방화벽 필터 일치 조건 및 조치(QFX 및 EX 시리즈 스위치)

(QFX5100, QFX5110, QFX5200) IPv6 인터페이스에서 필터 기반 포워딩을 사용하는 경우 (수신 방향)에서 다음과 같은 일치 조건만 지원됩니다. , , , , . source-addressdestination-addresssource-prefix-listdestination-prefix-listsource-portdestination-porthop-limiticmp-typenext-header

(QFX5110) 계층 아래에서 옵션을 활성화 하면 , , 작업 만 지원됩니다.egress-to-ingress[edit firewall]acceptdiscardcount

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) EVPN-VXLAN 환경에서는 다음과 같은 일치 조건만 지원됩니다. , , , , , , 및 .source-addressdestination-addresssource-portdestination-portttlip-protocoluser-vlan-id

(QFX5100, QFX5110, QFX5200) EVPN-VXLAN IRB 인터페이스의 송신 방향으로 방화벽 필터를 적용할 수 없습니다.

(QFX5700) 루프백 인터페이스에서 송신 방향으로 방화벽 필터를 적용할 수 없습니다.

(QFX5100, QFX5110) 방화벽 필터를 사용하여 EVPN-VXLAN 환경에서 MAC 필터링을 구현하는 경우 지원되는 일치 조건은 EVPN-VXLAN 환경에서 MAC 필터링, 스톰 제어 및 포트 미러링 지원을 참조하십시오.MAC Filtering, Storm Control, and Port Mirroring Support in an EVPN-VXLAN Environment

(QFX5100, QFX5110) VXLAN에 적용하는 각 방화벽 필터에 대해 레이어 2(이더넷) 패킷을 필터링하거나 IRB 인터페이스에서 필터링하도록 지정할 수 있습니다.family ethernet-switchingfamily inet IRB 인터페이스에서 송신 방향으로 방화벽 필터를 적용할 수 없습니다.

레이어 2 기능을 지원하지 않는 스위치에서는 IPv4 및 IPv6 인터페이스에 유효한 일치 조건만 사용합니다.

(QFX5120, EX4650) Junos 릴리스 21.4R1부터 QFX5120 및 EX4650의 EVPN-VXLAN 환경에서 다음과 같은 일치 조건이 지원됩니다. , 및 .gbp-src-taggbp-dst-tag

Junos OS 릴리스 21.4R1부터 source-port-range-optimize 및 destination-port-range-optimize 조건은 계층 수준에서 지원됩니다 .[edit firewall family ethernet-switching filter <filter-name> term <term-name> from] 이렇게 하면 TCAM 공간 사용량이 상당히 줄어듭니다. source-port-range-optimize 및 destination-port-range-optimize 일치 조건이 구성된 QFX5100 스위치에서는 최대 24개의 연속되지 않은 source-port range 및 destination-port range 일치 조건이 지원됩니다. 24개 이상의 연속되지 않은 일치 조건이 구성된 경우 오류가 발생할 수 있습니다.

Junos 릴리스 22.4R1부터 지원되는 EX4100, EX4400, EX4650 및 QFX5120 시리즈 스위치의 EVPN-VXLAN 환경에서 GBP 태깅에 대해 다음과 같은 일치 조건이 지원됩니다. , , , , + 조합 및 .ip-version ipv4ip-version ipv6mac-addressvlan-idinterface vlan-idinterface

Junos 릴리스 23.2R1부터 EX4100 시리즈, EX4400 시리즈, EX4650 시리즈, QFX5120-32C 및 QFX5120-48Y 스위치에 대한 정책 적용을 위해 새로운 IPV4 및 IPv6 L4 매치가 지원됩니다.

Junos OS 릴리스 23.4R1 이후부터 지원되는 EX4100, EX4400, EX4650 및 QFX5120 시리즈 스위치의 EVPN-VXLAN 환경에서 GBP 태깅에 대해 | 및 일치 조건이 지원됩니다.vlan-id vlan listvlan-rangeinterface interface-list EX4100 스위치는 VLAN 및 포트+VLAN 기반 GBP를 지원하지 않습니다.

arp-type

ARP 요청 패킷 또는 ARP 응답 패킷입니다.

송신 및 수신 인터페이스.

destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-mac-address mac-address

패킷의 대상 미디어 액세스 제어(MAC) 주소입니다.

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 포트 및 VLAN.

destination-port value

TCP 또는 UDP 대상 필드. 일반적으로 이 일치 조건은 match 문과 함께 지정합니다.protocol 다음과 같은 잘 알려진 포트의 경우 텍스트 동의어를 지정할 수 있습니다(포트 번호도 나열되어 있음).

, , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

cmd (514), cvspserver (2401)

dhcp (67), domain (53)

, , , eklogin (2105)ekshell (2106)exec (512)

, , , finger (79)ftp (21)ftp-data (20)

http (80), https (443)

ident (113), imap (143)

, , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

ldap (389), login (513)

, , , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , , pop3 (110)pptp (1723)printer (515)

,, , , radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

destination-port range-optimize range

사용 가능한 메모리를 보다 효율적으로 사용하면서 TCP 또는 UDP 포트 범위 범위를 일치시킵니다. 이 조건을 사용하면 개별 대상 포트를 구성하는 것보다 더 많은 방화벽 필터를 구성할 수 있습니다. (필터 기반 전달에서는 지원되지 않습니다.)

수신 포트, VLAN, IPv4(inet) 인터페이스.

destination-prefix-list prefix-list

IP 대상 접두사 목록 필드입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 정의합니다.[edit policy-options]

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

dscp value

DSCP(Differentiated Services Code Point)입니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

• be- Best Effort(기본값)

• - RFC 3246, 신속 전달 PHB에 정의되어 있습니다.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  af41 (34), af42 (36), af43 (38)

  총 12개의 코드 포인트에 대해 각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB에 정의되어 있습니다.http://www.ietf.org/rfc/rfc2597.txt

• , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

ether-type value

패킷의 이더넷 유형 필드입니다. EtherType 값은 이더넷 프레임에서 전송 중인 프로토콜을 지정합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

• aarp (0x80F3)- EtherType 값 AARP

• appletalk (0x809B)—EtherType 값 AppleTalk

• arp (0x0806)- EtherType 값 ARP

• fcoe (0x8906)- EtherType 값 FCoE

• fip (0x8914)- EtherType 값 FIP

• ipv4 (0x0800)- EtherType 값 IPv4

• ipv6 (0x08DD)- EtherType 값 IPv6

• mpls-multicast (0x8848)- EtherType 값 MPLS 멀티캐스트

• mpls-unicast (0x8847)—EtherType 값 MPLS 유니캐스트

• oam (0x88A8)- EtherType 값 OAM

• ppp (0x880B)- EtherType 값 PPP

• pppoe-discovery (0x8863)—EtherType 값 PPPoE 디스커버리 스테이지

• pppoe-session (0x8864)—EtherType 값 PPPoE 세션 스테이지

• sna (0x80D5)- EtherType 값 SNA

수신 포트 및 VLAN.

송신 포트 및 VLAN.

egress-to-ingress

송신 VLAN 방화벽 필터 용어 수를 1024개에서 2048개로 늘리려면 이 옵션을 포함합니다.

송신 VLAN IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

exp

MPLS EXP 비트에서 일치합니다.

수신 MPLS 인터페이스.

송신 MPLS 인터페이스.

fragment-flags value

IP 단편화 플래그입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(16진수 값도 나열되어 있음).

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

수신 포트 및 VLAN.

gbp-dst-tag

여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하려면 대상 태그를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션.

해당 사항 없음

gbp-src-tag

여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하려면 소스 태그를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션.

해당 사항 없음

icmp-code value

ICMP 코드 필드입니다. 값의 의미는 연결된 에 따라 달라지므로 에 대한 값과 함께 에 대한 값을 지정해야 합니다.icmp-typeicmp-typeicmp-code 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.

• IPv4: parameter-problem—, ip-header-bad (0)required-option-missing (1)

• IPv6: parameter-problem—, , ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —, , , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 연결할 수 없음—, , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: 도달 불가—, , , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

hop-limit value

지정된 홉 제한 또는 홉 제한 집합을 일치시킵니다. 단일 값 또는 0에서 255 사이의 값 범위를 지정합니다.

수신 및 송신 IPv6(inet6) 인터페이스.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하려면 IPv4 또는 IPv6 소스 또는 대상 주소를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 및 송신(시스템 전체).

에 설명된 대로 GBP 정책 필터 L4 일치와 함께 사용하기 위해 TCP/UDP 대상 포트를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 GBP 정책 필터 L4와 함께 사용하기 위해 TCP/UDP 소스 포트를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 GBP 정책 필터 L4 일치와 함께 사용하기 위해 IP 프로토콜 유형을 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

패킷이 조각인 경우 GBP 정책 필터와 함께 사용하기 위해 일치시킵니다. L4는 에 설명된 대로 일치합니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 GBP 정책 필터 L4 일치와 함께 사용하기 위해 조각 플래그(기호 또는 16진수 형식)를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

IP TTL(Time-to-Live) 필드(10진수)입니다. 값은 1-255일 수 있습니다. 에 설명된 대로 GBP 정책 필터 L4 일치 항목과 함께 사용할 경우: 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 GBP 정책 L4 일치와 함께 사용하기 위해 하나 이상의 TCP 플래그(기호 또는 16진수 형식)를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

연결의 첫 번째 TCP 패킷을 일치시킵니다. 에 설명된 대로 GBP 정책 L4 일치와 함께 사용할 경우: 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 GBP 정책 L4 일치와 함께 사용하기 위해 설정된 TCP 연결의 패킷을 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 GBP 정책 L4 일치와 함께 사용하기 위해 TCP/UDP 소스 포트를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

에 설명된 대로 GBP 정책 필터 L4 일치와 함께 사용하기 위해 TCP/UDP 대상 포트를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

에 설명된 대로 GBP 정책 L4 일치와 함께 사용하려면 다음 헤더 프로토콜 유형을 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 GBP 정책 L4 일치와 함께 사용하기 위해 TCP 플래그를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 설정된 TCP 연결의 초기 패킷을 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

에 설명된 대로 설정된 TCP 연결의 패킷을 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션

수신 전용.

icmp-type value

ICMP 메시지 유형 필드입니다. 일반적으로 이 일치 항목을 match 문과 함께 지정하여 포트에서 사용 중인 프로토콜을 결정합니다.protocol 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

IPv4:, , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

도 참조하십시오.icmp-code variable

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

interface interface-name | <interface_list>

논리적 단위를 포함하여 패킷이 수신되는 인터페이스입니다. 와일드카드 문자()를 인터페이스 이름 또는 논리적 단위의 일부로 포함할 수 있습니다.*

필터에서 동일한 용어 아래의 인터페이스 목록을 일치시킵니다. VXLAN에서 마이크로 세그먼테이션과 함께 사용하기 위해, 여기에 설명되어 있습니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션.

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

ip-destination-address address

패킷의 최종 대상 노드 주소인 IPv4 주소입니다.

수신 포트 및 VLAN.

ip6-destination-address address

패킷의 최종 대상 노드 주소인 IPv6 주소입니다.

수신 포트 및 VLAN. (이 일치 기준이 있는 필터를 레이어 2 포트와 해당 포트를 포함하는 VLAN에 동시에 적용할 수 없습니다.)

ip-options

IP 헤더의 옵션 필드에 지정된 항목이 있는 경우 일치 항목을 만들도록 지정합니다 .any

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

ip-precedence ip-precedence-field

IP 우선 순위 필드입니다. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) 또는 (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

ip-protocol number

IP 프로토콜 필드입니다.

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

ip-source-address address

패킷을 전송하는 소스 노드의 IPv4 주소입니다.

수신 포트 및 VLAN.

ip6-source-address address

패킷을 전송하는 소스 노드의 IPv6 주소입니다.

수신 포트 및 VLAN. (이 일치 기준이 있는 필터를 레이어 2 포트와 해당 포트를 포함하는 VLAN에 동시에 적용할 수 없습니다.)

ip-version address

패킷의 IP 버전입니다. 레이어 2 포트 또는 VLAN 인터페이스에 도착하는 트래픽에서 IPv4 또는 IPv6 헤더 필드를 일치시키려면 이 조건을 사용합니다.

수신 포트 및 VLAN.

is-fragment

IP 헤더에서 More Fragments 플래그가 활성화되어 있거나 부분 오프셋이 제로가 아닌 경우 이 조건을 사용하면 일치가 발생합니다.

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

l2-encap-type llc-non-snap

비서브넷 액세스 프로토콜(SNAP) 이더넷 캡슐화 유형에 대한 LLC(논리적 링크 제어) 계층 패킷에서 일치합니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

label

MPLS 레이블 비트에서 일치합니다.

수신 MPLS 인터페이스.

송신 MPLS 인터페이스.

learn-vlan-id number

일반 VLAN의 ID 또는 외부(서비스) VLAN(Q-in-Q VLAN용)의 ID와 일치합니다. 사용할 수 있는 값은 1-4095입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

mac-address mac-address

여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하기 위해 소스 미디어 액세스 제어(MAC) 주소를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션.

수신 및 송신(시스템 전체)

next-header

IPv4 또는 IPv6 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

,,hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

수신 포트, VLAN 및 IPv6(inet6) 인터페이스.

송신 IPv6(inet6) 인터페이스.

packet-length

패킷 길이(바이트)입니다. 0에서 65535 사이의 값을 입력해야 합니다.

수신 포트, VLAN, IPv4(inet) 및 IPv6(inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

payload-protocol

IPv4 또는 IPv6 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

,,hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

수신 포트, VLAN 및 IPv6(inet6) 인터페이스.

송신 IPv6(inet6) 인터페이스.

Port qualifier

포트 한정자는 패킷 전달 엔진에 두 개의 항목을 설치합니다. 하나는 source-port이고 두 번째는 destination-port입니다.

수신 포트, VLAN, IPv4(inet) 및 IPv6(inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

precedence value

IP 헤더의 서비스 유형(ToS) 바이트에 있는 IP 우선 순위 비트입니다. (이 바이트는 DiffServ DSCP에도 사용할 수 있습니다.) 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

protocol type

IPv4 또는 IPv6 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

,,hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

수신 포트, VLAN 및 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

rat-type tech-type-value

Proxy Mobile IPv4(PMIPv4) 액세스 기술 유형 확장에 대한 8비트 Tech-Type 필드에 지정되어 있는 RAT(Radio Access Technology) 유형을 일치시킵니다. 기술 유형은 디바이스 액세스 기술을 지정하며 이를 통해 모바일 디바이스가 액세스 네트워크와 연결됩니다. 단일 값, 값 범위 또는 값 집합을 지정합니다. 0~255 범위의 숫자 값 또는 시스템 키워드로 기술 유형을 지정할 수 있습니다.

• 숫자 값 1은 IEEE 802.3과 일치합니다.

• 숫자 값 2는 IEEE 802.11a/b/g와 일치합니다.

• 숫자 값 3은 IEEE 802.16e와 일치합니다.

• 숫자 값 4는 IEEE 802.16m과 일치합니다.

• 텍스트 문자열 eutran은(는) 4G와 일치합니다.

• 텍스트 문자열 geran은(는) 2G와 일치합니다.

• 텍스트 문자열 utran은(는) 3G와 일치합니다.

송신 및 수신 IPv4(inet) 인터페이스.

sample

패킷 트래픽을 샘플링합니다. 트래픽 샘플링을 활성화한 경우에만 이 옵션을 적용하십시오.

송신 및 수신 IPv4(inet) 인터페이스.

source-address ip-address

IP 원본 주소 필드로, 패킷을 전송한 노드의 주소입니다.

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

source-mac-address mac-address

패킷의 소스 MAC(미디어 액세스 제어) 주소입니다.

수신 포트 및 VLAN.

송신 포트 및 VLAN.

source-port value

TCP 또는 UDP 소스 포트. 일반적으로 이 일치 조건은 match 문과 함께 지정합니다.protocol 숫자 필드 대신 destination-port 아래에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

source-port range-optimize range

사용 가능한 메모리를 보다 효율적으로 사용하면서 TCP 또는 UDP 포트 범위 범위를 일치시킵니다. 이 조건을 사용하면 개별 소스 포트를 구성하는 경우보다 더 많은 방화벽 필터를 구성할 수 있습니다. (필터 기반 전달에서는 지원되지 않습니다.)

수신 포트, VLAN, IPv4(inet) 인터페이스.

source-prefix-list prefix-list

IP 소스 접두사 목록입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 정의합니다.[edit policy-options]

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

tcp-established

설정된 TCP 3방향 핸드셰이크 연결(SYN, SYN-ACK, ACK)의 패킷을 일치시킵니다. 일치하지 않는 유일한 패킷은 SYN 비트만 설정되므로 핸드셰이크의 첫 번째 패킷입니다. 이 패킷의 경우, 로 일치 조건으로 지정해야 합니다.tcp-initial

를 지정할 때 스위치는 프로토콜이 TCP인지 암시적으로 확인하지 않습니다.tcp-established 일치 조건도 지정해야 합니다.protocol tcp

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

tcp-flags value

하나 이상의 TCP 플래그:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

tcp-initial

연결의 첫 번째 TCP 패킷을 일치시킵니다. TCP 플래그는 설정되고 TCP 플래그 는 설정되지 않은 경우 일치가 발생합니다.SYNACK

를 지정할 때 스위치는 프로토콜이 TCP인지 암시적으로 확인하지 않습니다.tcp-initial 일치 조건도 지정해야 합니다.protocol tcp

수신 포트, VLAN, IPv4 (inet) 인터페이스 및 IPv6 (inet6) 인터페이스.

송신 IPv4(inet) 인터페이스.

traffic-class

패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드입니다. traffic-class 필드는 DSCP(DiffServ Code Point) 값을 지정하는 데 사용됩니다. 이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었으며, 이 필드(예: DSCP)의 의미 체계는 IPv4의 의미 체계와 동일합니다.

다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

, , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

수신 포트, VLAN 및 IPv6(inet6) 인터페이스.

송신 IPv6(inet6) 인터페이스.

ttl value

IP TTL(Time-to-Live) 필드(10진수)입니다. 값은 1-255일 수 있습니다.

수신 IPv4(inet) 인터페이스.

송신 IPv4(inet) 인터페이스.

user-vlan-1p-priority value

범위에서 지정된 802.1p VLAN 우선 순위와 일치합니다.0-7

수신 및 송신 포트 및 VLAN.

user-vlan-id number

Q-in-Q VLAN에 대한 내부(고객) VLAN의 ID와 일치합니다. 사용할 수 있는 값은 1-4095입니다.

수신 및 송신 포트 및 VLAN.

vlan-id <vlan id> | <vlan-range> | <vlan list>

여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션에 사용할 VLAN 식별자 (VLAN 그룹의 첫 번째 및 마지막 VLAN ID 번호) 또는 (숫자 목록) 을 일치시킵니다.vlan-rangevlan list 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션.

수신 및 송신(시스템 전체)

accept

패킷을 수락합니다. 이는 용어와 일치하는 패킷에 대한 기본 작업입니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다.

reject message-type

패킷을 폐기하고 "대상에 연결할 수 없음" ICMPv4 메시지(유형 3)를 보냅니다. 거부된 패킷을 기록하려면 작업 수정자를 구성합니다 .syslog

다음 메시지 유형 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, 또는 tcp-reset

를 지정할 경우, 패킷이 TCP 패킷이면 시스템에서 TCP 재설정을 보내고, 그렇지 않으면 아무 것도 전송되지 않습니다.tcp-reset

메시지 유형을 지정하지 않으면 ICMP 알림 "대상에 연결할 수 없음"이 기본 메시지 "통신 관리적으로 필터링됨"과 함께 전송됩니다.

routing-instance instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다.

vlan VLAN-name

일치하는 패킷을 특정 VLAN으로 전달합니다.

analyzer analyzer-name

(비 ELS 플랫폼) 계층 수준에서 구성된 분석기로 트래픽(패킷 복사)을 미러링합니다 .[edit ethernet-switching-options analyzer]

수신 포트, VLAN 및 IPv4(inet) 방화벽 필터에 대해서만 포트 미러링을 지정할 수 있습니다.

count counter-name

용어와 일치하는 패킷 수를 계산합니다.

decapsulate [gre | routing-instance]

GRE 패킷의 캡슐화를 해제하거나 캡슐화 해제된 GRE 패킷을 지정된 라우팅 인스턴스로 전달

dscp value

DSCP(Differentiated Services Code Point)입니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

• be- Best Effort(기본값)

• - RFC 3246, 신속 전달 PHB에 정의되어 있습니다.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  af41 (34), af42 (36), af43 (38)

  총 12개의 코드 포인트에 대해 각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB에 정의되어 있습니다.http://www.ietf.org/rfc/rfc2597.txt

• , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

forwarding-class class

다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.

• best-effort

• fcoe

• mcast

• network-control

• no-loss

gbp-src-tag

(QFX5120 및 EX4650만 해당)

여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션에 사용할 그룹 기반 정책 소스 태그(0..65535)를 설정합니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션.

gbp-tag

(EX4100, EX4400, EX4650 및 QFX5120)

여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션에 사용할 그룹 기반 정책 소스 태그(1..65535)를 설정합니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션.

interface

트래픽을 조회하지 않고 지정된 인터페이스로 전환합니다. 이 작업은 필터가 수신 시 적용되는 경우에만 유효합니다.

log

라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 작동 모드 명령을 입력합니다.show firewall log

loss-priority (low | medium-low | medium-high | high)

패킷 손실 우선순위(PLP)를 설정합니다.

policer policer-name

폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해).

수신 포트, VLAN, IPv4(inet), IPv6(inet6) 및 MPLS 필터에 대한 폴리서를 지정할 수 있습니다.

port-mirror

(ELS 플랫폼) 계층 수준의 포트 미러링 인스턴스에 구성된 출력 인터페이스로 트래픽(패킷 복사)을 미러링합니다 .[edit forwarding-options port-mirroring]

수신 포트, VLAN 및 IPv4(inet) 방화벽 필터에 대해서만 포트 미러링을 지정할 수 있습니다.

port-mirror-instance port-mirror-instance-name

(ELS 플랫폼) 계층 수준에서 구성된 포트 미러링 인스턴스로 트래픽을 미러링합니다 .[edit forwarding-options port-mirroring]

수신 포트, VLAN 및 IPv4(inet) 방화벽 필터에 대해서만 포트 미러링을 지정할 수 있습니다.

syslog

이 패킷에 대한 경고를 기록합니다.

three-color-policer three-color-policer-name

3색 폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해).

수신 및 송신 포트, VLAN, IPv4(inet), IPv6(inet6) 및 MPLS 필터에 대해 3색 폴리서를 지정할 수 있습니다.

arp-type

ARP 요청 패킷 또는 ARP 응답 패킷입니다.

수신 및 송신 포트 및 VLAN

destination-address ip-address

최종 대상 노드의 주소인 IP 대상 주소 필드입니다.

수신 및 송신 IPv4 및 IPv6 인터페이스

수신 포트 및 VLAN

destination-mac-address mac-address

패킷의 대상 MAC 주소입니다.

수신 및 송신 포트 및 VLAN

destination-port value

TCP 또는 UDP 대상 필드. IPv4 트래픽에 대한 일치 문 또는 IPv6 트래픽에 대한 일치 문으로 이 일치를 지정해야 합니다.protocolnext-header

다음과 같은 잘 알려진 포트 및 포트 번호의 경우 텍스트 동의어를 지정할 수 있습니다.

, , , , , afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)

cmd (514), cvspserver (2401)

dhcp (67), domain (53)

, , , eklogin (2105)ekshell (2106)exec (512)

, , , finger (79)ftp (21)ftp-data (20)

http (80), https (443)

ident (113), imap (143)

, , , , , , kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)

ldap (389), login (513)

, , , mobileip-agent (434)mobilip-mn (435)msdp (639)

, , , , , , , netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

, , , pop3 (110)pptp (1723)printer (515)

,, , , radacct (1813)radius (1812)rip (520)rkinit (2108)

, , , , smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

, , , , , tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

수신 및 송신 IPv4 인터페이스

수신 IPv6 인터페이스.

수신 포트 및 VLAN

destination-port range-optimize range

사용 가능한 메모리를 보다 효율적으로 사용하면서 TCP 또는 UDP 포트 범위의 범위를 일치시킵니다. 이 조건을 사용하면 개별 대상 포트를 구성하는 것보다 더 많은 방화벽 필터를 구성할 수 있습니다. (필터 기반 전달에서는 지원되지 않습니다.)

수신 IPv4 인터페이스

destination-prefix-list prefix-list

IP 대상 접두사 목록 필드입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 정의합니다.[edit policy-options]

수신 및 송신 IPv4 및 IPv6 인터페이스

수신 포트 및 VLAN.

dscp value

DSCP(Differentiated Services Code Point)입니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

숫자 값 대신 나열된 다음 텍스트 동의어 및 필드 중 하나를 지정할 수 있습니다.

• be- Best Effort(기본값)

• - RFC 3246, 신속 전달 PHB에 정의되어 있습니다.ef (46)http://www.ietf.org/rfc/rfc3246.txt

• , , ;af11 (10)af12 (12)af13 (14)

  , , ;af21 (18)af22 (20)af23 (22)

  , , ;af31 (26)af32 (28)af33 (30)

  af41 (34), af42 (36), af43 (38)

  총 12개의 코드 포인트에 대해 각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB에 정의되어 있습니다.http://www.ietf.org/rfc/rfc2597.txt

• , , , , cs0cs1cs2cs3cs4cs5cs6cs7cs5

수신 및 송신 IPv4 인터페이스

수신 포트 및 VLAN

ether-type value

패킷의 이더넷 유형 필드입니다. EtherType 값은 이더넷 프레임에서 전송 중인 프로토콜을 지정합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다. 필드 값도 나열됩니다.

• aarp (0x80F3)- EtherType 값 AARP

• appletalk (0x809B)—EtherType 값 AppleTalk

• arp (0x0806)- EtherType 값 ARP

• fcoe (0x8906)- EtherType 값 FCoE

• fip (0x8914)- EtherType 값 FIP

• ipv4 (0x0800)- EtherType 값 IPv4

• ipv6 (0x08DD)- EtherType 값 IPv6

• mpls-multicast (0x8848)- EtherType 값 MPLS 멀티캐스트

• mpls-unicast (0x8847)—EtherType 값 MPLS 유니캐스트

• oam (0x88A8)- EtherType 값 OAM

• ppp (0x880B)- EtherType 값 PPP

• pppoe-discovery (0x8863)—EtherType 값 PPPoE 디스커버리 스테이지

• pppoe-session (0x8864)—EtherType 값 PPPoE 세션 스테이지

• sna (0x80D5)- EtherType 값 SNA

수신 및 송신 포트 및 VLAN

패킷이 단편화된 패킷의 첫 번째 부분인 경우 일치시킵니다. 패킷이 단편화된 패킷의 후행 조각인 경우 패킷 일치를 방지합니다. 단편화된 패킷의 첫 번째 부분은 0의 단편 오프셋 값을 갖습니다.

이 일치 조건은 비트 필드 일치 조건인 fragment-offset 0 일치 조건에 대한 별칭입니다.

첫 번째 부분과 마지막 부분을 모두 일치시키기 위해 서로 다른 일치 조건을 지정하는 두 용어를 사용할 수 있습니다. first-fragment is-fragment

수신 IPv4 인터페이스

icmp-code value

ICMP 코드 필드입니다. 값의 의미는 연결된 에 따라 달라지므로 에 대한 값과 함께 에 대한 값을 지정해야 합니다.icmp-typeicmp-typeicmp-code 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.

• IPv4: parameter-problem—, ip-header-bad (0)required-option-missing (1)

• IPv6: parameter-problem—, , ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

• —, , , redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 연결할 수 없음—, , network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: 도달 불가—, , , address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

수신 및 송신 IPv4 인터페이스

수신 IPv6 인터페이스

수신 포트 및 VLAN

icmp-type value

ICMP 메시지 유형 필드입니다. match 문과 함께 이 일치 항목을 지정해야 합니다.protocol 이 일치는 IPv4 트래픽에 대한 포트 또는 IPv6 트래픽에 대한 일치문에서 사용 중인 프로토콜을 결정합니다.next-header

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

IPv4:, , , echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6:, , , destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

도 참조하십시오.icmp-code variable

수신 및 송신 IPv4 인터페이스

수신 IPv6 인터페이스

수신 포트 및 VLAN

interface interface-name

논리적 단위를 포함하여 패킷이 수신되는 인터페이스입니다. 와일드카드 문자()를 인터페이스 이름 또는 논리적 단위의 일부로 포함할 수 있습니다.*

수신 포트 및 VLAN

ip-destination-address address

패킷의 최종 대상 노드 주소인 IPv4 주소입니다.

수신 포트 및 VLAN

ip-options

IP 헤더의 옵션 필드에 지정된 항목이 있는 경우 일치 항목을 만들도록 지정합니다 .any

수신 IPv4 인터페이스

ip-protocol number

IP 프로토콜 필드입니다.

수신 포트 및 VLAN

ip-precedence ip-precedence-field

IP 우선 순위 필드입니다. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) 또는 (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

수신 포트 및 VLAN

ip-source-address address

패킷을 전송하는 소스 노드의 IPv4 주소입니다.

수신 포트 및 VLAN

ip-version address

패킷의 IP 버전입니다. 레이어 2 포트 또는 VLAN 인터페이스에 도착하는 트래픽에서 IPv4 또는 IPv6 헤더 필드를 일치시키려면 이 조건을 사용합니다.

수신 포트 및 VLAN

IP 헤더에서 More Fragments 플래그가 활성화되어 있거나 부분 오프셋이 제로가 아닌 경우 이 조건을 사용하면 일치가 발생합니다.

수신 및 송신 IPv4 인터페이스(QFX5220)

수신 IPv4 인터페이스(QFX5130)

MAC 학습을 위한 VLAN 식별자입니다.

수신 및 송신 포트 및 VLAN(QFX5220)

수신 포트 및 VLAN(QFX5130)

공급자 VLAN 태그(802.1Q VLAN 태그가 있는 단일 태그 프레임의 유일한 태그 또는 802.1Q VLAN 태그가 있는 이중 태그 프레임의 외부 태그)에서 IEEE 802.1p 학습된 VLAN 우선 순위 비트와 일치합니다. 0에서 7 사이의 단일 값 또는 여러 값을 지정합니다.

수신 포트 및 VLAN

next-header

IPv4 또는 IPv6 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

,,hop-by-hop (0)icmp (1)icmp6 (58)igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

수신 및 송신 IPv6 인터페이스

packet-length

패킷 길이(바이트)입니다. 0에서 65535 사이의 값을 입력해야 합니다.

수신 IPv4 및 IPv6 인터페이스

precedence value

IP 헤더의 서비스 유형(ToS) 바이트에 있는 IP 우선 순위 비트입니다. (이 바이트는 DiffServ DSCP에도 사용할 수 있습니다.) 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

수신 및 송신 IPv4 인터페이스

protocol type

IP 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

,,hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)tcp (4)

수신 및 송신 IPv4 인터페이스.

수신 IPv4 인터페이스 및 VLAN

source-address ip-address

IP 원본 주소 필드로, 패킷을 전송한 노드의 주소입니다.

수신 및 송신 IPv4 인터페이스

수신 IPv6 인터페이스

수신 포트 및 VLAN

source-mac-address mac-address

패킷의 소스 MAC(미디어 액세스 제어) 주소입니다.

수신 및 송신 IPv4 인터페이스 및 VLAN

source-port value

TCP 또는 UDP 소스 포트. IPv4 트래픽에 대한 일치 문 또는 IPv6 트래픽에 대한 일치 문과 함께 이 일치를 지정해야 합니다.protocolnext-header

숫자 필드 대신 destination-port 아래에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

수신 및 송신 IPv4 인터페이스

수신 IPv6 인터페이스

수신 포트 및 VLAN

source-port range-optimize range

사용 가능한 메모리를 보다 효율적으로 사용하면서 TCP 또는 UDP 포트 범위 범위를 일치시킵니다. 이 조건을 사용하면 개별 소스 포트를 구성하는 경우보다 더 많은 방화벽 필터를 구성할 수 있습니다. (필터 기반 전달에서는 지원되지 않습니다.)

수신 IPv4 인터페이스

source-prefix-list prefix-list

IP 소스 접두사 목록입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 정의합니다.[edit policy-options]

수신 및 송신 IPv4 인터페이스

수신 IPv6 인터페이스

수신 포트 및 VLAN

설정된 TCP 세션의 TCP 패킷(연결의 첫 번째 패킷 이외의 패킷)을 일치시킵니다. 이것은 의 별칭입니다. tcp-flags "(ack | rst)".

이 일치 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이를 확인하려면 protocol tcp 일치 조건을 지정해야 합니다.

수신 및 송신 IPv4 인터페이스(QFX5220)

수신 및 송신 IPv4 인터페이스(QFX5130)

수신 IPv6 인터페이스(QFX5130)

tcp-flags value

TCP 플래그(하나의 값만 지원됨):

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

수신 및 송신 IPv4 인터페이스

수신 IPv6 인터페이스

수신 포트 및 VLAN

연결의 첫 번째 TCP 패킷을 일치시킵니다. TCP 플래그는 설정되고 TCP 플래그 는 설정되지 않은 경우 일치가 발생합니다.SYNACK

를 지정할 때 스위치는 프로토콜이 TCP인지 암시적으로 확인하지 않습니다.tcp-initial 일치 조건도 지정해야 합니다.protocol tcp protocol type을(를) 참조하세요.

수신 및 송신 IPv4 인터페이스(QFX5220)

수신 및 송신 IPv4 인터페이스, 수신 IPv6 인터페이스(QFX5130)

traffic-class

패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드입니다. traffic-class 필드는 DSCP(DiffServ Code Point) 값을 지정하는 데 사용됩니다. 이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었으며, 이 필드(예: DSCP)의 의미 체계는 IPv4의 의미 체계와 동일합니다.

다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

, , af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

수신 및 송신 IPv6 인터페이스

ttl value

IP TTL(Time-to-Live) 필드(10진수)입니다. 값은 1-255일 수 있습니다.

수신 및 송신 IPv4 인터페이스

user-vlan-id number

Q-in-Q VLAN에 대한 내부(고객) VLAN의 ID와 일치합니다. 사용할 수 있는 값은 1-4095입니다.

수신 포트 및 VLAN(QFX5130)

user-vlan-1p-priority value

범위에서 지정된 802.1p VLAN 우선 순위와 일치합니다.0-7

수신 포트 및 VLAN(QFX5130)

accept

패킷을 수락합니다. 이는 용어와 일치하는 패킷에 대한 기본 작업입니다.

apply-groups-except

구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다.

count counter-name

용어와 일치하는 패킷 수를 계산합니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다.

forwarding-class class

다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 작동 모드 명령을 입력합니다.show firewall log

loss-priority (low | medium-low | medium-high | high)

패킷 손실 우선순위(PLP)를 설정합니다.

policer policer-name

폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해).

port-mirror

계층 수준의 포트 미러링 인스턴스에 구성된 출력 인터페이스로 트래픽(패킷 복사)을 미러링합니다 .[edit forwarding-options port-mirroring]

port-mirror-instance port-mirror-instance-name

계층 수준에서 구성된 포트 미러링 인스턴스로 트래픽을 미러링합니다 .[edit forwarding-options port-mirroring]

수신 포트, VLAN 및 IPv4(inet) 방화벽 필터에 대해서만 포트 미러링을 지정할 수 있습니다.

reject message-type

패킷을 폐기하고 "대상에 연결할 수 없음" ICMPv4 메시지(유형 3)를 보냅니다. 거부된 패킷을 기록하려면 작업 수정자를 구성합니다 .syslog

다음 메시지 유형 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

메시지 유형을 지정하지 않으면 ICMP 알림 "대상에 연결할 수 없음"이 기본 메시지 "통신 관리적으로 필터링됨"과 함께 전송됩니다.

three-color-policer three-color-policer-name

3색 폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해).

vlan VLAN-name

일치하는 패킷을 특정 VLAN으로 전달합니다.