Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (QFX10000 Switches)

Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungendefinieren. Sie können auch no match-Anweisung einschließen, in diesem Fall stimmt der Begriff mit allen Paketen überein.

Wenn ein Paket mit einem Filter übereinstimmt, führt der Switch die im Begriff angegebene Aktion aus. Darüber hinaus können Sie Aktionsmodifikatoren zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen angeben. Wenn keine Übereinstimmungsbedingungen für den Begriff angegeben sind, akzeptiert der Switch das Paket standardmäßig.

In diesem Thema werden die verschiedenen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren beschrieben, die Sie in Firewall-Filtern auf QFX10000 Switches definieren können. Ähnliche Informationen zu anderen QFX-Switches finden Sie unter Bedingungen und Aktionen für Firewall-Filter (Switches der QFX- und EX-Serie).

  • Tabelle 1 Beschreibt die Übereinstimmungsbedingungen, die Sie beim Konfigurieren eines Firewallfilters angeben können. Bei einigen der Übereinstimmungsbedingungen für numerische Bereiche und Bitfelder können Sie ein Textsynonym angeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung anzuzeigen, geben Sie an der entsprechenden Stelle in einer Anweisung ein ? .

  • Tabelle 2 Zeigt die Aktionen an, die Sie in einem Begriff angeben können.

  • Tabelle 3 Zeigt die Aktionsmodifikatoren an, die Sie zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen verwenden können.

Tabelle 1: Unterstützte Spielbedingungen (QFX10000 Switches)

Übereinstimmungsbedingung

Beschreibung

Richtung und Schnittstelle

destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

Ingress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet) und IPv6-Schnittstellen (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

destination-mac-address mac-address

MAC-Adresse (Destination Media Access Control) des Pakets.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

destination-port value

TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der protocol match-Anweisung an. Für die folgenden bekannten Ports können Sie Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet):

afs (1483), bgp (179), biff (512), , bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), , krb-prop (754), krbupdate (760), , kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), , ntalk (518), , ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), , snmptrap (162), socks (1080)snpp (444), , ssh (22), , sunrpc (111), syslog (514), ,

tacacs-ds (65), talk (517), telnet (23), , tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

destination-prefix-list prefix-list

Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

dscp value

Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • be—Best Effort (Standard)

  • ef (46)– wie in RFC 3246, An Expedited Forwarding PHB, definiert.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.

  • cs0, cs1, , cs2, cs4cs3, , cs5, , cs6, cs7, , cs5

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

Ausgangsports, VLANs und IPv4-Schnittstellen (inet).

ether-type value

Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • aarp (0x80F3)—EtherType-Wert AARP

  • appletalk (0x809B)—EtherType-Wert AppleTalk

  • arp (0x0806)—EtherType-Wert ARP

  • fcoe (0x8906)—EtherType-Wert FCoE

  • fip (0x8914)—EtherType-Wert FIP

  • ipv4 (0x0800)—EtherType-Wert IPv4

  • ipv6 (0x08DD)—EtherType-Wert IPv6

  • mpls-multicast (0x8848)—EtherType-Wert MPLS-Multicast

  • mpls-unicast (0x8847)—EtherType-Wert MPLS-Unicast

  • oam (0x88A8)—EtherType-Wert OAM

  • ppp (0x880B)—EtherType-Wert PPP

  • pppoe-discovery (0x8863)—EtherType-Wert PPPoE-Erkennungsphase

  • pppoe-session (0x8864)—EtherType-Wert PPPoE-Sitzungsphase

  • sna (0x80D5)—EtherType-Wert SNA

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

  • best-effort

  • fcoe

  • network-control

  • no-loss

Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).

fragment-flags value

IP-Fragmentierungs-Flags. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Hexadezimalwerte werden ebenfalls aufgelistet):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

hop-limit value

Stimmt mit dem angegebenen Hop-Limit oder dem Satz von Hop-Limits überein. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an.

IPv6-Schnittstellen (inet6) für eingehenden und ausgehenden Datenverkehr.

icmp-code value

ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten icmp-typeabhängt, müssen Sie einen Wert für icmp-type zusammen mit einem Wert für icmp-codeangeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • IPv4: Parameter-Problem—ip-header-bad (0), required-option-missing (1)

  • IPv6: Parameter-Problem—ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), redirect-for-tos-and-net (2), redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4: nicht erreichbar—network-unreachable (0), host-unreachable (1), , protocol-unreachable (2), port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: nicht erreichbar—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen

icmp-type value

ICMP-Nachrichtentypfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der protocol match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3)membership-query (130)router-renumbering (138)neighbor-advertisement (136)node-information-request (139)redirect (137)neighbor-solicit (135)router-advertisement (134)membership-termination (132)echo-reply (129)router-solicit (133)parameter-problem (4)echo-request (128)membership-report (131), node-information-reply (140)

Siehe auch icmp-code variable.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

interface interface-name

Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen (*) als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen.

HINWEIS:

Eine Schnittstelle, von der ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

ip-destination-address address

IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt.

Ingress-Ports, Egress-Ports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

ip-options

Geben Sie an any , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist.

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

ip-precedence ip-precedence-field

Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) oder routine (0x00).

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

ip-protocol number

IP-Protokoll-Feld.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle eintrifft.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

is-fragment

Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist.

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

learn-1p-priority number

Entspricht den angegebenen IEEE 802.1p VLAN-Prioritätsbits im Bereich 0-7.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

learn-vlan-id number

Stimmt mit der ID eines normalen VLANs oder der ID des äußeren (Service-)VLANs (für Q-in-Q-VLANs) überein. Um den Filterspeicher so effizient wie möglich zu nutzen und die Anzahl der möglichen Filter zu maximieren, verwenden Sie diese Bedingung zusätzlich zu user-id dem Zeitpunkt, an dem Sie die innere (Kunden-)VLAN-ID abgleichen möchten. Die zulässigen Werte sind 1-4095.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

HINWEIS:

Der loss-priority Aktionsmodifikator wird in Kombination mit der policer Aktion nicht unterstützt.

Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).

next-header value

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Ingress IPv6 (inet6)-Schnittstellen.

IPv6-Ausgangsschnittstellen (inet6).

packet-length number

Paketlänge in Bytes. Sie müssen eine Zahl zwischen 0 und 65535 eingeben.

Ingress-Ports, VLANs, IPv4- (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

precedence value

IP-Rangfolgebits im ToS-Byte (Type-of-Service) im IP-Header. (Dieses Byte kann auch für den DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Ingress-IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

protocol type

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Ingress-IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

source-address ip-address

IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat.

Ingress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

source-mac-address mac-address

MAC-Adresse (Source Media Access Control) des Pakets.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

source-port value

TCP- oder UDP-Quellport. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der protocol match-Anweisung an. Anstelle des numerischen Feldes können Sie eines der unter destination-portaufgeführten Textsynonyme angeben.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

source-prefix-list prefix-list

Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

tcp-established

Pakete einer bestehenden TCP-Verbindung abgleichen. Diese Bedingung stimmt mit Paketen überein, die nicht zum Einrichten einer TCP-Verbindung verwendet werden, d. h., Drei-Wege-Handshake-Pakete werden nicht abgeglichen.

Wenn Sie angeben tcp-established, überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

tcp-flags value

Ein oder mehrere TCP-Flags:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

tcp-initial

Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag SYN festgelegt ist und das TCP-Flag ACK nicht festgelegt ist.

Wenn Sie angeben tcp-initial, überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

traffic-class value

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4.

Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

af11 (10), af12 (12), af13 (14), af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Ingress IPv6 (inet6)-Schnittstellen.

IPv6-Ausgangsschnittstellen (inet6).

ttl value

IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen.

Ingress-IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

user-vlan-id number

Stimmt mit der ID des inneren (Kunden-)VLANs in einem Q-in-Q-VLAN überein. Um den Filterspeicher möglichst effizient zu nutzen und die Anzahl der möglichen Filter zu maximieren, verwenden Sie in Kombination mit learn-vlan-id , um die äußere (Service-)VLAN-ID abzugleichen. Die zulässigen Werte sind 1-4095.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

Use-Anweisungen then , um Aktionen zu definieren, die ausgeführt werden sollen, wenn ein Paket alle Bedingungen in einer from Anweisung erfüllt. Tabelle 2 Zeigt die Aktionen an, die Sie in einem Begriff angeben können. (Wenn Sie keine then Anweisung angeben, akzeptiert das System Pakete, die dem Filter entsprechen.)

Tabelle 2: Aktionen

Action!

Beschreibung

accept

Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen.

discard

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den syslog Aktionsmodifizierer.

Sie können einen der folgenden Nachrichtentypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, oder tcp-reset.

Wenn Sie angeben tcp-reset, sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt, andernfalls wird nichts gesendet.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet.

HINWEIS:

Die reject Aktion wird nur auf Eingangsschnittstellen unterstützt.

routing-instance instance-name

Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter. (Der einzige unterstützte Instance-Typ ist virtual-router.) Pakete können an die Standardinstanz weitergeleitet werden.

vlan VLAN-name

Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter.

HINWEIS:

Die vlan Aktion wird nur auf Eingangsschnittstellen unterstützt.

HINWEIS:

Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt.

Sie können auch die Aktionsmodifikatoren angeben, die unter Tabelle 3 zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen aufgeführt sind.

Tabelle 3: Aktionsmodifikatoren

Modifikator "Aktion"

Beschreibung

count counter-name

Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

HINWEIS:

Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren.

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den show firewall log Befehl Betriebsmodus ein.

HINWEIS:

Der log Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt.

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

HINWEIS:

Der loss-priority Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt.

HINWEIS:

Der loss-priority Aktionsmodifikator wird in Kombination mit der policer Aktion nicht unterstützt.

policer policer-name

Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung).

Sie können einen Policer für Eingangs- und Ausgangsport-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben.

HINWEIS:

Der policer Aktionsmodifikator wird in Kombination mit der loss-priority Aktion nicht unterstützt.

port-mirror

(ELS-Plattformen) Spiegeln des Datenverkehrs (Kopieren von Paketen) auf eine Ausgabeschnittstelle, die in einer Port-Spiegelungsinstanz auf Hierarchieebene [edit forwarding-options port-mirroring] konfiguriert ist.

Sie können die Port-Spiegelung für Eingangs- und Ausgangs-Port-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben.

port-mirror-instance port-mirror-instance-name

(ELS-Plattformen) Spiegeln Sie den Datenverkehr auf eine Portspiegelungsinstanz, die auf Hierarchieebene [edit forwarding-options port-mirroring] konfiguriert ist.

Sie können die Port-Spiegelung für Eingangs- und Ausgangs-Port-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben.

HINWEIS:

syslog

Protokollieren Sie eine Warnung für dieses Paket.

HINWEIS:

Der syslog Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt.

three-color-policer three-color-policer-name

Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung).

Sie können einen dreifarbigen Policer für Eingangs- und Ausgangsport-, VLAN-, IPv4- (inet) und IPv6-Filter (inet6) angeben.

HINWEIS:

Der policer Aktionsmodifikator wird in Kombination mit der loss-priority Aktion nicht unterstützt.