Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condições e ações de correspondência do filtro de firewall (roteadores da Série ACX)

Nos roteadores metro universais da Série ACX, você pode configurar filtros de firewall para filtrar pacotes e realizar uma ação em pacotes compatíveis com o filtro. As condições de correspondência especificadas para filtrar os pacotes são específicas para o tipo de tráfego que está sendo filtrado.

Filtros de firewall com condições de correspondência IPv6 não suportadas no nível de firewall family inet6 filter name hierarquia em roteadores ACX6360-OR no Junos OS Release 19.1R1.

Nota:

Nos roteadores da Série ACX, o filtro para o tráfego de saída (filtro de saída) pode ser aplicado apenas para instâncias específicas de interface do filtro de firewall.

Nos roteadores da Série ACX, erros de TCAM são vistos quando você modifica um prefixo ou um termo nos filtros de firewall aplicados. Para modificar um prefixo ou um termo no filtro de firewall, você precisa remover o filtro de firewall existente e, em seguida, aplicar o filtro modificado.

Nota:

Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.

Visão geral das condições e ações de correspondência do filtro de firewall em roteadores da Série ACX

Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall sem estado padrão.

Tabela 1: Condições de correspondência de filtro de firewall padrão por família de protocolo para roteadores da Série ACX

Tipo de tráfego

Nível de hierarquia em que as condições de correspondência são especificadas

Independente de protocolo

[edit firewall family any filter filter-name term term-name]

Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX.

IPv4

[edit firewall family inet filter filter-name term term-name

Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego IPv4 (roteadores da Série ACX).

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego MPLS (roteadores da Série ACX).

CCC de camada 2

[edit firewall family ccc filter filter-name term term-name]

Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX.

Ponte

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (Aplicável apenas a roteadores de ACX5048 e ACX5096.)

Em ACX5448 roteador, os seguintes filtros da família de entrada podem ser dimensionados com base na disponibilidade de tcam externa:

  • família ethernet-switching

  • família ccc

  • família inet

  • família inet6

  • família mpls

  • família vpls

Sob a then declaração de um termo padrão de filtro de firewall sem estado, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.

Tabela 2 resume os tipos de ações que você pode especificar em um termo padrão de filtro de firewall sem estado.

Tabela 2: Categorias de ação de filtro de firewall padrão para roteadores da Série ACX

Tipo de ação

Descrição

Comentário

Terminação

Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada e não são usados termos adicionais para examinar o pacote.

Você pode especificar apenas uma ação de terminação em um filtro de firewall padrão. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar accept com count e syslog.

Veja ações terminantes (roteadores da Série ACX).

Sem serminante

Executa outras funções em um pacote (como desapresentar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote.

Veja ações sem acordo (roteadores da Série ACX).

Condições de correspondência para filtros de firewall da família Bridge (roteadores da Série ACX)

Filtros de firewall da família Bridge em roteadores da Série ACX

Os filtros de firewall da família Bridge podem ser configurados no nível da família IFL em roteadores da série ACX. Os filtros da família Bridge são usados para combinar com os fluxos da ponte L2 com base nos campos de Camada2/Camada3 suportados e tomar medidas de firewall. O número máximo de termos suportados para filtros de firewall de ponte nos roteadores da Série ACX é de 124.

Nota:

Nos roteadores da série ACX5448 e ACX7000, você precisa aplicar os filtros de firewall de camada 2 apenas nos pacotes comulados de camada 2, mesmo que o domínio da ponte tenha o IRB anexado ao domínio da ponte. Se o pacote for encaminhado para a camada 3, então os filtros de camada 3 devem ser aplicados no IRB.

Nota:

Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.

Tabela 3 mostra as condições de correspondência suportadas para filtros da família bridge.

Tabela 3: Condições de correspondência do filtro de firewall da família Bridge para roteadores da Série ACX

Condição da partida

Descrição

grupos aplicáveis

Definir os grupos dos quais herdar dados de configuração

grupos aplicáveis, exceto

Definir quais grupos não transmitirão dados de configuração

endereço mac de destino

Definir o endereço MAC de destino

porta de destino

Combine com a porta de destino TCP/UDP

destination-prefix-list

Prefixos de destino IP compatíveis na lista nomeada.

dscp

Combine com o ponto de código de serviços diferenciados (DiffServ)

tipo de ether

Combine com o tipo de ethernet

código de cânhamo

Combine com um código de mensagem do ICMP

tipo de cânhamo

Combine com um tipo de mensagem de ICMP

grupo de interface

Combine com um grupo de interface

endereço ip-destino

Combine com um endereço de destino IP

precedência ip

Corresponda a um valor de precedência de IP

protocolo ip

Combine com um tipo de protocolo IP

endereço ip-source

Combine com um endereço de origem IP

prioridade do learn-vlan-1p

Combine com a prioridade de VLAN aprendida do 802.1p

learn-vlan-dei

Bit de ID de ID de VLAN do usuário compatível

learn-vlan-id

Combine com uma ID VLAN aprendida

endereço source-mac

Definir o endereço MAC de origem

source-prefix-list

Prefixos de origem IP compatíveis na lista nomeada.

porta-fonte

Combine com uma porta de origem TCP/UDP

prioridade do usuário vlan-1p

Compatível com o usuário 802.1p VLAN Priority

usuário-vlan-id

Combine com uma ID VLAN de usuário

tipo vlan-ether

Combine com um tipo de Ethernet VLAN

Tabela 4 mostra os campos de ação suportados.

Tabela 4: Campos de ação de filtragem de firewall da família Bridge para roteadores da Série ACX

Campo de ação

Descrição

aceitar

Aceite o pacote

a diferença.

Conte o pacote no balcão nomeado

descartar

Descarte o pacote

classe de encaminhamento

Classifique o pacote para a aula de encaminhamento

prioridade de perda

Prioridade de perda de pacotes

tora

Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o comando de log de firewall show na interface de linha de comando (CLI).

policial

Nome do policiador para usar para limitar a taxa de tráfego

syslog

Registre o pacote no arquivo de log do sistema.

policiador de três cores

Policiar o pacote usando um três-colo-policer

Nota:

Os filtros de firewall da família Bridge podem ser aplicados como um filtro de saída em interfaces de Camada 2. Quando a interface de Camada 2 está em um domínio de ponte configurado com a declaração, os vlan-id roteadores da série ACX podem combinar com o vlan externo do pacote usando a correspondência vlan-id do usuário especificada no filtro de firewall da família bridge.

Condições de correspondência para filtros da família de firewall CCC (roteadores da Série ACX)

Condições de correspondência para filtros de firewall da família CCC

Nos roteadores da Série ACX, você pode configurar um filtro de firewall padrão com condições de correspondência para tráfego entre conexões de circuito (CCC) (ccc familiar).

Tabela 5 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family ccc filter filter-name term term-name] hierarquia.

Tabela 5: Condições de correspondência do filtro de firewall da família CCC para roteadores da Série ACX

Campo

Descrição

destination-mac-address

Endereço MAC de destino

destination-port

Corresponde à porta de destino TCP/UDP

dscp

Corresponde ao ponto de código de serviços diferenciados (DiffServ)

icmp-code

Corresponde ao código de mensagem do ICMP

icmp-type

Corresponde ao tipo de mensagem do ICMP

ip-destination-address

Correspondências de endereço IP de destino

ip-precedence

Corresponde ao valor da precedência de IP

ip-protocol

Corresponde ao tipo de protocolo IP

ip-source-address

Corresponde ao endereço IP de origem

learn-vlan-1p-priority

Correspondências aprendidas prioridade VLAN 802.1p

source-mac-address

Endereço MAC de origem

source-port

Corresponde à porta de origem TCP/UDP

user-vlan-1p-priority

Corresponde à prioridade de VLAN do usuário 802.1p

Condições de correspondência para tráfego IPv4 (roteadores da Série ACX)

Nos roteadores da Série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de correspondência para tráfegofamily inet IP versão 4 (IPv4). Tabela 6 Descreve as condições de correspondência que você pode configurar no nível de [edit firewall family inet filter filter-name term term-name from] hierarquia.

Tabela 6: Condições de correspondência do filtro de firewall para tráfego IPv4 em roteadores da Série ACX

Condição da partida

Descrição

destination-address address

Combine com o campo de endereço de destino IPv4.

Nota:

Nos roteadores da Série ACX, você pode especificar apenas um endereço de destino. Uma lista de endereços de destino IPv4 não é suportada.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a protocol udp declaração ou protocol tcp a declaração de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), (434), mobileip-agentmobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), (139), (2049), (119), (518), (518), (137), netbios-ssn (139), nfsd (2049), (119), nntpntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-prefix-list

Prefixos de destino IP compatíveis na lista nomeada.

dscp number

Combine com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.

Você pode especificar um valor numérico de 0 a 63. Para especificar o valor na forma hexadácimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).

  • RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

fragment-flags number

(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP.

No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

icmp-code number

Combine com o campo de código de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de protocol icmp correspondência no mesmo termo.

Se você configurar essa condição de correspondência, você também deve configurar a condição de icmp-type message-type correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • problema de parâmetros: ip-header-bad(0), required-option-missing (1)

  • redirecionar: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • tempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Inacessível: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), (14), host-precedence-violationhost-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), (2), protocol-unreachablesource-host-isolated (8), source-route-failed (5)

icmp-type number

Combine com o campo do tipo de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de protocol icmp correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), (12), parameter-problemredirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

ip-options values

Combine com o campo de opção de IP de 8 bits, se presente, com o valor especificado.

Os roteadores da Série ACX oferecem suporte apenas à condição de ip-options_any correspondência, que garante que os pacotes sejam enviados ao Mecanismo de encaminhamento de pacotes para processamento.

Nota:

Nos roteadores da Série ACX, você pode especificar apenas um valor de opção de IP. A configuração de vários valores não é suportada.

precedence ip-precedence-field

Combine com o campo de precedência de IP.

No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Você pode especificar a precedência em forma hexadima, binária ou decimais.

protocol number

Combine com o campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): dstopts(60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), (1), icmpicmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), no-next-header, ospf (89), (103), routingpim , rsvp (46), sctp (132), (6), tcpudp  (17) ou vrrp (112).

source-address address

Combine com o endereço IPv4 do nó de origem que envia o pacote.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a protocol udp declaração ou protocol tcp correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de destination-port number correspondência.

source-prefix-list

Prefixos de origem IP compatíveis na lista nomeada.

tcp-flags value

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as condições da tcp-initial partida.

Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de protocol tcp correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.

tcp-initial

Combine com o pacote inicial de uma conexão TCP. Este é um apelido para tcp-flags "(!ack & syn)".

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de protocol tcp correspondência no mesmo termo.

ttl number

Combine com o número de tempo ao vivo IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para number, você pode especificar um ou mais valores de 2 a 255.

Condições de correspondência para tráfego IPv6 (roteadores da Série ACX)

Você pode configurar um filtro de firewall com condições de correspondência para o tráfego da versão 6 (IPv6) do Protocolo de Internet (family inet6IPv6). Tabela 7 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family inet6 filter filter-name term term-name from] hierarquia.

Tabela 7: Condições de correspondência do filtro de firewall para tráfego IPv6

Condição da partida

Descrição

destination-address address

Combine com o campo de endereço de destino IPv6.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as port condições e destination-port as condições compatíveis no mesmo termo.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header tcp a next-header udp condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), (434), mobileip-agentmobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), (139), (2049), (119), (518), (518), (137), netbios-ssn (139), nfsd (2049), (119), nntpntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-prefix-list

Prefixos de destino IP compatíveis na lista nomeada.

extension-headers header-type

Combine com um tipo de cabeçalho de extensão contido no pacote, identificando um valor de Cabeçalho Próximo.

No primeiro fragmento de um pacote, o filtro procura uma correspondência em qualquer um dos tipos de cabeçalho de extensão. Quando um pacote com um cabeçalho de fragmento é encontrado (um fragmento subseqüente), o filtro só procura uma correspondência do próximo tipo de cabeçalho de extensão porque a localização de outros cabeçalhos de extensão é imprevisível.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Para combinar com qualquer valor para a opção de cabeçalho de extensão, use o sinônimo de anytexto.

Nota:

Somente o primeiro cabeçalho de extensão do pacote IPv6 pode ser combinado. Cabeçalho L4 além de um cabeçalho de extensão IPv6 será combinado.

hop-limit hop-limit

Combine o limite de salto com o limite de salto ou conjunto de limites de salto especificados. Para hop-limit, especifique um único valor ou uma gama de valores de 0 a 255.

icmp-code message-code

Combine com o campo de código de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header icmp6 a next-header icmp condição de correspondência no mesmo termo.

Se você configurar essa condição de correspondência, você também deve configurar a condição de icmp-type message-type correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • problema de parâmetros: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • tempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • destino inalcançável: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-type message-type

Combine com o campo do tipo de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header icmp6 a next-header icmp condição de correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), (131), (132), (147), (146), (146), (131), membership-reportmembership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146) neighbor-advertisement 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), (4), private-experimentation-100parameter-problem (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Para private-experimentation-201 (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados.

next-header header-type

Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do next-header firewall está disponível no Junos OS Release 13.3R6 e posterior.

Para O IPv6, recomendamos que você use o payload-protocol termo em vez do next-header termo ao configurar um filtro de firewall com condições de correspondência. Embora possa ser usado, oferece a condição de correspondência mais confiável porque payload-protocol usa o protocolo de carga real para encontrar uma correspondência, enquanto next-header simplesmente leva o que aparecer no primeiro cabeçalho após o cabeçalho IPv6, que pode ou não ser o protocolo real. Além disso, se next-header for usado com o IPv6, o processo acelerado de pesquisa de blocos de filtro é ignorado e o filtro padrão usado em vez disso.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah(51), dstops (60), egp (8), esp (50), fragment (44), (47), gre (0), hop-by-hopicmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (4) ipv6 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Nota:

next-header icmp6 e next-header icmpv6 as condições de correspondência executam a mesma função. next-header icmp6 é a opção preferida. next-header icmpv6 está oculta no Junos OS CLI.

source-address address

Combine com o endereço IPv6 do nó de origem que envia o pacote.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as port condições e source-port combinar no mesmo termo.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header tcp a next-header udp condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de destination-port number correspondência.

source-prefix-list

Prefixos de origem IP compatíveis na lista nomeada.

tcp-flags flags

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as tcp-established condições e tcp-initial as condições da partida.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de next-header tcp correspondência no mesmo termo para especificar que o protocolo TCP está sendo usado na porta.

tcp-initial

Combine com o pacote inicial de uma conexão TCP. Este é um sinônimo de texto para tcp-flags "(!ack & syn)".

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de next-header tcp correspondência no mesmo termo.

traffic-class number

Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico de 0 até 63. Para especificar o valor na forma hexadadecimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).

  • RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

Nota:

Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições, destination-addressou source-address condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.

O seguinte é uma configuração inet6 da família de firewall de amostra:

Condições de correspondência para tráfego MPLS (roteadores da Série ACX)

Nos roteadores da Série ACX, você pode configurar um filtro de firewall stateless padrão com condições de correspondência para tráfego MPLS (family mpls).

Nota:

As input-list filter-names declarações e output-list filter-names declarações para filtros de firewall para a mpls família de protocolo são suportadas em todas as interfaces, com exceção de interfaces de gerenciamento e interfaces internas de Ethernet (fxp ou em0), interfaces de loopback (lo0) e interfaces de modem USB (umd).

Tabela 8 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family mpls filter filter-name term term-name from] hierarquia.

Tabela 8: Condições de correspondência de filtro de firewall padrão para tráfego MPLS em roteadores da Série ACX
Condição da partida Descrição

exp number

Número de bit experimental (EXP) ou alcance de números de bits no cabeçalho MPLS. Para number, você pode especificar um ou mais valores de 0 a 7 em formato decimais, binários ou hexadecimal.

Ações sem acordo (roteadores da Série ACX)

Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações não intermináveis para cada família de protocolo.

Nota:

Os roteadores da Série ACX não suportam a ação next term .

Os roteadores da Série ACX oferecem suporte a ações de log e syslog em direções de entrada e saída para família inet e família bridge.

ACX5448, os roteadores da série ACX710 e ACX7100 não oferecem suportelogforwarding-classsyslogreject, e loss-priority na direção da saída. Na direção de entrada e saída, os roteadores oferecem suporte apenas à semântica específica da interface.

Tabela 9 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall padrão.

Tabela 9: Ações sem acordo para filtros de firewall padrão em roteadores da Série ACX

Ação sem acordo

Descrição

Famílias de protocolo

count counter-name

Conte o pacote no balcão nomeado.

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

Classifique o pacote com base na classe de encaminhamento especificada:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

Nota:

Essa ação é apoiada apenas na entrada.

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o show firewall log comando na interface de linha de comando (CLI).

Nota:

Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar.

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

Definir o nível de prioridade de perda de pacote (PLP).

Você também não pode configurar a ação three-color-policer sem geração para o mesmo termo de filtro de firewall. Essas duas ações não intermináveis são mutuamente exclusivas.

Você deve incluir a tri-color declaração no nível de [edit class-of-service] hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a tri-color declaração não estiver habilitada, você pode configurar apenas os níveis e low os high níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a tri-color declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.

Nota:

Essa ação é apoiada apenas na entrada.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

Nome do policiador para usar para limitar o tráfego.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Espelhar a porta do pacote com base na família especificada.

Nota:

Essa ação é apoiada apenas na entrada.

os roteadores de ACX5048 e ACX5096 não oferecem suporte port-mirror.

family inet

syslog

Registre o pacote no arquivo de log do sistema.

Nota:

Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar.

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

Policiar o pacote usando o policiador de taxa única ou de duas categorias de três cores.

Você também não pode configurar a ação loss-priority para o mesmo termo de filtro de firewall. Essas duas ações são mutuamente exclusivas.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

Definir ponto de código de classe de tráfego

Nota:

Essa ação é apoiada apenas na entrada.

family inet6

Ações terminais (roteadores da Série ACX)

Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações de terminação para cada família de protocolo.

Nota:

Os roteadores da Série ACX não suportam a ação next term .

Tabela 10 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall padrão.

Tabela 10: Terminando ações para filtros de firewall padrão em roteadores da Série ACX

Ação de encerramento

Descrição

Protocolos

accept

Aceite o pacote.

  • family any

  • family inet

  • family mpls

  • family ccc

discard

Descarte um pacote silenciosamente, sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). Os pacotes descartados estão disponíveis para registro e amostragem.

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

Rejeitar o pacote e devolver uma mensagem ICMPv4 ou ICMPv6:

  • Se nenhum tipo de mensagem for especificado, uma destination-unreachable mensagem é devolvida por padrão.

  • Se tcp-reset for especificado como tipo de mensagem, tcp-reset só será devolvido se o pacote for um pacote TCP. Caso contrário, a administratively-prohibited mensagem, que tem um valor de 13, é devolvida.

  • Se algum outro tipo de mensagem for especificado, essa mensagem será devolvida.

Nota:
  • Os pacotes rejeitados podem ser amostrados ou conectados se você configurar a ação ou syslog açãosample.

  • Essa ação é apoiada apenas na entrada.

A opção message-type pode ter um dos seguintes valores: address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tos, , beyond-scope, host-prohibitedfragmentation-neededhost-unknown, network-prohibitedhost-unreachable, , network-unknown, , network-unreachable, no-route, port-unreachable, , precedence-cutoff, , source-host-isolatedprotocol-unreachablesource-route-failedtcp-resetprecedence-violation

family inet

routing-instance routing-instance-name

Direcione o pacote para a instância de roteamento especificada.

  • family inet