Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen und Aktionen für Firewall-Filter QFX10000-Switches

Jeder Begriff in einem Firewall-Filter besteht aus Übereinstimmungsbedingungen und einer Aktion. Bedingungen für Übereinstimmungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können Bedingungen für einzelne oder mehrere Übereinstimmungen in Übereinstimmungs-Anweisungen definieren. Sie können auch keine Übereinstimmungsauszug beinhalten. In diesem Fall entspricht der Begriff allen Paketen.

Wenn ein Paket mit einem Filter zusammenarbeitet, führt der Switch die in dem Begriff angegebene Aktion aus. Außerdem können Sie Aktionen zum Zählen, Spiegeln, Begrenzen der Srate und Klassifizieren von Paketen angeben. Wenn für den Begriff keine Bedingungen festgelegt werden, akzeptiert der Switch das Paket standardmäßig.

Dieses Thema beschreibt die verschiedenen Bedingungen, Aktionen und Aktionen, die Sie in Firewall-Filtern auf Switches QFX10000 definieren können. Ähnliche Informationen zu anderen QFX-Switches finden Sie Bedingungen und Aktionen für Firewall-Filter (Switches der QFX- und EX-Serie) unter.

  • Tabelle 1 beschreibt die Bedingungen, die Sie bei der Konfiguration eines Firewall-Filters angeben können. Mit einigen der numerischen Bereichs- und Bitfeld-Übereinstimmungsbedingungen können Sie ein Text synonym für ein Synonym angeben. Geben Sie an der entsprechenden Stelle in einer Anweisung eine Liste aller Synonyme für eine Übereinstimmungsbedingung ? ein.

  • Tabelle 2 zeigt die Aktionen, die Sie in einem Begriff angeben können.

  • Tabelle 3 zeigt die Aktionsmoderatoren an, die Sie zum Zählen, Spiegeln, Begrenzen der Srate und Klassifizieren von Paketen verwenden können.

Tabelle 1: Unterstützte Bedingungen für Übereinstimmungen (QFX10000-Switches)

Bedingungen erfüllen

Beschreibung

Richtung und Schnittstelle

destination-address ip-address

IP-Zieladressenfeld, die die Adresse des endgültigen Zielknotens ist.

Ingress-IPv4 -Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Egress IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen.

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

destination-mac-address mac-address

MAC-MAC (Destination MAC) des Pakets

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

destination-port value

TCP- oder UDP-Ziel-Portfeld. Sie geben diese Übereinstimmung in der Regel zusammen mit der protocol Übereinstimmungsauszug an. Für die folgenden bekannten Ports können Sie Textsynonyme angeben (die Portnummern sind ebenfalls aufgeführt):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Egress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

IRB-Ingress-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

destination-prefix-list prefix-list

IP-Ziel-Präfixlistenfeld. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Definieren Sie diese Liste auf [edit policy-options] der Hierarchieebene.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Egress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

dscp value

Differentiated Services Code Point (DSCP). Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • be— Best Effort (Standard)

  • ef (46)— wie in RFC 3246definiert , An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Dropdown-Rangfolgen in jeder Klasse für insgesamt 12 Codepunkte werden in RFC 2597, Assured Forwarding PHBdefiniert.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-Ports, VLANs und IPv4 -Schnittstellen (inet).

ether-type value

Ethernet-Feld eines Pakets. Der EtherType-Wert gibt an, welche Protokolle im Ethernet-Frame übertragen werden. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • aarp (0x80F3)— EtherType-Wert AARP

  • appletalk (0x809B)— EtherType-Wert AppleTalk

  • arp (0x0806)— EtherType-Wert-ARP

  • fcoe (0x8906)— EtherType-FCoE

  • fip (0x8914)— EtherType-Wert FIP

  • ipv4 (0x0800)— EtherType-Wert IPv4

  • ipv6 (0x08DD)— EtherType-Wert IPv6

  • mpls-multicast (0x8848)— EtherType-MPLS-Multicast

  • mpls-unicast (0x8847)– EtherType-MPLS-Unicast

  • oam (0x88A8)— EtherType-Wert OAM

  • ppp (0x880B)— EtherType-Wert PPP

  • pppoe-discovery (0x8863)— EtherType-Wert PPPoE-Erkennungsphase

  • pppoe-session (0x8864)— EtherType-Wert PPPoE-Sitzungsphase

  • sna (0x80D5)— EtherType-Wert-SNA

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

  • best-effort

  • fcoe

  • network-control

  • no-loss

Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).

fragment-flags value

IP-Fragmentierungs-Flags. An stelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Hexadezimalwerte sind ebenfalls aufgeführt):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

hop-limit value

Passen Sie die angegebene Hop-Begrenzung oder einen bestimmten Hop-Limit an. Geben Sie einen einzelnen Wert oder einen Bereich von Werten von 0 bis 255 an.

Ingress- und Egress-IPv6 (inet6)-Schnittstellen.

icmp-code value

ICMP-Codefeld. Da die Bedeutung des Werts von den zugehörigen abhängt, müssen Sie einen Wert für spezifizieren icmp-type und einen Wert für icmp-typeicmp-code . Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • IPv4: Parameterproblem ip-header-bad (0)required-option-missing (1)

  • IPv6: Parameterproblem ip6-header-bad (0)unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: unerreicht – network-unreachable (0) , , , , , , , host-unreachable (1) , , protocol-unreachable (2) , , , port-unreachable (3) , fragmentation-needed (4) , source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13) , host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: unerreicht – address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0)port-unreachable (4)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Egress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6 -Schnittstellen (inet6)

icmp-type value

Feld für ICMP-Nachrichtentyp. Sie geben diese Übereinstimmung in der Regel zusammen mit der Übereinstimmungsauszug an, um zu bestimmen, welches Protokoll protocol am Port verwendet wird. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

IPv4: echo-reply (0)destination unreachable (3) , source-quench (4) , , , , , , , , redirect (5) , , echo-request (8) , IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16) , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2) , time-exceeded (3) , , , , , , , , parameter-problem (4) , , echo-request (128) , , echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138) , node-information-request (139)node-information-reply (140)

Siehe auch icmp-code variable .

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Egress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

interface interface-name

Schnittstelle, an der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Wildcard-Zeichen ( * ) als Teil eines Schnittstellennamens oder einer logischen Einheit angeben.

Anmerkung:

Eine Schnittstelle, von der aus ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

ip-destination-address address

IPv4-Adresse, die die letzte Zielknotenadresse für das Paket ist.

Ingress-Ports, Egress-Ports und VLANs.

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

ip-options

Geben any Sie an, um eine Übereinstimmung zu erstellen, wenn etwas im Optionsfeld im IP-Header angegeben ist.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

ip-precedence ip-precedence-field

IP-Rangfolgefeld. An Stelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme spezifizieren (die Feldwerte sind ebenfalls aufgelistet): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0) priority (0x20) oder routine (0x00).

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

ip-protocol number

IP-Protokollfeld.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

ip-source-address Adresse

IPv4-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr zu erfüllen, der an einem Layer-2-Port oder einer VLAN-Schnittstelle ankommt.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

is-fragment

Wenn das Flag "Mehr Fragmente" im IP-Header aktiviert ist oder wenn der Fragment-Offset nicht null ist, wird diese Bedingung verwendet.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

learn-1p-priority number

Entspricht den angegebenen IEEE 802.1p VLAN-Prioritätsbits im 0-7 Bereich.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

learn-vlan-id number

Entspricht der ID eines normalen VLAN oder der ID des außen (Service) VLAN (für Q-in-Q-VLANs). Wenn Sie den Filterspeicher effizienter nutzen und die Anzahl möglicher Filter maximieren möchten, verwenden Sie diese Bedingung zusätzlich dazu, wenn Sie auf der (Kunden-) user-id VLAN-ID (innen) übereinstimmen möchten. Die akzeptablen Werte sind 1-4095.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Priorität (Packet Loss Priority, PLP) fest.

Anmerkung:

Der loss-priority Aktionsmoderator wird nicht zusammen mit der Aktion policer unterstützt.

Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).

next-header value

IPv4- oder IPv6-Protokollwert. Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Ingress-IPv6 (inet6)-Schnittstellen.

Ausgangs-IPv6 (inet6)-Schnittstellen.

packet-length number

Paketlänge in Bytes. Geben Sie eine Nummer zwischen 0 und 65535 ein.

Ingress-Ports, VLANs, IPv4 (inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

precedence value

IP-Precedence-Bits im Byte Typ-of-Service (ToS) im IP-Header. (Dieses Byte kann auch für das DiffServ DSCP verwendet werden.) Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Ingress-IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

protocol type

IPv4- oder IPv6-Protokollwert. Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Ingress-IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

source-address ip-address

IP-Quelladressenfeld, die Adresse des Knotens ist, der das Paket gesendet hat.

Ingress-IPv4 -Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

source-mac-address mac-address

MAC-MAC (Source MAC) des Pakets.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

source-port value

TCP- oder UDP-Quell-Port. Sie geben diese Übereinstimmung in der Regel zusammen mit der protocol Übereinstimmungsauszug an. Sie können eines der unter . destination-port

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Egress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

source-prefix-list prefix-list

IP-Quell-Präfixliste. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Definieren Sie diese Liste auf [edit policy-options] der Hierarchieebene.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Egress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

tcp-established

Passen Sie Pakete einer etablierten TCP-Verbindung an. Dieser Zustand entspricht anderen Paketen als denen, die zum Einrichten einer TCP-Verbindung verwendet werden. Das heißt, Dass Handshake-Pakete nicht übereinstimmen.

Wenn Sie einen Switch angeben, wird nicht implizit überprüft, tcp-established ob das Protokoll TCP ist. Sie müssen auch die protocol tcp Bedingungen für die Übereinstimmung angeben.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

tcp-flags value

Mindestens ein TCP-Flags:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

tcp-initial

Passen Sie das erste TCP-Paket einer Verbindung an. Eine Übereinstimmung erfolgt, wenn der SYN TCP-Flag festgelegt und der TCP-Flag nicht festgelegt ACK wird.

Wenn Sie einen Switch angeben, wird nicht implizit überprüft, tcp-initial ob das Protokoll TCP ist. Sie müssen auch die protocol tcp Bedingungen für die Übereinstimmung angeben.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

traffic-class value

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld der Datenverkehrsklasse wird verwendet, um einen DSCP-Wert (DiffServ Code Point) anzugeben. Dieses Feld wurde früher als das Feld Typ-of-Service (ToS) in IPv4 verwendet, und das Semantik dieses Feldes (z. B. DSCP) ist identisch mit denen von IPv4.

Sie können eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Ingress-IPv6 (inet6)-Schnittstellen.

Ausgangs-IPv6 (inet6)-Schnittstellen.

ttl value

IP Time-to-Live (TTL)-Feld in Dezimal. Der Wert kann 1-255 sein.

Ingress-IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

Ingress IRB-Schnittstelle für EVPN/VXLAN Fabric, wo zutreffend

user-vlan-id number

Entspricht der ID des inneren (Kunden)VLAN in einem Q-in-Q-VLAN. Um den Filterspeicher effizienter zu nutzen und die Anzahl möglicher Filter zu maximieren, verwenden Sie sie in Kombination mit der äußeren learn-vlan-id (Service)VLAN-ID. Die akzeptablen Werte sind 1-4095.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

Verwenden Sie Anweisungen, um Aktionen zu definieren, die auftreten sollten, wenn ein Paket mit allen Bedingungen in einer Anweisung entspricht. Zeigt die Aktionen an, die Sie in einem thenfrom Begriff angeben Tabelle 2 können. (Wenn Sie keine Aussage enthalten, akzeptiert das System Pakete, die then dem Filter übereinstimmen.)

Tabelle 2: Aktionen

Aktion

Beschreibung

accept

Akzeptieren Sie ein Paket. Dies ist die Standard aktion für Pakete, die einem Begriff übereinstimmen.

discard

Verwerfen Sie ein Paket unbedringt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie eine ICMPv4-Nachricht als "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den syslog Aktionsmoderator.

Sie können einen der folgenden Meldungstypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, oder tcp-reset .

Wenn Sie angeben, sendet das System einen tcp-reset TCP-Reset, wenn das Paket ein TCP-Paket ist. Andernfalls wird nichts gesendet.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "destination unreachable" mit der Standardnachricht "kommunikation administratively filtered" gesendet.

Anmerkung:

Die reject Aktion wird nur auf Ingress-Schnittstellen unterstützt.

routing-instance instance-name

Weiterleiten der abgestimmten Pakete an eine virtuelle Routing-Instanz. (Der einzige unterstützte Instanztyp ist virtual-router .) Pakete können an die Standardinstanz weitergeleitet werden.

vlan VLAN-name

Übertragen Sie gematchte Pakete an ein bestimmtes VLAN.

Anmerkung:

Die vlan Aktion wird nur auf Ingress-Schnittstellen unterstützt.

Anmerkung:

Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt.

Sie können auch die in für die Zähler, Spiegelung, Begrenzung der Raten und Klassifizierung von Paketen aufgeführten Aktionen Tabelle 3 angeben.

Tabelle 3: Aktionsmodfizierer

Aktionsmodfizierer

Beschreibung

count counter-name

Die Anzahl der Pakete, die dem Begriff übereinstimmen, zählen.

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Anmerkung:

Zur Konfiguration einer Weiterleitungsklasse müssen Sie auch die Verlustpriorität konfigurieren.

log

Protokollieren Sie die Headerinformationen des Pakets im Routing-Engine. Geben Sie den Betriebsmodusbefehl ein, um diese Informationen show firewall log anzeigen zu können.

Anmerkung:

Der log Aktionsmoderator wird nur auf Ingress-Schnittstellen unterstützt.

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Priorität (Packet Loss Priority, PLP) fest.

Anmerkung:

Der loss-priority Aktionsmoderator wird nur auf Ingress-Schnittstellen unterstützt.

Anmerkung:

Der loss-priority Aktionsmoderator wird nicht zusammen mit der Aktion policer unterstützt.

policer policer-name

Senden von Paketen an einen Policer (zum Zwecke der Anwendung der Begrenzung der Rate)

Sie können einen Policer für Ingress- und Egress-Port, VLAN, IPv4 (inet) und IPv6 (inet6) Firewall-Filter angeben.

Anmerkung:

Der policer Aktionsmoderator wird nicht zusammen mit der Aktion loss-priority unterstützt.

port-mirror

(ELS-Plattformen) Spiegelung von Datenverkehr (Copy-Pakete) zu einer Ausgangsschnittstelle, die in einer Port-Spiegelungsinstanz auf der [edit forwarding-options port-mirroring] Hierarchieebene konfiguriert ist.

Sie können Portspiegelung für Ingress- und Egress-Port, VLAN, IPv4 (inet) und IPv6 (inet6) Firewall-Filter angeben.

port-mirror-instance port-mirror-instance-name

(ELS-Plattformen) Spiegelung des Datenverkehrs zu einer Port-Spiegelungsinstanz, die auf der [edit forwarding-options port-mirroring] Hierarchieebene konfiguriert ist.

Sie können Portspiegelung für Ingress- und Egress-Port, VLAN, IPv4 (inet) und IPv6 (inet6) Firewall-Filter angeben.

Anmerkung:

syslog

Protokollieren Sie eine Warnung für dieses Paket.

Anmerkung:

Der syslog Aktionsmoderator wird nur auf Ingress-Schnittstellen unterstützt.

three-color-policer three-color-policer-name

Senden von Paketen an einen dreifarbigen Policer (zur Anwendung der Begrenzung der Geschwindigkeit).

Sie können einen dreifarbigen Policer für Ingress- und Egress-Port, VLAN, IPv4 (inet) und IPv6 (inet6)-Filter angeben.

Anmerkung:

Der policer Aktionsmoderator wird nicht zusammen mit der Aktion loss-priority unterstützt.