ファイアウォールフィルターの一致条件およびアクション(QFX10000スイッチ)

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

イングレスIPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス、および IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

destination-mac-address mac-address

パケットの宛先MAC（メディアアクセス制御）アドレス

イングレスポートとVLAN。

ポートとVLANを出力します。

destination-port value

TCPまたはUDP宛先ポートフィールド。通常、この一致は 一致ステートメントと合わせて 指定します。protocol 次の既知のポートでは、テキスト同義語を指定できます(ポート番号もリストされています)。

、 、 、 、 、 、 afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

、 、 cmd (514)cvspserver (2401)

、 、 dhcp (67)domain (53)

、 、 、 eklogin (2105)ekshell (2106)exec (512)

、 、 、 finger (79)ftp (21)ftp-data (20)

、 、 http (80)https (443)

、 、 ident (113)imap (143)

、 、 、 、 、 、 、 kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

、 、 ldap (389)login (513)

、 、 、 mobileip-agent (434)mobilip-mn (435)msdp (639)

、 、 、 、 、 、 、 、 netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

、 、 、 pop3 (110)pptp (1723)printer (515)

、、 、 、radacct (1813)radius (1812)rip (520)rkinit (2108)

、 、 、 、 、 、 、 、 、 smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

、 、 、 、 、 、 tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513)、

xdmcp (177)、

zephyr-clt (2103)、zephyr-hm (2104)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧を 階層レベルで定義します 。[edit policy-options]

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

dscp value

差別化されたサービス コード ポイント（DSCP）です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• be- ベスト エフォート(デフォルト)

• - RFC 3246, An Expeded Forwarding PHBで定義されています。ef (46)http://www.ietf.org/rfc/rfc3246.txt

• 、 、 ;af11 (10)af12 (12)af13 (14)

  、 、 ;af21 (18)af22 (20)af23 (22)

  、 、 ;af31 (26)af32 (28)af33 (30)

  、 、 af41 (34)af42 (36)af43 (38)

  これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。http://www.ietf.org/rfc/rfc2597.txt

• 、 、 、 、 、 、 、 、 、 cs0cs1cs2cs3cs4cs5cs6cs7cs5

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレスポート、VLAN、およびIPv4(inet)インターフェイス。

ether-type value

パケットのイーサネット タイプ フィールドです。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• aarp (0x80F3)- イーサタイプ値 AARP

• appletalk (0x809B)- EtherType 値 アップルトーク

• arp (0x0806)- イーサタイプ値ARP

• fcoe (0x8906)- イーサタイプ値 FCoE

• fip (0x8914)- イーサタイプ値 FIP

• ipv4 (0x0800)- イーサタイプ値 IPv4

• ipv6 (0x08DD)- イーサタイプ値 IPv6

• mpls-multicast (0x8848)- EtherType値MPLSマルチキャスト

• mpls-unicast (0x8847)- イーサタイプ値MPLSユニキャスト

• oam (0x88A8)- イーサタイプ値 OAM

• ppp (0x880B)- イーサタイプ値 PPP

• pppoe-discovery (0x8863)- EtherType値PPPoEディスカバリーステージ

• pppoe-session (0x8864)- EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)- イーサタイプ値 SNA

イングレスポートとVLAN。

ポートとVLANを出力します。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• network-control

• no-loss

エグレス IPv4(inet)および IPv6(inet6)インターフェイス

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、以下のテキスト同義語(16進数値も記載されています)のいずれかを指定することができます。

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。単一の値または0から255の値の範囲を指定してください。

ingressおよびegress IPv6(inet6)インターフェイス

icmp-code value

ICMP コード フィールドです。値の意味は、関連付けられている によって異なるため、 の値と の値を指定する必要があります。icmp-typeicmp-typeicmp-code 数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

• IPv4: パラメータ問題-、 ip-header-bad (0)required-option-missing (1)

• IPv6: parameter-problem-, , ,ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —、 、 、 redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 到達不能—、 、 、 network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: 到達不能—、 、 、 address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス

icmp-type value

ICMP メッセージ タイプ フィールドです。通常、 一致ステートメントと 合わせてこの一致を指定して、ポートで使用されているプロトコルを決定します。protocol 数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

IPv4:、 、 、 、 、 echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:、 、 、 、 、 destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

も 参照してください。icmp-code variable

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

interface interface-name

論理ユニットを含む、パケットを受信したインターフェイス。ワイルドカード文字()は、インターフェイス名または論理ユニットの一部として使用できます。*

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレスポート、エグレスポート、VLAN。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

ip-options

を指定して 、IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成します。any

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

ip-precedence ip-precedence-field

IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 (0xa0)、 (0x60)、 (0x80)、 (0x40)、 (0xc0)、 (0xe0)、 (0x20)、または (0x00)。critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

イングレスポートとVLAN。

ポートとVLANを出力します。

ip-protocol number

IP プロトコル フィールドです。

イングレスポートとVLAN。

ポートとVLANを出力します。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN。

ポートとVLANを出力します。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを照合します。

イングレスポートとVLAN。

ポートとVLANを出力します。

is-fragment

この条件を使用すると、IPヘッダーでMore Fragmentsフラグが有効になっている場合、またはフラグメントオフセットがゼロではない場合に一致します。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

learn-1p-priority number

範囲内 の指定されたIEEE 802.1p VLAN優先度ビットに一致します。0-7

イングレスポートとVLAN。

ポートとVLANを出力します。

learn-vlan-id number

通常のVLANのIDまたは外部(サービス)VLANのID(Q-in-Q VLANの場合)に一致します。フィルターメモリを最も効率的に使用し、使用可能なフィルターの数を最大化するには、内部(顧客)VLAN IDでマッチングする場合に加えて 、この条件を使用します。user-id 許容値は 1 から 4095 です。

イングレスポートとVLAN。

ポートとVLANを出力します。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

エグレス IPv4(inet)および IPv6(inet6)インターフェイス

next-header value

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

、 、 、 、 、 、 hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

ingress IPv6(inet6)インターフェイス

エグレス IPv6(inet6)インターフェイス

packet-length number

パケットの長さ (バイト単位)。0 から 65535 までの数値を入力する必要があります。

イングレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先順位ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

、 、 、 、 、 、 hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレス フィールド。

イングレスIPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

source-mac-address mac-address

パケットの送信元メディアアクセス制御(MAC)アドレス

イングレスポートとVLAN。

ポートとVLANを出力します。

source-port value

TCP または UDP 送信元ポート通常、この一致は 一致ステートメントと合わせて 指定します。protocol 数値 フィールドの代わりに、 の下に記載されているテキスト シノニムの 1 つを指定しますdestination-port。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

source-prefix-list prefix-list

IP ソース プレフィックス リスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧を 階層レベルで定義します 。[edit policy-options]

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

tcp-established

確立されたTCP接続のパケットに一致します。この条件は、TCP 接続の設定に使用されたパケット以外のパケットに一致します。つまり、スリーウェイ ハンドシェイク パケットは一致しません。

を指定する と、スイッチはプロトコルがTCPであることを暗示的に確認しません。tcp-established 一致条件も指定 する必要があります。protocol tcp

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-flags value

1 つ以上の TCP フラグ:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグが設定されていて、TCP フラグが設定されていない場合、一致が発生します。SYNACK

を指定する と、スイッチはプロトコルがTCPであることを暗示的に確認しません。tcp-initial 一致条件も指定 する必要があります。protocol tcp

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

traffic-class value

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィック クラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

、 、 、 、 、 af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

ingress IPv6(inet6)インターフェイス

エグレス IPv6(inet6)インターフェイス

ttl value

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

user-vlan-id number

Q-in-Q VLANの内部(顧客)VLANのIDに一致します。フィルター メモリを最も効率的に使用し、使用可能なフィルターの数を最大化するには、 と組み合わせて 使用して、外部(サービス)VLAN ID を照合します。learn-vlan-id 許容値は 1 から 4095 です。

イングレスポートとVLAN。

ポートとVLANを出力します。

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4メッセージ(タイプ3)を送信します。拒否されたパケットをログに記録するには、 アクション修飾子を設定します 。syslog

以下のいずれかのメッセージ・タイプを指定できます。 または .administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,tcp-reset

を指定した場合、パケットが TCP パケットの場合は TCP リセットを送信します。それ以外の場合は何も送信されません。tcp-reset

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。(サポートされているインスタンスタイプは のみです。)パケットはデフォルトのインスタンスに転送できます。virtual-router

vlan VLAN-name

一致したパケットを特定のVLANに転送します。

count counter-name

条件に一致するパケットの数をカウントします。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 動作モード コマンドを入力します 。show firewall log

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

policer policer-name

パケットをポリサーに送信します(レート制限を適用するため)。

イングレスおよびエグレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)ファイアウォールフィルターのポリサーを指定できます。

port-mirror

(ELSプラットフォーム)階層レベルのポートミラーリングインスタンス に設定された出力インターフェイスにトラフィックをミラーリング(パケットをコピー)。[edit forwarding-options port-mirroring]

イングレスおよびエグレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)ファイアウォールフィルターのポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELSプラットフォーム)階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします 。[edit forwarding-options port-mirroring]

イングレスおよびエグレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)ファイアウォールフィルターのポートミラーリングを指定できます。

syslog

このパケットのアラートをログに記録します。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

イングレスおよびエグレス ポート、VLAN、IPv4(inet)、および IPv6(inet6)フィルターに 3 色のポリサーを指定できます。