防火墙过滤器匹配条件和操作(ACX 系列路由器)
在 ACX 系列通用城域网路由器上,您可以配置防火墙过滤器以过滤数据包并对与过滤器匹配的数据包执行操作。为过滤数据包而指定的匹配条件特定于要过滤的流量类型。
在 Junos OS 19.1R1 版的 ACX6360-OR 路由器上,具有 IPv6 匹配条件的防火墙过滤器在层次结构级别上不受支持 firewall family inet6 filter name 。
在 ACX 系列路由器上,现有流量过滤器(出口过滤器)只能应用于 防火墙过滤器的接口特定实例。
在 ACX 系列路由器上,当您修改应用的防火墙过滤器上的前缀或术语时,会看到 TCAM 错误。要修改防火墙过滤器中的前缀或术语,您需要删除现有防火墙过滤器,然后应用修改后的过滤器。
在 ACX 系列路由器上,您无法在 IRB 接口上的出口方向应用防火墙过滤器。
ACX 系列路由器上的防火墙过滤器匹配条件和操作概述
表 1 介绍了可以为其配置标准无状态防火墙过滤器的流量类型。
流量类型 |
指定匹配条件的层次结构级别 |
|---|---|
与协议无关 |
ACX 系列路由器上不支持此流量类型的匹配条件。 |
IPv4 |
有关匹配条件的完整列表,请参阅 IPv4 流量(ACX 系列路由器)的匹配条件。 |
MPLS |
有关匹配条件的完整列表,请参阅 MPLS 流量(ACX 系列路由器)的匹配条件。 |
第 2 层 CCC |
ACX 系列路由器上不支持此流量类型的匹配条件。 |
桥 |
|
在ACX5448路由器上,可以根据外部 tcam 的可用性扩展以下入口系列过滤器:
家庭
ethernet-switching家庭
ccc家庭
inet家庭
inet6家庭
mpls家庭
vpls
then在标准无状态防火墙过滤器术语的语句下,您可以指定要对与术语匹配的数据包执行的操作。
表 2 总结了可以在标准无状态防火墙过滤器术语中指定的操作类型。
操作类型 |
Description |
评论 |
|---|---|---|
终止 |
停止对特定数据包的防火墙过滤器的所有评估。路由器执行指定的操作,并且不会使用其他术语来检查数据包。 在标准防火墙过滤器中只能指定一个 终止操作 。但是,您可以在单个术语中指定一个或多个 非终止操作 的终止操作。例如,在术语中,可以使用 和 |
|
非终止 |
对数据包执行其他功能(例如,指控计数器、记录有关数据包标头的信息、对数据包数据进行采样或使用系统日志功能向远程主机发送信息),但任何其他术语都用于检查数据包。 |
网桥系列防火墙过滤器(ACX 系列路由器)的匹配条件
ACX 系列路由器上的网桥系列防火墙过滤器
可以在 ACX 系列路由器上的 IFL 系列级别配置网桥系列防火墙过滤器。网桥系列过滤器用于根据支持的第 2 层/第 3 层字段匹配 L2 网桥流并执行防火墙操作。ACX 系列路由器上的网桥防火墙过滤器支持的最大术语数为 124。
在 ACX5448 和 ACX7000 系列路由器上,您只需在第 2 层交换数据包上应用第 2 层防火墙过滤器,即使桥接域已将 IRB 连接到桥接域也是如此。如果数据包是第 3 层转发的,则必须在 IRB 上应用第 3 层过滤器。
在 ACX 系列路由器上,您无法在 IRB 接口上的出口方向应用防火墙过滤器。
表 3 显示网桥族过滤器支持的匹配条件。
匹配条件 |
Description |
|---|---|
应用组 |
设置要从中继承配置数据的组 |
应用组除外 |
设置哪些组不会广播配置数据 |
目的地 MAC 地址 |
设置目标 MAC 地址 |
目标端口 |
匹配 TCP/UDP 目标端口 |
|
匹配命名列表中的 IP 目标前缀。 |
DSCP |
匹配差异服务 (DiffServ) 代码点 |
醚型 |
匹配以太网类型 |
ICMP 代码 |
匹配 ICMP 消息代码 |
ICMP 类型 |
匹配 ICMP 消息类型 |
接口组 |
匹配接口组 |
IP 目标地址 |
匹配 IP 目标地址 |
IP 优先级 |
匹配 IP 优先级值 |
IP 协议 |
匹配 IP 协议类型 |
IP 源地址 |
匹配 IP 源地址 |
学习 VLAN-1P 优先级 |
匹配获知的 802.1p VLAN 优先级 |
learn-vlan-dei |
匹配用户 VLAN ID DEI 位 |
学习 VLAN ID |
匹配获知的 VLAN ID |
源-MAC-地址 |
设置源 MAC 地址 |
|
匹配命名列表中的 IP 源前缀。 |
源端口 |
匹配 TCP/UDP 源端口 |
用户 VLAN-1P 优先级 |
匹配用户 802.1p VLAN 优先级 |
用户 VLAN ID |
匹配用户 VLAN ID |
VLAN-醚型 |
匹配 VLAN 以太网类型 |
表 4 显示支持的操作字段。
操作字段 |
Description |
|---|---|
接受 |
接受数据包 |
count |
对指定计数器中的数据包进行计数 |
discard |
丢弃数据包 |
转发类 |
将数据包分类为转发类 |
丢失优先级 |
数据包的丢失优先级 |
日志 |
将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面 (CLI) 上发出 show firewall log 命令来访问此信息。 |
策略程序 |
用于对流量进行速率限制的监管器的名称 |
syslog |
将数据包记录到系统日志文件中。 |
三色监管器 |
使用三联监管器对数据包进行监管 |
网桥系列防火墙过滤器可用作第 2 层接口上的输出过滤器。当第 2 层接口位于配置了该语句的 vlan-id 网桥域上时,ACX 系列路由器可以使用网桥系列防火墙过滤器中指定的用户 VLAN-id 匹配来匹配数据包的外部 VLAN。
CCC 防火墙系列过滤器(ACX 系列路由器)的匹配条件
CCC 系列防火墙过滤器的匹配条件
在 ACX 系列路由器上,您可以配置具有电路交叉连接 (CCC) 流量(系列 ccc)匹配条件的标准防火墙过滤器。
表 5 描述了可以在层次结构级别配置的 [edit firewall family ccc filter filter-name term term-name] 匹配条件。
田 |
Description |
|---|---|
|
目标 MAC 地址 |
|
匹配 TCP/UDP 目标端口 |
|
匹配差异服务 (DiffServ) 代码点 |
|
匹配 ICMP 消息代码 |
|
匹配 ICMP 消息类型 |
|
匹配目标 IP 地址 |
|
匹配 IP 优先级值 |
|
匹配 IP 协议类型 |
|
匹配源 IP 地址 |
|
匹配获知的 802.1p VLAN 优先级 |
|
源 MAC 地址 |
|
匹配 TCP/UDP 源端口 |
|
匹配用户 802.1p VLAN 优先级 |
IPv4 流量(ACX 系列路由器)的匹配条件
在 ACX 系列路由器上,您可以配置具有 IP 版本 4 (IPv4) 流量匹配条件的标准无状态防火墙过滤器 (family inet)。 表 6 介绍了可在层次结构级别配置 [edit firewall family inet filter filter-name term term-name from] 的匹配条件。
匹配条件 |
Description |
|---|---|
|
匹配 IPv4 目标地址字段。 注:
在 ACX 系列路由器上,只能指定一个目标地址。不支持 IPv4 目标地址列表。 |
|
匹配 UDP 或 TCP 目标端口字段。 如果配置此匹配条件,我们建议您也在同一术语中配置 要代替数值,可以指定以下文本同义词之一(还会列出端口号): |
|
匹配命名列表中的 IP 目标前缀。 |
|
匹配差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。 可以指定 0 到 63 之间的数值。要以十六进制形式指定值,请包含 0x 作为前缀。要以二进制形式指定值,请包含 b 作为前缀。 代替数值,您可以指定以下文本同义词之一(字段值也会列出):
|
|
(仅限入口)匹配 IP 报头中的三位 IP 分段标志字段。 要代替数值字段值,您可以指定以下关键字之一(还会列出字段值): |
|
匹配 ICMP 消息代码字段。 如果配置此匹配条件,我们建议您也在同一术语中配置 如果配置此匹配条件,则还必须在同一术语中配置 要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:
|
|
匹配 ICMP 消息类型字段。 如果配置此匹配条件,我们建议您也在同一术语中配置 代替数值,您可以指定以下文本同义词之一(字段值也会列出): |
|
将 8 位 IP 选项字段(如果存在)与指定值匹配。 ACX 系列路由器仅 注:
在 ACX 系列路由器上,只能指定一个 IP 选项值。不支持配置多个值。 |
|
匹配 IP 优先级字段。 要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值): |
|
匹配 IP 协议类型字段。代替数值,您可以指定以下文本同义词之一(字段值也会列出): |
|
匹配发送数据包的源节点的 IPv4 地址。 |
|
匹配 UDP 或 TCP 源端口字段。 如果为 IPv4 流量配置此匹配条件,我们建议您还在同一术语中配置 要代替数值,您可以指定与匹配条件一起 |
|
匹配命名列表中的 IP 源前缀。 |
|
匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。 若要指定单个位字段,可以指定以下文本同义词或十六进制值:
在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。 您可以使用位字段逻辑运算符将多个标志串在一起。 有关组合位字段匹配条件,请参阅 如果配置此匹配条件,我们建议您也在同一术语中配置 |
|
匹配 TCP 连接的初始数据包。这是 的 此条件不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您也在同一术语中配置 |
|
匹配 IPv4 生存时间编号。指定 TTL 值或 TTL 值范围。对于 |
IPv6 流量匹配条件(ACX 系列路由器)
您可以使用互联网协议版本 6 (IPv6) 流量匹配条件配置防火墙过滤器 (family inet6)。 表 7 介绍了可在层次结构级别配置 [edit firewall family inet6 filter filter-name term term-name from] 的匹配条件。
匹配条件 |
Description |
|
|---|---|---|
|
匹配 IPv6 目标地址字段。 |
|
|
匹配 UDP 或 TCP 目标端口字段。 不能在同一术语中同时 如果配置此匹配条件,我们建议您也在同一术语中配置 要代替数值,可以指定以下文本同义词之一(还会列出端口号): |
|
|
匹配命名列表中的 IP 目标前缀。 |
|
|
通过标识“下一个标头”值来匹配数据包中包含的扩展标头类型。 在数据包的第一个片段中,过滤器在任何扩展标头类型中搜索匹配项。当找到具有分片标头的数据包(后续分片)时,过滤器仅搜索下一个扩展标头类型的匹配项,因为其他扩展标头的位置不可预测。 代替数值,您可以指定以下文本同义词之一(字段值也会列出): 要匹配扩展标头选项 的任何 值,请使用文本同义词 注:
只能匹配 IPv6 数据包的第一个扩展标头。将匹配超出一个 IPv6 扩展报头的 L4 报头。 |
|
|
将跃点限制与指定的跃点限制或一组跃点限制相匹配。对于 |
|
|
匹配 ICMP 消息代码字段。 如果配置此匹配条件,我们建议您在同一术语中也配置 如果配置此匹配条件,则还必须在同一术语中配置 要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:
|
|
|
匹配 ICMP 消息类型字段。 如果配置此匹配条件,我们建议您在同一术语中也配置 代替数值,您可以指定以下文本同义词之一(字段值也会列出): 对于 |
|
|
匹配数据包中的第一个 8 位“下一个标头”字段。Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 对于 IPv6,我们建议您 代替数值,您可以指定以下文本同义词之一(字段值也会列出): 注:
|
|
|
匹配发送数据包的源节点的 IPv6 地址。 |
|
|
匹配 UDP 或 TCP 源端口字段。 不能在同一术语中指定 如果配置此匹配条件,我们建议您也在同一术语中配置 要代替数值,您可以指定与匹配条件一起 |
|
|
匹配命名列表中的 IP 源前缀。 |
|
|
匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。 若要指定单个位字段,可以指定以下文本同义词或十六进制值:
在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。 您可以使用位字段逻辑运算符将多个标志串在一起。 有关组合位字段匹配条件,请参阅 如果配置此匹配条件,建议您在同一术语中配置 |
|
|
匹配 TCP 连接的初始数据包。这是 的文本 此条件不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您也在同一术语中配置 |
|
|
匹配指定数据包的服务等级 (CoS) 优先级的 8 位字段。 此字段以前用作 IPv4 中的服务类型 (ToS) 字段。 您可以指定 到 代替数值,您可以指定以下文本同义词之一(字段值也会列出):
|
|
如果在匹配条件(、 addressdestination-address或source-address匹配条件)中指定 IPv6 地址,请使用 RFC 4291 IP 版本 6 寻址体系结构中所述的文本表示语法。有关 IPv6 地址的详细信息,请参阅 IPv6 概述 和支持的 IPv6 标准。
以下是防火墙系列 inet6 配置的示例:
user@host# show firewall family inet6
filter ipv6-filter {
term t1 {
from {
source-address {
2001:0000:0020:0020:0000:0000:0000:0150/128;
}
destination-address {
2001:0000:0040:0040:0000:0000:0000:0150/128;
}
next-header tcp;
source-port 1000;
destination-port 2000;
extension-header dstopts;
traffic-class ef;
tcp-flags 0x20;
hop-limit 254;
}
then count ipv6-t1-count;
}
term t2 {
from {
icmp-type neighbor-solicit;
}
then count ipv6-t2-count;
}
}MPLS 流量的匹配条件(ACX 系列路由器)
在 ACX 系列路由器上,您可以配置具有 MPLS 流量匹配条件的标准无状态防火墙过滤器 (family mpls)。
input-list filter-names除管理接口和内部以太网接口 (fxp 或 em0)、环路接口 (lo0) 和 USB 调制解调器接口 (umd) 外,所有接口都支持协议系列防火墙mpls过滤器的 and output-list filter-names 语句。
表 8 描述了可以在层次结构级别配置的 [edit firewall family mpls filter filter-name term term-name from] 匹配条件。
| 匹配条件 | Description |
|---|---|
|
MPLS 标头中的实验 (EXP) 位号或位号范围。对于 |
非终止操作(ACX 系列路由器)
标准无状态防火墙过滤器支持每个协议系列的不同非终止操作集。
ACX 系列路由器不支持该 next term 操作。
ACX 系列路由器支持家族 inet 和家族 bridge入口和出口方向上的日志和系统日志操作。
ACX5448,ACX710 和 ACX7100 系列路由器log不支持出口方向的 、 forwarding-classsyslogreject、 和。loss-priority 在入口和出口方向,路由器仅支持接口特定的语义。
表 9 描述可以为标准防火墙过滤器术语配置的非终止操作。
非终止操作 |
Description |
协议族 |
|---|---|---|
|
对命名计数器中的数据包进行计数。 |
|
|
根据指定的转发类对数据包进行分类:
注:
此操作仅在入口上受支持。 |
|
|
将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面 (CLI) 发出命令来 注:
入口和出口支持此操作。家族 inet6 不支持对出口执行操作。 |
|
|
设置丢包优先级 (PLP) 级别。 您也不能为同一防火墙过滤器术语配置 您必须在 有关该 注:
此操作仅在入口上受支持。 |
|
|
用于对流量进行速率限制的监管器的名称。 |
|
|
根据指定的系列对数据包进行端口镜像。 注:
此操作仅在入口上受支持。 ACX5048 和 ACX5096 路由器不支持 port-mirror。 |
|
|
将数据包记录到系统日志文件中。 注:
入口和出口支持此操作。家族 inet6 不支持对出口执行操作。 |
|
|
使用指定的单速率或双速率三色监管器对数据包进行监管。 您也不能为同一防火墙过滤器术语配置 |
|
traffic-class |
设置流量类代码点 注:
此操作仅在入口上受支持。 |
|
终止操作(ACX 系列路由器)
标准无状态防火墙过滤器支持每个协议系列的不同终止操作集。
ACX 系列路由器不支持该 next term 操作。
表 10 描述可以在标准防火墙过滤器术语中指定的终止操作。
终止操作 |
Description |
协议 |
|---|---|---|
|
接受数据包。 |
|
|
以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。丢弃的数据包可用于日志记录和采样。 |
|
|
拒绝数据包并返回 ICMPv4 或 ICMPv6 消息:
注:
该 |
|
|
将数据包定向到指定的路由实例。 |
|