Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones y acciones de coincidencia de filtro de firewall (conmutadores serie QFX y EX)

Condiciones y acciones de coincidencia de filtro de Firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650)

Cada término en un filtro de Firewall se compone de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y los valores que un paquete debe contener para que se considere una coincidencia. Puede definir una o varias condiciones de coincidencia en instrucciones Match. También puede incluir ninguna instrucción Match, en cuyo caso el término coincidirá con todos los paquetes.

Cuando un paquete coincide con un filtro, un conmutador recibe la acción especificada en el término. Además, puede especificar modificadores de acciones para contar, reflejar, limitar el límite y clasificar los paquetes. Si no se especifican condiciones de coincidencia para el término, el conmutador acepta el paquete de forma predeterminada.

  • Tabla 1describe las condiciones de coincidencia que puede especificar al configurar un filtro de Firewall. Algunas condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, ? escriba en el lugar apropiado de la instrucción.

  • Tabla 2muestra las acciones que puede especificar en un término.

  • Tabla 3muestra los modificadores de acciones que puede utilizar para contar, reflejar, limitar el límite y clasificar los paquetes.

En el caso de las condiciones de coincidencia en conmutadores específicos, se aplican estas limitaciones:

(QFX5100, QFX5110, QFX5200) Cuando se utiliza el reenvío basado en filtros en interfaces IPv6, solo se admiten estas condiciones en la (dirección de entrada): source-address, destination-address, source-prefix-list, destination-prefix-list, source-port, destination-port, hop-limit, icmp-typey next-header.

(QFX5110) Cuando habilite la opción egress-to-ingress en la [edit firewall] jerarquía, solo se acceptdiscard admiten , y se count admiten acciones.

(QFX5100, QFX5110) En un entorno de VXLAN EVPN, solo se admiten estas condiciones: source-address, destination-address, source-port, destination-port, ttl, ip-protocol, y user-vlan-id.

(QFX5100, QFX5110, QFX5200) No puede aplicar un filtro de firewall en la dirección de salida de una interfaz IRB VXLAN EVPN.

(QFX5100, QFX5110) Si utiliza filtros de Firewall para implementar filtros de MAC en un entorno de VXLAN EVPN, consulte filtrado de Mac, Storm control y compatibilidad con la creación de reflejo de puertos en un entorno EVPN-VXLAN para las condiciones de coincidencia admitidas.

(QFX5100, QFX5110) Para cada filtro de firewall que aplique a una VXLAN, puede especificar family ethernet-switching que se filtren los paquetes de capa 2 (Ethernet) family inet o que se filtren en interfaces de IRB. No puede aplicar un filtro de firewall en la dirección de salida de las interfaces IRB.

En conmutadores que no admitan características de la capa 2, utilice solo aquellas que coincidan con las que son válidas para las interfaces de IPv4 e IPv6.

Tabla 1: Condiciones de coincidencia admitidas para filtros de Firewall

Condición coincidir

Descriptiva

Dirección e interfaz

arp-type

Paquete de solicitud ARP o paquete de respuesta ARP.

Las interfaces de salida e Ingress.

destination-address ip-address

IP Destination Address, que es la dirección del nodo de destino final.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida e interfaces IPv6 (inet6).

destination-mac-address mac-address

Dirección de dirección MAC de destino (MAC) del paquete.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Puertos de salida y VLAN.

destination-port value

Campo de puerto de destino TCP o UDP. Normalmente, esta coincidencia se especifica junto con la protocol instrucción Match. Para los siguientes puertos bien conocidos puede especificar sinónimos de texto (los números de Puerto también se enumeran):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

destination-port range-optimize range

Hacer coincidir un rango de intervalos de puertos TCP o UDP mientras se utiliza la memoria disponible de forma más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configure puertos de destino individuales. (No se admite con el reenvío basado en filtros. )

Interfaces de IPv4 (inet) de entrada.

destination-prefix-list prefix-list

Campo de lista de prefijo de destino IP. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida e IPv6 (inet6).

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • be— el mejor esfuerzo (predeterminado)

  • ef (46)— tal como se define en RFC 3246,An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de colocación en cada clase, para un total de 12 puntos de código, se definen en rfc 2597, Reenvío asegurado DESC.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

ether-type value

Campo del tipo de Ethernet de un paquete. El valor EtherType especifica qué protocolo se está transportando en el fotograma Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • aarp (0x80F3)— Valor EtherType AARP

  • appletalk (0x809B)— Valor EtherType de AppleTalk

  • arp (0x0806)— ARP de valor EtherType

  • fcoe (0x8906)— Valor EtherType FCoE

  • fip (0x8914)— FIP de valor EtherType

  • ipv4 (0x0800)— Valor EtherType IPv4

  • ipv6 (0x08DD)— Valor EtherType IPv6

  • mpls-multicast (0x8848): valor EtherType MPLS multidifusión

  • mpls-unicast (0x8847): valor EtherType MPLS unidifusión

  • oam (0x88A8)— Valor EtherType OAM

  • ppp (0x880B)— PPP con valor EtherType

  • pppoe-discovery (0x8863)— Etapa de descubrimiento PPPoE con valor EtherType

  • pppoe-session (0x8864)— Etapa de sesión PPPoE con valor EtherType

  • sna (0x80D5)— Valor EtherType de SNA

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

egress-to-ingress

Incluya esta opción para aumentar el número de salidas de filtro de cortafuegos VLAN de 1024 a 2048.

Interfaces VLAN IPv4 (inet) de salida e interfaces IPv6 (inet6).

exp

Buscar coincidencias en MPLS bits de EXP.

Interfaces de MPLS de entrada.

Interfaces de salida MPLS.

fragment-flags value

Las marcas de fragmentación IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores hexadecimales):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

Puertos de entrada y VLAN.

icmp-code value

Campo de código de ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor, icmp-type junto con un valor, para. icmp-code En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • IPv4: problema de parámetros: ip-header-bad (0) , required-option-missing (1)

  • IPv6: problema de parámetros: ip6-header-bad (0) , unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0) , redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • IPv4: inaccesible: network-unreachable (0) , , , , , , , host-unreachable (1) , protocol-unreachable (2) , port-unreachable (3) , fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12) , communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inaccesible: address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0) , port-unreachable (4)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

hop-limit value

Busca una coincidencia con el límite de saltos especificado o el conjunto de límites de saltos. Especifique un valor único o un rango de valores de 0 a 255.

Interfaces IPv6 de entrada y salida (inet6).

Nota:

No se admite en la dirección de salida de los conmutadores QFX3500, QFX3600, QFX5100, QFX5120, QFX5110, QFX5200 y QFX5210.

icmp-type value

Campo tipo de mensaje ICMP. Normalmente, esta coincidencia se especifica junto con la protocol instrucción Match para determinar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17),mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138), node-information-request (139),node-information-reply (140)

Consulte también icmp-code variable.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o una unidad lógica.

Nota:

Una interfaz desde la que se envía un paquete no se puede usar como condición de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida e IPv6 (inet6).

ip-destination-address address

Dirección IPv4 que constituye la dirección de nodo de destino final del paquete.

Puertos de entrada y VLAN.

ip6-destination-address address

Dirección IPv6 que es la dirección del nodo de destino final para el paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio coincidente a un puerto de capa 2 y a una VLAN que incluya ese puerto.)

ip-options

Especifica any si se debe crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también aparecen en la lista): critical-ecp(0XA0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xE0), priority (0x20) o routine (0x00).

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

ip-protocol number

Campo protocolo IP.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

ip6-source-address address

Dirección IPv6 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN. (No puede aplicar simultáneamente un filtro con este criterio coincidente a un puerto de capa 2 y a una VLAN que incluya ese puerto.)

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o interfaz VLAN.

Puertos de entrada y VLAN.

is-fragment

El uso de esta condición produce una coincidencia si está habilitado el marcador más fragmentos en el encabezado IP o si el desplazamiento de fragmento no es cero.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

l2-encap-type llc-non-snap

Coincidencia en paquetes de capa de control de vínculo lógico (LLC) para el tipo de encapsulación Ethernet de protocolo de acceso no de subred (SNAP).

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

label

Hacer coincidir con los bits de MPLS etiqueta.

Interfaces de MPLS de entrada.

Interfaces de salida MPLS.

learn-vlan-id number

Coincide con el ID de una VLAN normal o con el ID de la VLAN externa (servicio) (para VLAN Q-in-Q). Los valores aceptables son 1-4095.

Nota:

No se admite en los conmutadores QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600 y EX4650. Utilice la user-vlan-id condición coincidir para que coincida con el ID.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

next-header

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

packet-length

Longitud del paquete en bytes. Debe escribir un valor entre 0 y 65535.

Interfaces de entrada puertos, VLAN, IPv4 (inet) e IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

payload-protocol

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Nota:

No se admite en los conmutadores QFX3500, QFX3600, QFX5100, QFX5110, QFX5200 y QFX5210.

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

precedence value

Bits de precedencia IP en el byte de tipo de servicio (ToS) del encabezado IP. (Este byte también se puede utilizar para el DSCP DiffServ.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

protocol type

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

rat-type tech-type-value

Coincide con el tipo de la tecnología de acceso de radio (rata) especificada en el campo de tipo Tech de 8 bits de la extensión de tipo de la tecnología de acceso proxy Mobile IPv4 (PMIPv4). El tipo de tecnología especifica la tecnología de acceso a través de la que se conecta el dispositivo móvil a la red de acceso. Especifique un único valor, un rango de valores o un conjunto de valores. Puede especificar un tipo de tecnología como un valor numérico del 0 al 255 o como una palabra clave del sistema.

  • El valor numérico 1 coincide con IEEE 802,3.

  • El valor numérico 2 coincide con IEEE 802.11 a/b/g.

  • El valor numérico 3 encuentra coincidencias con IEEE 802.16 e

  • El valor numérico 4 encuentra coincidencias con IEEE 802.16 m.

  • Cadena eutran de texto coincide con 4G.

  • La cadena geran de texto coincide con 2g.

  • La cadena utran de texto coincide con 3G.

Interfaces de salida y IPv4 (inet) de entrada.

sample

Muestra el tráfico del paquete. Aplique esta opción solo si ha habilitado la muestreo de tráfico.

Interfaces de salida y IPv4 (inet) de entrada.

source-address ip-address

IP Source address, que es la dirección del nodo que envió el paquete.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

source-mac-address mac-address

Dirección de dirección MAC de origen (MAC) del paquete.

Puertos de entrada y VLAN.

Puertos de salida y VLAN.

source-port value

Puerto de origen TCP o UDP. Normalmente, esta coincidencia se especifica junto con la protocol instrucción Match. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

source-port range-optimize range

Hacer coincidir un rango de intervalos de puertos TCP o UDP mientras se utiliza la memoria disponible de forma más eficiente. El uso de esta condición le permite configurar más filtros de cortafuegos que si configura puertos de origen individuales. (No se admite con el reenvío basado en filtros. )

Interfaces de IPv4 (inet) de entrada.

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

tcp-established

Hace coincidir los paquetes de una conexión de protocolo de tres vías TCP establecida (SYN, SYN-ACK, ACK). El único paquete no coincidente es el primer paquete del Protocolo de enlace, ya que solo se establece el bit SYN. Para este paquete, debe especificar tcp-initial la condición de coincidencia.

Cuando se especifica tcp-established, el modificador no comprueba implícitamente que el protocolo es TCP. También debe especificar la condición protocol tcp de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

tcp-flags value

Uno o más indicadores TCP:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

tcp-initial

Busca una coincidencia con el primer paquete TCP de una conexión. Cuando se establece el indicador SYN TCP y no se establece el indicador ACK TCP, se produce una coincidencia.

Cuando se especifica tcp-initial, un modificador no comprueba implícitamente que el protocolo es TCP. También debe especificar la condición protocol tcp de coincidencia.

Puertos de entrada, VLAN, interfaces IPv4 (inet) e interfaces IPv6 (inet6).

Interfaces de IPv4 (inet) de salida.

traffic-class

campo de 8 bits que especifica la prioridad de la clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usó anteriormente como campo de tipo de servicio (ToS) en IPv4, y la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

Puertos de entrada, VLAN e interfaces IPv6 (inet6).

Interfaces IPv6 de salida (inet6).

ttl value

Período de vida (TTL) de IP en formato decimal. El valor puede ser 1-255.

Interfaces de IPv4 (inet) de entrada.

Interfaces de IPv4 (inet) de salida.

user-vlan-1p-priority value

Coincide con la prioridad de 802.1 p VLAN especificada en 0-7el rango.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

user-vlan-id number

Coincide con el identificador de la VLAN interna (cliente) de una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Nota:

Los conmutadores de QFX3600, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4600, EX4650 no learn-vlan-id admiten la condición de coincidencia, por lo que debe usar esta condición de coincidencia para que coincida con el ID. de la VLAN externa en esos conmutadores.

Puertos de entrada, VLAN e interfaces IPv4 (inet).

Interfaces de IPv4 (inet) de salida.

Utilice then las instrucciones para definir acciones que deberían tener lugar si un paquete coincide con todas from las condiciones de una instrucción. Tabla 2muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema aceptará paquetes que coincidan con el filtro.)

Tabla 2: Acciones para filtros de cortafuegos

Intervención

Descriptiva

accept

Aceptar un paquete. Esta es la acción predeterminada para paquetes que coinciden con un término.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inaccesible" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,o tcp-reset.

Si lo especifica tcp-reset, el sistema envía un reinicio TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces de entrada.

routing-instance nombre de instancia

Reenvía paquetes coincidentes a una instancia de enrutamiento virtual.

vlan Nombre de VLAN

Reenvía paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en interfaces de entrada.

Nota:

Esta acción no se admite en los conmutadores de la serie OCX.

También puede especificar los modificadores de acciones enumerados Tabla 3 en para recuento, reflejo, límite de tasa y paquetes de clasificación.

Tabla 3: Modificadores de acciones para filtros de cortafuegos

Modificador de acción

Descriptiva

analyzer analyzer-name

(Plataformas no de ELS) Espejar el tráfico (paquetes de copia) a un analizador configurado [edit ethernet-switching-options analyzer] en el nivel de jerarquía.

Solo puede especificar la creación de reflejo de puertos para los filtros de Firewall de puertos de entrada, VLAN e IPv4 (inet).

count counter-name

Cuente el número de paquetes que coinciden con el término.

decapsulate [gre | routing-instance]

Desencapsular paquetes GRE o paquetes GRE desencapsulados reenviados a la instancia de enrutamiento especificada

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • be— el mejor esfuerzo (predeterminado)

  • ef (46)— tal como se define en RFC 3246,An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de colocación en cada clase, para un total de 12 puntos de código, se definen en rfc 2597, Reenvío asegurado DESC.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

interface

Cambiar el tráfico a la interfaz especificada sin realizar ninguna búsqueda. Esta acción solo es válida cuando el filtro se aplica en las Ingress.

log

Registra la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, escriba el show firewall log comando del modo operativo.

Nota:

El log modificador de acción solo es compatible con las interfaces de entrada.

loss-priority (low | medium-low | medium-high | high)

Establecer la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo es compatible con las interfaces de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con policer la acción.

policer policer-name

Enviar paquetes a una policía (con el fin de aplicar la limitación de velocidad).

Puede especificar una policía para los filtros de entrada puerto, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

Nota:

El policer modificador de acción no se admite en combinación con loss-priority la acción.

port-mirror

(Plataformas ELS) Espejar el tráfico (paquetes de copia) a una interfaz de salida configurada en una instancia de [edit forwarding-options port-mirroring] creación de reflejo de puerto en el nivel de jerarquía.

Solo puede especificar la creación de reflejo de puertos para los filtros de Firewall de puertos de entrada, VLAN e IPv4 (inet).

port-mirror-instance port-mirror-instance-name

(Plataformas ELS) Reflejar el tráfico en una instancia de creación de reflejos configurada en el nivel de [edit forwarding-options port-mirroring] jerarquía.

Solo puede especificar la creación de reflejo de puertos para los filtros de Firewall de puertos de entrada, VLAN e IPv4 (inet).

Nota:

Este modificador de acción no se admite en los conmutadores de la serie OCX.

syslog

Registrar una alerta para este paquete.

Nota:

El syslog modificador de acción solo es compatible con las interfaces de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un responsable de tres colores (con el fin de aplicar la limitación de velocidad).

Puede especificar una policía de tres colores para los filtros de entrada y salida, VLAN, IPv4 (inet), IPv6 (inet6) y MPLS.

Nota:

El policer modificador de acción no se admite en combinación con loss-priority la acción.

Condiciones y acciones de coincidencia de filtro de firewall (QFX5220 y QFX5130-32CD)

En este tema, se describen las condiciones de coincidencia de filtro de firewall compatibles, las acciones y los modificadores de acción de los conmutadores QFX5220-CD, QFX5220-128C y QFX5130-32CD.

Cada término en un filtro de Firewall se compone de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y los valores que un paquete debe contener para que se considere una coincidencia. Puede definir una o varias condiciones de coincidencia en instrucciones Match. También puede incluir ninguna instrucción Match, en cuyo caso el término coincidirá con todos los paquetes.

Cuando un paquete coincide con un filtro, un conmutador recibe la acción especificada en el término. Si no se aplica ninguna condición de coincidencia, el modificador acepta el paquete de forma predeterminada.

  • Tabla 4muestra las condiciones de coincidencia para lasinetinterfaces IPv4 ()inet6e IPv6 (), y las condiciones de coincidencia para puertos yethernet-switchingVLAN ().

  • Tabla 5muestra las acciones y los modificadores de acciones que puede especificar en un término.

Nota:

Para las condiciones de coincidencia, algunas condiciones de intervalos numéricos y campos de bits coinciden le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, ? escriba en el lugar apropiado de la instrucción.

Tabla 4: Condiciones de coincidencia compatibles (QFX5220 y conmutadores QFX5130-32CD)

Condición coincidir

Descriptiva

Dirección e interfaz

arp-type

Paquete de solicitud ARP o paquete de respuesta ARP.

Puertos de entrada y salida, y VLANs.

destination-address ip-address

IP Destination Address, que es la dirección del nodo de destino final.

Interfaces IPv4 e IPv6 de entrada y salida.

Puertos de entrada y VLAN.

destination-mac-address mac-address

Dirección de dirección MAC de destino (MAC) del paquete.

Puertos de entrada y salida, y VLANs.

destination-port value

Campo de puerto de destino TCP o UDP. Debe especificar esta coincidencia junto con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el tráfico next-header IPv6.

Para los siguientes puertos bien conocidos puede especificar sinónimos de texto (los números de Puerto también se enumeran):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Interfaces IPv4 de entrada y salida.

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN.

destination-port range-optimize range

Hacer coincidir un rango de intervalos de puertos TCP o UDP mientras se utiliza la memoria disponible de forma más eficiente. El uso de esta condición le permite configurar más filtros de firewall que si configure puertos de destino individuales. (No se admite con el reenvío basado en filtros.)

Interfaces IPv4 de entrada.

destination-prefix-list prefix-list

Campo de lista de prefijo de destino IP. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Interfaces IPv4 e IPv6 de entrada y salida.

Puertos de entrada y VLAN.

dscp value

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • be— el mejor esfuerzo (predeterminado)

  • ef (46)— tal como se define en RFC 3246,An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres prioridades de colocación en cada clase, para un total de 12 puntos de código, se definen en rfc 2597, Reenvío asegurado DESC.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces IPv4 de entrada y salida.

Puertos de entrada y VLAN.

ether-type value

Campo del tipo de Ethernet de un paquete. El valor EtherType especifica qué protocolo se está transportando en el fotograma Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • aarp (0x80F3)— Valor EtherType AARP

  • appletalk (0x809B)— Valor EtherType de AppleTalk

  • arp (0x0806)— ARP de valor EtherType

  • fcoe (0x8906)— Valor EtherType FCoE

  • fip (0x8914)— FIP de valor EtherType

  • ipv4 (0x0800)— Valor EtherType IPv4

  • ipv6 (0x08DD)— Valor EtherType IPv6

  • mpls-multicast (0x8848): valor EtherType MPLS multidifusión

  • mpls-unicast (0x8847): valor EtherType MPLS unidifusión

  • oam (0x88A8)— Valor EtherType OAM

  • ppp (0x880B)— PPP con valor EtherType

  • pppoe-discovery (0x8863)— Etapa de descubrimiento PPPoE con valor EtherType

  • pppoe-session (0x8864)— Etapa de sesión PPPoE con valor EtherType

  • sna (0x80D5)— Valor EtherType de SNA

Puertos de entrada y salida, y VLANs.

icmp-code value

Campo de código de ICMP. Dado que el significado del valor depende del asociado icmp-type, debe especificar un valor, icmp-type junto con un valor, para. icmp-code En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • IPv4: problema de parámetros: ip-header-bad (0) , required-option-missing (1)

  • IPv6: problema de parámetros: ip6-header-bad (0) , unrecognized-next-header (1) , unrecognized-option (2)

  • redirectredirect-for-network (0) , redirect-for-host (1) , redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1) , ttl-eq-zero-during-transit (0)

  • IPv4: inaccesible: network-unreachable (0) , , , , , , , host-unreachable (1) , protocol-unreachable (2) , port-unreachable (3) , fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12) , communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: inaccesible: address-unreachable (3)administratively-prohibited (1) , no-route-to-destination (0) , port-unreachable (4)

Interfaces IPv4 de entrada y salida.

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN.

icmp-type value

Campo tipo de mensaje ICMP. Debe especificar esta coincidencia junto con la instrucción match para determinar qué protocolo se usa en el puerto para el tráfico IPv4 o la instrucción match para el protocolnext-header tráfico IPv6.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17),mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138), node-information-request (139),node-information-reply (140)

Consulte también icmp-code variable.

Interfaces IPv4 de entrada y salida.

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN.

interface interface-name

Interfaz en la que se recibe el paquete, incluida la unidad lógica. Puede incluir el carácter comodín (*) como parte de un nombre de interfaz o una unidad lógica.

Nota:

Una interfaz desde la que se envía un paquete no se puede usar como condición de coincidencia.

Interfaces IPv4 de salida.

ip-destination-address address

Dirección IPv4 que constituye la dirección de nodo de destino final del paquete.

Puertos de entrada y VLAN.

ip-options

Especifica any si se debe crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Interfaces IPv4 de entrada.

ip-protocol number

Campo protocolo IP.

Puertos de entrada y VLAN.

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también aparecen en la lista): critical-ecp(0XA0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xE0), priority (0x20) o routine (0x00).

Puertos de entrada y VLAN.

ip-source-address address

Dirección IPv4 del nodo de origen que envía el paquete.

Puertos de entrada y VLAN.

ip-version address

Versión IP del paquete. Utilice esta condición para hacer coincidir los campos de encabezado IPv4 o IPv6 en el tráfico que llega a un puerto de capa 2 o interfaz VLAN.

Puertos de entrada y VLAN.

next-header

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Interfaces IPv6 de entrada y salida.

packet-length

Longitud del paquete en bytes. Debe escribir un valor entre 0 y 65535.

Interfaces IPv4 e IPv6 de entrada.

precedence value

Bits de precedencia IP en el byte de tipo de servicio (ToS) del encabezado IP. (Este byte también se puede utilizar para el DSCP DiffServ.) En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

Interfaces IPv4 de entrada y salida.

protocol type

Valor del protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Interfaces IPv4 de entrada y salida.

Puertos de entrada y VLAN.

source-address ip-address

IP Source address, que es la dirección del nodo que envió el paquete.

Interfaces IPv4 de entrada y salida.

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN.

source-mac-address mac-address

Dirección de dirección MAC de origen (MAC) del paquete.

Puertos de entrada y salida, y VLANs.

source-port value

Puerto de origen TCP o UDP. Debe especificar esta coincidencia junto con la instrucción match para el protocol tráfico IPv4 o la instrucción match para el tráfico next-header IPv6.

En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Interfaces IPv4 de entrada y salida.

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN.

source-port range-optimize range

Hacer coincidir un rango de intervalos de puertos TCP o UDP mientras se utiliza la memoria disponible de forma más eficiente. El uso de esta condición le permite configurar más filtros de cortafuegos que si configura puertos de origen individuales. (No se admite con el reenvío basado en filtros.)

Interfaces IPv4 de entrada.

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Interfaces IPv4 de entrada y salida.

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN.

tcp-flags value

Marcadores TCP (solo se admite un valor):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Interfaces IPv4 de entrada y salida.

Interfaces IPv6 de entrada.

Puertos de entrada y VLAN.

traffic-class

campo de 8 bits que especifica la prioridad de la clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usó anteriormente como campo de tipo de servicio (ToS) en IPv4, y la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

Interfaces IPv6 de entrada y salida.

ttl value

Período de vida (TTL) de IP en formato decimal. El valor puede ser 1-255.

Interfaces IPv4 de entrada y salida.

user-vlan-id number

Coincide con el identificador de la VLAN interna (cliente) de una VLAN Q-in-Q. Los valores aceptables son 1-4095.

Nota:

Los conmutadores no admiten learn-vlan-id la condición de coincidencia, por lo que debe usar esta condición de coincidencia para que coincida con el identificador de la VLAN externa en esos conmutadores.

Puertos de entrada y salida, y VLANs.

user-vlan-1p-priority value

Coincide con la prioridad de 802.1 p VLAN especificada en 0-7el rango.

Puertos de entrada y salida, y VLANs.

Utilice then las instrucciones para definir acciones que deberían tener lugar si un paquete coincide con todas from las condiciones de una instrucción. Tabla 5 muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema aceptará paquetes que coincidan con el filtro.)

Nota:

En el caso de las interfaces IPv4 de salida, interfaces IPv6 y puertos de salida, solo puede aplicar las acciones aceptar, descartar y contar. En el caso de las VLAN de salida, solo puede aplicar la acción Aceptar.

Tabla 5: Acciones y modificadores de acción

Intervención

Descriptiva

accept

Aceptar un paquete. Esta es la acción predeterminada para paquetes que coinciden con un término.

apply-groups-except

Especifique los grupos de los que no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.

count counter-name

Cuente el número de paquetes que coinciden con el término.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota:

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

log

Registra la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, escriba el show firewall log comando del modo operativo.

loss-priority (low | medium-low | medium-high | high)

Establecer la prioridad de pérdida de paquetes (PLP).

Nota:

El loss-priority modificador de acción solo se admite en interfaces IPv4 de entrada.

Nota:

El loss-priority modificador de acción no se admite en combinación con policer la acción.

policer policer-name

Enviar paquetes a una policía (con el fin de aplicar la limitación de velocidad).

Nota:

El policer modificador de acción no se admite en combinación con loss-priority la acción.

port-mirror

Espejar el tráfico (paquetes de copia) a una interfaz de salida configurada en una instancia de [edit forwarding-options port-mirroring] creación de reflejo de puerto en el nivel de jerarquía.

port-mirror-instance port-mirror-instance-name

Reflejar el tráfico en una instancia de creación de reflejos configurada en el nivel de [edit forwarding-options port-mirroring] jerarquía.

Solo puede especificar la creación de reflejo de puertos para los filtros de Firewall de puertos de entrada, VLAN e IPv4 (inet).

reject message-type

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inaccesible" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Nota:

La reject acción solo se admite en interfaces IPv4 de entrada.

three-color-policer three-color-policer-name

Enviar paquetes a un responsable de tres colores (con el fin de aplicar la limitación de velocidad).

Nota:

El policer modificador de acción no se admite en combinación con loss-priority la acción.

Nota:

No color-aware se color-blind admiten las directivas de y. De forma predeterminada, el tráfico se color-blindtrata como.

vlan Nombre de VLAN

Reenvía paquetes coincidentes a una VLAN específica.

Nota:

La vlan acción solo se admite en las VLAN y en los puertos de entrada.