防火墙过滤器匹配条件和操作（QFX10000交换机）

防火墙过滤器中的每个术语都由 匹配条件 和一个操作组成。匹配条件是数据包必须包含才能被视为匹配的字段和值。您可以在匹配语句中定义单个或多个匹配条件。您还可以不包含 match 语句，在这种情况下，术语将匹配所有数据包。

当数据包与过滤器匹配时，交换机将执行术语中指定的操作。此外，您还可以指定操作修饰符来对数据包进行计数、镜像、速率限制和分类。如果未为术语指定匹配条件，则交换机默认接受数据包。

本主题介绍可在交换机上的防火墙过滤器中定义的各种匹配条件、操作和操作修改器QFX10000。有关其他 QFX 交换机的类似信息，请参阅防火墙过滤器匹配条件和操作（QFX 和 EX 系列交换机）。

表 1 描述配置防火墙过滤器时可以指定的匹配条件。某些数字范围和位字段匹配条件允许您指定文本同义词。若要查看匹配条件的所有同义词的列表，请在语句中的适当位置键入。?
表 2 显示可以在术语中指定的操作。
表 3 显示可用于对数据包进行计数、镜像、速率限制和分类的操作修饰符。

表 1：支持的匹配条件（QFX10000交换机）
匹配条件	Description	方向和接口
`destination-address ip-address`	IP 目标地址字段，即最终目标节点的地址。	入口 IPv4 （inet）接口和 IPv6 （inet6）接口。出口 IPv4 （inet）接口和 IPv6 （inet6）接口。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`destination-mac-address mac-address`	数据包的目标介质访问控制（MAC）地址。	入口端口和 VLAN。出口端口和 VLAN。
`destination-port value`	TCP 或 UDP 目标端口字段。通常，将此匹配项与 match 语句一起指定。`protocol` 对于以下已知端口，可以指定文本同义词（还会列出端口号）：、、、、、 `afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)` 、、 `cmd (514)cvspserver (2401)` 、、 `dhcp (67)domain (53)` 、、，`eklogin (2105)ekshell (2106)exec (512)` 、、，`finger (79)ftp (21)ftp-data (20)` 、、 `http (80)https (443)` 、、 `ident (113)imap (143)` 、、、、、、 `kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)` 、、 `ldap (389)login (513)` 、、，`mobileip-agent (434)mobilip-mn (435)msdp (639)` 、、、、、、、 `netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)` 、、，`pop3 (110)pptp (1723)printer (515)` ，，，， `radacct (1813)radius (1812)rip (520)rkinit (2108)` 、、、 `smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)` 、、、、、 `tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)` `who (513)`、 `xdmcp (177)`、 `zephyr-clt (2103)`, `zephyr-hm (2104)`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`destination-prefix-list prefix-list`	IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在层次结构级别定义此列表。`[edit policy-options]`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。
`dscp value`	差异服务代码点（DSCP）。DiffServ 协议在 IP 报头中使用服务类型（ToS）字节。此字节中最重要的 6 位构成 DSCP。可以十六进制、二进制或十进制形式指定 DSCP。代替数值，您可以指定以下文本同义词之一（字段值也会列出）： `be`- 尽力而为（默认） — 如 RFC 3246“ 加速转发 PHB”中所定义。`ef (46)`http://www.ietf.org/rfc/rfc3246.txt 、、 ;`af11 (10)af12 (12)af13 (14)` 、、 ;`af21 (18)af22 (20)af23 (22)` 、、 ;`af31 (26)af32 (28)af33 (30)` 、、 `af41 (34)af42 (36)af43 (38)` 这四个类，每个类有三个丢弃优先级，总共 12 个代码点，在 RFC 2597 保证转发 PHB 中定义。http://www.ietf.org/rfc/rfc2597.txt 、、、 `cs0cs1cs2cs3cs4cs5cs6cs7cs5`	入口端口、VLAN 和 IPv4 （inet）接口。出口端口、VLAN 和 IPv4 （inet）接口。
`ether-type value`	数据包的以太网类型字段。EtherType 值指定在以太网帧中传输的协议。代替数值，您可以指定以下文本同义词之一（字段值也会列出）： `aarp (0x80F3)`—以太类型值 AARP `appletalk (0x809B)`—以太类型值AppleTalk `arp (0x0806)`—以太类型值 ARP `fcoe (0x8906)`—以太类型值 FCoE `fip (0x8914)`—以太类型值 FIP `ipv4 (0x0800)`—以太类型值 IPv4 `ipv6 (0x08DD)`—以太类型值 IPv6 `mpls-multicast (0x8848)`—以太类型值 MPLS 组播 `mpls-unicast (0x8847)`—以太类型值 MPLS 单播 `oam (0x88A8)`—以太类型值 OAM `ppp (0x880B)`—以太类型值购买力平价 `pppoe-discovery (0x8863)`—以太类型值 PPPoE 发现阶段 `pppoe-session (0x8864)`—以太类型值 PPPoE 会话阶段 `sna (0x80D5)`—以太类型值 SNA	入口端口和 VLAN。出口端口和 VLAN。
`forwarding-class class`	将数据包分类为以下默认转发类之一或用户定义的转发类： `best-effort` `fcoe` `network-control` `no-loss`	出口 IPv4 （inet）和 IPv6 （inet6）接口。
`fragment-flags value`	IP 分段标志。代替数值，可以指定以下文本同义词之一（还会列出十六进制值）： `is-fragment` `dont-fragment (0x4000)` `more-fragments (0x2000)` `reserved (0x8000)`	入口端口、VLAN 和 IPv4 （inet）接口。
`hop-limit value`	匹配指定的跃点限制或一组跃点限制。指定单个值或 0 到 255 之间的值范围。	入口和出口 IPv6 （inet6）接口。
`icmp-code value`	ICMP 代码字段。因为值的含义取决于关联的，所以必须为指定一个值和一个的值。`icmp-typeicmp-typeicmp-code` 要代替数值，您可以指定以下文本同义词之一（还会列出字段值）。关键字按与其关联的 ICMP 类型分组： IPv4：参数问题—， `ip-header-bad (0)required-option-missing (1)` IPv6：参数问题—、、 `ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)` —、、，`redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)` —， `time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)` IPv4：无法访问 — 、、、 `network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)` IPv6：无法访问—、、、、 `address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口
`icmp-type value`	ICMP 消息类型字段。通常，将此匹配项与 match 语句一起指定，以确定端口上使用的协议。`protocol` 代替数值，您可以指定以下文本同义词之一（字段值也会列出）： IPv4：，，， `echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)` IPv6：，，，， `destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)` 另请参阅。`icmp-code variable`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。
`interface interface-name`	接收数据包的接口，包括逻辑单元。您可以将通配符（）作为接口名称或逻辑单元的一部分包含在内。`*` 注：发送数据包的接口不能用作匹配条件。	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口 IPv4 （inet）接口和 IPv6 （inet6）接口。
`ip-destination-address address`	IPv4 地址，即数据包的最终目标节点地址。	入口端口、出口端口和 VLAN。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`ip-options`	如果在 IP 标头的选项字段中指定了任何内容，则指定以创建匹配项。`any`	入口端口、VLAN 和 IPv4 （inet）接口。
`ip-precedence ip-precedence-field`	IP 优先级字段。要代替数值字段值，您可以指定以下文本同义词之一（还会列出字段值）：（0xa0）、（0x60）、（0x80）、（0x40）、（0xc0）、（0xe0）、（0x20）或（0x00）。`critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine`	入口端口和 VLAN。出口端口和 VLAN。
`ip-protocol number`	IP 协议字段。	入口端口和 VLAN。出口端口和 VLAN。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`ip-source-address` `address`	发送数据包的源节点的 IPv4 地址。	入口端口和 VLAN。出口端口和 VLAN。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`ip-version address`	数据包的 IP 版本。使用此条件可匹配到达第 2 层端口或 VLAN 接口的流量中的 IPv4 或 IPv6 标头字段。	入口端口和 VLAN。出口端口和 VLAN。
`is-fragment`	如果在 IP 报头中启用了“更多片段”标志或片段偏移量不为零，则使用此条件会导致匹配。	入口端口、VLAN 和 IPv4 （inet）接口。出口 IPv4 （inet）接口。
`learn-1p-priority number`	匹配范围内指定的 IEEE 802.1p VLAN 优先级位。`0-7`	入口端口和 VLAN。出口端口和 VLAN。
`learn-vlan-id number`	匹配普通 VLAN 的 ID 或外部（服务）VLAN 的 ID（对于 Q-in-Q VLAN）。要最有效地使用过滤器内存并最大化可能的过滤器数量，除了要匹配内部（客户）VLAN ID 时，还要使用此条件。`user-id` 可接受的值为 1-4095。	入口端口和 VLAN。出口端口和 VLAN。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`loss-priority (low \| medium-low \| medium-high \| high)`	设置丢包优先级（PLP）。注：不支持将动作修饰符与动作结合使用。`loss-prioritypolicer`	出口 IPv4 （inet）和 IPv6 （inet6）接口。
`next-header value`	IPv4 或 IPv6 协议值。代替数值，可以指定以下文本同义词之一（还会列出数值）：，，，， `hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)`	入口 IPv6 （inet6）接口。出口 IPv6 （inet6）接口。
`packet-length number`	数据包长度（以字节为单位）。必须输入一个介于 0 和 65535 之间的数字。	入口端口、VLAN、IPv4 （inet）和 IPv6 （inet6）接口。出口 IPv4 （inet）接口。
`precedence value`	IP 报头中服务类型（ToS）字节中的 IP 优先级位。（此字节也可用于 DiffServ DSCP。代替数值，可以指定以下文本同义词之一（还会列出数值）： `routine (0)` `priority (1)` `immediate (2)` `flash (3)` `flash-override (4)` `critical-ecp (5)` `internet-control (6)` `net-control (7)`	入口 IPv4 （inet）接口。出口 IPv4 （inet）接口。
`protocol type`	IPv4 或 IPv6 协议值。代替数值，可以指定以下文本同义词之一（还会列出数值）：，，，， `hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)`	入口 IPv4 （inet）接口。出口 IPv4 （inet）接口。
`source-address ip-address`	IP 源地址字段，即发送数据包的节点的地址。	入口 IPv4 （inet）接口和 IPv6 （inet6）接口。出口 IPv4 （inet）接口和 IPv6 （inet6）接口。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`source-mac-address mac-address`	数据包的源媒体访问控制（MAC）地址。	入口端口和 VLAN。出口端口和 VLAN。
`source-port value`	TCP 或 UDP 源端口。通常，将此匹配项与 match 语句一起指定。`protocol` 您可以指定下列出的文本同义词之一，以代替数值字段。`destination-port`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`source-prefix-list prefix-list`	IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在层次结构级别定义此列表。`[edit policy-options]`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。
`tcp-established`	匹配已建立的 TCP 连接的数据包。此条件匹配用于设置 TCP 连接的数据包以外的数据包，也就是说，三次握手数据包不匹配。指定时，交换机不会隐式验证协议是否为 TCP。`tcp-established` 还必须指定匹配条件。`protocol tcp`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口 IPv4 （inet）接口。
`tcp-flags value`	一个或多个 TCP 标志： `ack (0x10)` `fin (0x01)` `push (0x08)` `rst (0x04)` `syn (0x02)` `urgent (0x20)`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口 IPv4 （inet）接口。
`tcp-initial`	匹配连接的第一个 TCP 数据包。当设置了 TCP 标志但未设置 TCP 标志时，将发生匹配。`SYNACK` 指定时，交换机不会隐式验证协议是否为 TCP。`tcp-initial` 还必须指定匹配条件。`protocol tcp`	入口端口、VLAN、IPv4 （inet）接口和 IPv6 （inet6）接口。出口 IPv4 （inet）接口。
`traffic-class value`	8 位字段，用于指定数据包的服务等级（CoS）优先级。信息流类字段用于指定 DiffServ 代码点（DSCP）值。此字段以前用作 IPv4 中的服务类型（ToS）字段，并且此字段的语义（例如 DSCP）与 IPv4 的语义相同。您可以指定以下文本同义词之一（还会列出字段值）：，，，， `af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)`	入口 IPv6 （inet6）接口。出口 IPv6 （inet6）接口。
`ttl value`	IP 生存时间（TTL）字段（以十进制表示）。该值可以是 1-255。	入口 IPv4 （inet）接口。出口 IPv4 （inet）接口。用于 EVPN/VXLAN 交换矩阵的入口 IRB 接口（如适用）
`user-vlan-id number`	匹配 Q-in-Q VLAN 中内部（客户）VLAN 的 ID。要最有效地使用过滤器内存并最大化可能的过滤器数量，请与以匹配外部（服务）VLAN ID。`learn-vlan-id` 可接受的值为 1-4095。	入口端口和 VLAN。出口端口和 VLAN。

使用语句定义数据包与语句中的所有条件匹配时应执行的操作。显示了可以在术语中指定的操作。 thenfrom表 2 （如果未包含语句，系统将接受与过滤器匹配的数据包。then

表 2：操作
操作	Description
`accept`	接受数据包。这是与术语匹配的数据包的默认操作。
`discard`	以静默方式丢弃数据包，而不发送互联网控制消息协议（ICMP）消息。
`reject message-type`	丢弃数据包并发送“目标无法访问”ICMPv4 消息（类型 3）。要记录被拒绝的数据包，请配置操作修改器。`syslog` 您可以指定以下消息类型之一：`administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,` 或 `tcp-reset`。如果指定，则当数据包是 TCP 数据包时，系统将发送 TCP 重置;否则不发送任何内容。`tcp-reset` 如果未指定消息类型，那么将发送 ICMP 通知“目标无法访问”，并附带默认消息“已管理性过滤的通信”。注：仅在入口接口上支持此操作。`reject`
`routing-instance instance-name`	将匹配的数据包转发到虚拟路由实例。（唯一支持的实例类型是 .）数据包可以转发到默认实例。`virtual-router`
`vlan VLAN-name`	将匹配的数据包转发到特定 VLAN。注：仅在入口接口上支持此操作。`vlan` 注： OCX 系列交换机不支持此操作。

您还可以指定中列出的操作修饰符，以对数据包进行计数、镜像、速率限制和分类。表 3

表 3：动作修改器
动作修改器	Description
`count counter-name`	计算与术语匹配的数据包数。
`forwarding-class class`	将数据包分类为以下默认转发类之一或用户定义的转发类： `best-effort` `fcoe` `mcast` `network-control` `no-loss` 注：要配置转发类，还必须配置丢失优先级。
`log`	在路由引擎中记录数据包的标头信息。要查看此信息，请输入操作模式命令。`show firewall log` 注：操作修饰符仅在入口接口上受支持。`log`
`loss-priority (low \| medium-low \| medium-high \| high)`	设置丢包优先级（PLP）。注：操作修饰符仅在入口接口上受支持。`loss-priority` 注：不支持将动作修饰符与动作结合使用。`loss-prioritypolicer`
`policer policer-name`	将数据包发送到监管器（以便应用速率限制）。您可以为入口和出口端口、VLAN、IPv4 （inet）和 IPv6 （inet6）防火墙过滤器指定监管器。注：不支持将动作修饰符与动作结合使用。`policerloss-priority`
`port-mirror`	（ELS 平台）将流量（复制数据包）镜像到在层次结构级别的端口镜像实例中配置的输出接口。`[edit forwarding-options port-mirroring]` 您可以为入口和出口端口、VLAN、IPv4 （inet）和 IPv6 （inet6）防火墙过滤器指定端口镜像。
`port-mirror-instance port-mirror-instance-name`	（ELS 平台）将流量镜像到在层次结构级别配置的端口镜像实例。`[edit forwarding-options port-mirroring]` 您可以为入口和出口端口、VLAN、IPv4 （inet）和 IPv6 （inet6）防火墙过滤器指定端口镜像。注：
`syslog`	记录此数据包的警报。注：操作修饰符仅在入口接口上受支持。`syslog`
`three-color-policer three-color-policer-name`	将数据包发送到三色监管器（用于应用速率限制）。您可以为入口和出口端口、VLAN、IPv4 （inet）和 IPv6 （inet6）过滤器指定三色监管器。注：不支持将动作修饰符与动作结合使用。`policerloss-priority`

防火墙过滤器匹配条件和操作（QFX10000交换机）

相关主题