Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions et actions de correspondance du filtre de pare-feu (commutateurs QFX et EX Series)

Conditions de correspondance et actions du filtre de pare-feu (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)

Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez définir une ou plusieurs conditions de correspondance dans les instructions de correspondance. Vous pouvez également inclure l’instruction no match, auquel cas le terme correspond à tous les paquets.

Lorsqu’un paquet correspond à un filtre, un commutateur effectue l’action spécifiée dans le terme. En outre, vous pouvez spécifier des modificateurs d’action pour compter, mettre en miroir, limiter le débit et classer les paquets. Si aucune condition de correspondance n’est spécifiée pour le terme, le commutateur accepte le paquet par défaut.

  • Tableau 2 Décrit les conditions de correspondance que vous pouvez spécifier lors de la configuration d’un filtre de pare-feu. Certaines des conditions de correspondance de plage numérique et de champ binaire vous permettent de spécifier un synonyme de texte. Pour afficher la liste de tous les synonymes d’une condition de correspondance, tapez ? à l’endroit approprié dans une instruction.

  • Tableau 3 Affiche les actions que vous pouvez spécifier dans un terme.

  • Tableau 4 Affiche les modificateurs d’action que vous pouvez utiliser pour compter, mettre en miroir, limiter le débit et classer les paquets.

Pour les conditions de correspondance sur des commutateurs spécifiques, les limitations suivantes s’appliquent :

Tableau 1 : Limitations

(QFX5100, QFX5110, QFX5200) Lors de l’utilisation du transfert basé sur les filtres sur des interfaces IPv6, seules les conditions de correspondance suivantes sont prises en charge dans le (sens entrant) : source-address, , destination-addresssource-portsource-prefix-listdestination-porthop-limitdestination-prefix-listicmp-typeet .next-header

(QFX5110) Lorsque vous activez l’option egress-to-ingress sous la hiérarchie, seules acceptles [edit firewall] actions , discardet count sont prises en charge.

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) Dans un environnement EVPN-VXLAN, seules les conditions de correspondance suivantes sont prises en charge : source-address, , , destination-portip-protocolttl, destination-addresssource-portet .user-vlan-id

(QFX5100, QFX5110, QFX5200) Vous ne pouvez pas appliquer un filtre de pare-feu dans le sens sortant sur une interface IRB EVPN-VXLAN.

(QFX5700) Vous ne pouvez pas appliquer un filtre de pare-feu dans le sens sortant sur une interface de bouclage.

(QFX5100, QFX5110) Si vous utilisez des filtres de pare-feu pour implémenter le filtrage MAC dans un environnement EVPN-VXLAN, consultez Prise en charge du filtrage MAC, du contrôle des tempêtes et de la mise en miroir des ports dans un environnement EVPN-VXLAN pour connaître les conditions de correspondance prises en charge.

(QFX5100, QFX5110) Pour chaque filtre de pare-feu que vous appliquez à un VXLAN, vous pouvez spécifier family ethernet-switching de filtrer les paquets de couche 2 (Ethernet) ou family inet de filtrer sur les interfaces IRB. Vous ne pouvez pas appliquer un filtre de pare-feu dans le sens sortant sur les interfaces IRB.

Sur les commutateurs qui ne prennent pas en charge les fonctionnalités de couche 2, utilisez uniquement les conditions de correspondance valides pour les interfaces IPv4 et IPv6.

(QFX5120, EX4650) À partir de la version 21.4R1 de Junos, les conditions de correspondance suivantes sont prises en charge dans un environnement EVPN-VXLAN sur QFX5120 et EX4650 : gbp-src-taggbp-dst-taget .

À partir de Junos OS version 21.4R1, les conditions source-port-range-optimize et destination-port-range-optimize sont prises en charge au [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] niveau hiérarchique. Cela réduit considérablement l’utilisation de l’espace TCAM. Dans QFX5100 commutateurs avec des conditions de correspondance source-port-range-optimize et destination-port-range-optimize configurées, jusqu’à 24 conditions de correspondance plage-port source-port et plage-port de destination non contiguës sont prises en charge. Si plus de 24 conditions de correspondance non contiguës sont configurées, une erreur peut être générée.

À partir de la version 22.4R1 de Junos, les conditions de correspondance suivantes sont prises en charge pour le balisage GBP dans un environnement EVPN-VXLAN sur les commutateurs EX4100, EX4400, EX4650 et QFX5120 Series pris en charge : ip-version ipv4, , , vlan-id, , mac-addressip-version ipv6+ vlan-id et interface. interface

À partir de la version 23.2R1 de Junos, de nouvelles correspondances IPV4 et IPv6 L4 sont prises en charge pour l’application des stratégies sur les commutateurs EX4100 Series, EX4400 Series, EX4650 Series, QFX5120-32C et QFX5120-48Y.

À partir de Junos OS version 23.4R1 et ultérieure, les conditions | vlan-range et de correspondance sont prises en charge pour le balisage GBP dans un environnement EVPN-VXLAN sur les vlan-id vlan list commutateurs EX4100, EX4400, EX4650 et interface interface-list QFX5120 Series pris en charge. Les commutateurs EX4100 ne prennent pas en charge les GBP basés sur VLAN et PORT+VLAN.

Tableau 2 : Conditions de correspondance prises en charge pour les filtres de pare-feu

Condition de correspondance

Description

Direction et interface

arp-type

Paquet de requête ARP ou paquet de réponse ARP.

Interfaces de sortie et d’entrée.

destination-address ip-address

Champ Adresse IP de destination, qui correspond à l’adresse du nœud de destination final.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Sorties des interfaces IPv4 (inet) et IPv6 (inet6).

destination-mac-address mac-address

Adresse MAC (Media Access Control) de destination du paquet.

Ports entrants, VLAN et interfaces IPv4 (inet).

Ports de sortie et VLAN.

destination-port value

Champ de port de destination TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match. Pour les ports connus suivants, vous pouvez spécifier des synonymes textuels (les numéros de port sont également répertoriés) :

afs (1483), , , , bgp (179)biff (512)bootpc (68)bootps (67)

cmd (514), , cvspserver (2401)

dhcp (67), , domain (53)

eklogin (2105), , , ekshell (2106)exec (512)

finger (79), , , ftp (21)ftp-data (20)

http (80), , https (443)

ident (113), , imap (143)

kerberos-sec (88), , , krb-prop (754), , kshell (544)klogin (543)kpasswd (761)krbupdate (760)

ldap (389), , login (513)

mobileip-agent (434), , , mobilip-mn (435)msdp (639)

netbios-dgm (138), , , nfsd (2049), nntp (119)netbios-ns (137)netbios-ssn (139)ntalk (518)ntp (123)

pop3 (110), , , pptp (1723)printer (515)

radacct (1813),radius (1812), , , rip (520)rkinit (2108)

smtp (25), , , snpp (444), socks (1080)snmp (161)snmptrap (162)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65), , , , talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

destination-port range-optimize range

Faites correspondre une plage de plages de ports TCP ou UDP tout en utilisant la mémoire disponible plus efficacement. L’utilisation de cette condition vous permet de configurer davantage de filtres de pare-feu que si vous configurez des ports de destination individuels. (Non pris en charge avec le transfert basé sur les filtres.)

Ports entrants, VLAN, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Champ de liste des préfixes de destination IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Sorties des interfaces IPv4 (inet) et IPv6 (inet6).

dscp value

DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • be—best effort (par défaut)

  • ef (46)—tel que défini dans la RFC 3246, An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), , af42 (36)af43 (38)

    Ces quatre classes, avec trois précédences d’abandon dans chaque classe, pour un total de 12 points de code, sont définies dans la RFC 2597, Assured Forwarding PHB.

  • cs0, , , cs3, cs4cs1cs2cs5cs6cs7cs5

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

ether-type value

Type Ethernet d’un paquet. La valeur EtherType spécifie le protocole transporté dans la trame Ethernet. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • aarp (0x80F3)—Valeur EtherType AARP

  • appletalk (0x809B)—Valeur EtherType AppleTalk

  • arp (0x0806)—Valeur EtherType ARP

  • fcoe (0x8906): valeur EtherType FCoE

  • fip (0x8914)—Valeur EtherType FIP

  • ipv4 (0x0800)—Valeur EtherType IPv4

  • ipv6 (0x08DD)—Valeur EtherType IPv6

  • mpls-multicast (0x8848): valeur EtherType Multicast MPLS

  • mpls-unicast (0x8847): valeur EtherType unicast MPLS

  • oam (0x88A8)—Valeur EtherType OAM

  • ppp (0x880B)—Valeur EtherType PPP

  • pppoe-discovery (0x8863)—EtherType value PPPoE Discovery Stage

  • pppoe-session (0x8864)—Valeur EtherType PPPoE Session Stage

  • sna (0x80D5)—Valeur EtherType SNA

Ports entrants et VLAN.

Ports de sortie et VLAN.

egress-to-ingress

Incluez cette option pour augmenter le nombre de termes de filtre de pare-feu VLAN sortant de 1024 à 2048.

VLAN de sortie : interfaces IPv4 (inet) et interfaces IPv6 (inet6).

exp

Correspondance sur les bits d’EXP MPLS.

Entrées d’interfaces MPLS.

Sorties d’interfaces MPLS.

fragment-flags value

Indicateurs de fragmentation IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs hexadécimales sont également répertoriées) :

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Ports entrants et VLAN.

gbp-dst-tag

Faites correspondre la balise de destination, pour une utilisation avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

Non applicable

gbp-src-tag

Faites correspondre la balise source, pour une utilisation avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

Non applicable

icmp-code value

Champ de code ICMP. Étant donné que la signification de la valeur dépend de l’attribut icmp-typeassocié , vous devez spécifier une valeur pour ainsi qu’une valeur pour icmp-typeicmp-code. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

  • IPv4 : problème_paramètre—ip-header-bad (0), required-option-missing (1)

  • IPv6 : problème_paramètre—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0), , , redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4 : injoignable—network-unreachable (0), , protocol-unreachable (2), port-unreachable (3)host-unreachable (1)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6 : injoignable—address-unreachable (3), , no-route-to-destination (0), administratively-prohibited (1)port-unreachable (4)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

hop-limit value

Correspond à la limite de sauts spécifiée ou à l’ensemble de limites de sauts. Spécifiez une seule valeur ou une plage de valeurs comprise entre 0 et 255.

Interfaces IPv6 entrantes et sortantes (inet6).

REMARQUE :

Non pris en charge dans le sens de sortie sur les commutateurs QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 et QFX5210.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

Faites correspondre l’adresse source ou de destination IPv4 ou IPv6, pour une utilisation avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrées et sorties (à l’échelle du système).

ip-version ipv4 destination-port DST_PORT

Faites correspondre le port de destination TCP/UDP, à utiliser avec les correspondances L4 du filtre de stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 source-port SRC_PORT

Faites correspondre le port source TCP/UDP, pour une utilisation avec les correspondances L4 du filtre de stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 ip-protocol PROTOCOL

Faites correspondre le type de protocole IP, à utiliser avec les correspondances L4 du filtre de stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 is-fragment

Correspondance si le paquet est un fragment, à utiliser avec les correspondances L4 du filtre de stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 fragment-flag FLAGS

Faites correspondre les indicateurs de fragment (aux formats symboliques ou hexadécimaux), à utiliser avec les correspondances L4 du filtre de stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 ttlValue

Champ IP Time-to-live (TTL) en décimal. La valeur peut être comprise entre 1 et 255. À utiliser avec les correspondances L4 du filtre de stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 tcp-flagsFLAGS

Faites correspondre un ou plusieurs indicateurs TCP (aux formats symboliques ou hexadécimaux), à utiliser avec les correspondances L4 de la politique GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 tcp-initial

Faites correspondre le premier paquet TCP d’une connexion. À utiliser avec les correspondances L4 de la stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv4 tcp-established

Faites correspondre les paquets d’une connexion TCP établie, à utiliser avec les correspondances L4 de la stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv6 source-port SRC_PORT

Faites correspondre le port source TCP/UDP, à utiliser avec les correspondances L4 de la stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv6 destination-port DST_PORT

Faites correspondre le port de destination TCP/UDP, à utiliser avec pour utiliser avec les correspondances L4 du filtre de stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv6 next-header PROTOCOL

Faites correspondre le type de protocole d’en-tête suivant, à utiliser avec les correspondances L4 de la stratégie GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv6 tcp-flagsFLAGS

Faites correspondre les indicateurs TCP, à utiliser avec les correspondances L4 de la politique GBP, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv6 tcp-initial

Faites correspondre les paquets initiaux d’une connexion TCP établie, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

ip-version ipv6 tcp-established

Faites correspondre les paquets d’une connexion TCP établie, comme décrit dans : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN

Entrée uniquement.

icmp-type value

Champ de type de message ICMP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match pour déterminer quel protocole est utilisé sur le port. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

IPv4 : echo-reply (0), , , destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6 : destination-unreachable (1), packet-too-big (2), time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Voir aussi icmp-code variable.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

interface interface-name | <interface_list>

Interface sur laquelle le paquet est reçu, y compris l’unité logique. Vous pouvez inclure le caractère générique (*) dans le nom d’une interface ou d’une unité logique.

REMARQUE :

Une interface à partir de laquelle un paquet est envoyé ne peut pas être utilisée comme condition de correspondance.

Faites correspondre une liste d’interfaces sous le même terme dans un filtre. À utiliser avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Sorties des interfaces IPv4 (inet) et IPv6 (inet6).

ip-destination-address address

Adresse IPv4 correspondant à l’adresse du nud de destination finale du paquet.

Ports entrants et VLAN.

ip6-destination-address address

IPv6, c’est-à-dire l’adresse du nud de destination finale du paquet.

Ports entrants et VLAN. (Vous ne pouvez pas appliquer simultanément un filtre avec ce critère de correspondance à un port de couche 2 et à un VLAN qui inclut ce port.)

ip-options

Spécifiez any pour créer une correspondance si quelque chose est spécifié dans le champ d’options de l’en-tête IP.

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

ip-precedence ip-precedence-field

Champ de priorité IP. À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), (0x60), (0x80), (0x40), (0xc0), flashinternet-controlimmediatenet-controlflash-override (0xe0), priority (0x20) ou routine (0x00).

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

ip-protocol number

Champ de protocole IP.

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

ip-source-address address

Adresse IPv4 du noeud source qui envoie le paquet.

Ports entrants et VLAN.

ip6-source-address address

Adresse IPv6 du noeud source qui envoie le paquet.

Ports entrants et VLAN. (Vous ne pouvez pas appliquer simultanément un filtre avec ce critère de correspondance à un port de couche 2 et à un VLAN qui inclut ce port.)

ip-version address

Version IP du paquet. Utilisez cette condition pour faire correspondre les champs d’en-tête IPv4 ou IPv6 dans le trafic qui arrive sur un port de couche 2 ou une interface VLAN.

Ports entrants et VLAN.

is-fragment

L’utilisation de cette condition entraîne une correspondance si l’indicateur More Fragments (Plus de fragments) est activé dans l’en-tête IP ou si le décalage du fragment n’est pas nul.

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

l2-encap-type llc-non-snap

Correspondance sur les paquets de la couche LLC (Logical Link Control) pour le type d’encapsulation Ethernet non-SNAP (Subnet Access Protocol).

Ports entrants et VLAN.

Ports de sortie et VLAN.

label

Correspondance sur les bits d’étiquette MPLS.

Entrées d’interfaces MPLS.

Sorties d’interfaces MPLS.

learn-vlan-id number

Correspond à l’ID d’un VLAN normal ou à l’ID du VLAN externe (de service) (pour les VLAN Q-in-Q). Les valeurs acceptables sont 1-4095.

REMARQUE :

Non pris en charge sur les commutateurs QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600, EX4650, EX4400, EX4100 et EX4300-MP. Utilisez la user-vlan-id condition de correspondance pour faire correspondre l’ID de VLAN externe.

Ports entrants et VLAN.

Ports de sortie et VLAN.

mac-address mac-address

Faites correspondre l’adresse MAC (Media Access Control) source, pour une utilisation avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

Entrées et sorties (à l’échelle du système)

.

next-header

Valeur du protocole IPv4 ou IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), , igmp (2)icmp6 (58)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Ports entrants, VLAN et interfaces IPv6 (inet6).

Interfaces IPv6 de sortie (inet6).

packet-length

Longueur du paquet en octets. Vous devez entrer une valeur comprise entre 0 et 65535.

Ports entrants, VLAN, interfaces IPv4 (inet) et IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

payload-protocol

Valeur du protocole IPv4 ou IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), , igmp (2)icmp6 (58)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

REMARQUE :

Non pris en charge sur les commutateurs QFX3500, QFX3600, QFX5100, QFX5110, QFX5200 QFX5210.

Ports entrants, VLAN et interfaces IPv6 (inet6).

Interfaces IPv6 de sortie (inet6).

Port qualifier

Le qualificateur de port installera deux entrées dans le moteur de transfert de paquets. L’un avec le port source et l’autre avec le port de destination.

Ports entrants, VLAN, interfaces IPv4 (inet) et IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

precedence value

bits de priorité IP dans l’octet de type de service (ToS) de l’en-tête IP. (Cet octet peut également être utilisé pour le DSCP DiffServ.) À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

protocol type

Valeur du protocole IPv4 ou IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), , igmp (2)icmp6ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Ports entrants, VLAN et interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

rat-type tech-type-value

Faites correspondre le type de technologie d’accès radio (RAT) spécifié dans le champ Type technique 8 bits de l’extension de type de technologie d’accès Proxy Mobile IPv4 (PMIPv4). Le type de technologie spécifie la technologie d’accès par laquelle l’appareil mobile est connecté au réseau d’accès. Spécifiez une valeur unique, une plage de valeurs ou un ensemble de valeurs. Vous pouvez spécifier un type de technologie sous la forme d’une valeur numérique comprise entre 0 et 255 ou d’un mot-clé système.

  • La valeur numérique 1 correspond à IEEE 802.3.

  • La valeur numérique 2 correspond à IEEE 802.11a/b/g.

  • La valeur numérique 3 correspond à IEEE 802.16e

  • La valeur numérique 4 correspond à IEEE 802.16m.

  • La chaîne de eutran texte correspond à la 4G.

  • La chaîne de geran texte correspond à 2G.

  • La chaîne de utran texte correspond à la 3G.

Interfaces IPv4 de sortie et d’entrée (inet).

sample

Échantillonnez le trafic de paquets. Appliquez cette option uniquement si vous avez activé l’échantillonnage du trafic.

Interfaces IPv4 de sortie et d’entrée (inet).

source-address ip-address

IP source address, qui correspond à l’adresse du nœud qui a envoyé le paquet.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

source-mac-address mac-address

Adresse MAC (Source Media Access Control) du paquet.

Ports entrants et VLAN.

Ports de sortie et VLAN.

source-port value

Port source TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match. À la place du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

source-port range-optimize range

Faites correspondre une plage de plages de ports TCP ou UDP tout en utilisant la mémoire disponible plus efficacement. L’utilisation de cette condition vous permet de configurer davantage de filtres de pare-feu que si vous configurez des ports source individuels. (Non pris en charge avec le transfert basé sur les filtres.)

Ports entrants, VLAN, interfaces IPv4 (inet).

source-prefix-list prefix-list

Liste des préfixes de source IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

tcp-established

Correspond aux paquets d’une connexion TCP à trois voies établie (SYN, SYN-ACK, ACK). Le seul paquet qui ne correspond pas est le premier paquet de l’établissement de liaison puisque seul le bit SYN est défini. Pour ce paquet, vous devez spécifier tcp-initial comme condition de correspondance.

Lorsque vous spécifiez tcp-established, le commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

tcp-flags value

Un ou plusieurs indicateurs TCP :

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

tcp-initial

Faites correspondre le premier paquet TCP d’une connexion. Une correspondance se produit lorsque l’indicateur TCP est défini et que l’indicateur SYNACK TCP ne l’est pas.

Lorsque vous spécifiez tcp-initial, un commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Ports entrants, VLAN, interfaces IPv4 (inet) et interfaces IPv6 (inet6).

Interfaces IPv4 sortantes (inet).

traffic-class

Champ de 8 bits qui spécifie la priorité de classe de service (CoS) du paquet. Le champ traffic-class permet de spécifier une valeur DSCP (DiffServ code point). Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4, et la sémantique de ce champ (par exemple, DSCP) est identique à celle d’IPv4.

Vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

af11 (10), , , , af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Ports entrants, VLAN et interfaces IPv6 (inet6).

Interfaces IPv6 de sortie (inet6).

ttl value

Champ IP Time-to-live (TTL) en décimal. La valeur peut être comprise entre 1 et 255.

Entrées d’interfaces IPv4 (inet).

Interfaces IPv4 sortantes (inet).

user-vlan-1p-priority value

Correspond à la priorité VLAN 802.1p spécifiée dans la plage 0-7.

Ports entrants et sortants et VLAN.

user-vlan-id number

Correspond à l’ID du VLAN interne (client) d’un VLAN Q-in-Q. Les valeurs acceptables sont 1-4095.

REMARQUE :

Pour les commutateurs QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600, EX4650, EX4400, EX4100 et EX4300-MP, utilisez cette option user-vlan-id pour faire correspondre l’ID du VLAN externe.

Pour les commutateurs de la série QFX5220 et les routeurs MX et ACX Series, utilisez learn-vlan-id pour faire correspondre l’ID du VLAN externe et user-vlan-id l’ID du VLAN interne. Auparavant, vous pouviez utiliser user-vlan-id pour faire correspondre l’ID de VLAN externe.

Ports entrants et sortants et VLAN.

vlan-id <vlan id> | <vlan-range> | <vlan list>

Faites correspondre l’identifiant vlan-range VLAN (le premier et le dernier numéro d’identification de VLAN pour le groupe de VLAN) ou vlan list (liste de chiffres) pour une utilisation avec la microsegmentation sur un VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

REMARQUE :

Non pris en charge sur les commutateurs EX4100.

Entrées et sorties (à l’échelle du système)

Utilisez then des instructions pour définir les actions qui doivent se produire si un paquet correspond à toutes les conditions d’une from instruction. Tableau 3Affiche les actions que vous pouvez spécifier dans un terme. (Si vous n’incluez pas d’instruction then , le système accepte les paquets qui correspondent au filtre.)

Tableau 3 : Actions pour les filtres de pare-feu

Action

Description

accept

Accepter un paquet. Il s’agit de l’action par défaut pour les paquets qui correspondent à un terme.

discard

Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol).

reject message-type

Supprimez un paquet et envoyez un message ICMPv4 « destination inaccessible » (type 3). Pour consigner les paquets rejetés, configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des types de message suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, ou tcp-reset.

Si vous spécifiez tcp-reset, le système envoie une réinitialisation TCP s’il s’agit d’un paquet TCP, sinon rien n’est envoyé.

Si vous ne spécifiez pas de type de message, la notification ICMP « destination inaccessible » est envoyée avec le message par défaut « communication filtrée administrativement ».

REMARQUE :

L’action reject n’est prise en charge que sur les interfaces entrantes.

routing-instance instance-name

Transférez les paquets correspondants vers une instance de routage virtuelle.

vlan VLAN-name

Transférez les paquets correspondants vers un VLAN spécifique.

REMARQUE :

L’action vlan n’est prise en charge que sur les interfaces entrantes.

REMARQUE :

Cette action n’est pas prise en charge sur les commutateurs OCX Series.

Vous pouvez également spécifier les modificateurs d’action répertoriés dans Tableau 4 pour compter, mettre en miroir, limiter le débit et classer les paquets.

Tableau 4 : Modificateurs d’action pour les filtres de pare-feu

Modificateur d’action

Description

analyzer analyzer-name

(Plates-formes non-ELS) Mettez en miroir le trafic (copie des paquets) vers un analyseur configuré au niveau de la [edit ethernet-switching-options analyzer] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports pour les ports entrants, les VLAN et les filtres de pare-feu IPv4 (inet) uniquement.

count counter-name

Comptez le nombre de paquets qui correspondent au terme.

decapsulate [gre | routing-instance]

Décapsuler les paquets GRE ou transférer les paquets GRE désencapsulés vers l’instance de routage spécifiée

dscp value

DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • be—best effort (par défaut)

  • ef (46)—tel que défini dans la RFC 3246, An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), , af42 (36)af43 (38)

    Ces quatre classes, avec trois précédences d’abandon dans chaque classe, pour un total de 12 points de code, sont définies dans la RFC 2597, Assured Forwarding PHB.

  • cs0, , , cs3, cs4cs1cs2cs5cs6cs7cs5

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

REMARQUE :

Pour configurer une classe de transfert, vous devez également configurer la priorité des pertes.

gbp-src-tag

(QFX5120 et EX4650 uniquement)

Définissez la balise source de stratégie basée sur le groupe (0..65535) à utiliser avec la microsegmentation sur VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

gbp-tag

(EX4100, EX4400, EX4650 et QFX5120)

Définissez la balise source de stratégie basée sur le groupe (1..65535) à utiliser avec la microsegmentation sur VXLAN, comme décrit ici : Exemple : Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

REMARQUE : S’applique aux versions 22.4R1 et ultérieures de Junos OS.

interface

Basculez le trafic vers l’interface spécifiée sans effectuer de recherche sur celle-ci. Cette action n’est valable que lorsque le filtre est appliqué à l’entrée.

log

Consignez les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, entrez la commande du show firewall log mode opérationnel.

REMARQUE :

Le log modificateur d’action n’est pris en charge que sur les interfaces d’entrée.

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).

REMARQUE :

Le loss-priority modificateur d’action n’est pris en charge que sur les interfaces d’entrée.

REMARQUE :

Le loss-priority modificateur d’action n’est pas pris en charge en combinaison avec l’action policer .

policer policer-name

Envoyer des paquets à un mécanisme de contrôle (dans le but d’appliquer la limitation de débit).

Vous pouvez spécifier un mécanisme de contrôle pour les filtres d’entrée, de VLAN, d’IPv4 (inet), d’IPv6 (inet6) et MPLS.

REMARQUE :

Le policer modificateur d’action n’est pas pris en charge en combinaison avec l’action loss-priority .

port-mirror

(Plates-formes ELS) Mettre en miroir le trafic (copier les paquets) vers une interface de sortie configurée dans une instance de mise en miroir des ports au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports pour les ports entrants, les VLAN et les filtres de pare-feu IPv4 (inet) uniquement.

port-mirror-instance port-mirror-instance-name

(Plates-formes ELS) Mettez en miroir le trafic vers une instance de mise en miroir de port configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports pour les ports entrants, les VLAN et les filtres de pare-feu IPv4 (inet) uniquement.

REMARQUE :

Ce modificateur d’action n’est pas pris en charge sur les commutateurs de la série OCX.

syslog

Consignez une alerte pour ce paquet.

REMARQUE :

Le syslog modificateur d’action n’est pris en charge que sur les interfaces d’entrée.

three-color-policer three-color-policer-name

Envoyer les paquets à un mécanisme de contrôle tricolore (dans le but d’appliquer la limitation de débit).

Vous pouvez spécifier un mécanisme de contrôle tricolore pour les ports d’entrée et de sortie, les filtres VLAN, IPv4 (inet), IPv6 (inet6) et MPLS.

REMARQUE :

Le policer modificateur d’action n’est pas pris en charge en combinaison avec l’action loss-priority .

Conditions et actions de correspondance du filtre de pare-feu (QFX5220 et QFX5130-32CD)

Cette rubrique décrit les conditions de correspondance de filtre de pare-feu, les actions et les modificateurs d’action pris en charge pour les commutateurs QFX5220-CD, QFX5220-128C et QFX5130-32CD.

Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez définir une ou plusieurs conditions de correspondance dans les instructions de correspondance. Vous pouvez également inclure l’instruction no match, auquel cas le terme correspond à tous les paquets.

Lorsqu’un paquet correspond à un filtre, un commutateur effectue l’action spécifiée dans le terme. Si vous n’appliquez aucune condition de correspondance, le commutateur accepte le paquet par défaut.

  • Tableau 5affiche les conditions de correspondance pour les interfaces IPv4 () et IPv6 (inetinet6). Il contient également les conditions de correspondance pour les ports et les VLAN (ethernet-switching).

  • Tableau 6 Affiche les actions et les modificateurs d’action que vous pouvez spécifier dans un terme.

REMARQUE :

Pour les conditions de correspondance, une partie de la plage numérique et des conditions de correspondance de champ de bits vous permet de spécifier un synonyme de texte. Pour afficher la liste de tous les synonymes d’une condition de correspondance, tapez ? à l’endroit approprié dans une instruction.

Tableau 5 : Conditions de correspondance prises en charge (commutateurs QFX5220 et QFX5130-32CD)

Condition de correspondance

Description

Direction et interface

arp-type

un paquet de demande ARP ou un paquet de réponse ARP.

Ports entrants et sortants et VLAN

destination-address ip-address

Champ Adresse IP de destination, qui correspond à l’adresse du nœud de destination final.

Interfaces IPv4 et IPv6 entrantes et sortantes

Ports entrants et VLAN

destination-mac-address mac-address

Adresse MAC de destination du paquet.

Ports entrants et sortants et VLAN

destination-port value

Champ de port de destination TCP ou UDP. Vous devez spécifier cette correspondance avec l’instruction de correspondance pour le trafic IPv4 ou l’instruction de correspondance pour le protocolnext-header trafic IPv6.

Pour les ports et numéros de port connus suivants, vous pouvez spécifier des synonymes textuels.

afs (1483), , , , bgp (179)biff (512)bootpc (68)bootps (67)

cmd (514), , cvspserver (2401)

dhcp (67), , domain (53)

eklogin (2105), , , ekshell (2106)exec (512)

finger (79), , , ftp (21)ftp-data (20)

http (80), , https (443)

ident (113), , imap (143)

kerberos-sec (88), , , krb-prop (754), , kshell (544)klogin (543)kpasswd (761)krbupdate (760)

ldap (389), , login (513)

mobileip-agent (434), , , mobilip-mn (435)msdp (639)

netbios-dgm (138), , , nfsd (2049), nntp (119)netbios-ns (137)netbios-ssn (139)ntalk (518)ntp (123)

pop3 (110), , , pptp (1723)printer (515)

radacct (1813),radius (1812), , , rip (520)rkinit (2108)

smtp (25), , , snpp (444), socks (1080)snmp (161)snmptrap (162)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65), , , , talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 entrantes et sortantes

Entrées d’interfaces IPv6.

Ports entrants et VLAN

destination-port range-optimize range

Faites correspondre une plage de plages de ports TCP ou UDP tout en utilisant plus efficacement la mémoire disponible. L’utilisation de cette condition vous permet de configurer davantage de filtres de pare-feu que si vous configurez des ports de destination individuels. (Non pris en charge avec le transfert basé sur les filtres.)

Entrées d’interfaces IPv4

destination-prefix-list prefix-list

Champ de liste des préfixes de destination IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Interfaces IPv4 et IPv6 entrantes et sortantes

Ports entrants et VLAN.

dscp value

DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte et l’un des champs répertoriés comme suit.

  • be—best effort (par défaut)

  • ef (46)—tel que défini dans la RFC 3246, An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), , af42 (36)af43 (38)

    Ces quatre classes, avec trois précédences d’abandon dans chaque classe, pour un total de 12 points de code, sont définies dans la RFC 2597, Assured Forwarding PHB.

  • cs0, , , cs3, cs4cs1cs2cs5cs6cs7cs5

Interfaces IPv4 entrantes et sortantes

Ports entrants et VLAN

ether-type value

Type Ethernet d’un paquet. La valeur EtherType spécifie le protocole transporté dans la trame Ethernet. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants. Les valeurs des champs sont également répertoriées.

  • aarp (0x80F3)—Valeur EtherType AARP

  • appletalk (0x809B)—Valeur EtherType AppleTalk

  • arp (0x0806)—Valeur EtherType ARP

  • fcoe (0x8906): valeur EtherType FCoE

  • fip (0x8914)—Valeur EtherType FIP

  • ipv4 (0x0800)—Valeur EtherType IPv4

  • ipv6 (0x08DD)—Valeur EtherType IPv6

  • mpls-multicast (0x8848): valeur EtherType Multicast MPLS

  • mpls-unicast (0x8847): valeur EtherType unicast MPLS

  • oam (0x88A8)—Valeur EtherType OAM

  • ppp (0x880B)—Valeur EtherType PPP

  • pppoe-discovery (0x8863)—EtherType value PPPoE Discovery Stage

  • pppoe-session (0x8864)—Valeur EtherType PPPoE Session Stage

  • sna (0x80D5)—Valeur EtherType SNA

Ports entrants et sortants et VLAN

premier-fragment

Correspond si le paquet est le premier fragment d’un paquet fragmenté. Éviter de faire correspondre le paquet s’il s’agit d’un fragment de fin d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de décalage de fragment de 0.

Cette condition de correspondance est un alias de la condition de correspondance de champ binaire fragment-offset 0 condition de correspondance.

Pour faire correspondre à la fois le premier et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes : first-fragment et is-fragment.

Entrées d’interfaces IPv4

icmp-code value

Champ de code ICMP. Étant donné que la signification de la valeur dépend de l’attribut icmp-typeassocié , vous devez spécifier une valeur pour ainsi qu’une valeur pour icmp-typeicmp-code. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

  • IPv4 : problème_paramètre—ip-header-bad (0), required-option-missing (1)

  • IPv6 : problème_paramètre—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0), , , redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4 : injoignable—network-unreachable (0), , protocol-unreachable (2), port-unreachable (3)host-unreachable (1)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6 : injoignable—address-unreachable (3), , no-route-to-destination (0), administratively-prohibited (1)port-unreachable (4)

Interfaces IPv4 entrantes et sortantes

Entrées d’interfaces IPv6

Ports entrants et VLAN

icmp-type value

Champ de type de message ICMP. Vous devez spécifier cette correspondance avec l’instruction de protocol correspondance. Cette correspondance détermine quel protocole est utilisé sur le port pour le trafic IPv4 ou l’instruction de correspondance pour le next-header trafic IPv6.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

IPv4 : echo-reply (0), , , destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6 : destination-unreachable (1), packet-too-big (2), time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Voir aussi icmp-code variable.

Interfaces IPv4 entrantes et sortantes

Entrées d’interfaces IPv6

Ports entrants et VLAN

interface interface-name

Interface sur laquelle le paquet est reçu, y compris l’unité logique. Vous pouvez inclure le caractère générique (*) dans le nom d’une interface ou d’une unité logique.

REMARQUE :

Une interface à partir de laquelle un paquet est envoyé ne peut pas être utilisée comme condition de correspondance.

Ports entrants et VLAN

ip-destination-address address

Adresse IPv4 correspondant à l’adresse du nud de destination finale du paquet.

Ports entrants et VLAN

ip-options

Spécifiez any pour créer une correspondance si quelque chose est spécifié dans le champ d’options de l’en-tête IP.

Entrées d’interfaces IPv4

ip-protocol number

Champ de protocole IP.

Ports entrants et VLAN

ip-precedence ip-precedence-field

Champ de priorité IP. À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), (0x60), (0x80), (0x40), (0xc0), flashinternet-controlimmediatenet-controlflash-override (0xe0), priority (0x20) ou routine (0x00).

Ports entrants et VLAN

ip-source-address address

Adresse IPv4 du noeud source qui envoie le paquet.

Ports entrants et VLAN

ip-version address

Version IP du paquet. Utilisez cette condition pour faire correspondre les champs d’en-tête IPv4 ou IPv6 dans le trafic qui arrive sur un port de couche 2 ou une interface VLAN.

Ports entrants et VLAN

is-fragment

L’utilisation de cette condition entraîne une correspondance si l’indicateur More Fragments (Plus de fragments) est activé dans l’en-tête IP ou si le décalage du fragment n’est pas nul.

Interfaces IPv4 entrantes et sortantes (QFX5220)

Interfaces IPv4 entrantes (QFX5130)

learn-vlan-id number

Identificateur VLAN pour l’apprentissage MAC.

Ports entrants et sortants et VLAN (QFX5220)

Ports entrants et VLAN (QFX5130)

learn-vlan-1p-priority value

Correspondance sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN fournisseur (la seule balise dans une trame à balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs comprises entre 0 et 7.

Ports entrants et VLAN

next-header

Valeur du protocole IPv4 ou IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), , igmp (2)icmp6 (58)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Interfaces IPv6 entrantes et sortantes

packet-length

Longueur du paquet en octets. Vous devez entrer une valeur comprise entre 0 et 65535.

Entrées d’interfaces IPv4 et IPv6

precedence value

bits de priorité IP dans l’octet de type de service (ToS) de l’en-tête IP. (Cet octet peut également être utilisé pour le DSCP DiffServ.) À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 entrantes et sortantes

protocol type

Valeur du protocole IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), , igmp (2)icmp6ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)tcp (4)

Entrées et sorties des interfaces IPv4.

Entrées d’interfaces IPv4 et VLAN

source-address ip-address

IP source address, qui correspond à l’adresse du nœud qui a envoyé le paquet.

Interfaces IPv4 entrantes et sortantes

Entrées d’interfaces IPv6

Ports entrants et VLAN

source-mac-address mac-address

Adresse MAC (Source Media Access Control) du paquet.

Interfaces IPv4 entrantes et sortantes et VLAN

source-port value

Port source TCP ou UDP. Vous devez spécifier cette correspondance en conjonction avec l’instruction de correspondance pour le trafic IPv4 ou l’instruction de correspondance pour le protocolnext-header trafic IPv6.

À la place du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Interfaces IPv4 entrantes et sortantes

Entrées d’interfaces IPv6

Ports entrants et VLAN

source-port range-optimize range

Faites correspondre une plage de plages de ports TCP ou UDP tout en utilisant la mémoire disponible plus efficacement. L’utilisation de cette condition vous permet de configurer davantage de filtres de pare-feu que si vous configurez des ports source individuels. (Non pris en charge avec le transfert basé sur les filtres.)

Entrées d’interfaces IPv4

source-prefix-list prefix-list

Liste des préfixes de source IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Interfaces IPv4 entrantes et sortantes

Entrées d’interfaces IPv6

Ports entrants et VLAN

tcp-established

Faites correspondre les paquets TCP d’une session TCP établie (paquets autres que le premier paquet d’une connexion). Il s’agit d’un alias de tcp-flags "(ack | rst)".

Cette condition de correspondance ne vérifie pas implicitement que le protocole est TCP. Pour vérifier cela, spécifiez la condition de protocol tcp correspondance.

Interfaces IPv4 entrantes et sortantes (QFX5220)

Interfaces IPv4 entrantes et sortantes (QFX5130)

Entrées d’interfaces IPv6 (QFX5130)

tcp-flags value

Options TCP (une seule valeur est prise en charge) :

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 entrantes et sortantes

Entrées d’interfaces IPv6

Ports entrants et VLAN

tcp-initial

Faites correspondre le premier paquet TCP d’une connexion. Une correspondance se produit lorsque l’indicateur TCP est défini et que l’indicateur SYNACK TCP ne l’est pas.

Lorsque vous spécifiez tcp-initial, un commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance. Reportez-vous à la section protocol type.

Interfaces IPv4 entrantes et sortantes (QFX5220)

Interfaces IPv4 entrantes et sortantes, interfaces IPv6 entrantes (QFX5130)

traffic-class

Champ de 8 bits qui spécifie la priorité de classe de service (CoS) du paquet. Le champ traffic-class permet de spécifier une valeur DSCP (DiffServ code point). Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4, et la sémantique de ce champ (par exemple, DSCP) est identique à celle d’IPv4.

Vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

af11 (10), , , , af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Interfaces IPv6 entrantes et sortantes

ttl value

Champ IP Time-to-live (TTL) en décimal. La valeur peut être comprise entre 1 et 255.

Interfaces IPv4 entrantes et sortantes

user-vlan-id number

Correspond à l’ID du VLAN interne (client) d’un VLAN Q-in-Q. Les valeurs acceptables sont 1-4095.

Ports entrants et VLAN (QFX5130)

user-vlan-1p-priority value

Correspond à la priorité VLAN 802.1p spécifiée dans la plage 0-7.

Ports entrants et VLAN (QFX5130)

Utilisez then des instructions pour définir les actions qui doivent se produire si un paquet correspond à toutes les conditions d’une from instruction. Affiche les actions que vous pouvez spécifier dans un terme. Tableau 6 (Si vous n’incluez pas d’instruction then , le système accepte les paquets qui correspondent au filtre.)

REMARQUE :

Pour les interfaces IPv4 sortantes, les interfaces IPv6 et les ports sortants, vous pouvez uniquement appliquer les actions d’acceptation, d’abandon et de comptage. Pour les VLAN sortants, vous ne pouvez appliquer que l’action d’acceptation.

Tableau 6 : Actions et modificateurs d’action

Action

Description

accept

Accepter un paquet. Il s’agit de l’action par défaut pour les paquets qui correspondent à un terme.

apply-groups-except

Spécifiez les groupes dont vous ne souhaitez pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.

count counter-name

Comptez le nombre de paquets qui correspondent au terme.

discard

Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol).

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

REMARQUE :

Pour configurer une classe de transfert, vous devez également configurer la priorité des pertes.

log

Consignez les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, entrez la commande du show firewall log mode opérationnel.

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).

REMARQUE :

Le loss-priority modificateur d’action n’est pris en charge que sur les interfaces IPv4 entrantes.

REMARQUE :

Le loss-priority modificateur d’action n’est pas pris en charge en combinaison avec l’action policer .

policer policer-name

Envoyer des paquets à un mécanisme de contrôle (dans le but d’appliquer la limitation de débit).

REMARQUE :

Le policer modificateur d’action n’est pas pris en charge en combinaison avec l’action loss-priority .

port-mirror

Mettre en miroir le trafic (copier les paquets) vers une interface de sortie configurée dans une instance de mise en miroir des ports au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

port-mirror-instance port-mirror-instance-name

Mettez en miroir le trafic vers une instance de mise en miroir de port configurée au niveau de la [edit forwarding-options port-mirroring] hiérarchie.

Vous pouvez spécifier la mise en miroir des ports pour les ports entrants, les VLAN et les filtres de pare-feu IPv4 (inet) uniquement.

reject message-type

Supprimez un paquet et envoyez un message ICMPv4 « destination inaccessible » (type 3). Pour consigner les paquets rejetés, configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des types de message suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Si vous ne spécifiez pas de type de message, la notification ICMP « destination inaccessible » est envoyée avec le message par défaut « communication filtrée administrativement ».

REMARQUE :

L’action reject est prise en charge sur les interfaces IPv4 entrantes uniquement.

three-color-policer three-color-policer-name

Envoyer les paquets à un mécanisme de contrôle tricolore (dans le but d’appliquer la limitation de débit).

REMARQUE :

Le policer modificateur d’action n’est pas pris en charge en combinaison avec l’action loss-priority .

REMARQUE :

Les color-aware mécanismes de contrôle et color-blind ne sont pas pris en charge. Par défaut, le trafic est traité comme color-blind.

vlan VLAN-name

Transférez les paquets correspondants vers un VLAN spécifique.

REMARQUE :

Cette vlan action n’est prise en charge que sur les ports entrants et les VLAN.

Cette action n’est pas prise en charge sur les commutateurs QFX5130.