Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Condições e ações de correspondência do filtro de firewall (switches da série QFX e EX)

Condições e ações de correspondência do filtro de firewall (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote combina com um filtro, um switch toma a ação especificada no termo. Além disso, você pode especificar modificadores de ação para contar, espelhar, limitar a taxa e classificar pacotes. Se nenhuma condição de correspondência for especificada para o termo, o switch aceita o pacote por padrão.

  • Tabela 2 descreve as condições de correspondência que você pode especificar ao configurar um filtro de firewall. Algumas das condições de correspondência de campo numérico e numérico permitem que você especifique um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de correspondência, digite no local apropriado em uma declaração.?

  • Tabela 3 mostra as ações que você pode especificar em um termo.

  • Tabela 4 mostra os modificadores de ação que você pode usar para contar, espelhar, limitar a taxa e classificar pacotes.

Para condições de correspondência em switches específicos, essas limitações se aplicam:

Tabela 1: Limitações

(QFX5100, QFX5110, QFX5200) Ao usar o encaminhamento baseado em filtro em interfaces IPv6, apenas essas condições de correspondência são suportadas na (direção de entrada): , , , , , , , , e .source-addressdestination-addresssource-prefix-listdestination-prefix-listsource-portdestination-porthop-limiticmp-typenext-header

(QFX5110) Quando você habilita a opção sob a hierarquia, apenas , e ações são apoiadas.egress-to-ingress[edit firewall]acceptdiscardcount

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) Em um ambiente EVPN-VXLAN, apenas essas condições de correspondência são suportadas: , , , , , , e .source-addressdestination-addresssource-portdestination-portttlip-protocoluser-vlan-id

(QFX5100, QFX5110, QFX5200) Você não pode aplicar um filtro de firewall na direção de saída em uma interface IRB EVPN-VXLAN.

(QFX5700) Você não pode aplicar um filtro de firewall na direção de saída em uma interface de loopback.

(QFX5100, QFX5110) Se você estiver usando filtros de firewall para implementar a filtragem MAC em um ambiente EVPN-VXLAN, consulte o suporte a filtragem MAC, controle de tempestade e espelhamento de portas em um ambiente EVPN-VXLAN para as condições de correspondência suportadas.MAC Filtering, Storm Control, and Port Mirroring Support in an EVPN-VXLAN Environment

(QFX5100, QFX5110) Para cada filtro de firewall que você aplica a um VXLAN, você pode especificar para filtrar pacotes de Camada 2 (Ethernet) ou filtrar em interfaces IRB.family ethernet-switchingfamily inet Você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.

Em switches que não oferecem suporte a recursos de Camada 2, use apenas aquelas condições de correspondência válidas para interfaces IPv4 e IPv6.

(QFX5120, EX4650) A partir do Junos Release 21.4R1, as seguintes condições de correspondência são suportadas em um ambiente EVPN-VXLAN em QFX5120 e EX4650: e ...gbp-src-taggbp-dst-tag

A partir do Junos OS Release 21.4R1, a otimização de alcance de porta de origem e as condições de otimização de portas de destino são suportadas sob nível hierárquico.[edit firewall family ethernet-switching filter <filter-name> term <term-name> from] Isso reduz consideravelmente o uso de espaço da TCAM. Em QFX5100 switches com condições de correspondência de otimização de porta de origem e otimização de porta de destino e otimização de alcance de destino configuradas, até 24 condições de correspondência entre portas de origem e portas de destino não contíguas são suportadas. Se mais de 24 condições de correspondência não contíguas estiverem configuradas, ela pode apresentar um erro.

A partir do Junos Release 22.4R1, as seguintes condições de correspondência são suportadas para tags GBP em um ambiente EVPN-VXLAN nos switches EX4100, EX4400, EX4650 e série QFX5120 suportados: , , + combinação, e .ip-version ipv4ip-version ipv6mac-addressvlan-idinterface vlan-idinterface

A partir do Junos Release 23.2R1, novas partidas ipv4 e IPv6 L4 são suportadas para a aplicação de políticas nos switches EX4100, série EX4400, série EX4650, QFX5120-32C e QFX5120-48Y.

A partir do Junos OS Release 23.4R1 e posterior, as | e as condições de correspondência são suportadas para tags GBP em um ambiente EVPN-VXLAN nos switches EX4100, EX4400, EX4650 e série QFX5120 suportados.vlan-id vlan listvlan-rangeinterface interface-list Os switches EX4100 não oferecem suporte a GBP baseado em VLAN e PORT+VLAN.
Tabela 2: Condições de correspondência suportadas para filtros de firewall

Condição da partida

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou pacote de resposta ARP.

Interfaces de saída e entrada.

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

destination-mac-address mac-address

Endereço de controle de acesso de mídia de destino (MAC) do pacote.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Portas de saída e VLANs.

destination-port value

Campo de porta de destino TCP ou UDP. Normalmente, você especifica esta correspondência em conjunto com a declaração da partida.protocol Para as seguintes portas bem conhecidas, você pode especificar sinônimos de texto (os números da porta também estão listados):

, , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

, cmd (514)cvspserver (2401)

, dhcp (67)domain (53)

, , eklogin (2105)ekshell (2106)exec (512)

, , finger (79)ftp (21)ftp-data (20)

, http (80)https (443)

, ident (113)imap (143)

, , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

, ldap (389)login (513)

, , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , pop3 (110)pptp (1723)printer (515)

,, radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , , , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

destination-port range-optimize range

Combine com uma variedade de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de destino individuais. (Não suportado com encaminhamento baseado em filtro.)

Portas de entrada, VLANs, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica .[edit policy-options]

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • be— melhor esforço (padrão)

  • — conforme definido no RFC 3246, um PHB de encaminhamento acelerado.ef (46)http://www.ietf.org/rfc/rfc3246.txt

  • , ; af11 (10)af12 (12)af13 (14)

    , ; af21 (18)af22 (20)af23 (22)

    , ; af31 (26)af32 (28)af33 (30)

    , af41 (34)af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.http://www.ietf.org/rfc/rfc2597.txt

  • , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ether-type value

Tipo de campo de ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • aarp (0x80F3)— Valor de EtherOtipo AARP

  • appletalk (0x809B)— Valor de EtherOtipo AppleTalk

  • arp (0x0806)— ARP de valor do EtherOquétipo

  • fcoe (0x8906)— FCoE de valor do EtherOquécnico

  • fip (0x8914)— FIP de valor do EtherOquétipo

  • ipv4 (0x0800)— IPv4 de valor de EtherOquétipo

  • ipv6 (0x08DD)— IPv6 de valor de EtherOquétipo

  • mpls-multicast (0x8848)— Valor de EtherHavia MPLS multicast

  • mpls-unicast (0x8847)— MpLS unicast de valor de EtherType

  • oam (0x88A8)— Valor de EtherOAM

  • ppp (0x880B)— PPP de valor do EtherOquétipo

  • pppoe-discovery (0x8863)— Valor de EtherPoE PPPoE Discovery Stage

  • pppoe-session (0x8864)— Valor de EtherPoE Estágio de sessão de PPPoE

  • sna (0x80D5)— SNA de valor de EtherOtip

Portas de entrada e VLANs.

Portas de saída e VLANs.

egress-to-ingress

Inclua essa opção para aumentar o número de termos de filtro de firewall VLAN de saída de 1024 a 2048.

Interfaces de Egress VLAN IPv4 (inet) e interfaces IPv6 (inet6).

exp

Combine com bits MPLS EXP.

Interfaces MPLS de entrada.

Interfaces MPLS de saída.

fragment-flags value

Bandeiras de fragmentação de IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores hexadecimal também estão listados):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Portas de entrada e VLANs.

gbp-dst-tag

Combine a tag de destino, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Não aplicável

gbp-src-tag

Combine a tag de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Não aplicável

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado , você deve especificar um valor para .icmp-typeicmp-typeicmp-code No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • IPv4: problema de parâmetro —ip-header-bad (0)required-option-missing (1)

  • IPv6: problema de parâmetro —ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • — , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável — , , , , , , , , , , , , , , , , , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável — , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

hop-limit value

Corresponda ao limite de salto ou conjunto especificado de limites de salto. Especifique um único valor ou uma gama de valores de 0 a 255.

Interfaces IPv6 (inet6) de entrada e saída.

Nota:

Não é compatível na direção de saída nos switches de QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 e QFX5210.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

Combine com o endereço de origem ou destino IPv4 ou IPv6, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Entrada e saída (sistema amplo).
ip-version ipv4 destination-port DST_PORT

Combine com a porta de destino TCP/UDP para uso com correspondências L4 com filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 source-port SRC_PORT

Combine com a porta de origem TCP/UDP para uso com o filtro de política GBP L4, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 ip-protocol PROTOCOL

Combine com o tipo de protocolo IP, para uso com correspondências L4 do filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 is-fragment

Combine se o pacote for um fragmento, para uso com correspondências L4 do filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 fragment-flag FLAGS

Combine as bandeiras de fragmento (em formatos simbólicos ou hex), para uso com correspondências L4 do filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 ttlValue

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255. Para uso com correspondências L4 com filtro de política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 tcp-flagsFLAGS

Combine uma ou mais bandeiras TCP (em formatos simbólicos ou hex), para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv4 tcp-established

Combine os pacotes de uma conexão TCP estabelecida para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv6 source-port SRC_PORT

Combine com a porta de origem TCP/UDP para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv6 destination-port DST_PORT

Combine com a porta de destino TCP/UDP para uso com o filtro de política GBP L4, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv6 next-header PROTOCOL

Combine com o próximo tipo de protocolo de cabeçalho, para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv6 tcp-flagsFLAGS

Combine as bandeiras do TCP, para uso com correspondências L4 da política GBP, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv6 tcp-initial

Combine com os pacotes iniciais de uma conexão TCP estabelecida, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.
ip-version ipv6 tcp-established

Combine com os pacotes de uma conexão TCP estabelecida, conforme descrito em: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

Apenas entrada.

icmp-type value

Campo do tipo de mensagem do ICMP. Normalmente, você especifica esta correspondência em conjunto com a declaração de correspondência para determinar qual protocolo está sendo usado na porta.protocol No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

IPv4:, , , , , , , , , , , , , , , , , , , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , , , , , , , , , , , , , , , , , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Veja também .icmp-code variable

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

interface interface-name | <interface_list>

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere curinga () como parte de um nome de interface ou unidade lógica.*

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como condição de correspondência.

Combine uma lista de interfaces sob o mesmo termo em um filtro. Para uso com microssegmento em uma VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet) e interfaces IPv6 (inet6).

ip-destination-address address

Endereço IPv4 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs.

ip6-destination-address address

Endereço IPv6 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs. (Você não pode aplicar simultaneamente um filtro com este critério de correspondência a uma porta de Camada 2 e VLAN que inclua essa porta.)

ip-options

Especifique para criar uma correspondência se algo estiver especificado no campo de opções no cabeçalho ip.any

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-precedence ip-precedence-field

Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) ou (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-protocol number

Campo de protocolo IP.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs.

ip6-source-address address

Endereço IPv6 do nó de origem que envia o pacote.

Portas de entrada e VLANs. (Você não pode aplicar simultaneamente um filtro com este critério de correspondência a uma porta de Camada 2 e VLAN que inclua essa porta.)

ip-version address

Versão IP do pacote. Use essa condição para combinar com campos de cabeçalho IPv4 ou IPv6 em tráfego que chegam em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs.

is-fragment

Usar essa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho IP ou se a compensação do fragmento não for zero.

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

l2-encap-type llc-non-snap

Combine com pacotes de camada de controle de enlace lógico (LLC) para o tipo de encapsulamento de ethernet não sub-subnet Access Protocol (SNAP).

Portas de entrada e VLANs.

Portas de saída e VLANs.

label

Combine com bits de rótulo MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de saída.

learn-vlan-id number

Corresponde à ID de uma VLAN normal ou do ID da VLAN externa (serviço) (para VLANs Q-in-Q). Os valores aceitáveis são 1-4095.

Nota:

Não é compatível com switches QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600, EX4650, EX4400, EX4100 e EX4300-MP . Use a condição de correspondência para combinar com a ID VLAN externa.user-vlan-id

Portas de entrada e VLANs.

Portas de saída e VLANs.

mac-address mac-address

Combine com o endereço de controle de acesso de mídia (MAC) de origem, para uso com microssegção em um VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Entrada e saída (sistema amplo)

.

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

,, , , , , , , , , , , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

packet-length

Comprimento do pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Portas de entrada, VLANs, IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

payload-protocol

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

,, , , , , , , , , , , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Nota:

Não é compatível com switches de QFX3500, QFX3600, QFX5100, QFX5110, QFX5200 e QFX5210.

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

Port qualifier

O qualificador de porta instalará duas entradas no mecanismo de encaminhamento de pacotes. Um com a porta de origem e o segundo com a porta de destino.

Portas de entrada, VLANs, IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

precedence value

Bits de precedência de IP no byte de tipo de serviço (ToS) no cabeçalho IP. (Este byte também pode ser usado para o DSCP DiffServ.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

protocol type

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

,, , , , , , , , , , , , hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Portas de entrada, VLANs e interfaces IPv4 (inet).

Interfaces IPv4 de saída (inet).

rat-type tech-type-value

Combine com o tipo de tecnologia de acesso por rádio (RAT) especificado no campo tech-type de 8 bits do tipo de tecnologia de acesso Proxy Mobile IPv4 (PMIPv4). O tipo de tecnologia especifica a tecnologia de acesso pela qual o dispositivo móvel está conectado à rede de acesso. Especifique um único valor, uma variedade de valores ou um conjunto de valores. Você pode especificar um tipo de tecnologia como um valor numérico de 0 a 255 ou como uma palavra-chave do sistema.

  • Valor numérico 1 corresponde ao IEEE 802.3.

  • Valor numérico 2 corresponde ao IEEE 802.11a/b/g.

  • Valor numérico 3 corresponde ao IEEE 802.16e

  • Valor numérico 4 corresponde ao IEEE 802.16m.

  • A seqüência de texto corresponde ao 4G.eutran

  • A corda de texto combina com 2G.geran

  • A seqüência de texto corresponde ao 3G.utran

Interfaces IPv4 (inet) de saída e entrada.

sample

Experimente o tráfego de pacotes. Aplique essa opção apenas se tiver amostragem de tráfego habilitada.

Interfaces IPv4 (inet) de saída e entrada.

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-mac-address mac-address

Endereço de controle de acesso de mídia (MAC) de origem do pacote.

Portas de entrada e VLANs.

Portas de saída e VLANs.

source-port value

Porta de origem TCP ou UDP. Normalmente, você especifica esta correspondência em conjunto com a declaração da partida.protocol No lugar do campo numérico, você pode especificar um dos sinônimos de texto listados em .destination-port

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

source-port range-optimize range

Combine com uma variedade de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de origem individuais. (Não suportado com encaminhamento baseado em filtro.)

Portas de entrada, VLANs, interfaces IPv4 (inet).

source-prefix-list prefix-list

Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica .[edit policy-options]

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-established

Corresponde a pacotes de uma conexão TCP de três vias (SYN, SYN-ACK, ACK). O único pacote não combinado é o primeiro pacote do aperto de mão, já que apenas o bit SYN está definido. Para este pacote, você deve especificar como a condição de correspondência.tcp-initial

Quando você especifica , o switch não verifica implicitamente se o protocolo é TCP.tcp-established Você também deve especificar a condição da correspondência.protocol tcp

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-flags value

Uma ou mais bandeiras de TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Uma correspondência ocorre quando a bandeira do TCP é definida e a bandeira TCP não é definida.SYNACK

Quando você especifica , um switch não verifica implicitamente se o protocolo é TCP.tcp-initial Você também deve especificar a condição da correspondência.protocol tcp

Portas de entrada, VLANs, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de saída (inet).

traffic-class

Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4.

Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

, , , , , , , , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Portas de entrada, VLANs e interfaces IPv6 (inet6).

Interfaces IPv6 de saída (inet6).

ttl value

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255.

Interfaces IPv4 (inet) de entrada.

Interfaces IPv4 de saída (inet).

user-vlan-1p-priority value

Corresponde à prioridade de VLAN 802.1p especificada no intervalo .0-7

Portas de entrada e saída e VLANs.

user-vlan-id number

Combina com a ID da VLAN interna (cliente) para uma VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Nota:

Para QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600, EX4650, EX4400, EX4100 e EX4300-MP , use para combinar com a ID da VLAN externa.user-vlan-id

Para switches da Série QFX5220 e roteadores da Série MX e ACX, use para combinar com a ID da VLAN externa e combinar com o ID da VLAN interna.learn-vlan-iduser-vlan-id Anteriormente, você poderia usar para combinar com o ID VLAN externo.user-vlan-id

Portas de entrada e saída e VLANs.

vlan-id <vlan id> | <vlan-range> | <vlan list>

Combine com o identificador de VLAN (o primeiro e último número de ID VLAN para o grupo de VLANs) ou (lista de números) para uso com microssegção em um VXLAN, conforme descrito aqui:vlan-rangevlan list Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Nota:

Não é compatível com os switches EX4100.

Entrada e saída (sistema amplo)

Use declarações para definir ações que devem ocorrer se um pacote corresponde a todas as condições em uma declaração. mostra as ações que você pode especificar em um termo.thenfromTabela 3 (Se você não incluir uma declaração, o sistema aceita pacotes compatíveis com o filtro.)then

Tabela 3: Ações para filtros de firewall

Ação

Descrição

accept

Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).

reject message-type

Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o modificador de ação .syslog

Você pode especificar um dos seguintes tipos de mensagem: ou .administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,tcp-reset

Se você especificar , o sistema envia um reset de TCP se o pacote for um pacote TCP; caso contrário, nada é enviado.tcp-reset

Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A ação é apoiada apenas em interfaces de entrada.reject

routing-instance instance-name

Encaminhe pacotes combinados para uma instância de roteamento virtual.

vlan VLAN-name

Encaminhe pacotes combinados para uma VLAN específica.

Nota:

A ação é apoiada apenas em interfaces de entrada.vlan

Nota:

Essa ação não é suportada em switches da série OCX.

Você também pode especificar os modificadores de ação listados para contar, espelhar, limitar a taxa e classificar pacotes.Tabela 4

Tabela 4: Modificadores de ação para filtros de firewall

Modificador de ação

Descrição

analyzer analyzer-name

(Plataformas não ELS) Tráfego espelhado (pacotes de cópia) para um analisador configurado no nível de hierarquia.[edit ethernet-switching-options analyzer]

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

count counter-name

Conte o número de pacotes compatíveis com o termo.

decapsulate [gre | routing-instance]

Des encapsular pacotes GRE ou encaminhar pacotes GRE des encapsulados para a instância de roteamento especificada

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • be— melhor esforço (padrão)

  • — conforme definido no RFC 3246, um PHB de encaminhamento acelerado.ef (46)http://www.ietf.org/rfc/rfc3246.txt

  • , ; af11 (10)af12 (12)af13 (14)

    , ; af21 (18)af22 (20)af23 (22)

    , ; af31 (26)af32 (28)af33 (30)

    , af41 (34)af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.http://www.ietf.org/rfc/rfc2597.txt

  • , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

forwarding-class class

Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

gbp-src-tag

(apenas QFX5120 e EX4650)

Defina a tag fonte de política baseada em grupo (0,65535) para uso com microssegmento na VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

gbp-tag

(EX4100, EX4400, EX4650 e QFX5120)

Defina a tag fonte de política baseada em grupo (1,65535) para uso com microssegmento na VXLAN, conforme descrito aqui: Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN.

Nota: Aplica-se aos lançamentos do Junos OS 22.4R1 e posteriores.

interface

Alterne o tráfego para a interface especificada sem realizar uma busca nele. Essa ação só é válida quando o filtro é aplicado na entrada.

log

Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, insira o comando do modo operacional.show firewall log

Nota:

O modificador de ação é suportado apenas em interfaces de entrada.log

loss-priority (low | medium-low | medium-high | high)

Definir a prioridade de perda de pacotes (PLP).

Nota:

O modificador de ação é suportado apenas em interfaces de entrada.loss-priority

Nota:

O modificador de ação não é suportado em combinação com a ação .loss-prioritypolicer

policer policer-name

Envie pacotes a um policial (com a finalidade de aplicar limitações de taxa).

Você pode especificar um policial para portas de entrada, VLAN, IPv4 (inet), IPv6 (inet6) e filtros MPLS.

Nota:

O modificador de ação não é suportado em combinação com a ação .policerloss-priority

port-mirror

(plataformas ELS) Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível de hierarquia.[edit forwarding-options port-mirroring]

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(plataformas ELS) Espelhar o tráfego para uma instância de espelhamento de porta configurada no nível de hierarquia.[edit forwarding-options port-mirroring]

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

Nota:

Este modificador de ação não é suportado em switches da série OCX.

syslog

Registre um alerta para este pacote.

Nota:

O modificador de ação é suportado apenas em interfaces de entrada.syslog

three-color-policer three-color-policer-name

Envie pacotes a um policiador de três cores (com a finalidade de aplicar limitações de taxa).

Você pode especificar um policiador de três cores para portas de entrada e saída, VLAN, IPv4 (inet), IPv6 (inet6) e filtros MPLS.

Nota:

O modificador de ação não é suportado em combinação com a ação .policerloss-priority

Consulte também

Condições e ações de correspondência do filtro de firewall (QFX5220 e o QFX5130-32CD)

Este tópico descreve as condições de correspondência do filtro de firewall, ações e modificadores de ação suportados para os switches QFX5220-CD, QFX5220-128C e QFX5130-32CD.

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote combina com um filtro, um switch toma a ação especificada no termo. Se você não aplicar nenhuma condição de correspondência, o switch aceita o pacote por padrão.

  • mostra as condições de correspondência para interfaces IPv4 () e IPv6 ().Tabela 5inetinet6 Ele também contém as condições de correspondência para portas e VLANs ().ethernet-switching

  • Tabela 6 mostra as ações e os modificadores de ação que você pode especificar em um termo.

Nota:

Para condições de correspondência, algumas das condições de correspondência de campo bit e numérico permitem que você especifique um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de correspondência, digite no local apropriado em uma declaração.?
Tabela 5: Condições de correspondência suportadas (QFX5220 e switches QFX5130-32CD)

Condição da partida

Descrição

Direção e interface

arp-type

Pacote de solicitação de ARP ou um pacote de resposta ARP.

Portas de entrada e saída e VLANs

destination-address ip-address

Campo de endereço de destino IP, que é o endereço do nó de destino final.

Interfaces IPv4 e IPv6 de entrada e saída

Portas de entrada e VLANs

destination-mac-address mac-address

Endereço MAC de destino do pacote.

Portas de entrada e saída e VLANs

destination-port value

Campo de porta de destino TCP ou UDP. Você deve especificar esta correspondência com a declaração de correspondência para tráfego IPv4 ou a declaração de correspondência para tráfego IPv6.protocolnext-header

Para as seguintes portas e números de porta bem conhecidos, você pode especificar sinônimos de texto.

, , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

, cmd (514)cvspserver (2401)

, dhcp (67)domain (53)

, , eklogin (2105)ekshell (2106)exec (512)

, , finger (79)ftp (21)ftp-data (20)

, http (80)https (443)

, ident (113)imap (143)

, , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

, ldap (389)login (513)

, , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , pop3 (110)pptp (1723)printer (515)

,, radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , , , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada.

Portas de entrada e VLANs

destination-port range-optimize range

Combine com uma gama de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de destino individuais. (Não suportado com encaminhamento baseado em filtro.)

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

Campo de lista de prefixo de destino IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica .[edit policy-options]

Interfaces IPv4 e IPv6 de entrada e saída

Portas de entrada e VLANs.

dscp value

Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP.

Você pode especificar DSCP em forma hexadédica, binária ou decima.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto e campo listados.

  • be— melhor esforço (padrão)

  • — conforme definido no RFC 3246, um PHB de encaminhamento acelerado.ef (46)http://www.ietf.org/rfc/rfc3246.txt

  • , ; af11 (10)af12 (12)af13 (14)

    , ; af21 (18)af22 (20)af23 (22)

    , ; af31 (26)af32 (28)af33 (30)

    , af41 (34)af42 (36)af43 (38)

    Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido.http://www.ietf.org/rfc/rfc2597.txt

  • , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

Interfaces IPv4 de entrada e saída

Portas de entrada e VLANs

ether-type value

Tipo de campo de ethernet de um pacote. O valor do EtherType especifica qual protocolo está sendo transportado no quadro Ethernet. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto. Os valores de campo também estão listados.

  • aarp (0x80F3)— Valor de EtherOtipo AARP

  • appletalk (0x809B)— Valor de EtherOtipo AppleTalk

  • arp (0x0806)— ARP de valor do EtherOquétipo

  • fcoe (0x8906)— FCoE de valor do EtherOquécnico

  • fip (0x8914)— FIP de valor do EtherOquétipo

  • ipv4 (0x0800)— IPv4 de valor de EtherOquétipo

  • ipv6 (0x08DD)— IPv6 de valor de EtherOquétipo

  • mpls-multicast (0x8848)— Valor de EtherHavia MPLS multicast

  • mpls-unicast (0x8847)— MpLS unicast de valor de EtherType

  • oam (0x88A8)— Valor de EtherOAM

  • ppp (0x880B)— PPP de valor do EtherOquétipo

  • pppoe-discovery (0x8863)— Valor de EtherPoE PPPoE Discovery Stage

  • pppoe-session (0x8864)— Valor de EtherPoE Estágio de sessão de PPPoE

  • sna (0x80D5)— SNA de valor de EtherOtip

Portas de entrada e saída e VLANs
primeiro fragmento

Combine se o pacote é o primeiro fragmento de um pacote fragmentado. Evitando combinar o pacote se for um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de compensação de fragmentos de 0.

Esta condição de jogo é um vulto para a condição de jogo de bit-field que compensa fragmentos 0 condição da partida.

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência:e . first-fragment is-fragment

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Como o significado do valor depende do associado , você deve especificar um valor para .icmp-typeicmp-typeicmp-code No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • IPv4: problema de parâmetro —ip-header-bad (0)required-option-missing (1)

  • IPv6: problema de parâmetro —ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • — , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: inalcançável — , , , , , , , , , , , , , , , , , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inalcançável — , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

icmp-type value

Campo do tipo de mensagem do ICMP. Você deve especificar esta correspondência junto com a declaração de correspondência.protocol Esta correspondência determina qual protocolo está sendo usado na porta para tráfego IPv4 ou a declaração de correspondência para tráfego IPv6.next-header

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

IPv4:, , , , , , , , , , , , , , , , , , , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , , , , , , , , , , , , , , , , , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Veja também .icmp-code variable

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

interface interface-name

Interface na qual o pacote é recebido, incluindo a unidade lógica. Você pode incluir o caractere curinga () como parte de um nome de interface ou unidade lógica.*

Nota:

Uma interface da qual um pacote é enviado não pode ser usada como condição de correspondência.

Portas de entrada e VLANs

ip-destination-address address

Endereço IPv4 que é o endereço de nó de destino final para o pacote.

Portas de entrada e VLANs

ip-options

Especifique para criar uma correspondência se algo estiver especificado no campo de opções no cabeçalho ip.any

Interfaces IPv4 de entrada

ip-protocol number

Campo de protocolo IP.

Portas de entrada e VLANs

ip-precedence ip-precedence-field

Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) ou (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

Portas de entrada e VLANs

ip-source-address address

Endereço IPv4 do nó de origem que envia o pacote.

Portas de entrada e VLANs

ip-version address

Versão IP do pacote. Use essa condição para combinar com campos de cabeçalho IPv4 ou IPv6 em tráfego que chegam em uma porta de Camada 2 ou interface VLAN.

Portas de entrada e VLANs

is-fragment

Usar essa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho IP ou se a compensação do fragmento não for zero.

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada (QFX5130)
learn-vlan-id number

Identificador de VLAN para aprendizado MAC.

Portas de entrada e saída e VLANs (QFX5220)

Portas de entrada e VLANS (QFX5130)
learn-vlan-1p-priority value

Combine com os bits de prioridade de VLAN aprendidos do IEEE 802.1p na tag VLAN do provedor (a única tag em um quadro de tag única com tags VLAN de 802.1Q ou a tag externa em um quadro de tag dupla com tags VLAN 802.1Q). Especifique um único valor ou vários valores de 0 a 7.

Portas de entrada e VLANs

next-header

Valor do protocolo IPv4 ou IPv6. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

,, , , , , , , , , , , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Interfaces IPv6 de entrada e saída

packet-length

Comprimento do pacote em bytes. Você deve inserir um valor entre 0 e 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de precedência de IP no byte de tipo de serviço (ToS) no cabeçalho IP. (Este byte também pode ser usado para o DSCP DiffServ.) No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada e saída

protocol type

Valor do protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados):

,, , , , , , , , , , , , hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)tcp (4)

Interfaces IPv4 de entrada e saída.

Interfaces E VLANs IPv4 de entrada

source-address ip-address

Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-mac-address mac-address

Endereço de controle de acesso de mídia (MAC) de origem do pacote.

Interfaces IPv4 de entrada e saída e VLANs

source-port value

Porta de origem TCP ou UDP. Você deve especificar esta correspondência em conjunto com a declaração de correspondência para tráfego IPv4 ou a declaração de correspondência para tráfego IPv6.protocolnext-header

No lugar do campo numérico, você pode especificar um dos sinônimos de texto listados em .destination-port

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs

source-port range-optimize range

Combine com uma variedade de intervalos de portas TCP ou UDP enquanto usa a memória disponível de forma mais eficiente. Usar essa condição permite configurar mais filtros de firewall do que se você configurar portas de origem individuais. (Não suportado com encaminhamento baseado em filtro.)

Interfaces IPv4 de entrada

source-prefix-list prefix-list

Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica .[edit policy-options]

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs
tcp-established

Combine pacotes TCP de uma sessão TCP estabelecida (pacotes que não sejam o primeiro pacote de uma conexão). Este é um apelido para tcp-flags "(ack | rst)".

Esta condição de correspondência não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a condição da correspondência.protocol tcp

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada e saída (QFX5130)

Interfaces IPv6 de entrada (QFX5130)

tcp-flags value

Bandeiras TCP (apenas um valor é suportado):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 de entrada e saída

Interfaces IPv6 de entrada

Portas de entrada e VLANs
tcp-initial

Combine com o primeiro pacote TCP de uma conexão. Uma correspondência ocorre quando a bandeira do TCP é definida e a bandeira TCP não é definida.SYNACK

Quando você especifica , um switch não verifica implicitamente se o protocolo é TCP.tcp-initial Você também deve especificar a condição da correspondência.protocol tcp Veja .protocol type

Interfaces IPv4 de entrada e saída (QFX5220)

Interfaces IPv4 de entrada e saída, interfaces IPv6 de entrada (QFX5130)

traffic-class

Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4.

Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

, , , , , , , , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Interfaces IPv6 de entrada e saída

ttl value

Campo ip time-to-live (TTL) em decimais. O valor pode ser de 1 a 255.

Interfaces IPv4 de entrada e saída

user-vlan-id number

Combina com a ID da VLAN interna (cliente) para uma VLAN Q-in-Q. Os valores aceitáveis são 1-4095.

Portas de entrada e VLANs (QFX5130)

user-vlan-1p-priority value

Corresponde à prioridade de VLAN 802.1p especificada no intervalo .0-7

Portas de entrada e VLANs (QFX5130)

Use declarações para definir ações que devem ocorrer se um pacote corresponde a todas as condições em uma declaração. Mostra as ações que você pode especificar em um termo.thenfromTabela 6 (Se você não incluir uma declaração, o sistema aceita pacotes compatíveis com o filtro.)then

Nota:

Para interfaces IPv4 de saída, interfaces IPv6 e portas de saída, você só pode aplicar as ações de aceitação, descarte e contagem. Para VLANs de saída, você só pode aplicar a ação de aceitação.

Tabela 6: Modificadores de ações e ações

Ação

Descrição

accept

Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.

apply-groups-except

Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.

count counter-name

Conte o número de pacotes compatíveis com o termo.

discard

Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).

forwarding-class class

Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.

log

Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, insira o comando do modo operacional.show firewall log

loss-priority (low | medium-low | medium-high | high)

Definir a prioridade de perda de pacotes (PLP).

Nota:

O modificador de ação é suportado apenas em interfaces IPv4 de entrada.loss-priority
Nota:

O modificador de ação não é suportado em combinação com a ação .loss-prioritypolicer

policer policer-name

Envie pacotes a um policial (com a finalidade de aplicar limitações de taxa).

Nota:

O modificador de ação não é suportado em combinação com a ação .policerloss-priority

port-mirror

Tráfego espelhado (pacotes de cópia) para uma interface de saída configurada em uma instância de espelhamento de porta no nível de hierarquia.[edit forwarding-options port-mirroring]

port-mirror-instance port-mirror-instance-name

Espelhar o tráfego para uma instância de espelhamento de porta configurada no nível de hierarquia.[edit forwarding-options port-mirroring]

Você pode especificar o espelhamento de portas para filtros de firewall de entrada, VLAN e IPv4 (inet).

reject message-type

Descarte um pacote e envie uma mensagem ICMPv4 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o modificador de ação .syslog

Você pode especificar um dos seguintes tipos de mensagem: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente".

Nota:

A ação é suportada apenas em interfaces IPv4 de entrada.reject

three-color-policer three-color-policer-name

Envie pacotes a um policiador de três cores (com a finalidade de aplicar limitações de taxa).

Nota:

O modificador de ação não é suportado em combinação com a ação .policerloss-priority
Nota:

O e os policiais não são apoiados.color-awarecolor-blind Por padrão, o tráfego é tratado como .color-blind

vlan VLAN-name

Encaminhe pacotes combinados para uma VLAN específica.

Nota:

A ação só é suportada em portas de entrada e VLANs.vlan

Essa ação não é suportada em switches QFX5130.

Consulte também