Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condições e ações de correspondência do filtro de firewall (roteadores da Série ACX)

Nos roteadores metro universais da Série ACX, você pode configurar filtros de firewall para filtrar pacotes e realizar uma ação em pacotes compatíveis com o filtro. As condições de correspondência especificadas para filtrar os pacotes são específicas para o tipo de tráfego que está sendo filtrado.

Filtros de firewall com condições de correspondência IPv6 não suportadas no nível de hierarquia em roteadores ACX6360-OR no Junos OS Release 19.1R1.firewall family inet6 filter name

Nota:

Nos roteadores da Série ACX, o filtro para o tráfego de saída (filtro de saída) pode ser aplicado apenas para instâncias específicas de interface do filtro de firewall.

Nos roteadores da Série ACX, erros de TCAM são vistos quando você modifica um prefixo ou um termo nos filtros de firewall aplicados. Para modificar um prefixo ou um termo no filtro de firewall, você precisa remover o filtro de firewall existente e, em seguida, aplicar o filtro modificado.

Nota:

Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.

Visão geral das condições e ações de correspondência do filtro de firewall em roteadores da Série ACX

Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall sem estado padrão.

Tabela 1: Condições de correspondência de filtro de firewall padrão por família de protocolo para roteadores da Série ACX

Tipo de tráfego

Nível de hierarquia em que as condições de correspondência são especificadas

Independente de protocolo

[edit firewall family any filter filter-name term term-name]

Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX.

IPv4

[edit firewall family inet filter filter-name term term-name

Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego IPv4 (roteadores da Série ACX).

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego MPLS (roteadores da Série ACX).Condições de correspondência para tráfego MPLS (roteadores da Série ACX)

CCC de camada 2

[edit firewall family ccc filter filter-name term term-name]

Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX.

Ponte

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (Aplicável apenas a roteadores de ACX5048 e ACX5096.)

Em ACX5448 roteador, os seguintes filtros da família de entrada podem ser dimensionados com base na disponibilidade de tcam externa:

  • Família ethernet-switching

  • Família ccc

  • Família inet

  • Família inet6

  • Família mpls

  • Família vpls

Sob a declaração de um termo padrão de filtro de firewall sem estado, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.then

Tabela 2 resume os tipos de ações que você pode especificar em um termo padrão de filtro de firewall sem estado.

Tabela 2: Categorias de ação de filtro de firewall padrão para roteadores da Série ACX

Tipo de ação

Descrição

Comentário

Terminação

Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada e não são usados termos adicionais para examinar o pacote.

Você pode especificar apenas uma ação de terminação em um filtro de firewall padrão. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar com e .acceptcountsyslog

Veja ações terminantes (roteadores da Série ACX).Ações terminais (roteadores da Série ACX)

Sem serminante

Executa outras funções em um pacote (como desapresentar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote.

Veja ações sem acordo (roteadores da Série ACX).Ações sem acordo (roteadores da Série ACX)

Condições de correspondência para filtros de firewall da família Bridge (roteadores da Série ACX)

Filtros de firewall da família Bridge em roteadores da Série ACX

Os filtros de firewall da família Bridge podem ser configurados no nível da família IFL em roteadores da série ACX. Os filtros da família Bridge são usados para combinar com os fluxos da ponte L2 com base nos campos de Camada2/Camada3 suportados e tomar medidas de firewall. O número máximo de termos suportados para filtros de firewall de ponte nos roteadores da Série ACX é de 124.

Nota:

Nos roteadores da série ACX5448 e ACX7000, você precisa aplicar os filtros de firewall de camada 2 apenas nos pacotes comulados de camada 2, mesmo que o domínio da ponte tenha o IRB anexado ao domínio da ponte. Se o pacote for encaminhado para a camada 3, então os filtros de camada 3 devem ser aplicados no IRB.

Nota:

Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.

Tabela 3 mostra as condições de correspondência suportadas para filtros da família bridge.

Tabela 3: Condições de correspondência do filtro de firewall da família Bridge para roteadores da Série ACX

Condição da partida

Descrição

grupos aplicáveis

Definir os grupos dos quais herdar dados de configuração

grupos aplicáveis, exceto

Definir quais grupos não transmitirão dados de configuração

endereço mac de destino

Definir o endereço MAC de destino

porta de destino

Combine com a porta de destino TCP/UDP

destination-prefix-list

Prefixos de destino IP compatíveis na lista nomeada.

Dscp

Combine com o ponto de código de serviços diferenciados (DiffServ)

tipo de ether

Combine com o tipo de ethernet

código de cânhamo

Combine com um código de mensagem do ICMP

tipo de cânhamo

Combine com um tipo de mensagem de ICMP

grupo de interface

Combine com um grupo de interface

endereço ip-destino

Combine com um endereço de destino IP

precedência ip

Corresponda a um valor de precedência de IP

protocolo ip

Combine com um tipo de protocolo IP

endereço ip-source

Combine com um endereço de origem IP

prioridade do learn-vlan-1p

Combine com a prioridade de VLAN aprendida do 802.1p

learn-vlan-dei

Bit de ID de ID de VLAN do usuário compatível

learn-vlan-id

Combine com uma ID VLAN aprendida

endereço source-mac

Definir o endereço MAC de origem

source-prefix-list

Prefixos de origem IP compatíveis na lista nomeada.

porta-fonte

Combine com uma porta de origem TCP/UDP

prioridade do usuário vlan-1p

Compatível com o usuário 802.1p VLAN Priority

usuário-vlan-id

Combine com uma ID VLAN de usuário

tipo vlan-ether

Combine com um tipo de Ethernet VLAN

Tabela 4 mostra os campos de ação suportados.

Tabela 4: Campos de ação de filtragem de firewall da família Bridge para roteadores da Série ACX

Campo de ação

Descrição

Aceitar

Aceite o pacote

Contar

Conte o pacote no balcão nomeado

Descartar

Descarte o pacote

classe de encaminhamento

Classifique o pacote para a aula de encaminhamento

prioridade de perda

Prioridade de perda de pacotes

Log

Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o comando de log de firewall show na interface de linha de comando (CLI).

policial

Nome do policiador para usar para limitar a taxa de tráfego

Syslog

Registre o pacote no arquivo de log do sistema.

policiador de três cores

Policiar o pacote usando um três-colo-policer

Nota:

Os filtros de firewall da família Bridge podem ser aplicados como um filtro de saída em interfaces de Camada 2. Quando a interface de Camada 2 está em um domínio de ponte configurado com a declaração, os roteadores da série ACX podem combinar com o vlan externo do pacote usando a correspondência vlan-id do usuário especificada no filtro de firewall da família bridge.vlan-id

Condições de correspondência para filtros da família de firewall CCC (roteadores da Série ACX)

Condições de correspondência para filtros de firewall da família CCC

Nos roteadores da Série ACX, você pode configurar um filtro de firewall padrão com condições de correspondência para tráfego entre conexões de circuito (CCC) (ccc familiar).

Tabela 5 descreve as condições de correspondência que você pode configurar no nível de hierarquia.[edit firewall family ccc filter filter-name term term-name]

Tabela 5: Condições de correspondência do filtro de firewall da família CCC para roteadores da Série ACX

Campo

Descrição

destination-mac-address

Endereço MAC de destino

destination-port

Corresponde à porta de destino TCP/UDP

dscp

Corresponde ao ponto de código de serviços diferenciados (DiffServ)

icmp-code

Corresponde ao código de mensagem do ICMP

icmp-type

Corresponde ao tipo de mensagem do ICMP

ip-destination-address

Correspondências de endereço IP de destino

ip-precedence

Corresponde ao valor da precedência de IP

ip-protocol

Corresponde ao tipo de protocolo IP

ip-source-address

Corresponde ao endereço IP de origem

learn-vlan-1p-priority

Correspondências aprendidas prioridade VLAN 802.1p

source-mac-address

Endereço MAC de origem

source-port

Corresponde à porta de origem TCP/UDP

user-vlan-1p-priority

Corresponde à prioridade de VLAN do usuário 802.1p

Condições de correspondência para tráfego IPv4 (roteadores da Série ACX)

Nos roteadores da Série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de correspondência para tráfego IP versão 4 (IPv4). family inet Descreve as condições de correspondência que você pode configurar no nível de hierarquia.Tabela 6[edit firewall family inet filter filter-name term term-name from]

Tabela 6: Condições de correspondência do filtro de firewall para tráfego IPv4 em roteadores da Série ACX

Condição da partida

Descrição

destination-address address

Combine com o campo de endereço de destino IPv4.

Nota:

Nos roteadores da Série ACX, você pode especificar apenas um endereço de destino. Uma lista de endereços de destino IPv4 não é suportada.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração ou a declaração de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.protocol udpprotocol tcp

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (2108), (25), (161), (162), (162) 444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) ou (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-prefix-list

Prefixos de destino IP compatíveis na lista nomeada.

dscp number

Combine com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

Você pode especificar um valor numérico de 0 a 63. Para especificar o valor na forma hexadácimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).

  • RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

    • (10), (12), (14)af11af12af13

    • (18), (20), (22)af21af22af23

    • (26), (28), (30)af31af32af33

    • (34), (36), (38)af41af42af43

fragment-flags number

(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP.

No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): (0x4), (0x2) ou (0x8).dont-fragmentmore-fragmentsreserved

icmp-code number

Combine com o campo de código de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo.protocol icmp

Se você configurar essa condição de correspondência, você também deve configurar a condição de correspondência no mesmo termo.icmp-type message-type Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • problema de parâmetros: (0), (1)ip-header-badrequired-option-missing

  • Redirecionar: (1), (0), (3), (2)redirect-for-hostredirect-for-networkredirect-for-tos-and-hostredirect-for-tos-and-net

  • tempo excedido: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

  • Inacessível: (13), (10), (7), (9), (6), (4), (14), (1), (12), (0), (11), (3), (15), (2), (8), (5)communication-prohibited-by-filteringdestination-host-prohibiteddestination-host-unknowndestination-network-prohibiteddestination-network-unknownfragmentation-neededhost-precedence-violationhost-unreachablehost-unreachable-for-TOSnetwork-unreachablenetwork-unreachable-for-TOSport-unreachableprecedence-cutoff-in-effectprotocol-unreachablesource-host-isolatedsource-route-failed

icmp-type number

Combine com o campo do tipo de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo.protocol icmp

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0), (8), (16), (15), (17), (18), (12), (5), (9), (10), (4), (11), (13), (14) ou (3).echo-replyecho-requestinfo-replyinfo-requestmask-requestmask-replyparameter-problemredirectrouter-advertisementrouter-solicitsource-quenchtime-exceededtimestamptimestamp-replyunreachable

ip-options values

Combine com o campo de opção de IP de 8 bits, se presente, com o valor especificado.

Os roteadores da Série ACX oferecem suporte apenas à condição de correspondência, que garante que os pacotes sejam enviados ao Mecanismo de encaminhamento de pacotes para processamento.ip-options_any

Nota:

Nos roteadores da Série ACX, você pode especificar apenas um valor de opção de IP. A configuração de vários valores não é suportada.

precedence ip-precedence-field

Combine com o campo de precedência de IP.

No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) ou (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine Você pode especificar a precedência em forma hexadima, binária ou decimais.

protocol number

Combine com o campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), , (89), (103), , (46), (132), (6), (17) ou (112).dstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudp vrrp

source-address address

Combine com o endereço IPv4 do nó de origem que envia o pacote.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a declaração ou correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.protocol udpprotocol tcp

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de correspondência.destination-port number

source-prefix-list

Prefixos de origem IP compatíveis na lista nomeada.

tcp-flags value

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as condições da partida.tcp-initial

Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.protocol tcp

tcp-initial

Combine com o pacote inicial de uma conexão TCP. Este é um apelido para .tcp-flags "(!ack & syn)"

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo.protocol tcp

ttl number

Combine com o número de tempo ao vivo IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para , você pode especificar um ou mais valores de 2 a 255.number

Condições de correspondência para tráfego IPv6 (roteadores da Série ACX)

Você pode configurar um filtro de firewall com condições de correspondência para o tráfego da versão 6 (IPv6) do Protocolo de Internet (IPv6). family inet6 descreve as condições de correspondência que você pode configurar no nível de hierarquia.Tabela 7[edit firewall family inet6 filter filter-name term term-name from]

Tabela 7: Condições de correspondência do filtro de firewall para tráfego IPv6

Condição da partida

Descrição

destination-address address

Combine com o campo de endereço de destino IPv6.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.portdestination-port

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (2108), (25), (161), (162), (162) 444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) ou (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-prefix-list

Prefixos de destino IP compatíveis na lista nomeada.

extension-headers header-type

Combine com um tipo de cabeçalho de extensão contido no pacote, identificando um valor de Cabeçalho Próximo.

No primeiro fragmento de um pacote, o filtro procura uma correspondência em qualquer um dos tipos de cabeçalho de extensão. Quando um pacote com um cabeçalho de fragmento é encontrado (um fragmento subseqüente), o filtro só procura uma correspondência do próximo tipo de cabeçalho de extensão porque a localização de outros cabeçalhos de extensão é imprevisível.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (50), (44), (0), (135) ou (43).ahdestinationespfragmenthop-by-hopmobilityrouting

Para combinar com qualquer valor para a opção de cabeçalho de extensão, use o sinônimo de texto.any

Nota:

Somente o primeiro cabeçalho de extensão do pacote IPv6 pode ser combinado. Cabeçalho L4 além de um cabeçalho de extensão IPv6 será combinado.

hop-limit hop-limit

Combine o limite de salto com o limite de salto ou conjunto de limites de salto especificados. Para , especifique um único valor ou uma gama de valores de 0 a 255.hop-limit

icmp-code message-code

Combine com o campo de código de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo.next-header icmpnext-header icmp6

Se você configurar essa condição de correspondência, você também deve configurar a condição de correspondência no mesmo termo.icmp-type message-type Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • problema de parâmetros: (0), (1), (2)ip6-header-badunrecognized-next-headerunrecognized-option

  • tempo excedido: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

  • destino inalcançável: (1), (3), (0), (4)administratively-prohibitedaddress-unreachableno-route-to-destinationport-unreachable

icmp-type message-type

Combine com o campo do tipo de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo.next-header icmpnext-header icmp6

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (146), (131), (132), (147), (146) 136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133) ou (3).certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-requesthome-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

Para (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados.private-experimentation-201

next-header header-type

Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do firewall está disponível no Junos OS Release 13.3R6 e posterior.next-header

Para O IPv6, recomendamos que você use o termo em vez do termo ao configurar um filtro de firewall com condições de correspondência.payload-protocolnext-header Embora possa ser usado, oferece a condição de correspondência mais confiável porque usa o protocolo de carga real para encontrar uma correspondência, enquanto simplesmente leva o que aparecer no primeiro cabeçalho após o cabeçalho IPv6, que pode ou não ser o protocolo real.payload-protocolnext-header Além disso, se for usado com o IPv6, o processo acelerado de pesquisa de blocos de filtro é ignorado e o filtro padrão usado em vez disso.next-header

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (4) 1), (135), (59), (89), (103), (43), (46), (132), (6), (17) ou (112).ahdstopsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6mobilityno-next-headerospfpimroutingrsvpsctptcpudp vrrp

Nota:

e as condições de correspondência executam a mesma função. é a opção preferida. está oculta no Junos OS CLI.next-header icmp6next-header icmpv6next-header icmp6next-header icmpv6

source-address address

Combine com o endereço IPv6 do nó de origem que envia o pacote.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as condições e combinar no mesmo termo.portsource-port

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de correspondência.destination-port number

source-prefix-list

Prefixos de origem IP compatíveis na lista nomeada.

tcp-flags flags

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as condições e as condições da partida.tcp-establishedtcp-initial

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo para especificar que o protocolo TCP está sendo usado na porta.next-header tcp

tcp-initial

Combine com o pacote inicial de uma conexão TCP. Este é um sinônimo de texto para .tcp-flags "(!ack & syn)"

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo.next-header tcp

traffic-class number

Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico de até .063 Para especificar o valor na forma hexadadecimal, inclua como prefixo.0x Para especificar o valor em forma binária, inclua como prefixo.b

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).

  • RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

    • (10), (12), (14)af11af12af13

    • (18), (20), (22)af21af22af23

    • (26), (28), (30)af31af32af33

    • (34), (36), (38)af41af42af43

Nota:

Se você especificar um endereço IPv6 em uma condição de correspondência (as condições, ou condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6.addressdestination-addresssource-address Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html

O seguinte é uma configuração inet6 da família de firewall de amostra:

Condições de correspondência para tráfego MPLS (roteadores da Série ACX)

Nos roteadores da Série ACX, você pode configurar um filtro de firewall stateless padrão com condições de correspondência para tráfego MPLS ().family mpls

Nota:

As declarações e declarações para filtros de firewall para a família de protocolo são suportadas em todas as interfaces, com exceção de interfaces de gerenciamento e interfaces internas de Ethernet ( ou ), interfaces de loopback () e interfaces de modem USB ().input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd

descreve as condições de correspondência que você pode configurar no nível de hierarquia.Tabela 8[edit firewall family mpls filter filter-name term term-name from]

Tabela 8: Condições de correspondência de filtro de firewall padrão para tráfego MPLS em roteadores da Série ACX
Condição da partida Descrição

exp number

Número de bit experimental (EXP) ou alcance de números de bits no cabeçalho MPLS. Para , você pode especificar um ou mais valores de 0 a 7 em formato decimais, binários ou hexadecimal.number

Ações sem acordo (roteadores da Série ACX)

Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações não intermináveis para cada família de protocolo.

Nota:

Os roteadores da Série ACX não suportam a ação .next term

Os roteadores da Série ACX oferecem suporte a ações de log e syslog em direções de entrada e saída para família e família .inetbridge

ACX5448, os roteadores da série ACX710 e da série ACX7100 não suportam, e na direção da saída.logsyslogrejectforwarding-classloss-priority Na direção de entrada e saída, os roteadores oferecem suporte apenas à semântica específica da interface.

Tabela 9 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall padrão.

Tabela 9: Ações sem acordo para filtros de firewall padrão em roteadores da Série ACX

Ação sem acordo

Descrição

Famílias de protocolo

count counter-name

Conte o pacote no balcão nomeado.

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

Classifique o pacote com base na classe de encaminhamento especificada:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

Nota:

Essa ação é apoiada apenas na entrada.

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o comando na interface de linha de comando (CLI).show firewall log

Nota:

Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar.

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

Definir o nível de prioridade de perda de pacote (PLP).

Você também não pode configurar a ação sem geração para o mesmo termo de filtro de firewall.three-color-policer Essas duas ações não intermináveis são mutuamente exclusivas.

Você deve incluir a declaração no nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados.tri-color[edit class-of-service] Se a declaração não estiver habilitada, você pode configurar apenas os níveis e os níveis.tri-colorhighlow Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a declaração, veja Configuração e aplicação de policiais tricolores de marcação.tri-colorConfiguring and Applying Tricolor Marking Policers Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.Understanding How Forwarding Classes Assign Classes to Output Queues

Nota:

Essa ação é apoiada apenas na entrada.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

Nome do policiador para usar para limitar o tráfego.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Espelhar a porta do pacote com base na família especificada.

Nota:

Essa ação é apoiada apenas na entrada.

os roteadores de ACX5048 e ACX5096 não oferecem suporte .port-mirror

family inet

syslog

Registre o pacote no arquivo de log do sistema.

Nota:

Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar.

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

Policiar o pacote usando o policiador de taxa única ou de duas categorias de três cores.

Você também não pode configurar a ação para o mesmo termo de filtro de firewall.loss-priority Essas duas ações são mutuamente exclusivas.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

Definir ponto de código de classe de tráfego

Nota:

Essa ação é apoiada apenas na entrada.

family inet6

Ações terminais (roteadores da Série ACX)

Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações de terminação para cada família de protocolo.

Nota:

Os roteadores da Série ACX não suportam a ação .next term

Tabela 10 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall padrão.

Tabela 10: Terminando ações para filtros de firewall padrão em roteadores da Série ACX

Ação de encerramento

Descrição

Protocolos

accept

Aceite o pacote.

  • family any

  • family inet

  • family mpls

  • family ccc

discard

Descarte um pacote silenciosamente, sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). Os pacotes descartados estão disponíveis para registro e amostragem.

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

Rejeitar o pacote e devolver uma mensagem ICMPv4 ou ICMPv6:

  • Se nenhum tipo de mensagem for especificado, uma mensagem é devolvida por padrão.destination-unreachable

  • Se for especificado como tipo de mensagem, só será devolvido se o pacote for um pacote TCP.tcp-resettcp-reset Caso contrário, a mensagem, que tem um valor de 13, é devolvida.administratively-prohibited

  • Se algum outro tipo de mensagem for especificado, essa mensagem será devolvida.

Nota:
  • Os pacotes rejeitados podem ser amostrados ou conectados se você configurar a ação ou ação.samplesyslog

  • Essa ação é apoiada apenas na entrada.

A opção pode ter um dos seguintes valores:message-type , , , , , , , , , , , , , , , , , address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

family inet

routing-instance routing-instance-name

Direcione o pacote para a instância de roteamento especificada.

  • family inet