Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの一致条件およびアクション(QFXおよびEXシリーズスイッチ)

制限、注意事項、および、サポート情報

表 1: 制限事項、注意事項、およびサポート情報

(QFX5100、QFX5110、QFX5200)IPv6インターフェイスでフィルターベースの転送を使用する場合、(ingress方向)では次の一致条件のみがサポートされます。source-addressdestination-addresssource-prefix-listdestination-prefix-listsource-portdestination-porthop-limiticmp-type、および next-header

(QFX5110)[edit firewall]階層で [egress-to-ingress] オプションを有効にすると、acceptdiscard、およびcountアクションのみがサポートされます。

(QFX5100、QFX5110、QFX5120、QFX5130-32CD、QFX5220、QFX5700)EVPN-VXLAN 環境では、次の一致条件のみがサポートされます。source-addressdestination-addresssource-portdestination-portttlip-protocol、および user-vlan-id

(QFX5100、QFX5110、QFX5200)EVPN-VXLAN IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。

(QFX5700)ループバックインターフェイスのエグレス方向にファイアウォールフィルターを適用することはできません。

(QFX5100、QFX5110)EVPN-VXLAN環境でファイアウォールフィルターを使用してMACフィルタリングを実装する場合、サポートされている一致条件については 、 EVPN-VXLAN環境でのMACフィルタリング、ストーム制御、およびポートミラーリングのサポート を参照してください。

(QFX5100、QFX5110)VXLAN に適用するファイアウォール フィルターごとに、レイヤー 2(イーサネット)パケットをフィルタリングする family ethernet-switching 、IRB インターフェイスでフィルタリングする family inet を指定できます。IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。

(EX4100、EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210)スタンドアロンデバイスのエグレスファイアウォールフィルターで interface 一致条件を使用する場合は、使用可能なインターフェイスのみを使用します。使用できないインターフェイスを使用すると、予期しない動作が発生します。

レイヤー2機能をサポートしていないスイッチでは、IPv4およびIPv6インターフェイスに有効な一致条件のみを使用してください。

(QFX5120、EX4650)Junos リリース 21.4R1 以降、QFX5120 および EX4650 の EVPN-VXLAN 環境では、以下の一致条件がサポートされています。gbp-src-tag、および gbp-dst-tag

Junos OSリリース21.4R1以降、送信元ポート範囲最適化と宛先ポート範囲最適化の条件が 階層レベルでサポート [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] 。これにより、TCAM スペースの使用量が大幅に削減されます。送信元ポート範囲最適化と宛先ポート範囲最適化の一致条件が設定されたQFX5100スイッチでは、最大 24 個の非連続した送信元ポート範囲と宛先ポート範囲の一致条件がサポートされます。連続していない一致条件が 24 個を超える場合、エラーがスローされる可能性があります。

Junosリリース22.4R1以降、サポートされているEX4100、EX4400、EX4650、およびQFX5120シリーズスイッチのEVPN-VXLAN環境では、GBPタギングで次の一致条件がサポートされています。ip-version ipv4ip-version ipv6mac-addressvlan-idinterface + vlan-id の組み合わせ、および interface

Junosリリース23.2R1以降、EX4100シリーズ、EX4400シリーズ、EX4650シリーズ、QFX5120-32C、QFX5120-48Yスイッチでのポリシー適用で、新しいIPV4とIPv6 L4の一致がサポートされています。

Junos OS Release 23.4R1以降以降、サポートされているEX4100、EX4400、EX4650、およびQFX5120シリーズスイッチのEVPN-VXLAN環境で、GBPタギングに対して vlan-id vlan list | vlan-range および interface interface-list 一致条件がサポートされています。EX4100スイッチは、VLANおよびポート+VLANベースのGBPをサポートしていません。

Junos OS リリース 24.4R1以降、[edit firewall family ethernet-switching filter <name> term <name>]階層で設定可能なEX4100、EX4400、EX4650-48Y、QFX5120-48Y、QFX5120-32C、QFX5120-48T、QFX5120-48YMプラットフォームに、arp-typearp-sender-addressarp-target-addressファイアウォールフィルターの一致条件が追加されました。一致条件は、ポートまたはVLANイングレスファイアウォールフィルターに適用できます。一致条件は、エグレスファイアウォールフィルターではサポートされていません。 arp-sender-addressarp-target-address の一致条件は、EX2300、EX3400、EX4300-MPプラットフォームではサポートされていません。

Junos OS Evolvedリリース24.4R1以降、QFX5130-32CD、QFX5130-48C、およびQFX5700プラットフォーム用の vlan vlan ID アクションが追加されました。これらのプラットフォームでこのアクションプロファイルを有効化するには、 set system packet-forwarding-options firewall profiles actions ethernet-switching profile1 設定を適用する必要があります。vlan vlanIDアクションは、ポートおよびVLANファイアウォールフィルタールールで設定できます。

ファイアウォールフィルターの一致条件とアクション(EX4100、EX4100-F、EX4100-H、EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210)

ファイアウォールフィルターの各用語は、 一致条件アクションで構成されます。一致条件とは、一致と見なされるためにパケットに含まれる必要のあるフィールドと値です。match ステートメントでは、単一または複数の一致条件を定義できます。また、no match ステートメントを含めることもできます。その場合、条件はすべてのパケットに一致します。

パケットがフィルタに一致すると、スイッチは条件で指定されたアクションを実行します。さらに、アクション修飾子を指定して、パケットのカウント、ミラーリング、レート制限、分類を行うことができます。条件に一致する条件が指定されていない場合、スイッチはデフォルトでパケットを受け入れます。

  • 表 2 は、ファイアウォールフィルターの設定時に指定できる一致条件を説明します。一部の数値範囲およびビットフィールド一致条件では、テキスト同義語を指定できます。一致条件のすべてのシノニムのリストを表示するには、ステートメントの適切な場所に ? を入力します。

  • 表 3 は、用語で指定できるアクションを示します。

  • 表 4 は、パケットのカウント、ミラーリング、レート制限、分類に使用できるアクション修飾子を示しています。

特定のスイッチの照合条件については、以下の制限が適用されます。

表 2: ファイアウォールフィルターでサポートされている一致条件

一致条件

説明

方向とインターフェース

arp-type

ARP 要求パケットまたは ARP 応答パケット。

エグレスおよびイングレスインターフェイス。

ARPタイプ

ARP 要求パケットまたは ARP 応答パケット。

イングレスポートとVLAN

ARP送信者アドレス

照合するARPヘッダー送信者IPv4アドレス

イングレスポートとVLAN

ARPターゲットアドレス

一致するARPヘッダーターゲットIPv4アドレス

イングレスポートとVLAN

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス、および IPv6(inet6)インターフェイス。

destination-mac-address mac-address

パケットの宛先MAC(メディアアクセス制御)アドレス

イングレスポート、VLAN、IPv4(inet)インターフェイス。

ポートとVLANを出力します。

destination-port value

TCPまたはUDP宛先ポートフィールド。通常、この一致は protocol 一致ステートメントと組み合わせて指定します。次の既知のポートでは、テキスト同義語を指定できます(ポート番号もリストされています)。

afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

cmd (514)cvspserver (2401)

dhcp (67)domain (53)

eklogin (2105)ekshell (2106)exec (512)

finger (79)ftp (21)ftp-data (20)

http (80)https (443)

ident (113)imap (143)

kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

ldap (389)login (513)

mobileip-agent (434)mobilip-mn (435)msdp (639)

netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

pop3 (110)pptp (1723)printer (515)

radacct (1813)radius (1812)rip (520)rkinit (2108)

smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513)

xdmcp (177)

zephyr-clt (2103)zephyr-hm (2104)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

destination-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

dscp value

差別化されたサービス コード ポイント(DSCP)です。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • be- ベスト エフォート(デフォルト)

  • ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ether-type value

パケットのイーサネット タイプ フィールドです。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • aarp (0x80F3)- イーサタイプ値 AARP

  • appletalk (0x809B)- EtherType 値 アップルトーク

  • arp (0x0806)- イーサタイプ値ARP

  • fcoe (0x8906)- イーサタイプ値 FCoE

  • fip (0x8914)- イーサタイプ値 FIP

  • ipv4 (0x0800)- イーサタイプ値 IPv4

  • ipv6 (0x08DD)- イーサタイプ値 IPv6

  • mpls-multicast (0x8848)- EtherType値MPLSマルチキャスト

  • mpls-unicast (0x8847)- イーサタイプ値MPLSユニキャスト

  • oam (0x88A8)- イーサタイプ値 OAM

  • ppp (0x880B)- イーサタイプ値 PPP

  • pppoe-discovery (0x8863)- EtherType値PPPoEディスカバリーステージ

  • pppoe-session (0x8864)- EtherType 値 PPPoE セッション ステージ

  • sna (0x80D5)- イーサタイプ値 SNA

イングレスポートとVLAN。

ポートとVLANを出力します。

egress-to-ingress

エグレスVLANファイアウォールフィルターの条件数を1024から2048に増やすには、このオプションを含めます。

エグレスVLAN IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

exp

MPLS EXP ビットに一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、以下のテキスト同義語(16進数値も記載されています)のいずれかを指定することができます。

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

イングレスポートとVLAN。

gbp-dst-tag

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する宛先タグに一致します。例:VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

適用外

gbp-src-tag

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソースタグに一致します。例:VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

適用外

icmp-code value

ICMP コード フィールドです。値の意味は関連する icmp-typeによって異なるため、 icmp-type の値と icmp-codeの値を指定する必要があります。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • IPv4: parameter-problem—ip-header-bad (0)required-option-missing (1)

  • IPv6: parameter-problem—ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: 到達不能—network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: 到達不能—address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。単一の値または0から255の値の範囲を指定してください。

ingressおよびegress IPv6(inet6)インターフェイス

注:

QFX3500、QFX3600、QFX5100、QFX5120、QFX5110、QFX5200、およびQFX5210の各スイッチでは、エグレス方向ではサポートされていません。

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する場合は、IPv4 または IPv6 の送信元または宛先アドレスに一致させます。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスとエグレス(システム全体)。

ip-version ipv4 destination-port DST_PORT

で説明するように、GBPポリシーフィルターL4一致で使用するTCP/UDP宛先ポートに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 source-port SRC_PORT

で説明するように、GBPポリシーフィルターL4一致で使用する場合は、TCP/UDP送信元ポートに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 ip-protocol PROTOCOL

で説明するように、GBPポリシーフィルターL4一致で使用するIPプロトコルタイプに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 is-fragment

パケットがフラグメントである場合に一致し、GBPポリシーフィルターL4一致で使用する場合は、 に記述されています。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 fragment-flag FLAGS

で説明するように、GBPポリシーフィルターL4一致で使用するフラグメントフラグ(シンボリック形式または16進数形式)に一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 ttlValue

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。GBPポリシーフィルターL4一致で使用する場合は、以下を参照してください。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 tcp-flagsFLAGS

で説明するように、GBPポリシーL4一致で使用するために、1つ以上のTCPフラグ(シンボリック形式または16進数形式)に一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 tcp-initial

接続の最初の TCP パケットに一致します。GBPポリシーL4マッチで使用する場合は、以下を参照してください。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv4 tcp-established

で説明するように、GBPポリシーL4一致で使用するために、確立されたTCP接続のパケットに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 source-port SRC_PORT

で説明するように、GBPポリシーL4一致で使用するTCP/UDP送信元ポートに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 destination-port DST_PORT

で説明するように、GBPポリシーフィルターL4一致で使用するTCP/UDP宛先ポートに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 next-header PROTOCOL

で説明するように、GBPポリシーL4一致で使用するために、次のヘッダープロトコルタイプに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 tcp-flagsFLAGS

で説明するように、GBPポリシーL4一致で使用するTCPフラグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 tcp-initial

で説明するように、確立されたTCP接続の最初のパケットに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

ip-version ipv6 tcp-established

で説明するように、確立されたTCP接続のパケットに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

イングレスのみ。

icmp-type value

ICMP メッセージ タイプ フィールドです。通常、 protocol 一致ステートメントと合わせてこの一致を指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

IPv4: echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

icmp-code variableも参照してください。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

interface interface-name | <interface_list>

論理ユニットを含む、パケットを受信したインターフェイス。ワイルドカード文字(*)は、インターフェイス名または論理ユニットの一部として含めることができます。

注:

パケットの送信元インターフェイスは、一致条件として使用できません。

フィルター内で同じ項の下にあるインターフェイスのリストに一致します。VXLAN のマイクロセグメンテーションで使用する場合は、以下について説明します。例:VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレスポートとVLAN。

ip6-destination-address address

パケットの最終宛先ノード アドレスである IPv6 アドレス。

イングレスポートとVLAN。(この一致基準を持つフィルターを、そのポートを含むレイヤー2ポートとVLANに同時に適用することはできません)。

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成する any を指定します。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ip-precedence ip-precedence-field

IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、または routine (0x00)。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ip-protocol number

IP プロトコル フィールドです。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN。

ip6-source-address address

パケットを送信する送信元ノードの IPv6 アドレス。

イングレスポートとVLAN。(この一致基準を持つフィルターを、そのポートを含むレイヤー2ポートとVLANに同時に適用することはできません)。

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを照合します。

イングレスポートとVLAN。

is-fragment

この条件を使用すると、IPヘッダーでMore Fragmentsフラグが有効になっている場合、またはフラグメントオフセットがゼロではない場合に一致します。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

l2-encap-type llc-non-snap

非サブネットアクセスプロトコル(SNAP)イーサネットカプセル化タイプの論理リンク制御(LLC)層パケットに一致します。

イングレスポートとVLAN。

ポートとVLANを出力します。

label

MPLSラベルビットに一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

learn-vlan-id number

通常のVLANのIDまたは外部(サービス)VLANのID(Q-in-Q VLANの場合)に一致します。許容値は 1 から 4095 です。

注:

QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5220、EX4600、EX4650、EX4400、EX4100、EX4300-MPスイッチではサポートされていません。user-vlan-id一致条件を使用して、外部 VLAN ID と一致させます。

イングレスポートとVLAN。

ポートとVLANを出力します。

mac-address mac-address

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソース メディア アクセス制御(MAC)アドレスに一致します。例:VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

Ingress/Egress(システム全体)

] をクリックします。

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

イングレスポート、VLAN、およびIPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス

packet-length

パケットの長さ (バイト単位)。0 から 65535 までの値を入力する必要があります。

イングレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

payload-protocol

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

注:

QFX3500、QFX3600、QFX5100、QFX5110、QFX5200、QFX5210スイッチではサポートされていません。

イングレスポート、VLAN、およびIPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス

Port qualifier

ポート修飾子は、パケット転送エンジンに 2 つのエントリをインストールします。1つは送信元ポートで、もう1つは宛先ポートです。

注:

ポート修飾子は、EX4400、EX4300、EX4100、EX4300(マルチギガビットPoE)、EX2300、EX2300(マルチギガビットPoE)、EX3400プラットフォームではサポートされていません。

イングレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先順位ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

rat-type tech-type-value

PMIPv4(プロキシモバイルIPv4)アクセス技術タイプ拡張の8ビットTech-Typeフィールドで指定されたRAT(無線アクセス技術)タイプに一致します。テクノロジータイプは、モバイルデバイスがアクセスネットワークに接続されたアクセス技術を指定します。単一の値、値の範囲、または値のセットを指定します。0~255の数値、またはシステム キーワードとして技術タイプを指定できます。

  • 数値1は、IEEE 802.3 に一致します。

  • 数値2は、IEEE 802.11a/b/gに一致します。

  • 数値3は、IEEE 802.16eに一致します

  • 数値4は、IEEE 802.16mに一致します。

  • テキスト文字列 eutran は4Gに一致します。

  • テキスト文字列 geran は2Gに一致します。

  • テキスト文字列 utranは3Gに一致します。

エグレスおよびイングレスIPv4(inet)インターフェイス

sample

パケットトラフィックをサンプルします。このオプションは、トラフィックサンプリングを有効にしている場合にのみ適用してください。

エグレスおよびイングレスIPv4(inet)インターフェイス

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレス フィールド。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

source-mac-address mac-address

パケットの送信元メディアアクセス制御(MAC)アドレス

イングレスポートとVLAN。

ポートとVLANを出力します。

source-port value

TCP または UDP 送信元ポート通常、この一致は protocol 一致ステートメントと組み合わせて指定します。数値 フィールドの代わりに、 の下に記載されているテキスト シノニムの 1 つを指定しますdestination-port

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

Egress IPv4(inet)インターフェイス

source-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の送信元ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

source-prefix-list prefix-list

IP ソース プレフィックス リスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-established

確立されたTCPスリーウェイハンドシェイク接続(SYN、SYN-ACK、ACK)のパケットを照合します。一致しない唯一のパケットは、SYNビットのみが設定されているため、ハンドシェイクの最初のパケットです。このパケットでは、一致条件として tcp-initial を指定する必要があります。

tcp-established を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-flags value

1 つ以上の TCP フラグ:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグ SYN が設定され、TCP フラグ ACK が設定されていない場合、一致が発生します。

tcp-initial を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

traffic-class

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィック クラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

イングレスポート、VLAN、およびIPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス

ttl value

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

user-vlan-1p-priority value

0-7の範囲で指定された802.1p VLAN優先度に一致します。

イングレスおよびエグレスのポートとVLAN。

user-vlan-id number

Q-in-Q VLANの内部(顧客)VLANのIDに一致します。許容値は 1 から 4095 です。

注:

QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600、EX4650、EX4400、EX4100、EX4300-MPスイッチの場合、 user-vlan-id を使用して外側VLANのIDを照合します。

QFX5220 シリーズ スイッチ、MX および ACX シリーズ ルーターでは、 learn-vlan-id を使用して外側 VLAN の ID を照合し、 user-vlan-id を使用して内部 VLAN の ID と照合します。以前は、 user-vlan-id を使用して外部VLAN IDを照合できました。

イングレスおよびエグレスのポートとVLAN。

vlan-id <vlan id> | <vlan-range> | <vlan list>

ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する場合は、VLAN 識別子、 vlan-range (VLAN グループの最初と最後の VLAN ID 番号)、または vlan list (番号のリスト)を照合します。例:VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

注:

EX4100スイッチではサポートされていません。

Ingress/Egress(システム全体)

thenステートメントを使用して、パケットが from ステートメントのすべての条件に一致する場合に実行するアクションを定義します。 表 3は、用語で指定できるアクションを示します。( then ステートメントを含めない場合、システムはフィルターに一致するパケットを受け入れます。)

表 3: ファイアウォールフィルターのアクション

アクション

説明

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4メッセージ(タイプ3)を送信します。拒否されたパケットをログに記録するには、 syslog アクション修飾子を設定します。

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または tcp-reset

tcp-reset を指定した場合、パケットが TCP パケットの場合は TCP リセットを送信します。それ以外の場合は何も送信されません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。

注:

rejectアクションは、イングレスインターフェイスでのみサポートされています。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。

vlan VLAN-name

一致したパケットを特定のVLANに転送します。

注:

vlanアクションは、イングレスインターフェイスでのみサポートされています。

注:

このアクションは、OCXシリーズスイッチではサポートされていません。

また、 表 4 に記載されているアクション修飾子を指定して、パケットのカウント、ミラーリング、レート制限、分類を行うこともできます。

表 4: ファイアウォールフィルターのアクション修飾子

アクション修飾子

説明

analyzer analyzer-name

(非ELSプラットフォーム)トラフィックをミラーリング(パケットをコピー)し、 [edit ethernet-switching-options analyzer] 階層レベルで設定されたアナライザーにミラーリングします。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

count counter-name

条件に一致するパケットの数をカウントします。

decapsulate [gre | routing-instance]

カプセル化解除されたGREパケット、またはカプセル化解除されたGREパケットを指定されたルーティングインスタンスに転送します

dscp value

差別化されたサービス コード ポイント(DSCP)です。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • be- ベスト エフォート(デフォルト)

  • ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを設定するには、損失の優先度も設定する必要があります。

gbp-src-tag

(QFX5120およびEX4650のみ)

グループベースのポリシーソースタグ(0..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例:VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

gbp-tag

(EX4100、EX4400、EX4650およびQFX5120)

グループベースのポリシーソースタグ(1..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例:VXLANでグループベースポリシーを使用したミクロおよびマクロのセグメンテーション。

注: Junos OSリリース22.4R1以降に適用されます。

interface

指定されたインターフェイスに、ルックアップを実行せずにトラフィックをスイッチします。このアクションは、フィルターがイングレスに適用される場合にのみ有効です。

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 show firewall log 動作モード コマンドを入力します。

注:

log アクション修飾子は、イングレス インターフェイスでのみサポートされています。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

注:

loss-priority アクション修飾子は、イングレス インターフェイスでのみサポートされています。

注:

loss-priority アクション修飾子は、policer アクションと組み合わせてはサポートされていません。

policer policer-name

パケットをポリサーに送信します(レート制限を適用するため)。

イングレスポート、VLAN、IPv4(inet)、IPv6(inet6)、MPLSフィルターのポリサーを指定できます。

注:

policer アクション修飾子は、loss-priority アクションと組み合わせてはサポートされていません。

port-mirror

(ELSプラットフォーム) [edit forwarding-options port-mirroring] 階層レベルのポートミラーリングインスタンスで設定された出力インターフェイスにトラフィックをミラーリング(パケットをコピー)。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELSプラットフォーム) [edit forwarding-options port-mirroring] 階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

注:

このアクション修飾子は、OCX シリーズスイッチではサポートされていません。

syslog

このパケットのアラートをログに記録します。

注:

syslog アクション修飾子は、イングレス インターフェイスでのみサポートされています。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

イングレスおよびエグレスポート、VLAN、IPv4(inet)、IPv6(inet6)、MPLSフィルターに3色のポリサーを指定できます。

注:

policer アクション修飾子は、loss-priority アクションと組み合わせてはサポートされていません。

ファイアウォールフィルターの一致条件とアクション(QFX5220、QFX5700 、QFX5130-32CD)

このトピックでは、 QFX5220-CD、QFX5220-128C、および QFX5130-32CD スイッチでサポートされているファイアウォールフィルターの一致条件、アクション、およびアクション修飾子について説明します。

ファイアウォールフィルターの各用語は、 一致条件アクションで構成されます。一致条件とは、一致と見なされるためにパケットに含まれる必要のあるフィールドと値です。match ステートメントでは、単一または複数の一致条件を定義できます。また、no match ステートメントを含めることもできます。その場合、条件はすべてのパケットに一致します。

パケットがフィルタに一致すると、スイッチは条件で指定されたアクションを実行します。一致条件を適用しない場合、スイッチはデフォルトでパケットを受け入れます。

  • 表 5 は、IPv4(inet)とIPv6(inet6)インターフェイスの一致条件を示しています。また、ポートとVLAN(ethernet-switching)の一致条件も含まれています。

  • 表 6 は、用語で指定できるアクションとアクション修飾子を示します。

注:

照合条件では、一部の数値範囲およびビットフィールド一致条件を使用して、テキスト同義語を指定できます。一致条件のすべてのシノニムのリストを表示するには、ステートメントの適切な場所に ? を入力します。

表 5: サポートされている一致条件(QFX5220、QFX5700、 およびQFX5130-32CDスイッチ)

一致条件

説明

方向とインターフェース

arp-type

ARP 要求パケットまたは ARP 応答パケット。

イングレスおよびエグレスのポートとVLAN

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

イングレスおよびエグレスのIPv4およびIPv6インターフェイス

イングレスポートとVLAN

destination-mac-address mac-address

パケットの宛先MACアドレス。

イングレスおよびエグレスのポートとVLAN

destination-port value

TCPまたはUDP宛先ポートフィールド。IPv4 トラフィックの場合は protocol 一致ステートメント、IPv6 トラフィックの場合は next-header 一致ステートメントでこの一致を指定する必要があります。

以下の既知のポートおよびポート番号については、テキスト同義語を指定できます。

afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

cmd (514)cvspserver (2401)

dhcp (67)domain (53)

eklogin (2105)ekshell (2106)exec (512)

finger (79)ftp (21)ftp-data (20)

http (80)https (443)

ident (113)imap (143)

kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

ldap (389)login (513)

mobileip-agent (434)mobilip-mn (435)msdp (639)

netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

pop3 (110)pptp (1723)printer (515)

radacct (1813)radius (1812)rip (520)rkinit (2108)

smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513)

xdmcp (177)

zephyr-clt (2103)zephyr-hm (2104)

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス。

イングレスポートとVLAN

destination-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレス IPv4 インターフェイス

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレスおよびエグレスのIPv4およびIPv6インターフェイス

イングレスポートとVLAN。

dscp value

差別化されたサービス コード ポイント(DSCP)です。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニムおよびフィールドのいずれかを指定します。

  • be- ベスト エフォート(デフォルト)

  • ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

ingress/egress IPv4インターフェイス

イングレスポートとVLAN

ether-type value

パケットのイーサネット タイプ フィールドです。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、以下のテキスト同義語のいずれかを指定できます。フィールド値も一覧表示されます。

  • aarp (0x80F3)- イーサタイプ値 AARP

  • appletalk (0x809B)- EtherType 値 アップルトーク

  • arp (0x0806)- イーサタイプ値ARP

  • fcoe (0x8906)- イーサタイプ値 FCoE

  • fip (0x8914)- イーサタイプ値 FIP

  • ipv4 (0x0800)- イーサタイプ値 IPv4

  • ipv6 (0x08DD)- イーサタイプ値 IPv6

  • mpls-multicast (0x8848)- EtherType値MPLSマルチキャスト

  • mpls-unicast (0x8847)- イーサタイプ値MPLSユニキャスト

  • oam (0x88A8)- イーサタイプ値 OAM

  • ppp (0x880B)- イーサタイプ値 PPP

  • pppoe-discovery (0x8863)- EtherType値PPPoEディスカバリーステージ

  • pppoe-session (0x8864)- EtherType 値 PPPoE セッション ステージ

  • sna (0x80D5)- イーサタイプ値 SNA

イングレスおよびエグレスのポートとVLAN

最初のフラグメント

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。フラグメントパケットの追跡フラグメントである場合のパケットの一致を回避する。フラグメント パケットの最初のフラグメントのフラグメント オフセット値は 0 です。

この一致条件は、ビットフィールド一致条件フラグメントオフセット0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます: first-fragment is-fragment

イングレス IPv4 インターフェイス

icmp-code value

ICMP コード フィールドです。値の意味は関連する icmp-typeによって異なるため、 icmp-type の値と icmp-codeの値を指定する必要があります。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • IPv4: parameter-problem—ip-header-bad (0)required-option-missing (1)

  • IPv6: parameter-problem—ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: 到達不能—network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: 到達不能—address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

icmp-type value

ICMP メッセージ タイプ フィールドです。この一致は、 protocol 一致ステートメントとともに指定する必要があります。この一致は、IPv4トラフィックの場合はポートで使用されているプロトコル、IPv6トラフィックの場合は next-header 一致ステートメントを決定します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

IPv4: echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

icmp-code variableも参照してください。

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

interface interface-name

論理ユニットを含む、パケットを受信したインターフェイス。ワイルドカード文字(*)は、インターフェイス名または論理ユニットの一部として含めることができます。

注:

パケットの送信元インターフェイスは、一致条件として使用できません。

イングレスポートとVLAN

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレスポートとVLAN

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成する any を指定します。

イングレス IPv4 インターフェイス

ip-protocol number

IP プロトコル フィールドです。

イングレスポートとVLAN

ip-precedence ip-precedence-field

IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、または routine (0x00)。

イングレスポートとVLAN

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを照合します。

イングレスポートとVLAN

is-fragment

この条件を使用すると、IPヘッダーでMore Fragmentsフラグが有効になっている場合、またはフラグメントオフセットがゼロではない場合に一致します。

ingress/egress IPv4インターフェイス(QFX5220)

イングレスIPv4インターフェイス(QFX5130)

learn-vlan-id number

MAC 学習用の VLAN 識別子。

Ingress/EgressポートとVLAN(QFX5220)

イングレスポートおよびVLAN(QFX5130)

learn-vlan-1p-priority value

プロバイダVLANタグのIEEE 802.1p学習VLAN優先度ビット(802.1Q VLANタグを持つ単一タグフレーム内の唯一のタグ、または802.1Q VLANタグを持つ二重タグフレーム内の外部タグ)に一致します。単一の値または0から7までの複数の値を指定してください。

イングレスポートとVLAN

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

ingress/egress IPv6インターフェイス

packet-length

パケットの長さ (バイト単位)。0 から 65535 までの値を入力する必要があります。

イングレス IPv4 および IPv6 インターフェイス

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先順位ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

ingress/egress IPv4インターフェイス

protocol type

IP プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)tcp (4)

イングレスおよびエグレス IPv4 インターフェイス。

イングレス IPv4 インターフェイスおよび VLAN

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレス フィールド。

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

source-mac-address mac-address

パケットの送信元メディアアクセス制御(MAC)アドレス

ingress/egress IPv4 インターフェイスおよび VLAN

source-port value

TCP または UDP 送信元ポートIPv4 トラフィックの場合は protocol 一致ステートメント、IPv6 トラフィックの場合は next-header 一致ステートメントと組み合わせて指定する必要があります。

数値 フィールドの代わりに、 の下に記載されているテキスト シノニムの 1 つを指定しますdestination-port

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

source-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCPまたはUDPポート範囲の範囲に一致させます。この条件を使用すると、個々の送信元ポートを設定する場合よりも多くのファイアウォールフィルターを設定できます。(フィルターベースの転送ではサポートされていません。)

イングレス IPv4 インターフェイス

source-prefix-list prefix-list

IP ソース プレフィックス リスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

tcp-established

確立されたTCPセッションのTCPパケット(接続のパケットの最初のパケット以外のパケット)に一致します。これは、 tcp-flags "(ack | rst)".

この一致条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、 protocol tcp一致条件を指定します。

ingress/egress IPv4インターフェイス(QFX5220)

ingress/egress IPv4インターフェイス(QFX5130)

イングレスIPv6インターフェイス(QFX5130)

tcp-flags value

TCP フラグ (1 つの値のみがサポートされます):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

ingress/egress IPv4インターフェイス

イングレス IPv6 インターフェイス

イングレスポートとVLAN

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグ SYN が設定され、TCP フラグ ACK が設定されていない場合、一致が発生します。

tcp-initial を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。「protocol type」を参照してください。

ingress/egress IPv4インターフェイス(QFX5220)

イングレスおよびエグレスIPv4インターフェイス、イングレスIPv6インターフェイス(QFX5130)

traffic-class

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィック クラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

ingress/egress IPv6インターフェイス

ttl value

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。

ingress/egress IPv4インターフェイス

user-vlan-id number

Q-in-Q VLANの内部(顧客)VLANのIDに一致します。許容値は 1 から 4095 です。

イングレスポートおよびVLAN(QFX5130)

user-vlan-1p-priority value

0-7の範囲で指定された802.1p VLAN優先度に一致します。

イングレスポートおよびVLAN(QFX5130)

then ステートメントを使用して、パケットが from ステートメントのすべての条件に一致する場合に発生するアクションを定義します。表 6は、用語で指定できるアクションを示しています。( then ステートメントを含めない場合、システムはフィルターに一致するパケットを受け入れます。)

注:

エグレスIPv4インターフェイス、IPv6インターフェイス、エグレスポートの場合、適用できるのは、受け入れ、破棄、およびカウントアクションのみです。エグレスVLANの場合、適用できるのは acceptアクションのみです。

表 6: アクションとアクション修飾子

アクション

説明

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

count counter-name

条件に一致するパケットの数をカウントします。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを設定するには、損失の優先度も設定する必要があります。

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 show firewall log 動作モード コマンドを入力します。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

注:

loss-priority アクション修飾子は、イングレス IPv4 インターフェイスでのみサポートされています。

注:

loss-priority アクション修飾子は、policer アクションと組み合わせてはサポートされていません。

policer policer-name

パケットをポリサーに送信します(レート制限を適用するため)。

注:

policer アクション修飾子は、loss-priority アクションと組み合わせてはサポートされていません。

port-mirror

[edit forwarding-options port-mirroring]階層レベルのポートミラーリングインスタンスで設定された出力インターフェイスにトラフィックをミラーリング(パケットをコピー)。

port-mirror-instance port-mirror-instance-name

[edit forwarding-options port-mirroring]階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

イングレスポート、VLAN、およびIPv4(inet)ファイアウォールフィルターのみにポートミラーリングを指定できます。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4メッセージ(タイプ3)を送信します。拒否されたパケットをログに記録するには、 syslog アクション修飾子を設定します。

以下のいずれかのメッセージ・タイプを指定できます。 administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。

注:

rejectアクションは、イングレスIPv4インターフェイスでのみサポートされています。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

注:

policer アクション修飾子は、loss-priority アクションと組み合わせてはサポートされていません。

注:

color-aware および color-blind ポリサーはサポートされていません。デフォルトでは、トラフィックは color-blindとして扱われます。

vlan VLAN-name

一致したパケットを特定のVLANに転送します。

これらのプラットフォームでこのアクションプロファイルを有効化するには、 set system packet-forwarding-options firewall profiles actions ethernet-switching profile1 設定を適用する必要があります。vlan vlanIDアクションは、ポートおよびVLANファイアウォールフィルタールールで設定できます。

注:

vlanアクションは、イングレスポートとVLANでのみサポートされます。