Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condições e ações de correspondência do filtro de firewall (switches da série QFX e EX)

Condições e ações de correspondência do filtro de firewall (EX4100, EX4100-F, EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote combina com um filtro, um switch toma a ação especificada no termo. Além disso, você pode especificar modificadores de ação para contar, espelhar, limitar a taxa e classificar pacotes. Se nenhuma condição de correspondência for especificada para o termo, o switch aceita o pacote por padrão.

  • Tabela 2 descreve as condições de correspondência que você pode especificar ao configurar um filtro de firewall. Algumas das condições de correspondência de campo numérico e numérico permitem que você especifique um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de correspondência, digite ? no local apropriado em uma declaração.

  • Tabela 3 mostra as ações que você pode especificar em um termo.

  • Tabela 4 mostra os modificadores de ação que você pode usar para contar, espelhar, limitar a taxa e classificar pacotes.

Para condições de correspondência em switches específicos, essas limitações se aplicam:

Tabela 1: Limitações

(QFX5100, QFX5110, QFX5200) Ao usar o encaminhamento baseado em filtro em interfaces IPv6, apenas essas condições de correspondência são suportadas na (direção de entrada): source-address, destination-address, source-prefix-list, destination-prefix-list, , source-port, destination-port, , hop-limite next-headericmp-type.

(QFX5110) Quando você habilita a opção egress-to-ingress sob a [edit firewall] hierarquia, apenas accept, discarde count ações são apoiadas.

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) Em um ambiente EVPN-VXLAN, apenas essas condições de correspondência são suportadas: source-address, destination-address, source-port, destination-port, , ttl, ip-protocole user-vlan-id.

(QFX5100, QFX5110, QFX5200) Você não pode aplicar um filtro de firewall na direção de saída em uma interface IRB EVPN-VXLAN.

(QFX5700) Você não pode aplicar um filtro de firewall na direção de saída em uma interface de loopback.

(QFX5100, QFX5110) Se você estiver usando filtros de firewall para implementar a filtragem MAC em um ambiente EVPN-VXLAN, consulte o suporte a filtragem MAC, controle de tempestade e espelhamento de portas em um ambiente EVPN-VXLAN para as condições de correspondência suportadas.

(QFX5100, QFX5110) Para cada filtro de firewall que você aplica a um VXLAN, você pode especificar para filtrar family ethernet-switching pacotes de Camada 2 (Ethernet) ou family inet filtrar em interfaces IRB. Você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.

(EX4100, EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210) Use apenas interfaces disponíveis ao usar a condição de interface correspondência com o filtro de firewall de saída em dispositivos autônomos. O uso de interfaces indisponíveis resultará em um comportamento inesperado.

Em switches que não oferecem suporte a recursos de Camada 2, use apenas aquelas condições de correspondência válidas para interfaces IPv4 e IPv6.

(QFX5120, EX4650) A partir do Junos Release 21.4R1, as seguintes condições de correspondência são suportadas em um ambiente EVPN-VXLAN em QFX5120 e EX4650: gbp-src-tage gbp-dst-tag...

A partir do Junos OS Release 21.4R1, a otimização de alcance de porta de origem e as condições de otimização de portas de destino são suportadas sob [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] nível hierárquico. Isso reduz consideravelmente o uso de espaço da TCAM. Em QFX5100 switches com condições de correspondência de otimização de porta de origem e otimização de porta de destino e otimização de alcance de destino configuradas, até 24 condições de correspondência entre portas de origem e portas de destino não contíguas são suportadas. Se mais de 24 condições de correspondência não contíguas estiverem configuradas, ela pode apresentar um erro.

A partir do Junos Release 22.4R1, as seguintes condições de correspondência são suportadas para tags GBP em um ambiente EVPN-VXLAN nos switches EX4100, EX4400, EX4650 e série QFX5120 suportados: ip-version ipv4, ip-version ipv6, mac-address+ vlan-idinterface vlan-id combinação, e .interface

A partir do Junos Release 23.2R1, novas partidas ipv4 e IPv6 L4 são suportadas para a aplicação de políticas nos switches EX4100, série EX4400, série EX4650, QFX5120-32C e QFX5120-48Y.

A partir do Junos OS Release 23.4R1 e posterior, as vlan-id vlan list | vlan-range e interface interface-list as condições de correspondência são suportadas para tags GBP em um ambiente EVPN-VXLAN nos switches EX4100, EX4400, EX4650 e série QFX5120. Os switches EX4100 não oferecem suporte a GBP baseado em VLAN e PORT+VLAN.

Tabela 2: Condições de correspondência suportadas para filtros de firewall

Condição da partida

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou pacote de resposta ARP.

Interfaces de saída e entrada.

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

destination-mac-address mac-address

Endereço de controle de acesso de mídia de destino (MAC) do pacote.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Portas de saída e VLANs.

destination-port value

Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta correspondência em conjunto com a declaração da protocol partida. Para as seguintes portas bem conhecidas, você pode especificar sinônimos de texto (os números da porta também estão listados):

afs (1483), bgp (179), biff (512), , bootpc (68), bootps (67)

cmd (514), cvspserver (2401)

dhcp (67), domain (53)

eklogin (2105), , ekshell (2106)exec (512)

finger (79), , ftp (21)ftp-data (20)

http (80), https (443)

ident (113), imap (143)

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), , krbupdate (760), kshell (544)

ldap (389), login (513)

mobileip-agent (434), , mobilip-mn (435)msdp (639)

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), , nntp (119), ntalk (518), ntp (123)

pop3 (110), , pptp (1723)printer (515)

radacct (1813),radius (1812), rip (520)rkinit (2108)

smtp (25), snmp (161), snmptrap (162), snpp (444), , socks (1080), ssh (22), sunrpc (111), syslog (514)

tacacs-ds (65), talk (517), telnet (23), , tftp (69), timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

destination-port range-optimize range

Combine com uma variedade de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de destino individuais. (Não suportado com encaminhamento baseado em filtro.)

Portas de entrada, VLANs, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica [edit policy-options] .

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • be— melhor esforço (padrão)

  • ef (46)— conforme definido no RFC 3246, um PHB de encaminhamento acelerado.

  • af11 (10), ; af12 (12)af13 (14)

    af21 (18), ; af22 (20)af23 (22)

    af31 (26), ; af32 (28)af33 (30)

    af41 (34), af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, , cs4, cs5, cs6, cs7cs5

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ether-type value

Tipo de campo de ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • aarp (0x80F3)— Valor de EtherOtipo AARP

  • appletalk (0x809B)— Valor de EtherOtipo AppleTalk

  • arp (0x0806)— ARP de valor do EtherOquétipo

  • fcoe (0x8906)— FCoE de valor do EtherOquécnico

  • fip (0x8914)— FIP de valor do EtherOquétipo

  • ipv4 (0x0800)— IPv4 de valor de EtherOquétipo

  • ipv6 (0x08DD)— IPv6 de valor de EtherOquétipo

  • mpls-multicast (0x8848)— Valor de EtherHavia MPLS multicast

  • mpls-unicast (0x8847)— MpLS unicast de valor de EtherType

  • oam (0x88A8)— Valor de EtherOAM

  • ppp (0x880B)— PPP de valor do EtherOquétipo

  • pppoe-discovery (0x8863)— Valor de EtherPoE PPPoE Discovery Stage

  • pppoe-session (0x8864)— Valor de EtherPoE Estágio de sessão de PPPoE

  • sna (0x80D5)— SNA de valor de EtherOtip

Portas de entrada e VLANs.

Portas de saída e VLANs.

egress-to-ingress

Inclua essa opção para aumentar o número de termos de filtro de firewall VLAN de saída de 1024 a 2048.

Interfaces de Egress VLAN IPv4 (inet) e interfaces IPv6 (inet6).

exp

Combine com bits MPLS EXP.

Interfaces MPLS de entrada.

Interfaces MPLS de saída.

fragment-flags value

Bandeiras de fragmentação de IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores hexadecimal também estão listados):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Portas de entrada e VLANs.

gbp-dst-tag

Combine a tag de destino, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Não aplicável

gbp-src-tag

Combine a tag de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Não aplicável

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado icmp-type, você deve especificar um valor para icmp-typeicmp-code. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • IPv4: problema de parâmetro —ip-header-bad (0)required-option-missing (1)

  • IPv6: problema de parâmetro —ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0) , redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável —network-unreachable (0) , host-unreachable (1), protocol-unreachable (2), port-unreachable (3), fragmentation-needed (4), source-route-failed (5), , destination-host-unknown (7)destination-network-unknown (6), source-host-isolated (8), destination-network-prohibited (9), destination-host-prohibited (10), , network-unreachable-for-TOS (11), host-unreachable-for-TOS (12), , communication-prohibited-by-filtering (13), , host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável —address-unreachable (3) , administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

hop-limit value

Corresponda ao limite de salto ou conjunto especificado de limites de salto. Especifique um único valor ou uma gama de valores de 0 a 255.

Interfaces IPv6 (inet6) de entrada e saída.

Nota:

Não é compatível na direção de saída nos switches de QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 e QFX5210.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

Combine com o endereço de origem ou destino IPv4 ou IPv6, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Entrada e saída (sistema amplo).

ip-version ipv4 destination-port DST_PORT

Combine com a porta de destino TCP/UDP para uso com correspondências L4 com filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 source-port SRC_PORT

Combine com a porta de origem TCP/UDP para uso com o filtro de política GBP L4, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 ip-protocol PROTOCOL

Combine com o tipo de protocolo IP, para uso com correspondências L4 do filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 is-fragment

Combine se o pacote for um fragmento, para uso com correspondências L4 do filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 fragment-flag FLAGS

Combine as bandeiras de fragmento (em formatos simbólicos ou hex), para uso com correspondências L4 do filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 ttlValue

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255. Para uso com correspondências L4 com filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 tcp-flagsFLAGS

Combine uma ou mais bandeiras TCP (em formatos simbólicos ou hex), para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv4 tcp-established

Combine os pacotes de uma conexão TCP estabelecida para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv6 source-port SRC_PORT

Combine com a porta de origem TCP/UDP para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv6 destination-port DST_PORT

Combine com a porta de destino TCP/UDP para uso com o filtro de política GBP L4, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv6 next-header PROTOCOL

Combine com o próximo tipo de protocolo de cabeçalho, para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv6 tcp-flagsFLAGS

Combine as bandeiras do TCP, para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv6 tcp-initial

Combine com os pacotes iniciais de uma conexão TCP estabelecida, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

ip-version ipv6 tcp-established

Combine com os pacotes de uma conexão TCP estabelecida, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

icmp-type value

Campo do tipo de mensagem do ICMP. Normalmente, você especifica esta correspondência em conjunto com a declaração de protocol correspondência para determinar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

IPv4: echo-reply (0), , destination unreachable (3)source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), , IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), , timestamp (13), , timestamp-reply (14), info-request (15), , info-reply (16), , , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), , packet-too-big (2)time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), , membership-query (130), membership-report (131), membership-termination (132), , router-solicit (133), router-advertisement (134), , neighbor-solicit (135), neighbor-advertisement (136), , redirect (137), , router-renumbering (138), , , node-information-request (139)node-information-reply (140)

Veja também icmp-code variable.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

interface interface-name | <interface_list>

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere curinga (*) como parte de um nome de interface ou unidade lógica.

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como condição de correspondência.

Combine uma lista de interfaces sob o mesmo termo em um filtro. Para uso com microssegmento em uma VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

ip-destination-address address

Endereço IPv4 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs.

ip6-destination-address address

Endereço IPv6 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs. (Você não pode aplicar simultaneamente um filtro com este critério de correspondência a uma porta de Camada 2 e VLAN que inclua essa porta.)

ip-options

Especifique any para criar uma correspondência se algo estiver especificado no campo de opções no cabeçalho ip.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-precedence ip-precedence-field

Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-protocol number

Campo de protocolo IP.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs.

ip6-source-address address

Endereço IPv6 do nó de origem que envia o pacote.

Portas de entrada e VLANs. (Você não pode aplicar simultaneamente um filtro com este critério de correspondência a uma porta de Camada 2 e VLAN que inclua essa porta.)

ip-version address

Versão IP do pacote. Use essa condição para combinar com campos de cabeçalho IPv4 ou IPv6 em tráfego que chegam em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs.

is-fragment

Usar essa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho IP ou se a compensação do fragmento não for zero.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

l2-encap-type llc-non-snap

Combine com pacotes de camada de controle de enlace lógico (LLC) para o tipo de encapsulamento de ethernet não sub-subnet Access Protocol (SNAP).

Portas de entrada e VLANs.

Portas de saída e VLANs.

label

Combine com bits de rótulo MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de saída.

learn-vlan-id number

Corresponde à ID de uma VLAN normal ou do ID da VLAN externa (serviço) (para VLANs Q-in-Q). Os valores aceitáveis são 1-4095.

Nota:

Não é compatível com switches QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600, EX4650, EX4400, EX4100 e EX4300-MP . Use a user-vlan-id condição de correspondência para combinar com a ID VLAN externa.

Portas de entrada e VLANs.

Portas de saída e VLANs.

mac-address mac-address

Combine com o endereço de controle de acesso de mídia (MAC) de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Entrada e saída (sistema amplo)

.

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), , igmp (2)icmp6 (58), , ipip (4), egp (8)ipv6 (41)routing (43)udp (17)tcp (6)fragment (44)rsvp (46), esp (50)icmp6 (58)ah (51)gre (47), no-next-header (59), dstopts (60), ospf (89), , , vrrp (112)pim (103)sctp (132)

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

packet-length

Comprimento do pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Portas de entrada, VLANs, IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

payload-protocol

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), , igmp (2)icmp6 (58), , ipip (4), egp (8)ipv6 (41)routing (43)udp (17)tcp (6)fragment (44)rsvp (46), esp (50)icmp6 (58)ah (51)gre (47), no-next-header (59), dstopts (60), ospf (89), , , vrrp (112)pim (103)sctp (132)

Nota:

Não é compatível com switches de QFX3500, QFX3600, QFX5100, QFX5110, QFX5200 e QFX5210.

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

Port qualifier

O qualificador de porta instalará duas entradas no mecanismo de encaminhamento de pacotes. Um com a porta de origem e o segundo com a porta de destino.

Nota:

O qualificador de portas não tem suporte para EX4400, EX4300, EX4100, EX4300 (Multigigabit PoE), EX2300, EX2300 (Multigigabit PoE) e plataformas EX3400.

Portas de entrada, VLANs, IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

precedence value

Bits de precedência de IP no byte de tipo de serviço (ToS) no cabeçalho IP. (Este byte também pode ser usado para o DSCP DiffServ.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

protocol type

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), , igmp (2)icmp6, , ipip (4), egp (8)ipv6 (41)routing (43)udp (17)tcp (6)fragment (44)rsvp (46), esp (50)icmp6 (58)ah (51)gre (47), no-next-header (59), dstopts (60), ospf (89), , , vrrp (112)pim (103)sctp (132)

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

rat-type tech-type-value

Combine com o tipo de tecnologia de acesso por rádio (RAT) especificado no campo tech-type de 8 bits do tipo de tecnologia de acesso Proxy Mobile IPv4 (PMIPv4). O tipo de tecnologia especifica a tecnologia de acesso pela qual o dispositivo móvel está conectado à rede de acesso. Especifique um único valor, uma variedade de valores ou um conjunto de valores. Você pode especificar um tipo de tecnologia como um valor numérico de 0 a 255 ou como uma palavra-chave do sistema.

  • Valor numérico 1 corresponde ao IEEE 802.3.

  • Valor numérico 2 corresponde ao IEEE 802.11a/b/g.

  • Valor numérico 3 corresponde ao IEEE 802.16e

  • Valor numérico 4 corresponde ao IEEE 802.16m.

  • A seqüência de texto eutran corresponde ao 4G.

  • A corda de texto geran combina com 2G.

  • A seqüência de texto utran corresponde ao 3G.

Interfaces IPv4 (inet) de saída e entrada.

sample

Experimente o tráfego de pacotes. Aplique essa opção apenas se tiver amostragem de tráfego habilitada.

Interfaces IPv4 (inet) de saída e entrada.

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-mac-address mac-address

Endereço de controle de acesso de mídia (MAC) de origem do pacote.

Portas de entrada e VLANs.

Portas de saída e VLANs.

source-port value

Porta de origem TCP ou UDP. Normalmente, você especifica esta correspondência em conjunto com a declaração da protocol partida. No lugar do campo numérico, você pode especificar um dos sinônimos de texto listados em destination-port.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-port range-optimize range

Combine com uma variedade de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de origem individuais. (Não suportado com encaminhamento baseado em filtro.)

Portas de entrada, VLANs, interfaces IPv4 (inet).

source-prefix-list prefix-list

Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica [edit policy-options] .

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-established

Corresponde a pacotes de uma conexão TCP de três vias (SYN, SYN-ACK, ACK). O único pacote não combinado é o primeiro pacote do aperto de mão, já que apenas o bit SYN está definido. Para este pacote, você deve especificar tcp-initial como a condição de correspondência.

Quando você especifica tcp-established, o switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a condição da protocol tcp correspondência.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-flags value

Uma ou mais bandeiras de TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Uma correspondência ocorre quando a bandeira SYN do TCP é definida e a bandeira ACK TCP não é definida.

Quando você especifica tcp-initial, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a condição da protocol tcp correspondência.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

traffic-class

Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4.

Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

af11 (10), af12 (12), af13 (14), af21 (18), , af22 (20), af31 (26)af23 (22), af32 (28)af41 (34)af33 (30), af42 (36), , af43 (38), cs0 (0)cs2 (16)cs1 (8), , cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

ttl value

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255.

Interfaces IPv4 (inet) de entrada.

Interfaces IPv4 de saída (inet).

user-vlan-1p-priority value

Corresponde à prioridade de VLAN 802.1p especificada no intervalo 0-7.

Portas de entrada e saída e VLANs.

user-vlan-id number

Combina com a ID da VLAN interna (cliente) para uma VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Nota:

Para QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600, EX4650, EX4400, EX4100 e EX4300-MP, use user-vlan-id para combinar com a ID da VLAN externa.

Para switches da Série QFX5220 e roteadores da Série MX e ACX, use learn-vlan-id para combinar com o ID da VLAN externa e user-vlan-id combinar com o ID da VLAN interna. Anteriormente, você poderia usar user-vlan-id para combinar com o ID VLAN externo.

Portas de entrada e saída e VLANs.

vlan-id <vlan id> | <vlan-range> | <vlan list>

Combine com o identificador vlan-range de VLAN (o primeiro e último número de ID VLAN para o grupo de VLANs) ou vlan list (lista de números) para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Nota:

Não é compatível com os switches EX4100.

Entrada e saída (sistema amplo)

Use then declarações para definir ações que devem ocorrer se um pacote corresponde a todas as condições em uma from declaração. Tabela 3mostra as ações que você pode especificar em um termo. (Se você não incluir uma then declaração, o sistema aceita pacotes compatíveis com o filtro.)

Tabela 3: Ações para filtros de firewall

Ação

Descrição

accept

Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).

reject message-type

Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o modificador de ação syslog .

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, ou tcp-reset.

Se você especificar tcp-reset, o sistema envia um reset de TCP se o pacote for um pacote TCP; caso contrário, nada é enviado.

Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A reject ação é apoiada apenas em interfaces de entrada.

routing-instance instance-name

Encaminhe pacotes combinados para uma instância de roteamento virtual.

vlan VLAN-name

Encaminhe pacotes combinados para uma VLAN específica.

Nota:

A vlan ação é apoiada apenas em interfaces de entrada.

Nota:

Essa ação não é suportada em switches da série OCX.

Você também pode especificar os modificadores de ação listados Tabela 4 para contar, espelhar, limitar a taxa e classificar pacotes.

Tabela 4: Modificadores de ação para filtros de firewall

Modificador de ação

Descrição

analyzer analyzer-name

(Plataformas não ELS) Tráfego espelhado (pacotes de cópia) para um analisador configurado no nível de [edit ethernet-switching-options analyzer] hierarquia.

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

count counter-name

Conte o número de pacotes compatíveis com o termo.

decapsulate [gre | routing-instance]

Des encapsular pacotes GRE ou encaminhar pacotes GRE des encapsulados para a instância de roteamento especificada

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • be— melhor esforço (padrão)

  • ef (46)— conforme definido no RFC 3246, um PHB de encaminhamento acelerado.

  • af11 (10), ; af12 (12)af13 (14)

    af21 (18), ; af22 (20)af23 (22)

    af31 (26), ; af32 (28)af33 (30)

    af41 (34), af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, , cs4, cs5, cs6, cs7cs5

forwarding-class class

Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

gbp-src-tag

(apenas QFX5120 e EX4650)

Defina a tag fonte de política baseada em grupo (0,65535) para uso com microssegmento na VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

gbp-tag

(EX4100, EX4400, EX4650 e QFX5120)

Defina a tag fonte de política baseada em grupo (1,65535) para uso com microssegmento na VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Nota: Aplica-se aos lançamentos do Junos OS 22.4R1 e posteriores.

interface

Alterne o tráfego para a interface especificada sem realizar uma busca nele. Essa ação só é válida quando o filtro é aplicado na entrada.

log

Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, insira o comando do show firewall log modo operacional.

Nota:

O log modificador de ação é suportado apenas em interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

Definir a prioridade de perda de pacotes (PLP).

Nota:

O loss-priority modificador de ação é suportado apenas em interfaces de entrada.

Nota:

O loss-priority modificador de ação não é suportado em combinação com a ação policer .

policer policer-name

Envie pacotes a um policial (com a finalidade de aplicar limitações de taxa).

Você pode especificar um policial para portas de entrada, VLAN, IPv4 (inet), IPv6 (inet6) e filtros MPLS.

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

port-mirror

(plataformas ELS) Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível de [edit forwarding-options port-mirroring] hierarquia.

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(plataformas ELS) Espelhar o tráfego para uma instância de espelhamento de porta configurada no nível de [edit forwarding-options port-mirroring] hierarquia.

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

Nota:

Este modificador de ação não é suportado em switches da série OCX.

syslog

Registre um alerta para este pacote.

Nota:

O syslog modificador de ação é suportado apenas em interfaces de entrada.

three-color-policer three-color-policer-name

Envie pacotes a um policiador de três cores (com a finalidade de aplicar limitações de taxa).

Você pode especificar um policiador de três cores para portas de entrada e saída, VLAN, IPv4 (inet), IPv6 (inet6) e filtros MPLS.

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

Condições e ações de correspondência do filtro de firewall (QFX5220 e o QFX5130-32CD)

Este tópico descreve as condições de correspondência do filtro de firewall, ações e modificadores de ação suportados para os switches QFX5220-CD, QFX5220-128C e QFX5130-32CD.

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote combina com um filtro, um switch toma a ação especificada no termo. Se você não aplicar nenhuma condição de correspondência, o switch aceita o pacote por padrão.

  • Tabela 5 mostra as condições de correspondência para interfaces IPv4 (inet) e IPv6 (inet6). Ele também contém as condições de correspondência para portas e VLANs (ethernet-switching).

  • Tabela 6 mostra as ações e os modificadores de ação que você pode especificar em um termo.

Nota:

Para condições de correspondência, algumas das condições de correspondência de campo bit e numérico permitem que você especifique um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de correspondência, digite ? no local apropriado em uma declaração.

Tabela 5: Condições de correspondência suportadas (QFX5220 e switches QFX5130-32CD)

Condição da partida

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou um pacote de resposta ARP.

Portas de entrada e saída e VLANs

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Interfaces IPv4 e IPv6 de entrada e saída

Portas de entrada e VLANs

destination-mac-address mac-address

Endereço MAC de destino do pacote.

Portas de entrada e saída e VLANs

destination-port value

Campo de porta de destino TCP ou UDP. Você deve especificar esta correspondência com a declaração de protocol correspondência para tráfego IPv4 ou a declaração de correspondência para tráfego next-header IPv6.

Para as seguintes portas e números de porta bem conhecidos, você pode especificar sinônimos de texto.

afs (1483), bgp (179), biff (512), , bootpc (68), bootps (67)

cmd (514), cvspserver (2401)

dhcp (67), domain (53)

eklogin (2105), , ekshell (2106)exec (512)

finger (79), , ftp (21)ftp-data (20)

http (80), https (443)

ident (113), imap (143)

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), , krbupdate (760), kshell (544)

ldap (389), login (513)

mobileip-agent (434), , mobilip-mn (435)msdp (639)

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), , nntp (119), ntalk (518), ntp (123)

pop3 (110), , pptp (1723)printer (515)

radacct (1813),radius (1812), rip (520)rkinit (2108)

smtp (25), snmp (161), snmptrap (162), snpp (444), , socks (1080), ssh (22), sunrpc (111), syslog (514)

tacacs-ds (65), talk (517), telnet (23), , tftp (69), timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada.

Portas de entrada e VLANs

destination-port range-optimize range

Combine com uma gama de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de destino individuais. (Não suportado com encaminhamento baseado em filtro.)

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica [edit policy-options] .

Interfaces IPv4 e IPv6 de entrada e saída

Portas de entrada e VLANs.

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto e campo listados.

  • be— melhor esforço (padrão)

  • ef (46)— conforme definido no RFC 3246, um PHB de encaminhamento acelerado.

  • af11 (10), ; af12 (12)af13 (14)

    af21 (18), ; af22 (20)af23 (22)

    af31 (26), ; af32 (28)af33 (30)

    af41 (34), af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, , cs4, cs5, cs6, cs7cs5

Interfaces IPv4 de entrada e saída

Portas de entrada e VLANs

ether-type value

Tipo de campo de ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto. Os valores de campo também estão listados.

  • aarp (0x80F3)— Valor de EtherOtipo AARP

  • appletalk (0x809B)— Valor de EtherOtipo AppleTalk

  • arp (0x0806)— ARP de valor do EtherOquétipo

  • fcoe (0x8906)— FCoE de valor do EtherOquécnico

  • fip (0x8914)— FIP de valor do EtherOquétipo

  • ipv4 (0x0800)— IPv4 de valor de EtherOquétipo

  • ipv6 (0x08DD)— IPv6 de valor de EtherOquétipo

  • mpls-multicast (0x8848)— Valor de EtherHavia MPLS multicast

  • mpls-unicast (0x8847)— MpLS unicast de valor de EtherType

  • oam (0x88A8)— Valor de EtherOAM

  • ppp (0x880B)— PPP de valor do EtherOquétipo

  • pppoe-discovery (0x8863)— Valor de EtherPoE PPPoE Discovery Stage

  • pppoe-session (0x8864)— Valor de EtherPoE Estágio de sessão de PPPoE

  • sna (0x80D5)— SNA de valor de EtherOtip

Portas de entrada e saída e VLANs

primeiro fragmento

Combine se o pacote é o primeiro fragmento de um pacote fragmentado. Evitando combinar o pacote se for um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de compensação de fragmentos de 0.

Esta condição de jogo é um vulto para a condição de jogo de bit-field que compensa fragmentos 0 condição da partida.

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência: first-fragment e is-fragment.

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado icmp-type, você deve especificar um valor para icmp-typeicmp-code. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • IPv4: problema de parâmetro —ip-header-bad (0)required-option-missing (1)

  • IPv6: problema de parâmetro —ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0) , redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável —network-unreachable (0) , host-unreachable (1), protocol-unreachable (2), port-unreachable (3), fragmentation-needed (4), source-route-failed (5), , destination-host-unknown (7)destination-network-unknown (6), source-host-isolated (8), destination-network-prohibited (9), destination-host-prohibited (10), , network-unreachable-for-TOS (11), host-unreachable-for-TOS (12), , communication-prohibited-by-filtering (13), , host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável —address-unreachable (3) , administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

icmp-type value

Campo do tipo de mensagem do ICMP. Você deve especificar esta correspondência junto com a declaração de protocol correspondência. Esta correspondência determina qual protocolo está sendo usado na porta para tráfego IPv4 ou a declaração de correspondência para tráfego next-header IPv6.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

IPv4: echo-reply (0), , destination unreachable (3)source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), , IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), , timestamp (13), , timestamp-reply (14), info-request (15), , info-reply (16), , , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), , packet-too-big (2)time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), , membership-query (130), membership-report (131), membership-termination (132), , router-solicit (133), router-advertisement (134), , neighbor-solicit (135), neighbor-advertisement (136), , redirect (137), , router-renumbering (138), , , node-information-request (139)node-information-reply (140)

Veja também icmp-code variable.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

interface interface-name

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere curinga (*) como parte de um nome de interface ou unidade lógica.

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como condição de correspondência.

Portas de entrada e VLANs

ip-destination-address address

Endereço IPv4 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs

ip-options

Especifique any para criar uma correspondência se algo estiver especificado no campo de opções no cabeçalho ip.

Interfaces IPv4 de entrada

ip-protocol number

Campo de protocolo IP.

Portas de entrada e VLANs

ip-precedence ip-precedence-field

Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Portas de entrada e VLANs

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs

ip-version address

Versão IP do pacote. Use essa condição para combinar com campos de cabeçalho IPv4 ou IPv6 em tráfego que chegam em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs

is-fragment

Usar essa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho IP ou se a compensação do fragmento não for zero.

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada (QFX5130)

learn-vlan-id number

Identificador de VLAN para aprendizado MAC.

Portas de entrada e saída e VLANs (QFX5220)

Portas de entrada e VLANS (QFX5130)

learn-vlan-1p-priority value

Combine com os bits de prioridade de VLAN aprendidos do IEEE 802.1p na tag VLAN do provedor (a única tag em um quadro de tag única com tags VLAN de 802.1Q ou a tag externa em um quadro de tag dupla com tags VLAN 802.1Q). Especifique um único valor ou vários valores de 0 a 7.

Portas de entrada e VLANs

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), , igmp (2)icmp6 (58), , ipip (4), egp (8)ipv6 (41)routing (43)udp (17)tcp (6)fragment (44)rsvp (46), esp (50)icmp6 (58)ah (51)gre (47), no-next-header (59), dstopts (60), ospf (89), , , vrrp (112)pim (103)sctp (132)

Interfaces IPv6 de entrada e saída

packet-length

Comprimento do pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de precedência de IP no byte de tipo de serviço (ToS) no cabeçalho IP. (Este byte também pode ser usado para o DSCP DiffServ.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada e saída

protocol type

Valor do protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), , igmp (2)icmp6, , ipip (4), egp (8)ipv6 (41)routing (43)udp (17)tcp (6)fragment (44)rsvp (46), esp (50)icmp6 (58)ah (51)gre (47), no-next-header (59), dstopts (60), ospf (89), , , vrrp (112)pim (103)sctp (132)tcp (4)

Interfaces IPv4 de entrada e saída.

Interfaces E VLANs IPv4 de entrada

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-mac-address mac-address

Endereço de controle de acesso de mídia (MAC) de origem do pacote.

Interfaces IPv4 de entrada e saída e VLANs

source-port value

Porta de origem TCP ou UDP. Você deve especificar esta correspondência em conjunto com a declaração de protocol correspondência para tráfego IPv4 ou a declaração de next-header correspondência para tráfego IPv6.

No lugar do campo numérico, você pode especificar um dos sinônimos de texto listados em destination-port.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-port range-optimize range

Combine com uma variedade de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de origem individuais. (Não suportado com encaminhamento baseado em filtro.)

Interfaces IPv4 de entrada

source-prefix-list prefix-list

Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica [edit policy-options] .

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

tcp-established

Combine pacotes TCP de uma sessão TCP estabelecida (pacotes que não sejam o primeiro pacote de uma conexão). Este é um apelido para tcp-flags "(ack | rst)".

Esta condição de correspondência não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a condição da protocol tcp correspondência.

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada e saída (QFX5130)

Interfaces IPv6 de entrada (QFX5130)

tcp-flags value

Bandeiras TCP (apenas um valor é suportado):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Uma correspondência ocorre quando a bandeira SYN do TCP é definida e a bandeira ACK TCP não é definida.

Quando você especifica tcp-initial, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a condição da protocol tcp correspondência. Veja protocol type.

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada e saída, interfaces IPv6 de entrada (QFX5130)

traffic-class

Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4.

Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

af11 (10), af12 (12), af13 (14), af21 (18), , af22 (20), af31 (26)af23 (22), af32 (28)af41 (34)af33 (30), af42 (36), , af43 (38), cs0 (0)cs2 (16)cs1 (8), , cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Interfaces IPv6 de entrada e saída

ttl value

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255.

Interfaces IPv4 de entrada e saída

user-vlan-id number

Combina com a ID da VLAN interna (cliente) para uma VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Portas de entrada e VLANs (QFX5130)

user-vlan-1p-priority value

Corresponde à prioridade de VLAN 802.1p especificada no intervalo 0-7.

Portas de entrada e VLANs (QFX5130)

Use then declarações para definir ações que devem ocorrer se um pacote corresponde a todas as condições em uma from declaração. Tabela 6 Mostra as ações que você pode especificar em um termo. (Se você não incluir uma then declaração, o sistema aceita pacotes compatíveis com o filtro.)

Nota:

Para interfaces IPv4 de saída, interfaces IPv6 e portas de saída, você só pode aplicar as ações de aceitação, descarte e contagem. Para VLANs de saída, você só pode aplicar a ação de aceitação.

Tabela 6: Modificadores de ações e ações

Ação

Descrição

accept

Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.

apply-groups-except

Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.

count counter-name

Conte o número de pacotes compatíveis com o termo.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).

forwarding-class class

Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

log

Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, insira o comando do show firewall log modo operacional.

loss-priority (low | medium-low | medium-high | high)

Definir a prioridade de perda de pacotes (PLP).

Nota:

O loss-priority modificador de ação é suportado apenas em interfaces IPv4 de entrada.

Nota:

O loss-priority modificador de ação não é suportado em combinação com a ação policer .

policer policer-name

Envie pacotes a um policial (com a finalidade de aplicar limitações de taxa).

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

port-mirror

Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível de [edit forwarding-options port-mirroring] hierarquia.

port-mirror-instance port-mirror-instance-name

Espelhar o tráfego para uma instância de espelhamento de porta configurada no nível de [edit forwarding-options port-mirroring] hierarquia.

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

reject message-type

Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o modificador de ação syslog .

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A reject ação é suportada apenas em interfaces IPv4 de entrada.

three-color-policer three-color-policer-name

Envie pacotes a um policiador de três cores (com a finalidade de aplicar limitações de taxa).

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

Nota:

O color-aware e color-blind os policiais não são apoiados. Por padrão, o tráfego é tratado como color-blind.

vlan VLAN-name

Encaminhe pacotes combinados para uma VLAN específica.

Nota:

A vlan ação só é suportada em portas de entrada e VLANs.

Essa ação não é suportada em switches QFX5130.