Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Conditions et actions de correspondance du filtre de pare-feu (routeurs PTX Series)

Conditions et actions de correspondance du filtre de pare-feu (routeurs PTX Series)

Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez définir une ou plusieurs conditions de correspondance dans les instructions de correspondance. Vous pouvez également inclure l’instruction no match, auquel cas le terme correspond à tous les paquets.

Lorsqu’un paquet correspond à un filtre, le routeur effectue l’action spécifiée dans le terme. En outre, vous pouvez spécifier des modificateurs d’action pour compter, mettre en miroir, limiter le débit et classer les paquets. Si aucune condition de correspondance n’est spécifiée pour le terme, le routeur accepte le paquet par défaut.

À l’PTX10003, vous pouvez appliquer plusieurs filtres de pare-feu à une seule interface sous la forme d’une seule liste d’entrée ou de sortie (filter input-list and output-list). De cette façon, vous ne gérez la configuration d’une tâche de filtrage que dans un seul filtre de pare-feu. Cela vous donne de la flexibilité dans les grands environnements lorsque vous avez un appareil configuré avec de nombreuses interfaces. Vous pouvez faire la même chose sur le PTX10008, mais le routeur ne prend en charge que l’application de plusieurs filtres de pare-feu à une seule liste d’entrée.

  • Tableau 1 Décrit les conditions de correspondance que vous pouvez spécifier lors de la configuration d’un filtre de pare-feu. Certaines des conditions de correspondance de plage numérique et de champ binaire vous permettent de spécifier un synonyme de texte. Pour afficher la liste de tous les synonymes d’une condition de correspondance, tapez ? à l’endroit approprié dans une instruction.

  • Tableau 2 Affiche les actions et les modificateurs d’action que vous pouvez spécifier dans un terme.

Tableau 1 : Conditions de correspondance prises en charge

Condition de correspondance

Description

Interfaces prises en charge

address address [ except ]

Faites correspondre le champ d’adresse source ou de destination, sauf si l’option except est incluse.

Interfaces IPv4 (inet) et IPv6 (inet6).

destination-address address [ except ]

Faites correspondre le champ d’adresse de destination, sauf si l’option except est incluse.

Vous ne pouvez pas spécifier les deux conditions et destination-address les address conditions de correspondance dans le même terme.

Interfaces IPv4 (inet) et IPv6 (inet6).

destination-port number

Faites correspondre le champ Port de destination UDP ou TCP. Vous devez également configurer l’instruction protocol udp or protocol tcp match dans le même terme pour spécifier le protocole utilisé sur le port.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance port et destination-port dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed (513) ou xdmcp (177).

interfaces IPv4 (inet) et IPv6 (inet6).

destination-port-except number

Ne correspond pas au champ Port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

interfaces IPv4 (inet) et IPv6 (inet6).

destination-prefix-list name [ except ]

Faire correspondre les préfixes de destination dans une liste, sauf si l’option except est incluse. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

interfaces IPv4 (inet) et IPv6 (inet6).

dscp number

Correspond au DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • be—best effort (par défaut)

  • ef (46)—tel que défini dans la RFC 3246, An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), , af42 (36)af43 (38)

    Ces quatre classes, avec trois précédences d’abandon dans chaque classe, pour un total de 12 points de code, sont définies dans la RFC 2597, Assured Forwarding PHB.

  • cs0, , , cs3, cs4cs1cs2cs5cs6cs7cs5

Interfaces IPv4 (inet) et IPv6 (inet6).

dscp-except number

Ne pas correspondre sur le numéro DSCP. Pour plus d’informations, consultez la condition de dscp correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

first-fragment

Correspond si le paquet est le premier fragment d’un paquet fragmenté. Ne pas faire de correspondance si le paquet est un fragment de fin d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de décalage de fragment de 0.

Cette condition de correspondance est un alias pour la condition fragment-offset 0 de correspondance de champ de bits.

Pour faire correspondre à la fois le premier et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes : first-fragment et is-fragment.

Interfaces IPv4 (inet).

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • network-control

  • no-loss

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

forwarding-class-except class

Ne correspond pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

fragment-flags number

Faites correspondre le champ d’indicateurs de fragmentation IP à trois bits dans l’en-tête IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des mots-clés suivants (les valeurs de champ sont également répertoriées) : dont-( 0x4), more-s (0x2) ou reserved (0x8).

Interfaces IPv4 (inet).

fragment-offset value

Faites correspondre le champ de décalage de fragment de 13 bits dans l’en-tête IP. La valeur est le décalage, en unités de 8 octets, dans le message global du datagramme par rapport au fragment de données. Spécifiez une valeur numérique, une plage de valeurs ou un ensemble de valeurs. Une valeur de décalage de 0 indique le premier fragment d’un paquet fragmenté.

La first-fragment condition de correspondance est un alias de la condition de fragment-offset 0 correspondance.

Pour faire correspondre à la fois le premier fragment et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes (first-fragment et is-fragment).

Interfaces IPv4 (inet).

fragment-offset-except number

Ne correspond pas au champ de décalage de fragment de 13 bits.

Interfaces IPv4 (inet).

icmp-code message-code

Faites correspondre le champ Code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

  • problème_paramètre : ip-header-bad( 0), required-option-missing (1)

  • Rediriger: redirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • dépassement de temps : ttl-eq-zero-during-reassembly( 1), ttl-eq-zero-during-transit (0)

  • Inaccessible: communication-prohibited-by-filtering( 13), (10), (7), (9), (6), (4), (14), (1), host-unreachable-for-TOS (12), (0), (11), (3), (15), (2), (8), source-route-failedprecedence-cutoff-in-effectnetwork-unreachablenetwork-unreachable-for-TOShost-unreachableport-unreachableprotocol-unreachabledestination-host-prohibiteddestination-network-prohibitedsource-host-isolateddestination-host-unknowndestination-network-unknownfragmentation-neededhost-precedence-violation (5)

Interfaces IPv4 (inet) et IPv6 (inet6).

icmp-code-except message-code

Ne correspond pas au champ Code de message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

icmp-type number

Faites correspondre le champ de type de message ICMP. Vous devez également configurer icmp ou icmpv6 comme protocol next-header type de correspondance dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : echo-reply (0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14), ou unreachable (3).

Voir aussi icmp-code variable.

Interfaces IPv4 (inet) et IPv6 (inet6).

icmp-type-except message-type

Ne correspond pas au champ Type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

interface interface-name

Pour les filtres d’entrée, faites correspondre l’interface sur laquelle le paquet a été reçu.

Pour les filtres de sortie, faites correspondre l’interface sur laquelle le paquet a été envoyé.

REMARQUE :

Les routeurs de la série PTX5000 ne prennent pas en charge l’attachement de l’interface (le lien interne entre les moteurs de routage et de transfert de paquets) à (l’interface em0.0lo0 de bouclage), par exemple pour filtrer le trafic auto-émetteur tel que Telnet et SSH en créant un filtre de pare-feu sur lo0 pour correspondre au trafic sur em0.0. L’extrait de code suivant fournit le contexte :

 
firewall
  filter core-protect {
            term Telnet {
                from {
                    protocol tcp;
                    destination-port telnet;
                    interface em0.0;
                }
                then accept;
            }
  }
}

interfaces IPv4 (inet) et IPv6 (inet6).

interface-except number

Ne correspond pas à l’interface logique sur laquelle le paquet a été reçu. Pour plus de détails, voir la condition de interface correspondance.

interfaces IPv4 (inet) et IPv6 (inet6).

is-fragment

Correspond si le paquet est un fragment de fin d’un paquet fragmenté. Ne correspond pas au premier fragment d’un paquet fragmenté.

REMARQUE :

Pour faire correspondre à la fois le premier fragment et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes (first-fragment et is-fragment).

Pour PTX10003 routeurs exécutant Junos OS Evolved, tous les paquets fragmentés, y compris le premier fragment de paquets fragmentés, correspondront à n’importe quel terme de filtre de pare-feu contenant une correspondance « is-fragment ».

Interfaces IPv4 (inet).

loss-priority level

Correspond à la priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, , medium-lowmedium-high, ou high.

REMARQUE :

Le loss-priority modificateur d’action n’est pas pris en charge en combinaison avec l’action policer .

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

loss-priority-except level

Ne correspond pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

Interfaces IPv4 (inet), IPv6 (inet6) et MPLS.

next-header header-type

Faites correspondre le premier champ d’en-tête suivant de 8 bits du paquet.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah( 51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), udp greespegpdstopsfragmenthop-by-hopipv6ipipmobilityigmpno-next-headericmpv6ospfpimicmp6icmprsvpsctproutingtcp (17) ou vrrp (112).

IPv6 (inet6).

next-header-except header-type

Ne faites pas correspondre le champ En-tête suivant de 8 bits qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

Interfaces IPv6 (inet6)

packet-length bytes

Faites correspondre la longueur du paquet reçu, en octets. La longueur fait uniquement référence au paquet IP, y compris l’en-tête du paquet, et n’inclut aucune surcharge d’encapsulation de couche 2. Vous pouvez également spécifier une plage de valeurs à mettre en correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

packet-length-except bytes

Ne correspond pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

port number

Faites correspondre le champ du port source ou de destination UDP ou TCP. Vous devez également configurer l’instruction protocol udp or protocol tcp match dans le même terme pour spécifier le protocole utilisé sur le port.

Vous ne pouvez pas configurer la condition de correspondance ou la destination-port condition de source-port correspondance dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Interfaces IPv4 (inet) et IPv6 (inet6).

port-except number

Ne correspond ni au champ de port UDP ou TCP source ni au champ de destination. Pour plus de détails, voir la condition de port correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

precedence ip-precedence-value

Correspond au champ Priorité IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp( 0xa0), (0x60), (0x80), (0x40), (0xc0), flashinternet-controlimmediatenet-controlflash-override (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

Interfaces IPv4 (inet).

precedence-except ip-precedence-value

Ne correspond pas au champ de priorité IP.

Interfaces IPv4 (inet).

protocol number

Correspond au champ de type de protocole IPv4. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), , igmp (2)icmp6ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Interfaces IPv4 (inet).

protocol-except number

Ne correspond pas au champ Type de protocole IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah( 51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), udp gredstoptsegpicmpv6icmp6igmpicmpipiphop-by-hopipv6ospffragmentesprsvpsctppimtcp (17) ou vrrp (112).

Interfaces IPv4 (inet).

source-address ip-address

IP source address, qui correspond à l’adresse du nœud qui a envoyé le paquet.

Interfaces IPv4 (inet) et IPv6 (inet6).

source-address address [ except ]

Faites correspondre l’adresse IP du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas à l’adresse IP du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance address et source-address dans le même terme.

Interfaces IPv4 (inet) et IPv6 (inet6).

source-port value

Faites correspondre le port source TCP ou UDP. Vous devez également configurer l’instruction protocol udp ou protocol tcp match dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

source-port-except number

Ne correspond pas au champ Port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

source-prefix-list prefix-list

Liste des préfixes de source IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Interfaces IPv4 (inet) et IPv6 (inet6).

tcp-flags value

Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol tcp de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Pour le trafic IPv4 uniquement, cette condition de correspondance ne vérifie pas implicitement si le datagramme contient le premier fragment d’un paquet fragmenté. Pour vérifier cette condition pour le trafic IPv4 uniquement, utilisez la condition de first-fragment correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

traffic-class value

Champ de 8 bits qui spécifie la priorité de classe de service (CoS) du paquet. Le champ traffic-class permet de spécifier une valeur DSCP (DiffServ code point). Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4, et la sémantique de ce champ (par exemple, DSCP) est identique à celle d’IPv4.

Vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

af11 (10), , , , af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

IPv6 (inet6).

traffic-class-except number

Ne correspond pas au champ 8 bits qui spécifie la priorité CoS du paquet. Pour plus de détails, voir la description du traffic-class match.

IPv6 (inet6).

ttl number

Faites correspondre le nombre de durée de vie IPv4 ou IPv6. Spécifiez une valeur TTL ou une plage de valeurs TTL. Pour number, vous pouvez spécifier une ou plusieurs valeurs de 0 à travers 255 .

Interfaces IPv4 (inet) et IPv6 (inet6).

ttl-except number

Ne correspond pas sur le numéro TTL IPv4 ou IPv6. Pour plus de détails, voir la condition de ttl correspondance.

Interfaces IPv4 (inet) et IPv6 (inet6).

vxlan

Spécifiez une valeur numérique ou une plage de valeurs numériques pour le VNI. Appliquez le filtre sur l’interface d’entrée.

  • vni vni-value: correspond au VNI.

  • vni-except vni-value—Ne correspond pas au VNI.

Interfaces IPv4 (inet).

Utilisez then des instructions pour définir les actions qui doivent se produire si un paquet correspond à toutes les conditions d’une from instruction. Affiche les actions que vous pouvez spécifier dans un terme. Tableau 2 (Si vous n’incluez pas d’instruction then , le système accepte les paquets qui correspondent au filtre.)

Tableau 2 : Actions et modificateurs d’action

Action

Description

accept

Accepter un paquet. Il s’agit de l’action par défaut pour les paquets qui correspondent à un terme.

discard

Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol).

count counter-name

Comptez le nombre de paquets qui correspondent au terme.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

REMARQUE :

L’action forwarding-class est prise en charge sur les interfaces IPv4, IPv6 et MPLS.

log

Consignez les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, entrez la commande du show firewall log mode opérationnel.

REMARQUE :

Le log modificateur d’action n’est pris en charge que sur les interfaces d’entrée IPv4 et IPv6.

loss-priority level

Définissez la priorité de perte de paquets (PLP).

policer policer-name

Envoyer des paquets à un mécanisme de contrôle (dans le but d’appliquer la limitation de débit). L’PTX10003 prend en charge les mécanismes de contrôle bicolores, srTCM (trois couleurs à débit unique) et trTCM (deux marqueurs à trois vitesses).

REMARQUE :

Le policer modificateur d’action n’est pas pris en charge en combinaison avec l’action loss-priority .

redirect instance-name

(Pris en charge sur les appareils PTX10004, PTX10008 et PTX10016 exécutant Junos Evolved OS version 22.1R1 uniquement.)

Envoyez les paquets au contrôleur P4, comme spécifié dans l’instance définie au niveau de la [services inline-monitoring instance instance-name controller p4] hiérarchie Junos.

reject message-type

Ignorer un paquet et envoyer un message ICMPv4 ou ICMPv6 « destination inaccessible » (type 3). Pour consigner les paquets rejetés, configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des types de message suivants : administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, .

REMARQUE :

Le tcp-reset type de message n’est pas pris en charge.

Si vous ne spécifiez pas de type de message, la notification ICMP « destination inaccessible » est envoyée avec le message par défaut « communication filtrée administrativement ».

syslog

Consignez une alerte pour ce paquet.

routing-instance instance-name

Transférez les paquets correspondants vers une instance de routage virtuelle. Les paquets peuvent être transférés vers l’instance par défaut.

Pris en charge sur virtual-router et forwarding instance-types.

Conditions et actions de correspondance du filtre de pare-feu IPv6 (PTX10001-20C)

Cette rubrique décrit les conditions de correspondance du filtre du pare-feu IPv6, les actions et les modificateurs d’action pour les routeurs PTX10001-20C.

Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez définir une ou plusieurs conditions de correspondance dans les instructions de correspondance. Vous pouvez également inclure l’instruction no match, auquel cas le terme correspond à tous les paquets.

Lorsqu’un paquet correspond à un filtre, le routeur effectue l’action spécifiée dans le terme. Vous pouvez également spécifier des modificateurs d’action pour compter, mettre en miroir et classer les paquets. Si aucune condition de correspondance n’est spécifiée pour le terme, le routeur accepte le paquet par défaut.

REMARQUE :

Sur les routeurs PTX10001-20C, vous ne pouvez appliquer un filtre de pare-feu que sur les interfaces IPv6 entrantes.

  • Tableau 3 Décrit les conditions de correspondance prises en charge.

  • Tableau 4 Affiche les actions que vous pouvez spécifier dans un terme. Si vous n’incluez pas d’instruction then , le système accepte les paquets qui correspondent au filtre.

  • Tableau 5 Affiche les modificateurs d’action que vous pouvez utiliser pour compter, mettre en miroir, limiter le débit et classer les paquets.

Tableau 3 : Conditions de correspondance prises en charge par IPv6

Condition de correspondance

Description

address address [ except ]

Faites correspondre le champ d’adresse source ou de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ d’adresse source ou de destination IPv6.

apply-groups

Spécifiez les groupes dont vous souhaitez hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe sont prioritaires sur les données des groupes suivants.

apply-groups-except

Spécifiez les groupes dont vous ne souhaitez pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.

destination-address address [ except ]

Faites correspondre le champ de l’adresse de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ Adresse de destination IPv6.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance address et destination-address dans le même terme.

destination-port number

Faites correspondre le champ Port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance port et destination-port dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed (513) ou xdmcp (177).

destination-port-except number

Ne correspond pas au champ Port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

destination-prefix-list prefix-list-name [ except ]

Faites correspondre le préfixe de destination IPv6 à la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie.

icmp-code message-code

Faites correspondre le champ Code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

  • problème_paramètre : ip6-header-bad( 0), (1), unrecognized-next-headerunrecognized-option (2)

  • dépassement de temps : ttl-eq-zero-during-reassembly( 1), ttl-eq-zero-during-transit (0)

  • destination-inaccessible : administratively-prohibited( 1), (3), (0), address-unreachableno-route-to-destinationport-unreachable (4)

icmp-code-except message-code

Ne correspond pas au champ Code de message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

message-type

Faites correspondre le champ de type de message ICMP.

Vous devez également configurer icmp ou next-header icmp6 faire correspondre une condition dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : certificate-path-advertisement(149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), router-solicitinverse-neighbor-discovery-advertisementnode-information-replyneighbor-solicitcertificate-path-solicitationnode-information-requestneighbor-advertisementpacket-too-bigmobile-prefix-advertisement-replyrouter-advertisementmembership-terminationrouter-renumberinghome-agent-address-discovery-replyecho-requesthome-agent-address-discovery-requestmembership-querymembership-reportinverse-neighbor-discovery-solicitationdestination-unreachablemobile-prefix-solicitationprivate-experimentation-200redirectparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-201 (133) ou time-exceeded (3). echo-reply

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre crochets.

icmp-type-except message-type

Ne correspond pas au champ Type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

next

Passez au terme suivant dans un filtre.

next-header header-type

Faites correspondre le premier champ Next Header de 8 bits du paquet.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah( 51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), udp greespegpdstopsfragmenthop-by-hopipv6ipipmobilityigmpno-next-headericmpv6ospfpimicmp6icmprsvpsctproutingtcp (17) ou vrrp (112).

REMARQUE :

next-header icmp6 et next-header icmpv6 les conditions de correspondance remplissent la même fonction. est l’option à privilégier. next-header icmp6next-header icmpv6 est masquée dans l’interface de ligne de commande de Junos OS.

next-header-except header-type

Ne faites pas correspondre le champ En-tête suivant de 8 bits qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

port number

Faites correspondre le champ du port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de correspondance ou la destination-port condition de source-port correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

port-except number

Ne correspond pas au champ UDP ou TCP source ou port de destination. Pour plus de détails, voir la condition de port correspondance.

port-mirror instance-name

Mise en miroir du paquet.

port-mirror-instance instance-name

Mise en miroir de port d’un paquet pour une instance.

prefix-list prefix-list-name [ except ]

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

sample

Prélevez un échantillon du paquet.

source-address address [ except ]

Faites correspondre l’adresse IPv6 du nœud source qui envoie le paquet, sauf si cette except option est incluse. Si l’option est incluse, ne correspond pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance address et source-address dans le même terme.

source-port number

Faites correspondre le champ Port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions de correspondance et source-port dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

REMARQUE :

Pour Junos OS Evolved, vous devez configurer l’instruction next-header udp or next-header tcp match dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

source-port-except number

Ne correspond pas au champ Port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

source-prefix-list name [ except ]

Faites correspondre le préfixe d’adresse IPv6 du champ source du paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au préfixe d’adresse IPv6 du champ source du paquet.

Spécifiez un nom de liste de préfixes défini au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.
REMARQUE :

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (les conditions de correspondance , ou source-address de addresscorrespondance), utilisez la syntaxe des représentations textuelles décrite dans la RFC 4291, destination-address Architecture d’adressage IP version 6. Pour plus d’informations sur les adresses IPv6, consultez Présentation d’IPv6 et Normes IPv6 prises en charge.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.html
Tableau 4 : Actions pour les filtres de pare-feu IPv6

Action

Description

accept

Accepter un paquet. Il s’agit de l’action par défaut pour les paquets qui correspondent à un terme.

discard

Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol).

redirect instance-name

(Pris en charge sur les appareils PTX10004, PTX10008 et PTX10016 exécutant Junos Evolved OS version 22.1R1 uniquement.)

Envoyez les paquets au contrôleur P4, comme spécifié dans l’instance définie au niveau du [services inline-monitoring instance instance-name contrôleur p4] de la hiérarchie Junos.

Tableau 5 : Modificateurs d’action pour les filtres de pare-feu IPv6

Modificateur d’action

Description

count counter-name

Comptez le nombre de paquets qui correspondent au terme.

forwarding-class class

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

REMARQUE :

Pour configurer une classe de transfert, vous devez également configurer la priorité des pertes.

loss-priority (low | medium-low | medium-high | high)

Définissez la priorité de perte de paquets (PLP).

Rubriques connexes