Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu et actions dans les routeurs ACX Series (Junos OS Evolved)

Filtres de pare-feu pris en charge Conditions de correspondance et actions dans les directions d’entrée et de sortie sur les routeurs ACX Series exécutant Junos OS Evolved

Chaque terme d’un filtre de pare-feu se compose de conditions de correspondance et d’une action. Les conditions de correspondance sont les champs et les valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez définir une ou plusieurs conditions de correspondance dans les instructions de correspondance. Vous pouvez également inclure l’instruction no match, auquel cas le terme correspond à tous les paquets.

Lorsqu’un paquet correspond à un filtre, un commutateur effectue l’action spécifiée dans le terme. En outre, vous pouvez spécifier des modificateurs d’action pour compter, mettre en miroir, limiter le débit et classer les paquets. Si aucune condition de correspondance n’est spécifiée pour le terme, le commutateur accepte le paquet par défaut. Voir Tableau 1 et Tableau 2.

Tableau 1 : Conditions de correspondance des filtres de pare-feu pris en charge dans les directions d’entrée et de sortie sur les routeurs ACX Series exécutant Junos OS Evolved

Condition de correspondance

Description

Entrée

Sortie

Familles de filtres de pare-feu (entrants)

Familles de filtres de pare-feu (sortie)

adresse_destination

adresse_de_destination_ip

Adresse IPv4 correspondant à l’adresse du nud de destination finale du paquet.

Utilisation ip-destination-address pour les familles Ethernet-Commutation et CCC

Oui

Oui

IPv4, IPv6, commutation Ethernet et CCC

IPv4 et IPv6

adresse_source

adresse_source ip

Adresse IPv4 du noeud source qui envoie le paquet.

Utilisation ip-source-address pour les familles Ethernet-Commutation et CCC

Oui

Oui

IPv4, IPv6, commutation Ethernet et CCC

IPv4

liste_prefix_destination

Champ de liste des préfixes de destination IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Oui

Oui

Commutation IPv4, IPv6 et Ethernet

IPv4, IPv6

liste_prefix_source

Liste des préfixes de source IP. Vous pouvez définir une liste de préfixes d’adresses IP sous un alias de liste de préfixes pour une utilisation fréquente. Définissez cette liste au niveau de la [edit policy-options] hiérarchie.

Oui

Oui

Commutation IPv4, IPv6 et Ethernet

IPv4

port_destination

Champ de port de destination TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match. Pour les ports connus suivants, vous pouvez spécifier des synonymes textuels (les numéros de port sont également répertoriés) :

afs (1483), bgp (179), biff (512), bootpc (68)bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760)kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119)ntalk (518)ntp (123)

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), , snpp (444), socks (1080)ssh (22)sunrpc (111)syslog (514)snmptrap (162)

tacacs-ds (65), talk (517), telnet (23), tftp (69)timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Oui

Oui

IPv4, IPv6, commutation Ethernet et CCC

IPv4, IPv6, commutation Ethernet et CCC

port_source

Port source TCP ou UDP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match. À la place du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Oui

Oui

IPv4, IPv6, commutation Ethernet et CCC

IPv4, IPv6, commutation Ethernet et CCC

protocole

protocole IP

Champ de protocole IP

Utilisation ip-protocol pour les familles Ethernet-Commutation et CCC

Oui

Oui

IPv4, commutation Ethernet et CCC

IPv4, commutation Ethernet et CCC

premier-fragment

Correspond si le paquet est le premier fragment d’un paquet fragmenté. Éviter de faire correspondre le paquet s’il s’agit d’un fragment de fin d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de décalage de fragment de 0.

Cette condition de correspondance est un alias de la condition de correspondance de champ binaire fragment-offset 0 condition de correspondance.

Pour faire correspondre à la fois le premier et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes : first-fragment et is-fragment.

Oui

Non

IPv4

NA

code icmp

Champ de code ICMP. Étant donné que la signification de la valeur dépend de l’attribut icmp-typeassocié , vous devez spécifier une valeur pour icmp-type ainsi qu’une valeur pour icmp-code. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

  • IPv4 : problème_paramètre—ip-header-bad (0), required-option-missing (1)

  • IPv6 : problème_paramètre—ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

  • redirectredirect-for-network (0), redirect-for-host (1), redirect-for-tos-and-net (2), redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

  • IPv4 : injoignable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2), port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6 : injoignable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

Oui

Oui

IPv4, IPv6, commutation Ethernet et CCC

IPv4, IPv6, commutation Ethernet et CCC

de type icmp

Champ de type de message ICMP. En règle générale, vous spécifiez cette correspondance en conjonction avec l’instruction protocol match pour déterminer quel protocole est utilisé sur le port. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

IPv4 : echo-reply (0), destination unreachable (3), source-quench (4), redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6 : destination-unreachable (1), packet-too-big (2), time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Voir aussi icmp-code variable.

Oui

Oui

IPv4, IPv6, commutation Ethernet et CCC

IPv4, IPv6, commutation Ethernet et CCC

Options IP

Spécifiez any pour créer une correspondance si quelque chose est spécifié dans le champ d’options de l’en-tête IP.

Oui

Non

IPv4

NA

préséance

priorité_IP

Champ de priorité IP. À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00).

À utiliser ip-precedence pour les familles Ethernet-Commutation et CCC.

Oui

Non

IPv4, commutation Ethernet et CCC

NA

is-fragment

L’utilisation de cette condition entraîne une correspondance si l’indicateur More Fragments (Plus de fragments) est activé dans l’en-tête IP ou si le décalage du fragment n’est pas nul.

Oui

Non

IPv4

NA

Établi par TCP

Correspond aux paquets d’une connexion TCP à trois voies établie (SYN, SYN-ACK, ACK). Le seul paquet qui ne correspond pas est le premier paquet de l’établissement de liaison puisque seul le bit SYN est défini. Pour ce paquet, vous devez spécifier tcp-initial comme condition de correspondance.

Lorsque vous spécifiez tcp-established, le commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Oui

Oui

IPv4 et IPv6

IPv4 et IPv6

tcp-flags

Un ou plusieurs indicateurs TCP :

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

Oui

Non

IPv4 et IPv6

NA

tcp-initial

Faites correspondre le premier paquet TCP d’une connexion. Une correspondance se produit lorsque l’indicateur SYN TCP est défini et que l’indicateur ACK TCP ne l’est pas.

Lorsque vous spécifiez tcp-initial, un commutateur ne vérifie pas implicitement que le protocole est TCP. Vous devez également spécifier la condition de protocol tcp correspondance.

Oui

Non

IPv4 et IPv6

NA

Ttl

Champ IP Time-to-live (TTL) en décimal. La valeur peut être comprise entre 1 et 255.

Oui

Oui

IPv4

IPv4

adresse_mac de destination

Adresse MAC de destination du paquet.

Oui

Oui

Commutation Ethernet et CCC

Commutation Ethernet et CCC

adresse_mac source

Adresse MAC (Source Media Access Control) du paquet.

Oui

Oui

Commutation Ethernet et CCC

Commutation Ethernet et CCC

DSCP

DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP.

Vous pouvez spécifier DSCP sous forme hexadécimale, binaire ou décimale.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • be—best effort (par défaut)

  • ef (46)—tel que défini dans la RFC 3246, An Expedited Forwarding PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Ces quatre classes, avec trois précédences d’abandon dans chaque classe, pour un total de 12 points de code, sont définies dans la RFC 2597, Assured Forwarding PHB.

  • cs0, cs1, , cs3, cs4cs5cs6cs7cs2cs5

Oui

Oui

IPv4, commutation Ethernet et CCC

IPv4, commutation Ethernet et CCC

de type éther

Type Ethernet d’un paquet. La valeur EtherType spécifie le protocole transporté dans la trame Ethernet. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • aarp (0x80F3)—Valeur EtherType AARP

  • appletalk (0x809B)—Valeur EtherType AppleTalk

  • arp (0x0806)—Valeur EtherType ARP

  • fcoe (0x8906): valeur EtherType FCoE

  • fip (0x8914)—Valeur EtherType FIP

  • ipv4 (0x0800)—Valeur EtherType IPv4

  • ipv6 (0x08DD)—Valeur EtherType IPv6

  • mpls-multicast (0x8848): valeur EtherType Multicast MPLS

  • mpls-unicast (0x8847): valeur EtherType unicast MPLS

  • oam (0x88A8)—Valeur EtherType OAM

  • ppp (0x880B)—Valeur EtherType PPP

  • pppoe-discovery (0x8863)—EtherType value PPPoE Discovery Stage

  • pppoe-session (0x8864)—Valeur EtherType PPPoE Session Stage

  • sna (0x80D5)—Valeur EtherType SNA

Oui

Oui

Commutation Ethernet et CCC

Commutation Ethernet et CCC

learn-vlan-1p-priority

Correspondance sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN fournisseur (la seule balise dans une trame à balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs comprises entre 0 et 7.

Oui

Oui

Commutation Ethernet et CCC

Commutation Ethernet et CCC

user-vlan-1p-priority

Correspond à la priorité VLAN 802.1p spécifiée dans la plage 0-7.

Oui

Oui

Commutation Ethernet et CCC

Commutation Ethernet et CCC

Exp

Correspondance sur les bits d’EXP MPLS.

Oui

Non

MPLS

NA

étiquette

Correspondance sur les bits d’étiquette MPLS.

Oui

Non

MPLS

NA

de classe trafic

Champ de 8 bits qui spécifie la priorité de classe de service (CoS) du paquet. Le champ traffic-class permet de spécifier une valeur DSCP (DiffServ code point). Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4, et la sémantique de ce champ (par exemple, DSCP) est identique à celle d’IPv4.

Vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

Oui

Oui

IPv6

IPv6

limite de saut

Correspond à la limite de sauts spécifiée ou à l’ensemble de limites de sauts. Spécifiez une seule valeur ou une plage de valeurs comprise entre 0 et 255.

Oui

Oui

IPv6

IPv6

en-tête suivant

Valeur du protocole IPv4 ou IPv6. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs numériques sont également répertoriées) :

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

Oui

Oui

IPv6

IPv6
Tableau 2 : Actions de filtre de pare-feu prises en charge dans les directions d’entrée et de sortie sur les plates-formes ACX exécutant Junos OS Evolved

Action

Description

Entrée

Sortie

Familles de filtres de pare-feu (entrants)

Familles de filtres de pare-feu (sortie)

compter

Comptez le nombre de paquets qui correspondent au terme.

Oui

Oui

IPv4, IPv6, commutation Ethernet, CCC, MPLS, etc.

IPv4, IPv6, commutation Ethernet, CCC, etc.

jeter

Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol).

Oui

Oui

IPv4, IPv6, commutation Ethernet, CCC, MPLS, etc.

IPv4, IPv6, commutation Ethernet, CCC, etc.

rapport

Consignez les informations d’en-tête du paquet dans le moteur de routage. Pour afficher ces informations, entrez la commande du show firewall log mode opérationnel.

Oui

Non

IPv4 et IPv6

NA

classe_transfert

Classez le paquet dans l’une des classes de transfert par défaut suivantes, ou dans une classe de transfert définie par l’utilisateur :

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Remarque :

Pour configurer une classe de transfert, vous devez également configurer la priorité des pertes.

Oui

Non

IPv4, IPv6, commutation Ethernet, CCC et MPLS

NA

interface suivante

Diriger les paquets vers l’interface sortante spécifiée.

Oui

Non

IPv4 et IPv6

NA

priorité_perte

Définissez le niveau de priorité de perte de paquets (PLP).

Vous ne pouvez pas non plus configurer l’action three-color-policer de non-résiliation pour le même terme de filtre de pare-feu. Ces deux actions sans interruption s’excluent mutuellement.

Oui

Non

IPv4, IPv6, commutation Ethernet, CCC et MPLS

NA

Adresse IP suivante

Les paquets sont dirigés vers l’adresse IPv4 de destination spécifiée.

Oui

Non

Oui

NA

Suivant-IP6

Les paquets sont dirigés vers l’adresse IPv6 de destination spécifiée.

Oui

Non

IPv6

NA

contrôleur

Nom de l’outil de contrôle à utiliser pour limiter le débit du trafic.

Oui

Oui

IPv4, IPv6, commutation Ethernet, CCC, MPLS, etc.

IPv4, IPv6, commutation Ethernet, CCC et tout autre

rejeter

Supprimez un paquet et envoyez un message ICMPv4 « destination inaccessible » (type 3). Pour consigner les paquets rejetés, configurez le modificateur d’action syslog .

Vous pouvez spécifier l’un des types de message suivants : 
administratively-prohibited (default),
bad-host-tos, bad-network-tos, host-prohibited,
host-unknown, host-unreachable, network-prohibited,
network-unknown, network-unreachable,
port-unreachable, precedence-cutoff, 
precedence-violation, protocol-unreachable,
        source-host-isolated, source-route-failed,
ou tcp-reset.

Si vous spécifiez tcp-reset, le système envoie une réinitialisation TCP s’il s’agit d’un paquet TCP, sinon rien n’est envoyé.

Si vous ne spécifiez pas de type de message, la notification ICMP « destination inaccessible » est envoyée avec le message par défaut « communication filtrée administrativement ».

Oui

Non

IPv4 et IPv6

NA

syslog (en anglais)

Consignez une alerte pour ce paquet.

Oui

Non

IPv4 et IPv6

NA

échantillon

Échantillonnez le trafic de paquets. Appliquez cette option uniquement si vous avez activé l’échantillonnage du trafic.

Oui

Non

IPv4 et IPv6

NA

Contrôleur à trois couleurs

Envoyer les paquets à un mécanisme de contrôle tricolore (dans le but d’appliquer la limitation de débit).

Oui

Oui

IPv4, IPv6, commutation Ethernet, CCC, MPLS, etc.

IPv4, IPv6, commutation Ethernet, CCC et tout autre