Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (Router der ACX-Serie)

Bei Universal Metro-Routern der ACX-Serie können Sie Firewall-Filter so konfigurieren, dass Pakete gefiltert werden und eine Aktion für Pakete ausgeführt wird, die dem Filter entsprechen. Die Übereinstimmungsbedingungen, die zum Filtern der Pakete angegeben werden, sind spezifisch für den Typ des gefilterten Datenverkehrs.

Firewallfilter mit IPv6 entsprechen Bedingungen, die auf Hierarchieebene firewall family inet6 filter name auf ACX6360-OR-Routern in Junos OS Version 19.1R1 nicht unterstützt werden.

HINWEIS:

Bei Routern der ACX-Serie kann der Filter für den ausgehenden Datenverkehr (Ausgangsfilter) nur für schnittstellenspezifische Instanzen des Firewall-Filtersangewendet werden.

Auf Routern der ACX-Serie treten TCAM-Fehler auf, wenn Sie ein Präfix oder einen Begriff in den angewendeten Firewall-Filtern ändern. Um ein Präfix oder einen Begriff im Firewallfilter zu ändern, müssen Sie den vorhandenen Firewallfilter entfernen und dann den geänderten Filter anwenden.

HINWEIS:

Auf Routern der ACX-Serie ist es nicht möglich, einen Firewall-Filter in Ausgangsrichtung auf IRB-Schnittstellen anzuwenden.

Übersicht über die Bedingungen und Aktionen für Firewall-Filterübereinstimmungen auf Routern der ACX-Serie

Tabelle 1 Beschreibt die Datenverkehrstypen, für die Sie standardmäßige zustandslose Firewallfilter konfigurieren können.

Tabelle 1: Übereinstimmungsbedingungen für Standard-Firewall-Filter nach Protokollfamilie für Router der ACX-Serie

Art des Datenverkehrs

Hierarchieebene, auf der Übereinstimmungsbedingungen angegeben werden

Protokollunabhängig

[edit firewall family any filter filter-name term term-name]

Auf Routern der ACX-Serie werden für diesen Datenverkehrstyp keine Übereinstimmungsbedingungen unterstützt.

IPv4

[edit firewall family inet filter filter-name term term-name

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für IPv4-Datenverkehr (Router der ACX-Serie).

MPLS

[edit firewall family mpls filter filter-name term term-name]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für MPLS-Datenverkehr (Router der ACX-Serie).

Layer 2 CCC

[edit firewall family ccc filter filter-name term term-name]

Auf Routern der ACX-Serie werden für diesen Datenverkehrstyp keine Übereinstimmungsbedingungen unterstützt.

Brücke

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (Gilt nur für ACX5048- und ACX5096-Router.)

Auf ACX5448 Router können die folgenden Filter der Eingangsfamilie basierend auf der Verfügbarkeit von external-tcam skaliert werden:

  • Familie ethernet-switching

  • Familie ccc

  • Familie inet

  • Familie inet6

  • Familie mpls

  • Familie vpls

Unter der then Anweisung für einen standardmäßigen zustandslosen Firewallfilterbegriff können Sie die Aktionen angeben, die für ein Paket ausgeführt werden sollen, das dem Begriff entspricht.

Tabelle 2 Fasst die Typen von Aktionen zusammen, die Sie in einem standardmäßigen Filterbegriff für zustandslose Firewalls angeben können.

Tabelle 2: Standardmäßige Firewall-Filteraktionskategorien für Router der ACX-Serie

Art der Maßnahme

Beschreibung

Kommentar

Beendigung

Stoppt die gesamte Auswertung eines Firewall-Filters für ein bestimmtes Paket. Der Router führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe verwendet, um das Paket zu untersuchen.

Sie können nur eine Beendigungsaktion in einem Standard-Firewallfilter angeben. Sie können jedoch eine beendende Aktion mit einer oder mehreren nicht beendenden Aktionen in einem einzelnen Begriff angeben. Beispielsweise können Sie innerhalb eines Begriffs mit count und syslogangebenaccept.

Weitere Informationen finden Sie unter Aktionen zum Beenden (Router der ACX-Serie).

Unendlich

Führt andere Funktionen für ein Paket aus (z. B. das Belasten eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion), aber alle zusätzlichen Begriffe werden verwendet, um das Paket zu untersuchen.

Weitere Informationen finden Sie unter Nicht terminierende Aktionen (Router der ACX-Serie).

Übereinstimmungsbedingungen für Firewall-Filter der Bridge-Familie (Router der ACX-Serie)

Firewall-Filter der Bridge-Familie auf Routern der ACX-Serie

Firewall-Filter der Bridge-Familie können auf Routern der ACX-Serie auf der Ebene der IFL-Familie konfiguriert werden. Bridge-Familienfilter werden verwendet, um die L2-Bridge-Flows basierend auf den unterstützten Layer2/Layer3-Feldern abzugleichen und Firewall-Maßnahmen zu ergreifen. Die maximale Anzahl von Begriffen, die für Bridge-Firewall-Filter auf Routern der ACX-Serie unterstützt werden, beträgt 124.

HINWEIS:

Bei Routern der Serien ACX5448 und ACX7000 müssen Sie die Layer-2-Firewall-Filter nur auf die Layer-2-Switched-Pakete anwenden, auch wenn an die Bridge-Domäne IRB angehängt ist. Wenn das Paket über Layer 3 weitergeleitet wird, müssen Layer-3-Filter auf den IRB angewendet werden.
HINWEIS:

Auf Routern der ACX-Serie ist es nicht möglich, einen Firewall-Filter in Ausgangsrichtung auf IRB-Schnittstellen anzuwenden.

Tabelle 3 Zeigt die Übereinstimmungsbedingungen an, die für Bridge-Familienfilter unterstützt werden.

Tabelle 3: Übereinstimmungsbedingungen für Firewall-Filter der Bridge-Familie für Router der ACX-Serie

Übereinstimmungsbedingung

Beschreibung

apply-groups

Festlegen der Gruppen, von denen Konfigurationsdaten geerbt werden sollen

apply-groups-except

Festlegen, welche Gruppen keine Konfigurationsdaten übertragen sollen

MAC-Zieladresse

Festlegen der MAC-Zieladresse

Zielhafen

Übereinstimmung mit dem TCP/UDP-Zielport

destination-prefix-list

Stimmt mit den IP-Zielpräfixen in der benannten Liste überein.

DSCP

Übereinstimmung mit dem Codepunkt Differentiated Services (DiffServ)

Äther-Typ

Passen Sie den Ethernet-Typ an

ICMP-Code

Übereinstimmung mit einem ICMP-Nachrichtencode

ICMP-Typ

Übereinstimmung mit einem ICMP-Nachrichtentyp

interface-gruppe

Zuordnen einer Schnittstellengruppe

ip-ziel-adresse

Übereinstimmung mit einer IP-Zieladresse

IP-Präzedenz

Übereinstimmung mit einem IP-Rangfolgewert

IP-Protokoll

Übereinstimmung mit einem IP-Protokolltyp

IP-Quelladresse

Übereinstimmung mit einer IP-Quelladresse

learn-vlan-1p-priority

Passen Sie die gelernte 802.1p-VLAN-Priorität an

learn-vlan-dei

Match user VLAN ID DEI Bit

learn-vlan-id

Abgleich einer gelernten VLAN-ID

source-mac-adresse

Festlegen der Quell-MAC-Adresse

source-prefix-list

IP-Quellpräfixe in benannter Liste abgleichen.

Quell-Port

Übereinstimmung mit einem TCP/UDP-Quellport

user-vlan-1p-priority

802.1p-VLAN-Priorität des Benutzers abgleichen

Benutzer-VLAN-ID

Übereinstimmen mit einer Benutzer-VLAN-ID

VLAN-ether-Typ

Übereinstimmung mit einem VLAN-Ethernet-Typ

Tabelle 4 Zeigt die unterstützten Aktionsfelder an.

Tabelle 4: Aktionsfelder für Firewall-Filter der Bridge-Familie für Router der ACX-Serie

Aktionsfeld

Beschreibung

annehmen

Akzeptieren Sie das Paket

zählen

Zählen Sie das Paket im benannten Zähler

abwerfen

Verwerfen Sie das Paket

forwarding-class

Paket in Weiterleitungsklasse klassifizieren

Verlust-Priorität

Priorität des Paketverlusts

Log

Protokollieren Sie die Paket-Header-Informationen in einem Puffer innerhalb der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den Befehl show firewall log an der Befehlszeilenschnittstelle (CLI) eingeben.

Polizist

Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll

syslog

Protokollieren Sie das Paket in der Systemprotokolldatei.

dreifarbiger Polizist

Überwachen Sie das Paket mit einem Drei-Kolo-Polizisten
HINWEIS:

Firewall-Filter der Bridge-Familie können als Ausgabefilter auf Layer-2-Schnittstellen angewendet werden. Wenn sich die Layer-2-Schnittstelle auf einer Bridge-Domäne befindet, die mit der vlan-id Anweisung konfiguriert ist, können Router der ACX-Serie das äußere VLAN des Pakets mithilfe der im Firewall-Filter der Bridge-Familie angegebenen Benutzer-VLAN-ID-Übereinstimmung abgleichen.

Übereinstimmungsbedingungen für Filter der CCC-Firewall-Familie (Router der ACX-Serie)

Übereinstimmungsbedingungen für Firewall-Filter der CCC-Familie

Auf Routern der ACX-Serie können Sie einen Standard-Firewall-Filter mit Übereinstimmungsbedingungen für CCC-Datenverkehr (Circuit Cross Connection) konfigurieren (ccc-Familie).

Tabelle 5 Beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene [edit firewall family ccc filter filter-name term term-name] konfigurieren können.

Tabelle 5: Übereinstimmungsbedingungen für Firewall-Filter der CCC-Familie für Router der ACX-Serie

Feld

Beschreibung

destination-mac-address

MAC-Zieladresse

destination-port

Stimmt mit TCP/UDP-Zielport überein

dscp

Entspricht dem Codepunkt für differenzierte Dienste (DiffServ)

icmp-code

Stimmt mit ICMP-Nachrichtencode überein

icmp-type

Stimmt mit ICMP-Nachrichtentyp überein

ip-destination-address

Stimmt mit der Ziel-IP-Adresse überein

ip-precedence

Stimmt mit dem IP-Rangfolgewert überein

ip-protocol

Stimmt mit IP-Protokolltyp überein

ip-source-address

Stimmt mit der Quell-IP-Adresse überein

learn-vlan-1p-priority

Matches gelernt 802.1p VLAN-Priorität

source-mac-address

MAC-Quelladresse

source-port

Stimmt mit TCP/UDP-Quellport überein

user-vlan-1p-priority

Entspricht der 802.1p-VLAN-Priorität des Benutzers

Übereinstimmungsbedingungen für IPv4-Datenverkehr (Router der ACX-Serie)

Auf Routern der ACX-Serie können Sie einen standardmäßigen zustandslosen Firewall-Filter mit Übereinstimmungsbedingungen für IPv4-Datenverkehr (IP-Version 4) konfigurieren (family inet). Tabelle 6 beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene [edit firewall family inet filter filter-name term term-name from] konfigurieren können.

Tabelle 6: Übereinstimmungsbedingungen für Firewall-Filter für IPv4-Datenverkehr auf Routern der ACX-Serie

Übereinstimmungsbedingung

Beschreibung

destination-address address

Übereinstimmung mit dem IPv4-Zieladressfeld.

HINWEIS:

Bei Routern der ACX-Serie können Sie nur eine Zieladresse angeben. Eine Liste von IPv4-Zieladressen wird nicht unterstützt.

destination-port number

Stimmt mit dem Feld UDP- oder TCP-Zielport überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol udp Anweisung or protocol tcp match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): afs ( 1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs ((49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) oder xdmcp (177).

destination-prefix-list

Stimmt mit den IP-Zielpräfixen in der benannten Liste überein.

dscp number

Übereinstimmung mit dem Codepunkt für differenzierte Dienste (Differentiated Services, DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bits dieses Bytes bilden den DSCP. Weitere Informationen finden Sie unter Grundlegendes dazu, wie Verhaltensaggregatklassifizierer vertrauenswürdigen Datenverkehr priorisieren.

Sie können einen numerischen Wert zwischen 0 und 63 angeben. Um den Wert in hexadezimaler Form anzugeben, fügen Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, fügen Sie b als Präfix ein.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior),definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte:

    • af11 ( 10), af12 (12), af13 (14)

    • af21 ( 18), af22 (20), af23 (22)

    • af31 ( 26), af32 (28), af33 (30)

    • af41 ( 34), af42 (36), af43 (38)

fragment-flags number

(Nur Ingress) Übereinstimmung mit dem Feld für die Drei-Bit-IP-Fragmentierungsflags im IP-Header.

Anstelle des numerischen Feldwerts können Sie eines der folgenden Schlüsselwörter angeben (die Feldwerte werden ebenfalls aufgelistet): dont-fragment ( 0x4), more-fragments (0x2) oder reserved (0x8).

icmp-code number

Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol icmp Übereinstimmungsbedingung im selben Begriff konfigurieren.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die icmp-type message-type Übereinstimmungsbedingung im selben Begriff konfigurieren. Ein ICMP-Meldungscode liefert spezifischere Informationen als ein ICMP-Meldungstyp, die Bedeutung eines ICMP-Meldungscodes hängt jedoch vom zugeordneten ICMP-Meldungstyp ab.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • Parameter-Problem: ip-header-bad ( 0), required-option-missing (1)

  • umleiten: redirect-for-host ( 1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • Zeitüberschreitung: ttl-eq-zero-during-reassembly ( 1), ttl-eq-zero-during-transit (0)

  • unerreichbar: communication-prohibited-by-filtering ( 13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number

Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol icmp Übereinstimmungsbedingung im selben Begriff konfigurieren.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): echo-reply ( 0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) oder unreachable (3).

ip-options values

Gleichen Sie das 8-Bit-IP-Optionsfeld, falls vorhanden, mit dem angegebenen Wert ab.

Router der ACX-Serie unterstützen nur die ip-options_any Übereinstimmungsbedingung, die sicherstellt, dass die Pakete zur Verarbeitung an die Paketweiterleitungs-Engine gesendet werden.

HINWEIS:

Bei Routern der ACX-Serie können Sie nur einen IP-Optionswert angeben. Das Konfigurieren mehrerer Werte wird nicht unterstützt.

precedence ip-precedence-field

Stimmt mit dem Feld für die IP-Rangfolge überein.

Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): critical-ecp ( 0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) oder routine (0x00). Sie können die Rangfolge in hexadezimaler, binärer oder dezimaler Form angeben.

protocol number

Stimmt mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): dstopts ( 60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), no-next-headerospf , (89), pim (103), routing, rsvp (46), sctp (132), tcp (6), udp  (17) oder vrrp (112).

source-address address

Stimmt mit der IPv4-Adresse des Quellknotens überein, der das Paket sendet.

source-port number

Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein.

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die protocol udp Anweisung or protocol tcp match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der destination-port number Übereinstimmungsbedingung aufgeführt sind.

source-prefix-list

IP-Quellpräfixe in benannter Liste abgleichen.

tcp-flags value

Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen.

Informationen zu kombinierten Bitfeld-Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen tcp-initial .

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsanweisung protocol tcp im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird.

tcp-initial

Stimmt mit dem ursprünglichen Paket einer TCP-Verbindung überein. Dies ist ein Alias für tcp-flags "(!ack & syn)".

Mit dieser Bedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol tcp Übereinstimmungsbedingung im selben Begriff konfigurieren.

ttl number

Übereinstimmung mit der IPv4-Gültigkeitsdauer. Geben Sie einen TTL-Wert oder einen Bereich von TTL-Werten an. Für numberkönnen Sie einen oder mehrere Werte zwischen 2 und 255 angeben.

Übereinstimmungsbedingungen für IPv6-Datenverkehr (Router der ACX-Serie)

Sie können einen Firewallfilter mit Übereinstimmungsbedingungen für IPv6-Datenverkehr (Internet Protocol Version 6) konfigurieren (family inet6). Tabelle 7 beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene [edit firewall family inet6 filter filter-name term term-name from] konfigurieren können.

Tabelle 7: Übereinstimmungsbedingungen für Firewall-Filter für IPv6-Datenverkehr

Übereinstimmungsbedingung

Beschreibung

destination-address address

Stimmen Sie mit dem IPv6-Zieladressfeld überein.

destination-port number

Stimmt mit dem Feld UDP- oder TCP-Zielport überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als destination-port auch die portÜbereinstimmungsbedingung im selben Begriff anzugeben.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header udp Übereinstimmungsbedingung oder next-header tcp im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): afs ( 1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs ((49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) oder xdmcp (177).

destination-prefix-list

Stimmt mit den IP-Zielpräfixen in der benannten Liste überein.

extension-headers header-type

Gleichen Sie einen Erweiterungsheadertyp ab, der im Paket enthalten ist, indem Sie einen Next Header-Wert identifizieren.

Im ersten Fragment eines Pakets sucht der Filter nach einer Übereinstimmung in einem der Erweiterungsheadertypen. Wenn ein Paket mit einem Fragmentheader gefunden wird (ein nachfolgendes Fragment), sucht der Filter nur nach einer Übereinstimmung mit dem nächsten Erweiterungsheadertyp, da die Position anderer Erweiterungsheader unvorhersehbar ist.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) oder routing (43).

Um einen beliebigen Wert für die Erweiterungs-Header-Option zu finden, verwenden Sie das Textsynonym any.

HINWEIS:

Nur der erste Erweiterungsheader des IPv6-Pakets kann abgeglichen werden. L4-Header, der über einen IPv6-Erweiterungsheader hinausgeht, wird abgeglichen.

hop-limit hop-limit

Passen Sie das Hop-Limit an das angegebene Hop-Limit oder eine Reihe von Hop-Limits an. Geben Sie für hop-limiteinen einzelnen Wert oder einen Wertebereich zwischen 0 und 255 an.

icmp-code message-code

Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header icmp Übereinstimmungsbedingung oder next-header icmp6 im selben Begriff konfigurieren.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die icmp-type message-type Übereinstimmungsbedingung im selben Begriff konfigurieren. Ein ICMP-Meldungscode liefert spezifischere Informationen als ein ICMP-Meldungstyp, die Bedeutung eines ICMP-Meldungscodes hängt jedoch vom zugeordneten ICMP-Meldungstyp ab.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • Parameter-Problem: ip6-header-bad ( 0), unrecognized-next-header (1), unrecognized-option (2)

  • Zeitüberschreitung: ttl-eq-zero-during-reassembly ( 1), ttl-eq-zero-during-transit (0)

  • destination-unreachable: administratively-prohibited ( 1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-type message-type

Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header icmp Übereinstimmungsbedingung oder next-header icmp6 im selben Begriff konfigurieren.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) oder time-exceeded (3).

Für private-experimentation-201 (201) können Sie auch einen Wertebereich in eckigen Klammern angeben.

next-header header-type

Stimmt mit dem ersten 8-Bit-Feld für den nächsten Header im Paket überein. Unterstützung für die next-header Übereinstimmungsbedingung der Firewall ist in Junos OS Version 13.3R6 und höher verfügbar.

Für IPv6 wird empfohlen, bei der Konfiguration eines Firewallfilters mit Übereinstimmungsbedingungen den payload-protocol Begriff anstelle des next-header Begriffs zu verwenden. Obwohl beide verwendet werden können, payload-protocol bietet es die zuverlässigere Übereinstimmungsbedingung, da das tatsächliche Nutzlastprotokoll verwendet wird, um eine Übereinstimmung zu finden, während next-header einfach das verwendet wird, was im ersten Header nach dem IPv6-Header angezeigt wird, der das tatsächliche Protokoll sein kann oder nicht. Wenn IPv6 verwendet wird, next-header wird außerdem der beschleunigte Suchprozess für Filterblöcke umgangen und stattdessen der Standardfilter verwendet.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): ah ( 51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmp icmpv6 (2), ipip (4), (41 ipv6 ), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) oder vrrp (112).

HINWEIS:

next-header icmp6 und next-header icmpv6 Übereinstimmungsbedingungen führen die gleiche Funktion aus. next-header icmp6 ist die bevorzugte Option. next-header icmpv6 ist in der Junos OS CLI ausgeblendet.

source-address address

Stimmt mit der IPv6-Adresse des Quellknotens überein, der das Paket sendet.

source-port number

Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein.

Sie können die port Bedingungen und source-port übereinstimmen nicht im selben Begriff angeben.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header udp Übereinstimmungsbedingung oder next-header tcp im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der destination-port number Übereinstimmungsbedingung aufgeführt sind.

source-prefix-list

IP-Quellpräfixe in benannter Liste abgleichen.

tcp-flags flags

Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen.

Informationen zu kombinierten Bitfeld-Übereinstimmungsbedingungen finden Sie unter tcp-established und tcp-initial Übereinstimmungsbedingungen.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header tcp Übereinstimmungsbedingung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird.

tcp-initial

Stimmt mit dem ursprünglichen Paket einer TCP-Verbindung überein. Dies ist ein Textsynonym für tcp-flags "(!ack & syn)".

Mit dieser Bedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header tcp Übereinstimmungsbedingung im selben Begriff konfigurieren.

traffic-class number

Übereinstimmung mit dem 8-Bit-Feld, das die CoS-Priorität (Class-of-Service) des Pakets angibt.

Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet.

Sie können einen numerischen Wert von 0 bis 63angeben. Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein 0x . Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein. b

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior),definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte:

    • af11 ( 10), af12 (12), af13 (14)

    • af21 ( 18), af22 (20), af23 (22)

    • af31 ( 26), af32 (28), af33 (30)

    • af41 ( 34), af42 (36), af43 (38)
HINWEIS:

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung angeben (die addressdestination-address, oder source-address Übereinstimmungsbedingungen), verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, IP Version 6 Addressing Architecture, beschrieben ist. Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6 – Übersicht und Unterstützte IPv6-Standards.

Im Folgenden finden Sie ein Beispiel für eine inet6-Konfiguration der Firewallfamilie:

Übereinstimmungsbedingungen für MPLS-Datenverkehr (Router der ACX-Serie)

Auf Routern der ACX-Serie können Sie einen standardmäßigen zustandslosen Firewall-Filter mit Übereinstimmungsbedingungen für MPLS-Datenverkehr konfigurieren (family mpls).

HINWEIS:

Die input-list filter-names and-Anweisungen output-list filter-names für Firewall-Filter für die mpls Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen (fxp oder em0), Loopback-Schnittstellen (lo0) und USB-Modemschnittstellen (umd).

Tabelle 8 Beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from] konfigurieren können.

Tabelle 8: Übereinstimmungsbedingungen für Standard-Firewall-Filter für MPLS-Datenverkehr auf Routern der ACX-Serie
Übereinstimmungsbedingung Beschreibung

exp number

Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im MPLS-Header. Für numberkönnen Sie einen oder mehrere Werte von 0 bis 7 im Dezimal-, Binär- oder Hexadezimalformat angeben.

Nicht terminierende Aktionen (Router der ACX-Serie)

Standardmäßige zustandslose Firewallfilter unterstützen für jede Protokollfamilie unterschiedliche Sätze von nicht terminierenden Aktionen.

HINWEIS:

Router der ACX-Serie unterstützen diese next term Aktion nicht.

Router der ACX-Serie unterstützen Protokoll- und Syslog-Aktionen in Eingangs- und Ausgangsrichtungen für Familie inet und Familie bridge.

ACX5448, Router der Serien ACX710 und ACX7100 unterstützen log, syslog, forwarding-classrejectund loss-priority in Ausgangsrichtung nicht. In Eingangs- und Ausgangsrichtung unterstützen die Router nur schnittstellenspezifische Semantik.

Tabelle 9 Beschreibt die nicht beendenden Aktionen, die Sie für einen standardmäßigen Firewallfilterbegriff konfigurieren können.

Tabelle 9: Nicht terminierende Aktionen für Standard-Firewall-Filter auf Routern der ACX-Serie

Nicht beendende Aktion

Beschreibung

Protokollfamilien

count counter-name

Zählen Sie das Paket im benannten Zähler.

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

Klassifizieren Sie das Paket basierend auf der angegebenen Weiterleitungsklasse:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

HINWEIS:

Diese Aktion wird nur für eingehenden Datenverkehr unterstützt.

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

Protokollieren Sie die Paket-Header-Informationen in einem Puffer innerhalb der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den show firewall log Befehl an der Befehlszeilenschnittstelle (CLI) eingeben.

HINWEIS:

Diese Aktion wird sowohl für den Eingangs- als auch für den Ausgang unterstützt. Die Aktion beim Ausgang wird für die Familie inet6 nicht unterstützt.

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

Legen Sie die PLP-Stufe (Packet Loss Priority) fest.

Sie können die three-color-policer nicht beendende Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. Diese beiden nicht beendenden Aktionen schließen sich gegenseitig aus.

Sie müssen die tri-color Anweisung auf Hierarchieebene [edit class-of-service] einschließen, um einen Commit für eine PLP-Konfiguration mit einer der vier angegebenen Ebenen auszuführen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die high Ebenen und low konfigurieren. Dies gilt für alle Protokollfamilien.

Weitere Informationen zu dieser tri-color Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.

HINWEIS:

Diese Aktion wird nur für eingehenden Datenverkehr unterstützt.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Port-Spiegelung des Pakets basierend auf der angegebenen Familie.

HINWEIS:

Diese Aktion wird nur für eingehenden Datenverkehr unterstützt.

ACX5048- und ACX5096-Router unterstützen port-mirror.

family inet

syslog

Protokollieren Sie das Paket in der Systemprotokolldatei.

HINWEIS:

Diese Aktion wird sowohl für den Eingangs- als auch für den Ausgang unterstützt. Die Aktion beim Ausgang wird für die Familie inet6 nicht unterstützt.

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

Überwachen Sie das Paket mit dem angegebenen einstufigen oder zweistufigen dreifarbigen Policer.

Sie können die loss-priority Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. Diese beiden Aktionen schließen sich gegenseitig aus.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

Festlegen des Datenverkehrsklassen-Codepunkts

HINWEIS:

Diese Aktion wird nur für eingehenden Datenverkehr unterstützt.

family inet6

Aktionen zum Beenden (Router der ACX-Serie)

Standardmäßige zustandslose Firewall-Filter unterstützen unterschiedliche Sätze von Beendigungsaktionen für jede Protokollfamilie.

HINWEIS:

Router der ACX-Serie unterstützen diese next term Aktion nicht.

Tabelle 10 Beschreibt die Beendigungsaktionen, die Sie in einem standardmäßigen Firewallfilterbegriff angeben können.

Tabelle 10: Aktionen zum Beenden von Standard-Firewall-Filtern auf Routern der ACX-Serie

Beenden der Aktion

Beschreibung

Protokolle

accept

Akzeptieren Sie das Paket.

  • family any

  • family inet

  • family mpls

  • family ccc

discard

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete stehen für die Protokollierung und Stichprobenentnahme zur Verfügung.

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

Lehnen Sie das Paket ab und geben Sie eine ICMPv4- oder ICMPv6-Nachricht zurück:

  • Wenn kein Nachrichtentyp angegeben ist, wird standardmäßig eine destination-unreachable Nachricht zurückgegeben.

  • If tcp-reset als Nachrichtentyp angegeben ist, wird nur zurückgegeben, tcp-reset wenn es sich bei dem Paket um ein TCP-Paket handelt. Andernfalls wird die Nachricht mit dem administratively-prohibited Wert 13 zurückgegeben.

  • Wenn ein anderer Nachrichtentyp angegeben wird, wird diese Nachricht zurückgegeben.

HINWEIS:

  • Abgelehnte Pakete können abgetastet oder protokolliert werden, wenn Sie die sample Aktion "Oder syslog " konfigurieren.

  • Diese Aktion wird nur für eingehenden Datenverkehr unterstützt.

Die message-type Option kann einen der folgenden Werte annehmen: address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

family inet

routing-instance routing-instance-name

Leiten Sie das Paket an die angegebene Routinginstanz weiter.

  • family inet