Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

O filtro de firewall combina condições e ações (roteadores da série ACX)

Nos roteadores Metro Universais da Série ACX, você pode configurar filtros de firewall para filtrar pacotes e realizar uma ação em pacotes que se ajustem ao filtro. As condições de combinação especificadas para filtrar os pacotes são específicas do tipo de tráfego que está sendo filtrado.

Filtros de firewall com condições de combinação IPv6 não são suportados em nível de hierarquia em roteadores firewall family inet6 filter name ACX6360-OR no Junos OS Release 19.1R1.

Nota:

Nos roteadores da Série ACX, o filtro para o tráfego de saída (filtro de saída) só pode ser aplicado para instâncias específicas da interface do filtro de firewall.

Visão geral das condições e ações do filtro de firewall nos roteadores da série ACX

Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall sem estado padrão.

Tabela 1: Condições de combinação de filtro de firewall padrão por família de protocolo para roteadores da série ACX

Tipo de tráfego

Nível de hierarquia em que condições de combinação são especificadas

Independente de protocolo

[edit firewall family any filter filter-name term term-name]

Não há suporte para condições de combinação para esse tipo de tráfego em roteadores da série ACX.

IPv4

[edit firewall family inet filter filter-name term term-name

Para ver a lista completa de condições de combinação, consulte Condições de combinação para tráfego IPv4 (Roteadores da Série ACX).

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para ver a lista completa de condições de combinação, consulte Condições de MPLS tráfego (Roteadoresda Série ACX) .

CCC de Camada 2

[edit firewall family ccc filter filter-name term term-name]

Não há suporte para condições de combinação para esse tipo de tráfego em roteadores da série ACX.

Ponte

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (aplicável apenas aos roteadores ACX5048 e ACX5096.)

No ACX5448 roteador, os seguintes filtros de família de entrada podem ser dimensionados com base na disponibilidade de tcam externa:

  • Família ethernet-switching

  • Família ccc

  • Família inet

  • Família inet6

  • Família mpls

  • Família vpls

Na instrução para um termo de filtro de firewall sem estado padrão, você pode especificar as ações a serem tomadas em um pacote que corresponde then ao termo.

Tabela 2 sintetiza os tipos de ações que você pode especificar em um termo de filtro de firewall sem estado padrão.

Tabela 2: Categorias de ação de filtro de firewall padrão para roteadores da série ACX

Tipo de ação

Descrição

Comentário

Terminação

Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada, e nenhum termos adicionais são usados para examinar o pacote.

Você pode especificar apenas uma ação de terminação em um filtro de firewall padrão. No entanto, você pode especificar uma ação terminando com uma ou mais ações não-dominantes em um único termo. Por exemplo, dentro de um prazo, você pode accept especificar count com e syslog .

Consulte Ações de Terminação (Roteadores da Série ACX).

Não-dominante

Realiza outras funções em um pacote (como incriminar um contador, registrar informações sobre o header do pacote, amostrar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote.

Consulte Ações não-dominantes (Roteadores da Série ACX).

Combinar condições para filtros de firewall da família Bridge (roteadores da série ACX)

Filtros de firewall da família Bridge em roteadores da série ACX

Filtros de firewall da família Bridge podem ser configurados no nível da família IFL em roteadores da série ACX. Os filtros da família Bridge são usados para combinar os fluxos de ponte L2 com base nos campos de Camada2/Camada3 suportados e tomar medidas de firewall. O número máximo de termos suportados para filtros de firewall de ponte em roteadores da série ACX é de 124.

Tabela 3 mostra as condições de combinação suportadas para filtros de família bridge.

Tabela 3: As condições do filtro de firewall da família Bridge para roteadores da série ACX

Condição de combinação

Descrição

grupos de aplicação

Definir os grupos a partir dos quais herdam dados de configuração

aplicar grupos, exceto

Definir quais grupos não transmitirão dados de configuração

endereço mac de destino

De definir o endereço MAC de destino

destino-porta

Combinar a porta de destino TCP/UDP

destination-prefix-list

Combinar prefixos de destino IP na lista de nomes.

Dscp

Combinar com o ponto de código de serviços diferenciados (DiffServ)

tipo éter

Combinar com o tipo ethernet

código icmp

Combinar um código de mensagem ICMP

tipo icmp

Combinar um tipo de mensagem ICMP

grupo de interface

Combinar um grupo de interface

endereço ip-destination

Combinar um endereço de destino IP

precedência de ip

Combinar um valor de precedência de IP

ip-protocol

Combinar com um tipo de protocolo IP

endereço de origem ip

Combinar um endereço de origem IP

learn-vlan-1p-priority

Combinar com a prioridade de 802.1p VLAN aprendida

learn-vlan-dei

Match user VLAN ID DEI bit

learn-vlan-id

Combinar com uma ID VLAN aprendida

endereço-mac de origem

Definir o endereço MAC de origem

source-prefix-list

Combinar prefixos de origem IP na lista de nomes.

porta de origem

Combinar uma porta de origem TCP/UDP

user-vlan-1p-priority

Combinar com a prioridade de VLAN do usuário 802.1p

user-vlan-id

Combinar com uma ID VLAN do usuário

tipo vlan-éther

Combinar com um tipo de Ethernet VLAN

Tabela 4 mostra os campos de ação suportados.

Tabela 4: Campos de ação do filtro do firewall da família Bridge para roteadores da série ACX

Campo de ação

Descrição

Aceitar

Aceite o pacote

Contar

Conte o pacote no contador nomeado

Descartar

Descarte o pacote

classe de encaminhamento

Classificar pacote para classe de encaminhamento

prioridade de perda

Prioridade de perda de pacotes

Log

Registrar as informações do cabeamento do pacote em um buffer no Mecanismo de Encaminhamento de Pacotes. Você pode acessar essas informações ao emissão do comando show firewall log na interface da linha de comando (CLI).

policer

Nome do policial a ser usado para limitar a taxa de tráfego

Syslog

Registre o pacote no arquivo de log do sistema.

three-color-policer

Policial o pacote usando um three-colo-policer

Nota:

Filtros de firewall da família Bridge podem ser aplicados como um filtro de saída nas interfaces de Camada 2. Quando a interface de Camada 2 está em um domínio de ponte configurado com a instrução, os roteadores da série ACX podem combinar com o vlan externo do pacote usando a combinação usuário vlan-id especificada no filtro de firewall da família vlan-id Bridge.

Combinar condições para filtros da família de firewall CCC (roteadores da série ACX)

Condições de combinação para filtros de firewall da família CCC

Nos roteadores da Série ACX, você pode configurar um filtro de firewall padrão com condições de combinação para tráfego de conexão cruzada (CCC) de circuito (ccc da família).

Tabela 5 descreve as condições de combinação que você pode configurar em [edit firewall family ccc filter filter-name term term-name] nível de hierarquia.

Tabela 5: As condições do filtro de firewall da família CCC para roteadores da série ACX

Campo

Descrição

destination-mac-address

Endereço MAC de destino

destination-port

Combina com a porta de destino TCP/UDP

dscp

Combina com um ponto de código de serviços diferenciados (DiffServ)

icmp-code

Combina com o código de mensagem ICMP

icmp-type

Combina com o tipo de mensagem ICMP

ip-destination-address

Combina com o endereço IP de destino

ip-precedence

Combina com o valor de precedência de IP

ip-protocol

Combina com o tipo de protocolo IP

ip-source-address

Combina com o endereço IP de origem

learn-vlan-1p-priority

As combinações aprendidas com a prioridade de VLAN 802.1p

source-mac-address

Endereço MAC de origem

source-port

Combina com a porta de origem TCP/UDP

user-vlan-1p-priority

Combina com a prioridade de VLAN do usuário 802.1p

Condições de combinação para tráfego IPv4 (roteadores da série ACX)

Nos roteadores da Série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de combinação para tráfego IPv4 (Versão IP) ( ). descreve as condições de combinação que você pode configurar no nível family inetTabela 6 da [edit firewall family inet filter filter-name term term-name from] hierarquia.

Tabela 6: O filtro de firewall combina com as condições do tráfego IPv4 em roteadores da série ACX

Condição de combinação

Descrição

destination-address address

Combinar com o campo de endereço de destino IPv4.

Nota:

Nos roteadores da Série ACX, você pode especificar apenas um endereço de destino. Uma lista de endereços de destino IPv4 não é suportada.

destination-port number

Combinar o campo de porta de destino de UDP ou TCP.

Se você configurar essa condição de combinação, recomendamos que você também configure a instrução ou a combinação no mesmo prazo para especificar qual protocolo está sendo protocol udpprotocol tcp usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão indicados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-datahttp (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (2108) snmp 5), snmptrap (161), (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

destination-prefix-list

Combinar prefixos de destino IP na lista de nomes.

dscp number

Combinar com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o tipo de serviço (ToS) no identificador de IP. Os 6 bits mais significativos deste byte formam o DSCP. Para obter mais informações, consulte Entender como os classificadores agregados de comportamento priorizam o tráfego confiável.

Você pode especificar um valor numérico de 0 a 63. Para especificar o valor na forma hexadecimal, inclua 0x como prefixo. Para especificar o valor em formato binário, inclua b como um prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • RFC 3246, um PHB de encaminhamento acelerado (comportamento por hop),define um ponto de código: ef(46).

  • RFC 2597, Grupo PHBde Encaminhamento Garantido, define 4 classes, com 3 precedências de drop em cada classe, para um total de 12 pontos de código:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

fragment-flags number

(Somente para ingresso) Combinar o campo de bandeiras de fragmentação DE IP de três bits no header IP.

No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão relacionados): dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

icmp-code number

Combinar o campo de código de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação protocol icmp no mesmo prazo.

Se você configurar essa condição de combinação, você também deve configurar a condição icmp-type message-type da combinação no mesmo prazo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • problema nos parâmetros: ip-header-bad(0), required-option-missing (1)

  • Redirecionar: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • ultrapassada no tempo: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Inacessível: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknownfragmentation-needed (6), (4), host-precedence-violationhost-unreachable (14), host-unreachable-for-TOS (1), network-unreachable (12), (0), network-unreachable-for-TOS (11), port-unreachableprecedence-cutoff-in-effect (3), (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number

Combinar o campo do tipo de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação protocol icmp no mesmo prazo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): echo-reply(0), echo-request (8), info-replyinfo-request (16), (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisementrouter-solicit (9), (10), source-quenchtime-exceeded (4), (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

ip-options values

Combinar o campo de opção de IP de 8 bits, se presente, ao valor especificado.

Os roteadores da série ACX têm suporte apenas para a condição de combinação, o que garante que os pacotes sejam enviados para a Mecanismo de Encaminhamento de Pacotes ip-options_any para processamento.

Nota:

Nos roteadores da Série ACX, você pode especificar apenas um valor de opção de IP. A configuração de vários valores não é suportada.

precedence ip-precedence-field

Combinar o campo de precedência de IP.

No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Você pode especificar precedência na forma hexadecimal, binária ou decimal.

protocol number

Combinar com o campo do tipo protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): dstopts(60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmpicmp6 (1), icmpv6 (58), (58), igmp (2), ipipipv6 (4), (41), no-next-headerospfpim (89), (103), routingrsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

source-address address

Combinar o endereço IPv4 do nó de origem que envia o pacote.

source-port number

Combinar o campo de porta de origem UDP ou TCP.

Se você configurar essa condição de combinação para tráfego IPv4, recomendamos que você também configure a instrução ou a instrução de combinação no mesmo termo para especificar qual protocolo está sendo protocol udpprotocol tcp usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto relacionados com a condição destination-port number de combinação.

source-prefix-list

Combinar prefixos de origem IP na lista de nomes.

tcp-flags value

Combinar um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no header TCP.

Para especificar campos de bit individuais, você pode especificar os seguintes valores de texto ou hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão TCP, o sinal SYN é definido apenas no pacote inicial enviado, enquanto o sinal ACK é definido em todos os pacotes enviados após o pacote inicial.

Você pode unir vários flags usando os operadores lógicos do campo de bit.

Para condições combinadas de match de campo de bit, consulte as tcp-initial condições da combinação.

Se você configurar essa condição de combinação, recomendamos que você também configure a instrução de match no mesmo prazo para especificar que o protocolo TCP está sendo protocol tcp usado na porta.

tcp-initial

Combinar o pacote inicial de uma conexão TCP. Este é um nome falso para tcp-flags "(!ack & syn)" .

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação protocol tcp no mesmo prazo.

ttl number

Combinar o número de time-to-live do IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para, number você pode especificar um ou mais valores de 2 a 255.

Condições de combinação para tráfego IPv6 (roteadores da série ACX)

Você pode configurar um filtro de firewall com condições de combinação para tráfego IPv6 (Internet Protocol versão 6) ( ). descreve as condições de combinação que você pode configurar no family inet6Tabela 7 nível da [edit firewall family inet6 filter filter-name term term-name from] hierarquia.

Tabela 7: As condições de combinação do filtro de firewall para o tráfego IPv6

Condição de combinação

Descrição

destination-address address

Combinar com o campo de endereço de destino IPv6.

destination-port number

Combinar o campo de porta de destino de UDP ou TCP.

Não é possível especificar as port condições e destination-port as combinações no mesmo termo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão indicados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-datahttp (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (2108) snmp 5), snmptrap (161), (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

destination-prefix-list

Combinar prefixos de destino IP na lista de nomes.

extension-headers header-type

Identifique um tipo de header de extensão que está contido no pacote identificando um próximo valor do header.

No primeiro fragmento de um pacote, o filtro pesquisa uma combinação em qualquer um dos tipos de header de extensão. Quando um pacote com um header de fragmentação é encontrado (um fragmento posterior), o filtro só pesquisa uma combinação do próximo tipo de header de extensão, porque a localização de outros headers de extensão é imprevisível.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Para combinar qualquer valor com a opção do cabeador de extensão, use o sinônimo de any texto.

Nota:

Somente o primeiro header de extensão do pacote IPv6 pode ser igualado. O cabeamento L4 para além de um header de extensão IPv6 será igualado.

hop-limit hop-limit

Combinar o limite de hop com o limite de hop especificado ou o conjunto de limites de hop. Para, hop-limit especifique um único valor ou um intervalo de valores de 0 a 255.

icmp-code message-code

Combinar o campo de código de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação next-header icmpnext-header icmp6 no mesmo prazo.

Se você configurar essa condição de combinação, você também deve configurar a condição icmp-type message-type da combinação no mesmo prazo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • problema nos parâmetros: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • ultrapassada no tempo: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • destino inalcançável: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-type message-type

Combinar o campo do tipo de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação next-header icmpnext-header icmp6 no mesmo prazo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachableecho-reply (1), (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-reportmembership-termination (131), (132), mobile-prefix-advertisement-reply (147), (146), (146), (130), (131), (132), (147), mobile-prefix-solicitation (146), (146) neighbor-advertisementneighbor-solicit 136), (135), node-information-reply (140), node-information-request (139), packet-too-bigparameter-problem (2), (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Para private-experimentation-201 (201), você também pode especificar uma variedade de valores dentro de suportes quadrados.

next-header header-type

Combinar o primeiro campo Next Header de 8 bits no pacote. O suporte para a next-header condição de combinação de firewall está disponível no Junos OS Release 13.3R6 e depois.

Para IPv6, recomendamos que você use o termo em vez do termo ao configurar um payload-protocol filtro de firewall com condições de next-header combinação. Embora possa ser usado, fornece a condição de combinação mais confiável, porque ele usa o protocolo de carga real para encontrar uma combinação, enquanto simplesmente leva o que aparece no primeiro header seguindo o payload-protocol header IPv6, que pode ou não ser o protocolo next-header real. Além disso, se for usado com IPv6, o processo de análise de bloco de filtro acelerado é ignorado e o next-header filtro padrão usado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): ah(51), dstops (60), egpesp (8), (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (4)1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Nota:

next-header icmp6 e as condições de combinação executam a next-header icmpv6 mesma função. é a opção next-header icmp6 preferida. está oculto na next-header icmpv6 CLI do Junos OS.

source-address address

Combinar o endereço IPv6 do nó de origem que envia o pacote.

source-port number

Combinar o campo de porta de origem UDP ou TCP.

Não é possível especificar port as condições e as source-port combinações no mesmo termo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto relacionados com a condição destination-port number de combinação.

source-prefix-list

Combinar prefixos de origem IP na lista de nomes.

tcp-flags flags

Combinar um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no header TCP.

Para especificar campos de bit individuais, você pode especificar os seguintes valores de texto ou hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão TCP, o sinal SYN é definido apenas no pacote inicial enviado, enquanto o sinal ACK é definido em todos os pacotes enviados após o pacote inicial.

Você pode unir vários flags usando os operadores lógicos do campo de bit.

Para condições combinadas de match de campo de bit, consulte as tcp-established condições tcp-initial e as combinações.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação no mesmo prazo para especificar que o protocolo TCP está sendo next-header tcp usado na porta.

tcp-initial

Combinar o pacote inicial de uma conexão TCP. Esse é um sinônimo de texto tcp-flags "(!ack & syn)" para .

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação next-header tcp no mesmo prazo.

traffic-class number

Combinar com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico a partir 0 de 63 . Para especificar o valor na forma hexadecimal, inclua 0x como prefixo. Para especificar o valor em formato binário, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • RFC 3246, um PHB de encaminhamento acelerado (comportamento por hop),define um ponto de código: ef(46).

  • RFC 2597, Grupo PHBde Encaminhamento Garantido, define 4 classes, com 3 precedências de drop em cada classe, para um total de 12 pontos de código:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

Nota:

Se você especificar um endereço IPv6 em uma condição de combinação (as condições, ou as condições da combinação), use a sintaxe para representações de texto descritas na arquitetura de endereçamento addressdestination-addresssource-address RFC 4291, IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte Visão geral do IPv6 e padrões IPv6 suportados.

A seguir, uma configuração de família de firewall inet6 amostrada:

Combinar condições para MPLS tráfego (roteadores da série ACX)

Nos roteadores da série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de combinação para MPLS tráfego ( family mpls ).

Nota:

As declarações e declarações de filtros de firewall para a família de protocolo são compatíveis com todas as interfaces, com exceção das interfaces de gerenciamento e input-list filter-namesoutput-list filter-names das mpls interfaces ethernet fxp internas em0 (ou), interfaces de loopback lo0 () umd e interfaces de modem USB ( ).

Tabela 8 descreve as condições de combinação que você pode configurar em [edit firewall family mpls filter filter-name term term-name from] nível de hierarquia.

Tabela 8: As condições de filtro de firewall padrão MPLS tráfego em roteadores da série ACX
Condição de combinação Descrição

exp number

Número de bits experimentais (EXP) ou uma variedade de números de bits no MPLS principal. Para, você pode especificar um ou mais valores de 0 a 7 em formato number decimais, binários ou hexadecimal.

Ações não-dominantes (Roteadores da Série ACX)

Filtros de firewall sem estado padrão têm suporte para diferentes conjuntos de ações não-dominantes para cada família de protocolos.

Nota:

Os roteadores da Série ACX não suportam a next term ação.

Os roteadores da Série ACX têm suporte para ações de log e syslog nas direções de entrada e saída para família inet e bridge família.

ACX5448, roteadores das séries ACX710 e ACX7100 não são logsyslogreject suportados, nem na direção forwarding-classloss-priority de saída. Na direção de entrada e saída, os roteadores só suportam a semântica específica da interface.

Tabela 9 descreve as ações nãoterminadas que você pode configurar para um termo de filtro de firewall padrão.

Tabela 9: Ações não-dominantes para filtros de firewall padrão em roteadores da série ACX

Ação nãoterminada

Descrição

Famílias de protocolo

count counter-name

Conte o pacote no contador nomeado.

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

Classifique o pacote com base na classe de encaminhamento especificada:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

Nota:

Essa ação é suportada apenas na entrada.

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

Registrar as informações do cabeamento do pacote em um buffer no Mecanismo de Encaminhamento de Pacotes. Você pode acessar essas informações ao emissão do show firewall log comando na interface de linha de comando (CLI).

Nota:

Essa ação é apoiada na entrada e saída. A ação de saída não é apoiada no inet6 da família.

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

De definir o nível de prioridade de perda de pacotes (PLP).

Também não é possível configurar three-color-policer a ação não-termo para o mesmo termo de filtro de firewall. Essas duas ações não-dominantes são mutuamente exclusivas.

Você deve incluir a instrução no nível da hierarquia para cometer uma configuração tri-color[edit class-of-service] de PLP com qualquer um dos quatro níveis especificados. Caso a tri-color declaração não seja habilitada, você pode configurar apenas os high níveis e os low níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre tri-color a declaração, consulte Configuração e aplicação de polícias tricolores de marcação. Para obter informações sobre como usar classificadores agregados de comportamento (BA) para definir o nível de PLP dos pacotes de entrada, consulte Entender como as classes de encaminhamento atribuem classes a filas de saída.

Nota:

Essa ação é suportada apenas na entrada.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

Nome do policial para usar para limitar a taxa de tráfego.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Espelhar a porta do pacote com base na família especificada.

Nota:

Essa ação é suportada apenas na entrada.

Os roteadores ACX5048 e ACX5096 não são port-mirror suportados.

family inet

syslog

Registre o pacote no arquivo de log do sistema.

Nota:

Essa ação é apoiada na entrada e saída. A ação de saída não é apoiada no inet6 da família.

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

Policial o pacote usando o polícial de três cores especificado de taxa única ou de duas taxas.

Também não é possível configurar a loss-priority ação pelo mesmo termo de filtro de firewall. Essas duas ações são mutuamente exclusivas.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

Definir ponto de código de classe de tráfego

Nota:

Essa ação é suportada apenas na entrada.

family inet6

Ações de terminação (roteadores da série ACX)

Filtros de firewall sem estado padrão têm suporte para diferentes conjuntos de ações de terminação para cada família de protocolos.

Nota:

Os roteadores da Série ACX não suportam a next term ação.

Tabela 10 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall padrão.

Tabela 10: Terminando as ações para filtros de firewall padrão em roteadores da série ACX

Ação de terminação

Descrição

Protocolos

accept

Aceite o pacote.

  • family any

  • family inet

  • family mpls

  • family ccc

discard

Descarte um pacote de maneira silenciosa, sem enviar uma mensagem do Protocolo de Mensagem de Controle da Internet (ICMP). Pacotes descartados estão disponíveis para registro e amostra.

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

Rejeite o pacote e volte uma mensagem ICMPv4 ou ICMPv6:

  • Se nenhum tipo de mensagem for especificado, uma destination-unreachable mensagem será retornada por padrão.

  • Se tcp-reset for especificado como o tipo de mensagem, ele só será devolvido se o pacote for um pacote tcp-reset TCP. Caso contrário, administratively-prohibited a mensagem, que tem valor de 13, é retornada.

  • Se algum outro tipo de mensagem for especificado, essa mensagem será retornada.

Nota:
  • Pacotes recusados podem ser amostrados ou registrados caso você configure sample a syslog ação.

  • Essa ação é suportada apenas na entrada.

A message-type opção pode ter um dos seguintes valores: address-unreachable, administratively-prohibitedbad-host-tos , , , , bad-network-tos , , , , , , beyond-scope , fragmentation-needed , , , , host-prohibitedhost-unknownhost-unreachable , network-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolated , source-route-failedtcp-reset

family inet

routing-instance routing-instance-name

Direcionar o pacote para a instância de roteamento especificada.

  • family inet