Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones y acciones de coincidencia de filtro de firewall (conmutadores de las series QFX y EX)

Condiciones y acciones de coincidencia de filtro de firewall (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)

Cada término en un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse coincidencia. Puede definir condiciones de coincidencia única o varias en instrucciones de coincidencia. También puede incluir instrucción no match, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, un conmutador realiza la acción especificada en el término. Además, puede especificar modificadores de acciones para contar, reflejar, límite de velocidad y clasificar paquetes. Si no se especifican condiciones de coincidencia para el término, el conmutador acepta el paquete de forma predeterminada.

  • Tabla 1 describe las condiciones de coincidencia que puede especificar al configurar un filtro de firewall. Algunas de las condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, escriba ? en el lugar adecuado de una instrucción.

  • Tabla 2 muestra las acciones que puede especificar en un término.

  • Tabla 3 muestra los modificadores de acciones que puede usar para contar, reflejar, límite de velocidad y clasificar paquetes.

Para condiciones de coincidencia en conmutadores específicos, se aplican estas limitaciones:

(QFX5100, QFX5110, QFX5200) Cuando se usa reenvío basado en filtros en interfaces IPv6, solo se admiten estas condiciones de coincidencia en la (dirección de entrada): source-address, destination-address, source-prefix-listdestination-prefix-list, source-port, destination-port, hop-limit, , icmp-type, y next-header.

(QFX5110) Cuando se habilita la egress-to-ingress opción en la [edit firewall] jerarquía, solo acceptse admiten , discard, y count las acciones.

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) En un entorno EVPN-VXLAN, solo se admiten estas condiciones de coincidencia: source-address, destination-address, source-port, destination-portttl, , ip-protocol, y user-vlan-id.

(QFX5100, QFX5110, QFX5200) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz IRB EVPN-VXLAN.

(QFX5700) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz de circuito cerrado.

(QFX5100, QFX5110) Si utiliza filtros de firewall para implementar el filtrado MAC en un entorno EVPN-VXLAN, consulte Filtrado mac, control de tormentas y compatibilidad de duplicación de puertos en un entorno EVPN-VXLAN para conocer las condiciones de coincidencia compatibles.

(QFX5100, QFX5110) Para cada filtro de firewall que aplique a una VXLAN, puede especificar family ethernet-switching que se filtren paquetes de capa 2 (Ethernet) o family inet que se filtren en interfaces IRB. No puede aplicar un filtro de firewall en la dirección de salida en interfaces IRB.

En conmutadores que no admitan funciones de capa 2, use solo aquellas condiciones de coincidencia que sean válidas para interfaces IPv4 e IPv6.

(QFX5120, EX4650) A partir de Junos versión 21.4R1, se admiten las siguientes condiciones de coincidencia en un entorno EVPN-VXLAN en QFX5120 y EX4650: gbp-src-tagy gbp-dst-tag.

A partir de Junos OS versión 21.4R1, se admiten las condiciones de origen-puerto-rango-optimización y destino-puerto-rango-optimización en [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] el nivel jerárquico. Esto reduce considerablemente el uso de espacio TCAM. En los conmutadores QFX5100 con condiciones de coincidencia de origen-puerto-rango-optimización y destino-puerto-rango-optimización, se admiten hasta 24 condiciones de coincidencia de rango de puerto de origen y de puerto de destino no contiguos. Si se configuran más de 24 condiciones de coincidencia no contiguas, es posible que se produzca un error.

A partir de Junos versión 22.4R1, se admiten las siguientes condiciones de coincidencia para el etiquetado de GBP en un entorno EVPN-VXLAN en conmutadores de la serie EX4100, EX4400, EX4650 y QFX5120 compatibles: ip-version ipv4, ip-version ipv6, mac-address, vlan-id, interface + vlan-id combinación, y interface.

A partir de junos versión 23.2R1, se admiten nuevas coincidencias L4 IPV4 e IPv6 para la aplicación de políticas en los conmutadores serie EX4100, EX4400, serie EX4650, QFX5120-32C y QFX5120-48Y.

Tabla 1: Condiciones de coincidencia compatibles para filtros de firewall

Condición de coincidencia

Descripción

Dirección e interfaz

arp-type

Paquete de solicitud ARP o paquete de respuesta ARP.

Interfaces de salida e entrada.

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

destination-mac-address mac-address

Dirección MAC de destino del paquete.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Puertos de salida y VLAN.

destination-port value

Campo de puerto de destino TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. Para los siguientes puertos conocidos, puede especificar sinónimos de texto (los números de puerto también se enumeran):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513), las

xdmcp (177), las

zephyr-clt (2103), zephyr-hm (2104)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

destination-port range-optimize range

Coincida con un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No se admite con reenvío basado en filtros.)

Puertos de entrada, VLAN, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en forma hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

  • be—mejor esfuerzo (por defecto)

  • ef (46)—como se define en el RFC 3246, PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ether-type value

Campo tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

  • aarp (0x80F3)—Valor EtherType AARP

  • appletalk (0x809B)—Valor EtherType AppleTalk

  • arp (0x0806)—Valor EtherType ARP

  • fcoe (0x8906)—Valor EtherType FCoE

  • fip (0x8914)—Valor EtherType FIP

  • ipv4 (0x0800)—Valor EtherType IPv4

  • ipv6 (0x08DD)—Valor EtherType IPv6

  • mpls-multicast (0x8848)—Valor EtherType MPLS multidifusión

  • mpls-unicast (0x8847)—Valor EtherType MPLS unidifusión

  • oam (0x88A8)—Valor EtherType OAM

  • ppp (0x880B)—Valor EtherType PPP

  • pppoe-discovery (0x8863)—Etapa de descubrimiento de PPPoE del valor EtherType

  • pppoe-session (0x8864)—Valor EtherType PPPoE Etapa de sesión

  • sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

egress-to-ingress

Incluya esta opción para aumentar la cantidad de términos de filtro de firewall VLAN de salida de 1024 a 2048.

Interfaces VLAN de salida IPv4 (inet) e interfaces IPv6 (inet6).

exp

Coincidencia en bits EXP de MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

fragment-flags value

Indicadores de fragmentación de IP. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los valores hexadecimales):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Puertos de entrada y VLAN.

gbp-dst-tag

Haga coincidir la etiqueta de destino, para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

No aplica

gbp-src-tag

Haga coincidir la etiqueta de origen, para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

No aplica

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor para junto con un valor para icmp-typeicmp-code. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

  • IPv4: problema de parámetros—ip-header-bad (0), required-option-missing (1)

  • IPv6: problema de parámetros—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4: inalcanzable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2), fragmentation-needed (4)port-unreachable (3)destination-network-unknown (6)source-route-failed (5), destination-network-prohibited (9)source-host-isolated (8)destination-host-unknown (7)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)destination-host-prohibited (10), , , host-precedence-violation (14)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

  • IPv6: inalcanzable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0)port-unreachable (4)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

hop-limit value

Coincida con el límite de salto especificado o el conjunto de límites de salto. Especifique un solo valor o un rango de valores del 0 al 255.

Interfaces IPv6 (inet6) de entrada y salida.

Nota:

No se admite en la dirección de salida en los conmutadores QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 y QFX5210.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

Haga coincidir la dirección de origen o destino IPv4 o IPv6 para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Entrada y salida (en todo el sistema).

ip-version ipv4 destination-port DST_PORT

Haga coincidir el puerto de destino TCP/UDP, para su uso con las coincidencias L4 del filtro de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 source-port SRC_PORT

Haga coincidir el puerto de origen TCP/UDP, para su uso con las coincidencias L4 del filtro de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 ip-protocol PROTOCOL

Haga coincidir el tipo de protocolo IP, para su uso con las coincidencias L4 del filtro de política gbp, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 is-fragment

Haga coincidir si el paquete es un fragmento, para su uso con L4 del filtro de política GBP coincide, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 fragment-flag FLAGS

Haga coincidir las marcas de fragmentos (en formatos simbólicos o hex), para su uso con las coincidencias L4 del filtro de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 ttlValue

Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255. Para usar con coincidencias L4 del filtro de política gbp, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 tcp-flagsFLAGS

Haga coincidir una o más marcas TCP (en formatos simbólicos o hex), para su uso con la política de GBP coincide con L4, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 tcp-initial

Coincida con el primer paquete TCP de una conexión. Para usar con las coincidencias de L4 de la política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv4 tcp-established

Haga coincidir los paquetes de una conexión TCP establecida, para su uso con las coincidencias de L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv6 source-port SRC_PORT

Haga coincidir el puerto de origen TCP/UDP, para su uso con las coincidencias L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv6 destination-port DST_PORT

Haga coincidir el puerto de destino TCP/UDP, para su uso con las coincidencias L4 del filtro de política gbp, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv6 next-header PROTOCOL

Haga coincidir el siguiente tipo de protocolo de encabezado, para su uso con las coincidencias L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv6 tcp-flagsFLAGS

Haga coincidir las marcas TCP, para su uso con las coincidencias L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv6 tcp-initial

Haga coincidir los paquetes iniciales de una conexión TCP establecida, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

ip-version ipv6 tcp-established

Haga coincidir los paquetes de una conexión TCP establecida, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

icmp-type value

Campo de tipo de mensaje ICMP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match para determinar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4)redirect (5), , echo-request (8)IPv4 (inet)-advertisement (9), , IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), , timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4)echo-request (128), echo-reply (129), , membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), , router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), router-renumbering (138), node-information-request (139)redirect (137)node-information-reply (140)

Consulte también icmp-code variable.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o de una unidad lógica.

Nota:

No se puede utilizar una interfaz desde la que se envía un paquete como condición de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN.

ip6-destination-address address

Dirección IPv6 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y una VLAN que incluya ese puerto).)

ip-options

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ip-protocol number

Campo de protocolo IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

ip6-source-address address

Dirección IPv6 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y una VLAN que incluya ese puerto).)

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.

Puertos de entrada y VLAN.

is-fragment

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

l2-encap-type llc-non-snap

Coincidencia en paquetes de capa de control de vínculos lógicos (LLC) para el tipo de encapsulación Ethernet del Protocolo de acceso no subred (SNAP).

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

label

Coincida en bits de etiqueta MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

learn-vlan-id number

Hace coincidir el ID de una VLAN normal o el ID de la VLAN externa (de servicio) (para VLAN Q-in-Q). Los valores aceptables son 1-4095.

Nota:

No se admite en conmutadores QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5220, EX4600, EX4650, EX4400, EX4100 y EX4300-MP . Use la user-vlan-id condición de coincidencia para que coincida con el ID de VLAN externo.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

mac-address mac-address

Haga coincidir la dirección mac de control de acceso de medios de origen para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

Entrada y salida (para todo el sistema)

.

next-header

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 (inet6) de salida.

packet-length

Longitud del paquete en bytes. Debe especificar un valor entre 0 y 65535.

Interfaces de puertos de entrada, VLAN, IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 (inet) de salida.

payload-protocol

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Nota:

No compatible con los conmutadores QFX3500, QFX3600, QFX5100, QFX5110, QFX5200, QFX5210.

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 (inet6) de salida.

Port qualifier

El calificador de puerto instalará dos entradas en el motor de reenvío de paquetes. Uno con el puerto de origen y el segundo con el puerto de destino.

Interfaces de puertos de entrada, VLAN, IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 (inet) de salida.

precedence value

Bits de prioridad IP en el byte de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede usar para diffServ DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

protocol type

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

rat-type tech-type-value

Coincida con el tipo de tecnología de acceso por radio (RAT) especificado en el campo Tech-Type de 8 bits de la extensión de tipo de tecnología de acceso móvil proxy IPv4 (PMIPv4). El tipo de tecnología especifica la tecnología de acceso mediante la cual el dispositivo móvil está conectado a la red de acceso. Especifique un único valor, un rango de valores o un conjunto de valores. Puede especificar un tipo de tecnología como un valor numérico del 0 al 255 o como una palabra clave del sistema.

  • El valor numérico 1 coincide con IEEE 802.3.

  • El valor numérico 2 coincide con IEEE 802.11a/b/g.

  • El valor numérico 3 coincide con IEEE 802.16e

  • El valor numérico 4 coincide con IEEE 802,16 m.

  • La cadena de eutran texto coincide con 4G.

  • La cadena de geran texto coincide con 2G.

  • La cadena de utran texto coincide con 3G.

Interfaces IPv4 (inet) de salida e entrada.

sample

Muestra del tráfico de paquetes. Aplique esta opción solo si ha habilitado el muestreo de tráfico.

Interfaces IPv4 (inet) de salida e entrada.

source-address ip-address

Campo de dirección ip de origen, que es la dirección del nodo que envió el paquete.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

source-mac-address mac-address

Dirección MAC del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

source-port value

Puerto de origen TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida .

source-port range-optimize range

Coincida con un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No se admite con reenvío basado en filtros.)

Puertos de entrada, VLAN, interfaces IPv4 (inet).

source-prefix-list prefix-list

Lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-established

Hace coincidir los paquetes de una conexión de enlace tcp de tres vías establecida (SYN, SYN-ACK, ACK). El único paquete que no coincide es el primer paquete de la apretón de manos, ya que solo se establece el bit SYN. Para este paquete, debe especificar tcp-initial como condición de coincidencia.

Cuando se especifica tcp-established, el conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-flags value

Uno o más indicadores TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-initial

Coincida con el primer paquete TCP de una conexión. Se produce una coincidencia cuando el indicador SYN TCP está establecido y el indicador ACK TCP no está establecido.

Cuando especifica tcp-initial, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 (inet6) de salida.

ttl value

Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255.

Interfaces IPv4 (inet) de entrada.

Interfaces IPv4 (inet) de salida.

user-vlan-1p-priority value

Hace coincidir la prioridad de VLAN 802.1p especificada en el intervalo 0-7.

Puertos de entrada y salida y VLAN.

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Nota:

Para conmutadores QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600, EX4650, EX4400, EX4100 y EX4300-MP , use para que user-vlan-id coincida con el ID de la VLAN externa.

Para los conmutadores de la serie QFX5220 y los enrutadores serie MX y ACX, use para coincidir learn-vlan-id con el ID de la VLAN externa y user-vlan-id para coincidir con el ID de la VLAN interna. Anteriormente, se podía usar para que user-vlan-id coincida con el ID de VLAN externo.

Puertos de entrada y salida y VLAN.

vlan-id <vlan id>

Haga coincidir el identificador de VLAN para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

Entrada y salida (para todo el sistema)

Use then instrucciones para definir acciones que deberían producirse si un paquete coincide con todas las condiciones de una from instrucción. Tabla 2 muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.)

Tabla 2: Acciones para filtros de firewall

Acción

Descripción

accept

Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.

discard

Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, o tcp-reset.

Si especifica tcp-reset, el sistema envía un restablecimiento TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces de entrada.

routing-instance instance-name

Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual.

vlan VLAN-name

Reenviar paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en interfaces de entrada.

Nota:

Esta acción no se admite en conmutadores de la serie OCX.

También puede especificar los modificadores de acciones enumerados Tabla 3 para contar, reflejar, límite de velocidad y clasificar paquetes.

Tabla 3: Modificadores de acción para filtros de firewall

Modificador de acción

Descripción

analyzer analyzer-name

(Plataformas que no son ELS) Espejo de tráfico (copiar paquetes) en un analizador configurado en el [edit ethernet-switching-options analyzer] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

count counter-name

Cuente la cantidad de paquetes que coincidan con el término.

decapsulate [gre | routing-instance]

Desencapsular paquetes GRE o reenviar paquetes GRE desencapsulados a la instancia de enrutamiento especificada

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en forma hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

  • be—mejor esfuerzo (por defecto)

  • ef (46)—como se define en el RFC 3246, PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

gbp-src-tag

(Solo QFX5120 y EX4650)

Establezca la etiqueta de origen de política basada en grupo (0..65535) para su uso con microsegmentación en VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

gbp-tag

(EX4100, EX4400, EX4650 y QFX5120)

Establezca la etiqueta de origen de política basada en grupo (1..65535) para su uso con microsegmentación en VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

Nota: Se aplica a las versiones 22.4R1 y posteriores de Junos OS.

interface

Cambie el tráfico a la interfaz especificada sin realizar una búsqueda en ella. Esta acción solo es válida cuando el filtro se aplica en la entrada.

log

Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando de show firewall log modo operativo.

Nota:

El log modificador de acción solo se admite en interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo se admite en interfaces de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con la policer acción.

policer policer-name

Enviar paquetes a un agente de policía (con el propósito de aplicar una limitación de velocidad).

Puede especificar un agente de policía para el puerto de entrada, VLAN, IPv4 (inet), IPv6 (inet6) y filtros MPLS.

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

port-mirror

(Plataformas ELS) Espejo de tráfico (copiar paquetes) en una interfaz de salida configurada en una instancia de duplicación de puerto en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(Plataformas ELS) Espejo de tráfico en una instancia de duplicación de puerto configurada en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

Nota:

Este modificador de acción no se admite en conmutadores de la serie OCX.

syslog

Registre una alerta para este paquete.

Nota:

El syslog modificador de acción solo se admite en interfaces de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar una limitación de velocidad).

Puede especificar un policiar de tres colores para los filtros de entrada y salida, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

Condiciones y acciones de coincidencia de filtro de firewall (QFX5220 y QFX5130-32CD)

En este tema, se describen las condiciones de coincidencia de filtros de firewall compatibles, acciones y modificadores de acción para los conmutadores QFX5220-CD, QFX5220-128C y QFX5130-32CD.

Cada término en un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse coincidencia. Puede definir condiciones de coincidencia única o varias en instrucciones de coincidencia. También puede incluir instrucción no match, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, un conmutador realiza la acción especificada en el término. Si no aplica ninguna condición de coincidencia, el conmutador acepta el paquete de forma predeterminada.

  • Tabla 4 muestra las condiciones de coincidencia para las interfaces IPv4 (inet) y IPv6 (inet6). También contiene las condiciones de coincidencia para puertos y VLAN (ethernet-switching).

  • Tabla 5 muestra las acciones y los modificadores de acciones que puede especificar en un término.

Nota:

En el caso de las condiciones de coincidencia, algunas de las condiciones de intervalo numérico y de coincidencia de campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, escriba ? en el lugar adecuado de una instrucción.

Tabla 4: Condiciones de coincidencia compatibles (conmutadores QFX5220 y QFX5130-32CD)

Condición de coincidencia

Descripción

Dirección e interfaz

arp-type

Paquete de solicitud ARP o un paquete de respuesta ARP.

Puertos de entrada y salida y VLAN

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN

destination-mac-address mac-address

Dirección MAC de destino del paquete.

Puertos de entrada y salida y VLAN

destination-port value

Campo de puerto de destino TCP o UDP. Debe especificar esta coincidencia con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

Para los siguientes puertos y números de puerto conocidos, puede especificar sinónimos de texto.

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513), las

xdmcp (177), las

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN

destination-port range-optimize range

Coincida con un rango de los rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No se admite con reenvío basado en filtros.)

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN.

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en forma hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto y campo enumerados.

  • be—mejor esfuerzo (por defecto)

  • ef (46)—como se define en el RFC 3246, PHB de reenvío acelerado.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces IPv4 de entrada y salida

Puertos de entrada y VLAN

ether-type value

Campo tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes. También se muestran los valores de campo.

  • aarp (0x80F3)—Valor EtherType AARP

  • appletalk (0x809B)—Valor EtherType AppleTalk

  • arp (0x0806)—Valor EtherType ARP

  • fcoe (0x8906)—Valor EtherType FCoE

  • fip (0x8914)—Valor EtherType FIP

  • ipv4 (0x0800)—Valor EtherType IPv4

  • ipv6 (0x08DD)—Valor EtherType IPv6

  • mpls-multicast (0x8848)—Valor EtherType MPLS multidifusión

  • mpls-unicast (0x8847)—Valor EtherType MPLS unidifusión

  • oam (0x88A8)—Valor EtherType OAM

  • ppp (0x880B)—Valor EtherType PPP

  • pppoe-discovery (0x8863)—Etapa de descubrimiento de PPPoE del valor EtherType

  • pppoe-session (0x8864)—Valor EtherType PPPoE Etapa de sesión

  • sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y salida y VLAN

primer fragmento

Coincida si el paquete es el primer fragmento de un paquete fragmentado. Evita que coincida con el paquete si es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmento de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia de campo de bits de la condición de coincidencia de fragmento y desplazamiento 0.

Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes: first-fragment y is-fragment.

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor para junto con un valor para icmp-typeicmp-code. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

  • IPv4: problema de parámetros—ip-header-bad (0), required-option-missing (1)

  • IPv6: problema de parámetros—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4: inalcanzable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2), fragmentation-needed (4)port-unreachable (3)destination-network-unknown (6)source-route-failed (5), destination-network-prohibited (9)source-host-isolated (8)destination-host-unknown (7)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)destination-host-prohibited (10), , , host-precedence-violation (14)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

  • IPv6: inalcanzable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0)port-unreachable (4)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

icmp-type value

Campo de tipo de mensaje ICMP. Debe especificar esta coincidencia junto con la protocol instrucción match. Esta coincidencia determina qué protocolo se utiliza en el puerto para el tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4)redirect (5), , echo-request (8)IPv4 (inet)-advertisement (9), , IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), , timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4)echo-request (128), echo-reply (129), , membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), , router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), router-renumbering (138), node-information-request (139)redirect (137)node-information-reply (140)

Consulte también icmp-code variable.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o de una unidad lógica.

Nota:

No se puede utilizar una interfaz desde la que se envía un paquete como condición de coincidencia.

Puertos de entrada y VLAN

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN

ip-options

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Interfaces IPv4 de entrada

ip-protocol number

Campo de protocolo IP.

Puertos de entrada y VLAN

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Puertos de entrada y VLAN

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.

Puertos de entrada y VLAN

is-fragment

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Interfaces IPv4 de entrada y salida (QX5220)

Interfaces IPv4 de entrada (QFX5130)

learn-vlan-id number

Identificador VLAN para el aprendizaje de MAC.

Puertos de entrada y salida y VLAN (QFX5220)

Puertos de entrada y VLANS (QFX5130)

learn-vlan-1p-priority value

Coincidencia en los bits de prioridad de VLAN aprendidos ieee 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de etiqueta dual con etiquetas VLAN 802.1Q). Especifique un solo valor o varios valores del 0 al 7.

Puertos de entrada y VLAN

next-header

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 de entrada y salida

packet-length

Longitud del paquete en bytes. Debe especificar un valor entre 0 y 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de prioridad IP en el byte de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede usar para diffServ DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada y salida

protocol type

Valor de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Interfaces IPv4 de entrada y salida.

Interfaces IPv4 de entrada y VLAN

source-address ip-address

Campo de dirección ip de origen, que es la dirección del nodo que envió el paquete.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-mac-address mac-address

Dirección MAC del paquete.

Interfaces IPv4 de entrada y salida y VLAN

source-port value

Puerto de origen TCP o UDP. Debe especificar esta coincidencia junto con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-port range-optimize range

Coincida con un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No se admite con reenvío basado en filtros.)

Interfaces IPv4 de entrada

source-prefix-list prefix-list

Lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

tcp-established

Coincida con paquetes TCP de una sesión TCP establecida (paquetes distintos del primer paquete de una conexión). Este es un alias para tcp-flags "(ack | rst)".

Esta condición de coincidencia no comprueba implícitamente que el protocolo sea TCP. Para comprobar esto, especifique la condición de protocol tcp coincidencia.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida (QFX5130)

Interfaces IPv6 de entrada (QFX5130)

tcp-flags value

Indicadores TCP (solo se admite un valor):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

tcp-initial

Coincida con el primer paquete TCP de una conexión. Se produce una coincidencia cuando el indicador SYN TCP está establecido y el indicador ACK TCP no está establecido.

Cuando especifica tcp-initial, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia. Consulte protocol type.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida, interfaces IPv6 de entrada (QFX5130)

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 de entrada y salida

ttl value

Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255.

Interfaces IPv4 de entrada y salida

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Puertos de entrada y VLAN (QFX5130)

user-vlan-1p-priority value

Hace coincidir la prioridad de VLAN 802.1p especificada en el intervalo 0-7.

Puertos de entrada y VLAN (QFX5130)

Use then instrucciones para definir acciones que deberían producirse si un paquete coincide con todas las condiciones de una from instrucción. Tabla 5 Muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.)

Nota:

Para las interfaces IPv4 de salida, las interfaces IPv6 y los puertos de salida, solo puede aplicar las acciones de aceptar, descartar y contar. En el caso de las VLAN de salida, solo puede aplicar la acción aceptar.

Tabla 5: Modificadores de acciones y acciones

Acción

Descripción

accept

Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.

apply-groups-except

Especifique de qué grupos no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.

count counter-name

Cuente la cantidad de paquetes que coincidan con el término.

discard

Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

log

Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando de show firewall log modo operativo.

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo se admite en interfaces IPv4 de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con la policer acción.

policer policer-name

Enviar paquetes a un agente de policía (con el propósito de aplicar una limitación de velocidad).

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

port-mirror

Espejo de tráfico (copiar paquetes) en una interfaz de salida configurada en una instancia de duplicación de puerto en el [edit forwarding-options port-mirroring] nivel jerárquico.

port-mirror-instance port-mirror-instance-name

Espejo de tráfico en una instancia de duplicación de puerto configurada en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces IPv4 de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar una limitación de velocidad).

Nota:

El policer modificador de acción no se admite en combinación con la loss-priority acción.

Nota:

No color-aware se admiten los policías ni color-blind . De forma predeterminada, el tráfico se trata como color-blind.

vlan VLAN-name

Reenviar paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en puertos de entrada y VLAN.

Esta acción no se admite en conmutadores QFX5130.