Auf dieser Seite
Übereinstimmungsbedingungen für Firewall-Filter der Bridge-Familie (Router der ACX-Serie)
Übereinstimmungsbedingungen für Filter der CCC-Firewall-Familie (Router der ACX-Serie)
Übereinstimmungsbedingungen für IPv4-Datenverkehr (Router der ACX-Serie)
Übereinstimmungsbedingungen für IPv6-Datenverkehr (Router der ACX-Serie)
Übereinstimmungsbedingungen für MPLS-Datenverkehr (Router der ACX-Serie)
Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (Router der ACX-Serie)
Bei Universal Metro-Routern der ACX-Serie können Sie Firewall-Filter so konfigurieren, dass Pakete gefiltert werden und eine Aktion für Pakete ausgeführt wird, die dem Filter entsprechen. Die Übereinstimmungsbedingungen, die zum Filtern der Pakete angegeben werden, sind spezifisch für den Typ des gefilterten Datenverkehrs.
Firewallfilter mit IPv6 entsprechen Bedingungen, die auf Hierarchieebene auf ACX6360-OR-Routern in Junos OS Version 19.1R1 nicht unterstützt werden.firewall family inet6 filter name
Bei Routern der ACX-Serie kann der Filter für den ausgehenden Datenverkehr (Ausgangsfilter) nur für schnittstellenspezifische Instanzen des Firewall-Filters angewendet werden.
Auf Routern der ACX-Serie treten TCAM-Fehler auf, wenn Sie ein Präfix oder einen Begriff in den angewendeten Firewall-Filtern ändern. Um ein Präfix oder einen Begriff im Firewallfilter zu ändern, müssen Sie den vorhandenen Firewallfilter entfernen und dann den geänderten Filter anwenden.
Auf Routern der ACX-Serie ist es nicht möglich, einen Firewall-Filter in Ausgangsrichtung auf IRB-Schnittstellen anzuwenden.
Übersicht über die Bedingungen und Aktionen für Firewall-Filterübereinstimmungen auf Routern der ACX-Serie
Tabelle 1 Beschreibt die Datenverkehrstypen, für die Sie standardmäßige zustandslose Firewallfilter konfigurieren können.
Art des Datenverkehrs |
Hierarchieebene, auf der Übereinstimmungsbedingungen angegeben werden |
|---|---|
Protokollunabhängig |
Auf Routern der ACX-Serie werden für diesen Datenverkehrstyp keine Übereinstimmungsbedingungen unterstützt. |
IPv4 |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für IPv4-Datenverkehr (Router der ACX-Serie). |
MPLS |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für MPLS-Datenverkehr (Router der ACX-Serie).Übereinstimmungsbedingungen für MPLS-Datenverkehr (Router der ACX-Serie) |
Layer 2 CCC |
Auf Routern der ACX-Serie werden für diesen Datenverkehrstyp keine Übereinstimmungsbedingungen unterstützt. |
Brücke |
|
Auf ACX5448 Router können die folgenden Filter der Eingangsfamilie basierend auf der Verfügbarkeit von external-tcam skaliert werden:
Familie
ethernet-switchingFamilie
cccFamilie
inetFamilie
inet6Familie
mplsFamilie
vpls
Unter der Anweisung für einen standardmäßigen zustandslosen Firewallfilterbegriff können Sie die Aktionen angeben, die für ein Paket ausgeführt werden sollen, das dem Begriff entspricht.then
Tabelle 2 Fasst die Typen von Aktionen zusammen, die Sie in einem standardmäßigen Filterbegriff für zustandslose Firewalls angeben können.
Art der Maßnahme |
Beschreibung |
Kommentar |
|---|---|---|
Beenden |
Stoppt die gesamte Auswertung eines Firewall-Filters für ein bestimmtes Paket. Der Router führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe verwendet, um das Paket zu untersuchen. Sie können nur eine Beendigungsaktion in einem Standard-Firewallfilter angeben. Sie können jedoch eine beendende Aktion mit einer oder mehreren nicht beendenden Aktionen in einem einzelnen Begriff angeben. Beispielsweise können Sie innerhalb eines Begriffs mit und angeben. |
Weitere Informationen finden Sie unter Aktionen zum Beenden (Router der ACX-Serie).Aktionen zum Beenden (Router der ACX-Serie) |
Nicht terminierend |
Führt andere Funktionen für ein Paket aus (z. B. das Belasten eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion), aber alle zusätzlichen Begriffe werden verwendet, um das Paket zu untersuchen. |
Weitere Informationen finden Sie unter Nicht terminierende Aktionen (Router der ACX-Serie).Nicht terminierende Aktionen (Router der ACX-Serie) |
Übereinstimmungsbedingungen für Firewall-Filter der Bridge-Familie (Router der ACX-Serie)
Firewall-Filter der Bridge-Familie auf Routern der ACX-Serie
Firewall-Filter der Bridge-Familie können auf Routern der ACX-Serie auf der Ebene der IFL-Familie konfiguriert werden. Bridge-Familienfilter werden verwendet, um die L2-Bridge-Flows basierend auf den unterstützten Layer2/Layer3-Feldern abzugleichen und Firewall-Maßnahmen zu ergreifen. Die maximale Anzahl von Begriffen, die für Bridge-Firewall-Filter auf Routern der ACX-Serie unterstützt werden, beträgt 124.
Bei Routern der Serien ACX5448 und ACX7000 müssen Sie die Layer-2-Firewall-Filter nur auf die Layer-2-Switched-Pakete anwenden, auch wenn an die Bridge-Domäne IRB angehängt ist. Wenn das Paket über Layer 3 weitergeleitet wird, müssen Layer-3-Filter auf den IRB angewendet werden.
Auf Routern der ACX-Serie ist es nicht möglich, einen Firewall-Filter in Ausgangsrichtung auf IRB-Schnittstellen anzuwenden.
Tabelle 3 Zeigt die Übereinstimmungsbedingungen an, die für Bridge-Familienfilter unterstützt werden.
Übereinstimmungsbedingung |
Beschreibung |
|---|---|
apply-groups |
Festlegen der Gruppen, von denen Konfigurationsdaten geerbt werden sollen |
apply-groups-except |
Festlegen, welche Gruppen keine Konfigurationsdaten übertragen sollen |
MAC-Zieladresse |
Festlegen der MAC-Zieladresse |
Zielhafen |
Übereinstimmung mit dem TCP/UDP-Zielport |
|
Stimmt mit den IP-Zielpräfixen in der benannten Liste überein. |
Dscp |
Übereinstimmung mit dem Codepunkt Differentiated Services (DiffServ) |
Äther-Typ |
Passen Sie den Ethernet-Typ an |
ICMP-Code |
Übereinstimmung mit einem ICMP-Nachrichtencode |
ICMP-Typ |
Übereinstimmung mit einem ICMP-Nachrichtentyp |
interface-gruppe |
Zuordnen einer Schnittstellengruppe |
ip-ziel-adresse |
Übereinstimmung mit einer IP-Zieladresse |
IP-Präzedenz |
Übereinstimmung mit einem IP-Rangfolgewert |
IP-Protokoll |
Übereinstimmung mit einem IP-Protokolltyp |
IP-Quelladresse |
Übereinstimmung mit einer IP-Quelladresse |
learn-vlan-1p-priority |
Passen Sie die gelernte 802.1p-VLAN-Priorität an |
learn-vlan-dei |
Match user VLAN ID DEI Bit |
learn-vlan-id |
Abgleich einer gelernten VLAN-ID |
source-mac-adresse |
Festlegen der Quell-MAC-Adresse |
|
IP-Quellpräfixe in benannter Liste abgleichen. |
Quell-Port |
Übereinstimmung mit einem TCP/UDP-Quellport |
user-vlan-1p-priority |
802.1p-VLAN-Priorität des Benutzers abgleichen |
Benutzer-VLAN-ID |
Übereinstimmen mit einer Benutzer-VLAN-ID |
VLAN-ether-Typ |
Übereinstimmung mit einem VLAN-Ethernet-Typ |
Tabelle 4 Zeigt die unterstützten Aktionsfelder an.
Aktionsfeld |
Beschreibung |
|---|---|
Akzeptieren |
Akzeptieren Sie das Paket |
Count |
Zählen Sie das Paket im benannten Zähler |
Verwerfen |
Verwerfen Sie das Paket |
forwarding-class |
Paket in Weiterleitungsklasse klassifizieren |
Verlust-Priorität |
Priorität des Paketverlusts |
Protokoll |
Protokollieren Sie die Paket-Header-Informationen in einem Puffer innerhalb der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den Befehl show firewall log an der Befehlszeilenschnittstelle (CLI) eingeben. |
Polizist |
Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll |
Syslog |
Protokollieren Sie das Paket in der Systemprotokolldatei. |
dreifarbiger Polizist |
Überwachen Sie das Paket mit einem Drei-Kolo-Polizisten |
Firewall-Filter der Bridge-Familie können als Ausgabefilter auf Layer-2-Schnittstellen angewendet werden. Wenn sich die Layer-2-Schnittstelle auf einer Bridge-Domäne befindet, die mit der Anweisung konfiguriert ist, können Router der ACX-Serie das äußere VLAN des Pakets mithilfe der im Firewall-Filter der Bridge-Familie angegebenen Benutzer-VLAN-ID-Übereinstimmung abgleichen.vlan-id
Übereinstimmungsbedingungen für Filter der CCC-Firewall-Familie (Router der ACX-Serie)
Übereinstimmungsbedingungen für Firewall-Filter der CCC-Familie
Auf Routern der ACX-Serie können Sie einen Standard-Firewall-Filter mit Übereinstimmungsbedingungen für CCC-Datenverkehr (Circuit Cross Connection) konfigurieren (ccc-Familie).
Tabelle 5 Beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene konfigurieren können.[edit firewall family ccc filter filter-name term term-name]
Feld |
Beschreibung |
|---|---|
|
MAC-Zieladresse |
|
Stimmt mit TCP/UDP-Zielport überein |
|
Entspricht dem Codepunkt für differenzierte Dienste (DiffServ) |
|
Stimmt mit ICMP-Nachrichtencode überein |
|
Stimmt mit ICMP-Nachrichtentyp überein |
|
Stimmt mit der Ziel-IP-Adresse überein |
|
Stimmt mit dem IP-Rangfolgewert überein |
|
Stimmt mit IP-Protokolltyp überein |
|
Stimmt mit der Quell-IP-Adresse überein |
|
Matches gelernt 802.1p VLAN-Priorität |
|
MAC-Quelladresse |
|
Stimmt mit TCP/UDP-Quellport überein |
|
Entspricht der 802.1p-VLAN-Priorität des Benutzers |
Übereinstimmungsbedingungen für IPv4-Datenverkehr (Router der ACX-Serie)
Auf Routern der ACX-Serie können Sie einen standardmäßigen zustandslosen Firewall-Filter mit Übereinstimmungsbedingungen für IPv4-Datenverkehr (IP-Version 4) konfigurieren (). family inet beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene konfigurieren können.Tabelle 6[edit firewall family inet filter filter-name term term-name from]
Übereinstimmungsbedingung |
Beschreibung |
|---|---|
|
Übereinstimmung mit dem IPv4-Zieladressfeld. HINWEIS:
Bei Routern der ACX-Serie können Sie nur eine Zieladresse angeben. Eine Liste von IPv4-Zieladressen wird nicht unterstützt. |
|
Stimmt mit dem Feld UDP- oder TCP-Zielport überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Anweisung or match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) oder (177). |
|
Stimmt mit den IP-Zielpräfixen in der benannten Liste überein. |
|
Übereinstimmung mit dem Codepunkt für differenzierte Dienste (Differentiated Services, DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bits dieses Bytes bilden den DSCP. Weitere Informationen finden Sie unter Grundlegendes dazu, wie Verhaltensaggregatklassifizierer vertrauenswürdigen Datenverkehr priorisieren.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic Sie können einen numerischen Wert zwischen 0 und 63 angeben. Um den Wert in hexadezimaler Form anzugeben, fügen Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, fügen Sie b als Präfix ein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
|
(Nur Ingress) Übereinstimmung mit dem Feld für die Drei-Bit-IP-Fragmentierungsflags im IP-Header. Anstelle des numerischen Feldwerts können Sie eines der folgenden Schlüsselwörter angeben (die Feldwerte werden ebenfalls aufgelistet): (0x4), (0x2) oder (0x8). |
|
Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:
|
|
Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0), (8), (16), (15), (17), (18), (12), (5), (9), (10), (4), (11), (13), (14) oder (3). |
|
Gleichen Sie das 8-Bit-IP-Optionsfeld, falls vorhanden, mit dem angegebenen Wert ab. Router der ACX-Serie unterstützen nur die Übereinstimmungsbedingung, die sicherstellt, dass die Pakete zur Verarbeitung an die Paketweiterleitungs-Engine gesendet werden. HINWEIS:
Bei Routern der ACX-Serie können Sie nur einen IP-Optionswert angeben. Das Konfigurieren mehrerer Werte wird nicht unterstützt. |
|
Stimmt mit dem Feld für die IP-Rangfolge überein. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00). |
|
Stimmt mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), , (89), (103), , (46), (132), (6), (17) oder (112). |
|
Stimmt mit der IPv4-Adresse des Quellknotens überein, der das Paket sendet. |
|
Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein. Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Anweisung or match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der Übereinstimmungsbedingung aufgeführt sind. |
|
IP-Quellpräfixe in benannter Liste abgleichen. |
|
Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header. Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:
In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden. Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen. Informationen zu kombinierten Bitfeld-Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen . Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsanweisung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird. |
|
Stimmt mit dem ursprünglichen Paket einer TCP-Verbindung überein. Dies ist ein Alias für . Mit dieser Bedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. |
|
Übereinstimmung mit der IPv4-Gültigkeitsdauer. Geben Sie einen TTL-Wert oder einen Bereich von TTL-Werten an. Für können Sie einen oder mehrere Werte zwischen 2 und 255 angeben. |
Übereinstimmungsbedingungen für IPv6-Datenverkehr (Router der ACX-Serie)
Sie können einen Firewallfilter mit Übereinstimmungsbedingungen für IPv6-Datenverkehr (Internet Protocol Version 6) konfigurieren (). family inet6 beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene konfigurieren können.Tabelle 7[edit firewall family inet6 filter filter-name term term-name from]
Übereinstimmungsbedingung |
Beschreibung |
|
|---|---|---|
|
Stimmen Sie mit dem IPv6-Zieladressfeld überein. |
|
|
Stimmt mit dem Feld UDP- oder TCP-Zielport überein. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung oder im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) oder (177). |
|
|
Stimmt mit den IP-Zielpräfixen in der benannten Liste überein. |
|
|
Gleichen Sie einen Erweiterungsheadertyp ab, der im Paket enthalten ist, indem Sie einen Next Header-Wert identifizieren. Im ersten Fragment eines Pakets sucht der Filter nach einer Übereinstimmung in einem der Erweiterungsheadertypen. Wenn ein Paket mit einem Fragmentheader gefunden wird (ein nachfolgendes Fragment), sucht der Filter nur nach einer Übereinstimmung mit dem nächsten Erweiterungsheadertyp, da die Position anderer Erweiterungsheader unvorhersehbar ist. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (50), (44), (0), (135) oder (43). Um einen beliebigen Wert für die Erweiterungs-Header-Option zu finden, verwenden Sie das Textsynonym . HINWEIS:
Nur der erste Erweiterungsheader des IPv6-Pakets kann abgeglichen werden. L4-Header, der über einen IPv6-Erweiterungsheader hinausgeht, wird abgeglichen. |
|
|
Passen Sie das Hop-Limit an das angegebene Hop-Limit oder eine Reihe von Hop-Limits an. Geben Sie für einen einzelnen Wert oder einen Wertebereich zwischen 0 und 255 an. |
|
|
Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung oder im selben Begriff konfigurieren. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:
|
|
|
Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung oder im selben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133) oder (3). Für (201) können Sie auch einen Wertebereich in eckigen Klammern angeben. |
|
|
Stimmt mit dem ersten 8-Bit-Feld für den nächsten Header im Paket überein. Unterstützung für die Übereinstimmungsbedingung der Firewall ist in Junos OS Version 13.3R6 und höher verfügbar. Für IPv6 wird empfohlen, bei der Konfiguration eines Firewallfilters mit Übereinstimmungsbedingungen den Begriff anstelle des Begriffs zu verwenden. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), (17) oder (112). HINWEIS:
und Übereinstimmungsbedingungen führen die gleiche Funktion aus. ist die bevorzugte Option. ist in der Junos OS CLI ausgeblendet. |
|
|
Stimmt mit der IPv6-Adresse des Quellknotens überein, der das Paket sendet. |
|
|
Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein. Sie können die Bedingungen und übereinstimmen nicht im selben Begriff angeben. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung oder im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der Übereinstimmungsbedingung aufgeführt sind. |
|
|
IP-Quellpräfixe in benannter Liste abgleichen. |
|
|
Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header. Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:
In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden. Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen. Informationen zu kombinierten Bitfeld-Übereinstimmungsbedingungen finden Sie unter und Übereinstimmungsbedingungen. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird. |
|
|
Stimmt mit dem ursprünglichen Paket einer TCP-Verbindung überein. Dies ist ein Textsynonym für . Mit dieser Bedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. |
|
|
Übereinstimmung mit dem 8-Bit-Feld, das die CoS-Priorität (Class-of-Service) des Pakets angibt. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet. Sie können einen numerischen Wert von bis angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
|
Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung angeben (die , oder Übereinstimmungsbedingungen), verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, IP Version 6 Addressing Architecture, beschrieben ist.addressdestination-addresssource-address Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6 – Übersicht und Unterstützte IPv6-Standards.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
Im Folgenden finden Sie ein Beispiel für eine inet6-Konfiguration der Firewallfamilie:
user@host# show firewall family inet6
filter ipv6-filter {
term t1 {
from {
source-address {
2001:0000:0020:0020:0000:0000:0000:0150/128;
}
destination-address {
2001:0000:0040:0040:0000:0000:0000:0150/128;
}
next-header tcp;
source-port 1000;
destination-port 2000;
extension-header dstopts;
traffic-class ef;
tcp-flags 0x20;
hop-limit 254;
}
then count ipv6-t1-count;
}
term t2 {
from {
icmp-type neighbor-solicit;
}
then count ipv6-t2-count;
}
}Übereinstimmungsbedingungen für MPLS-Datenverkehr (Router der ACX-Serie)
Auf Routern der ACX-Serie können Sie einen standardmäßigen zustandslosen Firewall-Filter mit Übereinstimmungsbedingungen für MPLS-Datenverkehr konfigurieren ().family mpls
Die and-Anweisungen für Firewall-Filter für die Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen ( oder ), Loopback-Schnittstellen () und USB-Modemschnittstellen ().input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd
Beschreibt die Übereinstimmungsbedingungen, die Sie auf Hierarchieebene konfigurieren können.Tabelle 8[edit firewall family mpls filter filter-name term term-name from]
| Übereinstimmungsbedingung | Beschreibung |
|---|---|
|
Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im MPLS-Header. Für können Sie einen oder mehrere Werte von 0 bis 7 im Dezimal-, Binär- oder Hexadezimalformat angeben. |
Nicht terminierende Aktionen (Router der ACX-Serie)
Standardmäßige zustandslose Firewallfilter unterstützen für jede Protokollfamilie unterschiedliche Sätze von nicht terminierenden Aktionen.
Router der ACX-Serie unterstützen diese Aktion nicht.next term
Router der ACX-Serie unterstützen Protokoll- und Syslog-Aktionen in Eingangs- und Ausgangsrichtungen für Familie und Familie .inetbridge
ACX5448, Router der Serien ACX710 und ACX7100 unterstützen , , und in Ausgangsrichtung nicht.logsyslogrejectforwarding-classloss-priority In Eingangs- und Ausgangsrichtung unterstützen die Router nur schnittstellenspezifische Semantik.
Tabelle 9 Beschreibt die nicht beendenden Aktionen, die Sie für einen standardmäßigen Firewallfilterbegriff konfigurieren können.
Nicht beendende Aktion |
Beschreibung |
Protokollfamilien |
|---|---|---|
|
Zählen Sie das Paket im benannten Zähler. |
|
|
Klassifizieren Sie das Paket basierend auf der angegebenen Weiterleitungsklasse:
HINWEIS:
Diese Aktion wird nur für eingehenden Datenverkehr unterstützt. |
|
|
Protokollieren Sie die Paket-Header-Informationen in einem Puffer innerhalb der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den Befehl an der Befehlszeilenschnittstelle (CLI) eingeben. HINWEIS:
Diese Aktion wird sowohl für den Eingangs- als auch für den Ausgang unterstützt. Die Aktion beim Ausgang wird für die Familie inet6 nicht unterstützt. |
|
|
Legen Sie die PLP-Stufe (Packet Loss Priority) fest. Sie können die nicht beendende Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. Sie müssen die Anweisung auf Hierarchieebene einschließen, um einen Commit für eine PLP-Konfiguration mit einer der vier angegebenen Ebenen auszuführen. Weitere Informationen zu dieser Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. HINWEIS:
Diese Aktion wird nur für eingehenden Datenverkehr unterstützt. |
|
|
Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll. |
|
|
Port-Spiegelung des Pakets basierend auf der angegebenen Familie. HINWEIS:
Diese Aktion wird nur für eingehenden Datenverkehr unterstützt. ACX5048- und ACX5096-Router unterstützen .port-mirror |
|
|
Protokollieren Sie das Paket in der Systemprotokolldatei. HINWEIS:
Diese Aktion wird sowohl für den Eingangs- als auch für den Ausgang unterstützt. Die Aktion beim Ausgang wird für die Familie inet6 nicht unterstützt. |
|
|
Überwachen Sie das Paket mit dem angegebenen einstufigen oder zweistufigen dreifarbigen Policer. Sie können die Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. |
|
traffic-class |
Festlegen des Datenverkehrsklassen-Codepunkts HINWEIS:
Diese Aktion wird nur für eingehenden Datenverkehr unterstützt. |
|
Aktionen zum Beenden (Router der ACX-Serie)
Standardmäßige zustandslose Firewall-Filter unterstützen unterschiedliche Sätze von Beendigungsaktionen für jede Protokollfamilie.
Router der ACX-Serie unterstützen diese Aktion nicht.next term
Tabelle 10 Beschreibt die Beendigungsaktionen, die Sie in einem standardmäßigen Firewallfilterbegriff angeben können.
Beenden der Aktion |
Beschreibung |
Protokolle |
|---|---|---|
|
Akzeptieren Sie das Paket. |
|
|
Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete stehen für die Protokollierung und Stichprobenentnahme zur Verfügung. |
|
|
Lehnen Sie das Paket ab und geben Sie eine ICMPv4- oder ICMPv6-Nachricht zurück:
HINWEIS:
Die Option kann einen der folgenden Werte annehmen: |
|
|
Leiten Sie das Paket an die angegebene Routinginstanz weiter. |
|