Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen und Aktionen für Firewall-Filter (Switches der QFX- und EX-Serie)

Bedingungen und Aktionen für Firewall-Filter (QFX5100, QFX5110, QFX5120, QFX5200, QFX5700, EX4600 EX4650)

Jeder Begriff in einem Firewall-Filter besteht aus Übereinstimmungsbedingungen und einer Aktion. Bedingungen für Übereinstimmungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können Bedingungen für einzelne oder mehrere Übereinstimmungen in Übereinstimmungs-Anweisungen definieren. Sie können auch keine Übereinstimmungsauszug beinhalten. In diesem Fall entspricht der Begriff allen Paketen.

Wenn ein Paket mit einem Filter zusammenarbeitet, führt ein Switch die in dem Begriff angegebene Aktion aus. Außerdem können Sie Aktionen zum Zählen, Spiegeln, Begrenzen der Srate und Klassifizieren von Paketen angeben. Wenn für den Begriff keine Bedingungen festgelegt werden, akzeptiert der Switch das Paket standardmäßig.

  • Tabelle 1 beschreibt die Bedingungen, die Sie bei der Konfiguration eines Firewall-Filters angeben können. Mit einigen der numerischen Bereichs- und Bitfeld-Übereinstimmungsbedingungen können Sie ein Text synonym für ein Synonym angeben. Geben Sie an der entsprechenden Stelle in einer Anweisung eine Liste aller Synonyme für eine Übereinstimmungsbedingung ? ein.

  • Tabelle 2 zeigt die Aktionen, die Sie in einem Begriff angeben können.

  • Tabelle 3 zeigt die Aktionsmoderatoren an, die Sie zum Zählen, Spiegeln, Begrenzen der Srate und Klassifizieren von Paketen verwenden können.

Für Bedingungen für Übereinstimmungen auf bestimmten Switches gelten diese Beschränkungen:

(QFX5100, QFX5110, QFX5200) Bei der Verwendung filterbasierter Weiterleitung auf IPv6-Schnittstellen werden nur diese Bedingungen in der (Ingress-Richtung) unterstützt: source-address, destination-addresssource-prefix-list , , , , destination-prefix-listsource-port und destination-porthop-limiticmp-typenext-header .

(QFX5110) Wenn Sie die Option in der Hierarchie egress-to-ingress[edit firewall] aktivieren, werden nur accept , und discard Aktionen count unterstützt.

(QFX5100, QFX5130-32CD, QFX5110, QFX5700) In einer EVPN-VXLAN werden nur diese Bedingungen unterstützt: source-address, destination-addresssource-port , , und destination-portttlip-protocoluser-vlan-id .

(QFX5100, QFX5110, QFX5200) Sie können keinen Firewall-Filter in die Ausgangsrichtung auf einer EVPN-VXLAN IRB-Schnittstelle anwenden.

(QFX5700) Auf einer Loopback-Schnittstelle kann kein Firewall-Filter in die Ausgangsrichtung angewendet werden.

(QFX5100, QFX5110) Wenn Sie Firewall-Filter verwenden, um MAC-Filter in einer EVPN-VXLAN-Umgebung zu implementieren, finden Sie unter MAC-Filterung, Storm Control und Port Mirroring Support in einer EVPN-VXLAN-Umgebung die unterstützten Bedingungen.

(QFX5100, QFX5110) Für jeden Firewall-Filter, den Sie auf ein Paket VXLAN, können Sie angeben, dass Layer-2-Pakete (Ethernet) filtert oder auf family ethernet-switchingfamily inet IRB-Schnittstellen gefiltert werden. Auf IRB-Schnittstellen kann kein Firewall-Filter in die Ausgangsrichtung angewendet werden.

Verwenden Sie auf Switches, die Layer 2-Funktionen nicht unterstützen, nur die Bedingungen, die für IPv4- und IPv6-Schnittstellen gültig sind.

Tabelle 1: Unterstützte Bedingungen für Firewall-Filter

Bedingungen erfüllen

Beschreibung

Richtung und Schnittstelle

arp-type

ARP-Paketanfrage oder ARP-Antwortpaket.

Ausgangs- und Ingress-Schnittstellen.

destination-address ip-address

IP-Zieladressenfeld, die die Adresse des endgültigen Zielknotens ist.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Egress IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen.

destination-mac-address mac-address

MAC-MAC (Destination MAC) des Pakets

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-Ports und VLANs.

destination-port value

TCP- oder UDP-Ziel-Portfeld. Sie geben diese Übereinstimmung in der Regel zusammen mit der protocol Übereinstimmungsauszug an. Für die folgenden bekannten Ports können Sie Textsynonyme angeben (die Portnummern sind ebenfalls aufgeführt):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

destination-port range-optimize range

Passen Sie eine Reihe von TCP- oder UDP-Portbereichen an, während Sie den verfügbaren Speicher effizienter nutzen. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Zielports konfigurieren würden. (Nicht unterstützt mit filterbasierter Weiterleitung. )

Ingress-IPv4 (Inet)-Schnittstellen.

destination-prefix-list prefix-list

IP-Ziel-Präfixlistenfeld. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Definieren Sie diese Liste auf [edit policy-options] der Hierarchieebene.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

dscp value

Differentiated Services Code Point (DSCP). Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • be— Best Effort (Standard)

  • ef (46)— wie in RFC 3246definiert , An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Dropdown-Rangfolgen in jeder Klasse für insgesamt 12 Codepunkte werden in RFC 2597, Assured Forwarding PHBdefiniert.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

ether-type value

Ethernet-Feld eines Pakets. Der EtherType-Wert gibt an, welche Protokolle im Ethernet-Frame übertragen werden. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • aarp (0x80F3)— EtherType-Wert AARP

  • appletalk (0x809B)— EtherType-Wert AppleTalk

  • arp (0x0806)— EtherType-Wert-ARP

  • fcoe (0x8906)— EtherType-FCoE

  • fip (0x8914)— EtherType-Wert FIP

  • ipv4 (0x0800)— EtherType-Wert IPv4

  • ipv6 (0x08DD)— EtherType-Wert IPv6

  • mpls-multicast (0x8848)— EtherType-MPLS-Multicast

  • mpls-unicast (0x8847)– EtherType-MPLS-Unicast

  • oam (0x88A8)— EtherType-Wert OAM

  • ppp (0x880B)— EtherType-Wert PPP

  • pppoe-discovery (0x8863)— EtherType-Wert PPPoE-Erkennungsphase

  • pppoe-session (0x8864)— EtherType-Wert PPPoE-Sitzungsphase

  • sna (0x80D5)— EtherType-Wert-SNA

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

egress-to-ingress

Fügen Sie diese Option ein, um die Anzahl der ausgehenden VLAN-Firewall-Filterbedingungen von 1024 auf 2048 zu erhöhen.

Egress VLAN IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen.

exp

Übereinstimmung auf MPLS EXP-Bits.

Ingress-MPLS Schnittstellen.

Ausgangs-MPLS Schnittstellen.

fragment-flags value

IP-Fragmentierungs-Flags. An stelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Hexadezimalwerte sind ebenfalls aufgeführt):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Ingress-Ports und VLANs.

icmp-code value

ICMP-Codefeld. Da die Bedeutung des Werts von den zugehörigen abhängt, müssen Sie einen Wert für spezifizieren icmp-type und einen Wert für icmp-typeicmp-code . Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • IPv4: Parameterproblem ip-header-bad (0)required-option-missing (1)

  • IPv6: Parameterproblem ip6-header-bad (0)unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: unerreicht – network-unreachable (0) , , , , , , , host-unreachable (1) , , protocol-unreachable (2) , , , port-unreachable (3) , fragmentation-needed (4) , source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13) , host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: unerreicht – address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0)port-unreachable (4)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

hop-limit value

Passen Sie die angegebene Hop-Begrenzung oder einen bestimmten Hop-Limit an. Geben Sie einen einzelnen Wert oder einen Bereich von Werten von 0 bis 255 an.

Ingress- und Egress-IPv6 (inet6)-Schnittstellen.

Anmerkung:

Wird auf den Switches QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 und QFX5210 nicht unterstützt.

icmp-type value

Feld für ICMP-Nachrichtentyp. Sie geben diese Übereinstimmung in der Regel zusammen mit der Übereinstimmungsauszug an, um zu bestimmen, welches Protokoll protocol am Port verwendet wird. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

IPv4: echo-reply (0)destination unreachable (3) , source-quench (4) , , , , , , , , redirect (5) , , echo-request (8) , IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16) , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2) , time-exceeded (3) , , , , , , , , parameter-problem (4) , , echo-request (128) , , echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138) , node-information-request (139)node-information-reply (140)

Siehe auch icmp-code variable .

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

interface interface-name

Schnittstelle, an der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Wildcard-Zeichen ( * ) als Teil eines Schnittstellennamens oder einer logischen Einheit angeben.

Anmerkung:

Eine Schnittstelle, von der aus ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

ip-destination-address address

IPv4-Adresse, die die letzte Zielknotenadresse für das Paket ist.

Ingress-Ports und VLANs.

ip6-destination-address address

IPv6-Adresse, die die letzte Zielknotenadresse für das Paket ist.

Ingress-Ports und VLANs. (Sie können keinen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN, die diesen Port enthalten, anwenden.)

ip-options

Geben any Sie an, um eine Übereinstimmung zu erstellen, wenn etwas im Optionsfeld im IP-Header angegeben ist.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

ip-precedence ip-precedence-field

IP-Rangfolgefeld. An Stelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme spezifizieren (die Feldwerte sind ebenfalls aufgelistet): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0) priority (0x20) oder routine (0x00).

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

ip-protocol number

IP-Protokollfeld.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs.

ip6-source-address address

IPv6-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs. (Sie können keinen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN, die diesen Port enthalten, anwenden.)

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr zu erfüllen, der an einem Layer-2-Port oder einer VLAN-Schnittstelle ankommt.

Ingress-Ports und VLANs.

is-fragment

Wenn das Flag "Mehr Fragmente" im IP-Header aktiviert ist oder wenn der Fragment-Offset nicht null ist, wird diese Bedingung verwendet.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

l2-encap-type llc-non-snap

Match auf Logical Link Control (LLC)-Layer-Paketen für den Ethernet-Einkapselungstyp Nicht-Subnet Access Protocol (SNAP).

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

label

Übereinstimmung auf MPLS Label-Bits.

Ingress-MPLS Schnittstellen.

Ausgangs-MPLS Schnittstellen.

learn-vlan-id number

Entspricht der ID eines normalen VLAN oder der ID des außen (Service) VLAN (für Q-in-Q-VLANs). Die akzeptablen Werte sind 1-4095.

Anmerkung:

Wird auf QFX3600-, QFX5100-, QFX5110-, QFX5120-, QFX5200-, QFX5210-, QFX5220-, EX4600- und EX4650-Switches nicht unterstützt. Verwenden Sie user-vlan-id die Bedingungen, um der äußeren VLAN-ID zu übereinstimmen.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

next-header

IPv4- oder IPv6-Protokollwert. Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Ingress-Ports, VLANs und IPv6 (inet6)-Schnittstellen.

Ausgangs-IPv6 (inet6)-Schnittstellen.

packet-length

Paketlänge in Bytes. Geben Sie einen Wert zwischen 0 und 65535 ein.

Ingress-Ports, VLANs, IPv4 (inet) und IPv6 -Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

payload-protocol

IPv4- oder IPv6-Protokollwert. Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Anmerkung:

Wird auf den Switches QFX3500, QFX3600, QFX5100, QFX5110, QFX5200 und QFX5210 nicht unterstützt.

Ingress-Ports, VLANs und IPv6 (inet6)-Schnittstellen.

Ausgangs-IPv6 (inet6)-Schnittstellen.

precedence value

IP-Precedence-Bits im Byte Typ-of-Service (ToS) im IP-Header. (Dieses Byte kann auch für das DiffServ DSCP verwendet werden.) Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

protocol type

IPv4- oder IPv6-Protokollwert. Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

rat-type tech-type-value

Passen Sie den im 8-Bit-Feld der Proxy Mobile IPv4 (PMIPv4)-Zugriffstechnologietyp angegebenen Typ an. Der Technologietyp gibt die Zugriffstechnologie an, über die das mobile Gerät mit dem Zugriffsnetzwerk verbunden ist. Geben Sie einen einzelnen Wert, einen Bereich von Werten oder eine Reihe von Werten an. Sie können einen Technologietyp als numerischen Wert von 0 bis 255 oder als Systemschlüsselwort angeben.

  • Numerischer Wert 1 entspricht IEEE 802.3.

  • Numerischer Wert 2 entspricht IEEE 802.11a/b/g.

  • Numerischer Wert 3 entspricht IEEE 802.16e

  • Numerischer Wert 4 entspricht IEEE 802,16 m.

  • Textzeichenfolge eutran entspricht 4G.

  • geranTextzeichenfolgen treffern 2G.

  • utranTextzeichenfolgen treffern 3G.

Ausgangs- und Ingress-IPv4 -Schnittstellen (inet).

sample

Geben Sie den Paketdatenverkehr an. Wenden Sie diese Option nur an, wenn Sie Datenverkehrs-Sampling aktiviert haben.

Ausgangs- und Ingress-IPv4 -Schnittstellen (inet).

source-address ip-address

IP-Quelladressenfeld, die Adresse des Knotens ist, der das Paket gesendet hat.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

source-mac-address mac-address

MAC-MAC (Source MAC) des Pakets.

Ingress-Ports und VLANs.

Ausgangs-Ports und VLANs.

source-port value

TCP- oder UDP-Quell-Port. Sie geben diese Übereinstimmung in der Regel zusammen mit der protocol Übereinstimmungsauszug an. Sie können eines der unter . destination-port

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

source-port range-optimize range

Passen Sie eine Reihe von TCP- oder UDP-Portbereichen an, während Sie den verfügbaren Speicher effizienter nutzen. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Quell-Ports konfigurieren würden. (Nicht unterstützt mit filterbasierter Weiterleitung. )

Ingress-IPv4 (Inet)-Schnittstellen.

source-prefix-list prefix-list

IP-Quell-Präfixliste. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Definieren Sie diese Liste auf [edit policy-options] der Hierarchieebene.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

tcp-established

Treffer für Pakete einer etablierten TCP-Three-Way-Handshake-Verbindung (SYN, SYN-ACK, ACK). Es wird nur das erste Paket des Handshakes nicht abgestimmt, da nur das SYN-Bit festgelegt wird. Für dieses Paket müssen Sie die tcp-initial Bedingungen für die Übereinstimmung angeben.

Wenn Sie tcp-established angeben, überprüft der Switch nicht implizit, ob TCP das Protokoll ist. Sie müssen auch die protocol tcp Bedingungen für die Übereinstimmung angeben.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

tcp-flags value

Mindestens ein TCP-Flags:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

tcp-initial

Passen Sie das erste TCP-Paket einer Verbindung an. Eine Übereinstimmung erfolgt, wenn der SYN TCP-Flag festgelegt und der TCP-Flag nicht festgelegt ACK wird.

Wenn Sie einen Switch angeben, wird nicht implizit überprüft, tcp-initial ob das Protokoll TCP ist. Sie müssen auch die protocol tcp Bedingungen für die Übereinstimmung angeben.

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen und IPv6-Schnittstellen (inet6).

Ausgangs-IPv4 (Inet)-Schnittstellen.

traffic-class

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld der Datenverkehrsklasse wird verwendet, um einen DSCP-Wert (DiffServ Code Point) anzugeben. Dieses Feld wurde früher als das Feld Typ-of-Service (ToS) in IPv4 verwendet, und das Semantik dieses Feldes (z. B. DSCP) ist identisch mit denen von IPv4.

Sie können eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Ingress-Ports, VLANs und IPv6 (inet6)-Schnittstellen.

Ausgangs-IPv6 (inet6)-Schnittstellen.

ttl value

IP Time-to-Live (TTL)-Feld in Dezimal. Der Wert kann 1-255 sein.

Ingress-IPv4 (Inet)-Schnittstellen.

Ausgangs-IPv4 (Inet)-Schnittstellen.

user-vlan-1p-priority value

Entspricht der angegebenen 802.1p VLAN-Priorität im 0-7 Bereich.

Ingress- und Egress-Ports und VLANs.

user-vlan-id number

Entspricht der ID des inneren (Kunden)VLAN für ein Q-in-Q-VLAN. Die akzeptablen Werte sind 1-4095.

Anmerkung:

Für QFX3600-, QFX5100-, QFX5110-, QFX5120-, QFX5200-, QFX5210-, EX4600- und EX4650-Switches verwenden Sie die ID des äußeren user-vlan-id VLAN.

Für QFX5220-Serie sowie Router der MX- und ACX-Serie, verwenden Sie die ID des äußeren VLANs und die ID des learn-vlan-iduser-vlan-id innern VLAN.

Ingress- und Egress-Ports und VLANs.

Verwenden then Von Anweisungen zur Definition von Aktionen, die auftreten sollten, wenn ein Paket mit allen Bedingungen in einer Anweisung from entspricht. Tabelle 2 zeigt die Aktionen, die Sie in einem Begriff angeben können. (Wenn Sie keine Aussage enthalten, akzeptiert das System Pakete, die then dem Filter übereinstimmen.)

Tabelle 2: Aktionen für Firewall-Filter

Aktion

Beschreibung

accept

Akzeptieren Sie ein Paket. Dies ist die Standard aktion für Pakete, die einem Begriff übereinstimmen.

discard

Verwerfen Sie ein Paket unbedringt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie eine ICMPv4-Nachricht als "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den syslog Aktionsmoderator.

Sie können einen der folgenden Meldungstypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, oder tcp-reset .

Wenn Sie angeben, sendet das System einen tcp-reset TCP-Reset, wenn das Paket ein TCP-Paket ist. Andernfalls wird nichts gesendet.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "destination unreachable" mit der Standardnachricht "kommunikation administratively filtered" gesendet.

Anmerkung:

Die reject Aktion wird nur auf Ingress-Schnittstellen unterstützt.

routing-instance Instanzname

Weiterleiten der abgestimmten Pakete an eine virtuelle Routing-Instanz.

vlan VLAN-Name

Übertragen Sie gematchte Pakete an ein bestimmtes VLAN.

Anmerkung:

Die vlan Aktion wird nur auf Ingress-Schnittstellen unterstützt.

Anmerkung:

Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt.

Sie können auch die in für die Zähler, Spiegelung, Begrenzung der Raten und Klassifizierung von Paketen aufgeführten Aktionen Tabelle 3 angeben.

Tabelle 3: Aktionsmodfizierer für Firewall-Filter

Aktionsmodfizierer

Beschreibung

analyzer analyzer-name

(Nicht-ELS-Plattformen) Spiegelung von Datenverkehr (Copy-Pakete) zu einem Analyzer, der auf der [edit ethernet-switching-options analyzer] Hierarchieebene konfiguriert ist.

Sie können nur Portspiegelung für Ingress-Port, VLAN und IPv4 -Firewall-Filter (inet) angeben.

count counter-name

Die Anzahl der Pakete, die dem Begriff übereinstimmen, zählen.

decapsulate [gre | routing-instance]

Entkapselte GRE-Pakete oder Weiterleitung entkapselter GRE-Pakete an die angegebene Routinginstanz

dscp value

Differentiated Services Code Point (DSCP). Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • be— Best Effort (Standard)

  • ef (46)— wie in RFC 3246definiert , An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Dropdown-Rangfolgen in jeder Klasse für insgesamt 12 Codepunkte werden in RFC 2597, Assured Forwarding PHBdefiniert.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Anmerkung:

Zur Konfiguration einer Weiterleitungsklasse müssen Sie auch die Verlustpriorität konfigurieren.

interface

Switchen Sie den Datenverkehr auf die angegebene Schnittstelle, ohne ihn zu suchen. Diese Aktion ist nur gültig, wenn der Filter auf den Ingress angewendet wird.

log

Protokollieren Sie die Headerinformationen des Pakets im Routing-Engine. Geben Sie den Betriebsmodusbefehl ein, um diese Informationen show firewall log anzeigen zu können.

Anmerkung:

Der log Aktionsmoderator wird nur auf Ingress-Schnittstellen unterstützt.

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Priorität (Packet Loss Priority, PLP) fest.

Anmerkung:

Der loss-priority Aktionsmoderator wird nur auf Ingress-Schnittstellen unterstützt.

Anmerkung:

Der loss-priority Aktionsmoderator wird nicht zusammen mit der Aktion policer unterstützt.

policer policer-name

Senden von Paketen an einen Policer (zum Zwecke der Anwendung der Begrenzung der Rate)

Sie können einen Policer für Ingress-Port, VLAN, IPv4 (inet), IPv6 (inet6) und MPLS festlegen.

Anmerkung:

Der policer Aktionsmoderator wird nicht zusammen mit der Aktion loss-priority unterstützt.

port-mirror

(ELS-Plattformen) Spiegelung von Datenverkehr (Copy-Pakete) zu einer Ausgangsschnittstelle, die in einer Port-Spiegelungsinstanz auf der [edit forwarding-options port-mirroring] Hierarchieebene konfiguriert ist.

Sie können nur Portspiegelung für Ingress-Port, VLAN und IPv4 -Firewall-Filter (inet) angeben.

port-mirror-instance port-mirror-instance-name

(ELS-Plattformen) Spiegelung des Datenverkehrs zu einer Port-Spiegelungsinstanz, die auf der [edit forwarding-options port-mirroring] Hierarchieebene konfiguriert ist.

Sie können nur Portspiegelung für Ingress-Port, VLAN und IPv4 -Firewall-Filter (inet) angeben.

Anmerkung:

Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt.

syslog

Protokollieren Sie eine Warnung für dieses Paket.

Anmerkung:

Der syslog Aktionsmoderator wird nur auf Ingress-Schnittstellen unterstützt.

three-color-policer three-color-policer-name

Senden von Paketen an einen dreifarbigen Policer (zur Anwendung der Begrenzung der Geschwindigkeit).

Sie können einen dreifarbigen Policer für Ingress- und Egress-Port, VLAN, IPv4 (inet), IPv6 (inet6) und MPLS angeben.

Anmerkung:

Der policer Aktionsmoderator wird nicht zusammen mit der Aktion loss-priority unterstützt.

Bedingungen und Aktionen für Firewall-Filter (QFX5220 und QFX5130-32CD)

In diesem Thema werden die Unterstützten Bedingungen, Aktionen und Aktionen für die Switches QFX5220-CD, QFX5220-128C und QFX5130-32CD beschrieben.

Jeder Begriff in einem Firewall-Filter besteht aus Übereinstimmungsbedingungen und einer Aktion. Bedingungen für Übereinstimmungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können Bedingungen für einzelne oder mehrere Übereinstimmungen in Übereinstimmungs-Anweisungen definieren. Sie können auch keine Übereinstimmungsauszug beinhalten. In diesem Fall entspricht der Begriff allen Paketen.

Wenn ein Paket mit einem Filter zusammenarbeitet, führt ein Switch die in dem Begriff angegebene Aktion aus. Wenn Sie keine Bedingungen anwenden, nimmt der Switch das Paket standardmäßig an.

  • Tabelle 4 zeigt die Bedingungen für IPv4 ( inet ) und die IPv6 ( inet6 ) Schnittstellen an. Er enthält außerdem die Bedingungen für Ports und VLANs ( ethernet-switching ).

  • Tabelle 5 zeigt die Aktionen und die Aktionen an, die Sie in einem Begriff angeben können.

Anmerkung:

Bei Übereinstimmungsbedingungen können Sie mit einigen des numerischen Bereichs und den Bitfeld-Übereinstimmungsbedingungen ein Text synonym angeben. Geben Sie an der entsprechenden Stelle in einer Anweisung eine Liste aller Synonyme für eine Übereinstimmungsbedingung ? ein.

Tabelle 4: Unterstützte Bedingungen (QFX5220- und QFX5130-32CD-Switches)

Bedingungen erfüllen

Beschreibung

Richtung und Schnittstelle

arp-type

ARP-Paketanfrage oder ein ARP-Antwortpaket.

Ingress- und Egress-Ports und VLANs

destination-address ip-address

IP-Zieladressenfeld, die die Adresse des endgültigen Zielknotens ist.

Ingress- und Egress-IPv4- und IPv6-Schnittstellen

Ingress-Ports und VLANs

destination-mac-address mac-address

MAC-Zieladresse des Pakets.

Ingress- und Egress-Ports und VLANs

destination-port value

TCP- oder UDP-Ziel-Portfeld. Sie müssen diese Übereinstimmung mit der Übereinstimmungsauszug für protocol IPv4-Datenverkehr oder der Übereinstimmungsauszug next-header für IPv6-Datenverkehr angeben.

Für die folgenden bekannten Ports und Portnummern können Sie Texts Synonyme angeben.

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ingress- und Egress-IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen.

Ingress-Ports und VLANs

destination-port range-optimize range

Passen Sie eine Reihe von TCP- oder UDP-Portbereichen an, während der verfügbare Speicher effizienter genutzt wird. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Zielports konfigurieren würden. (Nicht unterstützt durch filterbasierte Weiterleitung.)

Ingress-IPv4-Schnittstellen

destination-prefix-list prefix-list

IP-Ziel-Präfixlistenfeld. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Definieren Sie diese Liste auf [edit policy-options] der Hierarchieebene.

Ingress- und Egress-IPv4- und IPv6-Schnittstellen

Ingress-Ports und VLANs.

dscp value

Differentiated Services Code Point (DSCP). Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Sie können an der Stelle des numerischen Wertes eines der folgenden Textsynonyme und ein feld aufgeführtes Feld angeben.

  • be— Best Effort (Standard)

  • ef (46)— wie in RFC 3246definiert , An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Dropdown-Rangfolgen in jeder Klasse für insgesamt 12 Codepunkte werden in RFC 2597, Assured Forwarding PHBdefiniert.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Ingress- und Egress-IPv4-Schnittstellen

Ingress-Ports und VLANs

ether-type value

Ethernet-Feld eines Pakets. Der EtherType-Wert gibt an, welche Protokolle im Ethernet-Frame übertragen werden. Sie können an stelle des numerischen Werts eines der folgenden Text synonyme angeben. Es werden auch die Feldwerte aufgelistet.

  • aarp (0x80F3)— EtherType-Wert AARP

  • appletalk (0x809B)— EtherType-Wert AppleTalk

  • arp (0x0806)— EtherType-Wert-ARP

  • fcoe (0x8906)— EtherType-FCoE

  • fip (0x8914)— EtherType-Wert FIP

  • ipv4 (0x0800)— EtherType-Wert IPv4

  • ipv6 (0x08DD)— EtherType-Wert IPv6

  • mpls-multicast (0x8848)— EtherType-MPLS-Multicast

  • mpls-unicast (0x8847)– EtherType-MPLS-Unicast

  • oam (0x88A8)— EtherType-Wert OAM

  • ppp (0x880B)— EtherType-Wert PPP

  • pppoe-discovery (0x8863)— EtherType-Wert PPPoE-Erkennungsphase

  • pppoe-session (0x8864)— EtherType-Wert PPPoE-Sitzungsphase

  • sna (0x80D5)— EtherType-Wert-SNA

Ingress- und Egress-Ports und VLANs

Erstes Fragment

Geben Sie an, ob das Paket das erste Fragment eines fragmentierten Pakets ist. Wenn es sich um ein Fragment eines fragmentierten Pakets handelt, muss das Paket nicht mehr zusammenpassen. Das erste Fragment eines fragmentierten Pakets hat einen Fragment-Ausgleichswert von 0.

Diese Übereinstimmungsbedingung ist ein Alias für die Bedingung "Bit-Field Match", Fragment-Offset 0 und Übereinstimmungsbedingung.

Um fragmentierte Zustände zuerst und mit "Trailing" zu spezifizieren, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen first-fragment angeben: und is-fragment .

Ingress-IPv4-Schnittstellen

icmp-code value

ICMP-Codefeld. Da die Bedeutung des Werts von den zugehörigen abhängt, müssen Sie einen Wert für spezifizieren icmp-type und einen Wert für icmp-typeicmp-code . Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • IPv4: Parameterproblem ip-header-bad (0)required-option-missing (1)

  • IPv6: Parameterproblem ip6-header-bad (0)unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: unerreicht – network-unreachable (0) , , , , , , , host-unreachable (1) , , protocol-unreachable (2) , , , port-unreachable (3) , fragmentation-needed (4) , source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13) , host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: unerreicht – address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0)port-unreachable (4)

Ingress- und Egress-IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

icmp-type value

Feld für ICMP-Nachrichtentyp. Sie müssen diese Übereinstimmung zusammen mit der protocol Übereinstimmungsauszug angeben. Diese Übereinstimmung bestimmt, welches Protokoll für den IPv4-Datenverkehr am Port verwendet wird, oder die Übereinstimmungsauszug next-header für IPv6-Datenverkehr.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

IPv4: echo-reply (0)destination unreachable (3) , source-quench (4) , , , , , , , , redirect (5) , , echo-request (8) , IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16) , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2) , time-exceeded (3) , , , , , , , , parameter-problem (4) , , echo-request (128) , , echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138) , node-information-request (139)node-information-reply (140)

Siehe auch icmp-code variable .

Ingress- und Egress-IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

interface interface-name

Schnittstelle, an der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Wildcard-Zeichen ( * ) als Teil eines Schnittstellennamens oder einer logischen Einheit angeben.

Anmerkung:

Eine Schnittstelle, von der aus ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden.

Ingress-Ports und VLANs

ip-destination-address address

IPv4-Adresse, die die letzte Zielknotenadresse für das Paket ist.

Ingress-Ports und VLANs

ip-options

Geben any Sie an, um eine Übereinstimmung zu erstellen, wenn etwas im Optionsfeld im IP-Header angegeben ist.

Ingress-IPv4-Schnittstellen

ip-protocol number

IP-Protokollfeld.

Ingress-Ports und VLANs

ip-precedence ip-precedence-field

IP-Rangfolgefeld. An Stelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme spezifizieren (die Feldwerte sind ebenfalls aufgelistet): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0) priority (0x20) oder routine (0x00).

Ingress-Ports und VLANs

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr zu erfüllen, der an einem Layer-2-Port oder einer VLAN-Schnittstelle ankommt.

Ingress-Ports und VLANs

is-fragment

Wenn das Flag "Mehr Fragmente" im IP-Header aktiviert ist oder wenn der Fragment-Offset nicht null ist, wird diese Bedingung verwendet.

Ingress- und Egress-IPv4-Schnittstellen (QX5220)

Ingress-IPv4-Schnittstellen (QFX5130)

learn-vlan-id number

VLAN Identifier für MAC-Learning.

Ingress- und Egress-Ports und VLANs (QFX5220)

Ingress-Ports und VLANS (QFX5130)

learn-vlan-1p-priority value

Übereinstimmung auf den IEEE 802.1p gelernten VLAN-Prioritäts-Bits im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder dem äußeren Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von 0 bis 7 an.

Ingress-Ports und VLANs

next-header

IPv4- oder IPv6-Protokollwert. Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Ingress- und Egress-IPv6-Schnittstellen

packet-length

Paketlänge in Bytes. Geben Sie einen Wert zwischen 0 und 65535 ein.

Ingress-IPv4- und IPv6-Schnittstellen

precedence value

IP-Precedence-Bits im Byte Typ-of-Service (ToS) im IP-Header. (Dieses Byte kann auch für das DiffServ DSCP verwendet werden.) Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Ingress- und Egress-IPv4-Schnittstellen

protocol type

IP-Protokollwert. Sie können an der Stelle des numerischen Werts eines der folgenden Textsynonyme angeben (die numerischen Werte werden auch aufgelistet):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Ingress- und Egress-IPv4-Schnittstellen.

Eindringende IPv4-Schnittstellen und VLANs

source-address ip-address

IP-Quelladressenfeld, die Adresse des Knotens ist, der das Paket gesendet hat.

Ingress- und Egress-IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

source-mac-address mac-address

MAC-MAC (Source MAC) des Pakets.

Ingress- und Egress-IPv4-Schnittstellen und VLANs

source-port value

TCP- oder UDP-Quell-Port. Sie müssen diese Übereinstimmung in Verbindung mit der Übereinstimmungsauszug für IPv4-Datenverkehr oder der Übereinstimmungsauszug protocolnext-header für IPv6-Datenverkehr angeben.

Sie können eines der unter . destination-port

Ingress- und Egress-IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

source-port range-optimize range

Passen Sie eine Reihe von TCP- oder UDP-Portbereichen an, während Sie den verfügbaren Speicher effizienter nutzen. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Quell-Ports konfigurieren würden. (Nicht unterstützt durch filterbasierte Weiterleitung.)

Ingress-IPv4-Schnittstellen

source-prefix-list prefix-list

IP-Quell-Präfixliste. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlistenalias für häufig verwendete Adressen definieren. Definieren Sie diese Liste auf [edit policy-options] der Hierarchieebene.

Ingress- und Egress-IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

tcp-established

Passen Sie die TCP-Pakete einer etablierten TCP-Sitzung an (Pakete, die nicht das erste Paket einer Verbindung enthalten). Dies ist ein Alias für tcp-flags "(ack | rst)".

Mit dieser Übereinstimmungsbedingung wird nicht implizit geprüft, ob das Protokoll TCP ist. Geben Sie die Bedingungen für die Übereinstimmung an, um protocol tcp dies zu überprüfen.

Ingress- und Egress-IPv4-Schnittstellen (QFX5220)

Ingress- und Egress-IPv4-Schnittstellen (QFX5130)

Ingress-IPv6-Schnittstellen (QFX5130)

tcp-flags value

TCP-Flags (es wird nur ein Wert unterstützt):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Ingress- und Egress-IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

tcp-initial

Passen Sie das erste TCP-Paket einer Verbindung an. Eine Übereinstimmung erfolgt, wenn der SYN TCP-Flag festgelegt und der TCP-Flag nicht festgelegt ACK wird.

Wenn Sie einen Switch angeben, wird nicht implizit überprüft, tcp-initial ob das Protokoll TCP ist. Sie müssen auch die protocol tcp Bedingungen für die Übereinstimmung angeben. Siehe protocol type .

Ingress- und Egress-IPv4-Schnittstellen (QFX5220)

Ingress- und Egress-IPv4-Schnittstellen, Ingress-IPv6-Schnittstellen (QFX5130)

traffic-class

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld der Datenverkehrsklasse wird verwendet, um einen DSCP-Wert (DiffServ Code Point) anzugeben. Dieses Feld wurde früher als das Feld Typ-of-Service (ToS) in IPv4 verwendet, und das Semantik dieses Feldes (z. B. DSCP) ist identisch mit denen von IPv4.

Sie können eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Ingress- und Egress-IPv6-Schnittstellen

ttl value

IP Time-to-Live (TTL)-Feld in Dezimal. Der Wert kann 1-255 sein.

Ingress- und Egress-IPv4-Schnittstellen

user-vlan-id number

Entspricht der ID des inneren (Kunden)VLAN für ein Q-in-Q-VLAN. Die akzeptablen Werte sind 1-4095.

Ingress-Ports und VLANs (QFX5130)

user-vlan-1p-priority value

Entspricht der angegebenen 802.1p VLAN-Priorität im 0-7 Bereich.

Ingress-Ports und VLANs (QFX5130)

Verwenden Sie Anweisungen, um Aktionen zu definieren, die auftreten sollten, wenn ein Paket mit allen Bedingungen in einer Anweisung entspricht. Zeigt die Aktionen an, die Sie in einem thenfrom Begriff angeben Tabelle 5 können. (Wenn Sie keine Aussage enthalten, akzeptiert das System Pakete, die then dem Filter übereinstimmen.)

Anmerkung:

Für ausgehende IPv4-Schnittstellen, IPv6-Schnittstellen und Egress-Ports können Sie nur die Aktionen "akzeptieren", "verwerfen" und "count" anwenden. Für egress VLANs können Sie nur die Accept-Aktion anwenden.

Tabelle 5: Aktions- und Aktionsmoderatoren

Aktion

Beschreibung

accept

Akzeptieren Sie ein Paket. Dies ist die Standard aktion für Pakete, die einem Begriff übereinstimmen.

apply-groups-except

Geben Sie an, von welchen Gruppen konfigurationsdaten nicht übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben.

count counter-name

Die Anzahl der Pakete, die dem Begriff übereinstimmen, zählen.

discard

Verwerfen Sie ein Paket unbedringt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Anmerkung:

Zur Konfiguration einer Weiterleitungsklasse müssen Sie auch die Verlustpriorität konfigurieren.

log

Protokollieren Sie die Headerinformationen des Pakets im Routing-Engine. Geben Sie den Betriebsmodusbefehl ein, um diese Informationen show firewall log anzeigen zu können.

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Priorität (Packet Loss Priority, PLP) fest.

Anmerkung:

Der loss-priority Aktionsmoderator wird nur auf Ingress-IPv4-Schnittstellen unterstützt.

Anmerkung:

Der loss-priority Aktionsmoderator wird nicht zusammen mit der Aktion policer unterstützt.

policer policer-name

Senden von Paketen an einen Policer (zum Zwecke der Anwendung der Begrenzung der Rate)

Anmerkung:

Der policer Aktionsmoderator wird nicht zusammen mit der Aktion loss-priority unterstützt.

port-mirror

Spiegelung von Datenverkehr (Copy-Pakete) zu einer Ausgangsschnittstelle, die in einer Port-Spiegelungsinstanz auf der [edit forwarding-options port-mirroring] Hierarchieebene konfiguriert ist.

port-mirror-instance port-mirror-instance-name

Spiegelung des Datenverkehrs zu einer Port-Spiegelungsinstanz, die auf der [edit forwarding-options port-mirroring] Hierarchieebene konfiguriert ist.

Sie können nur Portspiegelung für Ingress-Port, VLAN und IPv4 -Firewall-Filter (inet) angeben.

reject message-type

Verwerfen Sie ein Paket, und senden Sie eine ICMPv4-Nachricht als "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den syslog Aktionsmoderator.

Sie können einen der folgenden Meldungstypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "destination unreachable" mit der Standardnachricht "kommunikation administratively filtered" gesendet.

Anmerkung:

Die reject Aktion wird nur auf Ingress-IPv4-Schnittstellen unterstützt.

three-color-policer three-color-policer-name

Senden von Paketen an einen dreifarbigen Policer (zur Anwendung der Begrenzung der Geschwindigkeit).

Anmerkung:

Der policer Aktionsmoderator wird nicht zusammen mit der Aktion loss-priority unterstützt.

Anmerkung:

Die color-awarecolor-blind Policer und die Policer werden nicht unterstützt. Standardmäßig wird Datenverkehr als color-blind .

vlan VLAN-Name

Übertragen Sie gematchte Pakete an ein bestimmtes VLAN.

Anmerkung:

Die vlan Aktion wird nur auf Ingress-Ports und VLANs unterstützt.