Bedingungen und Aktionen für Firewall-Filter stimmen in Routern der ACX-Serie (Junos OS Evolved) überein

Zieladresse

ip-ziel-adresse

IPv4-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt.

Einsatz ip-destination-address für Ethernet-Switching und CCC-Familien

Ja

Ja

IPv4, IPv6, Ethernet-Switching und CCC

IPv4 und IPv6

Quelladresse

IP-Quelladresse

IPv4-Adresse des Quellknotens, der das Paket sendet.

Einsatz ip-source-address für Ethernet-Switching und CCC-Familien

Ja

Ja

IPv4, IPv6, Ethernet-Switching und CCC

IPv4

Ziel-Präfix-Liste

Listenfeld für IP-Zielpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Ja

Ja

IPv4-, IPv6- und Ethernet-Switching

IPv4, IPv6

source-präfix-liste

Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene [edit policy-options] .

Ja

Ja

IPv4-, IPv6- und Ethernet-Switching

IPv4

Zielhafen

TCP- oder UDP-Zielportfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der protocol match-Anweisung an. Für die folgenden bekannten Ports können Sie Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet):

afs (1483), bgp (179), biff (512), , bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), , krb-prop (754), krbupdate (760), , kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), , ntalk (518), , ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), , snmptrap (162), socks (1080)snpp (444), , ssh (22), , sunrpc (111), syslog (514), ,

tacacs-ds (65), talk (517), telnet (23), , tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Ja

Ja

IPv4, IPv6, Ethernet-Switching und CCC

IPv4, IPv6, Ethernet-Switching und CCC

Quell-Port

TCP- oder UDP-Quellport. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der protocol match-Anweisung an. Anstelle des numerischen Feldes können Sie eines der unter destination-portaufgeführten Textsynonyme angeben.

Ja

Ja

IPv4, IPv6, Ethernet-Switching und CCC

IPv4, IPv6, Ethernet-Switching und CCC

Protokoll

IP-Protokoll

IP-Protokollfeld

Einsatz ip-protocol für Ethernet-Switching und CCC-Familien

Ja

Ja

IPv4, Ethernet-Switching und CCC

IPv4, Ethernet-Switching und CCC

Erstes Fragment

Übereinstimmung, wenn es sich bei dem Paket um das erste Fragment eines fragmentierten Pakets handelt. Vermeiden des Abgleichs des Pakets, wenn es sich um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragmentoffsetwert von 0.

Diese Übereinstimmungsbedingung ist ein Alias für die Bitfeld-Übereinstimmungsbedingung fragment-offset 0 Übereinstimmungsbedingung.

Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben: first-fragment und is-fragment.

Ja

Nein

IPv4

n/z

ICMP-Code

ICMP-Code-Feld. Da die Bedeutung des Werts von der zugeordneten icmp-typeabhängt, müssen Sie einen Wert für icmp-type zusammen mit einem Wert für icmp-codeangeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

• IPv4: Parameter-Problem—ip-header-bad (0), required-option-missing (1)

• IPv6: Parameter-Problem—ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• redirect—redirect-for-network (0), redirect-for-host (1), redirect-for-tos-and-net (2), redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

• IPv4: nicht erreichbar—network-unreachable (0), host-unreachable (1), , protocol-unreachable (2), port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: nicht erreichbar—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

Ja

Ja

IPv4, IPv6, Ethernet-Switching und CCC

IPv4, IPv6, Ethernet-Switching und CCC

ICMP-Typ

ICMP-Nachrichtentypfeld. In der Regel geben Sie diese Übereinstimmung in Verbindung mit der protocol match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3)membership-query (130)router-renumbering (138)neighbor-advertisement (136)node-information-request (139)redirect (137)neighbor-solicit (135)router-advertisement (134)membership-termination (132)echo-reply (129)router-solicit (133)parameter-problem (4)echo-request (128)membership-report (131), node-information-reply (140)

Siehe auch icmp-code variable.

Ja

Ja

IPv4, IPv6, Ethernet-Switching und CCC

IPv4, IPv6, Ethernet-Switching und CCC

IP-Optionen

Geben Sie an any , dass eine Übereinstimmung erstellt werden soll, wenn im Optionsfeld im IP-Header etwas angegeben ist.

Ja

Nein

IPv4

n/z

Vorrang

IP-Präzedenz

Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) oder routine (0x00).

Verwendung ip-precedence für Ethernet-Switching und CCC-Familien.

Ja

Nein

IPv4, Ethernet-Switching und CCC

n/z

ist-fragment

Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist oder wenn der Fragmentoffset nicht Null ist.

Ja

Nein

IPv4

n/z

TCP-etabliert

Stimmt mit Paketen einer bestehenden TCP-Drei-Wege-Handshake-Verbindung (SYN, SYN-ACK, ACK) überein. Das einzige Paket, das nicht übereinstimmt, ist das erste Paket des Handshakes, da nur das SYN-Bit gesetzt ist. Für dieses Paket müssen Sie als Übereinstimmungsbedingung angeben tcp-initial .

Wenn Sie angeben tcp-established, überprüft der Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Ja

Ja

IPv4 und IPv6

IPv4 und IPv6

TCP-Flags

Ein oder mehrere TCP-Flags:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Ja

Nein

IPv4 und IPv6

n/z

tcp-initial

Stimmt mit dem ersten TCP-Paket einer Verbindung überein. Eine Übereinstimmung tritt auf, wenn das TCP-Flag SYN festgelegt ist und das TCP-Flag ACK nicht festgelegt ist.

Wenn Sie angeben tcp-initial, überprüft ein Switch nicht implizit, ob es sich bei dem Protokoll um TCP handelt. Sie müssen auch die Übereinstimmungsbedingung protocol tcp angeben.

Ja

Nein

IPv4 und IPv6

n/z

ttl

IP-Feld für die Gültigkeitsdauer (TTL) in Dezimalzahl. Der Wert kann zwischen 1 und 255 liegen.

Ja

Ja

IPv4

IPv4

MAC-Zieladresse

MAC-Zieladresse des Pakets.

Ja

Ja

Ethernet-Switching und CCC

Ethernet-Switching und CCC

source-mac-adresse

MAC-Adresse (Source Media Access Control) des Pakets.

Ja

Ja

Ethernet-Switching und CCC

Ethernet-Switching und CCC

DSCP

Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP.

Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• be—Best Effort (Standard)

• ef (46)– wie in RFC 3246, An Expedited Forwarding PHB, definiert.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert.

• cs0, cs1, , cs2, cs4cs3, , cs5, , cs6, cs7, , cs5

Ja

Ja

IPv4, Ethernet-Switching und CCC

IPv4, Ethernet-Switching und CCC

Äther-Typ

Ethernet-Typfeld eines Pakets. Der EtherType-Wert gibt an, welches Protokoll im Ethernet-Frame transportiert wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• aarp (0x80F3)—EtherType-Wert AARP

• appletalk (0x809B)—EtherType-Wert AppleTalk

• arp (0x0806)—EtherType-Wert ARP

• fcoe (0x8906)—EtherType-Wert FCoE

• fip (0x8914)—EtherType-Wert FIP

• ipv4 (0x0800)—EtherType-Wert IPv4

• ipv6 (0x08DD)—EtherType-Wert IPv6

• mpls-multicast (0x8848)—EtherType-Wert MPLS-Multicast

• mpls-unicast (0x8847)—EtherType-Wert MPLS-Unicast

• oam (0x88A8)—EtherType-Wert OAM

• ppp (0x880B)—EtherType-Wert PPP

• pppoe-discovery (0x8863)—EtherType-Wert PPPoE-Erkennungsphase

• pppoe-session (0x8864)—EtherType-Wert PPPoE-Sitzungsphase

• sna (0x80D5)—EtherType-Wert SNA

Ja

Ja

Ethernet-Switching und CCC

Ethernet-Switching und CCC

learn-vlan-1p-priority

Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte zwischen 0 und 7 an.

Ja

Ja

Ethernet-Switching und CCC

Ethernet-Switching und CCC

user-vlan-1p-priority

Stimmt mit der angegebenen 802.1p-VLAN-Priorität im Bereich 0-7überein.

Ja

Ja

Ethernet-Switching und CCC

Ethernet-Switching und CCC

Exp

Übereinstimmung mit MPLS EXP-Bits.

Ja

Nein

MPLS

n/z

Etikett

Übereinstimmung mit MPLS-Label-Bits.

Ja

Nein

MPLS

n/z

traffic-class

8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4.

Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

af11 (10), af12 (12), af13 (14), af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Ja

Ja

IPv6

IPv6

hop-limit

Stimmt mit dem angegebenen Hop-Limit oder dem Satz von Hop-Limits überein. Geben Sie einen einzelnen Wert oder einen Wertebereich von 0 bis 255 an.

Ja

Ja

IPv6

IPv6

Nächste-Kopfzeile

IPv4- oder IPv6-Protokollwert. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Ja

Ja

IPv6

IPv6

zählen

Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.

Ja

Ja

IPv4, IPv6, Ethernet-Switching, CCC, MPLS und beliebige

IPv4, IPv6, Ethernet-Switching, CCC und alle

abwerfen

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.

Ja

Ja

IPv4, IPv6, Ethernet-Switching, CCC, MPLS und beliebige

IPv4, IPv6, Ethernet-Switching, CCC und alle

Log

Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den show firewall log Befehl Betriebsmodus ein.

Ja

Nein

IPv4 und IPv6

n/z

forwarding-class

Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren.

Ja

Nein

IPv4, IPv6, Ethernet-Switching, CCC und MPLS

n/z

next-interface

Leitet Pakete an die angegebene ausgehende Schnittstelle weiter.

Ja

Nein

IPv4 und IPv6

n/z

Verlust-Priorität

Legen Sie die PLP-Stufe (Packet Loss Priority) fest.

Sie können die three-color-policer nicht beendende Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. Diese beiden nicht beendenden Aktionen schließen sich gegenseitig aus.

Ja

Nein

IPv4, IPv6, Ethernet-Switching, CCC und MPLS

n/z

Nächste-IP-Adresse

Leiten Sie Pakete an die angegebene IPv4-Zieladresse weiter.

Ja

Nein

Ja

n/z

Next-IP6

Leiten Sie Pakete an die angegebene IPv6-Zieladresse weiter.

Ja

Nein

IPv6

n/z

Polizist

Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll.

Ja

Ja

IPv4, IPv6, Ethernet-Switching, CCC, MPLS und beliebige

IPv4, IPv6, Ethernet-Switching, CCC und alle

ablehnen

Verwerfen Sie ein Paket, und senden Sie die ICMPv4-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den syslog Aktionsmodifizierer.

administratively-prohibited (default),
bad-host-tos, bad-network-tos, host-prohibited,
host-unknown, host-unreachable, network-prohibited,
network-unknown, network-unreachable,
port-unreachable, precedence-cutoff, 
precedence-violation, protocol-unreachable,
        source-host-isolated, source-route-failed,

Wenn Sie angeben tcp-reset, sendet das System einen TCP-Reset, wenn es sich bei dem Paket um ein TCP-Paket handelt, andernfalls wird nichts gesendet.

Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet.

Ja

Nein

IPv4 und IPv6

n/z

syslog

Protokollieren Sie eine Warnung für dieses Paket.

Ja

Nein

IPv4 und IPv6

n/z

Beispiel

Stichprobe des Paketdatenverkehrs. Wenden Sie diese Option nur an, wenn Sie das Datenverkehrs-Sampling aktiviert haben.

Ja

Nein

IPv4 und IPv6

n/z

dreifarbiger Polizist

Senden Sie Pakete an einen dreifarbigen Policer (zum Zweck der Anwendung der Ratenbegrenzung).

Ja

Ja

IPv4, IPv6, Ethernet-Switching, CCC, MPLS und beliebige

IPv4, IPv6, Ethernet-Switching, CCC und alle