Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (QFX10000 Switches)

Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungendefinieren. Sie können auch no match-Anweisung einschließen, in diesem Fall stimmt der Begriff mit allen Paketen überein.

Wenn ein Paket mit einem Filter übereinstimmt, führt der Switch die im Begriff angegebene Aktion aus. Darüber hinaus können Sie Aktionsmodifikatoren zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen angeben. Wenn keine Übereinstimmungsbedingungen für den Begriff angegeben sind, akzeptiert der Switch das Paket standardmäßig.

In diesem Thema werden die verschiedenen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren beschrieben, die Sie in Firewall-Filtern auf QFX10000 Switches definieren können. Ähnliche Informationen zu anderen QFX-Switches finden Sie unter Bedingungen und Aktionen für Firewall-Filter (Switches der QFX- und EX-Serie).

Tabelle 1 Beschreibt die Übereinstimmungsbedingungen, die Sie beim Konfigurieren eines Firewallfilters angeben können. Bei einigen der Übereinstimmungsbedingungen für numerische Bereiche und Bitfelder können Sie ein Textsynonym angeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung anzuzeigen, geben Sie an der entsprechenden Stelle in einer Anweisung ein ? .
Tabelle 2 Zeigt die Aktionen an, die Sie in einem Begriff angeben können.
Tabelle 3 Zeigt die Aktionsmodifikatoren an, die Sie zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen verwenden können.

Tabelle 1: Unterstützte Spielbedingungen (QFX10000 Switches)
Übereinstimmungsbedingung	Beschreibung	Richtung und Schnittstelle
`destination-address ip-address`	IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.	Ingress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`destination-mac-address mac-address`	MAC-Adresse (Destination Media Access Control) des Pakets.	Ingress-Ports und VLANs. Ausgangsports und VLANs.
`destination-port value`	TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der `protocol` match-Anweisung an. Für die folgenden bekannten Ports können Sie Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): `afs (1483)`, `bgp (179)`, `biff (512)`, , `bootpc (68)`, `bootps (67)`, `cmd (514)`, `cvspserver (2401)`, `dhcp (67)`, `domain (53)`, `eklogin (2105)`, `ekshell (2106)`, `exec (512)`, `finger (79)`, `ftp (21)`, `ftp-data (20)`, `http (80)`, `https (443)`, `ident (113)`, `imap (143)`, `kerberos-sec (88)`, `klogin (543)`, `kpasswd (761)`, , `krb-prop (754)`, `krbupdate (760)`, , `kshell (544)`, `ldap (389)`, `login (513)`, `mobileip-agent (434)`, `mobilip-mn (435)`, `msdp (639)`, `netbios-dgm (138)`, `netbios-ns (137)`, `netbios-ssn (139)`, `nfsd (2049)`, `nntp (119)`, , `ntalk (518)`, , `ntp (123)`, `pop3 (110)`, `pptp (1723)`, `printer (515)`, `radacct (1813)`,`radius (1812)`, `rip (520)`, `rkinit (2108)`, `smtp (25)`, `snmp (161)`, , `snmptrap (162)`, `socks (1080)snpp (444)`, , `ssh (22)`, , `sunrpc (111)`, `syslog (514)`, , `tacacs-ds (65)`, `talk (517)`, `telnet (23)`, , `tftp (69)`, `timed (525)`, `who (513)`, `xdmcp (177)`, `zephyr-clt (2103)`, `zephyr-hm (2104)`	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`destination-prefix-list prefix-list`	Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene `[edit policy-options]` .	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`dscp value`	Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `be`—Best Effort (Standard) `ef (46)`– wie in RFC 3246, An Expedited Forwarding PHB, definiert. `af11 (10)`, `af12 (12)`, `af13 (14)`; `af21 (18)`, `af22 (20)`, `af23 (22)`; `af31 (26)`, `af32 (28)`, `af33 (30)`; `af41 (34)`, `af42 (36)`, `af43 (38)` Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert. `cs0`, `cs1`, , `cs2`, `cs4cs3`, , `cs5`, , `cs6`, `cs7`, , `cs5`	Eingangsports, VLANs und IPv4-Schnittstellen (inet). Ausgangsports, VLANs und IPv4-Schnittstellen (inet).
`ether-type value`	Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `aarp (0x80F3)`—EtherType-Wert AARP `appletalk (0x809B)`—EtherType-Wert AppleTalk `arp (0x0806)`—EtherType-Wert ARP `fcoe (0x8906)`—EtherType-Wert FCoE `fip (0x8914)`—EtherType-Wert FIP `ipv4 (0x0800)`—EtherType-Wert IPv4 `ipv6 (0x08DD)`—EtherType-Wert IPv6 `mpls-multicast (0x8848)`—EtherType-Wert MPLS-Multicast `mpls-unicast (0x8847)`—EtherType-Wert MPLS-Unicast `oam (0x88A8)`—EtherType-Wert OAM `ppp (0x880B)`—EtherType-Wert PPP `pppoe-discovery (0x8863)`—EtherType-Wert PPPoE-Erkennungsphase `pppoe-session (0x8864)`—EtherType-Wert PPPoE-Sitzungsphase `sna (0x80D5)`—EtherType-Wert SNA	Ingress-Ports und VLANs. Ausgangsports und VLANs.
`forwarding-class class`	Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse: `best-effort` `fcoe` `network-control` `no-loss`	Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).
`fragment-flags value`	IP-Fragmentierungs-Flags. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Hexadezimalwerte werden ebenfalls aufgelistet): `is-fragment` `dont-fragment (0x4000)` `more-fragments (0x2000)` `reserved (0x8000)`	Eingangsports, VLANs und IPv4-Schnittstellen (inet).
`hop-limit value`	Stimmt mit dem angegebenen Hop-Limit oder dem Satz von Hop-Limits überein. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an.	IPv6-Schnittstellen (inet6) für eingehenden und ausgehenden Datenverkehr.
`icmp-code value`	ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten `icmp-type`abhängt, müssen Sie einen Wert für `icmp-type` zusammen mit einem Wert für `icmp-code`angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind: IPv4: Parameter-Problem—`ip-header-bad (0)`, `required-option-missing (1)` IPv6: Parameter-Problem—`ip6-header-bad (0)`, `unrecognized-next-header (1)`, `unrecognized-option (2)` `redirect`—`redirect-for-network (0)`, `redirect-for-host (1)`, `redirect-for-tos-and-net (2)`, `redirect-for-tos-and-host (3)` `time-exceeded`—`ttl-eq-zero- during-reassembly (1)`, `ttl-eq-zero-during-transit (0)` IPv4: nicht erreichbar—`network-unreachable (0)`, `host-unreachable (1)`, , `protocol-unreachable (2)`, `port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)` IPv6: nicht erreichbar—`address-unreachable (3)`, `administratively-prohibited (1)`, `no-route-to-destination (0)`, `port-unreachable (4)`	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen
`icmp-type value`	ICMP-Nachrichtentypfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der `protocol` match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): IPv4: `echo-reply (0)`, `destination unreachable (3)`, `source-quench (4)`, `redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)` IPv6: `destination-unreachable (1)`, `packet-too-big (2)`, `time-exceeded (3)membership-query (130)router-renumbering (138)neighbor-advertisement (136)node-information-request (139)redirect (137)neighbor-solicit (135)router-advertisement (134)membership-termination (132)echo-reply (129)router-solicit (133)parameter-problem (4)echo-request (128)membership-report (131)`, `node-information-reply (140)` Siehe auch `icmp-code variable`.	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`interface interface-name`	Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen (`*`) als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen. HINWEIS: Eine Schnittstelle, von der ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden.	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`ip-destination-address address`	IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt.	Ingress-Ports, Egress-Ports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`ip-options`	Geben Sie an `any` , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist.	Eingangsports, VLANs und IPv4-Schnittstellen (inet).
`ip-precedence ip-precedence-field`	Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `critical-ecp` (0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) oder `routine` (0x00).	Ingress-Ports und VLANs. Ausgangsports und VLANs.
`ip-protocol number`	IP-Protokoll-Feld.	Ingress-Ports und VLANs. Ausgangsports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`ip-source-address` `address`	IPv4-Adresse des Quellknotens, der das Paket sendet.	Ingress-Ports und VLANs. Ausgangsports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`ip-version address`	IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle eintrifft.	Ingress-Ports und VLANs. Ausgangsports und VLANs.
`is-fragment`	Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist.	Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet).
`learn-1p-priority number`	Entspricht den angegebenen IEEE 802.1p VLAN-Prioritätsbits im Bereich `0-7`.	Ingress-Ports und VLANs. Ausgangsports und VLANs.
`learn-vlan-id number`	Stimmt mit der ID eines normalen VLANs oder der ID des äußeren (Service-)VLANs (für Q-in-Q-VLANs) überein. Um den Filterspeicher so effizient wie möglich zu nutzen und die Anzahl der möglichen Filter zu maximieren, verwenden Sie diese Bedingung zusätzlich zu `user-id` dem Zeitpunkt, an dem Sie die innere (Kunden-)VLAN-ID abgleichen möchten. Die zulässigen Werte sind 1-4095.	Ingress-Ports und VLANs. Ausgangsports und VLANs. Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`loss-priority (low \| medium-low \| medium-high \| high)`	Legen Sie die Paketverlustpriorität (PLP) fest. HINWEIS: Der `loss-priority` Aktionsmodifikator wird in Kombination mit der `policer` Aktion nicht unterstützt.	Ausgangsschnittstellen für IPv4 (inet) und IPv6 (inet6).
`next-header value`	IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): `hop-by-hop (0)`,`icmp (1)`, `icmp6 (58)`, `igmp (2)`, `ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)`	Ingress IPv6 (inet6)-Schnittstellen. IPv6-Ausgangsschnittstellen (inet6).
`packet-length number`	Paketlänge in Bytes. Sie müssen eine Zahl zwischen 0 und 65535 eingeben.	Ingress-Ports, VLANs, IPv4- (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet).
`precedence value`	IP-Rangfolgebits im ToS-Byte (Type-of-Service) im IP-Header. (Dieses Byte kann auch für den DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): `routine (0)` `priority (1)` `immediate (2)` `flash (3)` `flash-override (4)` `critical-ecp (5)` `internet-control (6)` `net-control (7)`	Ingress-IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet).
`protocol type`	IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): `hop-by-hop (0)`,`icmp (1)`, `icmp6`, `igmp (2)`, `ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)`	Ingress-IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet).
`source-address ip-address`	IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat.	Ingress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`source-mac-address mac-address`	MAC-Adresse (Source Media Access Control) des Pakets.	Ingress-Ports und VLANs. Ausgangsports und VLANs.
`source-port value`	TCP- oder UDP-Quellport. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der `protocol` match-Anweisung an. Anstelle des numerischen Feldes können Sie eines der unter `destination-port`aufgeführten Textsynonyme angeben.	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`source-prefix-list prefix-list`	Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene `[edit policy-options]` .	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Ausgangsports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`tcp-established`	Pakete einer bestehenden TCP-Verbindung abgleichen. Diese Bedingung stimmt mit Paketen überein, die nicht zum Einrichten einer TCP-Verbindung verwendet werden, d. h., Drei-Wege-Handshake-Pakete werden nicht abgeglichen. Wenn Sie angeben `tcp-established`, überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung `protocol tcp` angeben.	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet).
`tcp-flags value`	Ein oder mehrere TCP-Flags: `ack (0x10)` `fin (0x01)` `push (0x08)` `rst (0x04)` `syn (0x02)` `urgent (0x20)`	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet).
`tcp-initial`	Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag `SYN` festgelegt ist und das TCP-Flag `ACK` nicht festgelegt ist. Wenn Sie angeben `tcp-initial`, überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung `protocol tcp` angeben.	Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet).
`traffic-class value`	8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4. Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `af11 (10)`, `af12 (12)`, `af13 (14)`, `af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)`	Ingress IPv6 (inet6)-Schnittstellen. IPv6-Ausgangsschnittstellen (inet6).
`ttl value`	IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen.	Ingress-IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). Eingangs-IRB-Schnittstelle für EVPN/VXLAN-Fabric, falls zutreffend
`user-vlan-id number`	Stimmt mit der ID des inneren (Kunden-)VLANs in einem Q-in-Q-VLAN überein. Um den Filterspeicher möglichst effizient zu nutzen und die Anzahl der möglichen Filter zu maximieren, verwenden Sie in Kombination mit `learn-vlan-id` , um die äußere (Service-)VLAN-ID abzugleichen. Die zulässigen Werte sind 1-4095.	Ingress-Ports und VLANs. Ausgangsports und VLANs.

Use-Anweisungen then , um Aktionen zu definieren, die ausgeführt werden sollen, wenn ein Paket alle Bedingungen in einer from Anweisung erfüllt. Tabelle 2 Zeigt die Aktionen an, die Sie in einem Begriff angeben können. (Wenn Sie keine then Anweisung angeben, akzeptiert das System Pakete, die dem Filter entsprechen.)

Tabelle 2: Aktionen
Action!	Beschreibung
`accept`	Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen.
`discard`	Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.
`reject message-type`	Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den `syslog` Aktionsmodifizierer. Sie können einen der folgenden Nachrichtentypen angeben: `administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,` oder `tcp-reset`. Wenn Sie angeben `tcp-reset`, sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt, andernfalls wird nichts gesendet. Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet. HINWEIS: Die `reject` Aktion wird nur auf Eingangsschnittstellen unterstützt.
`routing-instance instance-name`	Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter. (Der einzige unterstützte Instance-Typ ist `virtual-router`.) Pakete können an die Standardinstanz weitergeleitet werden.
`vlan VLAN-name`	Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter. HINWEIS: Die `vlan` Aktion wird nur auf Eingangsschnittstellen unterstützt. HINWEIS: Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt.

Sie können auch die Aktionsmodifikatoren angeben, die unter Tabelle 3 zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen aufgeführt sind.

Tabelle 3: Aktionsmodifikatoren
Modifikator "Aktion"	Beschreibung
`count counter-name`	Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.
`forwarding-class class`	Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse: `best-effort` `fcoe` `mcast` `network-control` `no-loss` HINWEIS: Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren.
`log`	Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den `show firewall log` Befehl Betriebsmodus ein. HINWEIS: Der `log` Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt.
`loss-priority (low \| medium-low \| medium-high \| high)`	Legen Sie die Paketverlustpriorität (PLP) fest. HINWEIS: Der `loss-priority` Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt. HINWEIS: Der `loss-priority` Aktionsmodifikator wird in Kombination mit der `policer` Aktion nicht unterstützt.
`policer policer-name`	Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung). Sie können einen Policer für Eingangs- und Ausgangsport-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben. HINWEIS: Der `policer` Aktionsmodifikator wird in Kombination mit der `loss-priority` Aktion nicht unterstützt.
`port-mirror`	(ELS-Plattformen) Spiegeln des Datenverkehrs (Kopieren von Paketen) auf eine Ausgabeschnittstelle, die in einer Port-Spiegelungsinstanz auf Hierarchieebene `[edit forwarding-options port-mirroring]` konfiguriert ist. Sie können die Port-Spiegelung für Eingangs- und Ausgangs-Port-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben.
`port-mirror-instance port-mirror-instance-name`	(ELS-Plattformen) Spiegeln Sie den Datenverkehr auf eine Portspiegelungsinstanz, die auf Hierarchieebene `[edit forwarding-options port-mirroring]` konfiguriert ist. Sie können die Port-Spiegelung für Eingangs- und Ausgangs-Port-, VLAN-, IPv4- (inet) und IPv6-Firewallfilter (inet6) angeben. HINWEIS:
`syslog`	Protokollieren Sie eine Warnung für dieses Paket. HINWEIS: Der `syslog` Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt.
`three-color-policer three-color-policer-name`	Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung). Sie können einen dreifarbigen Policer für Eingangs- und Ausgangsport-, VLAN-, IPv4- (inet) und IPv6-Filter (inet6) angeben. HINWEIS: Der `policer` Aktionsmodifikator wird in Kombination mit der `loss-priority` Aktion nicht unterstützt.

Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (QFX10000 Switches)

Verwandte Themen