Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Conditions et actions de correspondance du filtre de pare-feu (routeurs ACX Series)

Sur les routeurs métro universels ACX Series, vous pouvez configurer des filtres de pare-feu pour filtrer les paquets et effectuer une action sur les paquets qui correspondent au filtre. Les conditions de correspondance spécifiées pour filtrer les paquets sont spécifiques au type de trafic filtré.

Les filtres de pare-feu avec des conditions IPv6 ne sont pas pris en charge au niveau de la firewall family inet6 filter name hiérarchie sur les routeurs ACX6360-OR dans Junos OS version 19.1R1.

REMARQUE :

Sur les routeurs ACX Series, le filtre du trafic sortant (filtre de sortie) ne peut être appliqué qu’aux instances du filtre de pare-feu spécifiques à l’interface.

Sur les routeurs ACX Series, des erreurs TCAM s’affichent lorsque vous modifiez un préfixe ou un terme sur les filtres de pare-feu appliqués. Pour modifier un préfixe ou un terme dans le filtre de pare-feu, vous devez supprimer le filtre de pare-feu existant, puis appliquer le filtre modifié.

REMARQUE :

Sur les routeurs ACX Series, vous ne pouvez pas appliquer de filtre de pare-feu dans le sens sortant sur les interfaces IRB.

Vue d’ensemble des conditions et des actions de correspondance du filtre de pare-feu sur les routeurs ACX Series

Tableau 1 Décrit les types de trafic pour lesquels vous pouvez configurer des filtres de pare-feu sans état standard.

Tableau 1 : Conditions de correspondance du filtre de pare-feu standard par famille de protocoles pour les routeurs ACX Series

Type de trafic

Niveau hiérarchique auquel les conditions de correspondance sont spécifiées

Indépendant du protocole

[edit firewall family any filter filter-name term term-name]

Aucune condition de correspondance n’est prise en charge pour ce type de trafic sur les routeurs ACX Series.

IPv4 (en anglais)

[edit firewall family inet filter filter-name term term-name

Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance pour le trafic IPv4 (routeurs ACX Series).

MPLS

[edit firewall family mpls filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance pour le trafic MPLS (routeurs ACX Series).

CCC de couche 2

[edit firewall family ccc filter filter-name term term-name]

Aucune condition de correspondance n’est prise en charge pour ce type de trafic sur les routeurs ACX Series.

Pont

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (Applicable uniquement aux routeurs ACX5048 et ACX5096.)

Sur ACX5448 routeur, les filtres de la famille d’entrée suivants peuvent être mis à l’échelle en fonction de la disponibilité de TCAM externe :

  • Famille ethernet-switching

  • Famille ccc

  • Famille inet

  • Famille inet6

  • Famille mpls

  • Famille vpls

Sous l’instruction then relative à un terme de filtre de pare-feu sans état standard, vous pouvez spécifier les actions à effectuer sur un paquet qui correspond au terme.

Tableau 2 Récapitule les types d’actions que vous pouvez spécifier dans un terme de filtre de pare-feu sans état standard.

Tableau 2 : Catégories d’actions de filtre de pare-feu standard pour les routeurs ACX Series

Type d’action

Description

Commentaire

Terminaison

Arrête toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur effectue l’action spécifiée et aucun terme supplémentaire n’est utilisé pour examiner le paquet.

Vous ne pouvez spécifier qu’une seule action de terminaison dans un filtre de pare-feu standard. Toutefois, vous pouvez spécifier une action de fin avec une ou plusieurs actions non terminées dans un seul terme. Par exemple, à l’intérieur d’un terme, vous pouvez spécifier accept avec count et syslog.

Reportez-vous à la section Mesures de résiliation (routeurs ACX Series).

Non-terminaison

Exécute d’autres fonctions sur un paquet (telles que l’incrimination d’un compteur, la journalisation d’informations sur l’en-tête du paquet, l’échantillonnage des données du paquet ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journal système), mais tous les termes supplémentaires sont utilisés pour examiner le paquet.

Reportez-vous à la section Actions non arrêtantes (routeurs ACX Series).

Conditions de correspondance pour les filtres de pare-feu de la famille de ponts (routeurs ACX Series)

Filtres de pare-feu de la famille de ponts sur les routeurs ACX Series

Les filtres de la famille de ponts peuvent être configurés au niveau de la famille IFL sur les routeurs ACX Series. Les filtres de famille de ponts sont utilisés pour faire correspondre les flux de pont L2 en fonction des champs de couche 2/couche 3 pris en charge et prendre des mesures de pare-feu. Le nombre maximal de termes pris en charge pour les filtres de pare-feu de pont sur les routeurs ACX Series est de 124.

REMARQUE :

Sur les routeurs des séries ACX5448 et ACX7000, vous devez appliquer les filtres de pare-feu de couche 2 uniquement sur les paquets commutés de couche 2, même si le domaine de pont a un IRB attaché au domaine de pont. S’il s’agit d’un paquet transféré de couche 3, des filtres de couche 3 doivent être appliqués sur l’IRB.
REMARQUE :

Sur les routeurs ACX Series, vous ne pouvez pas appliquer de filtre de pare-feu dans le sens sortant sur les interfaces IRB.

Tableau 3 Affiche les conditions de correspondance prises en charge pour les filtres de famille de ponts.

Tableau 3 : Conditions de correspondance du filtre de pare-feu de la famille de ponts pour les routeurs ACX Series

Condition de correspondance

Description

appliquer-groupes

Définir les groupes dont hériter les données de configuration

appliquer-groupes-sauf

Définir les groupes qui ne diffuseront pas les données de configuration

adresse_mac de destination

Définir l’adresse MAC de destination

port_destination

Correspond au port de destination TCP/UDP

destination-prefix-list

Faites correspondre les préfixes de destination IP dans la liste nommée.

Dscp

Correspondance avec le point de code DiffServ (Differentiated Services)

de type éther

Correspond au type Ethernet

code icmp

Correspondance d’un code de message ICMP

de type icmp

Correspondance d’un type de message ICMP

groupe_interface

Correspondance d’un groupe d’interfaces

adresse_de_destination_ip

Correspondance d’une adresse IP de destination

priorité_IP

Correspondance d’une valeur de priorité IP

protocole IP

Correspondance d’un type de protocole IP

adresse_source ip

Correspondance d’une adresse IP source

learn-vlan-1p-priority

Correspond à la priorité VLAN 802.1p apprise

learn-vlan-dei

Correspond au bit DEI de l’ID VLAN de l’utilisateur

learn-vlan-id

Correspondance d’un ID de VLAN appris

adresse_mac source

Définir l’adresse MAC source

source-prefix-list

Correspond aux préfixes de source IP dans la liste nommée.

port_source

Correspondance d’un port source TCP/UDP

user-vlan-1p-priority

Correspondre à la priorité VLAN 802.1p de l’utilisateur

id_vlan utilisateur

Correspondance d’un ID VLAN utilisateur

type vlan ether

Correspond à un type VLAN Ethernet

Tableau 4 Affiche les champs d’action pris en charge.

Tableau 4 : Champs d’action de filtre de pare-feu de famille de ponts pour les routeurs ACX Series

Champ d’action

Description

Accepter

Accepter le paquet

Compter

Comptez le paquet dans le compteur nommé

Jeter

Jeter le paquet

classe_transfert

Classer le paquet dans la classe de transfert

priorité_perte

Priorité de perte de paquets

rapport

Consignez les informations d’en-tête de paquet dans une mémoire tampon du moteur de transfert de paquets. Vous pouvez accéder à ces informations en exécutant la commande show firewall log sur l’interface de ligne de commande (CLI).

contrôleur

Nom du mécanisme de contrôle à utiliser pour limiter le débit du trafic

Syslog

Consignez le paquet dans le fichier journal système.

Contrôleur à trois couleurs

Contrôlez le paquet à l’aide d’un système de contrôle à trois couleurs
REMARQUE :

Les filtres de pare-feu de la famille Bridge peuvent être appliqués en tant que filtre de sortie sur les interfaces de couche 2. Lorsque l’interface de couche 2 se trouve sur un domaine de pont configuré avec l’instruction vlan-id , les routeurs ACX Series peuvent faire correspondre le VLAN externe du paquet en utilisant la correspondance vlan-id utilisateur spécifiée dans le filtre de pare-feu de la famille de ponts.

Conditions de correspondance pour les filtres de la famille de pare-feu CCC (routeurs ACX Series)

Conditions de correspondance pour les filtres de pare-feu de la famille CCC

Sur les routeurs ACX Series, vous pouvez configurer un filtre de pare-feu standard avec des conditions de correspondance pour le trafic CCC (family ccc).

Tableau 5 décrit les conditions de correspondance que vous pouvez configurer au niveau de la [edit firewall family ccc filter filter-name term term-name] hiérarchie.

Tableau 5 : Conditions de correspondance du filtre de pare-feu de la famille CCC pour les routeurs ACX Series

Champ

Description

destination-mac-address

Adresse MAC de destination

destination-port

Correspond au port de destination TCP/UDP

dscp

Correspond au point de code des services différenciés (DiffServ)

icmp-code

Correspond au code de message ICMP

icmp-type

Correspond au type de message ICMP

ip-destination-address

Correspond à l’adresse IP de destination

ip-precedence

Correspond à la valeur de priorité IP

ip-protocol

Correspond au type de protocole IP

ip-source-address

Correspond à l’adresse IP source

learn-vlan-1p-priority

Correspond à la priorité VLAN 802.1p apprise

source-mac-address

Adresse MAC source

source-port

Correspond au port source TCP/UDP

user-vlan-1p-priority

Correspond à la priorité VLAN 802.1p de l’utilisateur

Conditions de correspondance pour le trafic IPv4 (routeurs ACX Series)

Sur les routeurs ACX Series, vous pouvez configurer un filtre de pare-feu sans état standard avec des conditions de correspondance pour le trafic IP version 4 (IPv4) (family inet). Tableau 6 décrit les conditions de correspondance que vous pouvez configurer au niveau de la [edit firewall family inet filter filter-name term term-name from] hiérarchie.

Tableau 6 : Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 sur les routeurs ACX Series

Condition de correspondance

Description

destination-address address

Faites correspondre le champ de l’adresse de destination IPv4.

REMARQUE :

Sur les routeurs ACX Series, vous ne pouvez spécifier qu’une seule adresse de destination. La liste des adresses de destination IPv4 n’est pas prise en charge.

destination-port number

Faites correspondre le champ Port de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol udp or protocol tcp match dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed (513) ou xdmcp (177).

destination-prefix-list

Faites correspondre les préfixes de destination IP dans la liste nommée.

dscp number

Correspond au DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance.

Vous pouvez spécifier une valeur numérique comprise entre 0 et 63. Pour spécifier la valeur sous forme hexadécimale, incluez 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez b comme préfixe.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : ef(46).

  • La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code :

    • af11( 10), af12 (12) et (14) af13

    • af21( 18), af22 (20) et (22) af23

    • af31( 26), af32 (28) et (30) af33

    • af41( 34), af42 (36) et (38) af43

fragment-flags number

(Entrée uniquement) Faites correspondre le champ d’indicateurs de fragmentation IP à trois bits dans l’en-tête IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des mots-clés suivants (les valeurs de champ sont également répertoriées) : dont-fragment( 0x4), more-fragments (0x2) ou reserved (0x8).

icmp-code number

Faites correspondre le champ Code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de protocol icmp correspondance dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

  • problème_paramètre : ip-header-bad( 0), required-option-missing (1)

  • Rediriger: redirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • dépassement de temps : ttl-eq-zero-during-reassembly( 1), ttl-eq-zero-during-transit (0)

  • Inaccessible: communication-prohibited-by-filtering( 13), (10), (7), (9), (6), (4), (14), (1), host-unreachable-for-TOS (12), (0), (11), (3), (15), (2), (8), source-route-failedprecedence-cutoff-in-effectnetwork-unreachablenetwork-unreachable-for-TOShost-unreachableport-unreachableprotocol-unreachabledestination-host-prohibiteddestination-network-prohibitedsource-host-isolateddestination-host-unknowndestination-network-unknownfragmentation-neededhost-precedence-violation (5)

icmp-type number

Faites correspondre le champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de protocol icmp correspondance dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : echo-reply (0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), ou unreachable (3).

ip-options values

Faites correspondre le champ d’option IP 8 bits, s’il est présent, à la valeur spécifiée.

Les routeurs ACX Series prennent uniquement en charge la ip-options_any condition de correspondance, ce qui garantit que les paquets sont envoyés au moteur de transfert de paquets pour traitement.

REMARQUE :

Sur les routeurs ACX Series, vous ne pouvez spécifier qu’une seule valeur d’option IP. La configuration de valeurs multiples n’est pas prise en charge.

precedence ip-precedence-field

Correspond au champ Priorité IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp( 0xa0), (0x60), (0x80), (0x40), (0xc0), flashinternet-controlimmediatenet-controlflash-override (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

protocol number

Correspond au champ Type de protocole IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : dstopts( 60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), ipv6 (41), , (89), (103), , (46), (132), (6), udp sctptcpgrefragmenticmpicmp6espegphop-by-hopicmpv6pimrsvpipipno-next-headerospfrouting (17) ou vrrp (112). igmp

source-address address

Faites correspondre l’adresse IPv4 du nœud source qui envoie le paquet.

source-port number

Faites correspondre le champ Port source UDP ou TCP.

Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer également l’instruction protocol udp or protocol tcp match dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

source-prefix-list

Correspond aux préfixes de source IP dans la liste nommée.

tcp-flags value

Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits.

Pour connaître les conditions de correspondance de champs binaires combinés, reportez-vous aux conditions de tcp-initial correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol tcp de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

tcp-initial

Correspond au paquet initial d’une connexion TCP. Il s’agit d’un alias pour tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de protocol tcp correspondance dans le même terme.

ttl number

Faites correspondre le numéro de durée de vie IPv4. Spécifiez une valeur TTL ou une plage de valeurs TTL. Pour number, vous pouvez spécifier une ou plusieurs valeurs comprises entre 2 et 255.

Conditions de correspondance pour le trafic IPv6 (routeurs ACX Series)

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic IPv6 (Internet Protocol version 6) (family inet6). Tableau 7 décrit les conditions de correspondance que vous pouvez configurer au niveau de la [edit firewall family inet6 filter filter-name term term-name from] hiérarchie.

Tableau 7 : Conditions de correspondance du filtre de pare-feu pour le trafic IPv6

Condition de correspondance

Description

destination-address address

Correspond au champ d’adresse de destination IPv6.

destination-port number

Faites correspondre le champ Port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance port et destination-port dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed (513) ou xdmcp (177).

destination-prefix-list

Faites correspondre les préfixes de destination IP dans la liste nommée.

extension-headers header-type

Faites correspondre un type d’en-tête d’extension contenu dans le paquet en identifiant une valeur d’en-tête suivant.

Dans le premier fragment d’un paquet, le filtre recherche une correspondance dans l’un des types d’en-tête d’extension. Lorsqu’un paquet avec un en-tête de fragment est trouvé (un fragment suivant), le filtre recherche uniquement une correspondance du type d’en-tête d’extension suivant, car l’emplacement des autres en-têtes d’extension est imprévisible.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), (60), (50), (44), (0), mobilityfragmentespdestinationhop-by-hop (135) ou routing (43).

Pour faire correspondre n’importe quelle valeur de l’option d’en-tête d’extension, utilisez le synonyme anyde texte .

REMARQUE :

Seul le premier en-tête d’extension du paquet IPv6 peut être mis en correspondance. L’en-tête L4 au-delà d’un en-tête d’extension IPv6 sera mis en correspondance.

hop-limit hop-limit

Faites correspondre la limite de sauts à la limite de sauts spécifiée ou à l’ensemble de limites de sauts. Pour hop-limit, spécifiez une valeur unique ou une plage de valeurs comprise entre 0 et 255.

icmp-code message-code

Faites correspondre le champ Code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

  • problème_paramètre : ip6-header-bad( 0), (1), unrecognized-next-headerunrecognized-option (2)

  • dépassement de temps : ttl-eq-zero-during-reassembly( 1), ttl-eq-zero-during-transit (0)

  • destination-inaccessible : administratively-prohibited( 1), (3), (0), address-unreachableno-route-to-destinationport-unreachable (4)

icmp-type message-type

Faites correspondre le champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : certificate-path-advertisement(149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), router-solicitinverse-neighbor-discovery-advertisementnode-information-replyneighbor-solicitcertificate-path-solicitationnode-information-requestneighbor-advertisementpacket-too-bigmobile-prefix-advertisement-replyrouter-advertisementmembership-terminationrouter-renumberinghome-agent-address-discovery-replyecho-requesthome-agent-address-discovery-requestmembership-querymembership-reportinverse-neighbor-discovery-solicitationdestination-unreachablemobile-prefix-solicitationprivate-experimentation-200redirectparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-201 (133) ou time-exceeded (3). echo-reply

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre crochets.

next-header header-type

Faites correspondre le premier champ Next Header de 8 bits du paquet. La prise en charge de la condition de correspondance de pare-feu est disponible à partir de next-header Junos OS version 13.3R6.

Pour IPv6, nous vous recommandons d’utiliser le terme plutôt que le payload-protocol terme lors de la configuration d’un next-header filtre de pare-feu avec des conditions de correspondance. Bien que l’un ou l’autre puisse être utilisé, fournit la condition de correspondance la plus fiable car il utilise le protocole de charge utile réel pour trouver une correspondance, alors qu’il next-header prend simplement ce qui apparaît dans le premier en-tête suivant l’en-tête IPv6, payload-protocol qui peut ou non être le protocole réel. De plus, s’il next-header est utilisé avec IPv6, le processus de recherche accélérée de bloc de filtre est contourné et le filtre standard est utilisé à la place.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah( 51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), udp greespegpdstopsfragmenthop-by-hopipv6ipipmobilityigmpno-next-headericmpv6ospfpimicmp6icmprsvpsctproutingtcp (17) ou vrrp (112).

REMARQUE :

next-header icmp6 et next-header icmpv6 les conditions de correspondance remplissent la même fonction. est l’option à privilégier. next-header icmp6next-header icmpv6 est masquée dans l’interface de ligne de commande de Junos OS.

source-address address

Faites correspondre l’adresse IPv6 du nœud source qui envoie le paquet.

source-port number

Faites correspondre le champ Port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions de correspondance et source-port dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

source-prefix-list

Correspond aux préfixes de source IP dans la liste nommée.

tcp-flags flags

Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits.

Pour connaître les conditions de correspondance de champs binaires combinés, reportez-vous à la section et tcp-initial aux conditions de tcp-established correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header tcp correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

tcp-initial

Correspond au paquet initial d’une connexion TCP. Il s’agit d’un synonyme textuel de tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header tcp correspondance dans le même terme.

traffic-class number

Correspond au champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique à partir de 0 .63 Pour spécifier la valeur sous forme hexadécimale, incluez-la 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la b comme préfixe.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : ef(46).

  • La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code :

    • af11( 10), af12 (12) et (14) af13

    • af21( 18), af22 (20) et (22) af23

    • af31( 26), af32 (28) et (30) af33

    • af41( 34), af42 (36) et (38) af43
REMARQUE :

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (les conditions de correspondance , ou source-address de addresscorrespondance), utilisez la syntaxe des représentations textuelles décrite dans la RFC 4291, destination-address Architecture d’adressage IP version 6. Pour plus d’informations sur les adresses IPv6, consultez Présentation d’IPv6 et Normes IPv6 prises en charge.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.html

Voici un exemple de configuration de la famille de pare-feu inet6 :

Conditions de correspondance pour le trafic MPLS (routeurs ACX Series)

Sur les routeurs ACX Series, vous pouvez configurer un filtre de pare-feu sans état standard avec des conditions de correspondance pour le trafic MPLS (family mpls).

REMARQUE :

Les input-list filter-names instructions et pour les filtres de pare-feu de la mpls famille de protocoles sont prises en charge sur toutes les interfaces, à l’exception des interfaces de gestion et des interfaces Ethernet internes ( ou em0), des interfaces de bouclage () et output-list filter-names des interfaces de modem USB (lo0fxpumd).

Tableau 8 décrit les conditions de correspondance que vous pouvez configurer au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie.

Tableau 8 : Conditions de correspondance du filtre de pare-feu standard pour le trafic MPLS sur les routeurs ACX Series
Condition de correspondance Description

exp number

Numéro de bits expérimental (EXP) ou plage de numéros de bits dans l’en-tête MPLS. Pour number, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 7 au format décimal, binaire ou hexadécimal.

Actions non terminables (routeurs ACX Series)

Les filtres de pare-feu sans état standard prennent en charge différents ensembles d’actions sans interruption pour chaque famille de protocoles.

REMARQUE :

Les routeurs ACX Series ne prennent pas en charge l’action next term .

Les routeurs ACX Series prennent en charge les actions log et syslog dans les directions d’entrée et de sortie pour family et family inetbridge.

ACX5448, les routeurs ACX710 et ACX7100 Series ne prennent pas en charge log, , , forwarding-classsyslogrejectet loss-priority dans le sens sortant. En entrée et en sortie, les routeurs prennent uniquement en charge la sémantique spécifique à l’interface.

Tableau 9 Décrit les actions non résiliantes que vous pouvez configurer pour un terme de filtre de pare-feu standard.

Tableau 9 : Actions non arrêtées pour les filtres de pare-feu standard sur les routeurs ACX Series

Action sans résiliation

Description

Familles de protocoles

count counter-name

Comptez le paquet dans le compteur nommé.

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

Classez le paquet en fonction de la classe de transfert spécifiée :

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

REMARQUE :

Cette action n’est prise en charge qu’à l’entrée.

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

Consignez les informations d’en-tête de paquet dans une mémoire tampon du moteur de transfert de paquets. Vous pouvez accéder à ces informations en exécutant la show firewall log commande sur l’interface de ligne de commande (CLI).

REMARQUE :

Cette action est prise en charge à l’entrée et à la sortie. L’action sur la sortie n’est pas prise en charge pour l’inet6 de la famille.

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

Définissez le niveau de priorité de perte de paquets (PLP).

Vous ne pouvez pas non plus configurer l’action three-color-policer de non-résiliation pour le même terme de filtre de pare-feu. Ces deux actions sans interruption s’excluent mutuellement.

Vous devez inclure l’instruction au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un tri-color des quatre niveaux spécifiés. Si l’instruction n’est tri-color pas activée, vous ne pouvez configurer que les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction, reportez-vous à la tri-colorsection Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

REMARQUE :

Cette action n’est prise en charge qu’à l’entrée.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

Nom de l’outil de contrôle à utiliser pour limiter le débit du trafic.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Mettez en miroir le paquet en fonction de la famille spécifiée.

REMARQUE :

Cette action n’est prise en charge qu’à l’entrée.

Les routeurs ACX5048 et ACX5096 ne prennent pas en charge port-mirror.

family inet

syslog

Consignez le paquet dans le fichier journal système.

REMARQUE :

Cette action est prise en charge à l’entrée et à la sortie. L’action sur la sortie n’est pas prise en charge pour l’inet6 de la famille.

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

Contrôler le paquet à l’aide du mécanisme de contrôle tricolore à débit unique ou à deux débits spécifié.

Vous ne pouvez pas non plus configurer l’action loss-priority pour le même terme de filtre de pare-feu. Ces deux actions s’excluent mutuellement.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

Définir un point de code de classe de trafic

REMARQUE :

Cette action n’est prise en charge qu’à l’entrée.

family inet6

Actions de terminaison (routeurs ACX Series)

Les filtres de pare-feu sans état standard prennent en charge différents ensembles d’actions de terminaison pour chaque famille de protocoles.

REMARQUE :

Les routeurs ACX Series ne prennent pas en charge l’action next term .

Tableau 10 Décrit les actions de terminaison que vous pouvez spécifier dans un terme de filtre de pare-feu standard.

Tableau 10 : Mesures de fin des filtres de pare-feu standard sur les routeurs ACX Series

Arrêt de l’action

Description

Protocoles

accept

Acceptez le paquet.

  • family any

  • family inet

  • family mpls

  • family ccc

discard

Rejeter un paquet en mode silencieux, sans envoyer de message ICMP (Internet Control Message Protocol). Les paquets mis au rebut sont disponibles pour l’enregistrement et l’échantillonnage.

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

Rejeter le paquet et renvoyer un message ICMPv4 ou ICMPv6 :

  • Si aucun type de message n’est spécifié, un destination-unreachable message est renvoyé par défaut.

  • Si tcp-reset est spécifié comme type de message, tcp-reset n’est renvoyé que s’il s’agit d’un paquet TCP. Dans le cas contraire, le administratively-prohibited message, qui a la valeur 13, est renvoyé.

  • Si un autre type de message est spécifié, ce message est renvoyé.

REMARQUE :

  • Les paquets rejetés peuvent être échantillonnés ou consignés si vous configurez l’action sample ou syslog .

  • Cette action n’est prise en charge qu’à l’entrée.

L’option message-type peut avoir l’une des valeurs suivantes : address-unreachable, , administratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

family inet

routing-instance routing-instance-name

Dirigez le paquet vers l’instance de routage spécifiée.

  • family inet