Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルターの一致条件とアクション(QFX および EX シリーズ スイッチ)

ファイアウォール フィルターの一致条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5700、EX4600、EX4650)

ファイアウォール フィルタの各条件は 、一致条件アクションで構成されます。照合条件は、パケットが一致と見なすために含める必要があるフィールドと値です。match ステートメントでは、単一または複数の照合条件を定義できます。また、no match ステートメントを含めることもできます。この場合、条件はすべてのパケットと一致します。

パケットがフィルタと一致すると、スイッチは条件で指定されたアクションを実行します。さらに、パケットのカウント、ミラーリング、レート制限、分類を行うアクション修飾子を指定できます。条件に一致条件が指定されていない場合、スイッチはデフォルトでパケットを受け入れます。

  • 表 1 は、ファイアウォール フィルタの設定時に指定できる照合条件について説明しています。数値範囲とビットフィールド照合条件の一部では、テキストシノニムを指定できます。照合条件のすべてのシノニムのリストを表示するには、ステートメントの適切な場所に入力 ? します。

  • 表 2 は、条件で指定できるアクションを示しています。

  • 表 3 は、パケットのカウント、ミラーリング、レート制限、分類に使用できるアクション修飾子を示しています。

特定のスイッチの一致条件には、以下の制限が適用されます。

(QFX5100、QFX5110、QFX5200)IPv6 インターフェイスでフィルターベースの転送を使用する場合、これらの一致条件のみが(イングレス方向)でサポートされます。source-addressdestination-addresssource-prefix-listdestination-prefix-listsource-portdestination-porthop-limit、 、 icmp-type、 および next-header

(QFX5110)階層の下でオプションをegress-to-ingress[edit firewall]有効にした場合、のみ accept、、discardおよびcountアクションがサポートされます。

(QFX5100、QFX5110、QFX5120、QFX5130-32CD、QFX5220、QFX5700)EVPN-VXLAN 環境では、以下の一致条件のみがサポートされます。source-addressdestination-addresssource-portdestination-portttlip-protocol、 および user-vlan-id

(QFX5100、QFX5110、QFX5200)EVPN-VXLAN IRB インターフェイスのエグレス方向にファイアウォール フィルタを適用することはできません。

(QFX5700)ループバック インターフェイスのエグレス方向にファイアウォール フィルタを適用することはできません。

(QFX5100、QFX5110)ファイアウォール フィルターを使用して EVPN-VXLAN 環境に MAC フィルタリングを実装する場合は、サポートされる一致条件については、 EVPN-VXLAN 環境の MAC フィルタリング、ストーム制御、ポート ミラーリングのサポート を参照してください。

(QFX5100、QFX5110)VXLAN に適用するファイアウォール フィルターごとに、レイヤー 2(イーサネット)パケットのフィルタリング、または family inet IRB インターフェイスでのフィルタリングを指定family ethernet-switchingできます。IRB インターフェイスのエグレス方向にファイアウォール フィルタを適用することはできません。

レイヤー 2 機能をサポートしていないスイッチでは、IPv4 および IPv6 インターフェイスで有効な一致条件のみを使用します。

(QFX5120、EX4650)Junosリリース21.4R1以降、QFX5120およびEX4650のEVPN-VXLAN環境では、次の一致条件がサポートされています。gbp-src-tag、および gbp-dst-tag.

Junos OSリリース21.4R1以降、ソースポート範囲最適化と宛先ポート範囲最適化条件は、階層レベルで [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] サポートされています。これにより、TCAM スペースの使用量が大幅に削減されます。ソースポート範囲の最適化と宛先ポート範囲最適化の一致条件を設定したQFX5100スイッチでは、最大24個の非連続送信元ポート範囲および宛先ポート範囲の照合条件がサポートされています。連続しない 24 を超える照合条件が設定されている場合、エラーがスローされる可能性があります。

表 1: ファイアウォール フィルターでサポートされる照合条件

照合条件

説明

方向とインターフェイス

arp-type

ARP リクエスト パケットまたは ARP 応答パケット。

エグレスインターフェイスとイングレスインターフェイス。

destination-address ip-address

IP 宛先アドレス フィールドは、最終宛先ノードのアドレスです。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレスIPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

destination-mac-address mac-address

パケットの MAC(宛先メディア アクセス制御)アドレス。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス ポートと VLAN。

destination-port value

TCP または UDP 宛先ポート フィールド。通常、この一致を match ステートメントと protocol 組み合わせて指定します。以下の既知のポートでは、テキストシノニムを指定できます(ポート番号も表示されます)。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

destination-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲を照合します。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォール フィルタを設定できます。(フィルターベースの転送ではサポートされていません)。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールド。頻繁に使用するプレフィックス リスト エイリアスの下で IP アドレス プレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

dscp value

DSCP(差別化サービス コード ポイント) DiffServ プロトコルは、IP ヘッダーでサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進形式、バイナリ形式、または 10 進形式で指定できます。

数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

  • be—ベスト エフォート(デフォルト)

  • ef (46)RFC 3246An Expedited Forwarding PHB で定義されています。

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントで、RFC 2597、Assured Forwarding PHB で定義されています。

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ether-type value

パケットのイーサネット タイプ フィールド。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

  • aarp (0x80F3)—EtherType 値 AARP

  • appletalk (0x809B)— イーサタイプの価値 AppleTalk

  • arp (0x0806)—EtherType 値 ARP

  • fcoe (0x8906)—EtherType 値 FCoE

  • fip (0x8914)—EtherType 値 FIP

  • ipv4 (0x0800)—EtherType 値 IPv4

  • ipv6 (0x08DD)—EtherType 値 IPv6

  • mpls-multicast (0x8848)—EtherType 値 MPLS マルチキャスト

  • mpls-unicast (0x8847)—EtherType 値 MPLS ユニキャスト

  • oam (0x88A8)—EtherType 値 OAM

  • ppp (0x880B)—イーサタイプ値PPP

  • pppoe-discovery (0x8863)—EtherType Value PPPoE Discovery Stage

  • pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

  • sna (0x80D5)—EtherType 値 SNA

イングレス ポートと VLAN。

エグレス ポートと VLAN。

egress-to-ingress

エグレスVLANファイアウォールフィルタ条件の数を1024から2048に増やすには、このオプションを含めます。

エグレスVLAN IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

exp

MPLS EXP ビットで一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、次のいずれかのテキストシノニムを指定できます(16 進値も表示されます)。

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

イングレス ポートと VLAN。

gbp-dst-tag

次に説明するように、VXLAN上のマイクロセグメンテーションで使用するために宛先タグを照合します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション。

適用外

gbp-src-tag

ここで説明するように、VXLAN上のマイクロセグメンテーションで使用するために、送信元タグを照合します。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション。

適用外

icmp-code value

ICMP コード フィールド。値の意味は、関連icmp-typeする値に依存するため、値とともにicmp-typeicmp-codeを指定する必要があります。数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。キーワードは、関連付けられている ICMP タイプによってグループ化されます。

  • IPv4:パラメータの問題—ip-header-bad (0)required-option-missing (1)

  • IPv6: パラメーターの問題—ip6-header-bad (0) , , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0) 、 、 redirect-for-tos-and-net (2)redirect-for-host (1)redirect-for-tos-and-host (3)

  • time-exceeded——ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: 到達不能 —network-unreachable (0) 、 、 host-unreachable (1)protocol-unreachable (2)、 、 port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)、 、 source-host-isolated (8)、 、 、 host-precedence-violation (14)host-unreachable-for-TOS (12)destination-host-prohibited (10)network-unreachable-for-TOS (11)communication-prohibited-by-filtering (13)destination-network-prohibited (9)precedence-cutoff-in-effect (15)

  • IPv6: 到達不能—address-unreachable (3) 、 、 administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

hop-limit value

指定されたホップ制限またはホップ制限のセットを照合します。単一の値または 0 から 255 までの値の範囲を指定します。

イングレスおよびエグレス IPv6(inet6)インターフェイス。

注:

QFX3500、QFX3600、QFX5100、QFX5120、QFX5110、QFX5200、QFX5210 スイッチのエグレス方向ではサポートされていません。

icmp-type value

ICMP メッセージ タイプ フィールド。通常、この一致を match ステートメントと protocol 組み合わせて指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

IPv4: echo-reply (0)、 、 destination unreachable (3)、 、 source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)、 、 timestamp-reply (14)mask-request (17)parameter-problem (12)timestamp (13)info-request (15)info-reply (16)time-exceeded (11)mask-reply (18)

IPv6: destination-unreachable (1) , packet-too-big (2), time-exceeded (3), , parameter-problem (4), , echo-request (128), , membership-termination (132)membership-report (131)router-renumbering (138)membership-query (130)router-advertisement (134)node-information-request (139)router-solicit (133)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)echo-reply (129)node-information-reply (140)

詳細は、 を icmp-code variable参照してください。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

interface interface-name

論理ユニットを含め、パケットを受信するインターフェイス。インターフェイス名または論理ユニットの一部としてワイルドカード文字(*)を含めることができます。

注:

パケットが送信されるインターフェイスは、一致条件として使用できません。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレス ポートと VLAN。

ip6-destination-address address

パケットの最終宛先ノード アドレスである IPv6 アドレス。

イングレス ポートと VLAN。(この一致条件を持つフィルタを、そのポートを含むレイヤー 2 ポートと VLAN に同時に適用することはできません)。

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成するように指定 any します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ip-precedence ip-precedence-field

IP precedence フィールド。数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。critical-ecp (0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine (0x00)。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ip-protocol number

IP プロトコル フィールド。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレス ポートと VLAN。

ip6-source-address address

パケットを送信する送信元ノードの IPv6 アドレス。

イングレス ポートと VLAN。(この一致条件を持つフィルタを、そのポートを含むレイヤー 2 ポートと VLAN に同時に適用することはできません)。

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー 2 ポートまたは VLAN インターフェイスに到着するトラフィックの IPv4 または IPv6 ヘッダー フィールドを照合します。

イングレス ポートと VLAN。

is-fragment

この条件を使用すると、IP ヘッダーで [その他のフラグメント] フラグが有効になっている場合、またはフラグメント オフセットが 0 でない場合に一致が発生します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

l2-encap-type llc-non-snap

非サブネット アクセス プロトコル(SNAP)イーサネット カプセル化タイプの論理リンク制御(LLC)レイヤー パケットを照合します。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

label

MPLS ラベル ビットで一致します。

イングレス MPLS インターフェイス。

エグレス MPLS インターフェイス。

learn-vlan-id number

通常の VLAN の ID または外部(サービス)VLAN の ID を照合します(Q-in-Q VLAN の場合)。許容値は 1~4095 です。

注:

QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5220、EX4600、EX4650スイッチではサポートされていません。外部 VLAN ID を user-vlan-id 照合するには、照合条件を使用します。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレス ポート、VLAN、IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

packet-length

パケット長(バイト) 0~65535 の値を入力する必要があります。

イングレス ポート、VLAN、IPv4(inet)、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

payload-protocol

IPv4 または IPv6 プロトコル値。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

注:

QFX3500、QFX3600、QFX5100、QFX5110、QFX5200、QFX5210スイッチではサポートされていません。

イングレス ポート、VLAN、IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

Port qualifier

ポート修飾子は、パケット転送エンジンに 2 つのエントリーをインストールします。1つは送信元ポート、もう1つは宛先ポートです。

イングレス ポート、VLAN、IPv4(inet)、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

precedence value

IP ヘッダーのサービス タイプ(ToS)バイトの IP 優先度ビット。(このバイトは DiffServ DSCP にも使用できます)。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

rat-type tech-type-value

プロキシモバイルIPv4(PMIPv4)アクセス技術タイプ拡張の8ビット技術タイプフィールドで指定されたRAT(無線アクセス技術)タイプを照合します。テクノロジ タイプは、モバイル デバイスがアクセス ネットワークに接続されるアクセス テクノロジを指定します。1 つの値、値の範囲、または一連の値を指定します。技術タイプは、0 から 255 までの数値またはシステム・キーワードとして指定できます。

  • 数値 1 は IEEE 802.3 と一致します。

  • 数値 2 は IEEE 802.11a/b/g と一致します。

  • 数値 3 が IEEE 802.16e と一致

  • 数値 4 は IEEE 802.16m と一致します。

  • テキスト文字列 eutran が 4G と一致します。

  • テキスト文字列 geran が 2G と一致します。

  • テキスト文字列 utran が 3G と一致します。

エグレスおよびイングレス IPv4(inet)インターフェイス。

sample

パケット トラフィックをサンプルします。このオプションは、トラフィックサンプリングが有効になっている場合にのみ適用します。

エグレスおよびイングレス IPv4(inet)インターフェイス。

source-address ip-address

IP 送信元アドレス フィールドは、パケットを送信したノードのアドレスです。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

source-mac-address mac-address

パケットの MAC(送信元メディア アクセス制御)アドレス。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

source-port value

TCP または UDP 送信元ポート。通常、この一致を match ステートメントと protocol 組み合わせて指定します。数値フィールドの代わりに、 の下にリストされている destination-portテキストシノニムのいずれかを指定できます。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

source-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲を照合します。この条件を使用すると、個々のソース ポートを設定する場合よりも多くのファイアウォール フィルタを設定できます。(フィルターベースの転送ではサポートされていません)。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

source-prefix-list prefix-list

IP 送信元プレフィックス リスト。頻繁に使用するプレフィックス リスト エイリアスの下で IP アドレス プレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-established

確立された TCP スリーウェイ ハンドシェイク接続(SYN、SYN-ACK、ACK)のパケットを照合します。唯一一致しないパケットは、SYN ビットのみが設定されているため、ハンドシェイクの最初のパケットです。このパケットでは、照合条件として指定 tcp-initial する必要があります。

指定 tcp-establishedした場合、スイッチはプロトコルが TCP であることを暗黙的に検証しません。照合条件も指定する protocol tcp 必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-flags value

1 つ以上の TCP フラグ:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-initial

接続の最初の TCP パケットを照合します。TCP フラグが設定されていて、TCP フラグ SYN が設定されていない場合に ACK 、一致が発生します。

指定 tcp-initialした場合、スイッチはプロトコルが TCP であることを暗黙的に検証しません。照合条件も指定する protocol tcp 必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

traffic-class

パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールド。トラフィッククラス フィールドを使用して、DiffServ コード ポイント(DSCP)値を指定します。このフィールドは、以前は IPv4 のサービス タイプ(ToS)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

次のいずれかのテキスト シノニムを指定できます(フィールド値も表示されます)。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

イングレス ポート、VLAN、IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

ttl value

10 進数の TTL(IP Time-to-Live)フィールド。値は 1~255 です。

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

user-vlan-1p-priority value

指定された範囲 0-7の 802.1p VLAN 優先度を照合します。

受信ポートとエグレス ポートと VLAN。

user-vlan-id number

Q-in-Q VLAN の内部(顧客)VLAN の ID を照合します。許容値は 1~4095 です。

注:

QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600、EX4650のスイッチでは、外部VLANのIDを照合するために使用 user-vlan-id します。

QFX5220シリーズスイッチ、MXおよびACXシリーズルーターでは、外部VLANのIDを照合しuser-vlan-id 、内部VLANのIDを一致させるために使用learn-vlan-idします。以前は、外部 VLAN ID を照合するために使用 user-vlan-id できました。

受信ポートとエグレス ポートと VLAN。

ステートメントを使用して then 、パケットがステートメント内のすべての条件に一致した場合に発生するアクションを from 定義します。 表 2は、条件で指定できるアクションを示しています。(ステートメントを then 含めなければ、システムはフィルターに一致するパケットを受け入れます。

表 2: ファイアウォール フィルターのアクション

対処

説明

accept

パケットを受け入れます。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4 メッセージを送信します(タイプ 3)。拒否されたパケットをログに記録するには、アクション修飾子を設定します syslog

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または tcp-reset.

を指定 tcp-resetすると、パケットが TCP パケットである場合、システムは TCP リセットを送信します。それ以外の場合は何も送信しません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」はデフォルト メッセージ「管理上フィルタリングされた通信」と共に送信されます。

注:

アクション reject はイングレス インターフェイスでのみサポートされています。

routing-instance インスタンス名

一致したパケットを仮想ルーティング インスタンスに転送します。

vlan VLAN 名

照合されたパケットを特定の VLAN に転送します。

注:

アクション vlan はイングレス インターフェイスでのみサポートされています。

注:

このアクションは OCX シリーズ スイッチではサポートされていません。

パケットのカウント、ミラーリング、レート制限、分類にリストされている 表 3 アクション修飾子も指定できます。

表 3: ファイアウォール フィルターのアクション修飾子

アクション修飾子

説明

analyzer analyzer-name

(非 ELS プラットフォーム)階層レベルで設定されたアナライザにトラフィック(コピー パケット)を [edit ethernet-switching-options analyzer] ミラーリングします。

イングレス ポート、VLAN、IPv4(inet)ファイアウォール フィルターに対してのみポート ミラーリングを指定できます。

count counter-name

条件に一致するパケット数をカウントします。

decapsulate [gre | routing-instance]

GRE パケットのカプセル化解除またはカプセル化解除された GRE パケットを指定されたルーティング インスタンスに転送する

dscp value

DSCP(差別化サービス コード ポイント) DiffServ プロトコルは、IP ヘッダーでサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進形式、バイナリ形式、または 10 進形式で指定できます。

数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

  • be—ベスト エフォート(デフォルト)

  • ef (46)RFC 3246An Expedited Forwarding PHB で定義されています。

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントで、RFC 2597、Assured Forwarding PHB で定義されています。

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

パケットを次のデフォルト転送クラスまたはユーザー定義転送クラスのいずれかに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを設定するには、損失の優先度も設定する必要があります。

gbp-src-tag

(QFX5120およびEX4650のみ)

VXLANのマイクロセグメンテーションで使用するグループベースのポリシーソースタグ(0.65535)を設定します。ここでは、次の説明に従います。例:VXLANのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション。

interface

トラフィックをルックアップを実行せずに、指定したインターフェイスにトラフィックを切り替えます。このアクションは、フィルターがイングレスに適用されている場合にのみ有効です。

log

ルーティング エンジンでパケットのヘッダー情報をログに記録します。この情報を表示するには、動作モード コマンドを show firewall log 入力します。

注:

logアクション修飾子はイングレス インターフェイスでのみサポートされています。

loss-priority (low | medium-low | medium-high | high)

パケット 損失優先度(PLP)を設定します。

注:

loss-priorityアクション修飾子はイングレス インターフェイスでのみサポートされています。

注:

loss-priorityアクション修飾子は、アクションとpolicer組み合わせてサポートされていません。

policer policer-name

パケットをポリサーに送信します(レート制限を適用する目的で)。

イングレス ポート、VLAN、IPv4(inet)、IPv6(inet6)、MPLS フィルターにポリサーを指定できます。

注:

policerアクション修飾子は、アクションとloss-priority組み合わせてサポートされていません。

port-mirror

(ELS プラットフォーム)階層レベルで [edit forwarding-options port-mirroring] ポート ミラーリング インスタンスで設定された出力インターフェイスにトラフィックをミラーリング(コピー パケット)します。

イングレス ポート、VLAN、IPv4(inet)ファイアウォール フィルターに対してのみポート ミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELS プラットフォーム)階層レベルで設定されたポート ミラーリング インスタンスにトラフィックを [edit forwarding-options port-mirroring] ミラーリングします。

イングレス ポート、VLAN、IPv4(inet)ファイアウォール フィルターに対してのみポート ミラーリングを指定できます。

注:

このアクション修飾子は、OCX シリーズ スイッチではサポートされていません。

syslog

このパケットのアラートをログに記録します。

注:

syslogアクション修飾子はイングレス インターフェイスでのみサポートされています。

three-color-policer three-color-policer-name

パケットを 3 カラー ポリサーに送信します(レート制限を適用する目的で)。

イングレス/エグレス ポート、VLAN、IPv4(inet)、IPv6(inet6)、MPLS フィルターに 3 色のポリサーを指定できます。

注:

policerアクション修飾子は、アクションとloss-priority組み合わせてサポートされていません。

ファイアウォール フィルターの一致条件とアクション(QFX5220 および QFX5130-32CD)

このトピックでは、QFX5220-CD、QFX5220-128C、QFX5130-32CD スイッチでサポートされるファイアウォール フィルターの一致条件、アクション、アクション修飾子について説明します。

ファイアウォール フィルタの各条件は 、一致条件アクションで構成されます。照合条件は、パケットが一致と見なすために含める必要があるフィールドと値です。match ステートメントでは、単一または複数の照合条件を定義できます。また、no match ステートメントを含めることもできます。この場合、条件はすべてのパケットと一致します。

パケットがフィルタと一致すると、スイッチは条件で指定されたアクションを実行します。一致条件を適用しない場合、スイッチはデフォルトでパケットを受け入れます。

  • 表 4 は、IPv4(inet)インターフェイスと IPv6(inet6)インターフェイスの照合条件を示しています。ポートと VLAN(ethernet-switching)の照合条件も含まれています。

  • 表 5 は、条件で指定できるアクションとアクション修飾子を示しています。

注:

照合条件の場合、数値範囲とビットフィールド照合条件の一部では、テキストシノニムを指定できます。照合条件のすべてのシノニムのリストを表示するには、ステートメントの適切な場所に入力 ? します。

表 4: サポートされる照合条件(QFX5220 および QFX5130-32CD スイッチ)

照合条件

説明

方向とインターフェイス

arp-type

ARP リクエスト パケットまたは ARP 応答パケット。

受信/送信ポートと VLAN

destination-address ip-address

IP 宛先アドレス フィールドは、最終宛先ノードのアドレスです。

イングレス/エグレス IPv4 および IPv6 インターフェイス

イングレス ポートと VLAN

destination-mac-address mac-address

パケットの宛先MACアドレス。

受信/送信ポートと VLAN

destination-port value

TCP または UDP 宛先ポート フィールド。この照合は、IPv4 トラフィックの protocol match ステートメント、または IPv6 トラフィックの next-header match ステートメントで指定する必要があります。

以下の既知のポートとポート番号では、テキストシノニムを指定できます。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

イングレスおよびエグレス IPv4 インターフェイス

イングレス IPv6 インターフェイス。

イングレス ポートと VLAN

destination-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲を照合します。この条件を使用すると、個々の宛先ポートを設定する場合よりも多くのファイアウォール フィルタを設定できます。(フィルターベースの転送ではサポートされていません)。

イングレス IPv4 インターフェイス

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールド。頻繁に使用するプレフィックス リスト エイリアスの下で IP アドレス プレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレス/エグレス IPv4 および IPv6 インターフェイス

イングレス ポートと VLAN。

dscp value

DSCP(差別化サービス コード ポイント) DiffServ プロトコルは、IP ヘッダーでサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進形式、バイナリ形式、または 10 進形式で指定できます。

数値の代わりに、次のテキストシノニムとリストされているフィールドのいずれかを指定できます。

  • be—ベスト エフォート(デフォルト)

  • ef (46)RFC 3246An Expedited Forwarding PHB で定義されています。

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントで、RFC 2597、Assured Forwarding PHB で定義されています。

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

イングレスおよびエグレス IPv4 インターフェイス

イングレス ポートと VLAN

ether-type value

パケットのイーサネット タイプ フィールド。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、次のいずれかのテキストシノニムを指定できます。フィールド値も表示されます。

  • aarp (0x80F3)—EtherType 値 AARP

  • appletalk (0x809B)— イーサタイプの価値 AppleTalk

  • arp (0x0806)—EtherType 値 ARP

  • fcoe (0x8906)—EtherType 値 FCoE

  • fip (0x8914)—EtherType 値 FIP

  • ipv4 (0x0800)—EtherType 値 IPv4

  • ipv6 (0x08DD)—EtherType 値 IPv6

  • mpls-multicast (0x8848)—EtherType 値 MPLS マルチキャスト

  • mpls-unicast (0x8847)—EtherType 値 MPLS ユニキャスト

  • oam (0x88A8)—EtherType 値 OAM

  • ppp (0x880B)—イーサタイプ値PPP

  • pppoe-discovery (0x8863)—EtherType Value PPPoE Discovery Stage

  • pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

  • sna (0x80D5)—EtherType 値 SNA

受信/送信ポートと VLAN

最初のフラグメント

パケットがフラグメント化されたパケットの最初のフラグメントである場合に一致します。フラグメント化されたパケットの後続フラグメントである場合、パケットの照合を回避します。フラグメント化されたパケットの最初のフラグメントのフラグメント オフセット値は 0 です。

この照会条件は、ビット・フィールド照会条件フラグメント・オフセット 0 照会条件の別名です。

最初と最後のフラグメントの両方を照合するには、異なる照合条件を指定する 2 つの条件 first-fragment is-fragmentを使用できます。

イングレス IPv4 インターフェイス

icmp-code value

ICMP コード フィールド。値の意味は、関連icmp-typeする値に依存するため、値とともにicmp-typeicmp-codeを指定する必要があります。数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。キーワードは、関連付けられている ICMP タイプによってグループ化されます。

  • IPv4:パラメータの問題—ip-header-bad (0)required-option-missing (1)

  • IPv6: パラメーターの問題—ip6-header-bad (0) , , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0) 、 、 redirect-for-tos-and-net (2)redirect-for-host (1)redirect-for-tos-and-host (3)

  • time-exceeded——ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4: 到達不能 —network-unreachable (0) 、 、 host-unreachable (1)protocol-unreachable (2)、 、 port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)、 、 source-host-isolated (8)、 、 、 host-precedence-violation (14)host-unreachable-for-TOS (12)destination-host-prohibited (10)network-unreachable-for-TOS (11)communication-prohibited-by-filtering (13)destination-network-prohibited (9)precedence-cutoff-in-effect (15)

  • IPv6: 到達不能—address-unreachable (3) 、 、 administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

イングレスおよびエグレス IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

icmp-type value

ICMP メッセージ タイプ フィールド。この照合は、match ステートメントとともに指定する protocol 必要があります。この一致により、IPv4 トラフィック用のポートで使用されているプロトコル、または IPv6 トラフィックの next-header 照合ステートメントが決定されます。

数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

IPv4: echo-reply (0)、 、 destination unreachable (3)、 、 source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)、 、 timestamp-reply (14)mask-request (17)parameter-problem (12)timestamp (13)info-request (15)info-reply (16)time-exceeded (11)mask-reply (18)

IPv6: destination-unreachable (1) , packet-too-big (2), time-exceeded (3), , parameter-problem (4), , echo-request (128), , membership-termination (132)membership-report (131)router-renumbering (138)membership-query (130)router-advertisement (134)node-information-request (139)router-solicit (133)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)echo-reply (129)node-information-reply (140)

詳細は、 を icmp-code variable参照してください。

イングレスおよびエグレス IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

interface interface-name

論理ユニットを含め、パケットを受信するインターフェイス。インターフェイス名または論理ユニットの一部としてワイルドカード文字(*)を含めることができます。

注:

パケットが送信されるインターフェイスは、一致条件として使用できません。

イングレス ポートと VLAN

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレス ポートと VLAN

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成するように指定 any します。

イングレス IPv4 インターフェイス

ip-protocol number

IP プロトコル フィールド。

イングレス ポートと VLAN

ip-precedence ip-precedence-field

IP precedence フィールド。数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。critical-ecp (0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine (0x00)。

イングレス ポートと VLAN

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレス ポートと VLAN

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー 2 ポートまたは VLAN インターフェイスに到着するトラフィックの IPv4 または IPv6 ヘッダー フィールドを照合します。

イングレス ポートと VLAN

is-fragment

この条件を使用すると、IP ヘッダーで [その他のフラグメント] フラグが有効になっている場合、またはフラグメント オフセットが 0 でない場合に一致が発生します。

イングレスおよびエグレス IPv4 インターフェイス(QX5220)

イングレス IPv4 インターフェイス(QFX5130)

learn-vlan-id number

MAC 学習用の VLAN 識別子。

イングレス/エグレス ポートおよび VLAN(QFX5220)

イングレス ポートと VLAN(QFX5130)

learn-vlan-1p-priority value

プロバイダVLANタグのIEEE 802.1p学習済みVLAN優先度ビット(802.1Q VLANタグを備えた単一タグフレーム内の唯一のタグ、または802.1Q VLANタグを持つデュアルタグフレーム内の外部タグ)で照合します。0~7 の 1 つの値または複数の値を指定します。

イングレス ポートと VLAN

next-header

IPv4 または IPv6 プロトコル値。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレスおよびエグレス IPv6 インターフェイス

packet-length

パケット長(バイト) 0~65535 の値を入力する必要があります。

イングレス IPv4 および IPv6 インターフェイス

precedence value

IP ヘッダーのサービス タイプ(ToS)バイトの IP 優先度ビット。(このバイトは DiffServ DSCP にも使用できます)。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

イングレスおよびエグレス IPv4 インターフェイス

protocol type

IP プロトコルの値。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

イングレスおよびエグレス IPv4 インターフェイス。

イングレス IPv4 インターフェイスと VLAN

source-address ip-address

IP 送信元アドレス フィールドは、パケットを送信したノードのアドレスです。

イングレスおよびエグレス IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

source-mac-address mac-address

パケットの MAC(送信元メディア アクセス制御)アドレス。

イングレス/エグレス IPv4 インターフェイスと VLAN

source-port value

TCP または UDP 送信元ポート。この照合は、IPv4 トラフィックの protocol match ステートメント、または IPv6 トラフィックの next-header 照合ステートメントと組み合わせて指定する必要があります。

数値フィールドの代わりに、 の下にリストされている destination-portテキストシノニムのいずれかを指定できます。

イングレスおよびエグレス IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

source-port range-optimize range

使用可能なメモリをより効率的に使用しながら、TCP または UDP ポート範囲の範囲を照合します。この条件を使用すると、個々のソース ポートを設定する場合よりも多くのファイアウォール フィルタを設定できます。(フィルターベースの転送ではサポートされていません)。

イングレス IPv4 インターフェイス

source-prefix-list prefix-list

IP 送信元プレフィックス リスト。頻繁に使用するプレフィックス リスト エイリアスの下で IP アドレス プレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレスおよびエグレス IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

tcp-established

確立された TCP セッションの TCP パケット(接続の最初のパケット以外のパケット)を照合します。これは、次のエイリアスです。 tcp-flags "(ack | rst)".

この一致条件は、プロトコルが TCP であることを暗黙的にチェックしません。これを確認するには、照合条件を指定します protocol tcp

イングレスおよびエグレス IPv4 インターフェイス(QFX5220)

イングレスおよびエグレス IPv4 インターフェイス(QFX5130)

イングレス IPv6 インターフェイス(QFX5130)

tcp-flags value

TCP フラグ(サポートされている値は 1 つだけ)。

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

イングレスおよびエグレス IPv4 インターフェイス

イングレス IPv6 インターフェイス

イングレス ポートと VLAN

tcp-initial

接続の最初の TCP パケットを照合します。TCP フラグが設定されていて、TCP フラグ SYN が設定されていない場合に ACK 、一致が発生します。

指定 tcp-initialした場合、スイッチはプロトコルが TCP であることを暗黙的に検証しません。照合条件も指定する protocol tcp 必要があります。を参照してください protocol type

イングレスおよびエグレス IPv4 インターフェイス(QFX5220)

イングレスおよびエグレス IPv4 インターフェイス、イングレス IPv6 インターフェイス(QFX5130)

traffic-class

パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールド。トラフィッククラス フィールドを使用して、DiffServ コード ポイント(DSCP)値を指定します。このフィールドは、以前は IPv4 のサービス タイプ(ToS)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

次のいずれかのテキスト シノニムを指定できます(フィールド値も表示されます)。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

イングレスおよびエグレス IPv6 インターフェイス

ttl value

10 進数の TTL(IP Time-to-Live)フィールド。値は 1~255 です。

イングレスおよびエグレス IPv4 インターフェイス

user-vlan-id number

Q-in-Q VLAN の内部(顧客)VLAN の ID を照合します。許容値は 1~4095 です。

イングレス ポートと VLAN(QFX5130)

user-vlan-1p-priority value

指定された範囲 0-7の 802.1p VLAN 優先度を照合します。

イングレス ポートと VLAN(QFX5130)

ステートメントを使用して then 、パケットがステートメント内のすべての条件と一致する場合に発生するアクションを from 定義します。 表 5 は、条件で指定できるアクションを示します。(ステートメントを then 含めなければ、システムはフィルターに一致するパケットを受け入れます。

注:

エグレス IPv4 インターフェイス、IPv6 インターフェイス、エグレス ポートでは、受け入れ、破棄、カウントのアクションのみを適用できます。エグレス VLAN の場合は、Accept アクションのみを適用できます。

表 5: アクションおよびアクション修飾子

対処

説明

accept

パケットを受け入れます。これは、条件に一致するパケットのデフォルトアクションです。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

count counter-name

条件に一致するパケット数をカウントします。

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。

forwarding-class class

パケットを次のデフォルト転送クラスまたはユーザー定義転送クラスのいずれかに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを設定するには、損失の優先度も設定する必要があります。

log

ルーティング エンジンでパケットのヘッダー情報をログに記録します。この情報を表示するには、動作モード コマンドを show firewall log 入力します。

loss-priority (low | medium-low | medium-high | high)

パケット 損失優先度(PLP)を設定します。

注:

loss-priorityアクション修飾子は、イングレス IPv4 インターフェイスでのみサポートされています。

注:

loss-priorityアクション修飾子は、アクションとpolicer組み合わせてサポートされていません。

policer policer-name

パケットをポリサーに送信します(レート制限を適用する目的で)。

注:

policerアクション修飾子は、アクションとloss-priority組み合わせてサポートされていません。

port-mirror

階層レベルで [edit forwarding-options port-mirroring] ポート ミラーリング インスタンスで設定された出力インターフェイスにトラフィックをミラーリング(コピー パケット)します。

port-mirror-instance port-mirror-instance-name

階層レベルで設定されたポート ミラーリング インスタンスにトラフィックを [edit forwarding-options port-mirroring] ミラーリングします。

イングレス ポート、VLAN、IPv4(inet)ファイアウォール フィルターに対してのみポート ミラーリングを指定できます。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4 メッセージを送信します(タイプ 3)。拒否されたパケットをログに記録するには、アクション修飾子を設定します syslog

以下のいずれかのメッセージ・タイプを指定できます。 administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」はデフォルト メッセージ「管理上フィルタリングされた通信」と共に送信されます。

注:

この reject アクションは、イングレス IPv4 インターフェイスでのみサポートされています。

three-color-policer three-color-policer-name

パケットを 3 カラー ポリサーに送信します(レート制限を適用する目的で)。

注:

policerアクション修飾子は、アクションとloss-priority組み合わせてサポートされていません。

注:

ポリ color-aware サーと color-blind ポリサーはサポートされていません。デフォルトでは、トラフィックは.color-blind

vlan VLAN 名

照合されたパケットを特定の VLAN に転送します。

注:

この vlan アクションは、イングレス ポートと VLAN でのみサポートされます。