Condiciones y acciones de coincidencia del filtro de firewall (conmutadores de las series QFX y EX)

(QFX5100, QFX5110, QFX5200) Cuando se utiliza el reenvío basado en filtros en interfaces IPv6, solo se admiten estas condiciones de coincidencia en la dirección (entrada): , , , , , , y .source-addressdestination-addresssource-prefix-listdestination-prefix-listsource-portdestination-porthop-limiticmp-typenext-header

(QFX5110) Cuando se habilita la opción en la jerarquía, solo se admiten , , y las acciones.egress-to-ingress[edit firewall]acceptdiscardcount

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) En un entorno EVPN-VXLAN, solo se admiten estas condiciones de coincidencia: , , , , , , y .source-addressdestination-addresssource-portdestination-portttlip-protocoluser-vlan-id

(QFX5100, QFX5110, QFX5200) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz IRB de EVPN-VXLAN.

(QFX5700) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz de circuito cerrado.

(QFX5100, QFX5110) Si utiliza filtros de firewall para implementar el filtrado MAC en un entorno EVPN-VXLAN, consulte Filtrado MAC, control de tormentas y compatibilidad con la duplicación de puertos en un entorno EVPN-VXLAN para conocer las condiciones de coincidencia admitidas.MAC Filtering, Storm Control, and Port Mirroring Support in an EVPN-VXLAN Environment

(QFX5100, QFX5110) Para cada filtro de firewall que aplique a una VXLAN, puede especificar que se filtren los paquetes de capa 2 (Ethernet) o que se filtren en interfaces IRB.family ethernet-switchingfamily inet No puede aplicar un filtro de firewall en la dirección de salida en interfaces IRB.

En los conmutadores que no admitan características de capa 2, utilice solo aquellas condiciones de coincidencia que sean válidas para las interfaces IPv4 e IPv6.

(QFX5120, EX4650) A partir de la versión 21.4R1 de Junos, se admiten las siguientes condiciones de coincidencia en un entorno EVPN-VXLAN en QFX5120 y EX4650: , y .gbp-src-taggbp-dst-tag

A partir de Junos OS versión 21.4R1, las condiciones source-port-range-optimize y destination-port-range-optimize se admiten bajo nivel jerárquico.[edit firewall family ethernet-switching filter <filter-name> term <term-name> from] Esto reduce considerablemente el uso de espacio TCAM. En los conmutadores QFX5100 con las condiciones de coincidencia de origen-rango-puerto-optimizar y destino-rango-puerto-optimizar configuradas, se admiten hasta 24 condiciones de coincidencia de intervalo de puerto de origen y rango-puerto de destino no contiguos. Si se configuran más de 24 condiciones de coincidencia no contiguas, podría producirse un error.

A partir de la versión 22.4R1 de Junos, se admiten las siguientes condiciones de coincidencia para el etiquetado GBP en un entorno EVPN-VXLAN en conmutadores compatibles de las series EX4100, EX4400, EX4650 y QFX5120: , , , , + combinación, y .ip-version ipv4ip-version ipv6mac-addressvlan-idinterface vlan-idinterface

A partir de la versión 23.2R1 de Junos, se admiten nuevas coincidencias L4 IPV4 e IPv6 para la aplicación de políticas en los conmutadores serie EX4100, EX4400, EX4650, QFX5120-32C y QFX5120-48Y.

A partir de Junos OS versión 23.4R1 y posteriores, las condiciones | y coincidencia son compatibles con eletiquetado GBP en un entorno EVPN-VXLAN en conmutadores compatibles de las series EX4100, EX4400, EX4650 y QFX5120.vlan-id vlan listvlan-rangeinterface interface-list Los conmutadores EX4100 no admiten GBP basados en VLAN y PORT+VLAN.

arp-type

Paquete de solicitud ARP o paquete de respuesta ARP.

Interfaces de salida y entrada.

destination-address ip-address

Campo Dirección de destino IP, que es la dirección del nodo de destino final.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Salida de interfaces IPv4 (inet) e IPv6 (inet6).

destination-mac-address mac-address

Dirección MAC (control de acceso a medios de destino) del paquete.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Puertos de salida y VLAN.

destination-port value

Campo Puerto de destino TCP o UDP. Normalmente, esta coincidencia se especifica junto con la instrucción coincidencia .protocol Para los siguientes puertos conocidos, puede especificar sinónimos de texto (también se enumeran los números de puerto):

, , , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

, , cmd (514)cvspserver (2401)

, , dhcp (67)domain (53)

, , , eklogin (2105)ekshell (2106)exec (512)

, , , finger (79)ftp (21)ftp-data (20)

, , http (80)https (443)

, , ident (113)imap (143)

, , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

, , ldap (389)login (513)

, , , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , , pop3 (110)pptp (1723)printer (515)

,, , , , radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , , , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

destination-port range-optimize range

Haga coincidir un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No se admite con el reenvío basado en filtros).

Puertos de entrada, VLAN, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Campo Lista de prefijos de destino IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Defina esta lista en el nivel jerárquico .[edit policy-options]

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Salida de interfaces IPv4 (inet) e IPv6 (inet6).

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• be—Mejor esfuerzo (predeterminado)

• —como se define en RFC 3246, Un PHB de reenvío acelerado.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  , , af41 (34)af42 (36)af43 (38)

  Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, PHB de reenvío asegurado.http://www.ietf.org/rfc/rfc2597.txt

• , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ether-type value

Campo de tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• aarp (0x80F3)—Valor de EtherType AARP

• appletalk (0x809B)—Valor de EtherType AppleTalk

• arp (0x0806)—ARP del valor EtherType

• fcoe (0x8906)—Valor FCoE de EtherType

• fip (0x8914)—EtherType valor FIP

• ipv4 (0x0800)—Valor de EtherType IPv4

• ipv6 (0x08DD)—Valor de EtherType IPv6

• mpls-multicast (0x8848)—Valor de EtherType Multidifusión MPLS

• mpls-unicast (0x8847)—Unidifusión MPLS del valor EtherType

• oam (0x88A8)—Valor de EtherType OAM

• ppp (0x880B)—Valor PPP de EtherType

• pppoe-discovery (0x8863)—Valor de EtherType Etapa de descubrimiento de PPPoE

• pppoe-session (0x8864)—Valor de EtherType Etapa de sesión PPPoE

• sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

egress-to-ingress

Incluya esta opción para aumentar el número de términos de filtro de firewall VLAN de salida de 1024 a 2048.

VLAN de salida de interfaces IPv4 (inet) e IPv6 (inet6).

exp

Coincidir en bits EXP MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

fragment-flags value

Indicadores de fragmentación IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores hexadecimales):

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

Puertos de entrada y VLAN.

gbp-dst-tag

Haga coincidir la etiqueta de destino, para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN.

No aplica

gbp-src-tag

Haga coincidir la etiqueta de origen, para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN.

No aplica

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del valor asociado, debe especificar un valor para junto con un valor para .icmp-typeicmp-typeicmp-code En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

• IPv4: parámetro-problema—, ip-header-bad (0)required-option-missing (1)

• IPv6: parámetro-problema—, , ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —, , , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: inalcanzable—, , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: inalcanzable—, , , , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

hop-limit value

Coincidir con el límite de salto especificado o el conjunto de límites de salto. Especifique un único valor o un rango de valores del 0 al 255.

Interfaces IPv6 (inet6) de entrada y salida.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

Haga coincidir la dirección de origen o destino IPv4 o IPv6, para su uso con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Entrada y salida (en todo el sistema).

Haga coincidir el puerto de destino TCP/UDP, para su uso con el filtro de directivas GBP Coincidencias L4, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Haga coincidir el puerto de origen TCP/UDP, para usarlo con para su uso con el filtro de políticas GBP Coincidencias L4, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Hacer coincidir el tipo de protocolo IP, para su uso con el filtro de políticas GBP Coincidencias L4, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Coincidir si el paquete es un fragmento, para su uso con el filtro de políticas GBP Coincidencias L4, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Hacer coincidir los indicadores de fragmento (en formatos simbólicos o hexadecimales), para su uso con el filtro de políticas GBP Coincidencias L4, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Campo IP Tiempo de vida (TTL) en decimal. El valor puede ser 1-255. Para usar con coincidencias L4 del filtro de políticas GBP, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Haga coincidir uno o más indicadores TCP (en formatos simbólicos o hexadecimales), para su uso con coincidencias L4 de política GBP, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Hacer coincidir el primer paquete TCP de una conexión. Para usar con coincidencias L4 de la política GBP, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Hacer coincidir los paquetes de una conexión TCP establecida, para su uso con coincidencias L4 de política GBP, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Haga coincidir el puerto de origen TCP/UDP, para su uso con la política GBP Coincidencias L4, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Haga coincidir el puerto de destino TCP/UDP, para usarlo con para usar con el filtro de políticas GBP Coincidencias L4, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Haga coincidir el siguiente tipo de protocolo de encabezado, para usarlo con coincidencias L4 de directiva GBP, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Hacer coincidir los indicadores TCP, para su uso con coincidencias L4 de directiva GBP, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Hacer coincidir los paquetes iniciales de una conexión TCP establecida, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

Hacer coincidir los paquetes de una conexión TCP establecida, como se describe en: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN

Solo entrada.

icmp-type value

Campo de tipo de mensaje ICMP. Normalmente, esta coincidencia se especifica junto con la instrucción coincidencia para determinar qué protocolo se está utilizando en el puerto.protocol En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

IPv4:, , , , , , , , , , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , , , , , , , , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Consulte también .icmp-code variable

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

interface interface-name | <interface_list>

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín () como parte de un nombre de interfaz o unidad lógica.*

Hacer coincidir una lista de interfaces con el mismo término en un filtro. Para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Salida de interfaces IPv4 (inet) e IPv6 (inet6).

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN.

ip6-destination-address address

Dirección IPv6 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y VLAN que incluya ese puerto).

ip-options

Especifique para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.any

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ip-precedence ip-precedence-field

Campo de prioridad de IP. En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) o (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ip-protocol number

Campo de protocolo IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

ip6-source-address address

Dirección IPv6 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y VLAN que incluya ese puerto).

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.

Puertos de entrada y VLAN.

is-fragment

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

l2-encap-type llc-non-snap

Coincidir en paquetes de capa de control de vínculo lógico (LLC) para el tipo de encapsulación Ethernet del Protocolo de acceso a no subred (SNAP).

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

label

Coincidir en bits de etiqueta MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

learn-vlan-id number

Hace coincidir el ID de una VLAN normal o el ID de la VLAN externa (de servicio) (para VLAN Q-in-Q). Los valores aceptables son 1-4095.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

mac-address mac-address

Haga coincidir la dirección MAC (control de acceso a medios de origen) para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN.

Entrada y salida (en todo el sistema)

next-header

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

,, , , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

packet-length

Longitud del paquete en bytes. Debe introducir un valor entre 0 y 65535.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

payload-protocol

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

,, , , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

Port qualifier

El calificador de puerto instalará dos entradas en el motor de reenvío de paquetes. Uno con el puerto de origen y el segundo con el puerto de destino.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

precedence value

Bits de precedencia IP en el byte de tipo de servicio (ToS) del encabezado IP. (Este byte también se puede utilizar para el DSCP de DiffServ.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

protocol type

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

,, , , , hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

rat-type tech-type-value

Coincidir con el tipo de tecnología de acceso de radio (RAT) especificado en el campo Tipo de técnica de 8 bits de la extensión de tipo de tecnología de acceso IPv4 móvil proxy (PMIPv4). El tipo de tecnología especifica la tecnología de acceso a través de la cual el dispositivo móvil está conectado a la red de acceso. Especifique un único valor, un rango de valores o un conjunto de valores. Puede especificar un tipo de tecnología como un valor numérico de 0 a 255 o como una palabra clave del sistema.

• El valor numérico 1 coincide con IEEE 802.3.

• El valor numérico 2 coincide con IEEE 802.11a/b/g.

• El valor numérico 3 coincide con IEEE 802.16e

• El valor numérico 4 coincide con IEEE 802.16m.

• La cadena de texto coincide con 4G.eutran

• La cadena de texto coincide con 2G.geran

• La cadena de texto coincide con 3G.utran

Interfaces IPv4 (inet) de salida y entrada.

sample

Muestree el tráfico de paquetes. Aplique esta opción sólo si ha habilitado el muestreo de tráfico.

Interfaces IPv4 (inet) de salida y entrada.

source-address ip-address

Campo Dirección IP de origen, que es la dirección del nodo que envió el paquete.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

source-mac-address mac-address

Dirección MAC (control de acceso a medios de origen) del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

source-port value

Puerto de origen TCP o UDP. Normalmente, esta coincidencia se especifica junto con la instrucción coincidencia .protocol En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en .destination-port

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

source-port range-optimize range

Haga coincidir un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No se admite con el reenvío basado en filtros).

Puertos de entrada, VLAN, interfaces IPv4 (inet).

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Defina esta lista en el nivel jerárquico .[edit policy-options]

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

tcp-established

Hace coincidir paquetes de una conexión de protocolo de enlace tridireccional TCP establecida (SYN, SYN-ACK, ACK). El único paquete que no coincide es el primer paquete del protocolo de enlace, ya que sólo se establece el bit SYN. Para este paquete, debe especificar como condición de coincidencia.tcp-initial

Cuando se especifica , el modificador no comprueba implícitamente que el protocolo es TCP.tcp-established También debe especificar la condición de coincidencia.protocol tcp

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

tcp-flags value

Uno o más indicadores TCP:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

tcp-initial

Hacer coincidir el primer paquete TCP de una conexión. Se produce una coincidencia cuando se establece el indicador TCP y no se establece el indicador TCP.SYNACK

Cuando se especifica , un modificador no comprueba implícitamente que el protocolo es TCP.tcp-initial También debe especificar la condición de coincidencia.protocol tcp

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo traffic-class se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4 y la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

, , , , , , , , , , , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

ttl value

Campo IP Tiempo de vida (TTL) en decimal. El valor puede ser 1-255.

Interfaces IPv4 de entrada (inet).

Interfaces IPv4 de salida (inet).

user-vlan-1p-priority value

Hace coincidir la prioridad de VLAN 802.1p especificada en el rango .0-7

Puertos de entrada y salida y VLAN.

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Puertos de entrada y salida y VLAN.

vlan-id <vlan id> | <vlan-range> | <vlan list>

Haga coincidir el identificador de VLAN (el primer y el último número de ID de VLAN para el grupo de VLAN) o (lista de números) para su uso con microsegmentación en una VXLAN, como se describe a continuación:vlan-rangevlan list Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN.

Entrada y salida (en todo el sistema)

accept

Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de Protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de acción .syslog

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, o tcp-reset.

Si especifica , el sistema envía un restablecimiento TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada.tcp-reset

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

routing-instance instance-name

Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual.

vlan VLAN-name

Reenvíe paquetes coincidentes a una VLAN específica.

analyzer analyzer-name

(Plataformas que no son ELS) Duplicar el tráfico (copiar paquetes) a un analizador configurado en el nivel de jerarquía.[edit ethernet-switching-options analyzer]

Puede especificar la creación de reflejo de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

count counter-name

Cuente el número de paquetes que coincidan con el término.

decapsulate [gre | routing-instance]

Desencapsular paquetes GRE o reenviar paquetes GRE desencapsulados a la instancia de enrutamiento especificada

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• be—Mejor esfuerzo (predeterminado)

• —como se define en RFC 3246, Un PHB de reenvío acelerado.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  , , af41 (34)af42 (36)af43 (38)

  Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, PHB de reenvío asegurado.http://www.ietf.org/rfc/rfc2597.txt

• , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

gbp-src-tag

(Solo QFX5120 y EX4650)

Establezca la etiqueta de origen de política basada en grupos (0..65535) para usarla con microsegmentación en VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN.

gbp-tag

(EX4100, EX4400, EX4650 y QFX5120)

Establezca la etiqueta de origen de política basada en grupos (1..65535) para usarla con microsegmentación en VXLAN, como se describe a continuación: Ejemplo: Segmentación micro y macro mediante políticas basadas en grupos en una VXLAN.

interface

Cambie el tráfico a la interfaz especificada sin realizar una búsqueda. Esta acción sólo es válida cuando se aplica el filtro al entrar.

log

Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando del modo operativo.show firewall log

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

policer policer-name

Enviar paquetes a un policía (con el fin de aplicar la limitación de velocidad).

Puede especificar un aplicador de políticas para los filtros de puerto de entrada, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

port-mirror

(Plataformas ELS) Tráfico de espejo (copiar paquetes) a una interfaz de salida configurada en una instancia de creación de reflejo de puertos en el nivel de jerarquía.[edit forwarding-options port-mirroring]

Puede especificar la creación de reflejo de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(Plataformas ELS) Reflejar el tráfico a una instancia de creación de reflejo de puertos configurada en el nivel jerárquico .[edit forwarding-options port-mirroring]

Puede especificar la creación de reflejo de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

syslog

Registre una alerta para este paquete.

three-color-policer three-color-policer-name

Envíe paquetes a un controlador de tres colores (con el fin de aplicar la limitación de velocidad).

Puede especificar un aplicador de políticas de tres colores para los filtros de puerto de entrada y salida, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

arp-type

Paquete de solicitud ARP o un paquete de respuesta ARP.

Puertos de entrada y salida y VLAN

destination-address ip-address

Campo Dirección de destino IP, que es la dirección del nodo de destino final.

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN

destination-mac-address mac-address

Dirección MAC de destino del paquete.

Puertos de entrada y salida y VLAN

destination-port value

Campo Puerto de destino TCP o UDP. Debe especificar esta coincidencia con la instrucción de coincidencia para el tráfico IPv4 o la instrucción de coincidencia para el tráfico IPv6.protocolnext-header

Para los siguientes puertos y números de puerto conocidos, puede especificar sinónimos de texto.

, , , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

, , cmd (514)cvspserver (2401)

, , dhcp (67)domain (53)

, , , eklogin (2105)ekshell (2106)exec (512)

, , , finger (79)ftp (21)ftp-data (20)

, , http (80)https (443)

, , ident (113)imap (143)

, , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

, , ldap (389)login (513)

, , , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , , pop3 (110)pptp (1723)printer (515)

,, , , , radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , , , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN

destination-port range-optimize range

Haga coincidir un rango de los rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No se admite con el reenvío basado en filtros).

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

Campo Lista de prefijos de destino IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Defina esta lista en el nivel jerárquico .[edit policy-options]

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN.

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto y el campo enumerado.

• be—Mejor esfuerzo (predeterminado)

• —como se define en RFC 3246, Un PHB de reenvío acelerado.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  , , af41 (34)af42 (36)af43 (38)

  Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, PHB de reenvío asegurado.http://www.ietf.org/rfc/rfc2597.txt

• , , , , , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

Interfaces IPv4 de entrada y salida

Puertos de entrada y VLAN

ether-type value

Campo de tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto. También se enumeran los valores de campo.

• aarp (0x80F3)—Valor de EtherType AARP

• appletalk (0x809B)—Valor de EtherType AppleTalk

• arp (0x0806)—ARP del valor EtherType

• fcoe (0x8906)—Valor FCoE de EtherType

• fip (0x8914)—EtherType valor FIP

• ipv4 (0x0800)—Valor de EtherType IPv4

• ipv6 (0x08DD)—Valor de EtherType IPv6

• mpls-multicast (0x8848)—Valor de EtherType Multidifusión MPLS

• mpls-unicast (0x8847)—Unidifusión MPLS del valor EtherType

• oam (0x88A8)—Valor de EtherType OAM

• ppp (0x880B)—Valor PPP de EtherType

• pppoe-discovery (0x8863)—Valor de EtherType Etapa de descubrimiento de PPPoE

• pppoe-session (0x8864)—Valor de EtherType Etapa de sesión PPPoE

• sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y salida y VLAN

Coincidir si el paquete es el primer fragmento de un paquete fragmentado. Evitar hacer coincidir el paquete si es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmentos de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia de campo de bits fragmento-desplazamiento 0.

Para hacer coincidir tanto el primer fragmento como el final, puede utilizar dos términos que especifiquen condiciones de coincidencia diferentes:y . first-fragment is-fragment

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del valor asociado, debe especificar un valor para junto con un valor para .icmp-typeicmp-typeicmp-code En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

• IPv4: parámetro-problema—, ip-header-bad (0)required-option-missing (1)

• IPv6: parámetro-problema—, , ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —, , , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: inalcanzable—, , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: inalcanzable—, , , , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

icmp-type value

Campo de tipo de mensaje ICMP. Debe especificar esta coincidencia junto con la instrucción coincidencia .protocol Esta coincidencia determina qué protocolo se está utilizando en el puerto para el tráfico IPv4 o la instrucción de coincidencia para el tráfico IPv6.next-header

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

IPv4:, , , , , , , , , , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , , , , , , , , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Consulte también .icmp-code variable

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín () como parte de un nombre de interfaz o unidad lógica.*

Puertos de entrada y VLAN

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN

ip-options

Especifique para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.any

Interfaces IPv4 de entrada

ip-protocol number

Campo de protocolo IP.

Puertos de entrada y VLAN

ip-precedence ip-precedence-field

Campo de prioridad de IP. En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) o (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

Puertos de entrada y VLAN

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.

Puertos de entrada y VLAN

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada (QFX5130)

Identificador VLAN para el aprendizaje de MAC.

Puertos de entrada y salida y VLAN (QFX5220)

Puertos de entrada y VLAN (QFX5130)

Coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de doble etiqueta con etiquetas VLAN 802.1Q). Especifique uno o varios valores del 0 al 7.

Puertos de entrada y VLAN

next-header

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

,, , , , hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Interfaces IPv6 de entrada y salida

packet-length

Longitud del paquete en bytes. Debe introducir un valor entre 0 y 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de precedencia IP en el byte de tipo de servicio (ToS) del encabezado IP. (Este byte también se puede utilizar para el DSCP de DiffServ.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Interfaces IPv4 de entrada y salida

protocol type

Valor del protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

,, , , , hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)tcp (4)

Interfaces IPv4 de entrada y salida.

Entrada de interfaces IPv4 y VLAN

source-address ip-address

Campo Dirección IP de origen, que es la dirección del nodo que envió el paquete.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-mac-address mac-address

Dirección MAC (control de acceso a medios de origen) del paquete.

Interfaces IPv4 y VLAN de entrada y salida

source-port value

Puerto de origen TCP o UDP. Debe especificar esta coincidencia junto con la instrucción de coincidencia para el tráfico IPv4 o la instrucción de coincidencia para el tráfico IPv6.protocolnext-header

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en .destination-port

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-port range-optimize range

Haga coincidir un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No se admite con el reenvío basado en filtros).

Interfaces IPv4 de entrada

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Defina esta lista en el nivel jerárquico .[edit policy-options]

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

Hacer coincidir los paquetes TCP de una sesión TCP establecida (paquetes distintos del primer paquete de una conexión). Este es un alias para tcp-flags "(ack | rst)".

Esta condición de coincidencia no comprueba implícitamente que el protocolo es TCP. Para comprobarlo, especifique la condición de coincidencia.protocol tcp

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida (QFX5130)

Interfaces IPv6 de entrada (QFX5130)

tcp-flags value

Indicadores TCP (solo se admite un valor):

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

Hacer coincidir el primer paquete TCP de una conexión. Se produce una coincidencia cuando se establece el indicador TCP y no se establece el indicador TCP.SYNACK

Cuando se especifica , un modificador no comprueba implícitamente que el protocolo es TCP.tcp-initial También debe especificar la condición de coincidencia.protocol tcp Consulte protocol type.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida, interfaces IPv6 de entrada (QFX5130)

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo traffic-class se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4 y la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

, , , , , , , , , , , , , , , , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Interfaces IPv6 de entrada y salida

ttl value

Campo IP Tiempo de vida (TTL) en decimal. El valor puede ser 1-255.

Interfaces IPv4 de entrada y salida

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Puertos de entrada y VLAN (QFX5130)

user-vlan-1p-priority value

Hace coincidir la prioridad de VLAN 802.1p especificada en el rango .0-7

Puertos de entrada y VLAN (QFX5130)

accept

Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.

apply-groups-except

Especifique de qué grupos no desea heredar los datos de configuración. Puede especificar más de un nombre de grupo.

count counter-name

Cuente el número de paquetes que coincidan con el término.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de Protocolo de mensajes de control de Internet (ICMP).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando del modo operativo.show firewall log

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

policer policer-name

Enviar paquetes a un policía (con el fin de aplicar la limitación de velocidad).

port-mirror

Tráfico de espejo (copiar paquetes) a una interfaz de salida configurada en una instancia de creación de reflejo de puertos en el nivel de jerarquía.[edit forwarding-options port-mirroring]

port-mirror-instance port-mirror-instance-name

Reflejar el tráfico a una instancia de creación de reflejo de puertos configurada en el nivel jerárquico .[edit forwarding-options port-mirroring]

Puede especificar la creación de reflejo de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de acción .syslog

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

three-color-policer three-color-policer-name

Envíe paquetes a un controlador de tres colores (con el fin de aplicar la limitación de velocidad).

vlan VLAN-name

Reenvíe paquetes coincidentes a una VLAN específica.