O filtro de firewall combina condições e ações (roteadores da série ACX)

Nos roteadores Metro Universais da Série ACX, você pode configurar filtros de firewall para filtrar pacotes e realizar uma ação em pacotes que se ajustem ao filtro. As condições de combinação especificadas para filtrar os pacotes são específicas do tipo de tráfego que está sendo filtrado.

Filtros de firewall com condições de combinação IPv6 não são suportados em nível de hierarquia em roteadores firewall family inet6 filter name ACX6360-OR no Junos OS Release 19.1R1.

Nota:

Nos roteadores da Série ACX, o filtro para o tráfego de saída (filtro de saída) só pode ser aplicado para instâncias específicas da interface do filtro de firewall.

Visão geral das condições e ações do filtro de firewall nos roteadores da série ACX

Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall sem estado padrão.

Tabela 1: Condições de combinação de filtro de firewall padrão por família de protocolo para roteadores da série ACX
Tipo de tráfego	Nível de hierarquia em que condições de combinação são especificadas
Independente de protocolo	`[edit firewall family any filter filter-name term term-name]` Não há suporte para condições de combinação para esse tipo de tráfego em roteadores da série ACX.
IPv4	`[edit firewall family inet filter filter-name term term-name` Para ver a lista completa de condições de combinação, consulte Condições de combinação para tráfego IPv4 (Roteadores da Série ACX).
MPLS	`[edit firewall family mpls filter filter-name term term-name]` Para ver a lista completa de condições de combinação, consulte Condições de MPLS tráfego (Roteadoresda Série ACX) .
CCC de Camada 2	`[edit firewall family ccc filter filter-name term term-name]` Não há suporte para condições de combinação para esse tipo de tráfego em roteadores da série ACX.
Ponte	`[edit firewall family bridge filter filter-name term term-name]` `[edit firewall family ethernet-switching filter filter-name term term-name]` (aplicável apenas aos roteadores ACX5048 e ACX5096.)

No ACX5448 roteador, os seguintes filtros de família de entrada podem ser dimensionados com base na disponibilidade de tcam externa:

Família ethernet-switching
Família ccc
Família inet
Família inet6
Família mpls
Família vpls

Na instrução para um termo de filtro de firewall sem estado padrão, você pode especificar as ações a serem tomadas em um pacote que corresponde then ao termo.

Tabela 2 sintetiza os tipos de ações que você pode especificar em um termo de filtro de firewall sem estado padrão.

Tabela 2: Categorias de ação de filtro de firewall padrão para roteadores da série ACX
Tipo de ação	Descrição	Comentário
Terminação	Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada, e nenhum termos adicionais são usados para examinar o pacote. Você pode especificar apenas uma ação de terminação em um filtro de firewall padrão. No entanto, você pode especificar uma ação terminando com uma ou mais ações não-dominantes em um único termo. Por exemplo, dentro de um prazo, você pode `accept` especificar `count` com e `syslog` .	Consulte Ações de Terminação (Roteadores da Série ACX).
Não-dominante	Realiza outras funções em um pacote (como incriminar um contador, registrar informações sobre o header do pacote, amostrar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote.	Consulte Ações não-dominantes (Roteadores da Série ACX).

Combinar condições para filtros de firewall da família Bridge (roteadores da série ACX)

Filtros de firewall da família Bridge em roteadores da série ACX

Filtros de firewall da família Bridge podem ser configurados no nível da família IFL em roteadores da série ACX. Os filtros da família Bridge são usados para combinar os fluxos de ponte L2 com base nos campos de Camada2/Camada3 suportados e tomar medidas de firewall. O número máximo de termos suportados para filtros de firewall de ponte em roteadores da série ACX é de 124.

Tabela 3 mostra as condições de combinação suportadas para filtros de família bridge.

Tabela 3: As condições do filtro de firewall da família Bridge para roteadores da série ACX
Condição de combinação	Descrição
grupos de aplicação	Definir os grupos a partir dos quais herdam dados de configuração
aplicar grupos, exceto	Definir quais grupos não transmitirão dados de configuração
endereço mac de destino	De definir o endereço MAC de destino
destino-porta	Combinar a porta de destino TCP/UDP
`destination-prefix-list`	Combinar prefixos de destino IP na lista de nomes.
Dscp	Combinar com o ponto de código de serviços diferenciados (DiffServ)
tipo éter	Combinar com o tipo ethernet
código icmp	Combinar um código de mensagem ICMP
tipo icmp	Combinar um tipo de mensagem ICMP
grupo de interface	Combinar um grupo de interface
endereço ip-destination	Combinar um endereço de destino IP
precedência de ip	Combinar um valor de precedência de IP
ip-protocol	Combinar com um tipo de protocolo IP
endereço de origem ip	Combinar um endereço de origem IP
learn-vlan-1p-priority	Combinar com a prioridade de 802.1p VLAN aprendida
learn-vlan-dei	Match user VLAN ID DEI bit
learn-vlan-id	Combinar com uma ID VLAN aprendida
endereço-mac de origem	Definir o endereço MAC de origem
`source-prefix-list`	Combinar prefixos de origem IP na lista de nomes.
porta de origem	Combinar uma porta de origem TCP/UDP
user-vlan-1p-priority	Combinar com a prioridade de VLAN do usuário 802.1p
user-vlan-id	Combinar com uma ID VLAN do usuário
tipo vlan-éther	Combinar com um tipo de Ethernet VLAN

Tabela 4 mostra os campos de ação suportados.

Tabela 4: Campos de ação do filtro do firewall da família Bridge para roteadores da série ACX
Campo de ação	Descrição
Aceitar	Aceite o pacote
Contar	Conte o pacote no contador nomeado
Descartar	Descarte o pacote
classe de encaminhamento	Classificar pacote para classe de encaminhamento
prioridade de perda	Prioridade de perda de pacotes
Log	Registrar as informações do cabeamento do pacote em um buffer no Mecanismo de Encaminhamento de Pacotes. Você pode acessar essas informações ao emissão do comando show firewall log na interface da linha de comando (CLI).
policer	Nome do policial a ser usado para limitar a taxa de tráfego
Syslog	Registre o pacote no arquivo de log do sistema.
three-color-policer	Policial o pacote usando um three-colo-policer

Nota:

Filtros de firewall da família Bridge podem ser aplicados como um filtro de saída nas interfaces de Camada 2. Quando a interface de Camada 2 está em um domínio de ponte configurado com a instrução, os roteadores da série ACX podem combinar com o vlan externo do pacote usando a combinação usuário vlan-id especificada no filtro de firewall da família vlan-id Bridge.

Combinar condições para filtros da família de firewall CCC (roteadores da série ACX)

Condições de combinação para filtros de firewall da família CCC

Nos roteadores da Série ACX, você pode configurar um filtro de firewall padrão com condições de combinação para tráfego de conexão cruzada (CCC) de circuito (ccc da família).

Tabela 5 descreve as condições de combinação que você pode configurar em [edit firewall family ccc filter filter-name term term-name] nível de hierarquia.

Tabela 5: As condições do filtro de firewall da família CCC para roteadores da série ACX
Campo	Descrição
`destination-mac-address`	Endereço MAC de destino
`destination-port`	Combina com a porta de destino TCP/UDP
`dscp`	Combina com um ponto de código de serviços diferenciados (DiffServ)
`icmp-code`	Combina com o código de mensagem ICMP
`icmp-type`	Combina com o tipo de mensagem ICMP
`ip-destination-address`	Combina com o endereço IP de destino
`ip-precedence`	Combina com o valor de precedência de IP
`ip-protocol`	Combina com o tipo de protocolo IP
`ip-source-address`	Combina com o endereço IP de origem
`learn-vlan-1p-priority`	As combinações aprendidas com a prioridade de VLAN 802.1p
`source-mac-address`	Endereço MAC de origem
`source-port`	Combina com a porta de origem TCP/UDP
`user-vlan-1p-priority`	Combina com a prioridade de VLAN do usuário 802.1p

Condições de combinação para tráfego IPv4 (roteadores da série ACX)

Nos roteadores da Série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de combinação para tráfego IPv4 (Versão IP) ( ). descreve as condições de combinação que você pode configurar no nível family inetTabela 6 da [edit firewall family inet filter filter-name term term-name from] hierarquia.

Tabela 6: O filtro de firewall combina com as condições do tráfego IPv4 em roteadores da série ACX
Condição de combinação	Descrição
`destination-address address`	Combinar com o campo de endereço de destino IPv4. Nota: Nos roteadores da Série ACX, você pode especificar apenas um endereço de destino. Uma lista de endereços de destino IPv4 não é suportada.
`destination-port number`	Combinar o campo de porta de destino de UDP ou TCP. Se você configurar essa condição de combinação, recomendamos que você também configure a instrução ou a combinação no mesmo prazo para especificar qual protocolo está sendo `protocol udpprotocol tcp` usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão indicados): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-datahttp` (20), (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (2108) `snmp` 5), `snmptrap` (161), (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnettftp` (23), (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`destination-prefix-list`	Combinar prefixos de destino IP na lista de nomes.
`dscp number`	Combinar com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os 6 bits mais significativos deste byte formam o DSCP. Para obter mais informações, consulte Entender como os classificadores agregados de comportamento priorizam o tráfego confiável. Você pode especificar um valor numérico de 0 a 63. Para especificar o valor na forma hexadecimal, inclua 0x como prefixo. Para especificar o valor em formato binário, inclua b como um prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): RFC 3246, um PHB de encaminhamento acelerado (comportamento por hop),define um ponto de código: `ef`(46). RFC 2597, Grupo PHBde Encaminhamento Garantido, define 4 classes, com 3 precedências de drop em cada classe, para um total de 12 pontos de código: `af11` (10), `af12` (12), `af13` (14) `af21` (18), `af22` (20), `af23` (22) `af31` (26), `af32` (28), `af33` (30) `af41` (34), `af42` (36), `af43` (38)
`fragment-flags number`	(Somente para ingresso) Combinar o campo de bandeiras de fragmentação DE IP de três bits no header IP. No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão relacionados): `dont-fragment`(0x4), `more-fragments` (0x2) ou `reserved` (0x8).
`icmp-code number`	Combinar o campo de código de mensagem ICMP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação `protocol icmp` no mesmo prazo. Se você configurar essa condição de combinação, você também deve configurar a condição `icmp-type message-type` da combinação no mesmo prazo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas: problema nos parâmetros: `ip-header-bad`(0), `required-option-missing` (1) Redirecionar: `redirect-for-host`(1), `redirect-for-network` (0), `redirect-for-tos-and-host` (3), `redirect-for-tos-and-net` (2) ultrapassada no tempo: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) Inacessível: `communication-prohibited-by-filtering`(13), `destination-host-prohibited` (10), `destination-host-unknown` (7), `destination-network-prohibited` (9), `destination-network-unknownfragmentation-needed` (6), (4), `host-precedence-violationhost-unreachable` (14), `host-unreachable-for-TOS` (1), `network-unreachable` (12), (0), `network-unreachable-for-TOS` (11), `port-unreachableprecedence-cutoff-in-effect` (3), (15), `protocol-unreachable` (2), `source-host-isolated` (8), `source-route-failed` (5)
`icmp-type number`	Combinar o campo do tipo de mensagem ICMP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação `protocol icmp` no mesmo prazo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): `echo-reply`(0), `echo-request` (8), `info-replyinfo-request` (16), (15), `mask-request` (17), `mask-reply` (18), `parameter-problem` (12), `redirect` (5), `router-advertisementrouter-solicit` (9), (10), `source-quenchtime-exceeded` (4), (11), `timestamp` (13), `timestamp-reply` (14) ou `unreachable` (3).
`ip-options values`	Combinar o campo de opção de IP de 8 bits, se presente, ao valor especificado. Os roteadores da série ACX têm suporte apenas para a condição de combinação, o que garante que os pacotes sejam enviados para a Mecanismo de Encaminhamento de Pacotes `ip-options_any` para processamento. Nota: Nos roteadores da Série ACX, você pode especificar apenas um valor de opção de IP. A configuração de vários valores não é suportada.
`precedence ip-precedence-field`	Combinar o campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): `critical-ecp`(0xa0), `flash` (0x60), `flash-overrideimmediate` (0x80), (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) ou `routine` (0x00). Você pode especificar precedência na forma hexadecimal, binária ou decimal.
`protocol number`	Combinar com o campo do tipo protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): `dstopts`(60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmpicmp6` (1), `icmpv6` (58), (58), `igmp` (2), `ipipipv6` (4), (41), `no-next-headerospfpim` (89), (103), `routingrsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) ou `vrrp` (112).
`source-address address`	Combinar o endereço IPv4 do nó de origem que envia o pacote.
`source-port number`	Combinar o campo de porta de origem UDP ou TCP. Se você configurar essa condição de combinação para tráfego IPv4, recomendamos que você também configure a instrução ou a instrução de combinação no mesmo termo para especificar qual protocolo está sendo `protocol udpprotocol tcp` usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto relacionados com a condição `destination-port number` de combinação.
`source-prefix-list`	Combinar prefixos de origem IP na lista de nomes.
`tcp-flags value`	Combinar um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no header TCP. Para especificar campos de bit individuais, você pode especificar os seguintes valores de texto ou hexadecimal: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Em uma sessão TCP, o sinal SYN é definido apenas no pacote inicial enviado, enquanto o sinal ACK é definido em todos os pacotes enviados após o pacote inicial. Você pode unir vários flags usando os operadores lógicos do campo de bit. Para condições combinadas de match de campo de bit, consulte as `tcp-initial` condições da combinação. Se você configurar essa condição de combinação, recomendamos que você também configure a instrução de match no mesmo prazo para especificar que o protocolo TCP está sendo `protocol tcp` usado na porta.
`tcp-initial`	Combinar o pacote inicial de uma conexão TCP. Este é um nome falso para `tcp-flags "(!ack & syn)"` . Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação `protocol tcp` no mesmo prazo.
`ttl number`	Combinar o número de time-to-live do IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para, `number` você pode especificar um ou mais valores de 2 a 255.

Condições de combinação para tráfego IPv6 (roteadores da série ACX)

Você pode configurar um filtro de firewall com condições de combinação para tráfego IPv6 (Internet Protocol versão 6) ( ). descreve as condições de combinação que você pode configurar no family inet6Tabela 7 nível da [edit firewall family inet6 filter filter-name term term-name from] hierarquia.

Tabela 7: As condições de combinação do filtro de firewall para o tráfego IPv6
Condição de combinação	Descrição
`destination-address address`	Combinar com o campo de endereço de destino IPv6.
`destination-port number`	Combinar o campo de porta de destino de UDP ou TCP. Não é possível especificar as `port` condições e `destination-port` as combinações no mesmo termo. Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo `next-header udpnext-header tcp` usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão indicados): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-datahttp` (20), (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (2108) `snmp` 5), `snmptrap` (161), (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnettftp` (23), (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`destination-prefix-list`	Combinar prefixos de destino IP na lista de nomes.
`extension-headers header-type`	Identifique um tipo de header de extensão que está contido no pacote identificando um próximo valor do header. No primeiro fragmento de um pacote, o filtro pesquisa uma combinação em qualquer um dos tipos de header de extensão. Quando um pacote com um header de fragmentação é encontrado (um fragmento posterior), o filtro só pesquisa uma combinação do próximo tipo de header de extensão, porque a localização de outros headers de extensão é imprevisível. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): `ah` (51), `destination` (60), `esp` (50), `fragment` (44), `hop-by-hop` (0), `mobility` (135) ou `routing` (43). Para combinar qualquer valor com a opção do cabeador de extensão, use o sinônimo de `any` texto. Nota: Somente o primeiro header de extensão do pacote IPv6 pode ser igualado. O cabeamento L4 para além de um header de extensão IPv6 será igualado.
`hop-limit hop-limit`	Combinar o limite de hop com o limite de hop especificado ou o conjunto de limites de hop. Para, `hop-limit` especifique um único valor ou um intervalo de valores de 0 a 255.
`icmp-code message-code`	Combinar o campo de código de mensagem ICMP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação `next-header icmpnext-header icmp6` no mesmo prazo. Se você configurar essa condição de combinação, você também deve configurar a condição `icmp-type message-type` da combinação no mesmo prazo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas: problema nos parâmetros: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) ultrapassada no tempo: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) destino inalcançável: `administratively-prohibited`(1), `address-unreachable` (3), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-type message-type`	Combinar o campo do tipo de mensagem ICMP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação `next-header icmpnext-header icmp6` no mesmo prazo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): `certificate-path-advertisement` (149), `certificate-path-solicitation` (148), `destination-unreachableecho-reply` (1), (129), `echo-request` (128), `home-agent-address-discovery-reply` (145), `home-agent-address-discovery-request` (144), `inverse-neighbor-discovery-advertisement` (142), `inverse-neighbor-discovery-solicitation` (141), `membership-query` (130), `membership-reportmembership-termination` (131), (132), `mobile-prefix-advertisement-reply` (147), (146), (146), (130), (131), (132), (147), `mobile-prefix-solicitation` (146), (146) `neighbor-advertisementneighbor-solicit` 136), (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-bigparameter-problem` (2), (4), `private-experimentation-100` (100), `private-experimentation-101` (101), `private-experimentation-200` (200), `private-experimentation-201` (201), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) ou `time-exceeded` (3). Para `private-experimentation-201` (201), você também pode especificar uma variedade de valores dentro de suportes quadrados.
`next-header header-type`	Combinar o primeiro campo Next Header de 8 bits no pacote. O suporte para a `next-header` condição de combinação de firewall está disponível no Junos OS Release 13.3R6 e depois. Para IPv6, recomendamos que você use o termo em vez do termo ao configurar um `payload-protocol` filtro de firewall com condições de `next-header` combinação. Embora possa ser usado, fornece a condição de combinação mais confiável, porque ele usa o protocolo de carga real para encontrar uma combinação, enquanto simplesmente leva o que aparece no primeiro header seguindo o `payload-protocol` header IPv6, que pode ou não ser o protocolo `next-header` real. Além disso, se for usado com IPv6, o processo de análise de bloco de filtro acelerado é ignorado e o `next-header` filtro padrão usado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): `ah`(51), `dstops` (60), `egpesp` (8), (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), `ipv6` (4)1), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) ou `vrrp` (112). Nota: `next-header icmp6` e as condições de combinação executam a `next-header icmpv6` mesma função. é a opção `next-header icmp6` preferida. está oculto na `next-header icmpv6` CLI do Junos OS.
`source-address address`	Combinar o endereço IPv6 do nó de origem que envia o pacote.
`source-port number`	Combinar o campo de porta de origem UDP ou TCP. Não é possível especificar `port` as condições e as `source-port` combinações no mesmo termo. Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo `next-header udpnext-header tcp` usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto relacionados com a condição `destination-port number` de combinação.
`source-prefix-list`	Combinar prefixos de origem IP na lista de nomes.
`tcp-flags flags`	Combinar um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no header TCP. Para especificar campos de bit individuais, você pode especificar os seguintes valores de texto ou hexadecimal: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Em uma sessão TCP, o sinal SYN é definido apenas no pacote inicial enviado, enquanto o sinal ACK é definido em todos os pacotes enviados após o pacote inicial. Você pode unir vários flags usando os operadores lógicos do campo de bit. Para condições combinadas de match de campo de bit, consulte as `tcp-established` condições `tcp-initial` e as combinações. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação no mesmo prazo para especificar que o protocolo TCP está sendo `next-header tcp` usado na porta.
`tcp-initial`	Combinar o pacote inicial de uma conexão TCP. Esse é um sinônimo de texto `tcp-flags "(!ack & syn)"` para . Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação `next-header tcp` no mesmo prazo.
`traffic-class number`	Combinar com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4. Você pode especificar um valor numérico a partir `0` de `63` . Para especificar o valor na forma hexadecimal, inclua `0x` como prefixo. Para especificar o valor em formato binário, inclua `b` como prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): RFC 3246, um PHB de encaminhamento acelerado (comportamento por hop),define um ponto de código: `ef`(46). RFC 2597, Grupo PHBde Encaminhamento Garantido, define 4 classes, com 3 precedências de drop em cada classe, para um total de 12 pontos de código: `af11` (10), `af12` (12), `af13` (14) `af21` (18), `af22` (20), `af23` (22) `af31` (26), `af32` (28), `af33` (30) `af41` (34), `af42` (36), `af43` (38)

Nota:

Se você especificar um endereço IPv6 em uma condição de combinação (as condições, ou as condições da combinação), use a sintaxe para representações de texto descritas na arquitetura de endereçamento addressdestination-addresssource-address RFC 4291, IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte Visão geral do IPv6 e padrões IPv6 suportados.

A seguir, uma configuração de família de firewall inet6 amostrada:

Combinar condições para MPLS tráfego (roteadores da série ACX)

Nos roteadores da série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de combinação para MPLS tráfego ( family mpls ).

Nota:

As declarações e declarações de filtros de firewall para a família de protocolo são compatíveis com todas as interfaces, com exceção das interfaces de gerenciamento e input-list filter-namesoutput-list filter-names das mpls interfaces ethernet fxp internas em0 (ou), interfaces de loopback lo0 () umd e interfaces de modem USB ( ).

Tabela 8 descreve as condições de combinação que você pode configurar em [edit firewall family mpls filter filter-name term term-name from] nível de hierarquia.

Tabela 8: As condições de filtro de firewall padrão MPLS tráfego em roteadores da série ACX
Condição de combinação	Descrição
`exp number`	Número de bits experimentais (EXP) ou uma variedade de números de bits no MPLS principal. Para, você pode especificar um ou mais valores de 0 a 7 em formato `number` decimais, binários ou hexadecimal.

Ações não-dominantes (Roteadores da Série ACX)

Filtros de firewall sem estado padrão têm suporte para diferentes conjuntos de ações não-dominantes para cada família de protocolos.

Nota:

Os roteadores da Série ACX não suportam a next term ação.

Os roteadores da Série ACX têm suporte para ações de log e syslog nas direções de entrada e saída para família inet e bridge família.

ACX5448, roteadores das séries ACX710 e ACX7100 não são logsyslogreject suportados, nem na direção forwarding-classloss-priority de saída. Na direção de entrada e saída, os roteadores só suportam a semântica específica da interface.

Tabela 9 descreve as ações nãoterminadas que você pode configurar para um termo de filtro de firewall padrão.

Tabela 9: Ações não-dominantes para filtros de firewall padrão em roteadores da série ACX
Ação nãoterminada	Descrição	Famílias de protocolo
`count counter-name`	Conte o pacote no contador nomeado.	`family any` `family inet` `family mpls` `family ccc` `family bridge` `family vpls`
`forwarding-class class-name`	Classifique o pacote com base na classe de encaminhamento especificada: `assured-forwarding` `best-effort` `expedited-forwarding` `network-control` Nota: Essa ação é suportada apenas na entrada.	`family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`log`	Registrar as informações do cabeamento do pacote em um buffer no Mecanismo de Encaminhamento de Pacotes. Você pode acessar essas informações ao emissão do `show firewall log` comando na interface de linha de comando (CLI). Nota: Essa ação é apoiada na entrada e saída. A ação de saída não é apoiada no inet6 da família.	`family inet` `family inet6` `family bridge`
`loss-priority (high \| medium-high \| low)`	De definir o nível de prioridade de perda de pacotes (PLP). Também não é possível configurar `three-color-policer` a ação não-termo para o mesmo termo de filtro de firewall. Essas duas ações não-dominantes são mutuamente exclusivas. Você deve incluir a instrução no nível da hierarquia para cometer uma configuração `tri-color[edit class-of-service]` de PLP com qualquer um dos quatro níveis especificados. Caso a `tri-color` declaração não seja habilitada, você pode configurar apenas os `high` níveis e os `low` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre `tri-color` a declaração, consulte Configuração e aplicação de polícias tricolores de marcação. Para obter informações sobre como usar classificadores agregados de comportamento (BA) para definir o nível de PLP dos pacotes de entrada, consulte Entender como as classes de encaminhamento atribuem classes a filas de saída. Nota: Essa ação é suportada apenas na entrada.	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`policer policer-name`	Nome do policial para usar para limitar a taxa de tráfego.	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`port-mirror`	Espelhar a porta do pacote com base na família especificada. Nota: Essa ação é suportada apenas na entrada. Os roteadores ACX5048 e ACX5096 não são port-mirror suportados.	`family inet`
`syslog`	Registre o pacote no arquivo de log do sistema. Nota: Essa ação é apoiada na entrada e saída. A ação de saída não é apoiada no inet6 da família.	`family inet` `family inet6` `family bridge`
`three-color-policer (single-rate \| two-rate) policer-name`	Policial o pacote usando o polícial de três cores especificado de taxa única ou de duas taxas. Também não é possível configurar a `loss-priority` ação pelo mesmo termo de filtro de firewall. Essas duas ações são mutuamente exclusivas.	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
traffic-class	Definir ponto de código de classe de tráfego Nota: Essa ação é suportada apenas na entrada.	`family inet6`

Ações de terminação (roteadores da série ACX)

Filtros de firewall sem estado padrão têm suporte para diferentes conjuntos de ações de terminação para cada família de protocolos.

Nota:

Os roteadores da Série ACX não suportam a next term ação.

Tabela 10 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall padrão.

Tabela 10: Terminando as ações para filtros de firewall padrão em roteadores da série ACX
Ação de terminação	Descrição	Protocolos
`accept`	Aceite o pacote.	`family any` `family inet` `family mpls` `family ccc`
`discard`	Descarte um pacote de maneira silenciosa, sem enviar uma mensagem do Protocolo de Mensagem de Controle da Internet (ICMP). Pacotes descartados estão disponíveis para registro e amostra.	`family any` `family inet` `family mpls` `family ccc`
`reject message-type`	Rejeite o pacote e volte uma mensagem ICMPv4 ou ICMPv6: Se nenhum tipo de mensagem for especificado, uma `destination-unreachable` mensagem será retornada por padrão. Se `tcp-reset` for especificado como o tipo de mensagem, ele só será devolvido se o pacote for um pacote `tcp-reset` TCP. Caso contrário, `administratively-prohibited` a mensagem, que tem valor de 13, é retornada. Se algum outro tipo de mensagem for especificado, essa mensagem será retornada. Nota: Pacotes recusados podem ser amostrados ou registrados caso você configure `sample` a `syslog` ação. Essa ação é suportada apenas na entrada. A `message-type` opção pode ter um dos seguintes valores: `address-unreachable`, `administratively-prohibitedbad-host-tos` , , , , `bad-network-tos` , , , , , , `beyond-scope` , `fragmentation-needed` , , , , `host-prohibitedhost-unknownhost-unreachable` , `network-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolated` , `source-route-failedtcp-reset`	`family inet`
`routing-instance routing-instance-name`	Direcionar o pacote para a instância de roteamento especificada.	`family inet`