ファイアウォール フィルターの一致条件およびアクション(QFX および EX シリーズ スイッチ)

(QFX5100、QFX5110、QFX5200)IPv6 インターフェイスでフィルターベースの転送を使用する場合、これらの一致条件のみが (受信方向) でサポートされます。source-addresssource-porticmp-typenext-header,,,,,,,,、. destination-addresssource-prefix-listdestination-prefix-listdestination-porthop-limit

(QFX5110)階層の下で egress-to-ingress オプションを有効 [edit firewall] にすると、 、 、 、 acceptdiscard の count アクションだけがサポートされます。

(QFX5100、QFX5130-32CD、QFX5110、QFX5700)EVPN-VXLAN環境では、以下の一致条件のみサポートされています。source-addressttlip-protocoluser-vlan-iddestination-addresssource-port、、、、、、、などがあります。 destination-port

(QFX5100、QFX5110、QFX5200)EVPN-VXLAN IRB インターフェイスで、ファイアウォールフィルターを送信方向に適用することはできません。

(QFX5700)ループバック インターフェイスのエグレス方向にファイアウォール フィルタを適用することはできません。

(QFX5100、QFX5110)ファイアウォールフィルターを使用して EVPN VXLAN 環境に MAC フィルタリングを実装している場合は、サポートされている条件に対応するために、evpn VXLAN 環境で Mac フィルタリング、ストーム制御、ポートミラーリングのサポートを参照してください。

(QFX5100、QFX5110)VXLAN に適用する各ファイアウォールフィルターについて、レイヤー 2 family ethernet-switching (イーサネット) パケットのフィルタリングを指定するfamily inetか、IRB インターフェイスを使用してフィルターをかけることができます。IRB インターフェイス上で、ファイアウォールフィルターを送信方向に適用することはできません。

レイヤー2の機能をサポートしていないスイッチでは、IPv4 および IPv6 インターフェイスに対して有効な照合条件のみを使用します。

arp-type

ARP 要求パケットまたは ARP 応答パケット

送信および受信インターフェイス

destination-address ip-address

最終宛先ノードのアドレスである IP 宛先アドレスフィールド。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

destination-mac-address mac-address

パケットの宛先メディアアクセス制御 (MAC) アドレスです。

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信ポートと Vlan

destination-port value

TCP または UDP 宛先ポートフィールド。通常は、 protocol match ステートメントと組み合わせてこのマッチングを指定します。以下の既知のポートについては、テキストシノニムを指定できます (ポート番号も表示されます)。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513)、

xdmcp (177)、

zephyr-clt (2103)、 zephyr-hm (2104)

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

destination-port range-optimize range

利用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲を比較します。この条件を使用すると、個々の宛先ポートを構成する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

受信 IPv4 (inet) インターフェイスです。

destination-prefix-list prefix-list

IP 宛先プレフィックスリストフィールドプレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。このリストを[edit policy-options]階層レベルで定義します。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

dscp value

差別化サービスコードポイント (DSCP)。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最上位6ビットは DSCP を形成します。

DSCP は16進数、バイナリ、または10進数の形式で指定できます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

• be—ベスト 労力(デフォルト)

• ef (46)—RFC 3246、 An Expedited Forwarding PHB で定義されています。

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  この 4 つのクラスは、各クラスで 3 つのドロップ の優先順位が、合計 12 のコード ポイントで 、RFC 2597、Assured Forwarding PHBで定義されています。

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

ether-type value

パケットのイーサネットタイプフィールドです。EtherType 値は、イーサネットフレームでどのプロトコルがトランスポートされているかを示します。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

• aarp (0x80F3)—EtherType 値 AARP

• appletalk (0x809B)—EtherType value AppleTalk

• arp (0x0806)—EtherType 値 ARP

• fcoe (0x8906)—EtherType 値FCoE

• fip (0x8914)—EtherType 値の FIP

• ipv4 (0x0800)—EtherType 値 IPv4

• ipv6 (0x08DD)—EtherType 値 IPv6

• mpls-multicast (0x8848)—EtherType 値MPLSマルチキャスト

• mpls-unicast (0x8847)—EtherType 値MPLSユニキャスト

• oam (0x88A8)—EtherType 値 OAM

• ppp (0x880B)—EtherType値PPP

• pppoe-discovery (0x8863)—EtherType 値 PPPoE 検出ステージ

• pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)—EtherType 値の

受信ポートと Vlan

送信ポートと Vlan

egress-to-ingress

このオプションを含めると、送信 VLAN ファイアウォールフィルター条件の数が1024から2048に増加します。

送信 VLAN IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

exp

MPLS EXP で一致します。

受信 MPLS インターフェイス

出口 MPLS インターフェイス

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、次のいずれかの類義語を指定できます (16 進数値も表示されます)。

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

受信ポートと Vlan

icmp-code value

ICMP コードフィールドです。値の意味は関連付けらicmp-typeれているため、のicmp-typeicmp-code値とともに値を指定する必要があります。数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。

• IPv4: パラメーター問題— ip-header-bad (0) 、 required-option-missing (1)

• IPv6: パラメーター問題— ip6-header-bad (0) 、 unrecognized-next-header (1) 、 unrecognized-option (2)

• redirect— redirect-for-network (0)redirect-for-host (1) 、 、 redirect-for-tos-and-net (2) 、 redirect-for-tos-and-host (3)

• time-exceeded— ttl-eq-zero- during-reassembly (1) 、 ttl-eq-zero-during-transit (0)

• IPv4:到達不能— network-unreachable (0) 、 host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: 到達不能— address-unreachable (3) 、 administratively-prohibited (1) 、 no-route-to-destination (0) 、 port-unreachable (4)

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。0 ~ 255 の1つの値または値の範囲を指定します。

Inet6 (受信/送信 IPv6) インターフェイス

icmp-type value

ICMP メッセージタイプフィールド。通常は、このマッチングをprotocol match ステートメントと組み合わせて指定し、ポートで使用されるプロトコルを決定します。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17),mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138), node-information-request (139),node-information-reply (140)

「」 icmp-code variableも参照してください。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

interface interface-name

パケットが受信されるインターフェース (論理ユニットを含む)。インターフェイス名または論理ユニットの*一部としてワイルドカード文字 () を含めることができます。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

ip-destination-address address

パケットの最終宛先ノードアドレスである IPv4 アドレスです。

受信ポートと Vlan

ip6-destination-address address

パケットの最終宛先ノードアドレスである IPv6 アドレスです。

受信ポートと Vlan (この条件を満たすフィルターを、そのポートを含むレイヤー2ポートおよび VLAN に同時に適用することはできません)。

ip-options

IP anyヘッダーの options フィールドで指定されている場合は、一致するものを作成することを指定します。

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

ip-precedence ip-precedence-field

IP 優先度フィールド。数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。critical-ecp(0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、またroutineは (0x00)。

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

ip-protocol number

IP プロトコルフィールドです。

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

受信ポートと Vlan

ip6-source-address address

パケットを送信する送信元ノードの IPv6 アドレス。

受信ポートと Vlan (この条件を満たすフィルターを、そのポートを含むレイヤー2ポートおよび VLAN に同時に適用することはできません)。

ip-version address

パケットの IP バージョン。レイヤー2ポートまたは VLAN インターフェイスで受信するトラフィックにおいて、IPv4 または IPv6 ヘッダーフィールドを照合するには、この条件を使用します。

受信ポートと Vlan

is-fragment

この条件を使用すると、IP ヘッダーで More fragment フラグが有効になっている場合、またはフラグメントオフセットが0でない場合にマッチングが行われます。

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

l2-encap-type llc-non-snap

論理リンク制御 (SNAP) イーサネットカプセル化タイプのパケットに対応します。

受信ポートと Vlan

送信ポートと Vlan

label

MPLS ラベルビットに一致します。

受信 MPLS インターフェイス

出口 MPLS インターフェイス

learn-vlan-id number

通常の VLAN の ID または外部 (サービス) VLAN の ID (Q イン Q Vlan 用) と一致させます。許容される値は1-4095 です。

受信ポートと Vlan

送信ポートと Vlan

next-header

IPv4 または IPv6 プロトコルの値。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

入口ポート、Vlan、IPv6 (inet6) インターフェイス

送信 IPv6 (inet6) インターフェイスです。

packet-length

パケット長 (バイト単位)。0 ~ 65535 の値を入力する必要があります。

入口ポート、Vlan、IPv4 (inet)、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

payload-protocol

IPv4 または IPv6 プロトコルの値。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

入口ポート、Vlan、IPv6 (inet6) インターフェイス

送信 IPv6 (inet6) インターフェイスです。

precedence value

IP ヘッダー内のサービスタイプ (ToS) バイトの IP 優先ビット。(このバイトは DiffServ DSCP にも使用できます)。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

protocol type

IPv4 または IPv6 プロトコルの値。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

rat-type tech-type-value

Proxy Mobile IPv4 (PMIPv4) アクセス技術タイプ拡張の8ビットの技術タイプフィールドに指定されている無線アクセステクノロジ (RAT) タイプと一致します。技術タイプは、モバイルデバイスをアクセスネットワークに接続する際に使用するアクセス技術を指定します。1つの値、値の範囲、または値セットを指定します。0 ~ 255 の数値として、またはシステムキーワードとして技術タイプを指定できます。

• 数値1は IEEE 802.3 に一致します。

• 数値2は IEEE 802.11 a/b/g と一致します。

• 数値 3 IEEE 802.16 e と一致します。

• 数値4は IEEE 802.16 m と一致します。

• テキスト文字列eutranは4g と一致します。

• テキスト文字列geranは2g と一致します。

• テキスト文字列utranは3g と一致します。

送信および受信 IPv4 (inet) インターフェイス。

sample

パケットトラフィックをサンプリングします。このオプションは、トラフィックサンプリングを有効にしている場合にのみ適用します。

送信および受信 IPv4 (inet) インターフェイス。

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレスフィールド。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

source-mac-address mac-address

パケットの送信元メディアアクセス制御 (MAC) アドレスです。

受信ポートと Vlan

送信ポートと Vlan

source-port value

TCP または UDP 送信元ポート。通常は、 protocol match ステートメントと組み合わせてこのマッチングを指定します。数値フィールドの代わりに、[] destination-portにリストされているいずれかのテキストシノニムを指定できます。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信IPv4 (inet) インターフェイスです。

source-port range-optimize range

利用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲を比較します。この条件を使用すると、個々の送信元ポートを構成するよりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

受信 IPv4 (inet) インターフェイスです。

source-prefix-list prefix-list

IP 送信元プレフィックスリスト。プレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。このリストを[edit policy-options]階層レベルで定義します。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

tcp-established

確立された TCP 3 ウェイハンドシェイク接続 (SYN、SYN ACK、ACK) のパケットと一致させます。一致しないパケットは、SYN ビットだけが設定されているため、ハンドシェイクの最初のパケットです。このパケットに対しては、 tcp-initial照合条件として指定する必要があります。

このスイッチをtcp-established指定すると、プロトコルが TCP であるかどうかが暗黙的に検証されません。また、 protocol tcp照合条件を指定する必要があります。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

tcp-flags value

1つ以上の TCP フラグ:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

tcp-initial

接続の最初の TCP パケットと一致します。TCP フラグSYNが設定されていても、tcp フラグACKを設定していない場合に、一致が発生します。

指定tcp-initialした場合、スイッチは、プロトコルが TCP であるかどうかを暗黙的には検証しません。また、 protocol tcp照合条件を指定する必要があります。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

traffic-class

パケットのサービスクラス (CoS) の優先度を指定する8ビットのフィールド。トラフィッククラスフィールドは、DiffServ コードポイント (DSCP) 値を指定するために使用されます。このフィールドは、以前は IPv4 でサービスタイプ (ToS) フィールドとして使用されていましたが、このフィールドの意味 (DSCP など) は IPv4 のセマンティクスと同じになっています。

以下のいずれかの類義語を指定できます (フィールドの値も表示されます)。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

入口ポート、Vlan、IPv6 (inet6) インターフェイス

送信 IPv6 (inet6) インターフェイスです。

ttl value

IP time-to-live (TTL) フィールドを10進数で入力します。値は1-255 にすることができます。

受信 IPv4 (inet) インターフェイスです。

送信 IPv4 (inet) インターフェイスです。

user-vlan-1p-priority value

指定した範囲0-7内の 802.1 p VLAN 優先度と一致します。

入口および出口ポートと Vlan

user-vlan-id number

Q-in-Q VLAN の内部(顧客)VLAN の ID を一致します。許容される値は1-4095 です。

入口および出口ポートと Vlan

accept

パケットを受信します。これは、条件に一致するパケットのデフォルトのアクションです。

discard

インターネット制御メッセージプロトコル (ICMP) メッセージを送信せずに、パケットをサイレントで破棄します。

reject message-type

パケットを破棄し、「宛先に到達できない」ICMPv4 メッセージを送信します(タイプ 3)。拒否されたsyslogパケットを記録するには、アクション修飾子を設定します。

以下のいずれかのメッセージタイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,またtcp-resetはです。

指定tcp-resetした場合、パケットが tcp パケットである場合、システムによって tcp リセットが送信されます。それ以外の場合は何も送信されません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先に到達できない」がデフォルト メッセージ「通信を管理上フィルタリング」して送信されます。

routing-instance インスタンス-名前

一致したパケットを仮想ルーティングインスタンスに転送します。

vlan VLAN 名

一致したパケットを特定の VLAN に転送します。

analyzer analyzer-name

(ELS プラットフォーム以外)[edit ethernet-switching-options analyzer]階層レベルで設定された分析にミラートラフィック (パケットのコピー) を行います。

受信ポート、VLAN、IPv4 (inet) ファイアウォールフィルターに対してのみポートミラーリングを指定できます。

count counter-name

条件に一致するパケット数をカウントします。

decapsulate [gre | routing-instance]

GRE パケットをデカプセル化したり、デカプセル化した GRE パケットを指定したルーティングインスタンスに転送したりします。

dscp value

差別化サービスコードポイント (DSCP)。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最上位6ビットは DSCP を形成します。

DSCP は16進数、バイナリ、または10進数の形式で指定できます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

• be—ベスト 労力(デフォルト)

• ef (46)—RFC 3246、 An Expedited Forwarding PHB で定義されています。

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  この 4 つのクラスは、各クラスで 3 つのドロップ の優先順位が、合計 12 のコード ポイントで 、RFC 2597、Assured Forwarding PHBで定義されています。

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

次のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスでパケットを分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

interface

検索を実行せずに、指定されたインターフェイスへのトラフィックを切り替えます。このアクションは、受信時にフィルターが適用されている場合にのみ有効です。

log

パケットのヘッダー情報をパケットのルーティング エンジン。この情報を表示するにはshow firewall log 、運用モードコマンドを入力します。

loss-priority (low | medium-low | medium-high | high)

パケット損失の優先度 (PLP) を設定します。

policer policer-name

パケットをポリサーに送信します (レート制限を適用することを目的としています)。

受信ポート、VLAN、IPv4 (inet)、IPv6 (inet6)、および MPLS フィルターのポリサーを指定できます。

port-mirror

(ELS プラットフォーム)[edit forwarding-options port-mirroring]階層レベルで、ポートミラーリングインスタンスで構成された出力インターフェイスへのミラートラフィック (コピーパケット)

受信ポート、VLAN、IPv4 (inet) ファイアウォールフィルターに対してのみポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELS プラットフォーム)[edit forwarding-options port-mirroring]階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

受信ポート、VLAN、IPv4 (inet) ファイアウォールフィルターに対してのみポートミラーリングを指定できます。

syslog

このパケットのアラートをログに記録します。

three-color-policer three-color-policer-name

3色のポリサーにパケットを送信します (レート制限を適用することを目的としています)。

受信および送信ポート、VLAN、IPv4 (inet)、IPv6 (inet6)、および MPLS フィルターには、3色のポリサーを指定できます。

arp-type

ARP 要求パケットまたは ARP 応答パケット。

受信/送信ポートと VLAN

destination-address ip-address

最終宛先ノードのアドレスである IP 宛先アドレスフィールド。

受信/送信 IPv4 および IPv6 インターフェイス

イングレス ポートと VLAN

destination-mac-address mac-address

宛先MAC アドレスパケットの宛先パケット

受信/送信ポートと VLAN

destination-port value

TCP または UDP 宛先ポートフィールド。この一致は protocol 、IPv4 トラフィックの match ステートメント、または IPv6 トラフィックの match ステートメントと一致 next-header する必要があります。

以下の既知のポートとポート番号については、テキスト シノニムを指定できます。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513)、

xdmcp (177)、

zephyr-clt (2103)、 zephyr-hm (2104)

受信/送信 IPv4 インターフェイス

入口 IPv6 インターフェイス

イングレス ポートと VLAN

destination-port range-optimize range

利用可能なメモリを効率的に使用しながら、TCP または UDP のポート範囲の範囲を一致します。この条件を使用すると、個々の宛先ポートを構成する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません)。

イングレス IPv4 インターフェイス

destination-prefix-list prefix-list

IP 宛先プレフィックスリストフィールドプレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。このリストを[edit policy-options]階層レベルで定義します。

受信/送信 IPv4 および IPv6 インターフェイス

受信ポートと Vlan

dscp value

差別化サービスコードポイント (DSCP)。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最上位6ビットは DSCP を形成します。

DSCP は16進数、バイナリ、または10進数の形式で指定できます。

数値の代えに、次のいずれかのテキスト シノニムとリストされているフィールドを指定できます。

• be—ベスト 労力(デフォルト)

• ef (46)—RFC 3246、 An Expedited Forwarding PHB で定義されています。

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  この 4 つのクラスは、各クラスで 3 つのドロップ の優先順位が、合計 12 のコード ポイントで 、RFC 2597、Assured Forwarding PHBで定義されています。

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

受信/送信 IPv4 インターフェイス

イングレス ポートと VLAN

ether-type value

パケットのイーサネットタイプフィールドです。EtherType 値は、イーサネットフレームでどのプロトコルがトランスポートされているかを示します。数値の代えに、次のいずれかのテキスト シノニムを指定できます。フィールド値も一覧表示されます。

• aarp (0x80F3)—EtherType 値 AARP

• appletalk (0x809B)—EtherType value AppleTalk

• arp (0x0806)—EtherType 値 ARP

• fcoe (0x8906)—EtherType 値FCoE

• fip (0x8914)—EtherType 値の FIP

• ipv4 (0x0800)—EtherType 値 IPv4

• ipv6 (0x08DD)—EtherType 値 IPv6

• mpls-multicast (0x8848)—EtherType 値MPLSマルチキャスト

• mpls-unicast (0x8847)—EtherType 値MPLSユニキャスト

• oam (0x88A8)—EtherType 値 OAM

• ppp (0x880B)—EtherType値PPP

• pppoe-discovery (0x8863)—EtherType 値 PPPoE 検出ステージ

• pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)—EtherType 値の

受信/送信ポートと VLAN

パケットが断片化されたパケットの最初のフラグメントである場合に照合します。フラグメント パケットの末尾フラグメントの場合、パケットとの照合を回避する。フラグメント パケットの最初のフラグメントのフラグメント のオフセット値は 0 です。

この一致条件は、ビット フィールドの一致条件のフラグメント オフセット 0 の一致条件のエイリアスです。

最初のフラグメントと末尾フラグメントの両方を一致するには、異なる一致条件を指定する 2 つの条件を使用 first-fragment できます is-fragment 。 と .

イングレス IPv4 インターフェイス

icmp-code value

ICMP コードフィールドです。値の意味は関連付けらicmp-typeれているため、のicmp-typeicmp-code値とともに値を指定する必要があります。数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。

• IPv4: パラメーター問題— ip-header-bad (0) 、 required-option-missing (1)

• IPv6: パラメーター問題— ip6-header-bad (0) 、 unrecognized-next-header (1) 、 unrecognized-option (2)

• redirect— redirect-for-network (0)redirect-for-host (1) 、 、 redirect-for-tos-and-net (2) 、 redirect-for-tos-and-host (3)

• time-exceeded— ttl-eq-zero- during-reassembly (1) 、 ttl-eq-zero-during-transit (0)

• IPv4:到達不能— network-unreachable (0) 、 host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: 到達不能— address-unreachable (3) 、 administratively-prohibited (1) 、 no-route-to-destination (0) 、 port-unreachable (4)

受信/送信 IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

icmp-type value

ICMP メッセージタイプフィールド。match ステートメントと一緒にこの一致を protocol 指定する必要があります。この一致は、IPv4 トラフィックのポートで使用されているプロトコル、または IPv6 トラフィックの match ステートメント next-header を判断します。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17),mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138), node-information-request (139),node-information-reply (140)

「」 icmp-code variableも参照してください。

受信/送信 IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

interface interface-name

パケットが受信されるインターフェース (論理ユニットを含む)。インターフェイス名または論理ユニットの*一部としてワイルドカード文字 () を含めることができます。

イングレス ポートと VLAN

ip-destination-address address

パケットの最終宛先ノードアドレスである IPv4 アドレスです。

イングレス ポートと VLAN

ip-options

IP anyヘッダーの options フィールドで指定されている場合は、一致するものを作成することを指定します。

イングレス IPv4 インターフェイス

ip-protocol number

IP プロトコルフィールドです。

イングレス ポートと VLAN

ip-precedence ip-precedence-field

IP 優先度フィールド。数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。critical-ecp(0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、またroutineは (0x00)。

イングレス ポートと VLAN

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレス ポートと VLAN

ip-version address

パケットの IP バージョン。レイヤー2ポートまたは VLAN インターフェイスで受信するトラフィックにおいて、IPv4 または IPv6 ヘッダーフィールドを照合するには、この条件を使用します。

イングレス ポートと VLAN

この条件を使用すると、IP ヘッダーで More fragment フラグが有効になっている場合、またはフラグメントオフセットが0でない場合にマッチングが行われます。

受信/送信 IPv4 インターフェイス(QX5220)

イングレス IPv4 インターフェイス(QFX5130)

MAC 学習用の VLAN 識別子。

受信/送信ポートと VLAN(QFX5220)

イングレス ポートと VLAN(QFX5130)

プロバイダ VLAN タグ内の IEEE 802.1p が学習した VLAN 優先度ビットを一致します(802.1Q VLAN タグを使用する単一タグ フレーム内の唯一のタグ、または 802.1Q VLAN タグを持つデュアルタグ フレーム内の外部タグ)。1 つの値または 0~7 の複数の値を指定します。

イングレス ポートと VLAN

next-header

IPv4 または IPv6 プロトコルの値。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

受信/送信 IPv6 インターフェイス

packet-length

パケット長 (バイト単位)。0 ~ 65535 の値を入力する必要があります。

受信 IPv4 および IPv6 インターフェイス

precedence value

IP ヘッダー内のサービスタイプ (ToS) バイトの IP 優先ビット。(このバイトは DiffServ DSCP にも使用できます)。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

受信/送信 IPv4 インターフェイス

protocol type

IP プロトコル値。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)tcp (4)

受信/送信 IPv4 インターフェイス

イングレス IPv4 インターフェイスと VLAN

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレスフィールド。

受信/送信 IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

source-mac-address mac-address

パケットの送信元メディアアクセス制御 (MAC) アドレスです。

受信/送信 IPv4 インターフェイスと VLAN

source-port value

TCP または UDP 送信元ポート。この一致は、IPv4 トラフィックの match ステートメント、または IPv6 トラフィックの match ステートメントと組み合わせて protocolnext-header 指定する必要があります。

数値フィールドの代わりに、[] destination-portにリストされているいずれかのテキストシノニムを指定できます。

受信/送信 IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

source-port range-optimize range

利用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲を比較します。この条件を使用すると、個々の送信元ポートを構成するよりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません)。

イングレス IPv4 インターフェイス

source-prefix-list prefix-list

IP 送信元プレフィックスリスト。プレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。このリストを[edit policy-options]階層レベルで定義します。

受信/送信 IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

確立された TCP セッションの TCP パケット (接続の最初のパケット以外のパケット) を照合します。これは、 tcp-flags "(ack | rst)".

この照合条件は、プロトコルが TCP であることを暗黙で確認するものではありません。これを確認するにはprotocol tcp 、照合条件を指定します。

受信/送信 IPv4 インターフェイス(QFX5220)

受信/送信 IPv4 インターフェイス(QFX5130)

イングレス IPv6 インターフェイス(QFX5130)

tcp-flags value

TCP フラグ (1 つの値のみがサポートされます):

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

受信/送信 IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

接続の最初の TCP パケットと一致します。TCP フラグSYNが設定されていても、tcp フラグACKを設定していない場合に、一致が発生します。

指定tcp-initialした場合、スイッチは、プロトコルが TCP であるかどうかを暗黙的には検証しません。また、 protocol tcp照合条件を指定する必要があります。参照protocol typeしてください。

受信/送信 IPv4 インターフェイス(QFX5220)

受信/送信 IPv4 インターフェイス、イングレス IPv6 インターフェイス(QFX5130)

traffic-class

パケットのサービスクラス (CoS) の優先度を指定する8ビットのフィールド。トラフィッククラスフィールドは、DiffServ コードポイント (DSCP) 値を指定するために使用されます。このフィールドは、以前は IPv4 でサービスタイプ (ToS) フィールドとして使用されていましたが、このフィールドの意味 (DSCP など) は IPv4 のセマンティクスと同じになっています。

以下のいずれかの類義語を指定できます (フィールドの値も表示されます)。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

受信/送信 IPv6 インターフェイス

ttl value

IP time-to-live (TTL) フィールドを10進数で入力します。値は1-255 にすることができます。

受信/送信 IPv4 インターフェイス

user-vlan-id number

Q-in-Q VLAN の内部(顧客)VLAN の ID を一致します。許容される値は1-4095 です。

イングレス ポートと VLAN(QFX5130)

user-vlan-1p-priority value

指定した範囲0-7内の 802.1 p VLAN 優先度と一致します。

イングレス ポートと VLAN(QFX5130)

accept

パケットを受信します。これは、条件に一致するパケットのデフォルトのアクションです。

apply-groups-except

構成データを継承しないグループを指定します。複数のグループ名を指定できます。

count counter-name

条件に一致するパケット数をカウントします。

discard

インターネット制御メッセージプロトコル (ICMP) メッセージを送信せずに、パケットをサイレントで破棄します。

forwarding-class class

次のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスでパケットを分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

パケットのヘッダー情報をパケットのルーティング エンジン。この情報を表示するにはshow firewall log 、運用モードコマンドを入力します。

loss-priority (low | medium-low | medium-high | high)

パケット損失の優先度 (PLP) を設定します。

policer policer-name

パケットをポリサーに送信します (レート制限を適用することを目的としています)。

port-mirror

[edit forwarding-options port-mirroring]階層レベルで、ポートミラーリングインスタンスで構成された出力インターフェイスへのミラートラフィック (コピーパケット)

port-mirror-instance port-mirror-instance-name

[edit forwarding-options port-mirroring]階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

受信ポート、VLAN、IPv4 (inet) ファイアウォールフィルターに対してのみポートミラーリングを指定できます。

reject message-type

パケットを破棄し、「宛先に到達できない」ICMPv4 メッセージを送信します(タイプ 3)。拒否されたsyslogパケットを記録するには、アクション修飾子を設定します。

以下のいずれかのメッセージタイプを指定できます。 administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

メッセージ タイプを指定しない場合、ICMP 通知「宛先に到達できない」がデフォルト メッセージ「通信を管理的にフィルタリング」して送信されます。

three-color-policer three-color-policer-name

3色のポリサーにパケットを送信します (レート制限を適用することを目的としています)。

vlan VLAN 名

一致したパケットを特定の VLAN に転送します。