Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

O filtro de firewall combina condições e ações (switches série QFX e EX)

O filtro de firewall combina condições e ações (QFX5100, QFX5110, QFX5120, QFX5200, QFX5700, EX4600, EX4650)

Cada termo em um filtro de firewall consiste em condições de combinação e uma ação. As condições de combinação são os campos e os valores que um pacote deve conter para serem considerados uma combinação. Você pode definir condições de combinação única ou múltiplas nas declarações de combinação. Você também pode incluir nenhuma declaração de combinação, e nesse caso o termo combina com todos os pacotes.

Quando um pacote combina com um filtro, um switch toma a ação especificada no termo. Além disso, você pode especificar modificadores de ação para contar, espelhar, limitar a taxa e classificar pacotes. Se não for especificado condições de combinação para o termo, o switch aceitará o pacote por padrão.

  • Tabela 1 descreve as condições de combinação que você pode especificar ao configurar um filtro de firewall. Algumas das condições de match do intervalo numérico e do campo de bit permitem especificar um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de combinação, digite o ? local apropriado em uma declaração.

  • Tabela 2 mostra as ações que você pode especificar em um termo.

  • Tabela 3 mostra os modificadores de ação que você pode usar para contar, espelhar, limitar a taxa e classificar pacotes.

Para condições de combinação em switches específicos, essas limitações aplicam-se:

(QFX5100, QFX5110, QFX5200) Ao usar o encaminhamento baseado em filtro nas interfaces IPv6, somente essas condições de combinação são suportadas na (direção de ingresso): source-addressdestination-addresse. source-prefix-listdestination-prefix-listsource-portdestination-porthop-limiticmp-typenext-header

(QFX5110) Ao habilitar egress-to-ingress a opção na [edit firewall] hierarquia, somente , e accept as ações são discardcount suportadas.

(QFX5100, QFX5130-32CD, QFX5110, QFX5700) Em um ambiente de EVPN-VXLAN, apenas essas condições de combinação são suportadas: source-addressdestination-addresse. source-portdestination-portttlip-protocoluser-vlan-id

(QFX5100, QFX5110, QFX5200) Você não pode aplicar um filtro de firewall na direção de saída em uma interface EVPN-VXLAN IRB.

(QFX5700) Não é possível aplicar um filtro de firewall na direção de saída em uma interface de loopback.

(QFX5100, QFX5110) Se você está usando filtros de firewall para implementar filtragem de MAC em um ambiente EVPN-VXLAN, consulte Filtragem de MAC, Storm Control e Suporte ao espelhamento de portas em um ambiente EVPN-VXLAN para as condições de combinação suportadas.

(QFX5100, QFX5110) Para cada filtro de firewall que você aplica a uma VXLAN, você pode especificar para filtrar pacotes de Camada 2 (Ethernet) ou filtrar em family ethernet-switchingfamily inet interfaces IRB. Não é possível aplicar um filtro de firewall na direção de saída nas interfaces IRB.

Nos switches que não suportam recursos de Camada 2, use apenas as condições de combinação que são válidas para interfaces IPv4 e IPv6.

Tabela 1: Condições de combinação suportadas para filtros de firewall

Condição de combinação

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou pacote de resposta de ARP.

Interfaces de saída e entrada.

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

destination-mac-address mac-address

Endereço controle de acesso ao meio de destino (MAC) do pacote.

Portas de entrada, interfaces de VLANs e IPv4 (inet).

Portas de saída e VLANs.

destination-port value

Campo de porta de destino TCP ou UDP. Normalmente, você especifica essa combinação com a instrução protocol de match. Para as seguintes portas conhecidas, você pode especificar sinônimos de texto (os números de porta também estão listados):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

destination-port range-optimize range

Combinar uma variedade de intervalos de portas TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. Usando essa condição, você pode configurar mais filtros de firewall do que configurando portas de destino individuais. (Sem suporte para encaminhamento baseado em filtro. )

Interfaces IPv4 de entrada (inet).

destination-prefix-list prefix-list

campo da lista de prefixos de destino IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Defina essa lista no nível [edit policy-options] da hierarquia.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os 6 bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP na forma hexadecimal, binária ou decimal.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • be— melhor esforço (padrão)

  • ef (46)—como definido na RFC 3246,um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de drop em cada classe, para um total de 12 pontos de código, são definidas em RFC 2597,PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

ether-type value

Campo do tipo Ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro de Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • aarp (0x80F3)— Valor do EtherType AARP

  • appletalk (0x809B)— Valor do EtherType AppleTalk

  • arp (0x0806)— Valor do EtherType ARP

  • fcoe (0x8906)— Valor do EtherType FCoE

  • fip (0x8914)— Valor do EtherType FIP

  • ipv4 (0x0800)— Valor do EtherType IPv4

  • ipv6 (0x08DD)— Valor do EtherType IPv6

  • mpls-multicast (0x8848)— O valor do EtherType MPLS multicast

  • mpls-unicast (0x8847)— Valor do EtherType MPLS unicast

  • oam (0x88A8)— Valor do EtherType OAM

  • ppp (0x880B)— Valor do EtherType PPP

  • pppoe-discovery (0x8863)— Valor do EtherType PPPoE Discovery Stage

  • pppoe-session (0x8864)— O EtherType valoriza o estágio de sessão do PPPoE

  • sna (0x80D5)— Valor do EtherType SNA

Portas de entrada e VLANs.

Portas de saída e VLANs.

egress-to-ingress

Inclua essa opção para aumentar o número de termos de filtro de firewall VLAN de saída de 1024 para 2048.

Interfaces Egress VLAN IPv4 (inet) e interfaces IPv6 (inet6).

exp

Combinar com MPLS de EXP.

Entrada em MPLS interfaces.

Saída de MPLS interfaces.

fragment-flags value

bandeiras de fragmentação de IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores hexadecimal também estão relacionados):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Portas de entrada e VLANs.

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado, você deve especificar um icmp-type valor para junto com um valor para icmp-typeicmp-code . No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • IPv4: problema nos parâmetros— ip-header-bad (0) , required-option-missing (1)

  • IPv6: problema de parâmetro — ip6-header-bad (0) , unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável network-unreachable (0)host-unreachable (1) —, protocol-unreachable (2) , , , , , , , , port-unreachable (3) , , , fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12) , communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável— address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0) , port-unreachable (4)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

hop-limit value

De acordo com o limite de hop especificado ou o conjunto de limites de hop. Especifique um único valor ou uma variedade de valores de 0 a 255.

Interfaces de entrada e saída IPv6 (inet6).

Nota:

Não é suportado na direção de saída nos switches QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 e QFX5210.

icmp-type value

Campo do tipo de mensagem ICMP. Normalmente, você especifica essa combinação com a instrução de combinação para protocol determinar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

IPv4: echo-reply (0), destination unreachable (3) , , , , , , , , source-quench (4) , redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15) , info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2) , , , , , , , , time-exceeded (3) , , parameter-problem (4) , echo-request (128) , echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137) , router-renumbering (138)node-information-request (139)node-information-reply (140)

Veja também icmp-code variable .

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

interface interface-name

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere wildcard * () como parte de um nome da interface ou unidade lógica.

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como uma condição de combinação.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

ip-destination-address address

Endereço IPv4, que é o endereço do nó de destino final do pacote.

Portas de entrada e VLANs.

ip6-destination-address address

Endereço IPv6, que é o endereço do nó de destino final do pacote.

Portas de entrada e VLANs. (Não é possível, ao mesmo tempo, aplicar um filtro com esse critério de combinação a uma porta de Camada 2 e à VLAN que inclua essa porta.)

ip-options

Especifique criar uma combinação se algo for especificado no campo de opções any no header IP.

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-precedence ip-precedence-field

campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): critical-ecp (0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-protocol number

campo de protocolo IP.

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs.

ip6-source-address address

Endereço IPv6 do nó de origem que envia o pacote.

Portas de entrada e VLANs. (Não é possível, ao mesmo tempo, aplicar um filtro com esse critério de combinação a uma porta de Camada 2 e à VLAN que inclua essa porta.)

ip-version address

versão IP do pacote. Use essa condição para combinar campos de header IPv4 ou IPv6 no tráfego que chegam em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs.

is-fragment

Usar essa condição causa uma combinação se o sinal Mais Fragments estiver ativado no header IP ou se o deslocamento do fragmento não for zero.

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

l2-encap-type llc-non-snap

Combinar pacotes de camada de controle de enlace lógico (LLC) para tipos de Encapsulamento Ethernet não-Subnet Access Protocol (SNAP).

Portas de entrada e VLANs.

Portas de saída e VLANs.

label

Combinar em MPLS bits de rótulo.

Entrada em MPLS interfaces.

Saída de MPLS interfaces.

learn-vlan-id number

Combina com a ID de uma VLAN normal ou a ID da VLAN externa (para VLANs Q-in-Q). Os valores aceitáveis são 1-4095.

Nota:

Não é suportado nos switches QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600 e EX4650 switches. Use a user-vlan-id condição de combinação para combinar com a ID VLAN externa.

Portas de entrada e VLANs.

Portas de saída e VLANs.

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces de portas de entrada, VLANs e IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

packet-length

Comprimento do pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Interfaces de portas de entrada, VLANs, IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de saída (inet).

payload-protocol

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Nota:

Sem suporte nos switches QFX3500, QFX3600, QFX5100, QFX5110, QFX5200, QFX5210 switches.

Interfaces de portas de entrada, VLANs e IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

precedence value

Bits de precedência DE IP no byte do tipo de serviço (ToS) no header IP. (Este byte também pode ser usado no DiffServ DSCP.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces de portas de entrada, VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

protocol type

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Portas de entrada, interfaces de VLANs e IPv4 (inet).

Interfaces IPv4 de saída (inet).

rat-type tech-type-value

Combinar com o tipo de tecnologia de acesso por rádio (RAT) especificada no campo de tecnologia de 8 bits do tipo Proxy Mobile IPv4 (PMIPv4) de extensão de tecnologia de acesso. O tipo de tecnologia especifica a tecnologia de acesso pela qual o dispositivo móvel está conectado à rede de acesso. Especifique um único valor, uma variedade de valores ou um conjunto de valores. Você pode especificar um tipo de tecnologia como um valor numérico de 0 a 255 ou como uma palavra-chave do sistema.

  • O valor numérico 1 IEEE 802.3.

  • O valor numérico 2 IEEE 802.11a/b/g.

  • O valor numérico 3 combina IEEE 802.16e

  • O valor numérico 4 combina IEEE 802,16m.

  • A cadeia de eutran texto combina com 4G.

  • A cadeia de geran texto combina com 2G.

  • A cadeia de utran texto combina com 3G.

Interfaces de saída e entrada IPv4 (inet).

sample

Amostra o tráfego de pacotes. Aplique essa opção somente se tiver habilitado a amostra de tráfego.

Interfaces de saída e entrada IPv4 (inet).

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-mac-address mac-address

Endereço controle de acesso ao meio de origem (MAC) do pacote.

Portas de entrada e VLANs.

Portas de saída e VLANs.

source-port value

Porta de origem TCP ou UDP. Normalmente, você especifica essa combinação com a instrução protocol de match. No lugar do campo numérico, você pode especificar um dos sinônimos de texto indicados em destination-port .

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-port range-optimize range

Combinar uma variedade de intervalos de portas TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. Usando essa condição, você pode configurar mais filtros de firewall do que configurando portas de origem individuais. (Sem suporte para encaminhamento baseado em filtro. )

Interfaces IPv4 de entrada (inet).

source-prefix-list prefix-list

lista de prefixos de origem IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Defina essa lista no nível [edit policy-options] da hierarquia.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-established

Combina com pacotes de uma conexão de aperto de mão TCP estabelecida (SYN, SYN-ACK, ACK). O único pacote não combinado é o primeiro pacote do aperto de mão, uma vez que apenas o bit SYN está definido. Para este pacote, você deve especificar tcp-initial como a condição da combinação.

Quando você tcp-established especifica, o switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a protocol tcp condição da combinação.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-flags value

Uma ou mais bandeiras TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-initial

Combinar o primeiro pacote TCP de uma conexão. Ocorre uma combinação quando o sinal TCP SYN está definido e o sinal TCP não está ACK definido.

Quando você tcp-initial especifica, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a protocol tcp condição da combinação.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

traffic-class

campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica àquelas do IPv4.

Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces de portas de entrada, VLANs e IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

ttl value

campo IP Time-to-Live (TTL) em decimal. O valor pode ser de 1 a 255.

Interfaces IPv4 de entrada (inet).

Interfaces IPv4 de saída (inet).

user-vlan-1p-priority value

Combina com a prioridade de VLAN 802.1p especificada no 0-7 intervalo.

Portas de entrada e saída e VLANs.

user-vlan-id number

Combina com a ID da VLAN interna (do cliente) para um VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Nota:

Para QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 e switches EX4650, usam para combinar com a ID da user-vlan-id VLAN externa.

Para QFX5220 série QFX5220 e roteadores das séries MX e ACX, use para combinar a ID da VLAN externa e combinar com a ID da learn-vlan-iduser-vlan-id VLAN interna.

Portas de entrada e saída e VLANs.

Use declarações de uso para definir ações que devem ocorrer se um pacote estiver de acordo com then todas as condições de uma from declaração. Tabela 2 mostra as ações que você pode especificar em um termo. (Se você não incluir uma then declaração, o sistema aceitará pacotes que combinarão com o filtro.)

Tabela 2: Ações para filtros de firewall

Ação

Descrição

accept

Aceite um pacote. Essa é a ação padrão para pacotes que se igualam a um termo.

discard

Descarte um pacote sem enviar uma mensagem ICMP (Internet Control Message Protocol, Protocolo de Mensagem de Controle da Internet).

reject message-type

Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o syslog modificador de ação.

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, ou tcp-reset .

Se você especificar, o sistema enviará uma reinicialização de TCP se o pacote for um tcp-reset pacote TCP; caso contrário, nada será enviado.

Caso você não especifique um tipo de mensagem, a notificação de ICMP "destino inalcançável" será enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A reject ação é suportada apenas em interfaces de entrada.

routing-instance nome da instância

Encaminhe pacotes com combinação de pacotes para uma instância de roteamento virtual.

vlan Nome VLAN

Pacotes encaminhados e de acordo com uma VLAN específica.

Nota:

A vlan ação é suportada apenas em interfaces de entrada.

Nota:

Essa ação não é suportada em switches da série OCX.

Você também pode especificar os modificadores de ação indicados para Tabela 3 contar, espelhar, limitar a taxa e classificar pacotes.

Tabela 3: Modificadores de ação para filtros de firewall

Modificador de ação

Descrição

analyzer analyzer-name

(plataformas não ELS) Tráfego espelhado (pacotes de cópia) para um analisador configurado em [edit ethernet-switching-options analyzer] nível de hierarquia.

Você pode especificar o espelhamento de porta apenas para filtros de firewall de entrada, VLAN e IPv4 (inet).

count counter-name

Conte o número de pacotes que se igualam ao termo.

decapsulate [gre | routing-instance]

Des encapsular pacotes GRE ou encaminhá-lo para a instância de roteamento especificada

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os 6 bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP na forma hexadecimal, binária ou decimal.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • be— melhor esforço (padrão)

  • ef (46)—como definido na RFC 3246,um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de drop em cada classe, para um total de 12 pontos de código, são definidas em RFC 2597,PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento padrão ou em uma classe de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

interface

Alternar o tráfego para a interface especificada sem realizar uma olhada. Essa ação só é válida quando o filtro é aplicado na entrada.

log

Registre as informações do cabeamento do pacote no Mecanismo de Roteamento. Para exibir essas informações, insira o comando show firewall log modo operacional.

Nota:

O log modificador de ação é suportado apenas em interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

De definir a prioridade de perda de pacotes (PLP).

Nota:

O loss-priority modificador de ação é suportado apenas em interfaces de entrada.

Nota:

O loss-priority modificador de ação não tem suporte combinado com a policer ação.

policer policer-name

Envie pacotes para um policial (com a finalidade de aplicar limitação de taxa).

Você pode especificar um policial para filtros de entrada, VLAN, IPv4 (inet), IPv6 (inet6) e MPLS de entrada.

Nota:

O policer modificador de ação não tem suporte combinado com a loss-priority ação.

port-mirror

(plataformas ELS) Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível [edit forwarding-options port-mirroring] da hierarquia.

Você pode especificar o espelhamento de porta apenas para filtros de firewall de entrada, VLAN e IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(plataformas ELS) Espelhar o tráfego para uma instância de espelhamento de porta configurada em [edit forwarding-options port-mirroring] nível de hierarquia.

Você pode especificar o espelhamento de porta apenas para filtros de firewall de entrada, VLAN e IPv4 (inet).

Nota:

Esse modificador de ação não é suportado em switches da série OCX.

syslog

Registre um alerta para este pacote.

Nota:

O syslog modificador de ação é suportado apenas em interfaces de entrada.

three-color-policer three-color-policer-name

Envie pacotes para um policial de três cores (com a finalidade de aplicar limitação de taxa).

Você pode especificar um policial de três cores para entradas e saídas, VLAN, IPv4 (inet), IPv6 (inet6) e filtros MPLS.

Nota:

O policer modificador de ação não tem suporte combinado com a loss-priority ação.

O filtro de firewall combina condições e ações (QFX5220 e o QFX5130-32CD)

Este tópico descreve as condições, as ações e os modificadores de ação do filtro de firewall suportados para os switches QFX5220-CD, QFX5220-128C e QFX5130-32CD.

Cada termo em um filtro de firewall consiste em condições de combinação e uma ação. As condições de combinação são os campos e os valores que um pacote deve conter para serem considerados uma combinação. Você pode definir condições de combinação única ou múltiplas nas declarações de combinação. Você também pode incluir nenhuma declaração de combinação, e nesse caso o termo combina com todos os pacotes.

Quando um pacote combina com um filtro, um switch toma a ação especificada no termo. Se você não aplicar nenhuma condição de combinação, o switch aceitará o pacote por padrão.

  • Tabela 4 mostra as condições de combinação das interfaces IPv4 () e inet IPv6 inet6 (). Ele também contém as condições de combinação para portas e VLANs ( ethernet-switching ).

  • Tabela 5 mostra as ações e os modificadores de ação que você pode especificar em um termo.

Nota:

Para condições de combinação, alguns dos intervalos numéricos e as condições de combinação do campo de bit permitem especificar um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de combinação, digite o ? local apropriado em uma declaração.

Tabela 4: Condições de combinação suportadas (QFX5220 switches QFX5130-32CD)

Condição de combinação

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou pacote de resposta ARP.

Portas de entrada e saída e VLANs

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Interfaces de entrada e saída IPv4 e IPv6

Portas de entrada e VLANs

destination-mac-address mac-address

Endereço MAC de destino do pacote.

Portas de entrada e saída e VLANs

destination-port value

Campo de porta de destino TCP ou UDP. Você deve especificar essa combinação com a instrução de match para tráfego IPv4 ou a instrução protocol de combinação para tráfego next-header IPv6.

Para as seguintes conhecidas portas e números de porta, você pode especificar sinônimos de texto.

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada.

Portas de entrada e VLANs

destination-port range-optimize range

Adque uma variedade das faixas de porta TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. Usando essa condição, você pode configurar mais filtros de firewall do que configurando portas de destino individuais. (Sem suporte para encaminhamento baseado em filtro.)

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

campo da lista de prefixos de destino IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Defina essa lista no nível [edit policy-options] da hierarquia.

Interfaces de entrada e saída IPv4 e IPv6

Portas de entrada e VLANs.

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os 6 bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP na forma hexadecimal, binária ou decimal.

No lugar do valor numérico, você pode especificar um dos seguintes termos de texto e campo indicado.

  • be— melhor esforço (padrão)

  • ef (46)—como definido na RFC 3246,um PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de drop em cada classe, para um total de 12 pontos de código, são definidas em RFC 2597,PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces IPv4 de entrada e saída

Portas de entrada e VLANs

ether-type value

Campo do tipo Ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro de Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto. Os valores de campo também estão relacionados.

  • aarp (0x80F3)— Valor do EtherType AARP

  • appletalk (0x809B)— Valor do EtherType AppleTalk

  • arp (0x0806)— Valor do EtherType ARP

  • fcoe (0x8906)— Valor do EtherType FCoE

  • fip (0x8914)— Valor do EtherType FIP

  • ipv4 (0x0800)— Valor do EtherType IPv4

  • ipv6 (0x08DD)— Valor do EtherType IPv6

  • mpls-multicast (0x8848)— O valor do EtherType MPLS multicast

  • mpls-unicast (0x8847)— Valor do EtherType MPLS unicast

  • oam (0x88A8)— Valor do EtherType OAM

  • ppp (0x880B)— Valor do EtherType PPP

  • pppoe-discovery (0x8863)— Valor do EtherType PPPoE Discovery Stage

  • pppoe-session (0x8864)— O EtherType valoriza o estágio de sessão do PPPoE

  • sna (0x80D5)— Valor do EtherType SNA

Portas de entrada e saída e VLANs

primeiro fragmento

Combinar se o pacote é o primeiro fragmento de um pacote fragmentado. Evitar combinar o pacote se for um fragmento de trilha de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de deslocamento por fragmentação de 0.

Esta condição de combinação é um nome falso para a condição de combinação de campo de bit-field 0 match condition.

Para combinar os primeiros e os fragmentos de trilha, você pode usar dois termos que especificam condições de combinação diferentes: first-fragment e is-fragment .

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado, você deve especificar um icmp-type valor para junto com um valor para icmp-typeicmp-code . No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • IPv4: problema nos parâmetros— ip-header-bad (0) , required-option-missing (1)

  • IPv6: problema de parâmetro — ip6-header-bad (0) , unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável network-unreachable (0)host-unreachable (1) —, protocol-unreachable (2) , , , , , , , , port-unreachable (3) , , , fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12) , communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável— address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0) , port-unreachable (4)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

icmp-type value

Campo do tipo de mensagem ICMP. Você deve especificar essa combinação junto com a protocol declaração de combinação. Esta partida determina qual protocolo está sendo usado na porta para tráfego IPv4 ou a instrução next-header de combinação para tráfego IPv6.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

IPv4: echo-reply (0), destination unreachable (3) , , , , , , , , source-quench (4) , redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15) , info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2) , , , , , , , , time-exceeded (3) , , parameter-problem (4) , echo-request (128) , echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137) , router-renumbering (138)node-information-request (139)node-information-reply (140)

Veja também icmp-code variable .

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

interface interface-name

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere wildcard * () como parte de um nome da interface ou unidade lógica.

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como uma condição de combinação.

Portas de entrada e VLANs

ip-destination-address address

Endereço IPv4, que é o endereço do nó de destino final do pacote.

Portas de entrada e VLANs

ip-options

Especifique criar uma combinação se algo for especificado no campo de opções any no header IP.

Interfaces IPv4 de entrada

ip-protocol number

campo de protocolo IP.

Portas de entrada e VLANs

ip-precedence ip-precedence-field

campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): critical-ecp (0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Portas de entrada e VLANs

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs

ip-version address

versão IP do pacote. Use essa condição para combinar campos de header IPv4 ou IPv6 no tráfego que chegam em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs

is-fragment

Usar essa condição causa uma combinação se o sinal Mais Fragments estiver ativado no header IP ou se o deslocamento do fragmento não for zero.

Interfaces IPv4 de entrada e saída (QX5220)

Interfaces IPv4 de entrada (QFX5130)

learn-vlan-id number

Identificador de VLAN para aprendizado de MAC.

Portas de entrada e saída e VLANs (QFX5220)

Portas de entrada e VLANS (QFX5130)

learn-vlan-1p-priority value

Marque no IEEE 802.1p bits de prioridade de VLAN aprendidas na etiqueta VLAN do provedor (a única etiqueta em um quadro de tags única com tags VLAN 802.1Q ou a etiqueta externa em um quadro de tags duplas com tags 802.1Q VLAN). Especifique um único valor ou vários valores de 0 a 7.

Portas de entrada e VLANs

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 de entrada e saída

packet-length

Comprimento do pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de precedência DE IP no byte do tipo de serviço (ToS) no header IP. (Este byte também pode ser usado no DiffServ DSCP.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada e saída

protocol type

Valor do protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão relacionados):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Interfaces IPv4 de entrada e saída.

Interfaces IPv4 de entrada e VLANs

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-mac-address mac-address

Endereço controle de acesso ao meio de origem (MAC) do pacote.

Interfaces de IPv4 de entrada e saída e VLANs

source-port value

Porta de origem TCP ou UDP. Você deve especificar essa combinação com a instrução de combinação do tráfego IPv4 ou a instrução protocol de combinação do tráfego next-header IPv6.

No lugar do campo numérico, você pode especificar um dos sinônimos de texto indicados em destination-port .

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-port range-optimize range

Combinar uma variedade de intervalos de portas TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. Usando essa condição, você pode configurar mais filtros de firewall do que configurando portas de origem individuais. (Sem suporte para encaminhamento baseado em filtro.)

Interfaces IPv4 de entrada

source-prefix-list prefix-list

lista de prefixos de origem IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixos para uso frequente. Defina essa lista no nível [edit policy-options] da hierarquia.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

tcp-established

Combinar pacotes de TCP de uma sessão TCP estabelecida (pacotes que não o primeiro pacote de uma conexão). Este é um nome falso para tcp-flags "(ack | rst)".

Essa condição de combinação não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a protocol tcp condição da combinação.

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces de IPv4 de entrada e saída (QFX5130)

Interfaces IPv6 de entrada (QFX5130)

tcp-flags value

Bandeiras TCP (apenas um valor é suportado):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

tcp-initial

Combinar o primeiro pacote TCP de uma conexão. Ocorre uma combinação quando o sinal TCP SYN está definido e o sinal TCP não está ACK definido.

Quando você tcp-initial especifica, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a protocol tcp condição da combinação. Veja protocol type .

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada e saída, interfaces IPv6 de entrada (QFX5130)

traffic-class

campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica àquelas do IPv4.

Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 de entrada e saída

ttl value

campo IP Time-to-Live (TTL) em decimal. O valor pode ser de 1 a 255.

Interfaces IPv4 de entrada e saída

user-vlan-id number

Combina com a ID da VLAN interna (do cliente) para um VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Portas de entrada e VLANs (QFX5130)

user-vlan-1p-priority value

Combina com a prioridade de VLAN 802.1p especificada no 0-7 intervalo.

Portas de entrada e VLANs (QFX5130)

Use declarações para definir ações que devem ocorrer se um pacote estiver de acordo com todas as condições de uma declaração. mostra as ações que você then pode especificar em um fromTabela 5 termo. (Se você não incluir uma then declaração, o sistema aceitará pacotes que combinarão com o filtro.)

Nota:

Para interfaces IPv4 de saída, interfaces IPv6 e portas de saída, você só pode aplicar as ações de aceitar, descartar e contar. Para VLANs de saída, você só pode aplicar a ação aceitar.

Tabela 5: Modificadores de ações e ações

Ação

Descrição

accept

Aceite um pacote. Essa é a ação padrão para pacotes que se igualam a um termo.

apply-groups-except

Especifique quais grupos não herdam dados de configuração. Você pode especificar mais de um nome de grupo.

count counter-name

Conte o número de pacotes que se igualam ao termo.

discard

Descarte um pacote sem enviar uma mensagem ICMP (Internet Control Message Protocol, Protocolo de Mensagem de Controle da Internet).

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento padrão ou em uma classe de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

log

Registre as informações do cabeamento do pacote no Mecanismo de Roteamento. Para exibir essas informações, insira o comando show firewall log modo operacional.

loss-priority (low | medium-low | medium-high | high)

De definir a prioridade de perda de pacotes (PLP).

Nota:

O modificador de ação é suportado apenas em loss-priority interfaces IPv4 de entrada.

Nota:

O loss-priority modificador de ação não tem suporte combinado com a policer ação.

policer policer-name

Envie pacotes para um policial (com a finalidade de aplicar limitação de taxa).

Nota:

O policer modificador de ação não tem suporte combinado com a loss-priority ação.

port-mirror

Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível [edit forwarding-options port-mirroring] da hierarquia.

port-mirror-instance port-mirror-instance-name

Espelhar o tráfego para uma instância de espelhamento de porta configurada em [edit forwarding-options port-mirroring] nível de hierarquia.

Você pode especificar o espelhamento de porta apenas para filtros de firewall de entrada, VLAN e IPv4 (inet).

reject message-type

Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o syslog modificador de ação.

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Caso você não especifique um tipo de mensagem, a notificação de ICMP "destino inalcançável" será enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A reject ação é suportada apenas nas interfaces IPv4 de entrada.

three-color-policer three-color-policer-name

Envie pacotes para um policial de três cores (com a finalidade de aplicar limitação de taxa).

Nota:

O policer modificador de ação não tem suporte combinado com a loss-priority ação.

Nota:

Os color-aware policiais e os agentes não são color-blind apoiados. Por padrão, o tráfego é tratado como color-blind .

vlan Nome VLAN

Pacotes encaminhados e de acordo com uma VLAN específica.

Nota:

A vlan ação só é suportada em portas de entrada e VLANs.