Firewall-Filter stimmen Bedingungen und Aktionen ab (QFX10000-Switches)

destination-address ip-address

IP-Zieladressenfeld, das die Adresse des endgültigen Zielknotens ist.

Eingangs-IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4-Schnittstellen (Inet) und IPv6 (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

destination-mac-address mac-address

Mac-Adresse (Destination Media Access Control) des Pakets.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

destination-port value

TCP- oder UDP-Zielport-Feld. In der Regel geben Sie diese Übereinstimmung zusammen mit der protocol Übereinstimmungserklärung an. Für die folgenden bekannten Ports können Sie Text-Synonyme angeben (die Portnummern sind auch aufgeführt):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4 -Schnittstellen (Inet) und IPv6 (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

destination-prefix-list prefix-list

Ip-Zielpräfix-Listenfeld. Sie können eine Liste von IP-Adresspräfixen unter einem Prefix-Listen-Alias für häufige Verwendung definieren. Definieren Sie diese Liste auf [edit policy-options] Hierarchieebene.

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4 -Schnittstellen (Inet) und IPv6 (inet6).

dscp value

Differenzierter Services-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das Typ-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt):

• be—Best Effort (Standard)

• ef (46)— wie in RFC 3246, An Expedited Forwarding PHB definiert.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Diese vier Klassen mit drei Drop-Rangfolgen in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Eingangsports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangsports, VLANs und IPv4(Inet)-Schnittstellen.

ether-type value

Ethernet-Typ-Feld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt):

• aarp (0x80F3)— EtherType-Wert AARP

• appletalk (0x809B)—EtherType-Wert AppleTalk

• arp (0x0806)— EtherType-Wert ARP

• fcoe (0x8906)—EtherType-Wert FCoE

• fip (0x8914)—EtherType-Wert FIP

• ipv4 (0x0800)—EtherType-Wert IPv4

• ipv6 (0x08DD)—EtherType-Wert IPv6

• mpls-multicast (0x8848)—EtherType-Wert MPLS-Multicast

• mpls-unicast (0x8847)—EtherType-Wert MPLS-Unicast

• oam (0x88A8)—EtherType-Wert OAM

• ppp (0x880B)—EtherType-Wert PPP

• pppoe-discovery (0x8863)—EtherType-Wert PPPoE Discovery Stage

• pppoe-session (0x8864)—EtherType-Wert PPPoE Session Stage

• sna (0x80D5)—EtherType-Wert SNA

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

forwarding-class class

Klassifizieren Sie das Paket in einer der folgenden Standardweiterleitungsklassen oder in einer benutzerdefinierten Weiterleitungsklasse:

• best-effort

• fcoe

• network-control

• no-loss

Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).

fragment-flags value

IP-Fragmentierungs-Flags. Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die hexadezimalen Werte sind auch aufgeführt):

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

Eingangsports, VLANs und IPv4 (Inet)-Schnittstellen.

hop-limit value

Passen Sie die angegebene Hop-Begrenzung oder gruppe von Hop-Limits an. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an.

Eingangs- und Ausgangs-IPv6 (Inet6)-Schnittstellen.

icmp-code value

ICMP-Codefeld. Da die Bedeutung des Werts von dem zugehörigen icmp-typeabhängt, müssen Sie einen Wert für icmp-type und einen Wert für icmp-codeangeben. Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte werden auch aufgeführt). Die Keywords werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

• IPv4: Parameter-Problem –ip-header-bad (0)required-option-missing (1)

• IPv6: Parameter-Problem–ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• redirect—redirect-for-network (0), redirect-for-host (1), , , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• time-exceeded—,ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: unerreichbar–network-unreachable (0), host-unreachable (1), protocol-unreachable (2), , port-unreachable (3), , destination-network-unknown (6)destination-host-unknown (7)communication-prohibited-by-filtering (13)source-route-failed (5)destination-network-prohibited (9)host-precedence-violation (14)source-host-isolated (8)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)fragmentation-needed (4)precedence-cutoff-in-effect (15)

• IPv6: unerreichbar–address-unreachable (3)administratively-prohibited (1) , , no-route-to-destination (0),port-unreachable (4)

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4 (Inet)-Schnittstellen und IPv6 -Schnittstellen (inet6)

icmp-type value

ICMP-Nachrichtentypfeld. In der Regel geben Sie diese Übereinstimmung zusammen mit der protocol Match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt):

IPv4: echo-reply (0), destination unreachable (3), , source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-solicit (10)IPv4 (inet)-advertisement (9), , , timestamp (13)mask-request (17)parameter-problem (12)timestamp-reply (14)info-request (15)info-reply (16)time-exceeded (11)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), , time-exceeded (3), parameter-problem (4), echo-reply (129), router-solicit (133)neighbor-advertisement (136)node-information-request (139)membership-termination (132)redirect (137)neighbor-solicit (135)router-advertisement (134)router-renumbering (138)echo-request (128)membership-query (130)membership-report (131)node-information-reply (140)

Siehe auch icmp-code variable.

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4 -Schnittstellen (Inet) und IPv6 (inet6).

interface interface-name

Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Wildcard-Zeichen (*) als Teil eines Schnittstellennamens oder einer logischen Einheit einschließen.

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4-Schnittstellen (Inet) und IPv6 (inet6).

ip-destination-address address

IPv4-Adresse, die die letzte Zielknotenadresse für das Paket ist.

Eingangsports, Ausgangsports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

ip-options

Geben Sie an any , um eine Übereinstimmung zu erstellen, wenn im Feld "Optionen" im IP-Header angegeben wird.

Eingangsports, VLANs und IPv4 (Inet)-Schnittstellen.

ip-precedence ip-precedence-field

IP-Rangfolgefeld. Anstelle des numerischen Feldwerts können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) oder routine (0x00).

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

ip-protocol number

IP-Protokollfeld.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle ankommt.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

is-fragment

Die Verwendung dieser Bedingung bewirkt eine Übereinstimmung, wenn das Flag "Mehr Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentversatz nicht Null ist.

Eingangsports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4(Inet)-Schnittstellen.

learn-1p-priority number

Entspricht den angegebenen IEEE 802.1p VLAN-Prioritätsbits im Bereich 0-7.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

learn-vlan-id number

Entspricht der ID eines normalen VLANs oder der ID des äußeren (Service-) VLANs (für Q-in-Q-VLANs). Um Filterspeicher am effizientesten zu verwenden und die Anzahl der möglichen Filter zu maximieren, verwenden Sie diese Bedingung zusätzlich, user-id wenn Sie die interne VLAN-ID des Kunden abgleichen möchten. Die akzeptablen Werte sind 1-4095.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).

next-header value

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die numerischen Werte sind auch aufgeführt):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Eingangs-IPv6 (Inet6)-Schnittstellen.

Ausgangs-IPv6 (Inet6)-Schnittstellen.

packet-length number

Paketlänge in Bytes. Sie müssen eine Zahl zwischen 0 und 65535 eingeben.

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 (inet6).

Ausgangs-IPv4(Inet)-Schnittstellen.

precedence value

IP-Precedence-Bits im ToS-Byte (Type of Service) im IP-Header. (Dieses Byte kann auch für DiffServ DSCP verwendet werden.) Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die numerischen Werte sind auch aufgeführt):

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Eingangs-IPv4(Inet)-Schnittstellen.

Ausgangs-IPv4(Inet)-Schnittstellen.

protocol type

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die numerischen Werte sind auch aufgeführt):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Eingangs-IPv4(Inet)-Schnittstellen.

Ausgangs-IPv4(Inet)-Schnittstellen.

source-address ip-address

IP-Quelladressenfeld, das die Adresse des Knotens ist, der das Paket gesendet hat.

Eingangs-IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4-Schnittstellen (Inet) und IPv6 (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

source-mac-address mac-address

Source Media Access Control (MAC)-Adresse des Pakets.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

source-port value

TCP- oder UDP-Quell-Port. In der Regel geben Sie diese Übereinstimmung zusammen mit der protocol Übereinstimmungserklärung an. Anstelle des numerischen Felds können Sie eines der unter .destination-port

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4 -Schnittstellen (Inet) und IPv6 (inet6).

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

source-prefix-list prefix-list

IP-Quellpräfixliste. Sie können eine Liste von IP-Adresspräfixen unter einem Prefix-Listen-Alias für häufige Verwendung definieren. Definieren Sie diese Liste auf [edit policy-options] Hierarchieebene.

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangsports, VLANs, IPv4 -Schnittstellen (Inet) und IPv6 (inet6).

tcp-established

Stimmen Sie Pakete einer eingerichteten TCP-Verbindung ab. Diese Bedingung entspricht anderen Paketen als denen, die zum Einrichten einer TCP-Verbindung verwendet werden– das heißt, Drei-Wege-Handshake-Pakete werden nicht abgeglichen.

Wenn Sie angeben tcp-established, überprüft ein Switch nicht implizit, dass es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4(Inet)-Schnittstellen.

tcp-flags value

Ein oder mehrere TCP-Flags:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4(Inet)-Schnittstellen.

tcp-initial

Passen Sie das erste TCP-Paket einer Verbindung an. Eine Übereinstimmung tritt auf, wenn das TCP-Flag SYN festgelegt ist und das TCP-Flag ACK nicht festgelegt ist.

Wenn Sie angeben tcp-initial, überprüft ein Switch nicht implizit, dass es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Eingangsports, VLANs, IPv4-Schnittstellen (Inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4(Inet)-Schnittstellen.

traffic-class value

8-Bit-Feld, das die CoS-Priorität (Class-of-Service) des Pakets angibt. Das Feld der Datenverkehrsklasse wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als Typ-of-Service-Feld (ToS) in IPv4 verwendet, und die Semantik dieses Feldes (z. B. DSCP) ist identisch mit der von IPv4.

Sie können eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Eingangs-IPv6 (Inet6)-Schnittstellen.

Ausgangs-IPv6 (Inet6)-Schnittstellen.

ttl value

IP Time-to-Live (TTL)-Feld im Dezimal. Der Wert kann 1-255 sein.

Eingangs-IPv4(Inet)-Schnittstellen.

Ausgangs-IPv4(Inet)-Schnittstellen.

Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend

user-vlan-id number

Gleicht die ID des internen (Kunden-) VLANs in einem Q-in-Q-VLAN ab. Um Filterspeicher am effizientesten zu nutzen und die Anzahl der möglichen Filter zu maximieren, verwenden Sie die Verwendung in Kombination mit learn-vlan-id der äußeren (Service-)VLAN-ID. Die akzeptablen Werte sind 1-4095.

Eingangsports und VLANs.

Ausgangs-Ports und VLANs.

accept

Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die einem Begriff entsprechen.

discard

Verwerfen Sie ein Paket unbemerkt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket und senden Sie eine "Ziel nicht erreichbare" ICMPv4-Nachricht (Typ 3). Konfigurieren Sie den syslog Aktionsmodifizierer, um abgelehnte Pakete zu protokollieren.

Sie können einen der folgenden Nachrichtentypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, oder tcp-reset.

Wenn Sie angeben tcp-reset, sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt, andernfalls wird nichts gesendet.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardmeldung "Kommunikation administrativ gefiltert" gesendet.

routing-instance instance-name

Leiten Sie abgeglichene Pakete an eine virtuelle Routing-Instanz weiter. (Der einzige unterstützte Instanztyp ist virtual-router.) Pakete können an die Standardinstanz weitergeleitet werden.

vlan VLAN-name

Leiten Sie abgeglichene Pakete an ein bestimmtes VLAN weiter.

count counter-name

Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.

forwarding-class class

Klassifizieren Sie das Paket in einer der folgenden Standardweiterleitungsklassen oder in einer benutzerdefinierten Weiterleitungsklasse:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Geben Sie den show firewall log Befehl betriebsmodus ein, um diese Informationen anzuzeigen.

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

policer policer-name

Senden von Paketen an einen Policer (zum Zweck der Anwendung von Rate Limiting).

Sie können einen Policer für Eingangs- und Ausgangsport, VLAN, IPv4 (inet) und IPv6 (inet) Firewall-Filter angeben.

port-mirror

(ELS-Plattformen) Spiegelung des Datenverkehrs (Kopieren von Paketen) an eine Ausgabeschnittstelle, die [edit forwarding-options port-mirroring] in einer Portspiegelungsinstanz auf Hierarchieebene konfiguriert ist.

Sie können Portspiegelung für Eingangs- und Ausgangsport, VLAN, IPv4 (inet) und IPv6 (inet) Firewall-Filter angeben.

port-mirror-instance port-mirror-instance-name

(ELS-Plattformen) Spiegelung des Datenverkehrs auf eine Portspiegelungsinstanz, die [edit forwarding-options port-mirroring] auf Hierarchieebene konfiguriert ist.

Sie können Portspiegelung für Eingangs- und Ausgangsport, VLAN, IPv4 (inet) und IPv6 (inet) Firewall-Filter angeben.

syslog

Protokollieren Sie eine Warnung für dieses Paket.

three-color-policer three-color-policer-name

Senden von Paketen an einen dreifarbigen Policer (zum Zweck der Anwendung von Rate Limiting).

Sie können einen dreifarbigen Policer für Eingangs- und Ausgangsport, VLAN,IPv4 (inet) und IPv6(inet6)-Filter angeben.