Condiciones y acciones de coincidencia de filtro de firewall (conmutadores de las series QFX y EX)

(QFX5100, QFX5110, QFX5200) Cuando se usa reenvío basado en filtros en interfaces IPv6, solo se admiten estas condiciones de coincidencia en la (dirección de entrada): source-address, destination-address, source-prefix-listdestination-prefix-list, source-port, destination-port, hop-limit, , icmp-type, y next-header.

(QFX5110) Cuando se habilita la egress-to-ingress opción en la [edit firewall] jerarquía, solo acceptse admiten , discard, y count las acciones.

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700) En un entorno EVPN-VXLAN, solo se admiten estas condiciones de coincidencia: source-address, destination-address, source-port, destination-portttl, , ip-protocol, y user-vlan-id.

(QFX5100, QFX5110, QFX5200) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz IRB EVPN-VXLAN.

(QFX5700) No puede aplicar un filtro de firewall en la dirección de salida en una interfaz de circuito cerrado.

(QFX5100, QFX5110) Si utiliza filtros de firewall para implementar el filtrado MAC en un entorno EVPN-VXLAN, consulte Filtrado mac, control de tormentas y compatibilidad de duplicación de puertos en un entorno EVPN-VXLAN para conocer las condiciones de coincidencia compatibles.

(QFX5100, QFX5110) Para cada filtro de firewall que aplique a una VXLAN, puede especificar family ethernet-switching que se filtren paquetes de capa 2 (Ethernet) o family inet que se filtren en interfaces IRB. No puede aplicar un filtro de firewall en la dirección de salida en interfaces IRB.

En conmutadores que no admitan funciones de capa 2, use solo aquellas condiciones de coincidencia que sean válidas para interfaces IPv4 e IPv6.

(QFX5120, EX4650) A partir de Junos versión 21.4R1, se admiten las siguientes condiciones de coincidencia en un entorno EVPN-VXLAN en QFX5120 y EX4650: gbp-src-tagy gbp-dst-tag.

A partir de Junos OS versión 21.4R1, se admiten las condiciones de origen-puerto-rango-optimización y destino-puerto-rango-optimización en [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] el nivel jerárquico. Esto reduce considerablemente el uso de espacio TCAM. En los conmutadores QFX5100 con condiciones de coincidencia de origen-puerto-rango-optimización y destino-puerto-rango-optimización, se admiten hasta 24 condiciones de coincidencia de rango de puerto de origen y de puerto de destino no contiguos. Si se configuran más de 24 condiciones de coincidencia no contiguas, es posible que se produzca un error.

A partir de Junos versión 22.4R1, se admiten las siguientes condiciones de coincidencia para el etiquetado de GBP en un entorno EVPN-VXLAN en conmutadores de la serie EX4100, EX4400, EX4650 y QFX5120 compatibles: ip-version ipv4, ip-version ipv6, mac-address, vlan-id, interface + vlan-id combinación, y interface.

A partir de junos versión 23.2R1, se admiten nuevas coincidencias L4 IPV4 e IPv6 para la aplicación de políticas en los conmutadores serie EX4100, EX4400, serie EX4650, QFX5120-32C y QFX5120-48Y.

arp-type

Paquete de solicitud ARP o paquete de respuesta ARP.

Interfaces de salida e entrada.

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

destination-mac-address mac-address

Dirección MAC de destino del paquete.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Puertos de salida y VLAN.

destination-port value

Campo de puerto de destino TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. Para los siguientes puertos conocidos, puede especificar sinónimos de texto (los números de puerto también se enumeran):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513), las

xdmcp (177), las

zephyr-clt (2103), zephyr-hm (2104)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

destination-port range-optimize range

Coincida con un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No se admite con reenvío basado en filtros.)

Puertos de entrada, VLAN, interfaces IPv4 (inet).

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en forma hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

• be—mejor esfuerzo (por defecto)

• ef (46)—como se define en el RFC 3246, PHB de reenvío acelerado.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado.

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ether-type value

Campo tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

• aarp (0x80F3)—Valor EtherType AARP

• appletalk (0x809B)—Valor EtherType AppleTalk

• arp (0x0806)—Valor EtherType ARP

• fcoe (0x8906)—Valor EtherType FCoE

• fip (0x8914)—Valor EtherType FIP

• ipv4 (0x0800)—Valor EtherType IPv4

• ipv6 (0x08DD)—Valor EtherType IPv6

• mpls-multicast (0x8848)—Valor EtherType MPLS multidifusión

• mpls-unicast (0x8847)—Valor EtherType MPLS unidifusión

• oam (0x88A8)—Valor EtherType OAM

• ppp (0x880B)—Valor EtherType PPP

• pppoe-discovery (0x8863)—Etapa de descubrimiento de PPPoE del valor EtherType

• pppoe-session (0x8864)—Valor EtherType PPPoE Etapa de sesión

• sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

egress-to-ingress

Incluya esta opción para aumentar la cantidad de términos de filtro de firewall VLAN de salida de 1024 a 2048.

Interfaces VLAN de salida IPv4 (inet) e interfaces IPv6 (inet6).

exp

Coincidencia en bits EXP de MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

fragment-flags value

Indicadores de fragmentación de IP. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los valores hexadecimales):

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

Puertos de entrada y VLAN.

gbp-dst-tag

Haga coincidir la etiqueta de destino, para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

No aplica

gbp-src-tag

Haga coincidir la etiqueta de origen, para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

No aplica

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor para junto con un valor para icmp-typeicmp-code. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

• IPv4: problema de parámetros—ip-header-bad (0), required-option-missing (1)

• IPv6: problema de parámetros—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

• redirect—redirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

• IPv4: inalcanzable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2), fragmentation-needed (4)port-unreachable (3)destination-network-unknown (6)source-route-failed (5), destination-network-prohibited (9)source-host-isolated (8)destination-host-unknown (7)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)destination-host-prohibited (10), , , host-precedence-violation (14)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

• IPv6: inalcanzable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0)port-unreachable (4)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

hop-limit value

Coincida con el límite de salto especificado o el conjunto de límites de salto. Especifique un solo valor o un rango de valores del 0 al 255.

Interfaces IPv6 (inet6) de entrada y salida.

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

Haga coincidir la dirección de origen o destino IPv4 o IPv6 para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Entrada y salida (en todo el sistema).

Haga coincidir el puerto de destino TCP/UDP, para su uso con las coincidencias L4 del filtro de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir el puerto de origen TCP/UDP, para su uso con las coincidencias L4 del filtro de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir el tipo de protocolo IP, para su uso con las coincidencias L4 del filtro de política gbp, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir si el paquete es un fragmento, para su uso con L4 del filtro de política GBP coincide, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir las marcas de fragmentos (en formatos simbólicos o hex), para su uso con las coincidencias L4 del filtro de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255. Para usar con coincidencias L4 del filtro de política gbp, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir una o más marcas TCP (en formatos simbólicos o hex), para su uso con la política de GBP coincide con L4, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Coincida con el primer paquete TCP de una conexión. Para usar con las coincidencias de L4 de la política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir los paquetes de una conexión TCP establecida, para su uso con las coincidencias de L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir el puerto de origen TCP/UDP, para su uso con las coincidencias L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Haga coincidir el puerto de destino TCP/UDP, para su uso con las coincidencias L4 del filtro de política gbp, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Haga coincidir el siguiente tipo de protocolo de encabezado, para su uso con las coincidencias L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir las marcas TCP, para su uso con las coincidencias L4 de política de GBP, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir los paquetes iniciales de una conexión TCP establecida, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

Haga coincidir los paquetes de una conexión TCP establecida, como se describe en: Ejemplo: Segmentación de micro y macros mediante política basada en grupo en una VXLAN

Solo entrada.

icmp-type value

Campo de tipo de mensaje ICMP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match para determinar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4)redirect (5), , echo-request (8)IPv4 (inet)-advertisement (9), , IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), , timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4)echo-request (128), echo-reply (129), , membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), , router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), router-renumbering (138), node-information-request (139)redirect (137)node-information-reply (140)

Consulte también icmp-code variable.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o de una unidad lógica.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida e interfaces IPv6 (inet6).

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN.

ip6-destination-address address

Dirección IPv6 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y una VLAN que incluya ese puerto).)

ip-options

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ip-protocol number

Campo de protocolo IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

ip6-source-address address

Dirección IPv6 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio de coincidencia a un puerto de capa 2 y una VLAN que incluya ese puerto).)

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.

Puertos de entrada y VLAN.

is-fragment

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

l2-encap-type llc-non-snap

Coincidencia en paquetes de capa de control de vínculos lógicos (LLC) para el tipo de encapsulación Ethernet del Protocolo de acceso no subred (SNAP).

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

label

Coincida en bits de etiqueta MPLS.

Interfaces MPLS de entrada.

Interfaces MPLS de salida.

learn-vlan-id number

Hace coincidir el ID de una VLAN normal o el ID de la VLAN externa (de servicio) (para VLAN Q-in-Q). Los valores aceptables son 1-4095.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

mac-address mac-address

Haga coincidir la dirección mac de control de acceso de medios de origen para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

Entrada y salida (para todo el sistema)

next-header

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 (inet6) de salida.

packet-length

Longitud del paquete en bytes. Debe especificar un valor entre 0 y 65535.

Interfaces de puertos de entrada, VLAN, IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 (inet) de salida.

payload-protocol

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 (inet6) de salida.

Port qualifier

El calificador de puerto instalará dos entradas en el motor de reenvío de paquetes. Uno con el puerto de origen y el segundo con el puerto de destino.

Interfaces de puertos de entrada, VLAN, IPv4 (inet) e IPv6 (inet6).

Interfaces IPv4 (inet) de salida.

precedence value

Bits de prioridad IP en el byte de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede usar para diffServ DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

protocol type

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces IPv4 (inet) de salida.

rat-type tech-type-value

Coincida con el tipo de tecnología de acceso por radio (RAT) especificado en el campo Tech-Type de 8 bits de la extensión de tipo de tecnología de acceso móvil proxy IPv4 (PMIPv4). El tipo de tecnología especifica la tecnología de acceso mediante la cual el dispositivo móvil está conectado a la red de acceso. Especifique un único valor, un rango de valores o un conjunto de valores. Puede especificar un tipo de tecnología como un valor numérico del 0 al 255 o como una palabra clave del sistema.

• El valor numérico 1 coincide con IEEE 802.3.

• El valor numérico 2 coincide con IEEE 802.11a/b/g.

• El valor numérico 3 coincide con IEEE 802.16e

• El valor numérico 4 coincide con IEEE 802,16 m.

• La cadena de eutran texto coincide con 4G.

• La cadena de geran texto coincide con 2G.

• La cadena de utran texto coincide con 3G.

Interfaces IPv4 (inet) de salida e entrada.

sample

Muestra del tráfico de paquetes. Aplique esta opción solo si ha habilitado el muestreo de tráfico.

Interfaces IPv4 (inet) de salida e entrada.

source-address ip-address

Campo de dirección ip de origen, que es la dirección del nodo que envió el paquete.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

source-mac-address mac-address

Dirección MAC del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

source-port value

Puerto de origen TCP o UDP. Normalmente, se especifica esta coincidencia junto con la protocol instrucción match. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida .

source-port range-optimize range

Coincida con un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No se admite con reenvío basado en filtros.)

Puertos de entrada, VLAN, interfaces IPv4 (inet).

source-prefix-list prefix-list

Lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-established

Hace coincidir los paquetes de una conexión de enlace tcp de tres vías establecida (SYN, SYN-ACK, ACK). El único paquete que no coincide es el primer paquete de la apretón de manos, ya que solo se establece el bit SYN. Para este paquete, debe especificar tcp-initial como condición de coincidencia.

Cuando se especifica tcp-established, el conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-flags value

Uno o más indicadores TCP:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

tcp-initial

Coincida con el primer paquete TCP de una conexión. Se produce una coincidencia cuando el indicador SYN TCP está establecido y el indicador ACK TCP no está establecido.

Cuando especifica tcp-initial, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet).

Interfaces IPv4 (inet) de salida.

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 (inet6) de salida.

ttl value

Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255.

Interfaces IPv4 (inet) de entrada.

Interfaces IPv4 (inet) de salida.

user-vlan-1p-priority value

Hace coincidir la prioridad de VLAN 802.1p especificada en el intervalo 0-7.

Puertos de entrada y salida y VLAN.

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Puertos de entrada y salida y VLAN.

vlan-id <vlan id>

Haga coincidir el identificador de VLAN para su uso con microsegmentación en una VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

Entrada y salida (para todo el sistema)

accept

Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.

discard

Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, o tcp-reset.

Si especifica tcp-reset, el sistema envía un restablecimiento TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

routing-instance instance-name

Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual.

vlan VLAN-name

Reenviar paquetes coincidentes a una VLAN específica.

analyzer analyzer-name

(Plataformas que no son ELS) Espejo de tráfico (copiar paquetes) en un analizador configurado en el [edit ethernet-switching-options analyzer] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

count counter-name

Cuente la cantidad de paquetes que coincidan con el término.

decapsulate [gre | routing-instance]

Desencapsular paquetes GRE o reenviar paquetes GRE desencapsulados a la instancia de enrutamiento especificada

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en forma hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

• be—mejor esfuerzo (por defecto)

• ef (46)—como se define en el RFC 3246, PHB de reenvío acelerado.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado.

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

gbp-src-tag

(Solo QFX5120 y EX4650)

Establezca la etiqueta de origen de política basada en grupo (0..65535) para su uso con microsegmentación en VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

gbp-tag

(EX4100, EX4400, EX4650 y QFX5120)

Establezca la etiqueta de origen de política basada en grupo (1..65535) para su uso con microsegmentación en VXLAN, como se describe aquí: Ejemplo: Segmentación de micro y macros mediante la política basada en grupos en una VXLAN.

interface

Cambie el tráfico a la interfaz especificada sin realizar una búsqueda en ella. Esta acción solo es válida cuando el filtro se aplica en la entrada.

log

Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando de show firewall log modo operativo.

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

policer policer-name

Enviar paquetes a un agente de policía (con el propósito de aplicar una limitación de velocidad).

Puede especificar un agente de policía para el puerto de entrada, VLAN, IPv4 (inet), IPv6 (inet6) y filtros MPLS.

port-mirror

(Plataformas ELS) Espejo de tráfico (copiar paquetes) en una interfaz de salida configurada en una instancia de duplicación de puerto en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(Plataformas ELS) Espejo de tráfico en una instancia de duplicación de puerto configurada en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

syslog

Registre una alerta para este paquete.

three-color-policer three-color-policer-name

Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar una limitación de velocidad).

Puede especificar un policiar de tres colores para los filtros de entrada y salida, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

arp-type

Paquete de solicitud ARP o un paquete de respuesta ARP.

Puertos de entrada y salida y VLAN

destination-address ip-address

Campo de dirección de destino IP, que es la dirección del nodo de destino final.

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN

destination-mac-address mac-address

Dirección MAC de destino del paquete.

Puertos de entrada y salida y VLAN

destination-port value

Campo de puerto de destino TCP o UDP. Debe especificar esta coincidencia con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

Para los siguientes puertos y números de puerto conocidos, puede especificar sinónimos de texto.

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513), las

xdmcp (177), las

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN

destination-port range-optimize range

Coincida con un rango de los rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de destino individuales. (No se admite con reenvío basado en filtros.)

Interfaces IPv4 de entrada

destination-prefix-list prefix-list

Campo de lista de prefijos de destino IP. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Interfaces IPv4 e IPv6 de entrada y salida

Puertos de entrada y VLAN.

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en forma hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto y campo enumerados.

• be—mejor esfuerzo (por defecto)

• ef (46)—como se define en el RFC 3246, PHB de reenvío acelerado.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado.

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces IPv4 de entrada y salida

Puertos de entrada y VLAN

ether-type value

Campo tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes. También se muestran los valores de campo.

• aarp (0x80F3)—Valor EtherType AARP

• appletalk (0x809B)—Valor EtherType AppleTalk

• arp (0x0806)—Valor EtherType ARP

• fcoe (0x8906)—Valor EtherType FCoE

• fip (0x8914)—Valor EtherType FIP

• ipv4 (0x0800)—Valor EtherType IPv4

• ipv6 (0x08DD)—Valor EtherType IPv6

• mpls-multicast (0x8848)—Valor EtherType MPLS multidifusión

• mpls-unicast (0x8847)—Valor EtherType MPLS unidifusión

• oam (0x88A8)—Valor EtherType OAM

• ppp (0x880B)—Valor EtherType PPP

• pppoe-discovery (0x8863)—Etapa de descubrimiento de PPPoE del valor EtherType

• pppoe-session (0x8864)—Valor EtherType PPPoE Etapa de sesión

• sna (0x80D5)—Valor EtherType SNA

Puertos de entrada y salida y VLAN

Coincida si el paquete es el primer fragmento de un paquete fragmentado. Evita que coincida con el paquete si es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmento de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia de campo de bits de la condición de coincidencia de fragmento y desplazamiento 0.

Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes: first-fragment y is-fragment.

Interfaces IPv4 de entrada

icmp-code value

Campo de código ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor para junto con un valor para icmp-typeicmp-code. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

• IPv4: problema de parámetros—ip-header-bad (0), required-option-missing (1)

• IPv6: problema de parámetros—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

• redirect—redirect-for-network (0), redirect-for-host (1), , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

• IPv4: inalcanzable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2), fragmentation-needed (4)port-unreachable (3)destination-network-unknown (6)source-route-failed (5), destination-network-prohibited (9)source-host-isolated (8)destination-host-unknown (7)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)destination-host-prohibited (10), , , host-precedence-violation (14)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

• IPv6: inalcanzable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0)port-unreachable (4)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

icmp-type value

Campo de tipo de mensaje ICMP. Debe especificar esta coincidencia junto con la protocol instrucción match. Esta coincidencia determina qué protocolo se utiliza en el puerto para el tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4)redirect (5), , echo-request (8)IPv4 (inet)-advertisement (9), , IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), , timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4)echo-request (128), echo-reply (129), , membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), , router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), router-renumbering (138), node-information-request (139)redirect (137)node-information-reply (140)

Consulte también icmp-code variable.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o de una unidad lógica.

Puertos de entrada y VLAN

ip-destination-address address

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Puertos de entrada y VLAN

ip-options

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Interfaces IPv4 de entrada

ip-protocol number

Campo de protocolo IP.

Puertos de entrada y VLAN

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Puertos de entrada y VLAN

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o a una interfaz VLAN.

Puertos de entrada y VLAN

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Interfaces IPv4 de entrada y salida (QX5220)

Interfaces IPv4 de entrada (QFX5130)

Identificador VLAN para el aprendizaje de MAC.

Puertos de entrada y salida y VLAN (QFX5220)

Puertos de entrada y VLANS (QFX5130)

Coincidencia en los bits de prioridad de VLAN aprendidos ieee 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de etiqueta dual con etiquetas VLAN 802.1Q). Especifique un solo valor o varios valores del 0 al 7.

Puertos de entrada y VLAN

next-header

Valor de protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv6 de entrada y salida

packet-length

Longitud del paquete en bytes. Debe especificar un valor entre 0 y 65535.

Interfaces IPv4 e IPv6 de entrada

precedence value

Bits de prioridad IP en el byte de tipo de servicio (ToS) en el encabezado IP. (Este byte también se puede usar para diffServ DSCP.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

Interfaces IPv4 de entrada y salida

protocol type

Valor de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)tcp (4)

Interfaces IPv4 de entrada y salida.

Interfaces IPv4 de entrada y VLAN

source-address ip-address

Campo de dirección ip de origen, que es la dirección del nodo que envió el paquete.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-mac-address mac-address

Dirección MAC del paquete.

Interfaces IPv4 de entrada y salida y VLAN

source-port value

Puerto de origen TCP o UDP. Debe especificar esta coincidencia junto con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el next-header tráfico IPv6.

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

source-port range-optimize range

Coincida con un rango de rangos de puertos TCP o UDP mientras usa la memoria disponible de manera más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configura puertos de origen individuales. (No se admite con reenvío basado en filtros.)

Interfaces IPv4 de entrada

source-prefix-list prefix-list

Lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

Coincida con paquetes TCP de una sesión TCP establecida (paquetes distintos del primer paquete de una conexión). Este es un alias para tcp-flags "(ack | rst)".

Esta condición de coincidencia no comprueba implícitamente que el protocolo sea TCP. Para comprobar esto, especifique la condición de protocol tcp coincidencia.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida (QFX5130)

Interfaces IPv6 de entrada (QFX5130)

tcp-flags value

Indicadores TCP (solo se admite un valor):

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Interfaces IPv4 de entrada y salida

Interfaces IPv6 de entrada

Puertos de entrada y VLAN

Coincida con el primer paquete TCP de una conexión. Se produce una coincidencia cuando el indicador SYN TCP está establecido y el indicador ACK TCP no está establecido.

Cuando especifica tcp-initial, un conmutador no verifica implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia. Consulte protocol type.

Interfaces IPv4 de entrada y salida (QFX5220)

Interfaces IPv4 de entrada y salida, interfaces IPv6 de entrada (QFX5130)

traffic-class

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 de entrada y salida

ttl value

Campo de tiempo de vida (TTL) de IP en decimal. El valor puede ser 1-255.

Interfaces IPv4 de entrada y salida

user-vlan-id number

Hace coincidir el ID de la VLAN interna (cliente) para una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Puertos de entrada y VLAN (QFX5130)

user-vlan-1p-priority value

Hace coincidir la prioridad de VLAN 802.1p especificada en el intervalo 0-7.

Puertos de entrada y VLAN (QFX5130)

accept

Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.

apply-groups-except

Especifique de qué grupos no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.

count counter-name

Cuente la cantidad de paquetes que coincidan con el término.

discard

Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando de show firewall log modo operativo.

loss-priority (low | medium-low | medium-high | high)

Establezca la prioridad de pérdida de paquetes (PLP).

policer policer-name

Enviar paquetes a un agente de policía (con el propósito de aplicar una limitación de velocidad).

port-mirror

Espejo de tráfico (copiar paquetes) en una interfaz de salida configurada en una instancia de duplicación de puerto en el [edit forwarding-options port-mirroring] nivel jerárquico.

port-mirror-instance port-mirror-instance-name

Espejo de tráfico en una instancia de duplicación de puerto configurada en el [edit forwarding-options port-mirroring] nivel jerárquico.

Puede especificar la duplicación de puerto solo para los filtros de puerto de entrada, VLAN y firewall IPv4 (inet).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensaje: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

three-color-policer three-color-policer-name

Enviar paquetes a un agente de policía de tres colores (con el propósito de aplicar una limitación de velocidad).

vlan VLAN-name

Reenviar paquetes coincidentes a una VLAN específica.