Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condições e ações de correspondência do filtro de firewall (switches da Série QFX e EX)

Condições e ações do filtro de firewall (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também não pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote corresponde a um filtro, um switch toma a ação especificada no termo. Além disso, você pode especificar modificadores de ação para contar, espelhar, limitar a taxa e classificar pacotes. Se nenhuma condição de correspondência for especificada para o termo, o switch aceita o pacote por padrão.

  • Tabela 1 descreve as condições de correspondência que você pode especificar ao configurar um filtro de firewall. Algumas das condições de correspondência de campo numérico e numérico permitem que você especifique um sínodo de texto. Para ver uma lista de todos os sínodos para uma condição de correspondência, digite ? no local apropriado em uma declaração.

  • Tabela 2 mostra as ações que você pode especificar em um termo.

  • Tabela 3 mostra os modificadores de ação que você pode usar para contar, espelhar, limitar a taxa e classificar pacotes.

Para condições de correspondência em switches específicos, essas limitações se aplicam:

(QFX5100, QFX5110, QFX5200) Ao usar o encaminhamento baseado em filtro em interfaces IPv6, apenas essas condições de correspondência são suportadas na (direção de entrada): source-address, destination-address, source-prefix-list, destination-prefix-list, source-port, , destination-port, hop-limite icmp-typenext-header.

(QFX5110) Quando você habilita a opção egress-to-ingress sob a [edit firewall] hierarquia, apenas accept, discarde count as ações são apoiadas.

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) Em um ambiente EVPN-VXLAN, apenas essas condições de correspondência são suportadas: source-address, destination-address, source-port, destination-port, ttl, e ip-protocoluser-vlan-id.

(QFX5100, QFX5110, QFX5200) Você não pode aplicar um filtro de firewall na direção de saída em uma interface EVPN-VXLAN IRB.

(QFX5700) Você não pode aplicar um filtro de firewall na direção de saída em uma interface de loopback.

(QFX5100, QFX5110) Se você estiver usando filtros de firewall para implementar a filtragem de MAC em um ambiente EVPN-VXLAN, consulte o suporte a filtragem de MAC, controle de tempestades e espelhamento de portas em um ambiente EVPN-VXLAN para as condições de correspondência suportadas.

(QFX5100, QFX5110) Para cada filtro de firewall aplicado a um VXLAN, você pode especificar para filtrar family ethernet-switching pacotes de Camada 2 (Ethernet) ou family inet filtrar em interfaces IRB. Você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.

Em switches que não oferecem suporte a recursos de Camada 2, use apenas aquelas condições de correspondência válidas para interfaces IPv4 e IPv6.

(QFX5120, EX4650) A partir do Junos Release 21.4R1, as seguintes condições de correspondência são suportadas em um ambiente EVPN-VXLAN no QFX5120 e EX4650: gbp-src-tage gbp-dst-tag.

A partir do Junos OS Release 21.4R1, a otimização de alcance da porta de origem e as condições de otimização de alcance de porta de destino são suportadas em [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] nível hierárquico. Isso reduz consideravelmente o uso de espaço TCAM. Nos switches QFX5100 com condições de correspondência otimizadas de porta de origem e de otimização de porta de destino configuradas, até 24 condições de correspondência de alcance de porta de origem não contíguas e de alcance de porta de destino são suportadas. Se mais de 24 condições de correspondência não contíguas estiverem configuradas, ela pode cometer um erro.

Tabela 1: Condições de correspondência suportadas para filtros de firewall

Condição de correspondência

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou pacote de resposta ARP.

Interfaces de saída e entrada.

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 (inet) e IPv6 (inet6).

destination-mac-address mac-address

Endereço de controle de acesso de mídia de destino (MAC) do pacote.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Portas de saída e VLANs.

destination-port value

Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta partida em conjunto com a declaração da protocol partida. Para as portas conhecidas a seguir, você pode especificar sínionos de texto (os números da porta também estão listados):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

destination-port range-optimize range

Combine com uma variedade de faixas de portas TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. O uso dessa condição permite configurar mais filtros de firewall do que se você configurar portas de destino individuais. (Não suportado com o encaminhamento baseado em filtros.)

Portas de entrada, VLANs, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixo para uso frequente. Defina esta lista no nível de [edit policy-options] hierarquia.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte do tipo de serviço (ToS) no cabeçalho ip. Os 6 bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP em forma hexadácica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados):

  • be— melhor esforço (padrão)

  • ef (46)— conforme definido na RFC 3246, uma PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ether-type value

Campo tipo Ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados):

  • aarp (0x80F3)— AARP de valor do EtherType

  • appletalk (0x809B)— Valor do EtherType AppleTalk

  • arp (0x0806)— ARP de valor do EtherType

  • fcoe (0x8906)— FCoE de valor do EtherType

  • fip (0x8914)— FIP de valor do EtherType

  • ipv4 (0x0800)— Valor do EtherType IPv4

  • ipv6 (0x08DD)— Valor do EtherType IPv6

  • mpls-multicast (0x8848)— EtherType valor MPLS multicast

  • mpls-unicast (0x8847)— unicast MPLS de valor EtherType

  • oam (0x88A8)— OAM de valor do EtherType

  • ppp (0x880B)— PPP de valor do EtherType

  • pppoe-discovery (0x8863)— EtherType valor PPPoE Discovery Stage

  • pppoe-session (0x8864)— EtherType valor PPPoE Session Stage

  • sna (0x80D5)— SNA de valor do EtherType

Portas de entrada e VLANs.

Portas de saída e VLANs.

egress-to-ingress

Inclua essa opção para aumentar o número de termos de filtro de firewall VLAN de saída de 1024 para 2048.

Interfaces de VLAN IPv4 (inet) e IPv6 (inet6).

exp

Combine com bits MPLS EXP.

Interfaces MPLS de ingresso.

Interfaces MPLS de saída.

fragment-flags value

Bandeiras de fragmentação de IP. No lugar do valor numérico, você pode especificar um dos seguintes sínonmos de texto (os valores hexadecimal também estão listados):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Portas de entrada e VLANs.

gbp-dst-tag

Combine a tag de destino, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Micro e macro segmentação usando política baseada em grupo em um VXLAN.

Não aplicável

gbp-src-tag

Combine a tag de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Micro e macro segmentação usando política baseada em grupo em um VXLAN.

Não aplicável

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado icmp-type, você deve especificar um valor, icmp-type juntamente com um valor para icmp-code. No lugar do valor numérico, você pode especificar um dos seguintes sínonos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • IPv4: problema de parâmetro —ip-header-bad (0)required-option-missing (1)

  • IPv6: problema de parâmetro —ip6-header-bad (0) , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0) , redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável—network-unreachable (0) , port-unreachable (3)protocol-unreachable (2)fragmentation-needed (4)source-route-failed (5)destination-host-unknown (7)destination-network-prohibited (9)source-host-isolated (8)destination-network-unknown (6)network-unreachable-for-TOS (11)host-unreachable (1)destination-host-prohibited (10), host-unreachable-for-TOS (12), , communication-prohibited-by-filtering (13), , , host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável —address-unreachable (3) , administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

hop-limit value

Combine com o limite ou conjunto de limites de hop especificados. Especifique um único valor ou uma faixa de valores de 0 a 255.

Interfaces de entrada e saída IPv6 (inet6).

Nota:

Não suportado na direção de saída nos switches QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 e QFX5210.

icmp-type value

Campo do tipo de mensagem ICMP. Normalmente, você especifica esta correspondência em conjunto com a declaração de protocol correspondência para determinar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados):

IPv4: echo-reply (0), destination unreachable (3)redirect (5)IPv4 (inet)-advertisement (9)source-quench (4)echo-request (8), IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12), , timestamp (13), , timestamp-reply (14), info-request (15), , info-reply (16), , , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2)parameter-problem (4)echo-reply (129)echo-request (128)membership-query (130)router-solicit (133)membership-termination (132)time-exceeded (3)membership-report (131)router-advertisement (134), neighbor-solicit (135), , neighbor-advertisement (136), , redirect (137), , , node-information-request (139)router-renumbering (138)node-information-reply (140)

Veja também icmp-code variable.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

interface interface-name

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere wildcard (*) como parte de um nome de interface ou unidade lógica.

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como condição de correspondência.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

ip-destination-address address

Endereço IPv4 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs.

ip6-destination-address address

Endereço IPv6 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs. (Você não pode aplicar simultaneamente um filtro com este critério de correspondência a uma porta de Camada 2 e VLAN que inclua essa porta.)

ip-options

Especifique any para criar uma correspondência se algo estiver especificado no campo de opções no cabeçalho IP.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-precedence ip-precedence-field

Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-protocol number

Campo de protocolo IP.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs.

ip6-source-address address

Endereço IPv6 do nó de origem que envia o pacote.

Portas de entrada e VLANs. (Você não pode aplicar simultaneamente um filtro com este critério de correspondência a uma porta de Camada 2 e VLAN que inclua essa porta.)

ip-version address

Versão IP do pacote. Use essa condição para combinar campos de cabeçalho IPv4 ou IPv6 no tráfego que chega em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs.

is-fragment

O uso dessa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho IP ou se a compensação de fragmentos não for zero.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

l2-encap-type llc-non-snap

Combine com pacotes de camada de controle de enlace lógico (LLC) para o tipo de encapsulamento de Ethernet (Non-Subnet Access Protocol, Protocolo de Acesso não-Subnet) (SNAP).

Portas de entrada e VLANs.

Portas de saída e VLANs.

label

Combine com bits de rótulo MPLS.

Interfaces MPLS de ingresso.

Interfaces MPLS de saída.

learn-vlan-id number

Corresponde ao ID de um VLAN normal ou do ID do VLAN externo (serviço) (para VLANs Q-in-Q). Os valores aceitáveis são 1-4095.

Nota:

Não é compatível com QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600, EX4650, EX4400, EX4100 e EX4300-MP . Use a user-vlan-id condição de correspondência para combinar com o ID VLAN externo.

Portas de entrada e VLANs.

Portas de saída e VLANs.

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

packet-length

Comprimento de pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Portas de entrada, VLANs, IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

payload-protocol

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Nota:

Sem suporte nos switches QFX3500, QFX3600, QFX5100, QFX5110, QFX5200, QFX5210.

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

Port qualifier

O qualificador de porta instalará duas entradas no mecanismo de encaminhamento de pacotes. Um com a porta de origem e o segundo com a porta de destino.

Portas de entrada, VLANs, IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

precedence value

Bits de precedência de IP no byte do tipo de serviço (ToS) no cabeçalho IP. (Este byte também pode ser usado para o DSCP DiffServ.) No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores numéricos também estão listados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

protocol type

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

rat-type tech-type-value

Combine com o tipo de tecnologia de acesso por rádio (RAT) especificado no campo tech-type de 8 bits de extensão do tipo de tecnologia de acesso Proxy Mobile IPv4 (PMIPv4). O tipo de tecnologia especifica a tecnologia de acesso pela qual o dispositivo móvel está conectado à rede de acesso. Especifique um único valor, uma variedade de valores ou um conjunto de valores. Você pode especificar um tipo de tecnologia como um valor numérico de 0 a 255 ou como uma palavra-chave do sistema.

  • Valor numérico 1 corresponde ao IEEE 802.3.

  • Valor numérico 2 corresponde a IEEE 802.11a/b/g.

  • Valor numérico 3 corresponde ao IEEE 802.16e

  • Valor numérico 4 corresponde a IEEE 802.16m.

  • A seqüência de texto eutran corresponde ao 4G.

  • A seqüência de texto geran combina com 2G.

  • A seqüência de texto utran corresponde ao 3G.

Interfaces IPv4 (inet) de saída e entrada.

sample

Experimente o tráfego de pacotes. Aplique essa opção somente se tiver amostragem de tráfego habilitada.

Interfaces IPv4 (inet) de saída e entrada.

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-mac-address mac-address

Endereço de controle de acesso de mídia de origem (MAC) do pacote.

Portas de entrada e VLANs.

Portas de saída e VLANs.

source-port value

Porta de origem TCP ou UDP. Normalmente, você especifica esta partida em conjunto com a declaração da protocol partida. No lugar do campo numérico, você pode especificar um dos sínodos de texto listados em destination-port.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-port range-optimize range

Combine com uma variedade de faixas de portas TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. O uso dessa condição permite configurar mais filtros de firewall do que se você configurar portas de origem individuais. (Não suportado com o encaminhamento baseado em filtros.)

Portas de entrada, VLANs, interfaces IPv4 (inet).

source-prefix-list prefix-list

Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixo para uso frequente. Defina esta lista no nível de [edit policy-options] hierarquia.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-established

Corresponde a pacotes de uma conexão de aperto de mão de três vias TCP estabelecida (SYN, SYN-ACK, ACK). O único pacote não combinado é o primeiro pacote do aperto de mão, já que apenas o bit SYN está definido. Para este pacote, você deve especificar tcp-initial como a condição de correspondência.

Quando você especifica tcp-established, o switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a condição de protocol tcp correspondência.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-flags value

Uma ou mais bandeiras TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Uma correspondência ocorre quando a bandeira SYN TCP é definida e a bandeira ACK TCP não está definida.

Quando você especifica tcp-initial, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a condição de protocol tcp correspondência.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

traffic-class

Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4.

Você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

ttl value

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255.

Interfaces IPv4 (inet) de ingresso.

Interfaces IPv4 de saída (inet).

user-vlan-1p-priority value

Corresponde à prioridade de VLAN 802.1p especificada na faixa 0-7.

Portas de entrada e saída e VLANs.

user-vlan-id number

Corresponde ao ID do VLAN interno (cliente) para um VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Nota:

Para QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600, EX4650, EX4400, EX4100 e EX4300-MP , use user-vlan-id para combinar com o ID do VLAN externo.

Para switches da Série QFX5220 e roteadores da Série MX e ACX, use learn-vlan-id para combinar com o ID do VLAN externo e user-vlan-id combinar com o ID do VLAN interno. Anteriormente, você poderia usar user-vlan-id para combinar com o VLAN ID externo.

Portas de entrada e saída e VLANs.

Use then declarações para definir ações que devem ocorrer se um pacote atender a todas as condições em uma from declaração. Tabela 2 mostra as ações que você pode especificar em um termo. (Se você não incluir uma then declaração, o sistema aceita pacotes compatíveis com o filtro.)

Tabela 2: Ações para filtros de firewall

Ação

Descrição

accept

Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem do Protocolo de Mensagem de Controle de Internet (ICMP).

reject message-type

Descarte um pacote e envie uma mensagem de ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o syslog modificador de ação.

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, ou tcp-reset.

Se você especificar tcp-reset, o sistema envia uma redefinição de TCP se o pacote for um pacote TCP; caso contrário, nada é enviado.

Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A reject ação é compatível apenas com interfaces de entrada.

routing-instance instance-name

Encaminhe pacotes combinados para uma instância de roteamento virtual.

vlan VLAN-name

Encaminhe pacotes combinados a um VLAN específico.

Nota:

A vlan ação é compatível apenas com interfaces de entrada.

Nota:

Essa ação não é compatível com switches da série OCX.

Você também pode especificar os modificadores de ação listados Tabela 3 para contar, espelhar, limitar a taxa e classificar pacotes.

Tabela 3: Modificadores de ação para filtros de firewall

Modificador de ação

Descrição

analyzer analyzer-name

(Plataformas não ELS) Tráfego espelhado (pacotes de cópia) para um analisador configurado no nível de [edit ethernet-switching-options analyzer] hierarquia.

Você pode especificar o espelhamento de porta para filtros de firewall de entrada, VLAN e IPv4 (inet).

count counter-name

Conte o número de pacotes compatíveis com o termo.

decapsulate [gre | routing-instance]

Des encapsular pacotes GRE ou encaminhar pacotes GRE des encapsulados para a instância de roteamento especificada

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte do tipo de serviço (ToS) no cabeçalho ip. Os 6 bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP em forma hexadácica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados):

  • be— melhor esforço (padrão)

  • ef (46)— conforme definido na RFC 3246, uma PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento padrão ou em uma classe de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

gbp-src-tag

(somente QFX5120 e EX4650)

Defina a tag de origem da política baseada em grupo (0,65535) para uso com microssegmento no VXLAN, conforme descrito aqui: Exemplo: Micro e macro segmentação usando política baseada em grupo em um VXLAN.

interface

Mude o tráfego para a interface especificada sem realizar uma busca nele. Essa ação só é válida quando o filtro é aplicado na entrada.

log

Registre as informações de cabeçalho do pacote no Mecanismo de Roteamento. Para visualizar essas informações, entre no comando do show firewall log modo operacional.

Nota:

O log modificador de ação é compatível apenas com interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

Defina a prioridade de perda de pacotes (PLP).

Nota:

O loss-priority modificador de ação é compatível apenas com interfaces de entrada.

Nota:

O loss-priority modificador de ação não é suportado em combinação com a ação policer .

policer policer-name

Enviar pacotes para um policial (com a finalidade de aplicar limitação de taxa).

Você pode especificar um policial para portas de entrada, VLAN, IPv4 (inet), IPv6 (inet6) e filtros MPLS.

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

port-mirror

(plataformas ELS) Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível de [edit forwarding-options port-mirroring] hierarquia.

Você pode especificar o espelhamento de porta para filtros de firewall de entrada, VLAN e IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(plataformas ELS) Espelhar o tráfego para uma instância de espelhamento de porta configurada no nível de [edit forwarding-options port-mirroring] hierarquia.

Você pode especificar o espelhamento de porta para filtros de firewall de entrada, VLAN e IPv4 (inet).

Nota:

Este modificador de ação não é compatível com switches da série OCX.

syslog

Registre um alerta para este pacote.

Nota:

O syslog modificador de ação é compatível apenas com interfaces de entrada.

three-color-policer three-color-policer-name

Enviar pacotes para um policiador de três cores (com a finalidade de aplicar limitação de taxa).

Você pode especificar um policial de três cores para portas de entrada e saída, VLAN, IPv4 (inet), IPv6 (inet6) e filtros MPLS.

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

Condições e ações do filtro de firewall (QFX5220 e QFX5130-32CD)

Este tópico descreve as condições de correspondência do filtro de firewall, ações e modificadores de ação suportados para os switches QFX5220-CD, QFX5220-128C e QFX5130-32CD.

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também não pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote corresponde a um filtro, um switch toma a ação especificada no termo. Se você não aplicar nenhuma condição de correspondência, o switch aceita o pacote por padrão.

  • Tabela 4 mostra as condições de correspondência para interfaces IPv4 (inet) e IPv6 (inet6). Ele também contém as condições de correspondência para portas e VLANs (ethernet-switching).

  • Tabela 5 mostra as ações e os modificadores de ação que você pode especificar em um termo.

Nota:

Para condições de correspondência, parte da faixa numérica e as condições de jogo de campo de bit permitem que você especifique um sínodo de texto. Para ver uma lista de todos os sínodos para uma condição de correspondência, digite ? no local apropriado em uma declaração.

Tabela 4: Condições de correspondência suportadas (switches QFX5220 e QFX5130-32CD)

Condição de correspondência

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou um pacote de resposta ARP.

Portas de entrada e saída e VLANs

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Interfaces IPv4 e IPv6 de entrada e saída

Portas de entrada e VLANs

destination-mac-address mac-address

Endereço MAC de destino do pacote.

Portas de entrada e saída e VLANs

destination-port value

Campo de porta de destino TCP ou UDP. Você deve especificar esta correspondência com a declaração de correspondência para o protocol tráfego IPv4 ou a declaração de correspondência para tráfego next-header IPv6.

Para as seguintes portas e números de porta bem conhecidos, você pode especificar sínionos de texto.

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de ingresso.

Portas de entrada e VLANs

destination-port range-optimize range

Combine com uma faixa das faixas de porta TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. O uso dessa condição permite configurar mais filtros de firewall do que se você configurar portas de destino individuais. (Não suportado com o encaminhamento baseado em filtros.)

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixo para uso frequente. Defina esta lista no nível de [edit policy-options] hierarquia.

Interfaces IPv4 e IPv6 de entrada e saída

Portas de entrada e VLANs.

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte do tipo de serviço (ToS) no cabeçalho ip. Os 6 bits mais significativos deste byte formam o DSCP.

Você pode especificar DSCP em forma hexadácica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto e campo listados.

  • be— melhor esforço (padrão)

  • ef (46)— conforme definido na RFC 3246, uma PHB de encaminhamento acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces IPv4 de entrada e saída

Portas de entrada e VLANs

ether-type value

Campo tipo Ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto. Os valores de campo também estão listados.

  • aarp (0x80F3)— AARP de valor do EtherType

  • appletalk (0x809B)— Valor do EtherType AppleTalk

  • arp (0x0806)— ARP de valor do EtherType

  • fcoe (0x8906)— FCoE de valor do EtherType

  • fip (0x8914)— FIP de valor do EtherType

  • ipv4 (0x0800)— Valor do EtherType IPv4

  • ipv6 (0x08DD)— Valor do EtherType IPv6

  • mpls-multicast (0x8848)— EtherType valor MPLS multicast

  • mpls-unicast (0x8847)— unicast MPLS de valor EtherType

  • oam (0x88A8)— OAM de valor do EtherType

  • ppp (0x880B)— PPP de valor do EtherType

  • pppoe-discovery (0x8863)— EtherType valor PPPoE Discovery Stage

  • pppoe-session (0x8864)— EtherType valor PPPoE Session Stage

  • sna (0x80D5)— SNA de valor do EtherType

Portas de entrada e saída e VLANs

primeiro fragmento

Combine se o pacote for o primeiro fragmento de um pacote fragmentado. Evitando combinar o pacote se for um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de deslocamento fragmentado de 0.

Esta condição de partida é um apelido para a condição de jogo de bit-campo de deslocamento de fragmento 0 condição.

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam condições de correspondência diferentes: first-fragment e is-fragment.

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado icmp-type, você deve especificar um valor, icmp-type juntamente com um valor para icmp-code. No lugar do valor numérico, você pode especificar um dos seguintes sínonos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • IPv4: problema de parâmetro —ip-header-bad (0)required-option-missing (1)

  • IPv6: problema de parâmetro —ip6-header-bad (0) , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0) , redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável—network-unreachable (0) , port-unreachable (3)protocol-unreachable (2)fragmentation-needed (4)source-route-failed (5)destination-host-unknown (7)destination-network-prohibited (9)source-host-isolated (8)destination-network-unknown (6)network-unreachable-for-TOS (11)host-unreachable (1)destination-host-prohibited (10), host-unreachable-for-TOS (12), , communication-prohibited-by-filtering (13), , , host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável —address-unreachable (3) , administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

icmp-type value

Campo do tipo de mensagem ICMP. Você deve especificar esta correspondência junto com a declaração de protocol correspondência. Esta correspondência determina qual protocolo está sendo usado na porta para tráfego IPv4 ou a declaração de correspondência para tráfego next-header IPv6.

No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados):

IPv4: echo-reply (0), destination unreachable (3)redirect (5)IPv4 (inet)-advertisement (9)source-quench (4)echo-request (8), IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12), , timestamp (13), , timestamp-reply (14), info-request (15), , info-reply (16), , , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2)parameter-problem (4)echo-reply (129)echo-request (128)membership-query (130)router-solicit (133)membership-termination (132)time-exceeded (3)membership-report (131)router-advertisement (134), neighbor-solicit (135), , neighbor-advertisement (136), , redirect (137), , , node-information-request (139)router-renumbering (138)node-information-reply (140)

Veja também icmp-code variable.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

interface interface-name

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere wildcard (*) como parte de um nome de interface ou unidade lógica.

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como condição de correspondência.

Portas de entrada e VLANs

ip-destination-address address

Endereço IPv4 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs

ip-options

Especifique any para criar uma correspondência se algo estiver especificado no campo de opções no cabeçalho IP.

Interfaces IPv4 de entrada

ip-protocol number

Campo de protocolo IP.

Portas de entrada e VLANs

ip-precedence ip-precedence-field

Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Portas de entrada e VLANs

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs

ip-version address

Versão IP do pacote. Use essa condição para combinar campos de cabeçalho IPv4 ou IPv6 no tráfego que chega em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs

is-fragment

O uso dessa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho IP ou se a compensação de fragmentos não for zero.

Interfaces IPv4 de entrada e saída (QX5220)

Interfaces IPv4 de ingresso (QFX5130)

learn-vlan-id number

Identificador de VLAN para aprendizado de MAC.

Portas de entrada e saída e VLANs (QFX5220)

Portas de entrada e VLANS (QFX5130)

learn-vlan-1p-priority value

Combine com os bits de prioridade de VLAN aprendidos no IEEE 802.1p na tag VLAN do provedor (a única tag em um quadro de tag única com etiquetas VLAN 802.1Q ou a tag externa em um quadro de tag dupla com etiquetas VLAN 802.1Q). Especifique um único valor ou vários valores de 0 a 7.

Portas de entrada e VLANs

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 de entrada e saída

packet-length

Comprimento de pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de precedência de IP no byte do tipo de serviço (ToS) no cabeçalho IP. (Este byte também pode ser usado para o DSCP DiffServ.) No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores numéricos também estão listados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada e saída

protocol type

Valor do protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os valores numéricos também estão listados):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Interfaces IPv4 de entrada e saída.

Interfaces IPv4 e VLANs de ingresso

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-mac-address mac-address

Endereço de controle de acesso de mídia de origem (MAC) do pacote.

Interfaces IPv4 de entrada e saída e VLANs

source-port value

Porta de origem TCP ou UDP. Você deve especificar esta correspondência em conjunto com a declaração de correspondência para o protocol tráfego IPv4 ou a declaração de correspondência para tráfego next-header IPv6.

No lugar do campo numérico, você pode especificar um dos sínodos de texto listados em destination-port.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-port range-optimize range

Combine com uma variedade de faixas de portas TCP ou UDP ao mesmo tempo em que usa a memória disponível de maneira mais eficiente. O uso dessa condição permite configurar mais filtros de firewall do que se você configurar portas de origem individuais. (Não suportado com o encaminhamento baseado em filtros.)

Interfaces IPv4 de entrada

source-prefix-list prefix-list

Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um nome de lista de prefixo para uso frequente. Defina esta lista no nível de [edit policy-options] hierarquia.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

tcp-established

Combine pacotes TCP de uma sessão TCP estabelecida (pacotes que não sejam o primeiro pacote de uma conexão). Este é um apelido para tcp-flags "(ack | rst)".

Esta condição de correspondência não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a condição de protocol tcp correspondência.

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada e saída (QFX5130)

Interfaces IPv6 de ingresso (QFX5130)

tcp-flags value

Bandeiras TCP (apenas um valor é suportado):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Uma correspondência ocorre quando a bandeira SYN TCP é definida e a bandeira ACK TCP não está definida.

Quando você especifica tcp-initial, um switch não verifica implicitamente se o protocolo é TCP. Você também deve especificar a condição de protocol tcp correspondência. Veja protocol type.

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada e saída, interfaces IPv6 de entrada (QFX5130)

traffic-class

Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4.

Você pode especificar um dos seguintes sínodos de texto (os valores de campo também estão listados):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 de entrada e saída

ttl value

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255.

Interfaces IPv4 de entrada e saída

user-vlan-id number

Corresponde ao ID do VLAN interno (cliente) para um VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Portas de entrada e VLANs (QFX5130)

user-vlan-1p-priority value

Corresponde à prioridade de VLAN 802.1p especificada na faixa 0-7.

Portas de entrada e VLANs (QFX5130)

Use then declarações para definir ações que devem ocorrer se um pacote corresponde a todas as condições em uma from declaração. Tabela 5 Mostra as ações que você pode especificar em um termo. (Se você não incluir uma then declaração, o sistema aceita pacotes compatíveis com o filtro.)

Nota:

Para interfaces IPv4 de saída, interfaces IPv6 e portas de saída, você só pode aplicar as ações de aceitar, descartar e contar. Para VLANs de saída, você só pode aplicar a ação aceita.

Tabela 5: Modificadores de ações e ações

Ação

Descrição

accept

Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.

apply-groups-except

Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.

count counter-name

Conte o número de pacotes compatíveis com o termo.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem do Protocolo de Mensagem de Controle de Internet (ICMP).

forwarding-class class

Classifique o pacote em uma das seguintes classes de encaminhamento padrão ou em uma classe de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

log

Registre as informações de cabeçalho do pacote no Mecanismo de Roteamento. Para visualizar essas informações, entre no comando do show firewall log modo operacional.

loss-priority (low | medium-low | medium-high | high)

Defina a prioridade de perda de pacotes (PLP).

Nota:

O loss-priority modificador de ação é compatível apenas com interfaces IPv4 de entrada.

Nota:

O loss-priority modificador de ação não é suportado em combinação com a ação policer .

policer policer-name

Enviar pacotes para um policial (com a finalidade de aplicar limitação de taxa).

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

port-mirror

Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível de [edit forwarding-options port-mirroring] hierarquia.

port-mirror-instance port-mirror-instance-name

Espelhar o tráfego para uma instância de espelhamento de porta configurada no nível de [edit forwarding-options port-mirroring] hierarquia.

Você pode especificar o espelhamento de porta para filtros de firewall de entrada, VLAN e IPv4 (inet).

reject message-type

Descarte um pacote e envie uma mensagem de ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o syslog modificador de ação.

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A reject ação é compatível apenas com interfaces IPv4 de entrada.

three-color-policer three-color-policer-name

Enviar pacotes para um policiador de três cores (com a finalidade de aplicar limitação de taxa).

Nota:

O policer modificador de ação não é suportado em combinação com a ação loss-priority .

Nota:

Os color-aware policiais e color-blind os policiais não são apoiados. Por padrão, o tráfego é tratado como color-blind.

vlan VLAN-name

Encaminhe pacotes combinados a um VLAN específico.

Nota:

A vlan ação só é suportada em portas de entrada e VLANs.