Conditions et actions de correspondance des filtres de pare-feu (commutateurs QFX10000)

destination-address ip-address

Champ Adresse de destination IP, c’est-à-dire l’adresse du nœud de destination final.

Interfaces IPv4 (inet) et IPv6 (inet6) entrantes.

Interfaces sortantes IPv4 (inet) et interfaces IPv6 (inet6).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

destination-mac-address mac-address

Adresse MAC (Destination Media Access Control) du paquet.

Ports entrants et VLAN.

Ports sortants et VLAN.

destination-port value

Champ de port de destination TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction de protocol correspondance. Pour les ports connus suivants, vous pouvez spécifier des synonymes de texte (les numéros de port sont également répertoriés) :

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports sortants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

interface IRB entrante pour la structure EVPN/VXLAN, le cas échéant

destination-prefix-list prefix-list

Champ de liste des préfixes de destination IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports sortants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

dscp value

Point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• be— meilleur effort (par défaut)

• ef (46)— comme défini dans la RFC 3246, PhB de transfert accéléré.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Ces quatre classes, avec trois niveaux de priorité dans chaque classe, pour un total de 12 points de code, sont définies dans la RFC 2597, Assured Forwarding PHB.

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Ports entrants, VLAN et interfaces IPv4 (inet).

Ports sortants, VLAN et interfaces IPv4 (inet).

ether-type value

Champ de type Ethernet d’un paquet. La valeur EtherType spécifie le protocole transporté dans la trame Ethernet. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• aarp (0x80F3)— Valeur EtherType AARP

• appletalk (0x809B)— Valeur EtherType AppleTalk

• arp (0x0806)— Valeur EtherType ARP

• fcoe (0x8906)— Valeur EtherType FCoE

• fip (0x8914)— Valeur EtherType FIP

• ipv4 (0x0800)— Valeur EtherType IPv4

• ipv6 (0x08DD)— Valeur EtherType IPv6

• mpls-multicast (0x8848)— Valeur EtherType MPLS multicast

• mpls-unicast (0x8847)— Valeur EtherType MPLS unicast

• oam (0x88A8)— Valeur EtherType OAM

• ppp (0x880B)— Valeur EtherType PPP

• pppoe-discovery (0x8863)— Valeur EtherType ppPoE Discovery Stage

• pppoe-session (0x8864)— Valeur EtherType : étape de session PPPoE

• sna (0x80D5)— EtherType valeur SNA

Ports entrants et VLAN.

Ports sortants et VLAN.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

• best-effort

• fcoe

• network-control

• no-loss

Interfaces sortantes IPv4 (inet) et IPv6 (inet6).

fragment-flags value

Indicateurs de fragmentation IP. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs hexadécimales sont également répertoriées) :

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

Ports entrants, VLAN et interfaces IPv4 (inet).

hop-limit value

Correspondez à la limite de saut ou à l’ensemble de limites de saut spécifiées. Spécifiez une seule valeur ou une plage de valeurs comprises entre 0 et 255.

Interfaces IPv6 (inet6) entrantes et sortantes.

icmp-code value

Champ de code ICMP. Étant donné que la signification de la valeur dépend de la valeur associée icmp-type, vous devez spécifier une valeur pour icmp-type ainsi qu’une valeur pour icmp-code. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées). Les mots clés sont regroupés par type ICMP auquel ils sont associés :

• IPv4 : problème de paramètres,ip-header-bad (0)required-option-missing (1)

• IPv6 : problème de paramètre—ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• redirect—redirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

• IPv4 : inaccessible —network-unreachable (0) , host-unreachable (1), , port-unreachable (3)protocol-unreachable (2), fragmentation-needed (4), source-route-failed (5), source-host-isolated (8)destination-host-unknown (7)destination-network-unknown (6)destination-network-prohibited (9), destination-host-prohibited (10), , network-unreachable-for-TOS (11), host-unreachable-for-TOS (12), communication-prohibited-by-filtering (13), , , host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6 : inaccessible—address-unreachable (3), administratively-prohibited (1), , no-route-to-destination (0)port-unreachable (4)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports sortants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6)

icmp-type value

Champ type de message ICMP. En règle générale, vous spécifiez cette correspondance conjointement avec l’instruction protocol de correspondance pour déterminer quel protocole est utilisé sur le port. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

IPv4: echo-reply (0), destination unreachable (3), , source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), , time-exceeded (11), parameter-problem (12), timestamp (13), info-reply (16)info-request (15)timestamp-reply (14)mask-request (17),mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), , time-exceeded (3), parameter-problem (4), echo-reply (129)echo-request (128), , membership-query (130), membership-report (131), membership-termination (132), , neighbor-solicit (135)router-solicit (133)router-advertisement (134)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Voir aussi icmp-code variable.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports sortants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

interface interface-name

Interface sur laquelle le paquet est reçu, y compris l’unité logique. Vous pouvez inclure le caractère générique (*) dans le nom d’une interface ou une unité logique.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces sortantes IPv4 (inet) et interfaces IPv6 (inet6).

ip-destination-address address

Adresse IPv4 qui est l’adresse de nœud de destination finale du paquet.

Ports entrants, sortants et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

ip-options

Spécifiez any pour créer une correspondance si quelque chose est spécifié dans le champ d’options de l’en-tête IP.

Ports entrants, VLAN et interfaces IPv4 (inet).

ip-precedence ip-precedence-field

Champ de priorité IP. Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Ports entrants et VLAN.

Ports sortants et VLAN.

ip-protocol number

Champ protocole IP.

Ports entrants et VLAN.

Ports sortants et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

ip-source-address address

Adresse IPv4 du nœud source qui envoie le paquet.

Ports entrants et VLAN.

Ports sortants et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

ip-version address

Version IP du paquet. Utilisez cette condition pour correspondre aux champs d’en-tête IPv4 ou IPv6 dans le trafic qui arrive sur un port de couche 2 ou une interface VLAN.

Ports entrants et VLAN.

Ports sortants et VLAN.

is-fragment

L’utilisation de cette condition entraîne une correspondance si l’indicateur Plus de fragments est activé dans l’en-tête IP ou si le décalage du fragment n’est pas zéro.

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces sortantes IPv4 (inet).

learn-1p-priority number

Correspond aux bits de priorité VLAN IEEE 802.1p spécifiés dans la plage 0-7.

Ports entrants et VLAN.

Ports sortants et VLAN.

learn-vlan-id number

Correspond à l’ID d’un VLAN normal ou à l’ID du VLAN externe (service) (pour les VLAN Q-in-Q). Pour utiliser la mémoire du filtre le plus efficacement possible et maximiser le nombre de filtres possibles, utilisez cette condition en plus user-id de la correspondance sur l’ID VLAN interne (client). Les valeurs acceptables sont de 1 à 4095.

Ports entrants et VLAN.

Ports sortants et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).

Interfaces sortantes IPv4 (inet) et IPv6 (inet6).

next-header value

Valeur du protocole IPv4 ou IPv6. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 entrantes (inet6).

Interfaces sortantes IPv6 (inet6).

packet-length number

Longueur du paquet en octets. Vous devez saisir un nombre compris entre 0 et 65535.

Ports entrants, VLAN, interfaces IPv4 (inet) et IPv6 (inet6).

Interfaces sortantes IPv4 (inet).

precedence value

Bits de priorité IP dans l’octet de type de service (ToS) dans l’en-tête IP. (Cet octet peut également être utilisé pour le DSCP DiffServ.) Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Interfaces entrantes IPv4 (inet).

Interfaces sortantes IPv4 (inet).

protocol type

Valeur du protocole IPv4 ou IPv6. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces entrantes IPv4 (inet).

Interfaces sortantes IPv4 (inet).

source-address ip-address

Champ adresse SOURCE IP, qui est l’adresse du nœud qui a envoyé le paquet.

Interfaces IPv4 (inet) et IPv6 (inet6) entrantes.

Interfaces sortantes IPv4 (inet) et interfaces IPv6 (inet6).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

source-mac-address mac-address

Adresse MAC (Source Media Access Control) du paquet.

Ports entrants et VLAN.

Ports sortants et VLAN.

source-port value

Port source TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction de protocol correspondance. Au lieu du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports sortants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

source-prefix-list prefix-list

Liste de préfixes source IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports sortants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

tcp-established

Faites correspondre les paquets d’une connexion TCP établie. Cette condition correspond aux paquets autres que ceux utilisés pour configurer une connexion TCP, c’est-à-dire que les paquets de liaison à trois voies ne sont pas correspondants.

Lorsque vous spécifiez tcp-established, un commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces sortantes IPv4 (inet).

tcp-flags value

Un ou plusieurs indicateurs TCP :

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces sortantes IPv4 (inet).

tcp-initial

Correspond au premier paquet TCP d’une connexion. Une correspondance se produit lorsque l’indicateur SYN TCP est défini et que l’indicateur ACK TCP n’est pas défini.

Lorsque vous spécifiez tcp-initial, un commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces sortantes IPv4 (inet).

traffic-class value

Champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet. Le champ de classe de trafic est utilisé pour spécifier une valeur de point de code DiffServ (DSCP). Ce champ était auparavant utilisé comme champ type de service (ToS) dans IPv4, et la sémantique de ce champ (par exemple, DSCP) est identique à celle d’IPv4.

Vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 entrantes (inet6).

Interfaces sortantes IPv6 (inet6).

ttl value

Champ TTL (Ip Time-to-live) en décimale. La valeur peut être de 1 à 255.

Interfaces entrantes IPv4 (inet).

Interfaces sortantes IPv4 (inet).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

user-vlan-id number

Correspond à l’ID du VLAN interne (client) dans un VLAN Q-in-Q. Pour utiliser la mémoire de filtre le plus efficacement possible et maximiser le nombre de filtres possibles, utilisez en combinaison avec learn-vlan-id l’ID VLAN externe (service). Les valeurs acceptables sont de 1 à 4095.

Ports entrants et VLAN.

Ports sortants et VLAN.

accept

Accepter un paquet. Il s’agit de l’action par défaut pour les paquets qui correspondent à un terme.

discard

Jeter un paquet en silence sans envoyer de message ICMP (Internet Control Message Protocol).

reject message-type

Jetez un paquet et envoyez un message ICMPv4 de destination inaccessible (type 3). Pour consigner les paquets rejetés, configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des types de messages suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, ou tcp-reset.

Si vous spécifiez tcp-reset, le système envoie une réinitialisation TCP si le paquet est un paquet TCP; sinon rien n’est envoyé.

Si vous ne spécifiez pas de type de message, la notification ICMP « destination inaccessible » est envoyée avec le message par défaut « communication filtrée administrativement ».

routing-instance instance-name

Transfèrez les paquets correspondants vers une instance de routage virtuel. (Le seul type d’instance pris en charge est virtual-router.) Les paquets peuvent être transférés vers l’instance par défaut.

vlan VLAN-name

Transfèrez les paquets correspondants vers un VLAN spécifique.

count counter-name

Comptez le nombre de paquets correspondant au terme.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

Consignez les informations d’en-tête du paquet dans le moteur de routage. Pour consulter ces informations, saisissez la commande du show firewall log mode opérationnel.

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).

policer policer-name

Envoyez des paquets à un policer (dans le but d’appliquer une limitation de débit).

Vous pouvez spécifier un policer pour les ports d’entrée et de sortie, les filtres de pare-feu VLAN, IPv4 (inet) et IPv6 (inet6).

port-mirror

(plates-formes ELS) Mise en miroir du trafic (copie des paquets) vers une interface de sortie configurée dans une instance de mise en miroir de ports au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports d’entrée et de sortie, des filtres de pare-feu VLAN, IPv4 (inet) et IPv6 (inet6).

port-mirror-instance port-mirror-instance-name

(plates-formes ELS) Mise en miroir du trafic vers une instance de mise en miroir de ports configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports d’entrée et de sortie, des filtres de pare-feu VLAN, IPv4 (inet) et IPv6 (inet6).

syslog

Consignez une alerte pour ce paquet.

three-color-policer three-color-policer-name

Envoyez les paquets à un policer tricolore (dans le but d’appliquer une limitation de débit).

Vous pouvez spécifier un policer en trois couleurs pour les ports d’entrée et de sortie, les filtres VLAN, IPv4 (inet) et IPv6 (inet6).