Nesta página
Condições de correspondência para filtros de firewall da família Bridge (roteadores da Série ACX)
Condições de correspondência para filtros da família de firewall CCC (roteadores da Série ACX)
Condições de correspondência para tráfego IPv4 (roteadores da Série ACX)
Condições de correspondência para tráfego IPv6 (roteadores da Série ACX)
Condições de correspondência para tráfego MPLS (roteadores da Série ACX)
Condições e ações de correspondência do filtro de firewall (roteadores da Série ACX)
Nos roteadores metro universais da Série ACX, você pode configurar filtros de firewall para filtrar pacotes e realizar uma ação em pacotes compatíveis com o filtro. As condições de correspondência especificadas para filtrar os pacotes são específicas para o tipo de tráfego que está sendo filtrado.
Filtros de firewall com condições de correspondência IPv6 não suportadas no nível de firewall family inet6 filter name
hierarquia em roteadores ACX6360-OR no Junos OS Release 19.1R1.
Nos roteadores da Série ACX, o filtro para o tráfego de saída (filtro de saída) pode ser aplicado apenas para instâncias específicas de interface do filtro de firewall.
Nos roteadores da Série ACX, erros de TCAM são vistos quando você modifica um prefixo ou um termo nos filtros de firewall aplicados. Para modificar um prefixo ou um termo no filtro de firewall, você precisa remover o filtro de firewall existente e, em seguida, aplicar o filtro modificado.
Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.
Visão geral das condições e ações de correspondência do filtro de firewall em roteadores da Série ACX
Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall sem estado padrão.
Tipo de tráfego |
Nível de hierarquia em que as condições de correspondência são especificadas |
---|---|
Independente de protocolo |
Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX. |
IPv4 |
Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego IPv4 (roteadores da Série ACX). |
MPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego MPLS (roteadores da Série ACX). |
CCC de camada 2 |
Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX. |
Ponte |
|
Em ACX5448 roteador, os seguintes filtros da família de entrada podem ser dimensionados com base na disponibilidade de tcam externa:
família
ethernet-switching
família
ccc
família
inet
família
inet6
família
mpls
família
vpls
Sob a then
declaração de um termo padrão de filtro de firewall sem estado, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.
Tabela 2 resume os tipos de ações que você pode especificar em um termo padrão de filtro de firewall sem estado.
Tipo de ação |
Descrição |
Comentário |
---|---|---|
Terminação |
Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada e não são usados termos adicionais para examinar o pacote. Você pode especificar apenas uma ação de terminação em um filtro de firewall padrão. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar |
|
Sem serminante |
Executa outras funções em um pacote (como desapresentar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote. |
Condições de correspondência para filtros de firewall da família Bridge (roteadores da Série ACX)
Filtros de firewall da família Bridge em roteadores da Série ACX
Os filtros de firewall da família Bridge podem ser configurados no nível da família IFL em roteadores da série ACX. Os filtros da família Bridge são usados para combinar com os fluxos da ponte L2 com base nos campos de Camada2/Camada3 suportados e tomar medidas de firewall. O número máximo de termos suportados para filtros de firewall de ponte nos roteadores da Série ACX é de 124.
Nos roteadores da série ACX5448 e ACX7000, você precisa aplicar os filtros de firewall de camada 2 apenas nos pacotes comulados de camada 2, mesmo que o domínio da ponte tenha o IRB anexado ao domínio da ponte. Se o pacote for encaminhado para a camada 3, então os filtros de camada 3 devem ser aplicados no IRB.
Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.
Tabela 3 mostra as condições de correspondência suportadas para filtros da família bridge.
Condição da partida |
Descrição |
---|---|
grupos aplicáveis |
Definir os grupos dos quais herdar dados de configuração |
grupos aplicáveis, exceto |
Definir quais grupos não transmitirão dados de configuração |
endereço mac de destino |
Definir o endereço MAC de destino |
porta de destino |
Combine com a porta de destino TCP/UDP |
|
Prefixos de destino IP compatíveis na lista nomeada. |
dscp |
Combine com o ponto de código de serviços diferenciados (DiffServ) |
tipo de ether |
Combine com o tipo de ethernet |
código de cânhamo |
Combine com um código de mensagem do ICMP |
tipo de cânhamo |
Combine com um tipo de mensagem de ICMP |
grupo de interface |
Combine com um grupo de interface |
endereço ip-destino |
Combine com um endereço de destino IP |
precedência ip |
Corresponda a um valor de precedência de IP |
protocolo ip |
Combine com um tipo de protocolo IP |
endereço ip-source |
Combine com um endereço de origem IP |
prioridade do learn-vlan-1p |
Combine com a prioridade de VLAN aprendida do 802.1p |
learn-vlan-dei |
Bit de ID de ID de VLAN do usuário compatível |
learn-vlan-id |
Combine com uma ID VLAN aprendida |
endereço source-mac |
Definir o endereço MAC de origem |
|
Prefixos de origem IP compatíveis na lista nomeada. |
porta-fonte |
Combine com uma porta de origem TCP/UDP |
prioridade do usuário vlan-1p |
Compatível com o usuário 802.1p VLAN Priority |
usuário-vlan-id |
Combine com uma ID VLAN de usuário |
tipo vlan-ether |
Combine com um tipo de Ethernet VLAN |
Tabela 4 mostra os campos de ação suportados.
Campo de ação |
Descrição |
---|---|
aceitar |
Aceite o pacote |
a diferença. |
Conte o pacote no balcão nomeado |
descartar |
Descarte o pacote |
classe de encaminhamento |
Classifique o pacote para a aula de encaminhamento |
prioridade de perda |
Prioridade de perda de pacotes |
tora |
Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o comando de log de firewall show na interface de linha de comando (CLI). |
policial |
Nome do policiador para usar para limitar a taxa de tráfego |
syslog |
Registre o pacote no arquivo de log do sistema. |
policiador de três cores |
Policiar o pacote usando um três-colo-policer |
Os filtros de firewall da família Bridge podem ser aplicados como um filtro de saída em interfaces de Camada 2. Quando a interface de Camada 2 está em um domínio de ponte configurado com a declaração, os vlan-id
roteadores da série ACX podem combinar com o vlan externo do pacote usando a correspondência vlan-id do usuário especificada no filtro de firewall da família bridge.
Condições de correspondência para filtros da família de firewall CCC (roteadores da Série ACX)
Condições de correspondência para filtros de firewall da família CCC
Nos roteadores da Série ACX, você pode configurar um filtro de firewall padrão com condições de correspondência para tráfego entre conexões de circuito (CCC) (ccc familiar).
Tabela 5 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family ccc filter filter-name term term-name]
hierarquia.
Campo |
Descrição |
---|---|
|
Endereço MAC de destino |
|
Corresponde à porta de destino TCP/UDP |
|
Corresponde ao ponto de código de serviços diferenciados (DiffServ) |
|
Corresponde ao código de mensagem do ICMP |
|
Corresponde ao tipo de mensagem do ICMP |
|
Correspondências de endereço IP de destino |
|
Corresponde ao valor da precedência de IP |
|
Corresponde ao tipo de protocolo IP |
|
Corresponde ao endereço IP de origem |
|
Correspondências aprendidas prioridade VLAN 802.1p |
|
Endereço MAC de origem |
|
Corresponde à porta de origem TCP/UDP |
|
Corresponde à prioridade de VLAN do usuário 802.1p |
Condições de correspondência para tráfego IPv4 (roteadores da Série ACX)
Nos roteadores da Série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de correspondência para tráfegofamily inet
IP versão 4 (IPv4). Tabela 6 Descreve as condições de correspondência que você pode configurar no nível de [edit firewall family inet filter filter-name term term-name from]
hierarquia.
Condição da partida |
Descrição |
---|---|
|
Combine com o campo de endereço de destino IPv4. Nota:
Nos roteadores da Série ACX, você pode especificar apenas um endereço de destino. Uma lista de endereços de destino IPv4 não é suportada. |
|
Combine com o campo de porta de destino UDP ou TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): |
|
Prefixos de destino IP compatíveis na lista nomeada. |
|
Combine com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável. Você pode especificar um valor numérico de 0 a 63. Para especificar o valor na forma hexadácimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
|
(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP. No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): |
|
Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de Se você configurar essa condição de correspondência, você também deve configurar a condição de No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:
|
|
Combine com o campo do tipo de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): |
|
Combine com o campo de opção de IP de 8 bits, se presente, com o valor especificado. Os roteadores da Série ACX oferecem suporte apenas à condição de Nota:
Nos roteadores da Série ACX, você pode especificar apenas um valor de opção de IP. A configuração de vários valores não é suportada. |
|
Combine com o campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): |
|
Combine com o campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): |
|
Combine com o endereço IPv4 do nó de origem que envia o pacote. |
|
Combine com o campo de porta de origem UDP ou TCP. Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de |
|
Prefixos de origem IP compatíveis na lista nomeada. |
|
Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP. Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:
Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial. Você pode reunir várias bandeiras usando os operadores lógicos de campo bit. Para condições combinadas de jogo em campo pequeno, veja as condições da Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de |
|
Combine com o pacote inicial de uma conexão TCP. Este é um apelido para Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de |
|
Combine com o número de tempo ao vivo IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para |
Condições de correspondência para tráfego IPv6 (roteadores da Série ACX)
Você pode configurar um filtro de firewall com condições de correspondência para o tráfego da versão 6 (IPv6) do Protocolo de Internet (family inet6
IPv6). Tabela 7 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family inet6 filter filter-name term term-name from]
hierarquia.
Condição da partida |
Descrição |
|
---|---|---|
|
Combine com o campo de endereço de destino IPv6. |
|
|
Combine com o campo de porta de destino UDP ou TCP. Você não pode especificar as Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): |
|
|
Prefixos de destino IP compatíveis na lista nomeada. |
|
|
Combine com um tipo de cabeçalho de extensão contido no pacote, identificando um valor de Cabeçalho Próximo. No primeiro fragmento de um pacote, o filtro procura uma correspondência em qualquer um dos tipos de cabeçalho de extensão. Quando um pacote com um cabeçalho de fragmento é encontrado (um fragmento subseqüente), o filtro só procura uma correspondência do próximo tipo de cabeçalho de extensão porque a localização de outros cabeçalhos de extensão é imprevisível. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): Para combinar com qualquer valor para a opção de cabeçalho de extensão, use o sinônimo de Nota:
Somente o primeiro cabeçalho de extensão do pacote IPv6 pode ser combinado. Cabeçalho L4 além de um cabeçalho de extensão IPv6 será combinado. |
|
|
Combine o limite de salto com o limite de salto ou conjunto de limites de salto especificados. Para |
|
|
Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou Se você configurar essa condição de correspondência, você também deve configurar a condição de No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:
|
|
|
Combine com o campo do tipo de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): Para |
|
|
Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do Para O IPv6, recomendamos que você use o No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): Nota:
|
|
|
Combine com o endereço IPv6 do nó de origem que envia o pacote. |
|
|
Combine com o campo de porta de origem UDP ou TCP. Você não pode especificar as Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de |
|
|
Prefixos de origem IP compatíveis na lista nomeada. |
|
|
Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP. Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:
Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial. Você pode reunir várias bandeiras usando os operadores lógicos de campo bit. Para condições combinadas de jogo em campo pequeno, veja as Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de |
|
|
Combine com o pacote inicial de uma conexão TCP. Este é um sinônimo de texto para Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de |
|
|
Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4. Você pode especificar um valor numérico de No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
Se você especificar um endereço IPv6 em uma condição de correspondência (as address
condições, destination-address
ou source-address
condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.
O seguinte é uma configuração inet6 da família de firewall de amostra:
user@host# show firewall family inet6 filter ipv6-filter { term t1 { from { source-address { 2001:0000:0020:0020:0000:0000:0000:0150/128; } destination-address { 2001:0000:0040:0040:0000:0000:0000:0150/128; } next-header tcp; source-port 1000; destination-port 2000; extension-header dstopts; traffic-class ef; tcp-flags 0x20; hop-limit 254; } then count ipv6-t1-count; } term t2 { from { icmp-type neighbor-solicit; } then count ipv6-t2-count; } }
Condições de correspondência para tráfego MPLS (roteadores da Série ACX)
Nos roteadores da Série ACX, você pode configurar um filtro de firewall stateless padrão com condições de correspondência para tráfego MPLS (family mpls
).
As input-list filter-names
declarações e output-list filter-names
declarações para filtros de firewall para a mpls
família de protocolo são suportadas em todas as interfaces, com exceção de interfaces de gerenciamento e interfaces internas de Ethernet (fxp
ou em0
), interfaces de loopback (lo0
) e interfaces de modem USB (umd
).
Tabela 8 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family mpls filter filter-name term term-name from]
hierarquia.
Condição da partida | Descrição |
---|---|
|
Número de bit experimental (EXP) ou alcance de números de bits no cabeçalho MPLS. Para |
Ações sem acordo (roteadores da Série ACX)
Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações não intermináveis para cada família de protocolo.
Os roteadores da Série ACX não suportam a ação next term
.
Os roteadores da Série ACX oferecem suporte a ações de log e syslog em direções de entrada e saída para família inet e família bridge.
ACX5448, os roteadores da série ACX710 e ACX7100 não oferecem suportelogforwarding-classsyslogreject, e loss-priority na direção da saída. Na direção de entrada e saída, os roteadores oferecem suporte apenas à semântica específica da interface.
Tabela 9 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall padrão.
Ação sem acordo |
Descrição |
Famílias de protocolo |
---|---|---|
|
Conte o pacote no balcão nomeado. |
|
|
Classifique o pacote com base na classe de encaminhamento especificada:
Nota:
Essa ação é apoiada apenas na entrada. |
|
|
Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o Nota:
Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar. |
|
|
Definir o nível de prioridade de perda de pacote (PLP). Você também não pode configurar a ação Você deve incluir a Para obter informações sobre a Nota:
Essa ação é apoiada apenas na entrada. |
|
|
Nome do policiador para usar para limitar o tráfego. |
|
|
Espelhar a porta do pacote com base na família especificada. Nota:
Essa ação é apoiada apenas na entrada. os roteadores de ACX5048 e ACX5096 não oferecem suporte port-mirror. |
|
|
Registre o pacote no arquivo de log do sistema. Nota:
Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar. |
|
|
Policiar o pacote usando o policiador de taxa única ou de duas categorias de três cores. Você também não pode configurar a ação |
|
traffic-class |
Definir ponto de código de classe de tráfego Nota:
Essa ação é apoiada apenas na entrada. |
|
Ações terminais (roteadores da Série ACX)
Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações de terminação para cada família de protocolo.
Os roteadores da Série ACX não suportam a ação next term
.
Tabela 10 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall padrão.
Ação de encerramento |
Descrição |
Protocolos |
---|---|---|
|
Aceite o pacote. |
|
|
Descarte um pacote silenciosamente, sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). Os pacotes descartados estão disponíveis para registro e amostragem. |
|
|
Rejeitar o pacote e devolver uma mensagem ICMPv4 ou ICMPv6:
Nota:
A opção |
|
|
Direcione o pacote para a instância de roteamento especificada. |
|