防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
防火墙过滤器匹配条件和操作(EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5700)
防火墙过滤器中的每个术语都由 匹配条件 和一个 操作组成。匹配条件是数据包必须包含才能被视为匹配的字段和值。您可以在匹配语句中定义单个或多个 匹配条件。您还可以不包含 match 语句,在这种情况下,术语将匹配所有数据包。
当数据包与过滤器匹配时,交换机将执行术语中指定的操作。此外,您还可以指定操作修饰符来对数据包进行计数、镜像、速率限制和分类。如果未为术语指定匹配条件,则交换机默认接受数据包。
表 2 描述配置防火墙过滤器时可以指定的匹配条件。某些数字范围和位字段匹配条件允许您指定文本同义词。若要查看匹配条件的所有同义词的列表,请在语句中的适当位置键入 。
?表 3 显示可以在术语中指定的操作。
表 4 显示可用于对数据包进行计数、镜像、速率限制和分类的操作修饰符。
对于特定交换机上的匹配条件,以下限制适用:
|
(QFX5100、QFX5110、QFX5200)在 IPv6 接口上使用基于过滤器的转发时,(入口方向)仅支持以下匹配条件:、 、 、 和 。 |
|
(QFX5110)在层次结构下启用该选项时,仅支持 、 和操作。 |
| (QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700)在 EVPN-VXLAN 环境中,仅支持以下匹配条件:、 、 、 、 和 。 |
| (QFX5100、QFX5110、QFX5200)您无法在 EVPN-VXLAN IRB 接口上的出口方向应用防火墙过滤器。 |
| (QFX5700)您无法在环路接口上的出口方向应用防火墙过滤器。 |
| (QFX5100、QFX5110)如果使用防火墙过滤器在 EVPN-VXLAN 环境中实施 MAC 过滤,请参阅 EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持 ,了解支持的匹配条件。MAC Filtering, Storm Control, and Port Mirroring Support in an EVPN-VXLAN Environment |
| (QFX5100、QFX5110)对于应用于 VXLAN 的每个防火墙过滤器,您可以指定过滤第 2 层 (以太网) 数据包,也可以指定过滤 IRB 接口。 |
|
在不支持第 2 层功能的交换机上,请仅使用对 IPv4 和 IPv6 接口有效的匹配条件。 |
|
(QFX5120,EX4650)从 Junos 版本 21.4R1 开始,QFX5120 和 EX4650 上的 EVPN-VXLAN 环境支持以下匹配条件:,和 。 |
| 从 Junos OS 21.4R1 版开始,层次结构级别下 支持源端口范围优化和目标端口范围优化条件。 |
|
从 Junos 版本 22.4R1 开始,在受支持的 EX4100、EX4400、EX4650 和 QFX5120 系列交换机上的 EVPN-VXLAN 环境中的 GBP 标记支持以下匹配条件:、 、 、 + 组合和 。 |
|
从 Junos 版本 23.2R1 开始,EX4100 系列、EX4400 系列、EX4650 系列、QFX5120-32C 和 QFX5120-48Y 交换机的策略实施支持新的 IPV4 和 IPv6 L4 匹配。 |
| 从 Junos OS 23.4R1 及更高版本开始,在受支持的 EX4100、EX4400、EX4650 和 QFX5120 系列交换机上的 EVPN-VXLAN 环境中支持 | 和匹配条件。 |
匹配条件 |
Description |
方向和接口 |
|---|---|---|
|
ARP 请求数据包或 ARP 回复数据包。 |
出口和入口接口。 |
|
IP 目标地址字段,即最终目标节点的地址。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。 |
|
数据包的目标介质访问控制 (MAC) 地址。 |
入口端口、VLAN 和 IPv4 (inet) 接口。 出口端口和 VLAN。 |
|
TCP 或 UDP 目标端口字段。通常,将此匹配项与 match 语句一起指定。 、 、 、 、 、 、 、 、 、 、 、 , 、 、 , 、 、 、 、 、 、 、 、 、 、 、 、 、 、 , 、 、 、 、 、 、 、 、 、 , ,, , , 、 、 、 、 、 、 、 、
|
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
匹配一系列 TCP 或 UDP 端口范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个目标端口更多的防火墙过滤器。(不支持基于过滤器的转发。 |
入口端口、VLAN、IPv4 (inet) 接口。 |
|
IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 层次结构级别定义此列表。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。 |
|
差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。 可以十六进制、二进制或十进制形式指定 DSCP。 代替数值,您可以指定以下文本同义词之一(字段值也会列出):
|
入口端口、VLAN 和 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
数据包的以太网类型字段。EtherType 值指定在以太网帧中传输的协议。代替数值,您可以指定以下文本同义词之一(字段值也会列出):
|
入口端口和 VLAN。 出口端口和 VLAN。 |
|
包括此选项可将出口 VLAN 防火墙过滤器术语的数量从 1024 增加到 2048。 |
出口 VLAN IPv4 (inet) 接口和 IPv6 (inet6) 接口。 |
|
在 MPLS EXP 位上进行匹配。 |
入口 MPLS 接口。 出口 MPLS 接口。 |
|
IP 分段标志。代替数值,可以指定以下文本同义词之一(还会列出十六进制值):
|
入口端口和 VLAN。 |
|
|
匹配目标标记,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。 |
不适用 |
|
|
匹配源标记,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。 |
不适用 |
|
ICMP 代码字段。因为值的含义取决于关联的 ,所以必须为 指定 一个值和一个 的值 。
|
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
匹配指定的跃点限制或一组跃点限制。指定单个值或 0 到 255 之间的值范围。 |
入口和出口 IPv6 (inet6) 接口。 注:
QFX3500交换机、QFX3600交换机、QFX5100交换机、QFX5120交换机、QFX5110交换机、QFX5200交换机和QFX5210交换机上的出口方向不受支持。 |
|
|
匹配 IPv4 或 IPv6 源地址或目标地址,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
入口和出口(系统范围)。 |
ip-version ipv4 destination-port DST_PORT |
匹配 TCP/UDP 目标端口,以便与 GBP 策略过滤器 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 source-port SRC_PORT |
匹配 TCP/UDP 源端口,以便与 GBP 策略过滤器 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 ip-protocol PROTOCOL |
匹配 IP 协议类型,以便与 GBP 策略过滤器 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 is-fragment |
如果数据包是分片,则匹配,以便与 GBP 策略过滤器 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 fragment-flag FLAGS |
匹配片段标志(符号或十六进制格式),以便与 GBP 策略过滤器 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 ttlValue |
IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。用于 GBP 策略过滤器 L4 匹配项,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 tcp-flagsFLAGS |
匹配一个或多个 TCP 标志(符号或十六进制格式),以便与 GBP 策略 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 tcp-initial |
匹配连接的第一个 TCP 数据包。用于 GBP 策略 L4 匹配项,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv4 tcp-established |
匹配已建立的 TCP 连接的数据包,以便与 GBP 策略 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv6 source-port SRC_PORT |
匹配 TCP/UDP 源端口,以便与 GBP 策略 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv6 destination-port DST_PORT |
匹配 TCP/UDP 目标端口,以便与 GBP 策略过滤器 L4 匹配,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv6 next-header PROTOCOL |
匹配下一个报头协议类型,以便与 GBP 策略 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv6 tcp-flagsFLAGS |
匹配 TCP 标志,以便与 GBP 策略 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv6 tcp-initial |
匹配已建立的 TCP 连接的初始数据包,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
ip-version ipv6 tcp-established |
匹配已建立的 TCP 连接的数据包,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段 |
仅限入口。 |
|
ICMP 消息类型字段。通常,将此匹配项与 match 语句一起指定,以确定端口上使用的协议。 IPv4:, , , IPv6:, , , , 另 请参阅。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
接收数据包的接口,包括逻辑单元。您可以将通配符 () 作为接口名称或逻辑单元的一部分包含在内。 注:
发送数据包的接口不能用作匹配条件。 匹配筛选器中同一术语下的接口列表。用于 VXLAN 上的微分段,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。 |
|
IPv4 地址,即数据包的最终目标节点地址。 |
入口端口和 VLAN。 |
|
IPv6 地址,即数据包的最终目标节点地址。 |
入口端口和 VLAN。(您不能同时将具有此匹配标准的过滤器应用于包含该端口的第 2 层端口和 VLAN。) |
|
如果在 IP 标头的选项字段中指定了任何内容,则指定 以创建匹配项。 |
入口端口、VLAN 和 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值): (0xa0)、 (0x60)、 (0x80)、 (0x40)、 (0xc0)、 (0xe0)、 (0x20)或 (0x00)。 |
入口端口、VLAN 和 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
IP 协议字段。 |
入口端口、VLAN 和 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
发送数据包的源节点的 IPv4 地址。 |
入口端口和 VLAN。 |
|
发送数据包的源节点的 IPv6 地址。 |
入口端口和 VLAN。(您不能同时将具有此匹配标准的过滤器应用于包含该端口的第 2 层端口和 VLAN。) |
|
数据包的 IP 版本。使用此条件可匹配到达第 2 层端口或 VLAN 接口的流量中的 IPv4 或 IPv6 标头字段。 |
入口端口和 VLAN。 |
|
如果在 IP 报头中启用了“更多片段”标志或片段偏移量不为零,则使用此条件会导致匹配。 |
入口端口、VLAN 和 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
在逻辑链路控制 (LLC) 层上匹配非子网访问协议 (SNAP) 以太网封装类型的数据包。 |
入口端口和 VLAN。 出口端口和 VLAN。 |
|
在 MPLS 标签位上进行匹配。 |
入口 MPLS 接口。 出口 MPLS 接口。 |
|
匹配普通 VLAN 的 ID 或外部(服务)VLAN 的 ID(对于 Q-in-Q VLAN)。可接受的值为 1-4095。 注:
在 QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5220、EX4600、 EX4650、EX4400、EX4100 和 EX4300-MP 交换机上不受支持。使用匹配条件匹配外部 VLAN ID。 |
入口端口和 VLAN。 出口端口和 VLAN。 |
|
|
匹配源媒体访问控制 (MAC) 地址,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。 |
入口和出口(系统范围) 。 |
|
IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值): , , , , |
入口端口、VLAN 和 IPv6 (inet6) 接口。 出口 IPv6 (inet6) 接口。 |
|
数据包长度(以字节为单位)。必须输入一个介于 0 和 65535 之间的值。 |
入口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值): , , , , 注:
QFX3500、QFX3600、QFX5100、QFX5110、QFX5200 QFX5210 交换机不支持。 |
入口端口、VLAN 和 IPv6 (inet6) 接口。 出口 IPv6 (inet6) 接口。 |
|
|
端口限定符将在数据包转发引擎中安装两个条目。一个使用源端口,另一个使用目标端口。 |
入口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
IP 报头中服务类型 (ToS) 字节中的 IP 优先级位。(此字节也可用于 DiffServ DSCP。代替数值,可以指定以下文本同义词之一(还会列出数值):
|
入口端口、VLAN 和 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值): , , , , |
入口端口、VLAN 和 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
匹配在代理移动 IPv4 (PMIPv4) 接入技术类型扩展的 8 位技术类型字段中指定的无线接入技术 (RAT) 类型。技术类型指定移动设备连接到接入网络的访问技术。指定单个值、一个值范围或一组值。可以将技术类型指定为 0 到 255 之间的数值或系统关键字。
|
出口和入口 IPv4 (inet) 接口。 |
|
对数据包流量进行采样。仅当已启用流量采样时,才应用此选项。 |
出口和入口 IPv4 (inet) 接口。 |
|
IP 源地址字段,即发送数据包的节点的地址。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
数据包的源媒体访问控制 (MAC) 地址。 |
入口端口和 VLAN。 出口端口和 VLAN。 |
|
TCP 或 UDP 源端口。通常,将此匹配项与 match 语句一起指定。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
匹配一系列 TCP 或 UDP 端口范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个源端口更多的防火墙过滤器。(不支持基于过滤器的转发。 |
入口端口、VLAN、IPv4 (inet) 接口。 |
|
IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 层次结构级别定义此列表。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
匹配已建立的 TCP 三次握手连接(SYN、SYN-ACK、ACK)的数据包。唯一不匹配的数据包是握手的第一个数据包,因为只设置了 SYN 位。对于此数据包,必须指定 为匹配条件。 指定 时,交换机不会隐式验证协议是否为 TCP。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
一个或多个 TCP 标志:
|
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
匹配连接的第一个 TCP 数据包。当设置了 TCP 标志但未设置 TCP 标志时,将发生匹配。 指定 时,交换机不会隐式验证协议是否为 TCP。 |
入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。 出口 IPv4 (inet) 接口。 |
|
8 位字段,用于指定数据包的服务等级 (CoS) 优先级。信息流类字段用于指定 DiffServ 代码点 (DSCP) 值。此字段以前用作 IPv4 中的服务类型 (ToS) 字段,并且此字段的语义(例如 DSCP)与 IPv4 的语义相同。 您可以指定以下文本同义词之一(还会列出字段值): , , , , |
入口端口、VLAN 和 IPv6 (inet6) 接口。 出口 IPv6 (inet6) 接口。 |
|
IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。 |
入口 IPv4 (inet) 接口。 出口 IPv4 (inet) 接口。 |
|
匹配范围内 指定的 802.1p VLAN 优先级。 |
入口和出口端口及 VLAN。 |
|
匹配 Q-in-Q VLAN 的内部(客户)VLAN 的 ID。可接受的值为 1-4095。 注:
对于 QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600、 EX4650、EX4400、EX4100 和 EX4300-MP 交换机,用于 匹配外部 VLAN 的 ID。 对于 QFX5220 系列交换机以及 MX 和 ACX 系列路由器,用于 匹配外部 VLAN 的 ID 和 内部 VLAN 的 ID。 |
入口和出口端口及 VLAN。 |
|
|
匹配 VLAN 标识符( VLAN 组的第一个和最后一个 VLAN ID 号)或 (编号列表), 以便与 VXLAN 上的微分段配合使用,如下所述:vlan-rangevlan list示例:在 VXLAN 中使用基于组策略的微观和宏观分段。 注:
EX4100 交换机不支持。 |
入口和出口(系统范围) |
使用 语句定义当数据包与语句中的所有 条件匹配时应执行的操作。 显示可以在术语中指定的操作。thenfrom表 3 (如果未包含 语句,系统将接受与过滤器匹配的数据包。then
操作 |
Description |
|---|---|
|
接受数据包。这是与术语匹配的数据包的默认操作。 |
|
以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。 |
|
丢弃数据包并发送“目标无法访问”ICMPv4 消息(类型 3)。要记录被拒绝的数据包,请配置 操作修改器。 您可以指定以下消息类型之一: 如果指定 ,则当数据包是 TCP 数据包时,系统将发送 TCP 重置;否则不发送任何内容。 如果未指定消息类型,那么将发送 ICMP 通知“目标无法访问”,并附带默认消息“已管理性过滤的通信”。 注:
仅在入口接口上支持此操作 。 |
|
将匹配的数据包转发到虚拟路由实例。 |
|
将匹配的数据包转发到特定 VLAN。 注:
仅在入口接口上支持此操作 。 注:
OCX 系列交换机不支持此操作。 |
您还可以指定 中 列出的操作修饰符,以对数据包进行计数、镜像、速率限制和分类。表 4
动作修改器 |
Description |
|---|---|
|
(非 ELS 平台)将流量(复制数据包)镜像到在层次结构级别配置 的分析器。 您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。 |
|
计算与术语匹配的数据包数。 |
|
解封装 GRE 数据包或将解封装的 GRE 数据包转发到指定的路由实例 |
|
差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。 可以十六进制、二进制或十进制形式指定 DSCP。 代替数值,您可以指定以下文本同义词之一(字段值也会列出):
|
|
将数据包分类为以下默认转发类之一或用户定义的转发类:
注:
要配置转发类,还必须配置丢失优先级。 |
|
(仅限 QFX5120 和 EX4650) |
设置基于组的策略源标记 (0..65535) 以用于 VXLAN 上的微分段,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。 |
|
(EX4100、EX4400、EX4650 和 QFX5120) |
设置基于组的策略源标记 (1..65535),以便与 VXLAN 上的微分段一起使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。 注: 适用于 Junos OS 22.4R1 及更高版本。
|
|
将流量切换到指定接口,而不对其执行查找。仅当在入口应用过滤器时,此操作才有效。 |
|
在路由引擎中记录数据包的标头信息。要查看此信息,请输入 操作模式命令。 注:
操作修饰符仅在入口接口上受支持。 |
|
设置丢包优先级 (PLP)。 注:
操作修饰符仅在入口接口上受支持。 注:
不支持将动作修饰符与动作结合使用。 |
|
将数据包发送到监管器(以便应用速率限制)。 您可以为入口端口、VLAN、IPv4 (inet)、IPv6 (inet6) 和 MPLS 过滤器指定监管器。 注:
不支持将动作修饰符与动作结合使用。 |
|
(ELS 平台)将流量(复制数据包)镜像到在层次结构级别的端口镜像实例 中配置的输出接口。 您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。 |
|
(ELS 平台)将流量镜像到在层次结构级别配置 的端口镜像实例。 您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。 注:
OCX 系列交换机不支持此操作修饰符。 |
|
记录此数据包的警报。 注:
操作修饰符仅在入口接口上受支持。 |
|
将数据包发送到三色监管器(用于应用速率限制)。 您可以为入口和出口端口、VLAN、IPv4 (inet)、IPv6 (inet6) 和 MPLS 过滤器指定三色监管器。 注:
不支持将动作修饰符与动作结合使用。 |
另请参阅
防火墙过滤器匹配条件和操作(QFX5220和 QFX5130-32CD)
本主题介绍 QFX5220-CD、QFX5220-128C 和 QFX5130-32CD 交换机支持的 防火墙过滤器匹配条件、操作和操作修改器。
防火墙过滤器中的每个术语都由 匹配条件 和一个 操作组成。匹配条件是数据包必须包含才能被视为匹配的字段和值。您可以在匹配语句中定义单个或多个 匹配条件。您还可以不包含 match 语句,在这种情况下,术语将匹配所有数据包。
当数据包与过滤器匹配时,交换机将执行术语中指定的操作。如果未应用匹配条件,交换机默认接受数据包。
-
显示了 IPv4 () 和 IPv6 () 接口的匹配条件。表 5
inetinet6它还包含端口和 VLAN 的匹配条件 ()。ethernet-switching -
表 6 显示可以在术语中指定的操作和操作修饰符。
对于匹配条件,某些数值范围和位字段匹配条件允许您指定文本同义词。若要查看匹配条件的所有同义词的列表,请在语句中的适当位置键入 。?
|
匹配条件 |
Description |
方向和接口 |
|---|---|---|
|
|
ARP 请求数据包或 ARP 回复数据包。 |
入口和出口端口及 VLAN |
|
|
IP 目标地址字段,即最终目标节点的地址。 |
入口和出口 IPv4 和 IPv6 接口 入口端口和 VLAN |
|
|
数据包的目标 MAC 地址。 |
入口和出口端口及 VLAN |
|
|
TCP 或 UDP 目标端口字段。您必须使用 IPv4 流量的匹配语句或 IPv6 流量的匹配语句指定此匹配。 对于以下已知端口和端口号,可以指定文本同义词。 、 、 、 、 、 、 、 、 、 、 、 , 、 、 , 、 、 、 、 、 、 、 、 、 、 、 、 、 、 , 、 、 、 、 、 、 、 、 、 , ,, , , 、 、 、 、 、 、 、 、
|
入口和出口 IPv4 接口 入口 IPv6 接口。 入口端口和 VLAN |
|
|
匹配 TCP 或 UDP 端口范围的范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个目标端口更多的防火墙过滤器。(不支持基于筛选器的转发。 |
入口 IPv4 接口 |
|
|
IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 层次结构级别定义此列表。 |
入口和出口 IPv4 和 IPv6 接口 入口端口和 VLAN。 |
|
|
差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。 可以十六进制、二进制或十进制形式指定 DSCP。 要代替数值,您可以指定列出的以下文本同义词和字段之一。
|
入口和出口 IPv4 接口 入口端口和 VLAN |
|
|
数据包的以太网类型字段。EtherType 值指定在以太网帧中传输的协议。要代替数值,可以指定以下文本同义词之一。还会列出字段值。
|
入口和出口端口及 VLAN |
| 第一个片段 |
如果数据包是分段数据包的第一个分段,则匹配。如果数据包是分段数据包的尾随片段,请避免匹配数据包。分片数据包的第一个分片的分片偏移值为 0。 此匹配条件是位字段匹配条件片段偏移 0 匹配条件的别名。 要匹配第一个片段和尾随片段,可以使用两个指定不同匹配条件的术语:和 。 |
入口 IPv4 接口 |
|
|
ICMP 代码字段。因为值的含义取决于关联的 ,所以必须为 指定 一个值和一个 的值 。
|
入口和出口 IPv4 接口 入口 IPv6 接口 入口端口和 VLAN |
|
|
ICMP 消息类型字段。必须指定此匹配项以及 match 语句。 代替数值,您可以指定以下文本同义词之一(字段值也会列出): IPv4:, , , IPv6:, , , , 另 请参阅。 |
入口和出口 IPv4 接口 入口 IPv6 接口 入口端口和 VLAN |
|
|
接收数据包的接口,包括逻辑单元。您可以将通配符 () 作为接口名称或逻辑单元的一部分包含在内。 注:
发送数据包的接口不能用作匹配条件。 |
入口端口和 VLAN |
|
|
IPv4 地址,即数据包的最终目标节点地址。 |
入口端口和 VLAN |
|
|
如果在 IP 标头的选项字段中指定了任何内容,则指定 以创建匹配项。 |
入口 IPv4 接口 |
|
|
IP 协议字段。 |
入口端口和 VLAN |
|
|
IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值): (0xa0)、 (0x60)、 (0x80)、 (0x40)、 (0xc0)、 (0xe0)、 (0x20)或 (0x00)。 |
入口端口和 VLAN |
|
|
发送数据包的源节点的 IPv4 地址。 |
入口端口和 VLAN |
|
|
数据包的 IP 版本。使用此条件可匹配到达第 2 层端口或 VLAN 接口的流量中的 IPv4 或 IPv6 标头字段。 |
入口端口和 VLAN |
is-fragment |
如果在 IP 报头中启用了“更多片段”标志或片段偏移量不为零,则使用此条件会导致匹配。 |
入口和出口 IPv4 接口 (QFX5220) 入口 IPv4 接口 (QFX5130) |
learn-vlan-id number |
用于 MAC 学习的 VLAN 标识符。 |
入口和出口端口及 VLAN (QFX5220) 入口端口和 VLAN (QFX5130) |
learn-vlan-1p-priority value |
匹配提供商 VLAN 标记(具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的外部标记)中的 IEEE 802.1p 获知的 VLAN 优先级位。指定 0 到 7 之间的一个或多个值。 |
入口端口和 VLAN |
|
|
IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值): , , , , |
入口和出口 IPv6 接口 |
|
|
数据包长度(以字节为单位)。必须输入一个介于 0 和 65535 之间的值。 |
入口 IPv4 和 IPv6 接口 |
|
|
IP 报头中服务类型 (ToS) 字节中的 IP 优先级位。(此字节也可用于 DiffServ DSCP。代替数值,可以指定以下文本同义词之一(还会列出数值):
|
入口和出口 IPv4 接口 |
|
|
IP 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值): , , , , |
入口和出口 IPv4 接口。 入口 IPv4 接口和 VLAN |
|
|
IP 源地址字段,即发送数据包的节点的地址。 |
入口和出口 IPv4 接口 入口 IPv6 接口 入口端口和 VLAN |
|
|
数据包的源媒体访问控制 (MAC) 地址。 |
入口和出口 IPv4 接口和 VLAN |
|
|
TCP 或 UDP 源端口。您必须将此匹配与 IPv4 流量的匹配语句或 IPv6 流量的匹配语句一起指定。 您可以指定 下 列出的文本同义词之一,以代替数值字段。 |
入口和出口 IPv4 接口 入口 IPv6 接口 入口端口和 VLAN |
|
|
匹配一系列 TCP 或 UDP 端口范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个源端口更多的防火墙过滤器。(不支持基于筛选器的转发。 |
入口 IPv4 接口 |
|
|
IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 层次结构级别定义此列表。 |
入口和出口 IPv4 接口 入口 IPv6 接口 入口端口和 VLAN |
tcp-established |
匹配已建立的 TCP 会话的 TCP 数据包(连接的第一个数据包以外的数据包)。这是 的别名 此匹配条件不会隐式检查协议是否为 TCP。要检查这一点,请指定 匹配条件。 |
入口和出口 IPv4 接口 (QFX5220) 入口和出口 IPv4 接口 (QFX5130) 入口 IPv6 接口 (QFX5130) |
|
|
TCP 标志(仅支持一个值):
|
入口和出口 IPv4 接口 入口 IPv6 接口 入口端口和 VLAN |
tcp-initial |
匹配连接的第一个 TCP 数据包。当设置了 TCP 标志但未设置 TCP 标志时,将发生匹配。 指定 时,交换机不会隐式验证协议是否为 TCP。 |
入口和出口 IPv4 接口 (QFX5220) 入口和出口 IPv4 接口、入口 IPv6 接口 (QFX5130) |
|
|
8 位字段,用于指定数据包的服务等级 (CoS) 优先级。信息流类字段用于指定 DiffServ 代码点 (DSCP) 值。此字段以前用作 IPv4 中的服务类型 (ToS) 字段,并且此字段的语义(例如 DSCP)与 IPv4 的语义相同。 您可以指定以下文本同义词之一(还会列出字段值): , , , , |
入口和出口 IPv6 接口 |
|
|
IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。 |
入口和出口 IPv4 接口 |
|
|
匹配 Q-in-Q VLAN 的内部(客户)VLAN 的 ID。可接受的值为 1-4095。 |
入口端口和 VLAN (QFX5130) |
|
|
匹配范围内 指定的 802.1p VLAN 优先级。 |
入口端口和 VLAN (QFX5130) |
使用语句定义数据包与语句中的所有条件匹配时应执行的操作。显示了可以在术语中指定的操作。 thenfrom表 6 (如果未包含 语句,系统将接受与过滤器匹配的数据包。then
对于出口 IPv4 接口、IPv6 接口和出口端口,只能应用接受、丢弃和计数操作。对于出口 VLAN,只能应用接受操作。
|
操作 |
Description |
|---|---|
|
|
接受数据包。这是与术语匹配的数据包的默认操作。 |
|
|
指定不从中继承配置数据的组。可以指定多个组名。 |
|
|
计算与术语匹配的数据包数。 |
|
|
以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。 |
|
|
将数据包分类为以下默认转发类之一或用户定义的转发类:
注:
要配置转发类,还必须配置丢失优先级。 |
|
|
在路由引擎中记录数据包的标头信息。要查看此信息,请输入 操作模式命令。 |
|
|
设置丢包优先级 (PLP)。 注:
操作修饰符仅在入口 IPv4 接口上受支持。 注:
不支持将动作修饰符与动作结合使用。 |
|
|
将数据包发送到监管器(以便应用速率限制)。 注:
不支持将动作修饰符与动作结合使用。 |
|
|
将流量(复制数据包)镜像到在层次结构级别的端口镜像实例 中配置的输出接口。 |
|
|
将流量镜像到在层次结构级别配置 的端口镜像实例。 您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。 |
|
|
丢弃数据包并发送“目标无法访问”ICMPv4 消息(类型 3)。要记录被拒绝的数据包,请配置 操作修改器。 您可以指定以下消息类型之一: 如果未指定消息类型,那么将发送 ICMP 通知“目标无法访问”,并附带默认消息“已管理性过滤的通信”。 注:
仅在入口 IPv4 接口上支持此操作。 |
|
|
将数据包发送到三色监管器(用于应用速率限制)。 注:
不支持将动作修饰符与动作结合使用。 注:
不支持和监管器。 |
|
|
将匹配的数据包转发到特定 VLAN。 注:
仅在入口端口和 VLAN 上支持此操作。 QFX5130交换机不支持此操作。 |