방화벽 필터 일치 조건 및 동작(QFX10000 스위치)

destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

수신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

송신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

destination-mac-address mac-address

패킷의 대상 미디어 액세스 제어(MAC) 주소입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

destination-port value

TCP 또는 UDP 대상 필드. 일반적으로 이 일치 조건은 match 문과 함께 지정합니다.protocol 다음과 같은 잘 알려진 포트의 경우 텍스트 동의어를 지정할 수 있습니다(포트 번호도 나열되어 있음).

, , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

cmd (514), cvspserver (2401)

dhcp (67), domain (53)

, , , eklogin (2105)ekshell (2106)exec (512)

, , , finger (79)ftp (21)ftp-data (20)

http (80), https (443)

ident (113), imap (143)

, , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

ldap (389), login (513)

, , , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , , pop3 (110)pptp (1723)printer (515)

,, , , radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 포트, VLAN, IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

destination-prefix-list prefix-list

IP 대상 접두사 목록 필드입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 정의합니다.[edit policy-options]

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 포트, VLAN, IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

dscp value

DSCP(Differentiated Services Code Point)입니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

• be- Best Effort(기본값)

• - RFC 3246, 신속 전달 PHB에 정의되어 있습니다.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  af41 (34), af42 (36), af43 (38)

  총 12개의 코드 포인트에 대해 각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB에 정의되어 있습니다.http://www.ietf.org/rfc/rfc2597.txt

• , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 포트, VLAN 및 IPv4(inet) 인터페이스.

ether-type value

패킷의 이더넷 유형 필드입니다. EtherType 값은 이더넷 프레임에서 전송 중인 프로토콜을 지정합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

• aarp (0x80F3)- EtherType 값 AARP

• appletalk (0x809B)—EtherType 값 AppleTalk

• arp (0x0806)- EtherType 값 ARP

• fcoe (0x8906)- EtherType 값 FCoE

• fip (0x8914)- EtherType 값 FIP

• ipv4 (0x0800)- EtherType 값 IPv4

• ipv6 (0x08DD)- EtherType 값 IPv6

• mpls-multicast (0x8848)- EtherType 값 MPLS 멀티캐스트

• mpls-unicast (0x8847)—EtherType 값 MPLS 유니캐스트

• oam (0x88A8)- EtherType 값 OAM

• ppp (0x880B)- EtherType 값 PPP

• pppoe-discovery (0x8863)—EtherType 값 PPPoE 디스커버리 스테이지

• pppoe-session (0x8864)—EtherType 값 PPPoE 세션 스테이지

• sna (0x80D5)- EtherType 값 SNA

수신 포트 및 VLAN.

송신 포트 및 VLAN.

forwarding-class class

다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.

• best-effort

• fcoe

• network-control

• no-loss

송신 IPv4(inet) 및 IPv6(inet6) 인터페이스.

fragment-flags value

IP 단편화 플래그입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(16진수 값도 나열되어 있음).

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

hop-limit value

지정된 홉 제한 또는 홉 제한 집합을 일치시킵니다. 단일 값 또는 0에서 255 사이의 값 범위를 지정합니다.

수신 및 송신 IPv6(inet6) 인터페이스.

icmp-code value

ICMP 코드 필드입니다. 값의 의미는 연결된 에 따라 달라지므로 에 대한 값과 함께 에 대한 값을 지정해야 합니다.icmp-typeicmp-typeicmp-code 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.

• IPv4: parameter-problem—, ip-header-bad (0)required-option-missing (1)

• IPv6: parameter-problem—, , ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —, , , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 연결할 수 없음—, , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: 도달 불가—, , , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스

icmp-type value

ICMP 메시지 유형 필드입니다. 일반적으로 이 일치 항목을 match 문과 함께 지정하여 포트에서 사용 중인 프로토콜을 결정합니다.protocol 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

IPv4:, , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

도 참조하십시오.icmp-code variable

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 포트, VLAN, IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

interface interface-name

논리적 단위를 포함하여 패킷이 수신되는 인터페이스입니다. 와일드카드 문자()를 인터페이스 이름 또는 논리적 단위의 일부로 포함할 수 있습니다.*

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

ip-destination-address address

패킷의 최종 대상 노드 주소인 IPv4 주소입니다.

수신 포트, 송신 포트 및 VLAN.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

ip-options

IP 헤더의 옵션 필드에 지정된 항목이 있는 경우 일치 항목을 만들도록 지정합니다 .any

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

ip-precedence ip-precedence-field

IP 우선 순위 필드입니다. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) 또는 (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

수신 포트 및 VLAN.

송신 포트 및 VLAN.

ip-protocol number

IP 프로토콜 필드입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

ip-source-address address

패킷을 전송하는 소스 노드의 IPv4 주소입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

ip-version address

패킷의 IP 버전입니다. 레이어 2 포트 또는 VLAN 인터페이스에 도착하는 트래픽에서 IPv4 또는 IPv6 헤더 필드를 일치시키려면 이 조건을 사용합니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

is-fragment

IP 헤더에서 More Fragments 플래그가 활성화되어 있거나 부분 오프셋이 제로가 아닌 경우 이 조건을 사용하면 일치가 발생합니다.

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

learn-1p-priority number

범위 내의 지정된 IEEE 802.1p VLAN 우선 순위 비트와 일치합니다.0-7

수신 포트 및 VLAN.

송신 포트 및 VLAN.

learn-vlan-id number

일반 VLAN의 ID 또는 외부(서비스) VLAN(Q-in-Q VLAN용)의 ID와 일치합니다. 필터 메모리를 가장 효율적으로 사용하고 가능한 필터 수를 최대화하려면 내부(고객) VLAN ID를 일치시키려는 경우와 함께 이 조건을 사용합니다.user-id 사용할 수 있는 값은 1-4095입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

loss-priority (low | medium-low | medium-high | high)

패킷 손실 우선순위(PLP)를 설정합니다.

송신 IPv4(inet) 및 IPv6(inet6) 인터페이스.

next-header value

IPv4 또는 IPv6 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

,,hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

수신 IPv6(inet6) 인터페이스.

송신 IPv6(inet6) 인터페이스.

packet-length number

패킷 길이(바이트)입니다. 0에서 65535 사이의 숫자를 입력해야 합니다.

수신 포트, VLAN, IPv4(inet) 및 IPv6(inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

precedence value

IP 헤더의 서비스 유형(ToS) 바이트에 있는 IP 우선 순위 비트입니다. (이 바이트는 DiffServ DSCP에도 사용할 수 있습니다.) 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

수신 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

protocol type

IPv4 또는 IPv6 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

,,hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

수신 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

source-address ip-address

IP 원본 주소 필드로, 패킷을 전송한 노드의 주소입니다.

수신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

송신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

source-mac-address mac-address

패킷의 소스 MAC(미디어 액세스 제어) 주소입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

source-port value

TCP 또는 UDP 소스 포트. 일반적으로 이 일치 조건은 match 문과 함께 지정합니다.protocol 숫자 필드 대신 destination-port 아래에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 포트, VLAN, IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

source-prefix-list prefix-list

IP 소스 접두사 목록입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 정의합니다.[edit policy-options]

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 포트, VLAN, IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

tcp-established

설정된 TCP 연결의 패킷을 일치시킵니다. 이 조건은 TCP 연결을 설정하는 데 사용된 패킷 이외의 패킷, 즉 3방향 핸드셰이크 패킷이 일치하지 않는 패킷과 일치합니다.

를 지정할 때 스위치는 프로토콜이 TCP인지 암시적으로 확인하지 않습니다.tcp-established 일치 조건도 지정해야 합니다.protocol tcp

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

tcp-flags value

하나 이상의 TCP 플래그:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

tcp-initial

연결의 첫 번째 TCP 패킷을 일치시킵니다. TCP 플래그는 설정되고 TCP 플래그 는 설정되지 않은 경우 일치가 발생합니다.SYNACK

를 지정할 때 스위치는 프로토콜이 TCP인지 암시적으로 확인하지 않습니다.tcp-initial 일치 조건도 지정해야 합니다.protocol tcp

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

traffic-class value

패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드입니다. traffic-class 필드는 DSCP(DiffServ Code Point) 값을 지정하는 데 사용됩니다. 이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었으며, 이 필드(예: DSCP)의 의미 체계는 IPv4의 의미 체계와 동일합니다.

다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

, , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

수신 IPv6(inet6) 인터페이스.

송신 IPv6(inet6) 인터페이스.

ttl value

IP TTL(Time-to-Live) 필드(10진수)입니다. 값은 1-255일 수 있습니다.

수신 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

EVPN/VXLAN 패브릭을 위한 수신 IRB 인터페이스(해당되는 경우)

user-vlan-id number

Q-in-Q VLAN의 내부(고객) VLAN ID와 일치합니다. 필터 메모리를 가장 효율적으로 사용하고 가능한 필터 수를 최대화하려면 와 (과) 함께 사용하여 외부(서비스) VLAN ID를 일치시킵니다.learn-vlan-id 사용할 수 있는 값은 1-4095입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

accept

패킷을 수락합니다. 이는 용어와 일치하는 패킷에 대한 기본 작업입니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다.

reject message-type

패킷을 폐기하고 "대상에 연결할 수 없음" ICMPv4 메시지(유형 3)를 보냅니다. 거부된 패킷을 기록하려면 작업 수정자를 구성합니다 .syslog

다음 메시지 유형 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, 또는 tcp-reset

를 지정할 경우, 패킷이 TCP 패킷이면 시스템에서 TCP 재설정을 보내고, 그렇지 않으면 아무 것도 전송되지 않습니다.tcp-reset

메시지 유형을 지정하지 않으면 ICMP 알림 "대상에 연결할 수 없음"이 기본 메시지 "통신 관리적으로 필터링됨"과 함께 전송됩니다.

routing-instance instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다. (유일하게 지원되는 인스턴스 유형은 입니다.) 패킷을 기본 인스턴스로 포워딩할 수 있습니다.virtual-router

vlan VLAN-name

일치하는 패킷을 특정 VLAN으로 전달합니다.

count counter-name

용어와 일치하는 패킷 수를 계산합니다.

forwarding-class class

다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 작동 모드 명령을 입력합니다.show firewall log

loss-priority (low | medium-low | medium-high | high)

패킷 손실 우선순위(PLP)를 설정합니다.

policer policer-name

폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해).

수신 및 송신 포트, VLAN, IPv4(inet) 및 IPv6(inet6) 방화벽 필터에 대한 폴리서를 지정할 수 있습니다.

port-mirror

(ELS 플랫폼) 계층 수준의 포트 미러링 인스턴스에 구성된 출력 인터페이스로 트래픽(패킷 복사)을 미러링합니다 .[edit forwarding-options port-mirroring]

수신 및 송신 포트, VLAN, IPv4(inet) 및 IPv6(inet6) 방화벽 필터에 대한 포트 미러링을 지정할 수 있습니다.

port-mirror-instance port-mirror-instance-name

(ELS 플랫폼) 계층 수준에서 구성된 포트 미러링 인스턴스로 트래픽을 미러링합니다 .[edit forwarding-options port-mirroring]

수신 및 송신 포트, VLAN, IPv4(inet) 및 IPv6(inet6) 방화벽 필터에 대한 포트 미러링을 지정할 수 있습니다.

syslog

이 패킷에 대한 경고를 기록합니다.

three-color-policer three-color-policer-name

3색 폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해).

수신 및 송신 포트, VLAN, IPv4(inet) 및 IPv6(inet6) 필터에 대해 3색 폴리서를 지정할 수 있습니다.