Conditions et actions de correspondance du filtre de pare-feu (QFX10000 commutateurs)

destination-address ip-address

Champ Adresse IP de destination, qui correspond à l’adresse du nœud de destination final.

Entrées d’interfaces IPv4 (inet) et IPv6 (inet6).

Sorties des interfaces IPv4 (inet) et IPv6 (inet6).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

destination-mac-address mac-address

Adresse MAC (Media Access Control) de destination du paquet.

Ports entrants et VLAN.

Ports de sortie et VLAN.

destination-port value

Champ de port de destination TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match. Pour les ports connus suivants, vous pouvez spécifier des synonymes textuels (les numéros de port sont également répertoriés) :

afs (1483), bgp (179), biff (512), bootpc (68)bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760)kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119)ntalk (518)ntp (123)

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), , snpp (444), socks (1080)ssh (22)sunrpc (111)syslog (514)snmptrap (162)

tacacs-ds (65), talk (517), telnet (23), tftp (69)timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports de sortie, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

destination-prefix-list prefix-list

Champ de liste des préfixes de destination IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports de sortie, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

dscp value

DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• be—best effort (par défaut)

• ef (46)—tel que défini dans la RFC 3246, An Expedited Forwarding PHB.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Ces quatre classes, avec trois précédences d’abandon dans chaque classe, pour un total de 12 points de code, sont définies dans la RFC 2597, Assured Forwarding PHB.

• cs0, cs1, , cs3, cs4cs5cs6cs7cs2cs5

Ports entrants, VLAN et interfaces IPv4 (inet).

Ports de sortie, VLAN et interfaces IPv4 (inet).

ether-type value

Type Ethernet d’un paquet. La valeur EtherType spécifie le protocole transporté dans la trame Ethernet. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• aarp (0x80F3)—Valeur EtherType AARP

• appletalk (0x809B)—Valeur EtherType AppleTalk

• arp (0x0806)—Valeur EtherType ARP

• fcoe (0x8906): valeur EtherType FCoE

• fip (0x8914)—Valeur EtherType FIP

• ipv4 (0x0800)—Valeur EtherType IPv4

• ipv6 (0x08DD)—Valeur EtherType IPv6

• mpls-multicast (0x8848): valeur EtherType Multicast MPLS

• mpls-unicast (0x8847): valeur EtherType unicast MPLS

• oam (0x88A8)—Valeur EtherType OAM

• ppp (0x880B)—Valeur EtherType PPP

• pppoe-discovery (0x8863)—EtherType value PPPoE Discovery Stage

• pppoe-session (0x8864)—Valeur EtherType PPPoE Session Stage

• sna (0x80D5)—Valeur EtherType SNA

Ports entrants et VLAN.

Ports de sortie et VLAN.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

• best-effort

• fcoe

• network-control

• no-loss

Interfaces IPv4 (inet) et IPv6 (inet6) de sortie.

fragment-flags value

Indicateurs de fragmentation IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs hexadécimales sont également répertoriées) :

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

Ports entrants, VLAN et interfaces IPv4 (inet).

hop-limit value

Correspond à la limite de sauts spécifiée ou à l’ensemble de limites de sauts. Spécifiez une seule valeur ou une plage de valeurs comprise entre 0 et 255.

Interfaces IPv6 entrantes et sortantes (inet6).

icmp-code value

Champ de code ICMP. Étant donné que la signification de la valeur dépend de l’attribut icmp-typeassocié , vous devez spécifier une valeur pour icmp-type ainsi qu’une valeur pour icmp-code. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

• IPv4 : problème_paramètre—ip-header-bad (0), required-option-missing (1)

• IPv6 : problème_paramètre—ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• redirect—redirect-for-network (0), redirect-for-host (1), redirect-for-tos-and-net (2), redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

• IPv4 : injoignable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2), port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6 : injoignable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports de sortie, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6)

icmp-type value

Champ de type de message ICMP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match pour déterminer quel protocole est utilisé sur le port. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

IPv4 : echo-reply (0), destination unreachable (3), source-quench (4), redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6 : destination-unreachable (1), packet-too-big (2), time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Voir aussi icmp-code variable.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports de sortie, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

interface interface-name

Interface sur laquelle le paquet est reçu, y compris l’unité logique. Vous pouvez inclure le caractère générique (*) dans le nom d’une interface ou d’une unité logique.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Sorties des interfaces IPv4 (inet) et IPv6 (inet6).

ip-destination-address address

Adresse IPv4 correspondant à l’adresse du nud de destination finale du paquet.

Ports entrants, ports sortants et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

ip-options

Spécifiez any pour créer une correspondance si quelque chose est spécifié dans le champ d’options de l’en-tête IP.

Ports entrants, VLAN et interfaces IPv4 (inet).

ip-precedence ip-precedence-field

Champ de priorité IP. À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

Ports entrants et VLAN.

Ports de sortie et VLAN.

ip-protocol number

Champ de protocole IP.

Ports entrants et VLAN.

Ports de sortie et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

ip-source-address address

Adresse IPv4 du noeud source qui envoie le paquet.

Ports entrants et VLAN.

Ports de sortie et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

ip-version address

Version IP du paquet. Utilisez cette condition pour faire correspondre les champs d’en-tête IPv4 ou IPv6 dans le trafic qui arrive sur un port de couche 2 ou une interface VLAN.

Ports entrants et VLAN.

Ports de sortie et VLAN.

is-fragment

L’utilisation de cette condition entraîne une correspondance si l’indicateur More Fragments (Plus de fragments) est activé dans l’en-tête IP ou si le décalage du fragment n’est pas nul.

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

learn-1p-priority number

Correspond aux bits de priorité VLAN IEEE 802.1p spécifiés dans la plage 0-7.

Ports entrants et VLAN.

Ports de sortie et VLAN.

learn-vlan-id number

Correspond à l’ID d’un VLAN normal ou à l’ID du VLAN externe (de service) (pour les VLAN Q-in-Q). Pour utiliser la mémoire des filtres de manière plus efficace et maximiser le nombre de filtres possibles, utilisez cette condition en plus des user-id cas où vous souhaitez faire correspondre l’ID de VLAN interne (client). Les valeurs acceptables sont 1-4095.

Ports entrants et VLAN.

Ports de sortie et VLAN.

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).

Interfaces IPv4 (inet) et IPv6 (inet6) de sortie.

next-header value

Valeur du protocole IPv4 ou IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Entrées d’interfaces IPv6 (inet6).

Interfaces IPv6 de sortie (inet6).

packet-length number

Longueur du paquet en octets. Vous devez saisir un nombre compris entre 0 et 65535.

Ports entrants, VLAN, interfaces IPv4 (inet) et IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

precedence value

bits de priorité IP dans l’octet de type de service (ToS) de l’en-tête IP. (Cet octet peut également être utilisé pour le DSCP DiffServ.) À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Entrées d’interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

protocol type

Valeur du protocole IPv4 ou IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), icmp6, igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Entrées d’interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

source-address ip-address

IP source address, qui correspond à l’adresse du nœud qui a envoyé le paquet.

Entrées d’interfaces IPv4 (inet) et IPv6 (inet6).

Sorties des interfaces IPv4 (inet) et IPv6 (inet6).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

source-mac-address mac-address

Adresse MAC (Source Media Access Control) du paquet.

Ports entrants et VLAN.

Ports de sortie et VLAN.

source-port value

Port source TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match. À la place du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports de sortie, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

source-prefix-list prefix-list

Liste des préfixes de source IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Ports de sortie, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

tcp-established

Faites correspondre les paquets d’une connexion TCP établie. Cette condition correspond à des paquets autres que ceux utilisés pour établir une connexion TCP, c’est-à-dire que les paquets d’établissement de liaison à trois voies ne sont pas mis en correspondance.

Lorsque vous spécifiez tcp-established, un commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

tcp-flags value

Un ou plusieurs indicateurs TCP :

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

tcp-initial

Faites correspondre le premier paquet TCP d’une connexion. Une correspondance se produit lorsque l’indicateur SYN TCP est défini et que l’indicateur ACK TCP ne l’est pas.

Lorsque vous spécifiez tcp-initial, un commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

traffic-class value

Champ de 8 bits qui spécifie la priorité de classe de service (CoS) du paquet. Le champ traffic-class permet de spécifier une valeur DSCP (DiffServ code point). Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4, et la sémantique de ce champ (par exemple, DSCP) est identique à celle d’IPv4.

Vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Entrées d’interfaces IPv6 (inet6).

Interfaces IPv6 de sortie (inet6).

ttl value

Champ IP Time-to-live (TTL) en décimal. La valeur peut être comprise entre 1 et 255.

Entrées d’interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

Interface IRB entrante pour structure EVPN/VXLAN, le cas échéant

user-vlan-id number

Correspond à l’ID du VLAN interne (client) dans un VLAN Q-in-Q. Pour utiliser la mémoire des filtres de manière plus efficace et maximiser le nombre de filtres possibles, utilisez-les en combinaison avec learn-vlan-id pour faire correspondre l’ID de VLAN externe (service). Les valeurs acceptables sont 1-4095.

Ports entrants et VLAN.

Ports de sortie et VLAN.

accept

Accepter un paquet. Il s’agit de l’action par défaut pour les paquets qui correspondent à un terme.

discard

Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol).

reject message-type

Supprimez un paquet et envoyez un message ICMPv4 « destination inaccessible » (type 3). Pour consigner les paquets rejetés, configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des types de message suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, ou tcp-reset.

Si vous spécifiez tcp-reset, le système envoie une réinitialisation TCP s’il s’agit d’un paquet TCP, sinon rien n’est envoyé.

Si vous ne spécifiez pas de type de message, la notification ICMP « destination inaccessible » est envoyée avec le message par défaut « communication filtrée administrativement ».

routing-instance instance-name

Transférez les paquets correspondants vers une instance de routage virtuelle. (Le seul type d’instance pris en charge est virtual-router.) Les paquets peuvent être transférés vers l’instance par défaut.

vlan VLAN-name

Transférez les paquets correspondants vers un VLAN spécifique.

count counter-name

Comptez le nombre de paquets qui correspondent au terme.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

Consignez les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, entrez la commande du show firewall log mode opérationnel.

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).

policer policer-name

Envoyer des paquets à un mécanisme de contrôle (dans le but d’appliquer la limitation de débit).

Vous pouvez spécifier un mécanisme de contrôle pour les ports d’entrée et de sortie, les filtres de pare-feu VLAN, IPv4 (inet) et IPv6 (inet6).

port-mirror

(Plates-formes ELS) Mettre en miroir le trafic (copier les paquets) vers une interface de sortie configurée dans une instance de mise en miroir des ports au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports pour les ports d’entrée et de sortie, les filtres de pare-feu VLAN, IPv4 (inet) et IPv6 (inet6).

port-mirror-instance port-mirror-instance-name

(Plates-formes ELS) Mettez en miroir le trafic vers une instance de mise en miroir de port configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports pour les ports d’entrée et de sortie, les filtres de pare-feu VLAN, IPv4 (inet) et IPv6 (inet6).

syslog

Consignez une alerte pour ce paquet.

three-color-policer three-color-policer-name

Envoyer les paquets à un mécanisme de contrôle tricolore (dans le but d’appliquer la limitation de débit).

Vous pouvez spécifier un mécanisme de contrôle tricolore pour les ports d’entrée et de sortie, les filtres VLAN, IPv4 (inet) et IPv6 (inet6).