Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)

支持的防火墙过滤器 运行 Junos OS 演化版的 ACX 系列路由器上入口和出口方向上的匹配条件和操作

防火墙过滤器中的每个术语都由 匹配条件 和一个 操作组成。匹配条件是数据包必须包含才能被视为匹配的字段和值。您可以在 匹配语句中定义单个或多个匹配条件。您还可以不包含 match 语句,在这种情况下,术语将匹配所有数据包。

当数据包与过滤器匹配时,交换机将执行术语中指定的操作。此外,您还可以指定操作修饰符来对数据包进行计数、镜像、速率限制和分类。如果未为术语指定匹配条件,则交换机默认接受数据包。请参见 表 1表 2

表 1: 运行 Junos OS 演化版的 ACX 系列路由器上入口和出口方向中支持的防火墙过滤器匹配条件

匹配条件

Description

入口

出口

防火墙过滤器系列(入口)

防火墙过滤器系列(出口)

目标地址

IP 目标地址

IPv4 地址,即数据包的最终目标节点地址。

ip-destination-address用于以太网交换和 CCC 系列

IPv4、IPv6、以太网交换和 CCC

IPv4 和 IPv6

源地址

IP 源地址

发送数据包的源节点的 IPv4 地址。

ip-source-address用于以太网交换和 CCC 系列

IPv4、IPv6、以太网交换和 CCC

IPv4

目标前缀列表

IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

IPv4、IPv6 和以太网交换

IPv4、IPv6

源前缀列表

IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

IPv4、IPv6 和以太网交换

IPv4

目标端口

TCP 或 UDP 目标端口字段。通常,将此匹配项与 protocol match 语句一起指定。对于以下已知端口,可以指定文本同义词(还会列出端口号):

afs (1483)bgp (179)biff (512)bootpc (68)、 、 bootps (67)

cmd (514)cvspserver (2401)

dhcp (67)domain (53)

eklogin (2105)ekshell (2106)exec (512)

finger (79)ftp (21)ftp-data (20)

http (80)https (443)

ident (113)imap (143)

kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)、 、 kshell (544)

ldap (389)login (513)

mobileip-agent (434)mobilip-mn (435)msdp (639)

netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

pop3 (110)pptp (1723)printer (515)

radacct (1813)radius (1812)rip (520), , rkinit (2108)

smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65)talk (517)telnet (23)tftp (69)、 、 timed (525)

who (513)

xdmcp (177)

zephyr-clt (2103), zephyr-hm (2104)

IPv4、IPv6、以太网交换和 CCC

IPv4、IPv6、以太网交换和 CCC

源端口

TCP 或 UDP 源端口。通常,将此匹配项与 protocol match 语句一起指定。您可以指定 下 destination-port列出的文本同义词之一,以代替数值字段。

IPv4、IPv6、以太网交换和 CCC

IPv4、IPv6、以太网交换和 CCC

协议

IP 协议

IP 协议字段

ip-protocol用于以太网交换和 CCC 系列

IPv4、以太网交换和 CCC

IPv4、以太网交换和 CCC

第一个片段

如果数据包是分段数据包的第一个分段,则匹配。如果数据包是分段数据包的尾随片段,请避免匹配数据包。分片数据包的第一个分片的分片偏移值为 0。

此匹配条件是位字段匹配条件片段偏移 0 匹配条件的别名。

要匹配第一个片段和尾随片段,可以使用两个指定不同匹配条件的术语: first-fragment is-fragment

IPv4

NA

ICMP 代码

ICMP 代码字段。因为值的含义取决于关联的 icmp-type,所以必须为 指定 icmp-type 一个值和一个 的值 icmp-code。要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • IPv4: 参数问题—ip-header-bad (0)required-option-missing (1)

  • IPv6: 参数问题—ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4:无法访问 —network-unreachable (0)host-unreachable (1)、 、 fragmentation-needed (4)network-unreachable-for-TOS (11)destination-host-prohibited (10)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)port-unreachable (3)destination-network-unknown (6)host-precedence-violation (14)source-route-failed (5)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)protocol-unreachable (2)precedence-cutoff-in-effect (15)

  • IPv6:无法访问—address-unreachable (3)、、 administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

IPv4、IPv6、以太网交换和 CCC

IPv4、IPv6、以太网交换和 CCC

ICMP 类型

ICMP 消息类型字段。通常,将此匹配项与 protocol match 语句一起指定,以确定端口上使用的协议。代替数值,您可以指定以下文本同义词之一(字段值也会列出):

IPv4: echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

icmp-code variable请参阅。

IPv4、IPv6、以太网交换和 CCC

IPv4、IPv6、以太网交换和 CCC

IP 选项

如果在 IP 标头的选项字段中指定了任何内容,则指定 any 以创建匹配项。

IPv4

NA

优先

IP 优先级

IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值):critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)或 routine (0x00)。

ip-precedence用于以太网交换和 CCC 系列。

IPv4、以太网交换和 CCC

NA

是片段

如果在 IP 报头中启用了“更多片段”标志或片段偏移量不为零,则使用此条件会导致匹配。

IPv4

NA

基于 TCP 建立

匹配已建立的 TCP 三次握手连接(SYN、SYN-ACK、ACK)的数据包。唯一不匹配的数据包是握手的第一个数据包,因为只设置了 SYN 位。对于此数据包,必须指定 tcp-initial 为匹配条件。

指定 tcp-established时,交换机不会隐式验证协议是否为 TCP。还必须指定 protocol tcp 匹配条件。

IPv4 和 IPv6

IPv4 和 IPv6

TCP 标志

一个或多个 TCP 标志:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

IPv4 和 IPv6

NA

TCP 初始

匹配连接的第一个 TCP 数据包。当设置了 TCP 标志 SYN 但未设置 TCP 标志 ACK 时,将发生匹配。

指定 tcp-initial时,交换机不会隐式验证协议是否为 TCP。还必须指定 protocol tcp 匹配条件。

IPv4 和 IPv6

NA

啧啧��

IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。

IPv4

IPv4

目的地 MAC 地址

数据包的目标 MAC 地址。

以太网交换和 CCC

以太网交换和 CCC

源-MAC-地址

数据包的源媒体访问控制 (MAC) 地址。

以太网交换和 CCC

以太网交换和 CCC

DSCP

差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • be- 尽力而为(默认)

  • ef (46)— 如 RFC 3246加速转发 PHB”中所定义。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    这四个类,每个类有三个丢弃优先级,总共 12 个代码点,在 RFC 2597 保证 转发 PHB 中定义。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

IPv4、以太网交换和 CCC

IPv4、以太网交换和 CCC

醚型

数据包的以太网类型字段。EtherType 值指定在以太网帧中传输的协议。代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • aarp (0x80F3)—以太类型值 AARP

  • appletalk (0x809B)—以太类型值AppleTalk

  • arp (0x0806)—以太类型值 ARP

  • fcoe (0x8906)—以太类型值 FCoE

  • fip (0x8914)—以太类型值 FIP

  • ipv4 (0x0800)—以太类型值 IPv4

  • ipv6 (0x08DD)—以太类型值 IPv6

  • mpls-multicast (0x8848)—以太类型值 MPLS 组播

  • mpls-unicast (0x8847)—以太类型值 MPLS 单播

  • oam (0x88A8)—以太类型值 OAM

  • ppp (0x880B)—以太类型值购买力平价

  • pppoe-discovery (0x8863)—以太类型值 PPPoE 发现阶段

  • pppoe-session (0x8864)—以太类型值 PPPoE 会话阶段

  • sna (0x80D5)—以太类型值 SNA

以太网交换和 CCC

以太网交换和 CCC

学习 VLAN-1P 优先级

匹配提供商 VLAN 标记(具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的外部标记)中的 IEEE 802.1p 获知的 VLAN 优先级位。指定 0 到 7 之间的一个或多个值。

以太网交换和 CCC

以太网交换和 CCC

用户 VLAN-1P 优先级

匹配范围内 0-7指定的 802.1p VLAN 优先级。

以太网交换和 CCC

以太网交换和 CCC

经验值

在 MPLS EXP 位上进行匹配。

MPLS

NA

标签

在 MPLS 标签位上进行匹配。

MPLS

NA

流量类

8 位字段,用于指定数据包的服务等级 (CoS) 优先级。信息流类字段用于指定 DiffServ 代码点 (DSCP) 值。此字段以前用作 IPv4 中的服务类型 (ToS) 字段,并且此字段的语义(例如 DSCP)与 IPv4 的语义相同。

您可以指定以下文本同义词之一(还会列出字段值):

af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

IPv6

IPv6

跳数限制

匹配指定的跃点限制或一组跃点限制。指定单个值或 0 到 255 之间的值范围。

IPv6

IPv6

下一个标题

IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6 (58)sctp (132)

IPv6

IPv6
表 2: 运行 Junos OS 演化版的 ACX 平台上入口和出口方向上支持的防火墙过滤器操作

操作

Description

入口

出口

防火墙过滤器系列(入口)

防火墙过滤器系列(出口)

count

计算与术语匹配的数据包数。

IPv4、IPv6、以太网交换、CCC、MPLS 和任何

IPv4、IPv6、以太网交换、CCC 和任何

discard

以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。

IPv4、IPv6、以太网交换、CCC、MPLS 和任何

IPv4、IPv6、以太网交换、CCC 和任何

日志

在路由引擎中记录数据包的标头信息。要查看此信息,请输入 show firewall log 操作模式命令。

IPv4 和 IPv6

NA

转发类

将数据包分类为以下默认转发类之一或用户定义的转发类:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注意:

要配置转发类,还必须配置丢失优先级。

IPv4、IPv6、以太网交换、CCC 和 MPLS

NA

下一个界面

将数据包定向至指定的传出接口。

IPv4 和 IPv6

NA

丢失优先级

设置丢包优先级 (PLP) 级别。

您也不能为同一防火墙过滤器术语配置 three-color-policer 非终止操作。这两个非终止操作是互斥的。

IPv4、IPv6、以太网交换、CCC 和 MPLS

NA

下一个 IP

将数据包定向到指定的目标 IPv4 地址。

NA

下一个 IP6

将数据包定向到指定的目标 IPv6 地址。

IPv6

NA

策略程序

用于对流量进行速率限制的监管器的名称。

IPv4、IPv6、以太网交换、CCC、MPLS 和任何

IPv4、IPv6、以太网交换、CCC 和任何

丢弃

丢弃数据包并发送“目标无法访问”ICMPv4 消息(类型 3)。要记录被拒绝的数据包,请配置 syslog 操作修改器。

您可以指定以下消息类型之一: 
administratively-prohibited (default),
bad-host-tos, bad-network-tos, host-prohibited,
host-unknown, host-unreachable, network-prohibited,
network-unknown, network-unreachable,
port-unreachable, precedence-cutoff, 
precedence-violation, protocol-unreachable,
        source-host-isolated, source-route-failed,
tcp-reset.

如果指定 tcp-reset,则当数据包是 TCP 数据包时,系统将发送 TCP 重置;否则不发送任何内容。

如果未指定消息类型,那么将发送 ICMP 通知“目标无法访问”,并附带默认消息“已管理性过滤的通信”。

IPv4 和 IPv6

NA

syslog

记录此数据包的警报。

IPv4 和 IPv6

NA

示例

对数据包流量进行采样。仅当已启用流量采样时,才应用此选项。

IPv4 和 IPv6

NA

三色监管器

将数据包发送到三色监管器(用于应用速率限制)。

IPv4、IPv6、以太网交换、CCC、MPLS 和任何

IPv4、IPv6、以太网交换、CCC 和任何