Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの一致条件とアクション(QFXおよびEXシリーズスイッチ)

ファイアウォールフィルターの一致条件とアクション(EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5700)

ファイアウォールフィルターの各条件は、 一致条件アクションで構成されています。一致条件は、一致と見なされるためにパケットに含める必要があるフィールドと値です。一致ステートメントでは、単一または複数の一致条件を定義できます。また、一致しないステートメントを含めることもできます。この場合、条件はすべてのパケットに一致します。

パケットがフィルターに一致すると、スイッチは条件で指定されたアクションを実行します。さらに、アクション修飾子を指定して、パケットのカウント、ミラーリング、レート制限、分類を行うことができます。条件に一致条件が指定されていない場合、スイッチはデフォルトでパケットを受け入れます。

  • 表 1 は、ファイアウォールフィルターを設定する際に指定できる一致条件について説明します。数値範囲とビットフィールド一致条件の中には、テキスト シノニムを指定できるものもあります。一致条件のすべての同義語の一覧を表示するには、ステートメントの適切な場所にを入力 ? します。

  • 表 2 は、条件で指定できるアクションを示しています。

  • 表 3 は、パケットのカウント、ミラーリング、レート制限、分類に使用できるアクション修飾子を示しています。

特定のスイッチの一致条件には、以下の制限が適用されます。

(QFX5100、QFX5110、QFX5200)IPv6インターフェイスでフィルターベースの転送を使用する場合、これらの一致条件のみが(イングレス方向)でサポートされます。source-address、 、 destination-addresssource-prefix-listdestination-prefix-listsource-portdestination-porthop-limit、 、icmp-typeおよび next-header

(QFX5110)階層の下で オプションをegress-to-ingress[edit firewall]有効にすると、 、 discardおよび count アクションのみがacceptサポートされます。

(QFX5100、QFX5110、QFX5120、QFX5130-32CD、QFX5220、QFX5700)EVPN-VXLAN環境では、以下の一致条件のみがサポートされます。source-addressdestination-addresssource-portdestination-portttlip-protocol、および user-vlan-id

(QFX5100、QFX5110、QFX5200)EVPN-VXLAN IRBインターフェイスのエグレス方向にファイアウォールフィルターを適用することはできません。

(QFX5700)ループバックインターフェイスのエグレス方向にファイアウォールフィルターを適用することはできません。

(QFX5100、QFX5110)ファイアウォールフィルターを使用してEVPN-VXLAN環境にMACフィルタリングを実装する場合、サポートされる一致条件については、 EVPN-VXLAN環境のMACフィルタリング、ストーム制御、ポートミラーリングサポート を参照してください。

(QFX5100、QFX5110)VXLANに適用するファイアウォールフィルターごとに、 を指定してレイヤー2(イーサネット)パケットをフィルタリングするか、IRBfamily inetインターフェイスでフィルタリングするように指定family ethernet-switchingできます。IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。

レイヤー 2 機能をサポートしていないスイッチでは、IPv4 および IPv6 インターフェイスに有効な一致条件のみを使用します。

(QFX5120、EX4650)Junos リリース 21.4R1 以降、QFX5120 および EX4650 の EVPN-VXLAN 環境では、以下の一致条件がサポートされています。gbp-src-tag、および gbp-dst-tag.

Junos OSリリース21.4R1以降、ソースポート範囲最適化および宛先ポート範囲最適化条件が 階層レベルで [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] サポートされています。これにより、TCAM スペースの使用量が大幅に削減されます。ソースポート範囲最適化および宛先ポート範囲最適化一致条件を設定したQFX5100スイッチでは、最大24個の非連続送信元ポート範囲および宛先ポート範囲一致条件がサポートされます。24 を超える連続していない照合条件が設定されている場合、エラーが発生する可能性があります。

Junos リリース 22.4R1 以降、サポートされている EX4100、EX4400、EX4650、QFX5120 シリーズ スイッチで EVPN-VXLAN 環境の GBP タグに対して、以下の一致条件がサポートされています。ip-version ipv4ip-version ipv6mac-addressvlan-idinterface + vlan-id の組み合わせ、 .interface

Junosリリース23.2R1以降、新しいIPV4およびIPv6 L4の一致がサポートされ、EX4100シリーズ、EX4400シリーズ、EX4650シリーズ、QFX5120-32C、QFX5120-48Yスイッチのポリシー適用がサポートされています。

表 1: ファイアウォールフィルターでサポートされている一致条件

一致条件

説明

方向とインターフェイス

arp-type

ARPリクエストパケットまたはARP返信パケット。

エグレスインターフェイスとイングレスインターフェイス。

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレスフィールド。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス、および IPv6(inet6)インターフェイス。

destination-mac-address mac-address

パケットの宛先 MAC(メディア アクセス制御)アドレス。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレスポートとVLAN。

destination-port value

TCP または UDP 宛先ポート フィールド。通常、 一致ステートメントと合わせてこの一致を protocol 指定します。以下のウェルノウンポートでは、テキストシノニムを指定できます(ポート番号も記載されています)。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

destination-port range-optimize range

利用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲に一致します。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールド。頻繁に使用するプレフィックスリストエイリアスの下で、IPアドレスプレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

dscp value

差別化されたサービス コード ポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進、2 進、または 10 進形式で指定できます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • beベストエフォート(デフォルト)

  • ef (46)RFC 3246Expedited Forwarding PHBで定義されています。

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントに対して、RFC 2597、Assured Forwarding PHB で定義されています。

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ether-type value

パケットのイーサネット タイプ フィールド。EtherType 値は、どのプロトコルがイーサネット フレームで転送されているかを指定します。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • aarp (0x80F3)—EtherType 値 AARP

  • appletalk (0x809B)イーサタイプ値AppleTalk

  • arp (0x0806)—EtherType 値 ARP

  • fcoe (0x8906)—EtherType 値 FCoE

  • fip (0x8914)— EtherType 値 FIP

  • ipv4 (0x0800)—EtherType 値 IPv4

  • ipv6 (0x08DD)—EtherType 値 IPv6

  • mpls-multicast (0x8848)— EtherType 値 MPLS マルチキャスト

  • mpls-unicast (0x8847)— EtherType Value MPLS ユニキャスト

  • oam (0x88A8)—EtherType 値 OAM

  • ppp (0x880B)-イーサタイプ値PPP

  • pppoe-discovery (0x8863)—EtherType 値 PPPoE 検出ステージ

  • pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

  • sna (0x80D5)-EtherType 値SNA

イングレスポートとVLAN。

エグレスポートとVLAN。

egress-to-ingress

エグレスVLANファイアウォールフィルター条件の数を1024から2048に増やすには、このオプションを含めます。

エグレスVLAN IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

exp

MPLS EXP ビットで一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、以下のテキスト シノニム(16 進値も記載されています)のいずれかを指定します。

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

イングレスポートとVLAN。

gbp-dst-tag

ここで説明するように、VXLAN 上のマイクロセグメンテーションで使用するために、宛先タグに一致します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション

適用外

gbp-src-tag

ここで説明するように、VXLAN 上のマイクロセグメンテーションで使用するために、送信元タグに一致します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション

適用外

icmp-code value

ICMP コード フィールドです。値の意味は関連 icmp-typeするによって異なるため、 の値 icmp-type と に を icmp-code指定する必要があります。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

  • IPv4: parameter-problem—ip-header-bad (0)required-option-missing (1)

  • IPv6: parameter-problem—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: unreachable—network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)、 、 destination-network-prohibited (9)destination-host-prohibited (10)host-precedence-violation (14)source-host-isolated (8)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

  • IPv6: unreachable—address-unreachable (3)administratively-prohibited (1)、 、 no-route-to-destination (0)port-unreachable (4)

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。単一の値または 0~255 の値の範囲を指定します。

Ingressおよびegress IPv6(inet6)インターフェイス。

注:

QFX3500、QFX3600、QFX5100、QFX5120、QFX5110、QFX5200、QFX5210 スイッチの出口方向ではサポートされていません。

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

ここで説明するように、VXLAN 上のマイクロセグメンテーションで使用するために、IPv4 または IPv6 の送信元または宛先アドレスに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

Ingressおよびegress(システム全体)。

ip-version ipv4 destination-port DST_PORT

で説明されているように、GBP ポリシー フィルター L4 一致で使用するために TCP/UDP 宛先ポートに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 source-port SRC_PORT

で説明されているように、GBPポリシーフィルターL4一致で使用するために使用するTCP/UDP送信元ポートに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 ip-protocol PROTOCOL

で説明されているように、GBP ポリシー フィルター L4 一致で使用する IP プロトコル タイプに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 is-fragment

で説明されているように、GBP ポリシー フィルター L4 一致で使用するために、パケットがフラグメントの場合に一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 fragment-flag FLAGS

で説明されているように、GBPポリシーフィルターL4の一致で使用するために、フラグメントフラグを(記号形式または16進形式で)一致させます。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 ttlValue

10進数のIP TTL(Time-to-Live)フィールド。値は 1~255 です。で説明されているように、GBPポリシーフィルターL4一致で使用する場合:例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 tcp-flagsFLAGS

1つ以上のTCPフラグを(記号形式または16進形式で)照合し、GBPポリシーL4一致で使用します(で説明)。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 tcp-initial

接続の最初の TCP パケットに一致します。で説明されているように、GBP ポリシー L4 一致で使用する場合:例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 tcp-established

で説明されているように、GBPポリシーL4一致で使用するために、確立されたTCP接続のパケットに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 source-port SRC_PORT

で説明されているように、GBP ポリシー L4 一致で使用するために TCP/UDP 送信元ポートに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 destination-port DST_PORT

で説明されているように、GBPポリシーフィルターL4一致で使用するために使用するTCP/UDP宛先ポートに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 next-header PROTOCOL

で説明されているように、GBP ポリシー L4 一致で使用するために、次のヘッダー プロトコル タイプに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 tcp-flagsFLAGS

で説明されているように、GBPポリシーL4一致で使用するためにTCPフラグに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 tcp-initial

で説明されているように、確立された TCP 接続の最初のパケットに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 tcp-established

の説明に従って、確立された TCP 接続のパケットに一致します。例:VXLANにおけるグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション

イングレスのみ。

icmp-type value

ICMP メッセージ タイプ フィールドです。通常、 一致ステートメントと組み合わせてこの一致を protocol 指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

IPv4: echo-reply (0)、 、 、 destination unreachable (3)source-quench (4)、 、 redirect (5)echo-request (8)、 、 timestamp (13)info-reply (16)time-exceeded (11)mask-request (17)parameter-problem (12)info-request (15)timestamp-reply (14)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)mask-reply (18)

IPv6: destination-unreachable (1)、 、 packet-too-big (2)、 、 time-exceeded (3)、 、 parameter-problem (4)echo-request (128)echo-reply (129)、 、 router-advertisement (134)neighbor-solicit (135)membership-report (131)router-solicit (133)node-information-request (139)membership-termination (132)neighbor-advertisement (136)redirect (137)router-renumbering (138)membership-query (130)node-information-reply (140)

詳細については、 も icmp-code variable参照してください。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

interface interface-name

論理ユニットを含む、パケットを受信するインターフェイス。インターフェイス名または論理ユニットの一部としてワイルドカード文字(*)を含めることができます。

注:

パケットが送信されるインターフェイスは、一致条件として使用できません。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノードアドレスである IPv4 アドレス。

イングレスポートとVLAN。

ip6-destination-address address

パケットの最終宛先ノードアドレスである IPv6 アドレス。

イングレスポートとVLAN。(この一致条件を持つフィルターを、そのポートを含むレイヤー 2 ポートと VLAN に同時に適用することはできません。

ip-options

IP ヘッダーの オプション フィールドに何かを指定した場合に、一致を作成するように指定 any します。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ip-precedence ip-precedence-field

IP 優先度フィールド。数値フィールド値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp (0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine (0x00)。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ip-protocol number

IPプロトコルフィールド。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN。

ip6-source-address address

パケットを送信する送信元ノードの IPv6 アドレス。

イングレスポートとVLAN。(この一致条件を持つフィルターを、そのポートを含むレイヤー 2 ポートと VLAN に同時に適用することはできません。

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを一致させます。

イングレスポートとVLAN。

is-fragment

この条件を使用すると、IP ヘッダーで More Fragments フラグが有効になっている場合、またはフラグメント オフセットがゼロでない場合に一致します。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

l2-encap-type llc-non-snap

非サブネットアクセスプロトコル(SNAP)イーサネットカプセル化タイプの論理リンク制御(LLC)レイヤーパケットで一致します。

イングレスポートとVLAN。

エグレスポートとVLAN。

label

MPLS ラベル ビットで一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

learn-vlan-id number

通常の VLAN の ID または外部(サービス)VLAN の ID(Q-in-Q VLAN の場合)を照合します。許容される値は 1~4095 です。

注:

QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5220、EX4600、 EX4650、EX4400、EX4100、EX4300-MP スイッチではサポートされていません。一致条件を user-vlan-id 使用して、外部 VLAN ID と一致させます。

イングレスポートとVLAN。

エグレスポートとVLAN。

mac-address mac-address

ここで説明するように、VXLAN 上のマイクロセグメンテーションで使用するために、送信元 MAC(メディア アクセス制御)アドレスに一致します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション

Ingress/egress(システム全体)

.

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレスポート、VLAN、IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

packet-length

パケット長(バイト単位) 0~65535の値を入力する必要があります。

イングレスポート、VLAN、IPv4(inet)、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

payload-protocol

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

注:

QFX3500、QFX3600、QFX5100、QFX5110、QFX5200、QFX5210スイッチではサポートされていません。

イングレスポート、VLAN、IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

Port qualifier

ポート修飾子は、パケット転送エンジンに2つのエントリーをインストールします。1つは送信元ポート、もう1つは宛先ポートです。

イングレスポート、VLAN、IPv4(inet)、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先度ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

rat-type tech-type-value

プロキシーモバイルIPv4(PMIPv4)アクセス技術タイプ拡張の8ビット技術タイプフィールドで指定されたRAT(無線アクセス技術)タイプに一致します。テクノロジ タイプは、モバイル デバイスがアクセス ネットワークに接続されるアクセス技術を指定します。単一の値、値の範囲、または値のセットを指定します。テクノロジータイプは、0~255の数値またはシステムキーワードとして指定できます。

  • 数値 1 は、IEEE 802.3 に一致します。

  • 数値 2 は、IEEE 802.11a/b/g に一致します。

  • 数値 3 は、IEEE 802.16e に一致します。

  • 数値 4 は、IEEE 802.16m に一致します。

  • テキスト文字列 eutran は4Gに一致します。

  • テキスト文字列 geran は 2G に一致します。

  • テキスト文字列 utran は3Gに一致します。

エグレスおよびイングレス IPv4(inet)インターフェイス。

sample

パケット トラフィックをサンプルします。トラフィックサンプリングを有効にしている場合にのみ、このオプションを適用します。

エグレスおよびイングレス IPv4(inet)インターフェイス。

source-address ip-address

IP 送信元アドレス フィールドは、パケットを送信したノードのアドレスです。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

source-mac-address mac-address

パケットの MAC(送信元メディア アクセス制御)アドレス。

イングレスポートとVLAN。

エグレスポートとVLAN。

source-port value

TCP または UDP 送信元ポート。通常、 一致ステートメントと合わせてこの一致を protocol 指定します。数値フィールドの代わりに、 の下 destination-portに記載されているテキスト同義語の1つを指定できます。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

source-port range-optimize range

利用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲に一致します。この条件を使用すると、個々の送信元ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

source-prefix-list prefix-list

IP 送信元プレフィックス リスト。頻繁に使用するプレフィックスリストエイリアスの下で、IPアドレスプレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-established

確立された TCP スリーウェイ ハンドシェイク接続(SYN、SYN-ACK、ACK)のパケットを照合します。一致しない唯一のパケットは、SYNビットのみが設定されているため、ハンドシェイクの最初のパケットです。このパケットでは、 一致条件として を指定 tcp-initial する必要があります。

を指定 tcp-establishedすると、スイッチはプロトコルがTCPであることを暗示的に確認しません。また、 一致条件も指定する protocol tcp 必要があります。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-flags value

1 つ以上の TCP フラグ:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグが設定されており、TCP フラグ SYN が設定されていない場合、 ACK 一致が発生します。

を指定 tcp-initialすると、スイッチはプロトコルがTCPであることを暗示的に確認しません。また、 一致条件も指定する protocol tcp 必要があります。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

traffic-class

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィッククラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 と同じです。

以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定できます。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

イングレスポート、VLAN、IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

ttl value

10進数のIP TTL(Time-to-Live)フィールド。値は 1~255 です。

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

user-vlan-1p-priority value

範囲 0-7の指定された 802.1p VLAN 優先度に一致します。

IngressおよびegressポートとVLAN。

user-vlan-id number

Q-in-Q VLAN の内部(顧客)VLAN の ID を照合します。許容される値は 1~4095 です。

注:

QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600、 EX4650、EX4400、EX4100、EX4300-MP スイッチでは、外部VLANのIDを一致させるために使用 user-vlan-id します。

QFX5220シリーズスイッチ、およびMXおよびACXシリーズルーターでは、外部VLANのIDと一致し、内側VLANのIDをuser-vlan-id 一致させるために使用learn-vlan-idします。以前は、外部 VLAN ID の一致に使用 user-vlan-id できました。

IngressおよびegressポートとVLAN。

vlan-id <vlan id>

ここで説明するように、VXLAN 上のマイクロセグメンテーションで使用するために、VLAN 識別子に一致します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション

Ingress/egress(システム全体)

ステートメントを使用して then 、パケットがステートメント内のすべての条件に一致した場合に発生するアクションを from 定義します。 表 2は、条件で指定できるアクションを示しています。(ステートメントを then 含まない場合、システムはフィルターに一致するパケットを受け入れます。

表 2: ファイアウォールフィルターのアクション

対処

説明

accept

パケットを受け入れます。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4 メッセージ(タイプ 3)を送信します。拒否されたパケットをログに記録するには、 アクション修飾子を syslog 設定します。

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または tcp-reset.

を指定 tcp-resetした場合、パケットが TCP パケットである場合、システムは TCP リセットを送信します。それ以外の場合は何も送信しません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」はデフォルト メッセージ「通信管理上フィルタリングされた」と共に送信されます。

注:

アクションは reject 、イングレスインターフェイスでのみサポートされています。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。

vlan VLAN-name

一致したパケットを特定の VLAN に転送します。

注:

アクションは vlan 、イングレスインターフェイスでのみサポートされています。

注:

このアクションは、OCXシリーズスイッチではサポートされていません。

また、 に 表 3 記載されているアクション修飾子を指定して、パケットのカウント、ミラーリング、レート制限、分類を行うことができます。

表 3: ファイアウォール フィルターのアクション修飾子

アクション変更機能

説明

analyzer analyzer-name

(非 ELS プラットフォーム)階層レベルで設定されたアナライザにトラフィックをミラーリング(パケットを [edit ethernet-switching-options analyzer] コピー)します。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターにのみポートミラーリングを指定できます。

count counter-name

条件に一致するパケット数をカウントします。

decapsulate [gre | routing-instance]

GRE パケットのカプセル化解除またはカプセル化解除された GRE パケットを指定されたルーティング インスタンスに転送する

dscp value

差別化されたサービス コード ポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進、2 進、または 10 進形式で指定できます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • beベストエフォート(デフォルト)

  • ef (46)RFC 3246Expedited Forwarding PHBで定義されています。

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントに対して、RFC 2597、Assured Forwarding PHB で定義されています。

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

パケットを以下のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを設定するには、損失の優先度も設定する必要があります。

gbp-src-tag

(QFX5120およびEX4650のみ)

ここで説明するように、VXLAN のマイクロセグメンテーションで使用するグループベースのポリシー ソース タグ(0.65535)を設定します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション

gbp-tag

(EX4100、EX4400、EX4650、QFX5120)

ここで説明するように、VXLAN のマイクロセグメンテーションで使用するグループベースのポリシー ソース タグ(1.65535)を設定します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション

注: Junos OS リリース 22.4R1 以降に適用されます。

interface

トラフィックをルックアップを実行せずに、指定されたインターフェイスにトラフィックを切り替えます。このアクションは、フィルターがイングレスに適用されている場合にのみ有効です。

log

ルーティング エンジンにパケットのヘッダー情報を記録します。この情報を表示するには、 動作モード コマンドを show firewall log 入力します。

注:

logアクション修飾子は、イングレスインターフェイスでのみサポートされています。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

注:

loss-priorityアクション修飾子は、イングレスインターフェイスでのみサポートされています。

注:

loss-priorityアクション修飾子は、 アクションとpolicer組み合わせてサポートされていません。

policer policer-name

(レート制限を適用するために)ポリサーにパケットを送信します。

イングレスポート、VLAN、IPv4(inet)、IPv6(inet6)、およびMPLSフィルターにポリサーを指定できます。

注:

policerアクション修飾子は、 アクションとloss-priority組み合わせてサポートされていません。

port-mirror

(ELS プラットフォーム)階層レベルでポートミラーリングインスタンス [edit forwarding-options port-mirroring] で設定された出力インターフェイスにトラフィックをミラーリング(コピーパケット)します。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターにのみポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELS プラットフォーム)階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします [edit forwarding-options port-mirroring]

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターにのみポートミラーリングを指定できます。

注:

このアクション修飾子は、OCXシリーズスイッチではサポートされていません。

syslog

このパケットのアラートをログに記録します。

注:

syslogアクション修飾子は、イングレスインターフェイスでのみサポートされています。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

イングレス/エグレス ポート、VLAN、IPv4(inet)、IPv6(inet6)、MPLS フィルターに 3 色のポリサーを指定できます。

注:

policerアクション修飾子は、 アクションとloss-priority組み合わせてサポートされていません。

ファイアウォールフィルターの一致条件とアクション(QFX5220とQFX5130-32CD)

このトピックでは、QFX5220-CD、QFX5220-128C、およびQFX5130-32CDスイッチでサポートされているファイアウォールフィルターの一致条件、アクション、およびアクション修飾子について説明します。

ファイアウォールフィルターの各条件は、 一致条件アクションで構成されています。一致条件は、一致と見なされるためにパケットに含める必要があるフィールドと値です。一致ステートメントでは、単一または複数の一致条件を定義できます。また、一致しないステートメントを含めることもできます。この場合、条件はすべてのパケットに一致します。

パケットがフィルターに一致すると、スイッチは条件で指定されたアクションを実行します。一致条件を適用しない場合、スイッチはデフォルトでパケットを受け入れます。

  • 表 4は、IPv4()とIPv6(inetinet6)インターフェイスの一致条件を示しています。また、ポートと VLAN(ethernet-switching)の一致条件も含まれています。

  • 表 5 は、条件で指定できるアクションとアクション修飾子を示しています。

注:

一致条件の場合、数値範囲とビットフィールド一致条件の一部では、テキスト シノニムを指定できます。一致条件のすべての同義語の一覧を表示するには、ステートメントの適切な場所にを入力 ? します。

表 4: サポートされている一致条件(QFX5220およびQFX5130-32CDスイッチ)

一致条件

説明

方向とインターフェイス

arp-type

ARPリクエストパケットまたはARP返信パケット。

Ingress/egressポートとVLAN

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレスフィールド。

Ingress/egress IPv4およびIPv6インターフェイス

イングレス ポートと VLAN

destination-mac-address mac-address

パケットの宛先 MAC アドレス。

Ingress/egressポートとVLAN

destination-port value

TCP または UDP 宛先ポート フィールド。この一致は、IPv4トラフィックの protocol 一致ステートメント、またはIPv6トラフィックの next-header 一致ステートメントで指定する必要があります。

以下のウェルノウンポートとポート番号では、テキストシノニムを指定できます。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス。

イングレス ポートと VLAN

destination-port range-optimize range

利用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲に一致します。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。

イングレス IPv4 インターフェイス

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールド。頻繁に使用するプレフィックスリストエイリアスの下で、IPアドレスプレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

Ingress/egress IPv4およびIPv6インターフェイス

イングレスポートとVLAN。

dscp value

差別化されたサービス コード ポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進、2 進、または 10 進形式で指定できます。

数値の代わりに、リストされているテキスト シノニムとフィールドのいずれかを指定します。

  • beベストエフォート(デフォルト)

  • ef (46)RFC 3246Expedited Forwarding PHBで定義されています。

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントに対して、RFC 2597、Assured Forwarding PHB で定義されています。

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Ingress/egress IPv4インターフェイス

イングレス ポートと VLAN

ether-type value

パケットのイーサネット タイプ フィールド。EtherType 値は、どのプロトコルがイーサネット フレームで転送されているかを指定します。数値の代わりに、以下のテキスト シノニムのいずれかを指定できます。フィールド値も一覧表示されます。

  • aarp (0x80F3)—EtherType 値 AARP

  • appletalk (0x809B)イーサタイプ値AppleTalk

  • arp (0x0806)—EtherType 値 ARP

  • fcoe (0x8906)—EtherType 値 FCoE

  • fip (0x8914)— EtherType 値 FIP

  • ipv4 (0x0800)—EtherType 値 IPv4

  • ipv6 (0x08DD)—EtherType 値 IPv6

  • mpls-multicast (0x8848)— EtherType 値 MPLS マルチキャスト

  • mpls-unicast (0x8847)— EtherType Value MPLS ユニキャスト

  • oam (0x88A8)—EtherType 値 OAM

  • ppp (0x880B)-イーサタイプ値PPP

  • pppoe-discovery (0x8863)—EtherType 値 PPPoE 検出ステージ

  • pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

  • sna (0x80D5)-EtherType 値SNA

Ingress/egressポートとVLAN

first-fragment

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。フラグメント パケットの最後のフラグメントである場合、パケットの一致を回避します。フラグメント パケットの最初のフラグメントのフラグメント オフセット値は 0 です。

この一致条件は、ビットフィールド一致条件フラグメント オフセット 0 一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるためには、異なる一致条件を指定する 2 つの条件を使用できます。 first-fragment is-fragment

イングレス IPv4 インターフェイス

icmp-code value

ICMP コード フィールドです。値の意味は関連 icmp-typeするによって異なるため、 の値 icmp-type と に を icmp-code指定する必要があります。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

  • IPv4: parameter-problem—ip-header-bad (0)required-option-missing (1)

  • IPv6: parameter-problem—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: unreachable—network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)、 、 destination-network-prohibited (9)destination-host-prohibited (10)host-precedence-violation (14)source-host-isolated (8)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

  • IPv6: unreachable—address-unreachable (3)administratively-prohibited (1)、 、 no-route-to-destination (0)port-unreachable (4)

Ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

icmp-type value

ICMP メッセージ タイプ フィールドです。この一致は、 一致ステートメントと共に指定する protocol 必要があります。この一致は、IPv4 トラフィックのポートで使用されているプロトコル、または IPv6 トラフィックの next-header 一致ステートメントを決定します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

IPv4: echo-reply (0)、 、 、 destination unreachable (3)source-quench (4)、 、 redirect (5)echo-request (8)、 、 timestamp (13)info-reply (16)time-exceeded (11)mask-request (17)parameter-problem (12)info-request (15)timestamp-reply (14)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)mask-reply (18)

IPv6: destination-unreachable (1)、 、 packet-too-big (2)、 、 time-exceeded (3)、 、 parameter-problem (4)echo-request (128)echo-reply (129)、 、 router-advertisement (134)neighbor-solicit (135)membership-report (131)router-solicit (133)node-information-request (139)membership-termination (132)neighbor-advertisement (136)redirect (137)router-renumbering (138)membership-query (130)node-information-reply (140)

詳細については、 も icmp-code variable参照してください。

Ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

interface interface-name

論理ユニットを含む、パケットを受信するインターフェイス。インターフェイス名または論理ユニットの一部としてワイルドカード文字(*)を含めることができます。

注:

パケットが送信されるインターフェイスは、一致条件として使用できません。

イングレス ポートと VLAN

ip-destination-address address

パケットの最終宛先ノードアドレスである IPv4 アドレス。

イングレス ポートと VLAN

ip-options

IP ヘッダーの オプション フィールドに何かを指定した場合に、一致を作成するように指定 any します。

イングレス IPv4 インターフェイス

ip-protocol number

IPプロトコルフィールド。

イングレス ポートと VLAN

ip-precedence ip-precedence-field

IP 優先度フィールド。数値フィールド値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp (0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine (0x00)。

イングレス ポートと VLAN

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレス ポートと VLAN

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを一致させます。

イングレス ポートと VLAN

is-fragment

この条件を使用すると、IP ヘッダーで More Fragments フラグが有効になっている場合、またはフラグメント オフセットがゼロでない場合に一致します。

Ingress/egress IPv4インターフェイス(QX5220)

イングレス IPv4 インターフェイス(QFX5130)

learn-vlan-id number

MAC 学習用の VLAN 識別子。

Ingress/egressポートおよびVLAN(QFX5220)

イングレスポートとVLAN(QFX5130)

learn-vlan-1p-priority value

プロバイダ VLAN タグ内の IEEE 802.1p 学習済み VLAN 優先度ビット(802.1Q VLAN タグを持つ単一タグ フレーム内の唯一のタグ、または 802.1Q VLAN タグを持つデュアルタグ フレームの外側タグ)で一致します。0~7の単一の値または複数の値を指定します。

イングレス ポートと VLAN

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Ingressおよびegress IPv6インターフェイス

packet-length

パケット長(バイト単位) 0~65535の値を入力する必要があります。

イングレス IPv4 および IPv6 インターフェイス

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先度ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Ingress/egress IPv4インターフェイス

protocol type

IPプロトコル値。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Ingressおよびegress IPv4インターフェイス。

イングレス IPv4 インターフェイスと VLAN

source-address ip-address

IP 送信元アドレス フィールドは、パケットを送信したノードのアドレスです。

Ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

source-mac-address mac-address

パケットの MAC(送信元メディア アクセス制御)アドレス。

Ingress/egress IPv4インターフェイスとVLAN

source-port value

TCP または UDP 送信元ポート。この一致は、IPv4トラフィックの protocol 一致ステートメント、またはIPv6トラフィックの next-header 一致ステートメントと組み合わせて指定する必要があります。

数値フィールドの代わりに、 の下 destination-portに記載されているテキスト同義語の1つを指定できます。

Ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

source-port range-optimize range

利用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲に一致します。この条件を使用すると、個々の送信元ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。

イングレス IPv4 インターフェイス

source-prefix-list prefix-list

IP 送信元プレフィックス リスト。頻繁に使用するプレフィックスリストエイリアスの下で、IPアドレスプレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

Ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

tcp-established

確立された TCP セッションの TCP パケット(接続の最初のパケット以外のパケット)に一致します。これは、 tcp-flags "(ack | rst)".

この一致条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、 一致条件を protocol tcp 指定します。

Ingress/egress IPv4インターフェイス(QFX5220)

Ingress/egress IPv4インターフェイス(QFX5130)

イングレス IPv6 インターフェイス(QFX5130)

tcp-flags value

TCP フラグ(1 つの値のみがサポートされます)。

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグが設定されており、TCP フラグ SYN が設定されていない場合、 ACK 一致が発生します。

を指定 tcp-initialすると、スイッチはプロトコルがTCPであることを暗示的に確認しません。また、 一致条件も指定する protocol tcp 必要があります。を参照してください protocol type

Ingress/egress IPv4インターフェイス(QFX5220)

Ingress/egress IPv4インターフェイス、イングレスIPv6インターフェイス(QFX5130)

traffic-class

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィッククラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 と同じです。

以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定できます。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Ingressおよびegress IPv6インターフェイス

ttl value

10進数のIP TTL(Time-to-Live)フィールド。値は 1~255 です。

Ingress/egress IPv4インターフェイス

user-vlan-id number

Q-in-Q VLAN の内部(顧客)VLAN の ID を照合します。許容される値は 1~4095 です。

イングレスポートとVLAN(QFX5130)

user-vlan-1p-priority value

範囲 0-7の指定された 802.1p VLAN 優先度に一致します。

イングレスポートとVLAN(QFX5130)

ステートメントを使用して then 、パケットがステートメント内のすべての条件に一致した場合に発生するアクションを from 定義します。 表 5 は、条件で指定できるアクションを示します。(ステートメントを then 含まない場合、システムはフィルターに一致するパケットを受け入れます。

注:

エグレス IPv4 インターフェイス、IPv6 インターフェイス、エグレス ポートの場合、受け入れ、破棄、およびカウントアクションのみを適用できます。エグレスVLANの場合、アクシジュニトアクションのみを適用できます。

表 5: アクションおよびアクション修飾子

対処

説明

accept

パケットを受け入れます。これは、条件に一致するパケットのデフォルトアクションです。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

count counter-name

条件に一致するパケット数をカウントします。

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。

forwarding-class class

パケットを以下のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを設定するには、損失の優先度も設定する必要があります。

log

ルーティング エンジンにパケットのヘッダー情報を記録します。この情報を表示するには、 動作モード コマンドを show firewall log 入力します。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

注:

loss-priorityアクション修飾子は、イングレス IPv4 インターフェイスでのみサポートされています。

注:

loss-priorityアクション修飾子は、 アクションとpolicer組み合わせてサポートされていません。

policer policer-name

(レート制限を適用するために)ポリサーにパケットを送信します。

注:

policerアクション修飾子は、 アクションとloss-priority組み合わせてサポートされていません。

port-mirror

階層レベルでポートミラーリングインスタンス [edit forwarding-options port-mirroring] で設定された出力インターフェイスにトラフィックをミラーリング(コピーパケット)します。

port-mirror-instance port-mirror-instance-name

階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします [edit forwarding-options port-mirroring]

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターにのみポートミラーリングを指定できます。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4 メッセージ(タイプ 3)を送信します。拒否されたパケットをログに記録するには、 アクション修飾子を syslog 設定します。

以下のいずれかのメッセージ・タイプを指定できます。 administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」はデフォルト メッセージ「通信管理上フィルタリングされた」と共に送信されます。

注:

アクションは reject 、イングレスIPv4インターフェイスでのみサポートされています。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

注:

policerアクション修飾子は、 アクションとloss-priority組み合わせてサポートされていません。

注:

color-awareおよび color-blind ポリサーはサポートされていません。デフォルトでは、トラフィックは として color-blind扱われます。

vlan VLAN-name

一致したパケットを特定の VLAN に転送します。

注:

アクションは vlan 、イングレスポートとVLANでのみサポートされています。

このアクションは、QFX5130スイッチではサポートされていません。