Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter-Übereinstimmungsbedingungen und -aktionen (Switches der QFX- und EX-Serie)

Firewall-Filter-Übereinstimmungsbedingungen und -aktionen (QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700, EX4600, EX4650)

Jeder Begriff in einem Firewall-Filter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung zu gelten. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungen definieren. Sie können auch keine Übereinstimmungserklärung einfügen, in diesem Fall entspricht der Begriff allen Paketen.

Wenn ein Paket mit einem Filter übereinstimmt, führt ein Switch die im Begriff angegebene Aktion aus. Darüber hinaus können Sie Aktionsmodifikatoren angeben, die gezählt, gespiegelt, Datenübertragungsraten begrenzt und Pakete klassifizieren sollen. Wenn für den Begriff keine Übereinstimmungsbedingungen angegeben sind, akzeptiert der Switch standardmäßig das Paket.

  • Tabelle 1 beschreibt die Übereinstimmungsbedingungen, die Sie bei der Konfiguration eines Firewallfilters angeben können. Einige der numerischen Bereichs- und Bitfeld-Übereinstimmungsbedingungen ermöglichen es Ihnen, ein Text synonym anzugeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung zu sehen, geben Sie ? an der entsprechenden Stelle in einer Anweisung ein.

  • Tabelle 2 zeigt die Aktionen an, die Sie in einem Begriff angeben können.

  • Tabelle 3 zeigt die Aktionsmodifikatoren, die Sie verwenden können, um Pakete zu zählen, zu spiegeln, zu begrenzen und zu klassifizieren.

Für Übereinstimmungsbedingungen auf bestimmten Switches gelten diese Einschränkungen:

(QFX5100, QFX5110, QFX5200) Bei der Verwendung filterbasierter Weiterleitung an IPv6-Schnittstellen werden nur diese Übereinstimmungsbedingungen in der (Eingangsrichtung) unterstützt: source-address, , destination-addresssource-prefix-list, destination-prefix-listsource-port, destination-port, hop-limit, icmp-type, und next-header.

(QFX5110) Wenn Sie die egress-to-ingress Option unter der [edit firewall] Hierarchie aktivieren, werden nur accept, discardund count Aktionen unterstützt.

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) In einer EVPN-VXLAN-Umgebung werden nur diese Übereinstimmungsbedingungen unterstützt: source-address, destination-address, source-port, destination-portttl, , ip-protocolund user-vlan-id.

(QFX5100, QFX5110, QFX5200) Sie können einen Firewall-Filter nicht in Ausgangsrichtung auf einer EVPN-VXLAN-IRB-Schnittstelle anwenden.

(QFX5700) Sie können einen Firewall-Filter nicht in Ausgangsrichtung auf einer Loopback-Schnittstelle anwenden.

(QFX5100, QFX5110) Wenn Sie Firewall-Filter zur Implementierung von MAC-Filtern in einer EVPN-VXLAN-Umgebung verwenden, finden Sie unter MAC-Filterung, Sturmkontrolle und Portspiegelungsunterstützung in einer EVPN-VXLAN-Umgebung die unterstützten Übereinstimmungsbedingungen.

(QFX5100, QFX5110) Für jeden Firewall-Filter, den Sie auf ein VXLAN anwenden, können Sie festlegen family ethernet-switching , dass Layer-2-Pakete (Ethernet) gefiltert oder family inet auf IRB-Schnittstellen gefiltert werden sollen. Sie können einen Firewall-Filter nicht in Ausgangsrichtung auf IRB-Schnittstellen anwenden.

Verwenden Sie auf Switches, die Layer-2-Funktionen nicht unterstützen, nur die Bedingungen, die für IPv4- und IPv6-Schnittstellen gültig sind.

(QFX5120, EX4650) Ab Junos Version 21.4R1 werden die folgenden Übereinstimmungsbedingungen in einer EVPN-VXLAN-Umgebung auf QFX5120 und EX4650 unterstützt: gbp-src-taggbp-dst-tagund .

Ab Junos OS Version 21.4R1 werden die Quell-Port-Bereichsoptimierung und die Bedingungen zur Optimierung des Ziel-Port-Bereichs unter [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] Hierarchieebene unterstützt. Dadurch wird die Platznutzung durch TCAM erheblich reduziert. In QFX5100-Switches mit konfigurierten Übereinstimmungsbedingungen für Quell-Port-Bereich-Optimierung und Ziel-Port-Optimierung werden bis zu 24 nicht zusammenhängende Quell-Port-Bereichs- und Ziel-Port-Bereichs-Übereinstimmungsbedingungen unterstützt. Wenn mehr als 24 nicht zusammenhängende Übereinstimmungsbedingungen konfiguriert sind, kann es zu einem Fehler kommen.

Tabelle 1: Unterstützte Übereinstimmungsbedingungen für Firewall-Filter

Übereinstimmungsbedingung

Beschreibung

Richtung und Schnittstelle

arp-type

ARP-Anfragepaket oder ARP-Antwortpaket.

Ausgangs- und Eingangsschnittstellen.

destination-address ip-address

IP-Zieladressenfeld, das die Adresse des endgültigen Zielknotens ist.

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Ausgangsschnittstellen für IPv4 (Inet) und IPv6 -Schnittstellen (Inet6).

destination-mac-address mac-address

Mac-Adresse (Destination Media Access Control) des Pakets.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Ausgangs-Ports und VLANs.

destination-port value

TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmung zusammen mit der Übereinstimmungsanweisung protocol an. Für die folgenden bekannten Ports können Sie Text synonyme angeben (die Portnummern sind ebenfalls aufgeführt):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

destination-port range-optimize range

Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an, während Sie den verfügbaren Speicher effizienter verwenden. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Ziel-Ports konfigurieren. (Wird nicht durch filterbasierte Weiterleitung unterstützt.)

Eingangs-Ports, VLANs, IPv4 (Inet)-Schnittstellen.

destination-prefix-list prefix-list

Ip-Ziel-Präfixlistenfeld. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlisten-Alias für häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Ausgangsschnittstellen für IPv4 (Inet) und IPv6 -Schnittstellen (inet6).

dscp value

Differenzierter Service-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type of Service) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • be— Best Effort (Standard)

  • ef (46)—wie in RFC 3246, An Expedited Forwarding PHB definiert.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

ether-type value

Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame übertragen wird. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • aarp (0x80F3)— EtherType-Wert AARP

  • appletalk (0x809B)— EtherType-Wert AppleTalk

  • arp (0x0806)— EtherType-Wert ARP

  • fcoe (0x8906)— EtherType-Wert FCoE

  • fip (0x8914)— EtherType-Wert FIP

  • ipv4 (0x0800)— EtherType-Wert IPv4

  • ipv6 (0x08DD)— EtherType-Wert IPv6

  • mpls-multicast (0x8848)— EtherType-Wert MPLS-Multicast

  • mpls-unicast (0x8847)— EtherType-Wert MPLS-Unicast

  • oam (0x88A8)— EtherType-Wert OAM

  • ppp (0x880B)— EtherType-Wert PPP

  • pppoe-discovery (0x8863)— EtherType-Wert PPPoE Discovery Stage

  • pppoe-session (0x8864)— EtherType-Wert PPPoE Session Stage

  • sna (0x80D5)— EtherType-Wert SNA

Eingangs-Ports und VLANs.

Ausgangs-Ports und VLANs.

egress-to-ingress

Fügen Sie diese Option ein, um die Anzahl der Ausgangs-VLAN-Firewall-Filterbegriffe von 1024 bis 2048 zu erhöhen.

Egress VLAN IPv4 (Inet)-Schnittstellen und IPv6 (Inet6)-Schnittstellen.

exp

Auf MPLS EXP-Bits abgleichen.

Eingangs-MPLS-Schnittstellen.

Ausgangs-MPLS-Schnittstellen.

fragment-flags value

IP-Fragmentierungs-Flags. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die hexadezimalen Werte werden ebenfalls aufgeführt):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Eingangs-Ports und VLANs.

gbp-dst-tag

Passen Sie das Ziel-Tag für die Verwendung mit Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierter Richtlinie in einem VXLAN.

Nicht zutreffend

gbp-src-tag

Passen Sie das Quell-Tag für die Verwendung mit Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierter Richtlinie in einem VXLAN.

Nicht zutreffend

icmp-code value

ICMP-Codefeld. Da die Bedeutung des Werts von der zugehörigen icmp-typeabhängt, müssen Sie einen Wert für zusammen mit einem Wert für icmp-codeicmp-type angeben. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt). Die Keywords werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • IPv4: Parameterproblem –ip-header-bad (0)required-option-missing (1)

  • IPv6: Parameterproblem –ip6-header-bad (0) , unrecognized-next-header (1), unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: nicht erreichbar —network-unreachable (0) , host-unreachable (1)protocol-unreachable (2), port-unreachable (3), fragmentation-needed (4), , source-route-failed (5), destination-network-unknown (6), , destination-host-unknown (7), , source-host-isolated (8), , destination-network-prohibited (9), destination-host-prohibited (10), network-unreachable-for-TOS (11), , host-unreachable-for-TOS (12), communication-prohibited-by-filtering (13), host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: nicht erreichbar –address-unreachable (3) , administratively-prohibited (1), , no-route-to-destination (0)port-unreachable (4)

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

hop-limit value

Passen Sie das angegebene Hop-Limit oder die Menge der Hop-Grenzwerte an. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an.

Eingangs- und Ausgangsschnittstellen für IPv6 (inet6).

Anmerkung:

Wird auf den Switches QFX3500, QFX3600, QFX5100, QFX5120, QFX5120, QFX5110, QFX5200 und QFX5210 nicht in Ausgangsrichtung unterstützt.

icmp-type value

ICMP-Meldungstypfeld. In der Regel legen Sie diese Übereinstimmung zusammen mit der protocol Übereinstimmungsanweisung fest, um zu bestimmen, welches Protokoll am Port verwendet wird. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

IPv4: echo-reply (0), , destination unreachable (3)source-quench (4), redirect (5)echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), , time-exceeded (11), , parameter-problem (12), timestamp (13), , timestamp-reply (14), info-request (15), , , info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), , time-exceeded (3)packet-too-big (2), parameter-problem (4)echo-request (128), echo-reply (129), membership-query (130), , membership-report (131), membership-termination (132), , router-solicit (133), , router-advertisement (134), , neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138)node-information-request (139),node-information-reply (140)

Siehe auch icmp-code variable.

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

interface interface-name

Schnittstelle, an der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen (*) als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen.

Anmerkung:

Eine Schnittstelle, von der ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden.

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Ausgangsschnittstellen für IPv4 (Inet) und IPv6 -Schnittstellen (inet6).

ip-destination-address address

IPv4-Adresse, die die endgültige Zielknotenadresse für das Paket ist.

Eingangs-Ports und VLANs.

ip6-destination-address address

IPv6-Adresse, die die endgültige Zielknotenadresse für das Paket ist.

Eingangs-Ports und VLANs. (Sie können nicht gleichzeitig einen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN anwenden, der diesen Port einschließt.)

ip-options

Geben Sie any an, um eine Übereinstimmung zu erstellen, wenn im Optionsfeld im IP-Header irgendetwas angegeben ist.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

ip-precedence ip-precedence-field

IP-Rangfolgefeld. Anstelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt): critical-ecp (0xa0), flash 0x60, flash-override 0x80, immediate 0x40, internet-control 0xc0, net-control 0xe0, priority 0x20 oder routine 0x00.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

ip-protocol number

IP-Protokollfeld.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Eingangs-Ports und VLANs.

ip6-source-address address

IPv6-Adresse des Quellknotens, der das Paket sendet.

Eingangs-Ports und VLANs. (Sie können nicht gleichzeitig einen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN anwenden, der diesen Port einschließt.)

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr zu entsprechen, der an einem Layer-2-Port oder einer VLAN-Schnittstelle eintrifft.

Eingangs-Ports und VLANs.

is-fragment

Die Verwendung dieser Bedingung bewirkt eine Übereinstimmung, wenn das Flag "Mehr Fragmente" im IP-Header aktiviert ist oder wenn der Fragment-Offset nicht null ist.

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

l2-encap-type llc-non-snap

Passen Sie die Layer-Pakete der logischen Link Control (LLC) für den Ethernet-Einkapselungstyp SNAP (Non-Subnet Access Protocol) an.

Eingangs-Ports und VLANs.

Ausgangs-Ports und VLANs.

label

Auf MPLS-Labelbits anpassen.

Eingangs-MPLS-Schnittstellen.

Ausgangs-MPLS-Schnittstellen.

learn-vlan-id number

Gleicht die ID eines normalen VLANs oder die ID des äußeren (Service)-VLANs ab (für Q-in-Q-VLANs). Die akzeptablen Werte sind 1-4095.

Anmerkung:

Wird auf den Switches QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600 und EX4650 nicht unterstützt. Verwenden Sie die Übereinstimmungsbedingung user-vlan-id , um mit der äußeren VLAN-ID zusammenzupassen.

Eingangs-Ports und VLANs.

Ausgangs-Ports und VLANs.

next-header

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die numerischen Werte werden ebenfalls aufgeführt):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Eingangs-Ports, VLANs und IPv6 (inet6)-Schnittstellen.

Egress-IPv6(inet6)-Schnittstellen.

packet-length

Paketlänge in Bytes. Sie müssen einen Wert zwischen 0 und 65535 eingeben.

Ingress-Ports, VLANs, IPv4 (Inet) und IPv6 (Inet6)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

payload-protocol

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die numerischen Werte werden ebenfalls aufgeführt):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Anmerkung:

Wird auf den Switches QFX3500, QFX3600, QFX5100, QFX5110, QFX5200 und QFX5210 nicht unterstützt.

Eingangs-Ports, VLANs und IPv6 (inet6)-Schnittstellen.

Egress-IPv6(inet6)-Schnittstellen.

Port qualifier

Der Portqualifizierer installiert zwei Einträge in der Packet Forwarding Engine. Eine mit dem Quell-Port und die zweite mit dem Ziel-Port.

Ingress-Ports, VLANs, IPv4 (Inet) und IPv6 (Inet6)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

precedence value

IP-Precedence-Bits im ToS-Byte (Type of Service) im IP-Header. (Dieses Byte kann auch für DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die numerischen Werte werden ebenfalls aufgeführt):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

protocol type

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die numerischen Werte werden ebenfalls aufgeführt):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Ingress-Ports, VLANs und IPv4 (Inet)-Schnittstellen.

Egress-IPv4-Schnittstellen (Inet).

rat-type tech-type-value

Passen Sie den im 8-Bit-Feld der Proxy Mobile IPv4 (PMIPv4) Access Technology-Erweiterung angegebenen Funkzugriffstechnologietyp an. Der Technologietyp gibt die Zugriffstechnologie an, über die das mobile Gerät mit dem Zugriffsnetzwerk verbunden ist. Geben Sie einen einzelnen Wert, einen Wertebereich oder einen Wertesatz an. Sie können einen Technologietyp als numerischen Wert von 0 bis 255 oder als Systemschlüsselwort angeben.

  • Numerischer Wert 1 entspricht IEEE 802.3.

  • Numerischer Wert 2 entspricht IEEE 802.11a/b/g.

  • Numerischer Wert 3 entspricht IEEE 802.16e

  • Numerischer Wert 4 entspricht IEEE 802.16m.

  • Textzeichenfolge eutran entspricht 4G.

  • Textzeichenfolge geran entspricht 2G.

  • Textzeichenfolge utran entspricht 3G.

Egress- und Ingress-IPv4 (Inet)-Schnittstellen.

sample

Beispiel des Paketdatenverkehrs. Wenden Sie diese Option nur an, wenn Sie Datenverkehrs-Sampling aktiviert haben.

Egress- und Ingress-IPv4 (Inet)-Schnittstellen.

source-address ip-address

IP-Quelladressenfeld, das die Adresse des Knotens ist, der das Paket gesendet hat.

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

source-mac-address mac-address

Mac-Adresse (Source Media Access Control) des Pakets.

Eingangs-Ports und VLANs.

Ausgangs-Ports und VLANs.

source-port value

TCP- oder UDP-Quellport. In der Regel geben Sie diese Übereinstimmung zusammen mit der Übereinstimmungsanweisung protocol an. Anstelle des numerischen Feldes können Sie eines der unter aufgeführten destination-portText synonyme angeben.

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

source-port range-optimize range

Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an, während Sie den verfügbaren Speicher effizienter verwenden. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Quell-Ports konfigurieren. (Wird nicht durch filterbasierte Weiterleitung unterstützt.)

Eingangs-Ports, VLANs, IPv4 (Inet)-Schnittstellen.

source-prefix-list prefix-list

IP-Quell-Präfixliste. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlisten-Alias für häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

tcp-established

Gleicht Pakete einer etablierten TCP-Three-Way-Handshake-Verbindung ab (SYN, SYN-ACK, ACK). Das einzige Paket, das nicht übereinstimmt, ist das erste Paket des Handshake, da nur das SYN-Bit festgelegt ist. Für dieses Paket müssen Sie als Übereinstimmungsbedingung angeben tcp-initial .

Wenn Sie angeben tcp-established, überprüft der Switch nicht implizit, dass das Protokoll TCP ist. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

tcp-flags value

Ein oder mehrere TCP-Flags:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

tcp-initial

Passen Sie das erste TCP-Paket einer Verbindung an. Eine Übereinstimmung tritt auf, wenn das TCP-Flag SYN festgelegt ist und das TCP-Flag ACK nicht festgelegt wird.

Wenn Sie angeben tcp-initial, überprüft ein Switch nicht implizit, ob das Protokoll TCP ist. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Ingress-Ports, VLANs, IPv4-Schnittstellen (Inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (Inet).

traffic-class

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld der Datenverkehrsklasse wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type of Service) in IPv4 verwendet, und die Semantik dieses Feldes (z. B. DSCP) ist identisch mit denen von IPv4.

Sie können eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Eingangs-Ports, VLANs und IPv6 (inet6)-Schnittstellen.

Egress-IPv6(inet6)-Schnittstellen.

ttl value

IP Time-to-Live (TTL)-Feld in Dezimalzahl. Der Wert kann 1-255 sein.

Eingangsschnittstellen für IPv4 (Inet).

Egress-IPv4-Schnittstellen (Inet).

user-vlan-1p-priority value

Gleicht die angegebene VLAN-Priorität 802.1p im Bereich ab 0-7.

Eingangs- und Ausgangs-Ports und VLANs.

user-vlan-id number

Gleicht die ID des internen (Kunden-) VLAN für ein Q-in-Q-VLAN ab. Die akzeptablen Werte sind 1-4095.

Anmerkung:

Für QFX3600-, QFX5100-, QFX5110-, QFX5120-, QFX5200-, QFX5210-, EX4600- und EX4650-Switches verwenden Sie user-vlan-id die ID des äußeren VLAN.

Verwenden Sie learn-vlan-id für Switches der QFX5220-Serie und Router der MX- und ACX-Serie die ID des äußeren VLAN und user-vlan-id die ID des internen VLAN. Zuvor könnten Sie die äußere VLAN-ID verwenden user-vlan-id .

Eingangs- und Ausgangs-Ports und VLANs.

Verwenden Sie then Anweisungen, um Aktionen zu definieren, die auftreten sollten, wenn ein Paket allen Bedingungen in einer from Anweisung entspricht. Tabelle 2 zeigt die Aktionen an, die Sie in einem Begriff angeben können. (Wenn Sie keine then Anweisung enthalten, akzeptiert das System Pakete, die dem Filter entsprechen.)

Tabelle 2: Aktionen für Firewall-Filter

Aktion

Beschreibung

accept

Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die einem Begriff entsprechen.

discard

Verwerfen Sie ein Paket unbemerkt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket und senden Sie eine "Ziel nicht erreichbare" ICMPv4-Nachricht (Typ 3). Konfigurieren Sie den syslog Aktionsmodifizierer, um abgelehnte Pakete zu protokollieren.

Sie können einen der folgenden Nachrichtentypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, oder tcp-reset.

Wenn Sie angeben tcp-reset, sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt; andernfalls wird nichts gesendet.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet.

Anmerkung:

Die reject Aktion wird nur an Eingangsschnittstellen unterstützt.

routing-instance Instanzname

Übertragen Sie übereinstimmene Pakete an eine virtuelle Routing-Instanz.

vlan VLAN-Name

Weiterleitung von Paketen an ein bestimmtes VLAN.

Anmerkung:

Die vlan Aktion wird nur an Eingangsschnittstellen unterstützt.

Anmerkung:

Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt.

Sie können auch die in aufgeführten Tabelle 3 Aktionsmodifikatoren angeben, um Pakete zu zählen, zu spiegeln, zu begrenzen und zu klassifizieren.

Tabelle 3: Aktionsmodifikatoren für Firewall-Filter

Aktionsmodifizierer

Beschreibung

analyzer analyzer-name

(Nicht-ELS-Plattformen) Spiegelung des Datenverkehrs (Kopieren von Paketen) zu einem auf Hierarchieebene [edit ethernet-switching-options analyzer] konfigurierten Analyzer.

Sie können nur Portspiegelung für Ingress-Port-, VLAN- und IPv4 (Inet)-Firewall-Filter angeben.

count counter-name

Zählen Sie die Anzahl der Pakete, die dem Begriff entsprechen.

decapsulate [gre | routing-instance]

GRE-Pakete entkapseln oder entkapselte GRE-Pakete an die angegebene Routinginstanz weiterleiten

dscp value

Differenzierter Service-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type of Service) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • be— Best Effort (Standard)

  • ef (46)—wie in RFC 3246, An Expedited Forwarding PHB definiert.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Klassifizieren Sie das Paket in einer der folgenden Standardweiterleitungsklassen oder in einer benutzerdefinierten Weiterleitungsklasse:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Anmerkung:

Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren.

gbp-src-tag

(nur QFX5120 und EX4650)

Legen Sie das gruppenbasierte Richtlinien-Quell-Tag (0.65535) für die Verwendung mit Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierter Richtlinie in einem VXLAN.

interface

Wechseln Sie den Datenverkehr zur angegebenen Schnittstelle, ohne eine Suche durchzuführen. Diese Aktion ist nur gültig, wenn der Filter am Eingang angewendet wird.

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl für den show firewall log Betriebsmodus ein.

Anmerkung:

Der log Action Modifier wird nur an Eingangsschnittstellen unterstützt.

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

Anmerkung:

Der loss-priority Action Modifier wird nur an Eingangsschnittstellen unterstützt.

Anmerkung:

Der loss-priority Aktionsmodifizierer wird nicht in Kombination mit der policer Aktion unterstützt.

policer policer-name

Senden Sie Pakete an einen Policer (zum Zweck der Anwendung der Begrenzung der Übertragungsrate).

Sie können einen Policer für Ingress-Port, VLAN, IPv4 (Inet), IPv6 (inet6) und MPLS-Filter angeben.

Anmerkung:

Der policer Aktionsmodifizierer wird nicht in Kombination mit der loss-priority Aktion unterstützt.

port-mirror

(ELS-Plattformen) Spiegelung des Datenverkehrs (Kopieren von Paketen) zu einer Ausgabeschnittstelle, die in einer Portspiegelinstanz auf Hierarchieebene [edit forwarding-options port-mirroring] konfiguriert ist.

Sie können nur Portspiegelung für Ingress-Port-, VLAN- und IPv4 (Inet)-Firewall-Filter angeben.

port-mirror-instance port-mirror-instance-name

(ELS-Plattformen) Spiegelung des Datenverkehrs zu einer auf Hierarchieebene [edit forwarding-options port-mirroring] konfigurierten Portspiegelinstanz.

Sie können nur Portspiegelung für Ingress-Port-, VLAN- und IPv4 (Inet)-Firewall-Filter angeben.

Anmerkung:

Dieser Action Modifier wird auf Switches der OCX-Serie nicht unterstützt.

syslog

Protokollieren Sie eine Warnung für dieses Paket.

Anmerkung:

Der syslog Action Modifier wird nur an Eingangsschnittstellen unterstützt.

three-color-policer three-color-policer-name

Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Begrenzung der Übertragungsrate).

Sie können einen dreifarbigen Policer für Ingress- und Egress-Port, VLAN, IPv4 (Inet), IPv6 (inet6) und MPLS-Filter angeben.

Anmerkung:

Der policer Aktionsmodifizierer wird nicht in Kombination mit der loss-priority Aktion unterstützt.

Firewall-Filter-Übereinstimmungsbedingungen und -aktionen (QFX5220 und QFX5130-32CD)

In diesem Thema werden die unterstützten Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für die QFX5220-CD-, QFX5220-128C- und QFX5130-32CD-Switches beschrieben.

Jeder Begriff in einem Firewall-Filter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung zu gelten. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungen definieren. Sie können auch keine Übereinstimmungserklärung einfügen, in diesem Fall entspricht der Begriff allen Paketen.

Wenn ein Paket mit einem Filter übereinstimmt, führt ein Switch die im Begriff angegebene Aktion aus. Wenn Sie keine Übereinstimmungsbedingung anwenden, akzeptiert der Switch standardmäßig das Paket.

  • Tabelle 4 zeigt die Übereinstimmungsbedingungen für IPv4-Schnittstellen (inet) und IPv6 (inet6) an. Es enthält auch die Übereinstimmungsbedingungen für Ports und VLANs (ethernet-switching).

  • Tabelle 5 zeigt die Aktionen und die Aktionsmodifizierer, die Sie in einem Begriff angeben können.

Anmerkung:

Bei Übereinstimmungsbedingungen können Sie in einigen numerischen Bereichs- und Bitfeld-Übereinstimmungsbedingungen ein Text synonym angeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung zu sehen, geben Sie ? an der entsprechenden Stelle in einer Anweisung ein.

Tabelle 4: Unterstützte Übereinstimmungsbedingungen (QFX5220- und QFX5130-32CD-Switches)

Übereinstimmungsbedingung

Beschreibung

Richtung und Schnittstelle

arp-type

ARP-Anfragepaket oder ARP-Antwortpaket.

Eingangs- und Ausgangs-Ports und VLANs

destination-address ip-address

IP-Zieladressenfeld, das die Adresse des endgültigen Zielknotens ist.

Eingangs- und Ausgangsschnittstellen für IPv4- und IPv6-Schnittstellen

Eingangs-Ports und VLANs

destination-mac-address mac-address

Ziel-MAC-Adresse des Pakets.

Eingangs- und Ausgangs-Ports und VLANs

destination-port value

TCP- oder UDP-Zielportfeld. Sie müssen diese Übereinstimmung mit der Übereinstimmungsaussage für IPv4-Datenverkehr protocol oder der next-header Übereinstimmungsaussage für IPv6-Datenverkehr angeben.

Für die folgenden bekannten Ports und Portnummern können Sie Text synonyme angeben.

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-IPv6-Schnittstellen.

Eingangs-Ports und VLANs

destination-port range-optimize range

Passen Sie einen Bereich der TCP- oder UDP-Portbereiche an, während Sie den verfügbaren Speicher effizienter nutzen. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Ziel-Ports konfigurieren. (Wird nicht durch filterbasierte Weiterleitung unterstützt.)

Eingangs-IPv4-Schnittstellen

destination-prefix-list prefix-list

Ip-Ziel-Präfixlistenfeld. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlisten-Alias für häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Eingangs- und Ausgangsschnittstellen für IPv4- und IPv6-Schnittstellen

Eingangs-Ports und VLANs.

dscp value

Differenzierter Service-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type of Service) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP.

Sie können DSCP in Hexadezimal-, Binär- oder Dezimalform angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme und aufgeführte Feld angeben.

  • be— Best Effort (Standard)

  • ef (46)—wie in RFC 3246, An Expedited Forwarding PHB definiert.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Diese vier Klassen mit drei Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-Ports und VLANs

ether-type value

Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame übertragen wird. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben. Die Feldwerte werden ebenfalls aufgeführt.

  • aarp (0x80F3)— EtherType-Wert AARP

  • appletalk (0x809B)— EtherType-Wert AppleTalk

  • arp (0x0806)— EtherType-Wert ARP

  • fcoe (0x8906)— EtherType-Wert FCoE

  • fip (0x8914)— EtherType-Wert FIP

  • ipv4 (0x0800)— EtherType-Wert IPv4

  • ipv6 (0x08DD)— EtherType-Wert IPv6

  • mpls-multicast (0x8848)— EtherType-Wert MPLS-Multicast

  • mpls-unicast (0x8847)— EtherType-Wert MPLS-Unicast

  • oam (0x88A8)— EtherType-Wert OAM

  • ppp (0x880B)— EtherType-Wert PPP

  • pppoe-discovery (0x8863)— EtherType-Wert PPPoE Discovery Stage

  • pppoe-session (0x8864)— EtherType-Wert PPPoE Session Stage

  • sna (0x80D5)— EtherType-Wert SNA

Eingangs- und Ausgangs-Ports und VLANs

erstes Fragment

Übereinstimmung, wenn das Paket das erste Fragment eines fragmentierten Pakets ist. Vermeidung des Abgleichs des Pakets, wenn es sich um ein Trailing-Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragment-Offset-Wert von 0.

Diese Übereinstimmungsbedingung ist ein Alias für die Bitfeld-Übereinstimmungsbedingung Fragment-Offset 0-Übereinstimmungsbedingung.

Um sowohl die ersten als auch die nachgestellten Fragmente zu vergleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben: first-fragment und is-fragment.

Eingangs-IPv4-Schnittstellen

icmp-code value

ICMP-Codefeld. Da die Bedeutung des Werts von der zugehörigen icmp-typeabhängt, müssen Sie einen Wert für zusammen mit einem Wert für icmp-codeicmp-type angeben. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt). Die Keywords werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • IPv4: Parameterproblem –ip-header-bad (0)required-option-missing (1)

  • IPv6: Parameterproblem –ip6-header-bad (0) , unrecognized-next-header (1), unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: nicht erreichbar —network-unreachable (0) , host-unreachable (1)protocol-unreachable (2), port-unreachable (3), fragmentation-needed (4), , source-route-failed (5), destination-network-unknown (6), , destination-host-unknown (7), , source-host-isolated (8), , destination-network-prohibited (9), destination-host-prohibited (10), network-unreachable-for-TOS (11), , host-unreachable-for-TOS (12), communication-prohibited-by-filtering (13), host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: nicht erreichbar –address-unreachable (3) , administratively-prohibited (1), , no-route-to-destination (0)port-unreachable (4)

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-IPv6-Schnittstellen

Eingangs-Ports und VLANs

icmp-type value

ICMP-Meldungstypfeld. Sie müssen diese Übereinstimmung zusammen mit der Übereinstimmungsanweisung protocol angeben. Diese Übereinstimmung bestimmt, welches Protokoll am Port für IPv4-Datenverkehr oder die next-header Übereinstimmungsaussage für IPv6-Datenverkehr verwendet wird.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

IPv4: echo-reply (0), , destination unreachable (3)source-quench (4), redirect (5)echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), , time-exceeded (11), , parameter-problem (12), timestamp (13), , timestamp-reply (14), info-request (15), , , info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), , time-exceeded (3)packet-too-big (2), parameter-problem (4)echo-request (128), echo-reply (129), membership-query (130), , membership-report (131), membership-termination (132), , router-solicit (133), , router-advertisement (134), , neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138)node-information-request (139),node-information-reply (140)

Siehe auch icmp-code variable.

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-IPv6-Schnittstellen

Eingangs-Ports und VLANs

interface interface-name

Schnittstelle, an der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen (*) als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen.

Anmerkung:

Eine Schnittstelle, von der ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden.

Eingangs-Ports und VLANs

ip-destination-address address

IPv4-Adresse, die die endgültige Zielknotenadresse für das Paket ist.

Eingangs-Ports und VLANs

ip-options

Geben Sie any an, um eine Übereinstimmung zu erstellen, wenn im Optionsfeld im IP-Header irgendetwas angegeben ist.

Eingangs-IPv4-Schnittstellen

ip-protocol number

IP-Protokollfeld.

Eingangs-Ports und VLANs

ip-precedence ip-precedence-field

IP-Rangfolgefeld. Anstelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt): critical-ecp (0xa0), flash 0x60, flash-override 0x80, immediate 0x40, internet-control 0xc0, net-control 0xe0, priority 0x20 oder routine 0x00.

Eingangs-Ports und VLANs

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Eingangs-Ports und VLANs

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr zu entsprechen, der an einem Layer-2-Port oder einer VLAN-Schnittstelle eintrifft.

Eingangs-Ports und VLANs

is-fragment

Die Verwendung dieser Bedingung bewirkt eine Übereinstimmung, wenn das Flag "Mehr Fragmente" im IP-Header aktiviert ist oder wenn der Fragment-Offset nicht null ist.

Eingangs- und Ausgangs-IPv4-Schnittstellen (QX5220)

Eingangs-IPv4-Schnittstellen (QFX5130)

learn-vlan-id number

VLAN-Identifikator für MAC-Lernen.

Eingangs- und Ausgangs-Ports und VLANs (QFX5220)

Eingangs-Ports und VLANS (QFX5130)

learn-vlan-1p-priority value

Übereinstimmung mit den erlernten VLAN-Prioritätsbits nach IEEE 802.1p im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von 0 bis 7 an.

Eingangs-Ports und VLANs

next-header

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die numerischen Werte werden ebenfalls aufgeführt):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Eingangs- und Ausgangs-IPv6-Schnittstellen

packet-length

Paketlänge in Bytes. Sie müssen einen Wert zwischen 0 und 65535 eingeben.

Eingangsschnittstellen für IPv4 und IPv6

precedence value

IP-Precedence-Bits im ToS-Byte (Type of Service) im IP-Header. (Dieses Byte kann auch für DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die numerischen Werte werden ebenfalls aufgeführt):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Eingangs- und Ausgangs-IPv4-Schnittstellen

protocol type

IP-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die numerischen Werte werden ebenfalls aufgeführt):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Eingangs- und Ausgangs-IPv4-Schnittstellen.

Eingangs-IPv4-Schnittstellen und VLANs

source-address ip-address

IP-Quelladressenfeld, das die Adresse des Knotens ist, der das Paket gesendet hat.

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-IPv6-Schnittstellen

Eingangs-Ports und VLANs

source-mac-address mac-address

Mac-Adresse (Source Media Access Control) des Pakets.

Eingangs- und Ausgangs-IPv4-Schnittstellen und VLANs

source-port value

TCP- oder UDP-Quellport. Sie müssen diese Übereinstimmung zusammen mit der protocol Übereinstimmungsaussage für IPv4-Datenverkehr oder der next-header Übereinstimmungsaussage für IPv6-Datenverkehr angeben.

Anstelle des numerischen Feldes können Sie eines der unter aufgeführten destination-portText synonyme angeben.

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-IPv6-Schnittstellen

Eingangs-Ports und VLANs

source-port range-optimize range

Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an, während Sie den verfügbaren Speicher effizienter verwenden. Mithilfe dieser Bedingung können Sie mehr Firewall-Filter konfigurieren, als wenn Sie einzelne Quell-Ports konfigurieren. (Wird nicht durch filterbasierte Weiterleitung unterstützt.)

Eingangs-IPv4-Schnittstellen

source-prefix-list prefix-list

IP-Quell-Präfixliste. Sie können eine Liste von IP-Adressen-Präfixen unter einem Präfixlisten-Alias für häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-IPv6-Schnittstellen

Eingangs-Ports und VLANs

tcp-established

Stimmen Sie TCP-Pakete einer etablierten TCP-Sitzung ab (Pakete, die nicht das erste Paket einer Verbindung sind). Dies ist ein Alias für tcp-flags "(ack | rst)".

Diese Übereinstimmungsbedingung überprüft nicht implizit, ob das Protokoll TCP ist. Um dies zu überprüfen, geben Sie die Übereinstimmungsbedingung protocol tcp an.

Eingangs- und Ausgangs-IPv4-Schnittstellen (QFX5220)

Eingangs- und Ausgangs-IPv4-Schnittstellen (QFX5130)

Eingangs-IPv6-Schnittstellen (QFX5130)

tcp-flags value

TCP-Flags (es wird nur ein Wert unterstützt):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Eingangs- und Ausgangs-IPv4-Schnittstellen

Eingangs-IPv6-Schnittstellen

Eingangs-Ports und VLANs

tcp-initial

Passen Sie das erste TCP-Paket einer Verbindung an. Eine Übereinstimmung tritt auf, wenn das TCP-Flag SYN festgelegt ist und das TCP-Flag ACK nicht festgelegt wird.

Wenn Sie angeben tcp-initial, überprüft ein Switch nicht implizit, ob das Protokoll TCP ist. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben. Siehe protocol type.

Eingangs- und Ausgangs-IPv4-Schnittstellen (QFX5220)

Eingangs- und Ausgangs-IPv4-Schnittstellen, Ingress-IPv6-Schnittstellen (QFX5130)

traffic-class

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld der Datenverkehrsklasse wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type of Service) in IPv4 verwendet, und die Semantik dieses Feldes (z. B. DSCP) ist identisch mit denen von IPv4.

Sie können eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Eingangs- und Ausgangs-IPv6-Schnittstellen

ttl value

IP Time-to-Live (TTL)-Feld in Dezimalzahl. Der Wert kann 1-255 sein.

Eingangs- und Ausgangs-IPv4-Schnittstellen

user-vlan-id number

Gleicht die ID des internen (Kunden-) VLAN für ein Q-in-Q-VLAN ab. Die akzeptablen Werte sind 1-4095.

Eingangs-Ports und VLANs (QFX5130)

user-vlan-1p-priority value

Gleicht die angegebene VLAN-Priorität 802.1p im Bereich ab 0-7.

Eingangs-Ports und VLANs (QFX5130)

Verwenden Sie then Anweisungen, um Aktionen zu definieren, die auftreten sollten, wenn ein Paket allen Bedingungen in einer from Anweisung entspricht. Tabelle 5 Zeigt die Aktionen an, die Sie in einem Begriff angeben können. (Wenn Sie keine then Anweisung enthalten, akzeptiert das System Pakete, die dem Filter entsprechen.)

Anmerkung:

Für Egress-IPv4-Schnittstellen, IPv6-Schnittstellen und Egress-Ports können Sie nur die Aktionen "Accept", "Discard" und "Count" anwenden. Für Ausgangs-VLANs können Sie nur die Aktion "Akzeptieren" anwenden.

Tabelle 5: Aktionen und Aktionsmodifizierer

Aktion

Beschreibung

accept

Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die einem Begriff entsprechen.

apply-groups-except

Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehr als einen Gruppennamen angeben.

count counter-name

Zählen Sie die Anzahl der Pakete, die dem Begriff entsprechen.

discard

Verwerfen Sie ein Paket unbemerkt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

forwarding-class class

Klassifizieren Sie das Paket in einer der folgenden Standardweiterleitungsklassen oder in einer benutzerdefinierten Weiterleitungsklasse:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Anmerkung:

Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren.

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl für den show firewall log Betriebsmodus ein.

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

Anmerkung:

Der loss-priority Action Modifier wird nur an Eingangs-IPv4-Schnittstellen unterstützt.

Anmerkung:

Der loss-priority Aktionsmodifizierer wird nicht in Kombination mit der policer Aktion unterstützt.

policer policer-name

Senden Sie Pakete an einen Policer (zum Zweck der Anwendung der Begrenzung der Übertragungsrate).

Anmerkung:

Der policer Aktionsmodifizierer wird nicht in Kombination mit der loss-priority Aktion unterstützt.

port-mirror

Spiegelung des Datenverkehrs (Kopieren von Paketen) zu einer Ausgabeschnittstelle, die in einer Portspiegelinstanz auf Hierarchieebene [edit forwarding-options port-mirroring] konfiguriert ist.

port-mirror-instance port-mirror-instance-name

Spiegelung des Datenverkehrs zu einer auf Hierarchieebene [edit forwarding-options port-mirroring] konfigurierten Portspiegelinstanz.

Sie können nur Portspiegelung für Ingress-Port-, VLAN- und IPv4 (Inet)-Firewall-Filter angeben.

reject message-type

Verwerfen Sie ein Paket und senden Sie eine "Ziel nicht erreichbare" ICMPv4-Nachricht (Typ 3). Konfigurieren Sie den syslog Aktionsmodifizierer, um abgelehnte Pakete zu protokollieren.

Sie können einen der folgenden Nachrichtentypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet.

Anmerkung:

Die reject Aktion wird nur an eingehenden IPv4-Schnittstellen unterstützt.

three-color-policer three-color-policer-name

Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Begrenzung der Übertragungsrate).

Anmerkung:

Der policer Aktionsmodifizierer wird nicht in Kombination mit der loss-priority Aktion unterstützt.

Anmerkung:

Die color-aware Und color-blind Policer werden nicht unterstützt. Standardmäßig wird der Datenverkehr als color-blindbehandelt.

vlan VLAN-Name

Weiterleitung von Paketen an ein bestimmtes VLAN.

Anmerkung:

Die vlan Aktion wird nur auf Eingangsports und VLANs unterstützt.