Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions et actions du filtre de pare-feu (routeurs PTX Series)

Conditions et actions de correspondance des filtres de pare-feu (PTX10003 et PTX10008)

Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considérés comme correspondant. Vous pouvez définir des conditions de correspondance uniques ou multiples dans des instructions de correspondance. Vous ne pouvez pas non plus inclure de déclaration de correspondance, auquel cas le terme correspond à tous les paquets.

Lorsqu’un paquet correspond à un filtre, le routeur prend l’action spécifiée dans le terme. En outre, vous pouvez spécifier des modificateurs d’action pour compter, mettre en miroir, limiter le débit et classer les paquets. Si aucune condition de correspondance n’est spécifiée pour le terme, le routeur accepte le paquet par défaut.

Sur le PTX10003, vous pouvez appliquer plusieurs filtres de pare-feu à une interface unique sous la forme d’une liste d’entrées ou de sorties unique (filter input-list and output-list). Ainsi, vous ne gérez la configuration d’une tâche de filtrage qu’à l’aide d’un filtre de pare-feu unique. Cela vous donne de la flexibilité dans les environnements de grande taille lorsque vous disposez d’un équipement configuré avec de nombreuses interfaces. Vous pouvez faire la même chose sur le PTX10008, mais le routeur ne prend en charge que l’application de plusieurs filtres de pare-feu à une seule liste d’entrées.

  • Tableau 1 décrit les conditions de correspondance que vous pouvez spécifier lors de la configuration d’un filtre de pare-feu. Certaines conditions de plage numérique et de correspondance entre les champs de bits vous permettent de spécifier un synonyme de texte. Pour afficher la liste de tous les synonymes d’une condition de correspondance, saisissez ? l’endroit approprié dans une déclaration.

  • Tableau 2 affiche les actions et les modificateurs d’actions que vous pouvez spécifier dans un terme.

Tableau 1 : Conditions de correspondance prises en charge (PTX10003 et PTX10008)

Condition de correspondance

Description

Interfaces prises en charge

address address [ except ]

Correspondez au champ d’adresse source ou de destination, sauf si l’option except est incluse.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

destination-address address [ except ]

Correspondez au champ d’adresse de destination, sauf si l’option except est incluse.

Vous ne pouvez pas spécifier les deux address et destination-address assortir les conditions dans le même terme.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

destination-port number

Correspondez au champ de port de destination UDP ou TCP. Vous devez également configurer l’instruction protocol udp ou protocol tcp la correspondance dans le même terme pour spécifier le protocole utilisé sur le port.

Vous ne pouvez pas spécifier les conditions et destination-port les port conditions de correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21 ( ekshell 2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), (518), ntalkntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

Interfaces IPv4 (inet) et IPv6 (inet6).

destination-port-except number

Ne correspondez pas au champ de port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

destination-prefix-list name [ except ]

Correspondez aux préfixes de destination dans une liste, sauf si l’option except est incluse. Vous pouvez définir une liste de préfixes d’adresse IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Interfaces IPv4 (inet) et IPv6 (inet6).

dscp number

Correspondez au point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

  • be— meilleur effort (par défaut)

  • ef (46)— comme défini dans la norme RFC 3246, un PHB de transfert accéléré.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Ces quatre classes, avec trois préséances d’abandon dans chaque classe, pour un total de 12 points de code, sont définies dans RFC 2597, PHB de transfert assuré.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Interfaces IPv4 (inet) et IPv6 (inet6).

dscp-except number

Ne correspondez pas au numéro DSCP. Pour plus d’informations, consultez la condition de dscp correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

first-fragment

Correspondez si le paquet est le premier fragment d’un paquet fragmenté. Ne correspondez pas si le paquet est un fragment de suivi d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de offset fragmenté de 0.

Cette condition de match est un alias pour la condition fragment-offset 0 de match bit-field condition de match.

Pour assortir les fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient différentes conditions de correspondance : first-fragment et is-fragment.

Interfaces IPv4 (inet).

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • network-control

  • no-loss

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

forwarding-class-except class

Ne correspondez pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

fragment-flags number

Correspondez au champ des flags de fragmentation IP de trois bits dans l’en-tête IP.

En lieu et place de la valeur numérique du champ, vous pouvez spécifier l’un des mots clés suivants (les valeurs du champ sont également répertoriées) : dont-(0x4), more-s (0x2) ou reserved (0x8).

Interfaces IPv4 (inet).

fragment-offset value

Correspondez au champ de offset fragment de 13 bits dans l’en-tête IP. La valeur du message de datagramme global vers le fragment de données est compensée, en unités de 8 octets. Indiquez une valeur numérique, une plage de valeurs ou un ensemble de valeurs. Une valeur de 0 décalage indique le premier fragment d’un paquet fragmenté.

La first-fragment condition de correspondance est un alias pour la condition de fragment-offset 0 correspondance.

Pour assortir les fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient différentes conditions de correspondance (first-fragment et is-fragment).

Interfaces IPv4 (inet).

fragment-offset-except number

Ne correspondez pas au champ de offset fragment 13 bits.

Interfaces IPv4 (inet).

icmp-code message-code

Correspondez au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou next-header icmp6 de next-header icmp la assortir dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés par type ICMP auquel ils sont associés :

  • problème de paramètres : ip-header-bad(0), required-option-missing (1)

  • Rediriger: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • délais dépassés : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Inaccessible: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

Interfaces IPv4 (inet) et IPv6 (inet6).

icmp-code-except message-code

Ne correspondez pas au champ code du message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

icmp-type number

Correspondez au champ de type de message ICMP. Vous devez également configurer icmp ou icmpv6 en tant que type protocol de correspondance d’en-tête suivant dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

Voir aussi icmp-code variable.

Interfaces IPv4 (inet) et IPv6 (inet6).

icmp-type-except message-type

Ne correspondez pas au champ de type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

interface interface-name

Pour les filtres d’entrant, correspondez à l’interface sur laquelle le paquet a été reçu.

Pour les filtres de sortie, correspondez à l’interface sur laquelle le paquet a été envoyé.

Remarque :

Les routeurs PTX5000 Series ne prennent pas en charge la connexion de l’interface em0.0 (la liaison interne entre les moteurs de routage et de transfert de paquets) à lo0 (l’interface de bouclage), par exemple pour filtrer le trafic d’origine automatique, comme Telnet et SSH, en créant un filtre de pare-feu sur lo0 pour correspondre au trafic sur em0.0. L’extrait de code suivant fournit un contexte :

firewall
  filter core-protect {
            term Telnet {
                from {
                    protocol tcp;
                    destination-port telnet;
                    interface em0.0;
                }
                then accept;
            }
  }
}

Interfaces IPv4 (inet) et IPv6 (inet6).

interface-except number

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu. Pour plus de détails, voir la condition de interface correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

is-fragment

Correspondez si le paquet est un fragment de suivi d’un paquet fragmenté. Ne correspondez pas au premier fragment d’un paquet fragmenté.

Remarque :

Pour assortir les fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient différentes conditions de correspondance (first-fragment et is-fragment).

Pour les routeurs PTX10003 exécutant Junos OS Evolved, tous les paquets fragmentés, y compris le premier fragment de paquets fragmentés, correspondent à tous les termes de filtre de pare-feu contenant une correspondance « is-fragment ».

Interfaces IPv4 (inet).

loss-priority level

Correspondez à la priorité de perte de paquets (PLP).

Indiquez un ou plusieurs niveaux : low, medium-lowmedium-highou high.

Remarque :

Le loss-priority modificateur d’action n’est pas pris en charge en même temps que l’action policer .

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

loss-priority-except level

Ne correspondez pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

next-header header-type

Correspondez au premier champ d’en-tête suivant de 8 bits dans le paquet.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (4 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Interfaces IPv6 (inet6).

next-header-except header-type

Ne correspondez pas au champ 8 bits Next Header (En-tête suivant) qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

Interfaces IPv6 (inet6)

packet-length bytes

Correspondez à la longueur du paquet reçu, en octets. La longueur se réfère uniquement au paquet IP, y compris l’en-tête du paquet, et n’inclut aucun frais d’encapsulation de couche 2. Vous pouvez également spécifier une plage de valeurs à assortir.

Interfaces IPv4 (inet) et IPv6 (inet6).

packet-length-except bytes

Ne correspondez pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

port number

Correspondez au champ de port source ou de destination UDP ou TCP. Vous devez également configurer l’instruction protocol udp ou protocol tcp la correspondance dans le même terme pour spécifier le protocole utilisé sur le port.

Vous ne pouvez pas configurer la destination-port condition de correspondance ou la condition de source-port correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Interfaces IPv4 (inet) et IPv6 (inet6).

port-except number

Ne correspondez pas au champ de port UDP ou TCP source ou de destination. Pour plus de détails, voir la condition de port correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

precedence ip-precedence-value

Correspondez au champ de préséance IP.

En lieu et place de la valeur numérique du champ, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la préséance dans la forme hexadécimale, binaire ou décimale.

Interfaces IPv4 (inet).

precedence-except ip-precedence-value

Ne correspondez pas au champ de préséance IP.

Interfaces IPv4 (inet).

protocol number

Correspondez au champ type de protocole IPv4. En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

Interfaces IPv4 (inet).

protocol-except number

Ne correspondez pas au champ type de protocole IP. En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Interfaces IPv4 (inet).

source-address ip-address

Champ d’adresse source IP, c’est-à-dire l’adresse du nœud qui a envoyé le paquet.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

source-address address [ except ]

Correspondez à l’adresse IP du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IP du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier les conditions et source-address les address conditions de correspondance dans le même terme.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

source-port value

Correspondez au port source TCP ou UDP. Vous devez également configurer l’instruction protocol udp ou protocol tcp la correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la condition de destination-port number correspondance.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

source-port-except number

Ne correspondez pas au champ de port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

source-prefix-list prefix-list

Liste des préfixes source IP. Vous pouvez définir une liste de préfixes d’adresse IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

tcp-flags value

Correspondez à un ou plusieurs des 6 bits de bas niveau du champ d’flags TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez assembler plusieurs indicateurs à l’aide des opérateurs logiques de champ de bits.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol tcp de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Pour le trafic IPv4 uniquement, cette condition de correspondance ne vérifie pas implicitement si le datagramme contient le premier fragment d’un paquet fragmenté. Pour vérifier cette condition pour le trafic IPv4 uniquement, utilisez la condition de first-fragment correspondance.

Interfaces IPv4 (inet) et interfaces IPv6 (inet6).

traffic-class value

Champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet. Le champ classe trafic permet de spécifier une valeur de point de code DiffServ (DSCP). Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4, et la sémantique de ce champ (par exemple, DSCP) est identique à celle d’IPv4.

Vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

Interfaces IPv6 (inet6).

traffic-class-except number

Ne correspondez pas au champ 8 bits qui spécifie la priorité CoS du paquet. Pour plus de détails, voir la description des traffic-class correspondances.

Interfaces IPv6 (inet6).

ttl number

Correspondez au numéro de durée de vie IPv4 ou IPv6. Indiquez une valeur TTL ou une plage de valeurs TTL. Pour number, vous pouvez spécifier une ou plusieurs valeurs à partir de 0255.

Interfaces IPv4 (inet) et IPv6 (inet6).

ttl-except number

Ne correspondez pas au numéro TTL IPv4 ou IPv6. Pour plus de détails, voir la condition de ttl correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

Utilisez then des instructions pour définir les actions qui doivent se produire si un paquet correspond à toutes les conditions dans une from instruction. Tableau 2 indique les actions que vous pouvez spécifier dans un terme. (Si vous n’incluez pas d’instruction then , le système accepte les paquets correspondant au filtre.)

Tableau 2 : Actions et modificateurs d’action (PTX10003 et PTX10008, ou comme indiqué)

Action

Description

accept

Acceptez un paquet. Il s’agit de l’action par défaut pour les paquets correspondant à un terme.

discard

Rejetez un paquet silencieusement sans envoyer de message ICMP (Internet Control Message Protocol).

count counter-name

Comptez le nombre de paquets correspondant au terme.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Remarque :

L’action forwarding-class est prise en charge sur les interfaces IPv4, IPv6 et MPLS.

log

Consigner les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, saisissez la commande mode show firewall log opérationnel.

Remarque :

Le log modificateur d’action n’est pris en charge que sur les interfaces entrantes IPv4 et IPv6.

loss-priority level

Définissez la priorité de perte de paquets (PLP).

policer policer-name

Envoyez des paquets à un mécanismes de contrôle (dans le but d’appliquer la limitation du débit). Le PTX10003 prend en charge des mécanismes de contrôle à deux couleurs, à débit unique trois couleurs (srTCM) et à deux vitesses, trois couleurs (trTCM).

Remarque :

Le policer modificateur d’action n’est pas pris en charge en même temps que l’action loss-priority .

redirect instance-name

(Compatible avec les équipements PTX10004, PTX10008 et PTX10016 exécutant Junos Evolved OS version 22.1R1 uniquement.)

Envoyez des paquets au contrôleur P4, comme spécifié dans l’instance définie au [services inline-monitoring instance instance-name controller p4] niveau de la hiérarchie Junos.

reject message-type

Rejetez un paquet et envoyez un message ICMPv4 ou ICMPv6 « destination impossible à atteindre » (type 3). Pour journaliser les paquets rejetés, configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des types de messages suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, .

Remarque :

Le tcp-reset type de message n’est pas pris en charge.

Si vous ne spécifiez pas de type de message, la notification ICMP « destination impossible à atteindre » est envoyée avec le message par défaut « La communication est filtrée administrativement ».

syslog

Enregistrez une alerte pour ce paquet.

routing-instance instance-name

Transfèrez les paquets correspondant à une instance de routage virtuelle. Les paquets peuvent être transféré vers l’instance par défaut.

Prise en charge sur virtual-router et forwarding instance-types.

Conditions et actions du filtre de pare-feu IPv6 (PTX10001-20C)

Cette rubrique décrit les conditions de correspondance des filtres de pare-feu IPv6, les actions et les modificateurs d’action pour les routeurs PTX10001-20C.

Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considérés comme correspondant. Vous pouvez définir des conditions de correspondance uniques ou multiples dans des instructions de correspondance. Vous pouvez également inclure la déclaration d’absence de correspondance, auquel cas le terme correspond à tous les paquets.

Lorsqu’un paquet correspond à un filtre, le routeur prend l’action spécifiée dans le terme. Vous pouvez également spécifier des modificateurs d’action pour compter, mettre en miroir et classer les paquets. Si aucune condition de correspondance n’est spécifiée pour le terme, le routeur accepte le paquet par défaut.

Remarque :

Sur les routeurs PTX10001-20C, vous pouvez uniquement appliquer un filtre de pare-feu sur les interfaces IPv6 dans la direction de l’entrant.

  • Tableau 3 décrit les conditions de correspondance prises en charge.

  • Tableau 4 affiche les actions que vous pouvez spécifier dans un terme. Si vous n’incluez pas d’instruction then , le système accepte les paquets correspondant au filtre.

  • Tableau 5 affiche les modificateurs d’action que vous pouvez utiliser pour compter, mettre en miroir, limiter le débit et classer les paquets.

Tableau 3 : Conditions de correspondance prises en charge par IPv6

Condition de correspondance

Description

address address [ except ]

Correspondez au champ d’adresse source ou de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse source ou de destination IPv6.

apply-groups

Indiquez les groupes dont les données de configuration doivent être héritées. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les répertorier par ordre de priorité de l’héritage. Les données de configuration du premier groupe sont prioritaires par rapport aux données des groupes suivants.

apply-groups-except

Indiquez les groupes dont vous ne devez pas hériter. Vous pouvez spécifier plusieurs noms de groupe.

destination-address address [ except ]

Correspondez au champ d’adresse de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv6.

Vous ne pouvez pas spécifier les conditions et destination-address les address conditions de correspondance dans le même terme.

destination-port number

Correspondez au champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier les conditions et destination-port les port conditions de correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21 ( ekshell 2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), (518), ntalkntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Ne correspondez pas au champ de port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

destination-prefix-list prefix-list-name [ except ]

Associez le préfixe de destination IPv6 à la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie ].

icmp-code message-code

Correspondez au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou next-header icmp6 de next-header icmp la assortir dans le même terme.

Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés par type ICMP auquel ils sont associés :

  • problème de paramètres : ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • délais dépassés : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • destination inatteignable : administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Ne correspondez pas au champ code du message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

message-type

Correspondez au champ de type de message ICMP.

Vous devez également configurer icmp ou next-header icmp6 assortir la condition dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (1 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre les supports carrés.

icmp-type-except message-type

Ne correspondez pas au champ de type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

next

Passez au terme suivant dans un filtre.

next-header header-type

Correspondez au premier champ 8 bits Next Header (En-tête suivant) du paquet.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (4 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Remarque :

next-header icmp6 et next-header icmpv6 les conditions de correspondance exécutent la même fonction. next-header icmp6 est l’option préférée. next-header icmpv6 est masquée dans l’interface de ligne de commande Junos OS.

next-header-except header-type

Ne correspondez pas au champ 8 bits Next Header (En-tête suivant) qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

port number

Correspondez au champ de port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la destination-port condition de correspondance ou la condition de source-port correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

port-except number

Ne correspondez pas au champ source ou de port de destination UDP ou TCP. Pour plus de détails, voir la condition de port correspondance.

port-mirror instance-name

Mise en miroir du paquet par port.

port-mirror-instance instance-name

Un port met en miroir un paquet pour une instance.

prefix-list prefix-list-name [ except ]

Associez les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

sample

Exemple de paquet.

source-address address [ except ]

Correspondez à l’adresse IPv6 du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier les conditions et source-address les address conditions de correspondance dans le même terme.

source-port number

Correspondez au champ de port source UDP ou TCP.

Vous ne pouvez pas préciser et assortir les portsource-port conditions dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

Remarque :

Pour Junos OS Evolved, vous devez configurer l’instruction next-header udp ou next-header tcp la correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la condition de destination-port number correspondance.

source-port-except number

Ne correspondez pas au champ de port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

source-prefix-list name [ except ]

Correspondez au préfixe d’adresse IPv6 du champ de source de paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au préfixe d’adresse IPv6 du champ source du paquet.

Indiquez un nom de liste de préfixe défini au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Remarque :

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (les address, destination-addressou source-address conditions de correspondance), utilisez la syntaxe pour les représentations de texte décrites dans RFC 4291, IP Version 6 Addressing Architecture. Pour plus d’informations sur les adresses IPv6, consultez la présentation d’IPv6 et les normes IPv6 prises en charge.

Tableau 4 : Actions pour les filtres de pare-feu IPv6

Action

Description

accept

Acceptez un paquet. Il s’agit de l’action par défaut pour les paquets correspondant à un terme.

discard

Rejetez un paquet silencieusement sans envoyer de message ICMP (Internet Control Message Protocol).

redirect instance-name

(Compatible avec les équipements PTX10004, PTX10008 et PTX10016 exécutant Junos Evolved OS version 22.1R1 uniquement.)

Envoyez des paquets au contrôleur P4, comme spécifié dans l’instance définie au niveau du [services inline-monitoring instance instance-name contrôleur p4] de la hiérarchie Junos.

Tableau 5 : Modification des actions pour les filtres de pare-feu IPv6

Modifier l’action

Description

count counter-name

Comptez le nombre de paquets correspondant au terme.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Remarque :

Pour configurer une classe de transfert, vous devez également configurer la priorité de perte.

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).