Bedingungen und Aktionen für Firewall-Filter (Switches der QFX- und EX-Serie)

(QFX5100, QFX5110, QFX5200) Bei Verwendung der filterbasierten Weiterleitung auf IPv6-Schnittstellen werden nur die folgenden Übereinstimmungsbedingungen in der (Eingangsrichtung) unterstützt: , , , , , , und .source-addressdestination-addresssource-prefix-listdestination-prefix-listsource-portdestination-porthop-limiticmp-typenext-header

(QFX5110) Wenn Sie die Option in der Hierarchie aktivieren, werden nur , und Aktionen unterstützt.egress-to-ingress[edit firewall]acceptdiscardcount

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) In einer EVPN-VXLAN-Umgebung werden nur die folgenden Übereinstimmungsbedingungen unterstützt: , , , , , und .source-addressdestination-addresssource-portdestination-portttlip-protocoluser-vlan-id

(QFX5100, QFX5110, QFX5200) Es ist nicht möglich, einen Firewallfilter in Ausgangsrichtung auf eine EVPN-VXLAN IRB-Schnittstelle anzuwenden.

(QFX5700) Es ist nicht möglich, einen Firewallfilter in Ausgangsrichtung auf eine Loopbackschnittstelle anzuwenden.

(QFX5100, QFX5110) Wenn Sie Firewallfilter verwenden, um die MAC-Filterung in einer EVPN-VXLAN-Umgebung zu implementieren, finden Sie die unterstützten Übereinstimmungsbedingungen unter MAC-Filterung, Storm Control und Port-Mirroring-Unterstützung in einer EVPN-VXLAN-Umgebung .MAC Filtering, Storm Control, and Port Mirroring Support in an EVPN-VXLAN Environment

(QFX5100, QFX5110) Für jeden Firewall-Filter, den Sie auf ein VXLAN anwenden, können Sie angeben , dass Layer-2-Pakete (Ethernet) oder IRB-Schnittstellen gefiltert werden sollen.family ethernet-switchingfamily inet Es ist nicht möglich, einen Firewallfilter in Ausgangsrichtung auf IRB-Schnittstellen anzuwenden.

Verwenden Sie auf Switches, die keine Layer-2-Funktionen unterstützen, nur die Übereinstimmungsbedingungen, die für IPv4- und IPv6-Schnittstellen gültig sind.

(QFX5120, EX4650) Ab Junos Version 21.4R1 werden die folgenden Übereinstimmungsbedingungen in einer EVPN-VXLAN-Umgebung auf QFX5120 und EX4650 unterstützt: , und .gbp-src-taggbp-dst-tag

Ab Junos OS Version 21.4R1 werden die Bedingungen source-port-range-optimize und destination-port-range-optimize auf Hierarchieebene unterstützt.[edit firewall family ethernet-switching filter <filter-name> term <term-name> from] Dadurch wird der TCAM-Platzbedarf erheblich reduziert. In QFX5100 Switches, für die Übereinstimmungsbedingungen Source-Port-Range-Optimize und Destination-Port-Range-Optimize konfiguriert sind, werden bis zu 24 nicht zusammenhängende Übereinstimmungsbedingungen für Quell-Port-Bereich und Ziel-Port-Bereich unterstützt. Wenn mehr als 24 nicht zusammenhängende Übereinstimmungsbedingungen konfiguriert sind, kann ein Fehler ausgegeben werden.

Ab Junos Version 22.4R1 werden die folgenden Übereinstimmungsbedingungen für das GBP-Tagging in einer EVPN-VXLAN-Umgebung auf unterstützten Switches der Serien EX4100, EX4400, EX4650 und QFX5120 unterstützt: , , , , + Kombination und .ip-version ipv4ip-version ipv6mac-addressvlan-idinterface vlan-idinterface

Ab Junos Version 23.2R1 werden neue IPV4- und IPv6-L4-Übereinstimmungen für die Richtliniendurchsetzung auf den Switches der Serien EX4100, EX4400, EX4650, QFX5120-32C und QFX5120-48Y unterstützt.

Ab Junos OS Version 23.4R1 und höher werden die Bedingungen | und Übereinstimmung für GBP-Tagging in einer EVPN-VXLAN-Umgebung auf unterstützten Switches derSerien EX4100, EX4400, EX4650 und QFX5120 unterstützt.vlan-id vlan listvlan-rangeinterface interface-list Die EX4100-Switches unterstützen kein VLAN und PORT+VLAN-basiertes GBP.

arp-type

ARP-Anforderungspaket oder ARP-Antwortpaket.

Ausgangs- und Eingangsschnittstellen.

destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet) und IPv6-Schnittstellen (inet6).

destination-mac-address mac-address

MAC-Adresse (Destination Media Access Control) des Pakets.

Ingress-Ports, VLANs und IPv4 (inet)-Schnittstellen.

Ausgangsports und VLANs.

destination-port value

TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an.protocol Für die folgenden bekannten Ports können Sie Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet):

, , , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

, , cmd (514)cvspserver (2401)

, , dhcp (67)domain (53)

, , , eklogin (2105)ekshell (2106)exec (512)

, , , finger (79)ftp (21)ftp-data (20)

, , http (80)https (443)

, , ident (113)imap (143)

, , , , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

, , ldap (389)login (513)

, , , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , , pop3 (110)pptp (1723)printer (515)

,, , , radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , , , , , , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

destination-port range-optimize range

Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an und nutzen Sie gleichzeitig den verfügbaren Speicher effizienter. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Zielports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen.

destination-prefix-list prefix-list

Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene .[edit policy-options]

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

dscp value

Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• be—Best Effort (Standard)

• – wie in RFC 3246, An Expedited Forwarding PHB, definiert.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  , , af41 (34)af42 (36)af43 (38)

  Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.http://www.ietf.org/rfc/rfc2597.txt

• , , , , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

ether-type value

Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• aarp (0x80F3)—EtherType-Wert AARP

• appletalk (0x809B)—EtherType-Wert AppleTalk

• arp (0x0806)—EtherType-Wert ARP

• fcoe (0x8906)—EtherType-Wert FCoE

• fip (0x8914)—EtherType-Wert FIP

• ipv4 (0x0800)—EtherType-Wert IPv4

• ipv6 (0x08DD)—EtherType-Wert IPv6

• mpls-multicast (0x8848)—EtherType-Wert MPLS-Multicast

• mpls-unicast (0x8847)—EtherType-Wert MPLS-Unicast

• oam (0x88A8)—EtherType-Wert OAM

• ppp (0x880B)—EtherType-Wert PPP

• pppoe-discovery (0x8863)—EtherType-Wert PPPoE-Erkennungsphase

• pppoe-session (0x8864)—EtherType-Wert PPPoE-Sitzungsphase

• sna (0x80D5)—EtherType-Wert SNA

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

egress-to-ingress

Fügen Sie diese Option hinzu, um die Anzahl der Firewall-Filterbedingungen für ausgehende VLANs von 1024 auf 2048 zu erhöhen.

Ausgangs-VLAN: IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen.

exp

Übereinstimmung mit MPLS EXP-Bits.

Eingangs-MPLS-Schnittstellen.

MPLS-Ausgangsschnittstellen.

fragment-flags value

IP-Fragmentierungs-Flags. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Hexadezimalwerte werden ebenfalls aufgelistet):

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

Ingress-Ports und VLANs.

gbp-dst-tag

Passen Sie das Ziel-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.

Nicht zutreffend

gbp-src-tag

Passen Sie das Quell-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.

Nicht zutreffend

icmp-code value

ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten abhängt, müssen Sie einen Wert für zusammen mit einem Wert für angeben.icmp-typeicmp-typeicmp-code Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

• IPv4: Parameter-Problem—, ip-header-bad (0)required-option-missing (1)

• IPv6: Parameter-Problem—, , ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —, , , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: nicht erreichbar—, , , , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: nicht erreichbar—, , , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

hop-limit value

Stimmt mit dem angegebenen Hop-Limit oder dem Satz von Hop-Limits überein. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an.

IPv6-Schnittstellen (inet6) für eingehenden und ausgehenden Datenverkehr.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

Passen Sie die IPv4- oder IPv6-Quell- oder Zieladresse für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Ein- und Ausgang (systemweit).

Passen Sie den TCP/UDP-Zielport an, um ihn mit L4-Übereinstimmungen des GBP-Richtlinienfilters zu verwenden, wie unten beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Passen Sie den TCP/UDP-Quellport an, für die Verwendung mit für die Verwendung mit GBP-Richtlinienfilter-L4-Übereinstimmungen, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Übereinstimmung mit dem IP-Protokolltyp für die Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Übereinstimmung, wenn es sich bei dem Paket um ein Fragment handelt, zur Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Gleichen Sie die Fragmentflags (in symbolischen oder Hexadezimalformaten) für die Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters ab, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen. Zur Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Übereinstimmung mit einem oder mehreren TCP-Flags (in symbolischen oder Hexadezimalformaten) für die Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Zur Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Gleichen Sie die Pakete einer bestehenden TCP-Verbindung ab, um sie mit L4-Übereinstimmungen der GBP-Richtlinie zu verwenden, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Passen Sie den TCP/UDP-Quellport an, um ihn mit L4-Übereinstimmungen der GBP-Richtlinie zu verwenden, wie unten beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Übereinstimmung mit dem TCP/UDP-Zielport für die Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Übereinstimmung mit dem nächsten Header-Protokolltyp für die Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Übereinstimmung der TCP-Flags für die Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Gleichen Sie die Anfangspakete einer aufgebauten TCP-Verbindung ab, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

Gleichen Sie die Pakete einer aufgebauten TCP-Verbindung ab, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN

Nur Ingress.

icmp-type value

ICMP-Nachrichtentypfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.protocol Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

IPv4:, , , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Siehe auch .icmp-code variable

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

interface interface-name | <interface_list>

Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen () als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen.*

Gleichen Sie eine Liste von Schnittstellen unter demselben Begriff in einem Filter ab. Zur Verwendung mit Mikrosegmentierung auf einem VXLAN, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

ip-destination-address address

IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt.

Ingress-Ports und VLANs.

ip6-destination-address address

IPv6-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt.

Ingress-Ports und VLANs. (Sie können nicht gleichzeitig einen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN anwenden, die diesen Port enthalten.)

ip-options

Geben Sie an , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist.any

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

ip-precedence ip-precedence-field

Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

ip-protocol number

IP-Protokoll-Feld.

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs.

ip6-source-address address

IPv6-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs. (Sie können nicht gleichzeitig einen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN anwenden, die diesen Port enthalten.)

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle eintrifft.

Ingress-Ports und VLANs.

is-fragment

Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist.

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

l2-encap-type llc-non-snap

Übereinstimmung auf LLC-Layer-Paketen (Logical Link Control) für den Nicht-SNAP-Ethernet-Kapselungstyp (Subnet Access Protocol).

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

label

Übereinstimmung mit MPLS-Label-Bits.

Eingangs-MPLS-Schnittstellen.

MPLS-Ausgangsschnittstellen.

learn-vlan-id number

Stimmt mit der ID eines normalen VLANs oder der ID des äußeren (Service-)VLANs (für Q-in-Q-VLANs) überein. Die zulässigen Werte sind 1-4095.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

mac-address mac-address

Passen Sie die MAC-Adresse (Source Media Access Control) für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.

Ein- und Ausgang (systemweit)

next-header

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

,, , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Eingangsports, VLANs und IPv6 (inet6)-Schnittstellen.

IPv6-Ausgangsschnittstellen (inet6).

packet-length

Paketlänge in Bytes. Sie müssen einen Wert zwischen 0 und 65535 eingeben.

Ingress-Ports, VLANs, IPv4- (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

payload-protocol

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

,, , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Eingangsports, VLANs und IPv6 (inet6)-Schnittstellen.

IPv6-Ausgangsschnittstellen (inet6).

Port qualifier

Der Portqualifizierer installiert zwei Einträge in der Paketweiterleitungs-Engine. Eine mit dem Quellport und eine zweite mit dem Zielport.

Ingress-Ports, VLANs, IPv4- (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

precedence value

IP-Rangfolgebits im ToS-Byte (Type-of-Service) im IP-Header. (Dieses Byte kann auch für den DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Eingangsports, VLANs und IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

protocol type

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

,, , , hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Ingress-Ports, VLANs und IPv4 (inet)-Schnittstellen.

IPv4-Ausgangsschnittstellen (inet).

rat-type tech-type-value

Übereinstimmung mit dem RAT-Typ (Radio-Access Technology), der im Feld 8-Bit-Tech-Type der Proxy Mobile IPv4 (PMIPv4)-Access-Technology-Typerweiterung angegeben ist. Der Technologietyp gibt die Zugriffstechnologie an, über die das mobile Gerät mit dem Zugriffsnetzwerk verbunden ist. Geben Sie einen einzelnen Wert, einen Wertebereich oder eine Gruppe von Werten an. Sie können einen Technologietyp als numerischen Wert von 0 bis 255 oder als Systemschlüsselwort angeben.

• Der numerische Wert 1 entspricht IEEE 802.3.

• Der numerische Wert 2 entspricht IEEE 802.11a/b/g.

• Numerischer Wert 3 stimmt mit IEEE 802.16e überein

• Der numerische Wert 4 entspricht IEEE 802.16m.

• Die Textzeichenfolge stimmt mit 4G überein.eutran

• Die Textzeichenfolge stimmt mit 2G überein.geran

• Die Textzeichenfolge stimmt mit 3G überein.utran

IPv4-Schnittstellen (inet) für ausgehenden und eingehenden Datenverkehr.

sample

Stichprobe des Paketdatenverkehrs. Wenden Sie diese Option nur an, wenn Sie das Datenverkehrs-Sampling aktiviert haben.

IPv4-Schnittstellen (inet) für ausgehenden und eingehenden Datenverkehr.

source-address ip-address

IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat.

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

source-mac-address mac-address

MAC-Adresse (Source Media Access Control) des Pakets.

Ingress-Ports und VLANs.

Ausgangsports und VLANs.

source-port value

TCP- oder UDP-Quellport. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an.protocol Anstelle des numerischen Feldes können Sie eines der unter aufgeführten Textsynonyme angeben.destination-port

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

source-port range-optimize range

Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an und nutzen Sie gleichzeitig den verfügbaren Speicher effizienter. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Quellports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.)

Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen.

source-prefix-list prefix-list

Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene .[edit policy-options]

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

tcp-established

Stimmt mit Paketen einer bestehenden TCP-Drei-Wege-Handshake-Verbindung (SYN, SYN-ACK, ACK) überein. Das einzige Paket, das nicht übereinstimmt, ist das erste Paket des Handshakes, da nur das SYN-Bit gesetzt ist. Für dieses Paket müssen Sie als Übereinstimmungsbedingung angeben .tcp-initial

Wenn Sie angeben , überprüft der Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt.tcp-established Sie müssen auch die Übereinstimmungsbedingung angeben.protocol tcp

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

tcp-flags value

Ein oder mehrere TCP-Flags:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

tcp-initial

Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag festgelegt ist und das TCP-Flag nicht festgelegt ist.SYNACK

Wenn Sie angeben , überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt.tcp-initial Sie müssen auch die Übereinstimmungsbedingung angeben.protocol tcp

Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).

IPv4-Ausgangsschnittstellen (inet).

traffic-class

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4.

Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

, , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Eingangsports, VLANs und IPv6 (inet6)-Schnittstellen.

IPv6-Ausgangsschnittstellen (inet6).

ttl value

IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen.

Ingress-IPv4-Schnittstellen (inet).

IPv4-Ausgangsschnittstellen (inet).

user-vlan-1p-priority value

Stimmt mit der angegebenen 802.1p-VLAN-Priorität im Bereich überein.0-7

Eingangs- und Ausgangsports und VLANs.

user-vlan-id number

Stimmt mit der ID des inneren (Kunden-)VLANs für ein Q-in-Q-VLAN überein. Die zulässigen Werte sind 1-4095.

Eingangs- und Ausgangsports und VLANs.

vlan-id <vlan id> | <vlan-range> | <vlan list>

Gleichen Sie die VLAN-Kennung (die erste und letzte VLAN-ID-Nummer für die Gruppe von VLANs) oder (Liste der Nummern) für die Verwendung mit der Mikrosegmentierung auf einem VXLAN ab, wie hier beschrieben:vlan-rangevlan list Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.

Ein- und Ausgang (systemweit)

accept

Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen.

discard

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

reject message-type

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den Aktionsmodifizierer.syslog

Sie können einen der folgenden Nachrichtentypen angeben: oder .administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,tcp-reset

Wenn Sie angeben , sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt, andernfalls wird nichts gesendet.tcp-reset

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet.

routing-instance instance-name

Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter.

vlan VLAN-name

Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter.

analyzer analyzer-name

(Nicht-ELS-Plattformen) Spiegeln Sie den Datenverkehr (kopieren Sie Pakete) auf einen Analyzer, der auf Hierarchieebene konfiguriert ist.[edit ethernet-switching-options analyzer]

Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben.

count counter-name

Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.

decapsulate [gre | routing-instance]

Entkapseln von GRE-Paketen oder Weiterleiten von entkapselten GRE-Paketen an die angegebene Routinginstanz

dscp value

Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• be—Best Effort (Standard)

• – wie in RFC 3246, An Expedited Forwarding PHB, definiert.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  , , af41 (34)af42 (36)af43 (38)

  Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.http://www.ietf.org/rfc/rfc2597.txt

• , , , , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

gbp-src-tag

(Nur QFX5120 und EX4650)

Legen Sie das gruppenbasierte Richtlinienquellen-Tag (0..65535) für die Verwendung mit der Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.

gbp-tag

(EX4100, EX4400, EX4650 und QFX5120)

Legen Sie das gruppenbasierte Richtlinienquellen-Tag (1..65535) für die Verwendung mit der Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.

interface

Schalten Sie den Datenverkehr auf die angegebene Schnittstelle um, ohne eine Suche durchzuführen. Diese Aktion ist nur gültig, wenn der Filter auf den Eingang angewendet wird.

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl Betriebsmodus ein.show firewall log

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

policer policer-name

Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung).

Sie können einen Policer für Eingangsport-, VLAN-, IPv4- (inet), IPv6- (inet6) und MPLS-Filter angeben.

port-mirror

(ELS-Plattformen) Spiegeln des Datenverkehrs (Kopieren von Paketen) auf eine Ausgabeschnittstelle, die in einer Port-Spiegelungsinstanz auf Hierarchieebene konfiguriert ist.[edit forwarding-options port-mirroring]

Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben.

port-mirror-instance port-mirror-instance-name

(ELS-Plattformen) Spiegeln Sie den Datenverkehr auf eine Portspiegelungsinstanz, die auf Hierarchieebene konfiguriert ist.[edit forwarding-options port-mirroring]

Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben.

syslog

Protokollieren Sie eine Warnung für dieses Paket.

three-color-policer three-color-policer-name

Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung).

Sie können einen dreifarbigen Policer für Eingangs- und Ausgangsport, VLAN, IPv4 (inet), IPv6 (inet6) und MPLS-Filter angeben.

arp-type

ARP-Anforderungspaket oder ein ARP-Antwortpaket.

Eingangs- und Ausgangsports und VLANs

destination-address ip-address

IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt.

Ein- und ausgehende IPv4- und IPv6-Schnittstellen

Ingress-Ports und VLANs

destination-mac-address mac-address

MAC-Zieladresse des Pakets.

Eingangs- und Ausgangsports und VLANs

destination-port value

TCP- oder UDP-Zielportfeld. Sie müssen diese Übereinstimmung mit der match-Anweisung für IPv4-Datenverkehr oder der match-Anweisung für IPv6-Datenverkehr angeben.protocolnext-header

Für die folgenden bekannten Ports und Portnummern können Sie Textsynonyme angeben.

, , , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

, , cmd (514)cvspserver (2401)

, , dhcp (67)domain (53)

, , , eklogin (2105)ekshell (2106)exec (512)

, , , finger (79)ftp (21)ftp-data (20)

, , http (80)https (443)

, , ident (113)imap (143)

, , , , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

, , ldap (389)login (513)

, , , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , , pop3 (110)pptp (1723)printer (515)

,, , , radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , , , , , , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ein- und ausgehende IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen.

Ingress-Ports und VLANs

destination-port range-optimize range

Passen Sie einen Bereich der TCP- oder UDP-Portbereiche an, während Sie den verfügbaren Speicher effizienter nutzen. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Zielports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.)

Eingehende IPv4-Schnittstellen

destination-prefix-list prefix-list

Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene .[edit policy-options]

Ein- und ausgehende IPv4- und IPv6-Schnittstellen

Ingress-Ports und VLANs.

dscp value

Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme und das aufgeführte Feld angeben.

• be—Best Effort (Standard)

• – wie in RFC 3246, An Expedited Forwarding PHB, definiert.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  , , af41 (34)af42 (36)af43 (38)

  Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.http://www.ietf.org/rfc/rfc2597.txt

• , , , , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

Ein- und ausgehende IPv4-Schnittstellen

Ingress-Ports und VLANs

ether-type value

Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben. Die Feldwerte werden ebenfalls aufgelistet.

• aarp (0x80F3)—EtherType-Wert AARP

• appletalk (0x809B)—EtherType-Wert AppleTalk

• arp (0x0806)—EtherType-Wert ARP

• fcoe (0x8906)—EtherType-Wert FCoE

• fip (0x8914)—EtherType-Wert FIP

• ipv4 (0x0800)—EtherType-Wert IPv4

• ipv6 (0x08DD)—EtherType-Wert IPv6

• mpls-multicast (0x8848)—EtherType-Wert MPLS-Multicast

• mpls-unicast (0x8847)—EtherType-Wert MPLS-Unicast

• oam (0x88A8)—EtherType-Wert OAM

• ppp (0x880B)—EtherType-Wert PPP

• pppoe-discovery (0x8863)—EtherType-Wert PPPoE-Erkennungsphase

• pppoe-session (0x8864)—EtherType-Wert PPPoE-Sitzungsphase

• sna (0x80D5)—EtherType-Wert SNA

Eingangs- und Ausgangsports und VLANs

Übereinstimmung, wenn es sich bei dem Paket um das erste Fragment eines fragmentierten Pakets handelt. Vermeiden des Abgleichs des Pakets, wenn es sich um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragmentoffsetwert von 0.

Diese Übereinstimmungsbedingung ist ein Alias für die Bitfeld-Übereinstimmungsbedingung fragment-offset 0 Übereinstimmungsbedingung.

Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben:und . first-fragment is-fragment

Eingehende IPv4-Schnittstellen

icmp-code value

ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten abhängt, müssen Sie einen Wert für zusammen mit einem Wert für angeben.icmp-typeicmp-typeicmp-code Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

• IPv4: Parameter-Problem—, ip-header-bad (0)required-option-missing (1)

• IPv6: Parameter-Problem—, , ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —, , , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: nicht erreichbar—, , , , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: nicht erreichbar—, , , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Ein- und ausgehende IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

icmp-type value

ICMP-Nachrichtentypfeld. Sie müssen diese Übereinstimmung zusammen mit der match-Anweisung angeben.protocol Diese Übereinstimmung bestimmt, welches Protokoll auf dem Port für IPv4-Datenverkehr oder die match-Anweisung für IPv6-Datenverkehr verwendet wird.next-header

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

IPv4:, , , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Siehe auch .icmp-code variable

Ein- und ausgehende IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

interface interface-name

Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen () als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen.*

Ingress-Ports und VLANs

ip-destination-address address

IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt.

Ingress-Ports und VLANs

ip-options

Geben Sie an , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist.any

Eingehende IPv4-Schnittstellen

ip-protocol number

IP-Protokoll-Feld.

Ingress-Ports und VLANs

ip-precedence ip-precedence-field

Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

Ingress-Ports und VLANs

ip-source-address address

IPv4-Adresse des Quellknotens, der das Paket sendet.

Ingress-Ports und VLANs

ip-version address

IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle eintrifft.

Ingress-Ports und VLANs

Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist.

Ein- und ausgehende IPv4-Schnittstellen (QFX5220)

Ingress-IPv4-Schnittstellen (QFX5130)

VLAN-Kennung für MAC-Lernen.

Eingangs- und Ausgangsports und VLANs (QFX5220)

Ingress-Ports und VLANs (QFX5130)

Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte zwischen 0 und 7 an.

Ingress-Ports und VLANs

next-header

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

,, , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Ein- und ausgehende IPv6-Schnittstellen

packet-length

Paketlänge in Bytes. Sie müssen einen Wert zwischen 0 und 65535 eingeben.

Eingangsschnittstellen für IPv4 und IPv6

precedence value

IP-Rangfolgebits im ToS-Byte (Type-of-Service) im IP-Header. (Dieses Byte kann auch für den DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Ein- und ausgehende IPv4-Schnittstellen

protocol type

IP-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

,, , , hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)tcp (4)

Ein- und ausgehende IPv4-Schnittstellen.

Ingress-IPv4-Schnittstellen und -VLANs

source-address ip-address

IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat.

Ein- und ausgehende IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

source-mac-address mac-address

MAC-Adresse (Source Media Access Control) des Pakets.

Ein- und ausgehende IPv4-Schnittstellen und -VLANs

source-port value

TCP- oder UDP-Quellport. Sie müssen diese Übereinstimmung in Verbindung mit der match-Anweisung für IPv4-Datenverkehr oder der match-Anweisung für IPv6-Datenverkehr angeben.protocolnext-header

Anstelle des numerischen Feldes können Sie eines der unter aufgeführten Textsynonyme angeben.destination-port

Ein- und ausgehende IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

source-port range-optimize range

Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an und nutzen Sie gleichzeitig den verfügbaren Speicher effizienter. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Quellports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.)

Eingehende IPv4-Schnittstellen

source-prefix-list prefix-list

Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene .[edit policy-options]

Ein- und ausgehende IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

TCP-Pakete einer eingerichteten TCP-Sitzung abgleichen (andere Pakete als das erste Paket einer Verbindung). Dies ist ein Alias für tcp-flags "(ack | rst)".

Mit dieser Übereinstimmungsbedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Um dies zu überprüfen, geben Sie die Übereinstimmungsbedingung an.protocol tcp

Ein- und ausgehende IPv4-Schnittstellen (QFX5220)

Ein- und ausgehende IPv4-Schnittstellen (QFX5130)

Ingress-IPv6-Schnittstellen (QFX5130)

tcp-flags value

TCP-Flags (es wird nur ein Wert unterstützt):

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Ein- und ausgehende IPv4-Schnittstellen

Ingress-IPv6-Schnittstellen

Ingress-Ports und VLANs

Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag festgelegt ist und das TCP-Flag nicht festgelegt ist.SYNACK

Wenn Sie angeben , überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt.tcp-initial Sie müssen auch die Übereinstimmungsbedingung angeben.protocol tcp Siehe .protocol type

Ein- und ausgehende IPv4-Schnittstellen (QFX5220)

Ein- und ausgehende IPv4-Schnittstellen, eingehende IPv6-Schnittstellen (QFX5130)

traffic-class

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4.

Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

, , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Ein- und ausgehende IPv6-Schnittstellen

ttl value

IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen.

Ein- und ausgehende IPv4-Schnittstellen

user-vlan-id number

Stimmt mit der ID des inneren (Kunden-)VLANs für ein Q-in-Q-VLAN überein. Die zulässigen Werte sind 1-4095.

Ingress-Ports und VLANs (QFX5130)

user-vlan-1p-priority value

Stimmt mit der angegebenen 802.1p-VLAN-Priorität im Bereich überein.0-7

Ingress-Ports und VLANs (QFX5130)

accept

Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen.

apply-groups-except

Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben.

count counter-name

Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.

discard

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

forwarding-class class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl Betriebsmodus ein.show firewall log

loss-priority (low | medium-low | medium-high | high)

Legen Sie die Paketverlustpriorität (PLP) fest.

policer policer-name

Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung).

port-mirror

Spiegeln des Datenverkehrs (Kopieren von Paketen) auf eine Ausgabeschnittstelle, die in einer Port-Spiegelungsinstanz auf Hierarchieebene konfiguriert ist.[edit forwarding-options port-mirroring]

port-mirror-instance port-mirror-instance-name

Spiegeln Sie den Datenverkehr auf eine Portspiegelungsinstanz, die auf Hierarchieebene konfiguriert ist.[edit forwarding-options port-mirroring]

Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben.

reject message-type

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den Aktionsmodifizierer.syslog

Sie können einen der folgenden Nachrichtentypen angeben: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet.

three-color-policer three-color-policer-name

Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung).

vlan VLAN-name

Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter.