Bedingungen und Aktionen für Firewall-Filter (Switches der QFX- und EX-Serie)
Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)
Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungen definieren. Sie können auch no match-Anweisung einschließen, in diesem Fall stimmt der Begriff mit allen Paketen überein.
Wenn ein Paket mit einem Filter übereinstimmt, führt ein Switch die im Begriff angegebene Aktion aus. Darüber hinaus können Sie Aktionsmodifikatoren zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen angeben. Wenn keine Übereinstimmungsbedingungen für den Begriff angegeben sind, akzeptiert der Switch das Paket standardmäßig.
Tabelle 2 Beschreibt die Übereinstimmungsbedingungen, die Sie beim Konfigurieren eines Firewallfilters angeben können. Bei einigen der Übereinstimmungsbedingungen für numerische Bereiche und Bitfelder können Sie ein Textsynonym angeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung anzuzeigen, geben Sie an der entsprechenden Stelle in einer Anweisung ein .
?
Tabelle 3 Zeigt die Aktionen an, die Sie in einem Begriff angeben können.
Tabelle 4 Zeigt die Aktionsmodifikatoren an, die Sie zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen verwenden können.
Für Übereinstimmungsbedingungen auf bestimmten Switches gelten die folgenden Einschränkungen:
(QFX5100, QFX5110, QFX5200) Bei Verwendung der filterbasierten Weiterleitung auf IPv6-Schnittstellen werden nur die folgenden Übereinstimmungsbedingungen in der (Eingangsrichtung) unterstützt: , , , , , , und . |
(QFX5110) Wenn Sie die Option in der Hierarchie aktivieren, werden nur , und Aktionen unterstützt. |
(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) In einer EVPN-VXLAN-Umgebung werden nur die folgenden Übereinstimmungsbedingungen unterstützt: , , , , , und . |
(QFX5100, QFX5110, QFX5200) Es ist nicht möglich, einen Firewallfilter in Ausgangsrichtung auf eine EVPN-VXLAN IRB-Schnittstelle anzuwenden. |
(QFX5700) Es ist nicht möglich, einen Firewallfilter in Ausgangsrichtung auf eine Loopbackschnittstelle anzuwenden. |
(QFX5100, QFX5110) Wenn Sie Firewallfilter verwenden, um die MAC-Filterung in einer EVPN-VXLAN-Umgebung zu implementieren, finden Sie die unterstützten Übereinstimmungsbedingungen unter MAC-Filterung, Storm Control und Port-Mirroring-Unterstützung in einer EVPN-VXLAN-Umgebung .MAC Filtering, Storm Control, and Port Mirroring Support in an EVPN-VXLAN Environment |
(QFX5100, QFX5110) Für jeden Firewall-Filter, den Sie auf ein VXLAN anwenden, können Sie angeben , dass Layer-2-Pakete (Ethernet) oder IRB-Schnittstellen gefiltert werden sollen. |
Verwenden Sie auf Switches, die keine Layer-2-Funktionen unterstützen, nur die Übereinstimmungsbedingungen, die für IPv4- und IPv6-Schnittstellen gültig sind. |
(QFX5120, EX4650) Ab Junos Version 21.4R1 werden die folgenden Übereinstimmungsbedingungen in einer EVPN-VXLAN-Umgebung auf QFX5120 und EX4650 unterstützt: , und . |
Ab Junos OS Version 21.4R1 werden die Bedingungen source-port-range-optimize und destination-port-range-optimize auf Hierarchieebene unterstützt. |
Ab Junos Version 22.4R1 werden die folgenden Übereinstimmungsbedingungen für das GBP-Tagging in einer EVPN-VXLAN-Umgebung auf unterstützten Switches der Serien EX4100, EX4400, EX4650 und QFX5120 unterstützt: , , , , + Kombination und . |
Ab Junos Version 23.2R1 werden neue IPV4- und IPv6-L4-Übereinstimmungen für die Richtliniendurchsetzung auf den Switches der Serien EX4100, EX4400, EX4650, QFX5120-32C und QFX5120-48Y unterstützt. |
Ab Junos OS Version 23.4R1 und höher werden die Bedingungen | und Übereinstimmung für GBP-Tagging in einer EVPN-VXLAN-Umgebung auf unterstützten Switches derSerien EX4100, EX4400, EX4650 und QFX5120 unterstützt. |
Übereinstimmungsbedingung |
Beschreibung |
Richtung und Schnittstelle |
---|---|---|
|
ARP-Anforderungspaket oder ARP-Antwortpaket. |
Ausgangs- und Eingangsschnittstellen. |
|
IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet) und IPv6-Schnittstellen (inet6). |
|
MAC-Adresse (Destination Media Access Control) des Pakets. |
Ingress-Ports, VLANs und IPv4 (inet)-Schnittstellen. Ausgangsports und VLANs. |
|
TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,, , , , , , , , , , , , , , , , , , , ,
|
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an und nutzen Sie gleichzeitig den verfügbaren Speicher effizienter. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Zielports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.) |
Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen. |
|
Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene . |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). |
|
Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
Fügen Sie diese Option hinzu, um die Anzahl der Firewall-Filterbedingungen für ausgehende VLANs von 1024 auf 2048 zu erhöhen. |
Ausgangs-VLAN: IPv4 (inet)-Schnittstellen und IPv6 (inet6)-Schnittstellen. |
|
Übereinstimmung mit MPLS EXP-Bits. |
Eingangs-MPLS-Schnittstellen. MPLS-Ausgangsschnittstellen. |
|
IP-Fragmentierungs-Flags. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Hexadezimalwerte werden ebenfalls aufgelistet):
|
Ingress-Ports und VLANs. |
|
Passen Sie das Ziel-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN. |
Nicht zutreffend |
|
Passen Sie das Quell-Tag für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN. |
Nicht zutreffend |
|
ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten abhängt, müssen Sie einen Wert für zusammen mit einem Wert für angeben.
|
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Stimmt mit dem angegebenen Hop-Limit oder dem Satz von Hop-Limits überein. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an. |
IPv6-Schnittstellen (inet6) für eingehenden und ausgehenden Datenverkehr. HINWEIS:
Wird auf den Switches QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 und QFX5210 in Ausgangsrichtung nicht unterstützt. |
|
Passen Sie die IPv4- oder IPv6-Quell- oder Zieladresse für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Ein- und Ausgang (systemweit). |
ip-version ipv4 destination-port DST_PORT |
Passen Sie den TCP/UDP-Zielport an, um ihn mit L4-Übereinstimmungen des GBP-Richtlinienfilters zu verwenden, wie unten beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 source-port SRC_PORT |
Passen Sie den TCP/UDP-Quellport an, für die Verwendung mit für die Verwendung mit GBP-Richtlinienfilter-L4-Übereinstimmungen, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 ip-protocol PROTOCOL |
Übereinstimmung mit dem IP-Protokolltyp für die Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 is-fragment |
Übereinstimmung, wenn es sich bei dem Paket um ein Fragment handelt, zur Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 fragment-flag FLAGS |
Gleichen Sie die Fragmentflags (in symbolischen oder Hexadezimalformaten) für die Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters ab, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 ttlValue |
IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen. Zur Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 tcp-flagsFLAGS |
Übereinstimmung mit einem oder mehreren TCP-Flags (in symbolischen oder Hexadezimalformaten) für die Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 tcp-initial |
Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Zur Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv4 tcp-established |
Gleichen Sie die Pakete einer bestehenden TCP-Verbindung ab, um sie mit L4-Übereinstimmungen der GBP-Richtlinie zu verwenden, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv6 source-port SRC_PORT |
Passen Sie den TCP/UDP-Quellport an, um ihn mit L4-Übereinstimmungen der GBP-Richtlinie zu verwenden, wie unten beschrieben: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv6 destination-port DST_PORT |
Übereinstimmung mit dem TCP/UDP-Zielport für die Verwendung mit L4-Übereinstimmungen des GBP-Richtlinienfilters, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv6 next-header PROTOCOL |
Übereinstimmung mit dem nächsten Header-Protokolltyp für die Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv6 tcp-flagsFLAGS |
Übereinstimmung der TCP-Flags für die Verwendung mit L4-Übereinstimmungen der GBP-Richtlinie, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv6 tcp-initial |
Gleichen Sie die Anfangspakete einer aufgebauten TCP-Verbindung ab, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
ip-version ipv6 tcp-established |
Gleichen Sie die Pakete einer aufgebauten TCP-Verbindung ab, wie beschrieben unter: Beispiel: Mikro- und Makrosegmentierung mithilfe gruppenbasierter Richtlinien in einem VXLAN |
Nur Ingress. |
|
ICMP-Nachrichtentypfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. IPv4:, , , , IPv6:, , , , Siehe auch . |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen () als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen. HINWEIS:
Eine Schnittstelle, von der ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden. Gleichen Sie eine Liste von Schnittstellen unter demselben Begriff in einem Filter ab. Zur Verwendung mit Mikrosegmentierung auf einem VXLAN, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). Egress-IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). |
|
IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt. |
Ingress-Ports und VLANs. |
|
IPv6-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt. |
Ingress-Ports und VLANs. (Sie können nicht gleichzeitig einen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN anwenden, die diesen Port enthalten.) |
|
Geben Sie an , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist. |
Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00). |
Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
IP-Protokoll-Feld. |
Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
IPv4-Adresse des Quellknotens, der das Paket sendet. |
Ingress-Ports und VLANs. |
|
IPv6-Adresse des Quellknotens, der das Paket sendet. |
Ingress-Ports und VLANs. (Sie können nicht gleichzeitig einen Filter mit diesem Übereinstimmungskriterium auf einen Layer-2-Port und ein VLAN anwenden, die diesen Port enthalten.) |
|
IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle eintrifft. |
Ingress-Ports und VLANs. |
|
Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist. |
Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
Übereinstimmung auf LLC-Layer-Paketen (Logical Link Control) für den Nicht-SNAP-Ethernet-Kapselungstyp (Subnet Access Protocol). |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
Übereinstimmung mit MPLS-Label-Bits. |
Eingangs-MPLS-Schnittstellen. MPLS-Ausgangsschnittstellen. |
|
Stimmt mit der ID eines normalen VLANs oder der ID des äußeren (Service-)VLANs (für Q-in-Q-VLANs) überein. Die zulässigen Werte sind 1-4095. HINWEIS:
Nicht unterstützt auf QFX3600-, QFX5100-, QFX5110-, QFX5120-, QFX5200-, QFX5210-, QFX5220-, EX4600-, EX4650-, EX4400-, EX4100- und EX4300-MP-Switches. Verwenden Sie die Übereinstimmungsbedingung, um die äußere VLAN-ID abzugleichen. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
Passen Sie die MAC-Adresse (Source Media Access Control) für die Verwendung mit der Mikrosegmentierung auf einem VXLAN an, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN. |
Ein- und Ausgang (systemweit) . |
|
IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): ,, , , |
Eingangsports, VLANs und IPv6 (inet6)-Schnittstellen. IPv6-Ausgangsschnittstellen (inet6). |
|
Paketlänge in Bytes. Sie müssen einen Wert zwischen 0 und 65535 eingeben. |
Ingress-Ports, VLANs, IPv4- (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): ,, , , HINWEIS:
Wird auf den Switches QFX3500, QFX3600, QFX5100, QFX5110, QFX5200 QFX5210 nicht unterstützt. |
Eingangsports, VLANs und IPv6 (inet6)-Schnittstellen. IPv6-Ausgangsschnittstellen (inet6). |
|
Der Portqualifizierer installiert zwei Einträge in der Paketweiterleitungs-Engine. Eine mit dem Quellport und eine zweite mit dem Zielport. |
Ingress-Ports, VLANs, IPv4- (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
IP-Rangfolgebits im ToS-Byte (Type-of-Service) im IP-Header. (Dieses Byte kann auch für den DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):
|
Eingangsports, VLANs und IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): ,, , , |
Ingress-Ports, VLANs und IPv4 (inet)-Schnittstellen. IPv4-Ausgangsschnittstellen (inet). |
|
Übereinstimmung mit dem RAT-Typ (Radio-Access Technology), der im Feld 8-Bit-Tech-Type der Proxy Mobile IPv4 (PMIPv4)-Access-Technology-Typerweiterung angegeben ist. Der Technologietyp gibt die Zugriffstechnologie an, über die das mobile Gerät mit dem Zugriffsnetzwerk verbunden ist. Geben Sie einen einzelnen Wert, einen Wertebereich oder eine Gruppe von Werten an. Sie können einen Technologietyp als numerischen Wert von 0 bis 255 oder als Systemschlüsselwort angeben.
|
IPv4-Schnittstellen (inet) für ausgehenden und eingehenden Datenverkehr. |
|
Stichprobe des Paketdatenverkehrs. Wenden Sie diese Option nur an, wenn Sie das Datenverkehrs-Sampling aktiviert haben. |
IPv4-Schnittstellen (inet) für ausgehenden und eingehenden Datenverkehr. |
|
IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
MAC-Adresse (Source Media Access Control) des Pakets. |
Ingress-Ports und VLANs. Ausgangsports und VLANs. |
|
TCP- oder UDP-Quellport. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der match-Anweisung an. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an und nutzen Sie gleichzeitig den verfügbaren Speicher effizienter. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Quellports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.) |
Ingress-Ports, VLANs, IPv4 (inet)-Schnittstellen. |
|
Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene . |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Stimmt mit Paketen einer bestehenden TCP-Drei-Wege-Handshake-Verbindung (SYN, SYN-ACK, ACK) überein. Das einzige Paket, das nicht übereinstimmt, ist das erste Paket des Handshakes, da nur das SYN-Bit gesetzt ist. Für dieses Paket müssen Sie als Übereinstimmungsbedingung angeben . Wenn Sie angeben , überprüft der Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Ein oder mehrere TCP-Flags:
|
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag festgelegt ist und das TCP-Flag nicht festgelegt ist. Wenn Sie angeben , überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. |
Ingress-Ports, VLANs, IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6). IPv4-Ausgangsschnittstellen (inet). |
|
8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4. Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): , , , |
Eingangsports, VLANs und IPv6 (inet6)-Schnittstellen. IPv6-Ausgangsschnittstellen (inet6). |
|
IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen. |
Ingress-IPv4-Schnittstellen (inet). IPv4-Ausgangsschnittstellen (inet). |
|
Stimmt mit der angegebenen 802.1p-VLAN-Priorität im Bereich überein. |
Eingangs- und Ausgangsports und VLANs. |
|
Stimmt mit der ID des inneren (Kunden-)VLANs für ein Q-in-Q-VLAN überein. Die zulässigen Werte sind 1-4095. HINWEIS:
Für QFX3600-, QFX5100-, QFX5110-, QFX5120-, QFX5200-, QFX5210-, EX4600-, EX4650-, EX4400-, EX4100- und EX4300-MP-Switches wird die ID des äußeren VLANs abgeglichen. Verwenden Sie für Switches der QFX5220-Serie sowie Router der MX- und ACX-Serie die ID-Adresse des äußeren VLANs und die ID des inneren VLANs. |
Eingangs- und Ausgangsports und VLANs. |
|
Gleichen Sie die VLAN-Kennung (die erste und letzte VLAN-ID-Nummer für die Gruppe von VLANs) oder (Liste der Nummern) für die Verwendung mit der Mikrosegmentierung auf einem VXLAN ab, wie hier beschrieben:vlan-rangevlan list Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN. HINWEIS:
Wird auf den EX4100-Switches nicht unterstützt. |
Ein- und Ausgang (systemweit) |
Verwenden Sie Anweisungen, um Aktionen zu definieren, die ausgeführt werden sollen, wenn ein Paket alle Bedingungen in einer Anweisung erfüllt. Zeigt die Aktionen an, die Sie in einem Begriff angeben können.then
from
Tabelle 3 (Wenn Sie keine Anweisung angeben, akzeptiert das System Pakete, die dem Filter entsprechen.)then
Was |
Beschreibung |
---|---|
|
Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen. |
|
Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. |
|
Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den Aktionsmodifizierer. Sie können einen der folgenden Nachrichtentypen angeben: oder . Wenn Sie angeben , sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt, andernfalls wird nichts gesendet. Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet. HINWEIS:
Die Aktion wird nur auf Eingangsschnittstellen unterstützt. |
|
Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter. |
|
Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter. HINWEIS:
Die Aktion wird nur auf Eingangsschnittstellen unterstützt. HINWEIS:
Diese Aktion wird auf Switches der OCX-Serie nicht unterstützt. |
Sie können auch die Aktionsmodifikatoren angeben, die unter zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen aufgeführt sind.Tabelle 4
Modifikator "Aktion" |
Beschreibung |
---|---|
|
(Nicht-ELS-Plattformen) Spiegeln Sie den Datenverkehr (kopieren Sie Pakete) auf einen Analyzer, der auf Hierarchieebene konfiguriert ist. Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben. |
|
Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen. |
|
Entkapseln von GRE-Paketen oder Weiterleiten von entkapselten GRE-Paketen an die angegebene Routinginstanz |
|
Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
|
Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:
HINWEIS:
Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren. |
(Nur QFX5120 und EX4650) |
Legen Sie das gruppenbasierte Richtlinienquellen-Tag (0..65535) für die Verwendung mit der Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN. |
(EX4100, EX4400, EX4650 und QFX5120) |
Legen Sie das gruppenbasierte Richtlinienquellen-Tag (1..65535) für die Verwendung mit der Mikrosegmentierung auf VXLAN fest, wie hier beschrieben: Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN. HINWEIS: Gilt für Junos OS-Versionen 22.4R1 und höher.
|
|
Schalten Sie den Datenverkehr auf die angegebene Schnittstelle um, ohne eine Suche durchzuführen. Diese Aktion ist nur gültig, wenn der Filter auf den Eingang angewendet wird. |
|
Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl Betriebsmodus ein. HINWEIS:
Der Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt. |
|
Legen Sie die Paketverlustpriorität (PLP) fest. HINWEIS:
Der Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
|
Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung). Sie können einen Policer für Eingangsport-, VLAN-, IPv4- (inet), IPv6- (inet6) und MPLS-Filter angeben. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
|
(ELS-Plattformen) Spiegeln des Datenverkehrs (Kopieren von Paketen) auf eine Ausgabeschnittstelle, die in einer Port-Spiegelungsinstanz auf Hierarchieebene konfiguriert ist. Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben. |
|
(ELS-Plattformen) Spiegeln Sie den Datenverkehr auf eine Portspiegelungsinstanz, die auf Hierarchieebene konfiguriert ist. Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben. HINWEIS:
Dieser Aktionsmodifikator wird auf Switches der OCX-Serie nicht unterstützt. |
|
Protokollieren Sie eine Warnung für dieses Paket. HINWEIS:
Der Aktionsmodifizierer wird nur auf Eingangsschnittstellen unterstützt. |
|
Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung). Sie können einen dreifarbigen Policer für Eingangs- und Ausgangsport, VLAN, IPv4 (inet), IPv6 (inet6) und MPLS-Filter angeben. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
Siehe auch
Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (QFX5220 und die QFX5130-32CD)
In diesem Thema werden die unterstützten Übereinstimmungsbedingungen, Aktionen und Aktionsmodifizierer für Firewallfilter für die QFX5220-CD-, QFX5220-128C- und QFX5130-32CD-Switches beschrieben.
Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungen definieren. Sie können auch no match-Anweisung einschließen, in diesem Fall stimmt der Begriff mit allen Paketen überein.
Wenn ein Paket mit einem Filter übereinstimmt, führt ein Switch die im Begriff angegebene Aktion aus. Wenn Sie keine Übereinstimmungsbedingung anwenden, akzeptiert der Switch das Paket standardmäßig.
-
zeigt die Übereinstimmungsbedingungen für IPv4 () und IPv6 () Schnittstellen an.Tabelle 5
inet
inet6
Es enthält auch die Übereinstimmungsbedingungen für Ports und VLANs ().ethernet-switching
-
Tabelle 6 Zeigt die Aktionen und Aktionsmodifikatoren an, die Sie in einem Begriff angeben können.
Bei Übereinstimmungsbedingungen können Sie für einige der numerischen Bereiche und die Bitfeld-Übereinstimmungsbedingungen ein Textsynonym angeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung anzuzeigen, geben Sie an der entsprechenden Stelle in einer Anweisung ein .?
Übereinstimmungsbedingung |
Beschreibung |
Richtung und Schnittstelle |
---|---|---|
|
ARP-Anforderungspaket oder ein ARP-Antwortpaket. |
Eingangs- und Ausgangsports und VLANs |
|
IP-Zieladressfeld, bei dem es sich um die Adresse des endgültigen Zielknotens handelt. |
Ein- und ausgehende IPv4- und IPv6-Schnittstellen Ingress-Ports und VLANs |
|
MAC-Zieladresse des Pakets. |
Eingangs- und Ausgangsports und VLANs |
|
TCP- oder UDP-Zielportfeld. Sie müssen diese Übereinstimmung mit der match-Anweisung für IPv4-Datenverkehr oder der match-Anweisung für IPv6-Datenverkehr angeben. Für die folgenden bekannten Ports und Portnummern können Sie Textsynonyme angeben. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,, , , , , , , , , , , , , , , , , , , ,
|
Ein- und ausgehende IPv4-Schnittstellen Ingress-IPv6-Schnittstellen. Ingress-Ports und VLANs |
|
Passen Sie einen Bereich der TCP- oder UDP-Portbereiche an, während Sie den verfügbaren Speicher effizienter nutzen. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Zielports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.) |
Eingehende IPv4-Schnittstellen |
|
Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene . |
Ein- und ausgehende IPv4- und IPv6-Schnittstellen Ingress-Ports und VLANs. |
|
Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme und das aufgeführte Feld angeben.
|
Ein- und ausgehende IPv4-Schnittstellen Ingress-Ports und VLANs |
|
Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben. Die Feldwerte werden ebenfalls aufgelistet.
|
Eingangs- und Ausgangsports und VLANs |
Erstes Fragment |
Übereinstimmung, wenn es sich bei dem Paket um das erste Fragment eines fragmentierten Pakets handelt. Vermeiden des Abgleichs des Pakets, wenn es sich um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragmentoffsetwert von 0. Diese Übereinstimmungsbedingung ist ein Alias für die Bitfeld-Übereinstimmungsbedingung fragment-offset 0 Übereinstimmungsbedingung. Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben:und . |
Eingehende IPv4-Schnittstellen |
|
ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten abhängt, müssen Sie einen Wert für zusammen mit einem Wert für angeben.
|
Ein- und ausgehende IPv4-Schnittstellen Ingress-IPv6-Schnittstellen Ingress-Ports und VLANs |
|
ICMP-Nachrichtentypfeld. Sie müssen diese Übereinstimmung zusammen mit der match-Anweisung angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): IPv4:, , , , IPv6:, , , , Siehe auch . |
Ein- und ausgehende IPv4-Schnittstellen Ingress-IPv6-Schnittstellen Ingress-Ports und VLANs |
|
Schnittstelle, auf der das Paket empfangen wird, einschließlich der logischen Einheit. Sie können das Platzhalterzeichen () als Teil eines Schnittstellennamens oder einer logischen Einheit einfügen. HINWEIS:
Eine Schnittstelle, von der ein Paket gesendet wird, kann nicht als Übereinstimmungsbedingung verwendet werden. |
Ingress-Ports und VLANs |
|
IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt. |
Ingress-Ports und VLANs |
|
Geben Sie an , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist. |
Eingehende IPv4-Schnittstellen |
|
IP-Protokoll-Feld. |
Ingress-Ports und VLANs |
|
Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00). |
Ingress-Ports und VLANs |
|
IPv4-Adresse des Quellknotens, der das Paket sendet. |
Ingress-Ports und VLANs |
|
IP-Version des Pakets. Verwenden Sie diese Bedingung, um IPv4- oder IPv6-Header-Felder im Datenverkehr abzugleichen, der über einen Layer-2-Port oder eine VLAN-Schnittstelle eintrifft. |
Ingress-Ports und VLANs |
is-fragment |
Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist. |
Ein- und ausgehende IPv4-Schnittstellen (QFX5220) Ingress-IPv4-Schnittstellen (QFX5130) |
learn-vlan-id number |
VLAN-Kennung für MAC-Lernen. |
Eingangs- und Ausgangsports und VLANs (QFX5220) Ingress-Ports und VLANs (QFX5130) |
learn-vlan-1p-priority value |
Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte zwischen 0 und 7 an. |
Ingress-Ports und VLANs |
|
IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): ,, , , |
Ein- und ausgehende IPv6-Schnittstellen |
|
Paketlänge in Bytes. Sie müssen einen Wert zwischen 0 und 65535 eingeben. |
Eingangsschnittstellen für IPv4 und IPv6 |
|
IP-Rangfolgebits im ToS-Byte (Type-of-Service) im IP-Header. (Dieses Byte kann auch für den DiffServ DSCP verwendet werden.) Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):
|
Ein- und ausgehende IPv4-Schnittstellen |
|
IP-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): ,, , , |
Ein- und ausgehende IPv4-Schnittstellen. Ingress-IPv4-Schnittstellen und -VLANs |
|
IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat. |
Ein- und ausgehende IPv4-Schnittstellen Ingress-IPv6-Schnittstellen Ingress-Ports und VLANs |
|
MAC-Adresse (Source Media Access Control) des Pakets. |
Ein- und ausgehende IPv4-Schnittstellen und -VLANs |
|
TCP- oder UDP-Quellport. Sie müssen diese Übereinstimmung in Verbindung mit der match-Anweisung für IPv4-Datenverkehr oder der match-Anweisung für IPv6-Datenverkehr angeben. Anstelle des numerischen Feldes können Sie eines der unter aufgeführten Textsynonyme angeben. |
Ein- und ausgehende IPv4-Schnittstellen Ingress-IPv6-Schnittstellen Ingress-Ports und VLANs |
|
Passen Sie einen Bereich von TCP- oder UDP-Portbereichen an und nutzen Sie gleichzeitig den verfügbaren Speicher effizienter. Wenn Sie diese Bedingung verwenden, können Sie mehr Firewallfilter konfigurieren, als wenn Sie einzelne Quellports konfigurieren. (Wird bei filterbasierter Weiterleitung nicht unterstützt.) |
Eingehende IPv4-Schnittstellen |
|
Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene . |
Ein- und ausgehende IPv4-Schnittstellen Ingress-IPv6-Schnittstellen Ingress-Ports und VLANs |
tcp-established |
TCP-Pakete einer eingerichteten TCP-Sitzung abgleichen (andere Pakete als das erste Paket einer Verbindung). Dies ist ein Alias für Mit dieser Übereinstimmungsbedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Um dies zu überprüfen, geben Sie die Übereinstimmungsbedingung an. |
Ein- und ausgehende IPv4-Schnittstellen (QFX5220) Ein- und ausgehende IPv4-Schnittstellen (QFX5130) Ingress-IPv6-Schnittstellen (QFX5130) |
|
TCP-Flags (es wird nur ein Wert unterstützt):
|
Ein- und ausgehende IPv4-Schnittstellen Ingress-IPv6-Schnittstellen Ingress-Ports und VLANs |
tcp-initial |
Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag festgelegt ist und das TCP-Flag nicht festgelegt ist. Wenn Sie angeben , überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. |
Ein- und ausgehende IPv4-Schnittstellen (QFX5220) Ein- und ausgehende IPv4-Schnittstellen, eingehende IPv6-Schnittstellen (QFX5130) |
|
8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4. Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): , , , |
Ein- und ausgehende IPv6-Schnittstellen |
|
IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen. |
Ein- und ausgehende IPv4-Schnittstellen |
|
Stimmt mit der ID des inneren (Kunden-)VLANs für ein Q-in-Q-VLAN überein. Die zulässigen Werte sind 1-4095. |
Ingress-Ports und VLANs (QFX5130) |
|
Stimmt mit der angegebenen 802.1p-VLAN-Priorität im Bereich überein. |
Ingress-Ports und VLANs (QFX5130) |
Use-Anweisungen, um Aktionen zu definieren, die ausgeführt werden sollen, wenn ein Paket alle Bedingungen in einer Anweisung erfüllt. Zeigt die Aktionen an, die Sie in einem Begriff angeben können. then
from
Tabelle 6 (Wenn Sie keine Anweisung angeben, akzeptiert das System Pakete, die dem Filter entsprechen.)then
Für ausgehende IPv4-Schnittstellen, IPv6-Schnittstellen und Ausgangsports können Sie nur die Aktionen "Akzeptieren", "Verwerfen" und "Zählen" anwenden. Für Ausgangs-VLANs können Sie nur die Aktion "Akzeptieren" anwenden.
Was |
Beschreibung |
---|---|
|
Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen. |
|
Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. |
|
Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen. |
|
Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. |
|
Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:
HINWEIS:
Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren. |
|
Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den Befehl Betriebsmodus ein. |
|
Legen Sie die Paketverlustpriorität (PLP) fest. HINWEIS:
Der Aktionsmodifizierer wird nur für eingehende IPv4-Schnittstellen unterstützt. HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
|
Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung). HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. |
|
Spiegeln des Datenverkehrs (Kopieren von Paketen) auf eine Ausgabeschnittstelle, die in einer Port-Spiegelungsinstanz auf Hierarchieebene konfiguriert ist. |
|
Spiegeln Sie den Datenverkehr auf eine Portspiegelungsinstanz, die auf Hierarchieebene konfiguriert ist. Sie können die Port-Spiegelung nur für Eingangs-Port-, VLAN- und IPv4-Firewall-Filter (inet) angeben. |
|
Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den Aktionsmodifizierer. Sie können einen der folgenden Nachrichtentypen angeben: Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet. HINWEIS:
Die Aktion wird nur auf eingehenden IPv4-Schnittstellen unterstützt. |
|
Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung). HINWEIS:
Der Aktionsmodifikator wird in Kombination mit der Aktion nicht unterstützt. HINWEIS:
Die und Polizisten werden nicht unterstützt. |
|
Leitt übereinstimmende Pakete an ein bestimmtes VLAN weiter. HINWEIS:
Die Aktion wird nur auf Eingangsports und VLANs unterstützt. Diese Aktion wird auf QFX5130 Switches nicht unterstützt. |