрицание)

  • цифровое значение — 0x01 через 0x20

  • текстовый синоним —tcp-initial

Чтобы указать несколько флагов, используйте логические операторы.

tcp-initial

Соответствует первому TCP-пакету соединения. tcp-initial является синонимом имен "(syn&!ack)" битов.

tcp-initial не проверяет, является ли протокол TCP неявным. Для этого укажите условие protocol tcpip-protocol tcp совпадения.

traffic-class number

Указывается кодовая точка DSCP для пакета.

ttl value

Тип TTL для совпадения. Значение варьируется от 1 до 255.

vlan (vlan-name | vlan-id)

VLAN, связанная с пакетом. Для vlan-idможно указать либо ID VLAN, либо диапазон VLAN. Условия vlan совпадения и условия dot1q-tag совпадения являются взаимоисключающими.

learn-vlan-id (vlan-name | vlan-id)

VLAN, связанная с пакетом. Для vlan-idможно указать либо ID VLAN, либо диапазон VLAN. Условия vlan совпадения и условия user-vlan-id совпадения являются взаимоисключающими.

Действия для фильтров межсетевых экранов

Можно определить действие, которое должен принять коммутатор, если пакет соответствует критериям фильтрации, определенным в условии соответствия. Табл. 3 описывает действия, поддерживаемые конфигурацией фильтра межсетевых экранов.

Табл. 3: Действия для фильтров межсетевых экранов

Действий

Описание

accept

Примите пакет.

discard

Тихо отбросьте пакет без отправки сообщения протокола управления Интернет (ICMP).

reject message-type

Отбросьте пакет и отправьте сообщение ICMPv4 (тип 3) destination unreachable . Для настройки модификатора действия можно заходить в журнал syslog отклоненных пакетов.

Можно указать один из следующих кодов сообщений: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

Если tcp-reset указано, то возвращается сброс TCP, если пакет является TCP-пакетом. В противном случае ничего не возвращается.

Если тип сообщения не указан, то уведомление ICMP destination unreachable отправляется с сообщением по communication administratively filtered умолчанию.

routing-instance routing-instance-name

Перена продвижения совпадающих пакетов в виртуальный экземпляр маршрутов.

Прим.:

EX4200 не поддерживают перенаправление на основе фильтра межсетевых экранов на экземпляр маршрутов по умолчанию.

vlan vlan-name

Перена продвижения совпаданых пакетов в определенную VLAN. Убедитесь, что задано имя VLAN или ID VLAN, а не диапазон VLAN, так как это действие не поддерживает vlanпараметр vlan-range.

Прим.:

Если была определена VLAN, которая включена для туннелинга dot1q, то эта конкретная VLAN не поддерживается как действие (с использованием действия) для фильтра в действие межсетевых экранов vlan vlan-name VLAN.

Модификаторы действия для фильтров межсетевых экранов

В дополнение к действиям, описанным в описании, можно определить модификаторы действий в конфигурации фильтра брандмауэра для коммутатора, если пакеты соответствуют критериям фильтрации, определенным в условии соответствия. Описывает модификаторы действия, которые поддерживаются в конфигурации фильтра межсетевых Табл. 3Табл. 4 экранов.

Табл. 4: Модификаторы действия для фильтров межсетевых экранов

Модификатор действия

Описание

analyzer analyzer-name

Зеркальный трафик порта к указанному порту назначения или VLAN, подключенной к приложению анализатора протоколов. Копирование всех пакетов, которые видны на одном порте коммутатора, на соединение для мониторинга сети на другой порт коммутатора. Имя анализатора необходимо сконфигурировать под [edit ethernet-switching-options analyzer] .

Прим.:

analyzer не поддерживает модификатор действий для интерфейса управления.

Прим.:

На EX4500 коммутаторах можно настроить только один анализатор и включить его в фильтр межсетевых экранов. При настройке нескольких анализаторов один из этих анализаторов не может быть включен в фильтр межсетевых экранов.

dscp number

Измените значение DSCP для совпадает с значением DSCP, заданным модификатором действия. number указывает код DSCP. Протокол DiffServ использует тип обслуживания (ToS) в IP-загоне. Наиболее значимые шесть битов этого byte образуют DSCP.

DSCP можно указать в коде dSCP в форме hexadecimal, binary или decimal.

Для numberможно указать одно из следующих текстовых синонимов (в списке также указаны значения поля):

  • ef (46)(как определено в RFC 2598,PHB срочной переадребовки.

  • af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22),

    af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38)

    Эти четыре класса с тремя приоритетами сброса в каждом классе определены для 12 кодовых точек в RFC 2597, гарантированная переадребовка PHB Group.

count counter-name

Посчитайте число пакетов, которые проходят этот фильтр, термин или policer. Ограничитер позволяет указать ограничения скорости трафика, в который входит интерфейс коммутатора.

Прим.:

На EX4300 коммутаторах можно настроить то же число счетчиков и счетчиков, что и количество терминов в адресной памяти содержимого (TCAM).

forwarding-class class

Классифицировать пакет в одном из следующих классов переад через:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag (только EX4400) Установите тег источника политики на основе группы (0.65535) для использования с микро-сегментацией на VXLAN, как описано здесь: Example: Micro and Macro Segmentation using Group Based Policy in a VXLAN

interface interface-name

Перенашлю трафик на указанный интерфейс, минуя просмотр коммутатора.

log

За log the packet's header information in the модуль маршрутизации. Чтобы просмотреть эти сведения, в show firewall log командной интерфейс командной строки.

Прим.:

Если модификатор или модификатор действия настроены вместе с действием или модификатором действия, события могут logsyslog не vlaninterface регистрироваться. Однако функции интерфейса перенаправления работают, как ожидалось.

loss-priority (high | low)

Установите приоритет потери пакетов (PLP).

policer policer-name

Применение ограничений скорости к трафику.

В фильтре межсетевых экранов можно указать policer только для взламывного трафика на порту, VLAN и маршрутизаторе.

Прим.:

Счетчик для policer не поддерживается на EX8200 коммутаторах.

Прим.:

На EX4300 коммутаторах можно настроить то же число счетчиков и счетчиков, что и количество терминов в TCAM.

port-mirror

Зеркальные пакеты для интерфейса, определенного в [edit forwarding-options analyzer] иерархии.

port-mirror-instance instance-name

Зеркальные пакеты для экземпляра, определенного в [edit forwarding-options analyzer] иерархии.

syslog

Зайдите в журнал предупреждений для этого пакета. Можно указать, что журнал должен быть отправлен на сервер для хранения и анализа.

Прим.:

Если модификатор или модификатор действия настроены вместе с действием или модификатором действия, события могут logsyslog не vlaninterface регистрироваться. Однако функции интерфейса перенаправления работают, как ожидалось.

three-color-policer

Примените трехцветный policer.