ファイアウォールフィルターの一致条件およびアクション(QFXおよびEXシリーズスイッチ)

(QFX5100、QFX5110、QFX5200)IPv6インターフェイスでフィルターベースの転送を使用する場合、(ingress方向)では次の一致条件のみがサポートされます。source-address、 destination-address、 source-prefix-list、 destination-prefix-list、 source-port、 destination-port、 hop-limit、 icmp-type、および next-header。

(QFX5110)[edit firewall]階層で [egress-to-ingress] オプションを有効にすると、accept、discard、およびcountアクションのみがサポートされます。

(QFX5100、QFX5110、QFX5120、QFX5130-32CD、QFX5220、QFX5700)EVPN-VXLAN 環境では、次の一致条件のみがサポートされます。source-address、 destination-address、 source-port、 destination-port、 ttl、 ip-protocol、および user-vlan-id。

(QFX5100、QFX5110、QFX5200)EVPN-VXLAN IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。

(QFX5700)ループバックインターフェイスのエグレス方向にファイアウォールフィルターを適用することはできません。

(QFX5100、QFX5110)EVPN-VXLAN環境でファイアウォールフィルターを使用してMACフィルタリングを実装する場合、サポートされている一致条件については 、 EVPN-VXLAN環境でのMACフィルタリング、ストーム制御、およびポートミラーリングのサポート を参照してください。

(QFX5100、QFX5110)VXLAN に適用するファイアウォール フィルターごとに、レイヤー 2(イーサネット)パケットをフィルタリングする family ethernet-switching 、IRB インターフェイスでフィルタリングする family inet を指定できます。IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。

(EX4100、EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210)スタンドアロンデバイスのエグレスファイアウォールフィルターで interface 一致条件を使用する場合は、使用可能なインターフェイスのみを使用します。使用できないインターフェイスを使用すると、予期しない動作が発生します。

レイヤー2機能をサポートしていないスイッチでは、IPv4およびIPv6インターフェイスに有効な一致条件のみを使用してください。

(QFX5120、EX4650)Junos リリース 21.4R1 以降、QFX5120 および EX4650 の EVPN-VXLAN 環境では、以下の一致条件がサポートされています。gbp-src-tag、および gbp-dst-tag。

Junos OSリリース21.4R1以降、送信元ポート範囲最適化と宛先ポート範囲最適化の条件が 階層レベルでサポート [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] 。これにより、TCAM スペースの使用量が大幅に削減されます。送信元ポート範囲最適化と宛先ポート範囲最適化の一致条件が設定されたQFX5100スイッチでは、最大 24 個の非連続した送信元ポート範囲と宛先ポート範囲の一致条件がサポートされます。連続していない一致条件が 24 個を超える場合、エラーがスローされる可能性があります。

Junosリリース22.4R1以降、サポートされているEX4100、EX4400、EX4650、およびQFX5120シリーズスイッチのEVPN-VXLAN環境では、GBPタギングで次の一致条件がサポートされています。ip-version ipv4、 ip-version ipv6、 mac-address、 vlan-id、 interface + vlan-id の組み合わせ、および interface。

Junosリリース23.2R1以降、EX4100シリーズ、EX4400シリーズ、EX4650シリーズ、QFX5120-32C、QFX5120-48Yスイッチでのポリシー適用で、新しいIPV4とIPv6 L4の一致がサポートされています。

Junos OS Release 23.4R1以降以降、サポートされているEX4100、EX4400、EX4650、およびQFX5120シリーズスイッチのEVPN-VXLAN環境で、GBPタギングに対して vlan-id vlan list | vlan-range および interface interface-list 一致条件がサポートされています。EX4100スイッチは、VLANおよびポート+VLANベースのGBPをサポートしていません。

Junos OS リリース 24.4R1以降、[edit firewall family ethernet-switching filter <name> term <name>]階層で設定可能なEX4100、EX4400、EX4650-48Y、QFX5120-48Y、QFX5120-32C、QFX5120-48T、QFX5120-48YMプラットフォームに、arp-type、arp-sender-address、arp-target-addressファイアウォールフィルターの一致条件が追加されました。一致条件は、ポートまたはVLANイングレスファイアウォールフィルターに適用できます。一致条件は、エグレスファイアウォールフィルターではサポートされていません。 arp-sender-address と arp-target-address の一致条件は、EX2300、EX3400、EX4300-MPプラットフォームではサポートされていません。

Junos OS Evolvedリリース24.4R1以降、QFX5130-32CD、QFX5130-48C、およびQFX5700プラットフォーム用の vlan vlan ID アクションが追加されました。これらのプラットフォームでこのアクションプロファイルを有効化するには、 set system packet-forwarding-options firewall profiles actions ethernet-switching profile1 設定を適用する必要があります。vlan vlanIDアクションは、ポートおよびVLANファイアウォールフィルタールールで設定できます。

arp-type

ARP 要求パケットまたは ARP 応答パケット。

エグレスおよびイングレスインターフェイス。

ARPタイプ

ARP 要求パケットまたは ARP 応答パケット。

イングレスポートとVLAN

ARP送信者アドレス

照合するARPヘッダー送信者IPv4アドレス

イングレスポートとVLAN

ARPターゲットアドレス

一致するARPヘッダーターゲットIPv4アドレス

イングレスポートとVLAN

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス、および IPv6(inet6)インターフェイス。

destination-mac-address mac-address

パケットの宛先MAC（メディアアクセス制御）アドレス

イングレスポート、VLAN、IPv4(inet)インターフェイス。

ポートとVLANを出力します。

destination-port value

TCPまたはUDP宛先ポートフィールド。通常、この一致は protocol 一致ステートメントと組み合わせて指定します。次の既知のポートでは、テキスト同義語を指定できます(ポート番号もリストされています)。

afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、

cmd (514)、 cvspserver (2401)、

dhcp (67)、 domain (53)、

eklogin (2105)、 ekshell (2106)、 exec (512)、

finger (79)、 ftp (21)、 ftp-data (20)、

http (80)、 https (443)、

ident (113)、 imap (143)、

kerberos-sec (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、

ldap (389)、 login (513)、

mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、

netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、

pop3 (110)、 pptp (1723)、 printer (515)、

radacct (1813)、radius (1812)、 rip (520)、 rkinit (2108)、

smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、

tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、

who (513)、

xdmcp (177)、

zephyr-clt (2103)、zephyr-hm (2104)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

destination-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

dscp value

差別化されたサービス コード ポイント（DSCP）です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• be- ベスト エフォート(デフォルト)

• ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

• af11 (10)、 af12 (12)、 af13 (14);

  af21 (18)、 af22 (20)、 af23 (22);

  af31 (26)、 af32 (28)、 af33 (30);

  af41 (34)、 af42 (36)、 af43 (38)

  これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

• cs0、 cs1、 cs2、 cs3、 cs4、 cs5、 cs6、 cs7、 cs5

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ether-type value

パケットのイーサネット タイプ フィールドです。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• aarp (0x80F3)- イーサタイプ値 AARP

• appletalk (0x809B)- EtherType 値 アップルトーク

• arp (0x0806)- イーサタイプ値ARP

• fcoe (0x8906)- イーサタイプ値 FCoE

• fip (0x8914)- イーサタイプ値 FIP

• ipv4 (0x0800)- イーサタイプ値 IPv4

• ipv6 (0x08DD)- イーサタイプ値 IPv6

• mpls-multicast (0x8848)- EtherType値MPLSマルチキャスト

• mpls-unicast (0x8847)- イーサタイプ値MPLSユニキャスト

• oam (0x88A8)- イーサタイプ値 OAM

• ppp (0x880B)- イーサタイプ値 PPP

• pppoe-discovery (0x8863)- EtherType値PPPoEディスカバリーステージ

• pppoe-session (0x8864)- EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)- イーサタイプ値 SNA

イングレスポートとVLAN。

ポートとVLANを出力します。

egress-to-ingress

エグレスVLANファイアウォールフィルターの条件数を1024から2048に増やすには、このオプションを含めます。

エグレスVLAN IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

exp

MPLS EXP ビットに一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、以下のテキスト同義語(16進数値も記載されています)のいずれかを指定することができます。

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

イングレスポートとVLAN。

gbp-dst-tag

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する宛先タグに一致します。例：VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

適用外

gbp-src-tag

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソースタグに一致します。例：VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

適用外

icmp-code value

ICMP コード フィールドです。値の意味は関連する icmp-typeによって異なるため、 icmp-type の値と icmp-codeの値を指定する必要があります。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

• IPv4: parameter-problem—ip-header-bad (0)、 required-option-missing (1)

• IPv6: parameter-problem—ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)

• redirect—redirect-for-network (0)、 redirect-for-host (1)、 redirect-for-tos-and-net (2)、 redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 到達不能—network-unreachable (0)、 host-unreachable (1)、 protocol-unreachable (2)、 port-unreachable (3)、 fragmentation-needed (4)、 source-route-failed (5)、 destination-network-unknown (6)、 destination-host-unknown (7)、 source-host-isolated (8)、 destination-network-prohibited (9)、 destination-host-prohibited (10)、 network-unreachable-for-TOS (11)、 host-unreachable-for-TOS (12)、 communication-prohibited-by-filtering (13)、 host-precedence-violation (14)、 precedence-cutoff-in-effect (15)

• IPv6: 到達不能—address-unreachable (3)、 administratively-prohibited (1)、 no-route-to-destination (0)、 port-unreachable (4)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。単一の値または0から255の値の範囲を指定してください。

ingressおよびegress IPv6(inet6)インターフェイス

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する場合は、IPv4 または IPv6 の送信元または宛先アドレスに一致させます。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスとエグレス(システム全体)。

で説明するように、GBPポリシーフィルターL4一致で使用するTCP/UDP宛先ポートに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、GBPポリシーフィルターL4一致で使用する場合は、TCP/UDP送信元ポートに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、GBPポリシーフィルターL4一致で使用するIPプロトコルタイプに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

パケットがフラグメントである場合に一致し、GBPポリシーフィルターL4一致で使用する場合は、 に記述されています。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、GBPポリシーフィルターL4一致で使用するフラグメントフラグ(シンボリック形式または16進数形式)に一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。GBPポリシーフィルターL4一致で使用する場合は、以下を参照してください。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、GBPポリシーL4一致で使用するために、1つ以上のTCPフラグ(シンボリック形式または16進数形式)に一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

接続の最初の TCP パケットに一致します。GBPポリシーL4マッチで使用する場合は、以下を参照してください。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、GBPポリシーL4一致で使用するために、確立されたTCP接続のパケットに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、GBPポリシーL4一致で使用するTCP/UDP送信元ポートに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

で説明するように、GBPポリシーフィルターL4一致で使用するTCP/UDP宛先ポートに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

で説明するように、GBPポリシーL4一致で使用するために、次のヘッダープロトコルタイプに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、GBPポリシーL4一致で使用するTCPフラグに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、確立されたTCP接続の最初のパケットに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

で説明するように、確立されたTCP接続のパケットに一致します。例：VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

icmp-type value

ICMP メッセージ タイプ フィールドです。通常、 protocol 一致ステートメントと合わせてこの一致を指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

IPv4: echo-reply (0)、 destination unreachable (3)、 source-quench (4)、 redirect (5)、 echo-request (8)、 IPv4 (inet)-advertisement (9)、 IPv4 (inet)-solicit (10)、 time-exceeded (11)、 parameter-problem (12)、 timestamp (13)、 timestamp-reply (14)、 info-request (15)、 info-reply (16)、 mask-request (17)、 mask-reply (18)

IPv6: destination-unreachable (1)、 packet-too-big (2)、 time-exceeded (3)、 parameter-problem (4)、 echo-request (128)、 echo-reply (129)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 router-solicit (133)、 router-advertisement (134)、 neighbor-solicit (135)、 neighbor-advertisement (136)、 redirect (137)、 router-renumbering (138)、 node-information-request (139)、 node-information-reply (140)

icmp-code variableも参照してください。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

interface interface-name | <interface_list>

論理ユニットを含む、パケットを受信したインターフェイス。ワイルドカード文字(*)は、インターフェイス名または論理ユニットの一部として含めることができます。

フィルター内で同じ項の下にあるインターフェイスのリストに一致します。VXLAN のマイクロセグメンテーションで使用する場合は、以下について説明します。例：VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレスポートとVLAN。

ip6-destination-address address

パケットの最終宛先ノード アドレスである IPv6 アドレス。

イングレスポートとVLAN。(この一致基準を持つフィルターを、そのポートを含むレイヤー2ポートとVLANに同時に適用することはできません)。

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成する any を指定します。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ip-precedence ip-precedence-field

IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、または routine (0x00)。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ip-protocol number

IP プロトコル フィールドです。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN。

ip6-source-address address

パケットを送信する送信元ノードの IPv6 アドレス。

イングレスポートとVLAN。(この一致基準を持つフィルターを、そのポートを含むレイヤー2ポートとVLANに同時に適用することはできません)。

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを照合します。

イングレスポートとVLAN。

is-fragment

この条件を使用すると、IPヘッダーでMore Fragmentsフラグが有効になっている場合、またはフラグメントオフセットがゼロではない場合に一致します。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

l2-encap-type llc-non-snap

非サブネットアクセスプロトコル(SNAP)イーサネットカプセル化タイプの論理リンク制御(LLC)層パケットに一致します。

イングレスポートとVLAN。

ポートとVLANを出力します。

label

MPLSラベルビットに一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

learn-vlan-id number

通常のVLANのIDまたは外部(サービス)VLANのID(Q-in-Q VLANの場合)に一致します。許容値は 1 から 4095 です。

イングレスポートとVLAN。

ポートとVLANを出力します。

mac-address mac-address

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソース メディア アクセス制御(MAC)アドレスに一致します。例：VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

Ingress/Egress(システム全体)

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)、icmp (1)、 icmp6 (58)、 igmp (2)、 ipip (4)、 tcp (6)、 egp (8)、 udp (17)、 ipv6 (41)、 routing (43)、 fragment (44)、rsvp (46)、 gre (47)、 esp (50)、 ah (51)、 icmp6 (58)、 no-next-header (59)、 dstopts (60)、 ospf (89)、 pim (103)、 vrrp (112)、 sctp (132)

イングレスポート、VLAN、およびIPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス

packet-length

パケットの長さ (バイト単位)。0 から 65535 までの値を入力する必要があります。

イングレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

payload-protocol

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)、icmp (1)、 icmp6 (58)、 igmp (2)、 ipip (4)、 tcp (6)、 egp (8)、 udp (17)、 ipv6 (41)、 routing (43)、 fragment (44)、rsvp (46)、 gre (47)、 esp (50)、 ah (51)、 icmp6 (58)、 no-next-header (59)、 dstopts (60)、 ospf (89)、 pim (103)、 vrrp (112)、 sctp (132)

イングレスポート、VLAN、およびIPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス

Port qualifier

ポート修飾子は、パケット転送エンジンに 2 つのエントリをインストールします。1つは送信元ポートで、もう1つは宛先ポートです。

イングレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先順位ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)、icmp (1)、 icmp6、 igmp (2)、 ipip (4)、 tcp (6)、 egp (8)、 udp (17)、 ipv6 (41)、 routing (43)、 fragment (44)、rsvp (46)、 gre (47)、 esp (50)、 ah (51)、 icmp6 (58)、 no-next-header (59)、 dstopts (60)、 ospf (89)、 pim (103)、 vrrp (112)、 sctp (132)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

rat-type tech-type-value

PMIPv4（プロキシモバイルIPv4）アクセス技術タイプ拡張の8ビットTech-Typeフィールドで指定されたRAT（無線アクセス技術）タイプに一致します。テクノロジータイプは、モバイルデバイスがアクセスネットワークに接続されたアクセス技術を指定します。単一の値、値の範囲、または値のセットを指定します。0～255の数値、またはシステム キーワードとして技術タイプを指定できます。

• 数値1は、IEEE 802.3 に一致します。

• 数値2は、IEEE 802.11a/b/gに一致します。

• 数値3は、IEEE 802.16eに一致します

• 数値4は、IEEE 802.16mに一致します。

• テキスト文字列 eutran は4Gに一致します。

• テキスト文字列 geran は2Gに一致します。

• テキスト文字列 utranは3Gに一致します。

エグレスおよびイングレスIPv4(inet)インターフェイス

sample

パケットトラフィックをサンプルします。このオプションは、トラフィックサンプリングを有効にしている場合にのみ適用してください。

エグレスおよびイングレスIPv4(inet)インターフェイス

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレス フィールド。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

source-mac-address mac-address

パケットの送信元メディアアクセス制御(MAC)アドレス

イングレスポートとVLAN。

ポートとVLANを出力します。

source-port value

TCP または UDP 送信元ポート通常、この一致は protocol 一致ステートメントと組み合わせて指定します。数値 フィールドの代わりに、 の下に記載されているテキスト シノニムの 1 つを指定しますdestination-port。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

Egress IPv4(inet)インターフェイス

source-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の送信元ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

source-prefix-list prefix-list

IP ソース プレフィックス リスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-established

確立されたTCPスリーウェイハンドシェイク接続(SYN、SYN-ACK、ACK)のパケットを照合します。一致しない唯一のパケットは、SYNビットのみが設定されているため、ハンドシェイクの最初のパケットです。このパケットでは、一致条件として tcp-initial を指定する必要があります。

tcp-established を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-flags value

1 つ以上の TCP フラグ:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグ SYN が設定され、TCP フラグ ACK が設定されていない場合、一致が発生します。

tcp-initial を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

traffic-class

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィック クラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

af11 (10)、 af12 (12)、 af13 (14)、 af21 (18)、 af22 (20)、 af23 (22)、 af31 (26)、 af32 (28)、 af33 (30)、 af41 (34)、 af42 (36)、 af43 (38)、 cs0 (0)、 cs1 (8)、 cs2 (16)、 cs3 (24)、 cs4 (32)、 cs5 (40)、 cs6 (48)、 cs7 (56)、 ef (46)

イングレスポート、VLAN、およびIPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス

ttl value

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

user-vlan-1p-priority value

0-7の範囲で指定された802.1p VLAN優先度に一致します。

イングレスおよびエグレスのポートとVLAN。

user-vlan-id number

Q-in-Q VLANの内部(顧客)VLANのIDに一致します。許容値は 1 から 4095 です。

イングレスおよびエグレスのポートとVLAN。

vlan-id <vlan id> | <vlan-range> | <vlan list>

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する場合は、VLAN 識別子、 vlan-range (VLAN グループの最初と最後の VLAN ID 番号)、または vlan list (番号のリスト)を照合します。例：VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

Ingress/Egress(システム全体)

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4メッセージ(タイプ3)を送信します。拒否されたパケットをログに記録するには、 syslog アクション修飾子を設定します。

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または tcp-reset。

tcp-reset を指定した場合、パケットが TCP パケットの場合は TCP リセットを送信します。それ以外の場合は何も送信されません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。

vlan VLAN-name

一致したパケットを特定のVLANに転送します。

analyzer analyzer-name

(非ELSプラットフォーム)トラフィックをミラーリング(パケットをコピー)し、 [edit ethernet-switching-options analyzer] 階層レベルで設定されたアナライザーにミラーリングします。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

count counter-name

条件に一致するパケットの数をカウントします。

decapsulate [gre | routing-instance]

カプセル化解除されたGREパケット、またはカプセル化解除されたGREパケットを指定されたルーティングインスタンスに転送します

dscp value

差別化されたサービス コード ポイント（DSCP）です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• be- ベスト エフォート(デフォルト)

• ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

• af11 (10)、 af12 (12)、 af13 (14);

  af21 (18)、 af22 (20)、 af23 (22);

  af31 (26)、 af32 (28)、 af33 (30);

  af41 (34)、 af42 (36)、 af43 (38)

  これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

• cs0、 cs1、 cs2、 cs3、 cs4、 cs5、 cs6、 cs7、 cs5

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

gbp-src-tag

(QFX5120およびEX4650のみ)

グループベースのポリシーソースタグ(0..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例：VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

gbp-tag

(EX4100、EX4400、EX4650およびQFX5120)

グループベースのポリシーソースタグ(1..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例：VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

interface

指定されたインターフェイスに、ルックアップを実行せずにトラフィックをスイッチします。このアクションは、フィルターがイングレスに適用される場合にのみ有効です。

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 show firewall log 動作モード コマンドを入力します。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

policer policer-name

パケットをポリサーに送信します(レート制限を適用するため)。

イングレスポート、VLAN、IPv4(inet)、IPv6(inet6)、MPLSフィルターのポリサーを指定できます。

port-mirror

(ELSプラットフォーム) [edit forwarding-options port-mirroring] 階層レベルのポートミラーリングインスタンスで設定された出力インターフェイスにトラフィックをミラーリング(パケットをコピー)。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELSプラットフォーム) [edit forwarding-options port-mirroring] 階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

syslog

このパケットのアラートをログに記録します。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

イングレスおよびエグレスポート、VLAN、IPv4(inet)、IPv6(inet6)、MPLSフィルターに3色のポリサーを指定できます。

arp-type

ARP 要求パケットまたは ARP 応答パケット。

イングレスおよびエグレスのポートとVLAN

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

イングレスおよびエグレスのIPv4およびIPv6インターフェイス

イングレスポートとVLAN

destination-mac-address mac-address

パケットの宛先MACアドレス。

イングレスおよびエグレスのポートとVLAN

destination-port value

TCPまたはUDP宛先ポートフィールド。IPv4 トラフィックの場合は protocol 一致ステートメント、IPv6 トラフィックの場合は next-header 一致ステートメントでこの一致を指定する必要があります。

以下の既知のポートおよびポート番号については、テキスト同義語を指定できます。

afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、

cmd (514)、 cvspserver (2401)、

dhcp (67)、 domain (53)、

eklogin (2105)、 ekshell (2106)、 exec (512)、

finger (79)、 ftp (21)、 ftp-data (20)、

http (80)、 https (443)、

ident (113)、 imap (143)、

kerberos-sec (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、

ldap (389)、 login (513)、

mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、

netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、

pop3 (110)、 pptp (1723)、 printer (515)、

radacct (1813)、radius (1812)、 rip (520)、 rkinit (2108)、

smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、

tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、

who (513)、

xdmcp (177)、

zephyr-clt (2103)、zephyr-hm (2104)

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス。

イングレスポートとVLAN

destination-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレス IPv4 インターフェイス

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレスおよびエグレスのIPv4およびIPv6インターフェイス

イングレスポートとVLAN。

dscp value

差別化されたサービス コード ポイント（DSCP）です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニムおよびフィールドのいずれかを指定します。

• be- ベスト エフォート(デフォルト)

• ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

• af11 (10)、 af12 (12)、 af13 (14);

  af21 (18)、 af22 (20)、 af23 (22);

  af31 (26)、 af32 (28)、 af33 (30);

  af41 (34)、 af42 (36)、 af43 (38)

  これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

• cs0、 cs1、 cs2、 cs3、 cs4、 cs5、 cs6、 cs7、 cs5

ingress/egress IPv4インターフェイス

イングレスポートとVLAN

ether-type value

パケットのイーサネット タイプ フィールドです。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、以下のテキスト同義語のいずれかを指定できます。フィールド値も一覧表示されます。

• aarp (0x80F3)- イーサタイプ値 AARP

• appletalk (0x809B)- EtherType 値 アップルトーク

• arp (0x0806)- イーサタイプ値ARP

• fcoe (0x8906)- イーサタイプ値 FCoE

• fip (0x8914)- イーサタイプ値 FIP

• ipv4 (0x0800)- イーサタイプ値 IPv4

• ipv6 (0x08DD)- イーサタイプ値 IPv6

• mpls-multicast (0x8848)- EtherType値MPLSマルチキャスト

• mpls-unicast (0x8847)- イーサタイプ値MPLSユニキャスト

• oam (0x88A8)- イーサタイプ値 OAM

• ppp (0x880B)- イーサタイプ値 PPP

• pppoe-discovery (0x8863)- EtherType値PPPoEディスカバリーステージ

• pppoe-session (0x8864)- EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)- イーサタイプ値 SNA

イングレスおよびエグレスのポートとVLAN

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。フラグメントパケットの追跡フラグメントである場合のパケットの一致を回避する。フラグメント パケットの最初のフラグメントのフラグメント オフセット値は 0 です。

この一致条件は、ビットフィールド一致条件フラグメントオフセット0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます: first-fragment と is-fragment。

イングレス IPv4 インターフェイス

icmp-code value

ICMP コード フィールドです。値の意味は関連する icmp-typeによって異なるため、 icmp-type の値と icmp-codeの値を指定する必要があります。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

• IPv4: parameter-problem—ip-header-bad (0)、 required-option-missing (1)

• IPv6: parameter-problem—ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)

• redirect—redirect-for-network (0)、 redirect-for-host (1)、 redirect-for-tos-and-net (2)、 redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 到達不能—network-unreachable (0)、 host-unreachable (1)、 protocol-unreachable (2)、 port-unreachable (3)、 fragmentation-needed (4)、 source-route-failed (5)、 destination-network-unknown (6)、 destination-host-unknown (7)、 source-host-isolated (8)、 destination-network-prohibited (9)、 destination-host-prohibited (10)、 network-unreachable-for-TOS (11)、 host-unreachable-for-TOS (12)、 communication-prohibited-by-filtering (13)、 host-precedence-violation (14)、 precedence-cutoff-in-effect (15)

• IPv6: 到達不能—address-unreachable (3)、 administratively-prohibited (1)、 no-route-to-destination (0)、 port-unreachable (4)

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

icmp-type value

ICMP メッセージ タイプ フィールドです。この一致は、 protocol 一致ステートメントとともに指定する必要があります。この一致は、IPv4トラフィックの場合はポートで使用されているプロトコル、IPv6トラフィックの場合は next-header 一致ステートメントを決定します。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

IPv4: echo-reply (0)、 destination unreachable (3)、 source-quench (4)、 redirect (5)、 echo-request (8)、 IPv4 (inet)-advertisement (9)、 IPv4 (inet)-solicit (10)、 time-exceeded (11)、 parameter-problem (12)、 timestamp (13)、 timestamp-reply (14)、 info-request (15)、 info-reply (16)、 mask-request (17)、 mask-reply (18)

IPv6: destination-unreachable (1)、 packet-too-big (2)、 time-exceeded (3)、 parameter-problem (4)、 echo-request (128)、 echo-reply (129)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 router-solicit (133)、 router-advertisement (134)、 neighbor-solicit (135)、 neighbor-advertisement (136)、 redirect (137)、 router-renumbering (138)、 node-information-request (139)、 node-information-reply (140)

icmp-code variableも参照してください。

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

interface interface-name

論理ユニットを含む、パケットを受信したインターフェイス。ワイルドカード文字(*)は、インターフェイス名または論理ユニットの一部として含めることができます。

イングレスポートとVLAN

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレスポートとVLAN

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成する any を指定します。

イングレス IPv4 インターフェイス

ip-protocol number

IP プロトコル フィールドです。

イングレスポートとVLAN

ip-precedence ip-precedence-field

IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、または routine (0x00)。

イングレスポートとVLAN

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを照合します。

イングレスポートとVLAN

この条件を使用すると、IPヘッダーでMore Fragmentsフラグが有効になっている場合、またはフラグメントオフセットがゼロではない場合に一致します。

ingress/egress IPv4インターフェイス(QFX5220)

イングレスIPv4インターフェイス(QFX5130)

MAC 学習用の VLAN 識別子。

Ingress/EgressポートとVLAN(QFX5220)

イングレスポートおよびVLAN(QFX5130)

プロバイダVLANタグのIEEE 802.1p学習VLAN優先度ビット(802.1Q VLANタグを持つ単一タグフレーム内の唯一のタグ、または802.1Q VLANタグを持つ二重タグフレーム内の外部タグ)に一致します。単一の値または0から7までの複数の値を指定してください。

イングレスポートとVLAN

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)、icmp (1)、 icmp6 (58)、 igmp (2)、 ipip (4)、 tcp (6)、 egp (8)、 udp (17)、 ipv6 (41)、 routing (43)、 fragment (44)、rsvp (46)、 gre (47)、 esp (50)、 ah (51)、 icmp6 (58)、 no-next-header (59)、 dstopts (60)、 ospf (89)、 pim (103)、 vrrp (112)、 sctp (132)

ingress/egress IPv6インターフェイス

packet-length

パケットの長さ (バイト単位)。0 から 65535 までの値を入力する必要があります。

イングレス IPv4 および IPv6 インターフェイス

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先順位ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

ingress/egress IPv4インターフェイス

protocol type

IP プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)、icmp (1)、 icmp6、 igmp (2)、 ipip (4)、 tcp (6)、 egp (8)、 udp (17)、 ipv6 (41)、 routing (43)、 fragment (44)、rsvp (46)、 gre (47)、 esp (50)、 ah (51)、 icmp6 (58)、 no-next-header (59)、 dstopts (60)、 ospf (89)、 pim (103)、 vrrp (112)、 sctp (132)tcp (4)

イングレスおよびエグレス IPv4 インターフェイス。

イングレス IPv4 インターフェイスおよび VLAN

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレス フィールド。

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

source-mac-address mac-address

パケットの送信元メディアアクセス制御(MAC)アドレス

ingress/egress IPv4 インターフェイスおよび VLAN

source-port value

TCP または UDP 送信元ポートIPv4 トラフィックの場合は protocol 一致ステートメント、IPv6 トラフィックの場合は next-header 一致ステートメントと組み合わせて指定する必要があります。

数値 フィールドの代わりに、 の下に記載されているテキスト シノニムの 1 つを指定しますdestination-port。

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

source-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の送信元ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレス IPv4 インターフェイス

source-prefix-list prefix-list

IP ソース プレフィックス リスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

確立されたTCPセッションのTCPパケット（接続のパケットの最初のパケット以外のパケット）に一致します。これは、 tcp-flags "(ack | rst)".

この一致条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、 protocol tcp一致条件を指定します。

ingress/egress IPv4インターフェイス(QFX5220)

ingress/egress IPv4インターフェイス(QFX5130)

イングレスIPv6インターフェイス(QFX5130)

tcp-flags value

TCP フラグ (1 つの値のみがサポートされます):

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

接続の最初の TCP パケットに一致します。TCP フラグ SYN が設定され、TCP フラグ ACK が設定されていない場合、一致が発生します。

tcp-initial を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。「protocol type」を参照してください。

ingress/egress IPv4インターフェイス(QFX5220)

イングレスおよびエグレスIPv4インターフェイス、イングレスIPv6インターフェイス(QFX5130)

traffic-class

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィック クラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

af11 (10)、 af12 (12)、 af13 (14)、 af21 (18)、 af22 (20)、 af23 (22)、 af31 (26)、 af32 (28)、 af33 (30)、 af41 (34)、 af42 (36)、 af43 (38)、 cs0 (0)、 cs1 (8)、 cs2 (16)、 cs3 (24)、 cs4 (32)、 cs5 (40)、 cs6 (48)、 cs7 (56)、 ef (46)

ingress/egress IPv6インターフェイス

ttl value

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。

ingress/egress IPv4インターフェイス

user-vlan-id number

Q-in-Q VLANの内部(顧客)VLANのIDに一致します。許容値は 1 から 4095 です。

イングレスポートおよびVLAN(QFX5130)

user-vlan-1p-priority value

0-7の範囲で指定された802.1p VLAN優先度に一致します。

イングレスポートおよびVLAN(QFX5130)

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

count counter-name

条件に一致するパケットの数をカウントします。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 show firewall log 動作モード コマンドを入力します。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

policer policer-name

パケットをポリサーに送信します(レート制限を適用するため)。

port-mirror

[edit forwarding-options port-mirroring]階層レベルのポートミラーリングインスタンスで設定された出力インターフェイスにトラフィックをミラーリング(パケットをコピー)。

port-mirror-instance port-mirror-instance-name

[edit forwarding-options port-mirroring]階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4メッセージ(タイプ3)を送信します。拒否されたパケットをログに記録するには、 syslog アクション修飾子を設定します。

以下のいずれかのメッセージ・タイプを指定できます。 administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

vlan VLAN-name

一致したパケットを特定のVLANに転送します。

これらのプラットフォームでこのアクションプロファイルを有効化するには、 set system packet-forwarding-options firewall profiles actions ethernet-switching profile1 設定を適用する必要があります。vlan vlanIDアクションは、ポートおよびVLANファイアウォールフィルタールールで設定できます。