Condiciones y acciones de coincidencia de filtro de firewall (conmutadores QFX10000)

Cada término en un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse coincidencia. Puede definir condiciones de coincidencia única o varias en instrucciones de coincidencia. También puede incluir instrucción no match, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, el conmutador realiza la acción especificada en el término. Además, puede especificar modificadores de acciones para contar, reflejar, límite de velocidad y clasificar paquetes. Si no se especifican condiciones de coincidencia para el término, el conmutador acepta el paquete de forma predeterminada.

En este tema se describen las diversas condiciones de coincidencia, acciones y modificadores de acción que puede definir en filtros de firewall en conmutadores QFX10000. Para obtener información similar acerca de otros conmutadores QFX, consulte Condiciones y acciones de coincidencia de filtro de firewall (conmutadores de las series QFX y EX).

Tabla 1 describe las condiciones de coincidencia que puede especificar al configurar un filtro de firewall. Algunas de las condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, escriba ? en el lugar adecuado de una instrucción.
Tabla 2 muestra las acciones que puede especificar en un término.
Tabla 3 muestra los modificadores de acciones que puede usar para contar, reflejar, límite de velocidad y clasificar paquetes.

Tabla 1: Condiciones de coincidencia compatibles (conmutadores QFX10000)
Condición de coincidencia	Descripción	Dirección e interfaz
`destination-address ip-address`	Campo de dirección de destino IP, que es la dirección del nodo de destino final.	Interfaces IPv4 (inet) de entrada e interfaces IPv6 (inet6). Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6). Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`destination-mac-address mac-address`	Dirección MAC de destino del paquete.	Puertos de entrada y VLAN. Puertos de salida y VLAN.
`destination-port value`	Campo de puerto de destino TCP o UDP. Normalmente, se especifica esta coincidencia junto con la `protocol` instrucción match. Para los siguientes puertos conocidos, puede especificar sinónimos de texto (los números de puerto también se enumeran): `afs (1483)`, `bgp (179)`, `biff (512)`, `bootpc (68)`, `bootps (67)`, `cmd (514)`, `cvspserver (2401)`, `dhcp (67)`, `domain (53)`, `eklogin (2105)`, `ekshell (2106)`, `exec (512)`, `finger (79)`, `ftp (21)`, `ftp-data (20)`, `http (80)`, `https (443)`, `ident (113)`, `imap (143)`, `kerberos-sec (88)`, `klogin (543)`, `kpasswd (761)`, `krb-prop (754)`, `krbupdate (760)`, `kshell (544)`, `ldap (389)`, `login (513)`, `mobileip-agent (434)`, `mobilip-mn (435)`, `msdp (639)`, `netbios-dgm (138)`, `netbios-ns (137)`, `netbios-ssn (139)`, `nfsd (2049)`, `nntp (119)`, `ntalk (518)`, `ntp (123)`, `pop3 (110)`, `pptp (1723)`, `printer (515)`, `radacct (1813)`,`radius (1812)`, `rip (520)`, `rkinit (2108)`, `smtp (25)`, `snmp (161)`, `snmptrap (162)`, `snpp (444)`, `socks (1080)`, `ssh (22)`, `sunrpc (111)`, `syslog (514)`, `tacacs-ds (65)`, `talk (517)`, `telnet (23)`, `tftp (69)`, `timed (525)`, `who (513)`, las `xdmcp (177)`, las `zephyr-clt (2103)`, `zephyr-hm (2104)`	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`destination-prefix-list prefix-list`	Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el `[edit policy-options]` nivel de jerarquía.	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).
`dscp value`	Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Puede especificar DSCP en forma hexadecimal, binario o decimal. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `be`—mejor esfuerzo (por defecto) `ef (46)`—como se define en el RFC 3246, PHB de reenvío acelerado. `af11 (10)`, `af12 (12)`, `af13 (14)`; `af21 (18)`, `af22 (20)`, `af23 (22)`; `af31 (26)`, `af32 (28)`, `af33 (30)`; `af41 (34)`, `af42 (36)`, `af43 (38)` Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado. `cs0`, `cs1`, `cs2`, `cs3`, `cs4`, `cs5`, `cs6`, `cs7`, `cs5`	Puertos de entrada, VLAN e interfaces IPv4 (inet). Puertos de salida, VLAN e interfaces IPv4 (inet).
`ether-type value`	Campo tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `aarp (0x80F3)`—Valor EtherType AARP `appletalk (0x809B)`—Valor EtherType AppleTalk `arp (0x0806)`—Valor EtherType ARP `fcoe (0x8906)`—Valor EtherType FCoE `fip (0x8914)`—Valor EtherType FIP `ipv4 (0x0800)`—Valor EtherType IPv4 `ipv6 (0x08DD)`—Valor EtherType IPv6 `mpls-multicast (0x8848)`—Valor EtherType MPLS multidifusión `mpls-unicast (0x8847)`—Valor EtherType MPLS unidifusión `oam (0x88A8)`—Valor EtherType OAM `ppp (0x880B)`—Valor EtherType PPP `pppoe-discovery (0x8863)`—Etapa de descubrimiento de PPPoE del valor EtherType `pppoe-session (0x8864)`—Valor EtherType PPPoE Etapa de sesión `sna (0x80D5)`—Valor EtherType SNA	Puertos de entrada y VLAN. Puertos de salida y VLAN.
`forwarding-class class`	Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario: `best-effort` `fcoe` `network-control` `no-loss`	Interfaces IPv4 (inet) e IPv6 (inet6) de salida.
`fragment-flags value`	Indicadores de fragmentación de IP. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los valores hexadecimales): `is-fragment` `dont-fragment (0x4000)` `more-fragments (0x2000)` `reserved (0x8000)`	Puertos de entrada, VLAN e interfaces IPv4 (inet).
`hop-limit value`	Coincida con el límite de salto especificado o el conjunto de límites de salto. Especifique un solo valor o un rango de valores del 0 al 255.	Interfaces IPv6 (inet6) de entrada y salida.
`icmp-code value`	Campo de código ICMP. Dado que el significado del valor depende del asociado `icmp-type`, debe especificar un valor para junto con un valor para `icmp-typeicmp-code`. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas: IPv4: problema de parámetros—`ip-header-bad (0)`, `required-option-missing (1)` IPv6: problema de parámetros—`ip6-header-bad (0)`, , `unrecognized-next-header (1)unrecognized-option (2)` `redirect`—`redirect-for-network (0)`, `redirect-for-host (1)`, , `redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)` `time-exceeded`—`ttl-eq-zero- during-reassembly (1)`, `ttl-eq-zero-during-transit (0)` IPv4: inalcanzable—`network-unreachable (0)`, `host-unreachable (1)`, `protocol-unreachable (2)`, `fragmentation-needed (4)port-unreachable (3)destination-network-unknown (6)source-route-failed (5)`, `destination-network-prohibited (9)source-host-isolated (8)destination-host-unknown (7)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)destination-host-prohibited (10)`, , , `host-precedence-violation (14)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)` IPv6: inalcanzable—`address-unreachable (3)`, `administratively-prohibited (1)`, `no-route-to-destination (0)port-unreachable (4)`	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6)
`icmp-type value`	Campo de tipo de mensaje ICMP. Normalmente, se especifica esta coincidencia junto con la `protocol` instrucción match para determinar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): IPv4: `echo-reply (0)`, `destination unreachable (3)`, `source-quench (4)redirect (5)`, , `echo-request (8)IPv4 (inet)-advertisement (9)`, , `IPv4 (inet)-solicit (10)`, `time-exceeded (11)`, `parameter-problem (12)`, , `timestamp (13)`, `timestamp-reply (14)`, `info-request (15)`, `info-reply (16)`, `mask-request (17)mask-reply (18)` IPv6: `destination-unreachable (1)`, `packet-too-big (2)`, `time-exceeded (3)`, `parameter-problem (4)echo-request (128)`, `echo-reply (129)`, , `membership-query (130)`, `membership-report (131)`, `membership-termination (132)`, `router-solicit (133)`, , `router-advertisement (134)`, `neighbor-solicit (135)`, `neighbor-advertisement (136)`, `router-renumbering (138)`, `node-information-request (139)redirect (137)node-information-reply (140)` Consulte también `icmp-code variable`.	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).
`interface interface-name`	Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (`*`) como parte de un nombre de interfaz o de una unidad lógica. Nota: No se puede utilizar una interfaz desde la que se envía un paquete como condición de coincidencia.	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).
`ip-destination-address address`	Dirección IPv4 que es la dirección del nodo de destino final del paquete.	Puertos de entrada, puertos de salida y VLAN. Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`ip-options`	Especifique `any` para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.	Puertos de entrada, VLAN e interfaces IPv4 (inet).
`ip-precedence ip-precedence-field`	Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): `critical-ecp` (0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) o `routine` (0x00).	Puertos de entrada y VLAN. Puertos de salida y VLAN.
`ip-protocol number`	Campo de protocolo IP.	Puertos de entrada y VLAN. Puertos de salida y VLAN. Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`ip-source-address` `address`	Dirección IPv4 del nodo de origen que envía el paquete.	Puertos de entrada y VLAN. Puertos de salida y VLAN. Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`ip-version address`	Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.	Puertos de entrada y VLAN. Puertos de salida y VLAN.
`is-fragment`	El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.	Puertos de entrada, VLAN e interfaces IPv4 (inet). Interfaces IPv4 (inet) de salida.
`learn-1p-priority number`	Hace coincidir los bits de prioridad VLAN IEEE 802.1p especificados en el intervalo `0-7`.	Puertos de entrada y VLAN. Puertos de salida y VLAN.
`learn-vlan-id number`	Hace coincidir el ID de una VLAN normal o el ID de la VLAN externa (de servicio) (para VLAN Q-in-Q). Para utilizar la memoria de filtro de manera más eficiente y maximizar la cantidad de filtros posibles, utilice esta condición además `user-id` de cuando desee hacer coincidir en el ID de VLAN interno (cliente). Los valores aceptables son 1-4095.	Puertos de entrada y VLAN. Puertos de salida y VLAN. Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`loss-priority (low \| medium-low \| medium-high \| high)`	Establezca la prioridad de pérdida de paquetes (PLP). Nota: El `loss-priority` modificador de acción no se admite en combinación con la `policer` acción.	Interfaces IPv4 (inet) e IPv6 (inet6) de salida.
`next-header value`	Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran): `hop-by-hop (0)`,`icmp (1)`, `icmp6 (58)`, `igmp (2)`, `ipip (4)`, `tcp (6)`, `egp (8)`, `udp (17)`, `ipv6 (41)`, `routing (43)`, `fragment (44)`,`rsvp (46)`, `gre (47)`, `esp (50)`, `ah (51)`, `icmp6 (58)`, `no-next-header (59)`, `dstopts (60)`, `ospf (89)`, `pim (103)`, `vrrp (112)`, `sctp (132)`	Interfaces IPv6 de entrada (inet6). Interfaces IPv6 (inet6) de salida.
`packet-length number`	Longitud del paquete en bytes. Debe introducir un número entre 0 y 65535.	Interfaces de puertos de entrada, VLAN, IPv4 (inet) e IPv6 (inet6). Interfaces IPv4 (inet) de salida.
`precedence value`	Bits de prioridad IP en el byte de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede usar para diffServ DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran): `routine (0)` `priority (1)` `immediate (2)` `flash (3)` `flash-override (4)` `critical-ecp (5)` `internet-control (6)` `net-control (7)`	Interfaces IPv4 (inet) de entrada. Interfaces IPv4 (inet) de salida.
`protocol type`	Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran): `hop-by-hop (0)`,`icmp (1)`, `icmp6`, `igmp (2)`, `ipip (4)`, `tcp (6)`, `egp (8)`, `udp (17)`, `ipv6 (41)`, `routing (43)`, `fragment (44)`,`rsvp (46)`, `gre (47)`, `esp (50)`, `ah (51)`, `icmp6 (58)`, `no-next-header (59)`, `dstopts (60)`, `ospf (89)`, `pim (103)`, `vrrp (112)`, `sctp (132)`	Interfaces IPv4 (inet) de entrada. Interfaces IPv4 (inet) de salida.
`source-address ip-address`	Campo de dirección ip de origen, que es la dirección del nodo que envió el paquete.	Interfaces IPv4 (inet) de entrada e interfaces IPv6 (inet6). Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6). Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`source-mac-address mac-address`	Dirección MAC del paquete.	Puertos de entrada y VLAN. Puertos de salida y VLAN.
`source-port value`	Puerto de origen TCP o UDP. Normalmente, se especifica esta coincidencia junto con la `protocol` instrucción match. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en `destination-port`.	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`source-prefix-list prefix-list`	Lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el `[edit policy-options]` nivel de jerarquía.	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Puertos de salida, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).
`tcp-established`	Hacer coincidir paquetes de una conexión TCP establecida. Esta condición coincide con paquetes distintos de los utilizados para configurar una conexión TCP, es decir, no se coinciden los paquetes de enlace de tres vías. Cuando especifica `tcp-established`, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de `protocol tcp` coincidencia.	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Interfaces IPv4 (inet) de salida.
`tcp-flags value`	Uno o más indicadores TCP: `ack (0x10)` `fin (0x01)` `push (0x08)` `rst (0x04)` `syn (0x02)` `urgent (0x20)`	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Interfaces IPv4 (inet) de salida.
`tcp-initial`	Coincida con el primer paquete TCP de una conexión. Se produce una coincidencia cuando el indicador `SYN` TCP está establecido y el indicador `ACK` TCP no está establecido. Cuando especifica `tcp-initial`, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de `protocol tcp` coincidencia.	Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet). Interfaces IPv4 (inet) de salida.
`traffic-class value`	Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4. Puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): `af11 (10)`, `af12 (12)`, `af13 (14)`, `af21 (18)`, `af22 (20)`, `af23 (22)`, `af31 (26)`, `af32 (28)`, `af33 (30)`, `af41 (34)`, `af42 (36)`, `af43 (38)`, `cs0 (0)`, `cs1 (8)`, `cs2 (16)`, `cs3 (24)`, `cs4 (32)`, `cs5 (40)`, `cs6 (48)`, `cs7 (56)`, `ef (46)`	Interfaces IPv6 de entrada (inet6). Interfaces IPv6 (inet6) de salida.
`ttl value`	Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255.	Interfaces IPv4 (inet) de entrada. Interfaces IPv4 (inet) de salida. Interfaz IRB de entrada para estructura EVPN/VXLAN, cuando corresponda
`user-vlan-id number`	Hace coincidir el ID de la VLAN interna (del cliente) en una VLAN Q-in-Q. Para usar la memoria de filtro de manera más eficiente y maximizar la cantidad de filtros posibles, use en combinación con para que coincida con `learn-vlan-id` el ID de VLAN externo (servicio). Los valores aceptables son 1-4095.	Puertos de entrada y VLAN. Puertos de salida y VLAN.

Use then instrucciones para definir acciones que deberían producirse si un paquete coincide con todas las condiciones de una from instrucción. Tabla 2 Muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.)

Tabla 2: Acciones
Acción	Descripción
`accept`	Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.
`discard`	Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).
`reject message-type`	Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de `syslog` acciones. Puede especificar uno de los siguientes tipos de mensaje: `administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,` o `tcp-reset`. Si especifica `tcp-reset`, el sistema envía un restablecimiento TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada. Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente". Nota: La `reject` acción solo se admite en interfaces de entrada.
`routing-instance instance-name`	Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual. (El único tipo de instancia compatible es `virtual-router`.) Los paquetes se pueden reenviar a la instancia predeterminada.
`vlan VLAN-name`	Reenviar paquetes coincidentes a una VLAN específica. Nota: La `vlan` acción solo se admite en interfaces de entrada. Nota: Esta acción no se admite en conmutadores de la serie OCX.

También puede especificar los modificadores de acciones enumerados Tabla 3 para contar, reflejar, límite de velocidad y clasificar paquetes.

Tabla 3: Modificadores de acción
Modificador de acción	Descripción
`count counter-name`	Cuente la cantidad de paquetes que coincidan con el término.
`forwarding-class class`	Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario: `best-effort` `fcoe` `mcast` `network-control` `no-loss` Nota: Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.
`log`	Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando de `show firewall log` modo operativo. Nota: El `log` modificador de acción solo se admite en interfaces de entrada.
`loss-priority (low \| medium-low \| medium-high \| high)`	Establezca la prioridad de pérdida de paquetes (PLP). Nota: El `loss-priority` modificador de acción solo se admite en interfaces de entrada. Nota: El `loss-priority` modificador de acción no se admite en combinación con la `policer` acción.
`policer policer-name`	Enviar paquetes a un agente de policía (con el propósito de aplicar una limitación de velocidad). Puede especificar un agente de policía para el puerto de entrada y salida, VLAN, filtros de firewall IPv4 (inet) y IPv6 (inet6). Nota: El `policer` modificador de acción no se admite en combinación con la `loss-priority` acción.
`port-mirror`	(Plataformas ELS) Espejo de tráfico (copiar paquetes) en una interfaz de salida configurada en una instancia de duplicación de puerto en el `[edit forwarding-options port-mirroring]` nivel jerárquico. Puede especificar la duplicación de puertos para los puertos de entrada y salida, los filtros de firewall VLAN, IPv4 (inet) y IPv6 (inet6).
`port-mirror-instance port-mirror-instance-name`	(Plataformas ELS) Espejo de tráfico en una instancia de duplicación de puerto configurada en el `[edit forwarding-options port-mirroring]` nivel jerárquico. Puede especificar la duplicación de puertos para los puertos de entrada y salida, los filtros de firewall VLAN, IPv4 (inet) y IPv6 (inet6). Nota:
`syslog`	Registre una alerta para este paquete. Nota: El `syslog` modificador de acción solo se admite en interfaces de entrada.
`three-color-policer three-color-policer-name`	Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar una limitación de velocidad). Puede especificar un agente de policía de tres colores para los filtros de entrada y salida, VLAN, IPv4 (inet) e IPv6 (inet6). Nota: El `policer` modificador de acción no se admite en combinación con la `loss-priority` acción.

Condiciones y acciones de coincidencia de filtro de firewall (conmutadores QFX10000)

Temas relacionados