Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones y acciones de coincidencia de filtro de firewall (conmutadores serie QFX y EX)

Condiciones y acciones de coincidencia de filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700, EX4600, EX4650)

Cada término de un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse una coincidencia. Puede definir condiciones de coincidencia únicas o múltiples en instrucciones de coincidencia. También puede incluir ninguna instrucción match, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, un conmutador realiza la acción especificada en el término. Además, puede especificar modificadores de acción para contar, duplicar, limitar la velocidad y clasificar paquetes. Si no se especifican condiciones de coincidencia para el término, el conmutador acepta el paquete de forma predeterminada.

  • Tabla 1 describe las condiciones de coincidencia que puede especificar al configurar un filtro de firewall. Algunas de las condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, escriba ? en el lugar adecuado en una instrucción.

  • Tabla 2 muestra las acciones que puede especificar en un término.

  • Tabla 3 muestra los modificadores de acción que puede usar para contar, duplicar, limitar la velocidad y clasificar paquetes.

Para condiciones de coincidencia en conmutadores específicos, se aplican estas limitaciones:

(QFX5100, QFX5110, QFX5200) Cuando se usa el reenvío basado en filtros en interfaces IPv6, solo se admiten estas condiciones de coincidencia en la (dirección de entrada): source-address, destination-address, source-prefix-list, destination-prefix-list, source-port, , destination-port, , hop-limit, , icmp-type, y next-header.

(QFX5110) Cuando habilita la egress-to-ingress opción bajo la [edit firewall] jerarquía, solo acceptse admiten , discardy count las acciones.

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) En un entorno EVPN-VXLAN, solo se admiten estas condiciones de coincidencia: source-address, destination-address, source-port, destination-port, , ttl, , ip-protocol, y user-vlan-id.

(QFX5100, QFX5110, QFX5200) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz IRB EVPN-VXLAN.

(QFX5700) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz de circuito cerrado.

(QFX5100, QFX5110) Si usa filtros de firewall para implementar el filtrado MAC en un entorno EVPN-VXLAN, consulte Filtrado mac, control de tormentas y compatibilidad con duplicación de puertos en un entorno EVPN-VXLAN para conocer las condiciones de coincidencia compatibles.

(QFX5100, QFX5110) Para cada filtro de firewall que aplique a una VXLAN, puede especificar family ethernet-switching que se filtre paquetes de capa 2 (Ethernet) o family inet que se filtre en interfaces IRB. No puede aplicar un filtro de firewall en la dirección de salida en interfaces IRB.

En conmutadores que no admiten funciones de capa 2, utilice solo aquellas condiciones de coincidencia que sean válidas para interfaces IPv4 e IPv6.

(QFX5120, EX4650) A partir de Junos versión 21.4R1, se admiten las siguientes condiciones de coincidencia en un entorno EVPN-VXLAN en QFX5120 y EX4650: gbp-src-tag, y gbp-dst-tag.

A partir de Junos OS versión 21.4R1, las condiciones de optimización de rango de puerto de origen y destino-puerto-rango-optimización se admiten bajo [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] nivel jerárquico. Esto reduce considerablemente el uso del espacio TCAM. En los conmutadores QFX5100 con condiciones de coincidencia configuradas de fuente-puerto-rango-rango-optimización y destino-puerto-rango-optimización, se admiten hasta 24 condiciones de coincidencia de puerto de origen y puerto de destino no contiguos. Si se configuran más de 24 condiciones de coincidencia no contiguas, puede generar un error.

Tabla 1: Condiciones de coincidencia compatibles para filtros de firewall

Condición de coincidencia

Descripción

Dirección e interfaz

arp-type

Paquete de solicitud ARP o paquete de respuesta ARP.

Interfaces de salida e entrada.

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet) e interfaces IPv6 (inet6).

destination-mac-address mac-address

Dirección de control de acceso de medios de destino (MAC) del paquete.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Puertos de salida y VLAN.

destination-port value

Campo de puerto de destino TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. Para los siguientes puertos bien conocidos, puede especificar sinónimos de texto (también se enumeran los números de puerto):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

destination-port range-optimize range

Haga coincidir un rango de intervalos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No compatible con el reenvío basado en filtros.)

Puertos de entrada, VLAN, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel jerárquico.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet) e interfaces IPv6 (inet6).

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • be—mejor esfuerzo (predeterminado)

  • ef (46)— como se define en RFC 3246, Un PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de caída en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, PHB de reenvío garantizado.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ether-type value

Campo de tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se está transportando en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • aarp (0x80F3)—Valor EtherType AARP

  • appletalk (0x809B)—Valor EtherType AppleTalk

  • arp (0x0806)—Valor EtherType ARP

  • fcoe (0x8906)—Valor EtherType FCoE

  • fip (0x8914)—FIP valor EtherType

  • ipv4 (0x0800)—Valor EtherType IPv4

  • ipv6 (0x08DD)—Valor EtherType IPv6

  • mpls-multicast (0x8848)— Valor EtherType Multidifusión MPLS

  • mpls-unicast (0x8847)—Unidifusión MPLS de valor EtherType

  • oam (0x88A8)—Valor EtherType OAM

  • ppp (0x880B)— Valor EtherType PPP

  • pppoe-discovery (0x8863)—Etapa de descubrimiento PPPoE de valor EtherType

  • pppoe-session (0x8864)—Etapa de sesión PPPoE de valor EtherType

  • sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

egress-to-ingress

Incluya esta opción para aumentar el número de términos de filtro de firewall de VLAN de salida de 1024 a 2048.

Interfaces IPv4 (inet) de VLAN de salida e interfaces IPv6 (inet6).

exp

Coincidencia en bits EXP MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

fragment-flags value

Indicadores de fragmentación IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores hexadecimales):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Puertos de entrada y VLAN.

gbp-dst-tag

Haga coincidir la etiqueta de destino para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Micro y segmentación de macro mediante políticas basadas en grupos en una VXLAN.

No aplicable

gbp-src-tag

Haga coincidir la etiqueta de origen para usarla con microsegmentación en una VXLAN, como se describe a continuación: Ejemplo: Micro y segmentación de macro mediante políticas basadas en grupos en una VXLAN.

No aplicable

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor para icmp-type junto con un valor para icmp-code. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

  • IPv4: problema de parámetros:ip-header-bad (0), required-option-missing (1)

  • IPv6: problema de parámetros—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4: inalcanzable:network-unreachable (0) , host-unreachable (1), protocol-unreachable (2), port-unreachable (3), fragmentation-needed (4), source-route-failed (5), , destination-network-unknown (6)destination-host-unknown (7), , source-host-isolated (8)destination-network-prohibited (9), destination-host-prohibited (10), network-unreachable-for-TOS (11), , communication-prohibited-by-filtering (13)host-precedence-violation (14)host-unreachable-for-TOS (12)precedence-cutoff-in-effect (15)

  • IPv6: inalcanzable:address-unreachable (3), administratively-prohibited (1), , no-route-to-destination (0)port-unreachable (4)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

hop-limit value

Haga coincidir el límite de salto especificado o el conjunto de límites de salto. Especifique un único valor o un intervalo de valores del 0 al 255.

Interfaces IPv6 (inet6) de entrada y salida.

Nota:

No se admite en la dirección de salida en los conmutadores QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 y QFX5210.

icmp-type value

Campo de tipo de mensaje ICMP. Normalmente, especifica esta coincidencia junto con la protocol instrucción match para determinar qué protocolo se usa en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), , time-exceeded (11), , parameter-problem (12)timestamp (13), , timestamp-reply (14), info-request (15), info-reply (16), , , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), , , membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), , router-renumbering (138), , node-information-request (139)node-information-reply (140)

Vea también icmp-code variable.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o una unidad lógica.

Nota:

No se puede utilizar una interfaz desde la que se envía un paquete como condición de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet) e interfaces IPv6 (inet6).

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN.

ip6-destination-address address

Dirección IPv6 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y una VLAN que incluya ese puerto.)

ip-options

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor numérico del campo, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ip-protocol number

Campo de protocolo IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

ip6-source-address address

Dirección IPv6 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y una VLAN que incluya ese puerto.)

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o una interfaz VLAN.

Puertos de entrada y VLAN.

is-fragment

El uso de esta condición causa una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

l2-encap-type llc-non-snap

Coincidencia en paquetes de capa de control de vínculo lógico (LLC) para el tipo de encapsulación Ethernet del protocolo de acceso no subred (SNAP).

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

label

Coincidencia en bits de etiqueta MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

learn-vlan-id number

Hace coincidir el ID de una VLAN normal o el ID de la VLAN externa (de servicio) (para VLAN Q-in-Q). Los valores aceptables son 1-4095.

Nota:

No se admite en conmutadores QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600 y EX4650. Utilice la user-vlan-id condición de coincidencia para que coincida con el ID de VLAN externo.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

next-header

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

packet-length

Longitud del paquete en bytes. Debe introducir un valor entre 0 y 65535.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

payload-protocol

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Nota:

No se admite en los conmutadores QFX3500, QFX3600, QFX5100, QFX5110, QFX5200, QFX5210.

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

Port qualifier

El calificador de puerto instalará dos entradas en el motor de reenvío de paquetes. Uno con el puerto de origen y el segundo con el puerto de destino.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 de salida (inet).

precedence value

Bits de prioridad IP en el bytes de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede utilizar para diffserv DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

protocol type

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 de salida (inet).

rat-type tech-type-value

Haga coincidir el tipo de tecnología de acceso por radio (RAT) especificado en el campo Tech-Type de 8 bits de la extensión de tecnología de acceso IPv4 (PMIPv4) de proxy móvil. El tipo de tecnología especifica la tecnología de acceso a través de la cual el dispositivo móvil está conectado a la red de acceso. Especifique un único valor, un intervalo de valores o un conjunto de valores. Puede especificar un tipo de tecnología como un valor numérico del 0 al 255 o como palabra clave del sistema.

  • El valor numérico 1 coincide con IEEE 802.3.

  • El valor numérico 2 coincide con IEEE 802.11a/b/g.

  • El valor numérico 3 coincide con IEEE 802.16e

  • El valor numérico 4 coincide con IEEE 802.16m.

  • La cadena de eutran texto coincide con la 4G.

  • La cadena de geran texto coincide con la 2G.

  • La cadena de utran texto coincide con la 3G.

Interfaces IPv4 (inet) de salida e entrada.

sample

Muestree el tráfico de paquetes. Aplique esta opción solo si ha habilitado el muestreo de tráfico.

Interfaces IPv4 (inet) de salida e entrada.

source-address ip-address

Campo de dirección IP de origen, que es la dirección del nodo que envió el paquete.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

source-mac-address mac-address

Dirección de control de acceso de medios de origen (MAC) del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

source-port value

Puerto de origen TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

source-port range-optimize range

Haga coincidir un rango de intervalos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No compatible con el reenvío basado en filtros.)

Puertos de entrada, VLAN, interfaces IPv4 (inet).

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel jerárquico.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

tcp-established

Hace coincidir paquetes de una conexión de enlace de tres vías TCP establecida (SYN, SYN-ACK, ACK). El único paquete que no coincide es el primer paquete del protocolo de enlace, ya que solo se establece el bit SYN. Para este paquete, debe especificar tcp-initial como condición de coincidencia.

Cuando se especifica tcp-established, el conmutador no verifica implícitamente que el protocolo sea TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

tcp-flags value

Una o más marcas TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

tcp-initial

Haga coincidir el primer paquete TCP de una conexión. Una coincidencia se produce cuando se establece la marca SYN TCP y no se establece la marca ACK TCP.

Cuando se especifica tcp-initial, un conmutador no verifica implícitamente que el protocolo sea TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces IPv4 de salida (inet).

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se utilizó anteriormente como el campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

ttl value

Campo de tiempo de vida (TTL) IP en decimal. El valor puede ser 1-255.

Interfaces IPv4 de entrada (inet).

Interfaces IPv4 de salida (inet).

user-vlan-1p-priority value

Hace coincidir la prioridad vlan 802.1p especificada en el intervalo 0-7.

Puertos de entrada y salida y VLAN.

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Nota:

Para los conmutadores QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 y EX4650, use para hacer user-vlan-id coincidir el ID de la VLAN externa.

Para conmutadores serie QFX5220 y enrutadores serie MX y ACX, use para hacer learn-vlan-id coincidir el ID de la VLAN externa y user-vlan-id para que coincida con el ID de la VLAN interna. Anteriormente, podía usar para hacer user-vlan-id coincidir el ID de VLAN externo.

Puertos de entrada y salida y VLAN.

Use then instrucciones para definir acciones que deben ocurrir si un paquete coincide con todas las condiciones de una from instrucción. Tabla 2 muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.)

Tabla 2: Acciones para filtros de firewall

Acción

Descripción

accept

Acepte un paquete. Esta es la acción predeterminada para paquetes que coincidan con un término.

discard

Descarte un paquete de forma silenciosa sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 "destino inalcanzable" (tipo 3). Para registrar paquetes rechazados, configure el modificador de syslog acción.

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, o tcp-reset.

Si especifica tcp-reset, el sistema envía un restablecimiento TCP si el paquete es un paquete TCP; de lo contrario no se envía nada.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces de entrada.

routing-instance nombre de instancia

Reenviar paquetes coincidentes a una instancia de enrutamiento virtual.

vlan Nombre de VLAN

Reenvía paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en interfaces de entrada.

Nota:

Esta acción no se admite en conmutadores de la serie OCX.

También puede especificar los modificadores de acción enumerados en Tabla 3 para contar, duplicar, limitar la velocidad y clasificar paquetes.

Tabla 3: Modificadores de acción para filtros de firewall

Modificador de acción

Descripción

analyzer analyzer-name

(Plataformas que no son ELS) Duplicación de tráfico (copiar paquetes) a un analizador configurado en el [edit ethernet-switching-options analyzer] nivel de jerarquía.

Puede especificar la duplicación de puertos solo para los filtros de firewall de puerto de entrada, VLAN e IPv4 (inet).

count counter-name

Cuente la cantidad de paquetes que coincidan con el término.

decapsulate [gre | routing-instance]

Desencapsula paquetes GRE o reenvía paquetes GRE desencapsulados a la instancia de enrutamiento especificada

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • be—mejor esfuerzo (predeterminado)

  • ef (46)— como se define en RFC 3246, Un PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de caída en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, PHB de reenvío garantizado.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

gbp-src-tag

(Solo QFX5120 y EX4650)

Establezca la etiqueta de origen de política basada en grupos (0.65535) para su uso con microsegmentación en VXLAN, como se describe a continuación: Ejemplo: Micro y segmentación de macro mediante políticas basadas en grupos en una VXLAN.

interface

Cambie el tráfico a la interfaz especificada sin realizar una búsqueda en ella. Esta acción solo es válida cuando el filtro se aplica a la entrada.

log

Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando del show firewall log modo operativo.

Nota:

El log modificador de acción solo se admite en interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo se admite en interfaces de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con la policer acción.

policer policer-name

Enviar paquetes a un agente de policía (con el propósito de aplicar la limitación de velocidad).

Puede especificar un aplicador de políticas para los filtros de puerto de entrada, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

port-mirror

(plataformas ELS) Tráfico reflejado (copiar paquetes) a una interfaz de salida configurada en una instancia de creación de reflejo de puerto en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puertos solo para los filtros de firewall de puerto de entrada, VLAN e IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(plataformas ELS) Duplicación de tráfico a una instancia de creación de reflejo de puerto configurada en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puertos solo para los filtros de firewall de puerto de entrada, VLAN e IPv4 (inet).

Nota:

Este modificador de acción no se admite en conmutadores de la serie OCX.

syslog

Registre una alerta para este paquete.

Nota:

El syslog modificador de acción solo se admite en interfaces de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar la limitación de velocidad).

Puede especificar un aplicador de tres colores para los filtros de entrada y salida, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

Condiciones y acciones de coincidencia de filtro de firewall (QFX5220 y QFX5130-32CD)

En este tema se describen las condiciones de coincidencia de filtro de firewall compatibles, las acciones y los modificadores de acción para los conmutadores QFX5220-CD, QFX5220-128C y QFX5130-32CD.

Cada término de un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse una coincidencia. Puede definir condiciones de coincidencia únicas o múltiples en instrucciones de coincidencia. También puede incluir ninguna instrucción match, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, un conmutador realiza la acción especificada en el término. Si no aplica ninguna condición de coincidencia, el conmutador acepta el paquete de forma predeterminada.

  • Tabla 4 muestra las condiciones de coincidencia para las interfaces IPv4 (inet) y IPv6 (inet6). También contiene las condiciones de coincidencia para puertos y VLAN (ethernet-switching).

  • Tabla 5 muestra las acciones y los modificadores de acción que puede especificar en un término.

Nota:

Para las condiciones de coincidencia, algunas de las condiciones de coincidencia de campo de bits y de rango numérico le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, escriba ? en el lugar adecuado en una instrucción.

Tabla 4: Condiciones de coincidencia compatibles (conmutadores QFX5220 y QFX5130-32CD)

Condición de coincidencia

Descripción

Dirección e interfaz

arp-type

Paquete de solicitud ARP o un paquete de respuesta ARP.

Puertos de entrada y salida y VLAN

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN

destination-mac-address mac-address

Dirección MAC de destino del paquete.

Puertos de entrada y salida y VLAN

destination-port value

Campo de puerto de destino TCP o UDP. Debe especificar esta coincidencia con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

Para los siguientes puertos y números de puerto conocidos, puede especificar sinónimos de texto.

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN

destination-port range-optimize range

Haga coincidir un rango de los intervalos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No compatible con el reenvío basado en filtros.)

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel jerárquico.

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN.

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto y el campo enumerados.

  • be—mejor esfuerzo (predeterminado)

  • ef (46)— como se define en RFC 3246, Un PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de caída en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, PHB de reenvío garantizado.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces IPv4 de entrada y salida

Puertos de entrada y VLAN

ether-type value

Campo de tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se está transportando en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto. También se enumeran los valores de campo.

  • aarp (0x80F3)—Valor EtherType AARP

  • appletalk (0x809B)—Valor EtherType AppleTalk

  • arp (0x0806)—Valor EtherType ARP

  • fcoe (0x8906)—Valor EtherType FCoE

  • fip (0x8914)—FIP valor EtherType

  • ipv4 (0x0800)—Valor EtherType IPv4

  • ipv6 (0x08DD)—Valor EtherType IPv6

  • mpls-multicast (0x8848)— Valor EtherType Multidifusión MPLS

  • mpls-unicast (0x8847)—Unidifusión MPLS de valor EtherType

  • oam (0x88A8)—Valor EtherType OAM

  • ppp (0x880B)— Valor EtherType PPP

  • pppoe-discovery (0x8863)—Etapa de descubrimiento PPPoE de valor EtherType

  • pppoe-session (0x8864)—Etapa de sesión PPPoE de valor EtherType

  • sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y salida y VLAN

primer fragmento

Haga coincidir si el paquete es el primer fragmento de un paquete fragmentado. Evitar hacer coincidir el paquete si es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de compensación de fragmentos de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia de campo de bit 0.

Para que coincidan tanto con los fragmentos primero como con los finales, puede usar dos términos que especifiquen diferentes condiciones de coincidencia: first-fragment y is-fragment.

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor para icmp-type junto con un valor para icmp-code. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

  • IPv4: problema de parámetros:ip-header-bad (0), required-option-missing (1)

  • IPv6: problema de parámetros—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4: inalcanzable:network-unreachable (0) , host-unreachable (1), protocol-unreachable (2), port-unreachable (3), fragmentation-needed (4), source-route-failed (5), , destination-network-unknown (6)destination-host-unknown (7), , source-host-isolated (8)destination-network-prohibited (9), destination-host-prohibited (10), network-unreachable-for-TOS (11), , communication-prohibited-by-filtering (13)host-precedence-violation (14)host-unreachable-for-TOS (12)precedence-cutoff-in-effect (15)

  • IPv6: inalcanzable:address-unreachable (3), administratively-prohibited (1), , no-route-to-destination (0)port-unreachable (4)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

icmp-type value

Campo de tipo de mensaje ICMP. Debe especificar esta coincidencia junto con la protocol instrucción match. Esta coincidencia determina qué protocolo se usa en el puerto para el tráfico IPv4 o la next-header instrucción match para el tráfico IPv6.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), , time-exceeded (11), , parameter-problem (12)timestamp (13), , timestamp-reply (14), info-request (15), info-reply (16), , , mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), , , membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), , router-renumbering (138), , node-information-request (139)node-information-reply (140)

Vea también icmp-code variable.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o una unidad lógica.

Nota:

No se puede utilizar una interfaz desde la que se envía un paquete como condición de coincidencia.

Puertos de entrada y VLAN

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN

ip-options

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Interfaces IPv4 de entrada

ip-protocol number

Campo de protocolo IP.

Puertos de entrada y VLAN

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor numérico del campo, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Puertos de entrada y VLAN

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o una interfaz VLAN.

Puertos de entrada y VLAN

is-fragment

El uso de esta condición causa una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Interfaces IPv4 de entrada y salida (QX5220)

Interfaces IPv4 de entrada (QFX5130)

learn-vlan-id number

Identificador de VLAN para el aprendizaje MAC.

Puertos de entrada y salida y VLAN (QFX5220)

Puertos de entrada y VLAN (QFX5130)

learn-vlan-1p-priority value

Haga coincidir en los bits de prioridad vlan aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de etiqueta doble con etiquetas VLAN 802.1Q). Especifique un valor único o varios valores del 0 al 7.

Puertos de entrada y VLAN

next-header

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 de entrada y salida

packet-length

Longitud del paquete en bytes. Debe introducir un valor entre 0 y 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de prioridad IP en el bytes de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede utilizar para diffserv DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada y salida

protocol type

Valor de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Interfaces IPv4 de entrada y salida.

Interfaces IPv4 de entrada y VLAN

source-address ip-address

Campo de dirección IP de origen, que es la dirección del nodo que envió el paquete.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-mac-address mac-address

Dirección de control de acceso de medios de origen (MAC) del paquete.

Interfaces IPv4 y VLAN de entrada y salida

source-port value

Puerto de origen TCP o UDP. Debe especificar esta coincidencia junto con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-port range-optimize range

Haga coincidir un rango de intervalos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No compatible con el reenvío basado en filtros.)

Interfaces IPv4 de entrada

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel jerárquico.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

tcp-established

Haga coincidir los paquetes TCP de una sesión TCP establecida (paquetes distintos del primer paquete de una conexión). Este es un alias para tcp-flags "(ack | rst)".

Esta condición de coincidencia no comprueba implícitamente que el protocolo sea TCP. Para comprobar esto, especifique la condición de protocol tcp coincidencia.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida (QFX5130)

Interfaces IPv6 de entrada (QFX5130)

tcp-flags value

Indicadores TCP (solo se admite un valor):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

tcp-initial

Haga coincidir el primer paquete TCP de una conexión. Una coincidencia se produce cuando se establece la marca SYN TCP y no se establece la marca ACK TCP.

Cuando se especifica tcp-initial, un conmutador no verifica implícitamente que el protocolo sea TCP. También debe especificar la condición de protocol tcp coincidencia. Consulte protocol type.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida, interfaces IPv6 de entrada (QFX5130)

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se utilizó anteriormente como el campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 de entrada y salida

ttl value

Campo de tiempo de vida (TTL) IP en decimal. El valor puede ser 1-255.

Interfaces IPv4 de entrada y salida

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Puertos de entrada y VLAN (QFX5130)

user-vlan-1p-priority value

Hace coincidir la prioridad vlan 802.1p especificada en el intervalo 0-7.

Puertos de entrada y VLAN (QFX5130)

Use then instrucciones para definir acciones que deben ocurrir si un paquete coincide con todas las condiciones de una from instrucción. Tabla 5 Muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.)

Nota:

Para interfaces IPv4 de salida, interfaces IPv6 y puertos de salida, solo puede aplicar las acciones de aceptar, descartar y contar. En el caso de las VLAN de salida, solo puede aplicar la acción de aceptación.

Tabla 5: Modificadores de acciones y acciones

Acción

Descripción

accept

Acepte un paquete. Esta es la acción predeterminada para paquetes que coincidan con un término.

apply-groups-except

Especifique de qué grupos no se heredan los datos de configuración. Puede especificar más de un nombre de grupo.

count counter-name

Cuente la cantidad de paquetes que coincidan con el término.

discard

Descarte un paquete de forma silenciosa sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

log

Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando del show firewall log modo operativo.

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo se admite en interfaces IPv4 de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con la policer acción.

policer policer-name

Enviar paquetes a un agente de policía (con el propósito de aplicar la limitación de velocidad).

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

port-mirror

Tráfico reflejado (copiar paquetes) a una interfaz de salida configurada en una instancia de creación de reflejo de puerto en el [edit forwarding-options port-mirroring] nivel jerárquico.

port-mirror-instance port-mirror-instance-name

Duplicación de tráfico a una instancia de creación de reflejo de puerto configurada en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puertos solo para los filtros de firewall de puerto de entrada, VLAN e IPv4 (inet).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 "destino inalcanzable" (tipo 3). Para registrar paquetes rechazados, configure el modificador de syslog acción.

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces IPv4 de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar la limitación de velocidad).

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

Nota:

No color-aware se admiten los agentes de policía y color-blind de seguridad. De forma predeterminada, el tráfico se trata como color-blind.

vlan Nombre de VLAN

Reenvía paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en puertos de entrada y VLAN.