Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの一致条件とアクション(ACXシリーズルーター)

ACXシリーズユニバーサルメトロルーターでは、ファイアウォールフィルターを設定して、パケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行できます。パケットをフィルタリングするために指定された一致条件は、フィルタリングされるトラフィックのタイプに固有のものです。

IPv6 一致条件を持つファイアウォール フィルターは firewall family inet6 filter name 、Junos OS リリース 19.1R1 の ACX6360-OR ルーターの 階層レベルではサポートされていません。

注:

ACXシリーズルーターでは、出るトラフィック(エグレスフィルター)のフィルターは、 ファイアウォールフィルターのインターフェイス固有のインスタンスにのみ適用できます。

ACX シリーズ ルーターでは、適用されたファイアウォール フィルターでプレフィックスまたは条件を変更すると、TCAM エラーが発生します。ファイアウォールフィルターのプレフィックスまたは条件を変更するには、既存のファイアウォールフィルターを削除してから、変更されたフィルターを適用する必要があります。

ACXシリーズルーターのファイアウォールフィルター一致条件とアクションの概要

表 1 では、標準のステートレス ファイアウォール フィルターを設定できるトラフィックのタイプについて説明します。

表 1: ACXシリーズルーターのプロトコルファミリー別標準ファイアウォールフィルター一致条件

トラフィック タイプ

一致条件が指定された階層レベル

プロトコル非依存

[edit firewall family any filter filter-name term term-name]

ACX シリーズ ルーターでは、このトラフィック タイプに対する一致条件はサポートされていません。

IPv4

[edit firewall family inet filter filter-name term term-name

一致条件の完全なリストについては、 IPv4トラフィックの一致条件(ACXシリーズルーター)を参照してください。

MPLS

[edit firewall family mpls filter filter-name term term-name]

一致条件の完全なリストについては、 MPLSトラフィックの一致条件(ACXシリーズルーター)を参照してください。

レイヤー 2 CCC

[edit firewall family ccc filter filter-name term term-name]

ACX シリーズ ルーターでは、このトラフィック タイプに対する一致条件はサポートされていません。

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (ACX5048およびACX5096ルーターにのみ適用されます)。

ACX5448ルーターでは、外部tcamの可用性に基づいて、以下のイングレスファミリーフィルターを拡張できます。

  • 家族 ethernet-switching

  • 家族 ccc

  • 家族 inet

  • 家族 inet6

  • 家族 mpls

  • 家族 vpls

標準の then ステートレス ファイアウォール フィルター条件の ステートメントで、条件に一致するパケットに対して実行するアクションを指定できます。

表 2 は、標準のステートレス ファイアウォール フィルター条件で指定できるアクションのタイプを要約しています。

表 2: ACXシリーズルーターの標準ファイアウォールフィルターアクションカテゴリー

アクションのタイプ

説明

コメント

終了

特定のパケットのファイアウォール フィルターのすべての評価を停止します。ルーターは指定されたアクションを実行し、パケットを調べるのに追加の条件は使用されていません。

標準のファイアウォール フィルターで指定できる 終了アクション は 1 つだけです。ただし、1 つの条件に 1 つ以上の 非終了アクションがある 1 つの終了アクションを指定できます。例えば、条件内では、 と syslogcount指定acceptできます。

アクションの終了(ACXシリーズルーター)を参照してください。

非終端処理

パケットに対するその他の機能(カウンターの攻撃、パケット ヘッダーに関する情報のロギング、パケット データのサンプリング、システム ログ機能を使用したリモート ホストへの情報送信など)を実行しますが、パケットの調査には追加の条件が使用されます。

非終端処理アクション(ACXシリーズルーター)を参照してください。

ブリッジファミリーファイアウォールフィルター(ACXシリーズルーター)の一致条件

ACXシリーズルーター上のブリッジファミリーファイアウォールフィルター

ブリッジ ファミリー ファイアウォール フィルターは、ACX シリーズ ルーター上の IFL ファミリー レベルで設定できます。ブリッジファミリーフィルターは、サポートされているレイヤー2/レイヤー3フィールドに基づいてL2ブリッジフローを照合し、ファイアウォールアクションを実行するために使用されます。ACXシリーズルーターのブリッジファイアウォールフィルターでサポートされる条件の最大数は124です。

表 3 は、ブリッジ ファミリー フィルターでサポートされている一致条件を示しています。

表 3: ACXシリーズルーターのブリッジファミリーファイアウォールフィルター一致条件

一致条件

説明

apply-groups

設定データを継承するグループを設定する

apply-groups-except

設定データをブロードキャストしないグループを設定する

宛先 mac アドレス

宛先 MAC アドレスを設定する

destination-port

TCP/UDP 宛先ポートに一致

destination-prefix-list

名前付きリストの IP 宛先プレフィックスを照合します。

dscp

DiffServ(Differentiated Services)コード ポイントに一致

ether-type

イーサネット タイプに一致

icmp-code

ICMP メッセージ コードに一致する

icmp-type

ICMP メッセージ タイプに一致する

interface-group

インターフェイス グループに一致する

ip-destination-address

IP 宛先アドレスに一致する

IP 優先度

IP 優先度値に一致する

IPプロトコル

IP プロトコル タイプに一致

ip-source-address

IP 送信元アドレスを照会

learn-vlan-1p-priority

学習した 802.1p VLAN 優先度に一致

learn-vlan-デイ

ユーザー VLAN ID デイ ビットを照合

learn-vlan-id

学習した VLAN ID に一致する

送信元 mac アドレス

送信元MACアドレスを設定する

source-prefix-list

名前付きリストの IP 送信元プレフィックスを照合します。

source-port

TCP/UDP 送信元ポートに一致する

user-vlan-1p-priority

ユーザー 802.1p VLAN 優先度を一致させる

user-vlan-id

ユーザー VLAN ID を一致させる

vlan-ether-type

VLAN イーサネット タイプに一致

表 4 は、サポートされているアクションフィールドを示しています。

表 4: ACXシリーズルーターのブリッジファミリーファイアウォールフィルターアクションフィールド

アクションフィールド

説明

受け入れる

パケットを受け入れる

カウント

指定されたカウンター内のパケットをカウントします。

破棄

パケットを破棄する

forwarding-class

パケットを転送クラスに分類する

損失の優先度

パケット損失の優先度

ログ

パケット転送エンジン内のバッファーにパケット ヘッダー情報を記録します。この情報にアクセスする場合は、CLI(コマンドライン インターフェイス)で show firewall log コマンドを発行します。

ポリサー

トラフィックのレート制限に使用するポリサーの名前

Syslog

パケットをシステム ログ ファイルに記録します。

スリー カラー ポリサー

3 コロケーション ポリサーを使用してパケットをポリサーする

注:

ブリッジ ファミリー ファイアウォール フィルターは、レイヤー 2 インターフェイス上の出力フィルターとして適用できます。レイヤー 2 インターフェイスが ステートメントで vlan-id 設定されたブリッジドメイン上にある場合、ACX シリーズ ルーターは、ブリッジ ファミリー ファイアウォール フィルターで指定されたユーザー vlan-id 一致を使用して、パケットの外側 vlan を一致させることができます。

CCCファイアウォールファミリーフィルター(ACXシリーズルーター)の一致条件

CCCファミリーファイアウォールフィルターの一致条件

ACXシリーズルーターでは、回線クロスコネクション(CCC)トラフィック(ファミリーccc)の一致条件を持つ標準ファイアウォールフィルターを設定できます。

表 5 では、 階層レベルで [edit firewall family ccc filter filter-name term term-name] 設定できる一致条件について説明します。

表 5: ACXシリーズルーターのCCCファミリーファイアウォールフィルター一致条件

フィールド

説明

destination-mac-address

宛先 MAC アドレス

destination-port

TCP/UDP 宛先ポートを照合します。

dscp

差別化されたサービス(DiffServ)コード ポイントを照合

icmp-code

ICMP メッセージ コードを照合します。

icmp-type

ICMP メッセージ タイプを照合します。

ip-destination-address

宛先 IP アドレスを照合します。

ip-precedence

IP 優先度値を照会

ip-protocol

IP プロトコル タイプを照合

ip-source-address

送信元 IP アドレスを照合します。

learn-vlan-1p-priority

学習した 802.1p VLAN 優先度を照合

source-mac-address

送信元 MAC アドレス

source-port

TCP/UDP 送信元ポートを照合します。

user-vlan-1p-priority

ユーザー 802.1p VLAN 優先度を照合

IPv4 トラフィックの一致条件(ACX シリーズ ルーター)

ACX シリーズ ルーターでは、IP バージョン 4(IPv4)トラフィックの一致条件()で標準のステートレス ファイアウォール フィルターを設定できます。family inetでは 表 6[edit firewall family inet filter filter-name term term-name from] 階層レベルで設定できる一致条件について説明します。

表 6: ACXシリーズルーター上のIPv4トラフィックのファイアウォールフィルター一致条件

一致条件

説明

destination-address address

IPv4 宛先アドレス フィールドに一致します。

注:

ACX シリーズ ルーターでは、宛先アドレスを 1 つだけ指定できます。IPv4 宛先アドレスのリストはサポートされていません。

destination-port number

UDP または TCP 宛先ポート フィールドに一致します。

この一致条件を設定した場合、ポートで使用されているプロトコルを protocol udp 指定するために、同じ条件で または protocol tcp 一致ステートメントを設定することもお勧めします。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67) cmd 、(514) cvspserver 、(2401) dhcp 、(67)、 domain (53)、 eklogin (21 05、 ekshell (2106)、 exec (512)、 finger (79) ftp 、(21)、 ftp-data (20)、 http (80) https 、(443) ident 、(113)、 imap (143) kerberos-sec (88)、(543) kpasswdklogin 、(761)、 krb-prop (754)、 krbupdate (760) kshell 、(544) ldap 、(389) ldp 、(646) login 、(513) mobileip-agent 、(434) mobilip-mn 、(435) msdp 、(639) netbios-dgm 、(138) netbios-ns 、(137)、(139) netbios-ssn 、(2049) nfsdnntp 、(119)、(58) ntalkntp (123)、 pop3 (110)、 pptp (1723)、 printer (515) radacct 、(1813) radius 、(1812) rip 、(520) rkinit 、(2108) smtp 、(25)、(161) snmp 、(162) snmptrapsnpp 、(44 4)、 socks (1080) ssh 、(22)、 sunrpc (111) syslog 、(514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) tftptimed (525)、(513) who 、またはxdmcp(177)。

destination-prefix-list

名前付きリストの IP 宛先プレフィックスを照合します。

dscp number

DSCP(差別化されたサービス コード ポイント)に一致します。DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。詳細については、 動作集約分類子が信頼できるトラフィックにどのように優先順位を付けするかを理解するを参照してください。

0~63の数値を指定できます。16 進形式で値を指定するには、プレフィックスに 0x を含めます。値を 2 進形式で指定するには、プレフィックスに b を含めます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。ef(46).

  • RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。

    • af11(10)、 af12 (12)、 af13 (14)

    • af21(18)、 af22 (20)、 af23 (22)

    • af31(26)、 af32 (28)、 af33 (30)

    • af41(34)、 af42 (36)、 af43 (38)

fragment-flags number

(イングレスのみ)IP ヘッダーの 3 ビット IP フラグメント化フラグ フィールドに一致します。

数値フィールド値の代わりに、以下のキーワード(フィールド値も記載されています)のいずれかを指定します。dont-fragment(0x4)、 more-fragments (0x2)、または reserved(0x8)。

icmp-code number

ICMP メッセージ コード フィールドに一致します。

この一致条件を設定した場合、同じ条件で 一致条件も設定 protocol icmp することをお勧めします。

この一致条件を設定した場合、同じ条件で 一致条件も設定 icmp-type message-type する必要があります。ICMP メッセージ コードは ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は関連する ICMP メッセージ タイプに依存します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

  • parameter-problem:ip-header-bad(0)、 required-option-missing (1)

  • リダイレクト:redirect-for-host(1)、 redirect-for-network (0)、 redirect-for-tos-and-host (3)、 redirect-for-tos-and-net (2)

  • time-exceeded:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

  • 到達 不能:communication-prohibited-by-filtering(13)、 destination-host-prohibited (10)、 destination-host-unknown (7)、 destination-network-prohibited (9)、 destination-network-unknown (6)、 fragmentation-needed (4) host-precedence-violation 、(14)、 host-unreachable (12) host-unreachable-for-TOS 、(0) network-unreachable 、(0) network-unreachable-for-TOS 、(11)、(3) port-unreachable 、(15) precedence-cutoff-in-effectprotocol-unreachable (2)、(8) source-host-isolatedsource-route-failed (5)

icmp-type number

ICMP メッセージ タイプ フィールドに一致します。

この一致条件を設定した場合、同じ条件で 一致条件も設定 protocol icmp することをお勧めします。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。echo-reply(0)、(8) echo-requestinfo-reply (16) info-request 、(15)、 mask-request (17)、 mask-reply (18)、 parameter-problem (12)、 redirect (5)、 router-advertisement (9)、 router-solicit (10)、(4) source-quench 、(11) time-exceeded 、(13) timestamp 、(14) timestamp-reply 、または unreachable(3)。

ip-options values

8 ビット IP オプション フィールドが存在する場合は、指定された値に一致します。

ACXシリーズルーターは、 一致条件のみを ip-options_any サポートしており、パケットが処理のためにパケット転送エンジンに送信されることを保証します。

注:

ACXシリーズルーターでは、1つのIPオプション値のみを指定できます。複数の値の設定はサポートされていません。

precedence ip-precedence-field

IP 優先度フィールドに一致します。

数値フィールド値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp(0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine(0x00)。16 進法、2 進法、または 10 進法で優先度を指定できます。

protocol number

IP プロトコル タイプ フィールドに一致します。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。dstopts(60)、(8) egp 、(50) espfragment (44)、 gre (0) hop-by-hop 、(0) icmp 、(1)、 icmp6 (58) icmpv6igmp 、(2)、(4) ipv6ipip 、(41) ospfno-next-header、(89) pim 、(103)、(46) rsvprouting、(132) tcpsctp 、(6)、(17) udp  、またはvrrp(112)。

source-address address

パケットを送信する送信元ノードの IPv4 アドレスに一致します。

source-port number

UDP または TCP 送信元ポート フィールドに一致します。

IPv4トラフィックに対してこの一致条件を設定する場合、ポートで使用されるプロトコルを指定するために、同じ条件で または protocol tcp 一致ステートメントを設定protocol udpすることもお勧めします。

数値の代わりに、 一致条件で記載されているテキスト同義語の1つを destination-port number 指定できます。

source-prefix-list

名前付きリストの IP 送信元プレフィックスを照合します。

tcp-flags value

TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上に一致します。

個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。

組み合わせたビットフィールド一致条件については、 一致条件を tcp-initial 参照してください。

この一致条件を設定した場合、ポートでTCPプロトコルが使用されていることを指定するために、同じ条件で一致ステートメントを設定 protocol tcp することもお勧めします。

tcp-initial

TCP 接続の最初のパケットに一致します。これは、 のエイリアスです tcp-flags "(!ack & syn)"

この条件は、プロトコルがTCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で 一致条件も設定 protocol tcp することをお勧めします。

ttl number

IPv4 の稼働時刻番号に一致します。TTL 値または TTL 値の範囲を指定します。の場合 number、2~255 の 1 つ以上の値を指定できます。

IPv6トラフィック(ACXシリーズルーター)の一致条件

Internet Protocol version 6(IPv6)トラフィックfamily inet6() 表 7 の一致条件を持つファイアウォールフィルターを設定するには、 階層レベルで [edit firewall family inet6 filter filter-name term term-name from] 設定できる一致条件について説明します。

表 7: IPv6 トラフィックのファイアウォール フィルター一致条件

一致条件

説明

destination-address address

IPv6 宛先アドレス フィールドに一致します。

destination-port number

UDP または TCP 宛先ポート フィールドに一致します。

同じ条件に port および destination-port 一致条件の両方を指定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67) cmd 、(514) cvspserver 、(2401) dhcp 、(67)、 domain (53)、 eklogin (21 05、 ekshell (2106)、 exec (512)、 finger (79) ftp 、(21)、 ftp-data (20)、 http (80) https 、(443) ident 、(113)、 imap (143) kerberos-sec (88)、(543) kpasswdklogin 、(761)、 krb-prop (754)、 krbupdate (760) kshell 、(544) ldap 、(389) ldp 、(646) login 、(513) mobileip-agent 、(434) mobilip-mn 、(435) msdp 、(639) netbios-dgm 、(138) netbios-ns 、(137)、(139) netbios-ssn 、(2049) nfsdnntp 、(119)、(58) ntalkntp (123)、 pop3 (110)、 pptp (1723)、 printer (515) radacct 、(1813) radius 、(1812) rip 、(520) rkinit 、(2108) smtp 、(25)、(161) snmp 、(162) snmptrapsnpp 、(44 4)、 socks (1080) ssh 、(22)、 sunrpc (111) syslog 、(514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) tftptimed (525)、(513) who 、またはxdmcp(177)。

destination-prefix-list

名前付きリストの IP 宛先プレフィックスを照合します。

extension-headers header-type

次のヘッダー値を識別することにより、パケットに含まれる拡張ヘッダータイプに一致します。

パケットの最初のフラグメントでは、フィルターは、任意の拡張機能ヘッダー タイプで一致するものを検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、フィルターは、他の拡張機能ヘッダーの場所が予測できないため、次の拡張ヘッダー タイプの一致のみを検索します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)。

拡張ヘッダー オプションの 任意 の値に一致するには、テキスト 同義語 anyを使用します。

注:

IPv6 パケットの最初の拡張ヘッダーのみが一致できます。1 つの IPv6 拡張ヘッダーを超える L4 ヘッダーが一致します。

hop-limit hop-limit

指定されたホップ制限またはホップ制限のセットにホップ制限を一致させます。の場合 hop-limit、単一の値または 0~255 の値の範囲を指定します。

icmp-code message-code

ICMP メッセージ コード フィールドに一致します。

この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmpすることをお勧めします。

この一致条件を設定した場合、同じ条件で 一致条件も設定 icmp-type message-type する必要があります。ICMP メッセージ コードは ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は関連する ICMP メッセージ タイプに依存します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

  • parameter-problem:ip6-header-bad(0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • time-exceeded:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

  • 宛先-到達不能:administratively-prohibited(1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-type message-type

ICMP メッセージ タイプ フィールドに一致します。

この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmpすることをお勧めします。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。certificate-path-advertisement (149)、(148) certificate-path-solicitationdestination-unreachable (1)、 echo-reply (129) echo-request 、(128) home-agent-address-discovery-reply 、(145) home-agent-address-discovery-request 、(144) inverse-neighbor-discovery-advertisement 、(142) inverse-neighbor-discovery-solicitation 、(141) membership-query 、(130) membership-report 、(131)、(132) membership-termination 、(147) mobile-prefix-advertisement-reply 、(146) mobile-prefix-solicitation 、(146) neighbor-advertisement 136、(135) neighbor-solicit 、(140) node-information-replynode-information-request (139) packet-too-big 、(2)、 parameter-problem (4)、 private-experimentation-100 (100) private-experimentation-101 、(101) private-experimentation-200 、(200) private-experimentation-201 、(201) redirect 、(137)、(134) router-advertisement 、(138) router-renumbering 、(133)、 router-solicit または time-exceeded(3)。

private-experimentation-201 (201)では、角括弧内の値の範囲を指定することもできます。

next-header header-type

パケットの最初の 8 ビットネクスト ヘッダー フィールドに一致します。ファイアウォールの一致条件の next-header サポートは、Junos OS リリース 13.3R6 以降で利用できます。

IPv6では、一致条件を持つファイアウォールフィルターを payload-protocol 設定する際、 next-header 条件ではなく 条件を使用することをお勧めします。どちらも使用できますが、 payload-protocol 実際のペイロード プロトコルを使用して一致を見つけるので、より信頼性の高い一致条件が提供されます。一方 next-header 、IPv6 ヘッダーに続く最初のヘッダーに表示されるものは、実際のプロトコルである場合とそうでない場合があります。さらに、 next-header IPv6 と共に使用すると、高速化フィルタ ブロック ルックアップ プロセスはバイパスされ、代わりに標準フィルタが使用されます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah(51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58) icmpv6 、(58)、 igmp (2)、(4) ipip 、(4) ipv6 1)、 mobility (135)、 no-next-header (59) ospf 、(89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、(17) udp  、または vrrp(112)。

注:

next-header icmp6next-header icmpv6 致条件が同じ機能 next-header icmp6 を実行します。は推奨オプションです。 next-header icmpv6 はJunos OS CLIで非表示になっています。

source-address address

パケットを送信する送信元ノードの IPv6 アドレスに一致します。

source-port number

UDP または TCP 送信元ポート フィールドに一致します。

同じ条件に port および source-port 一致条件を指定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

数値の代わりに、 一致条件で記載されているテキスト同義語の1つを destination-port number 指定できます。

source-prefix-list

名前付きリストの IP 送信元プレフィックスを照合します。

tcp-flags flags

TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上に一致します。

個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。

組み合わせたビットフィールド一致条件については、 および tcp-initial 一致条件をtcp-established参照してください。

この一致条件を設定した場合、ポートでTCPプロトコルが使用されていることを指定するために、同じ条件で 一致条件を設定 next-header tcp することもお勧めします。

tcp-initial

TCP 接続の最初のパケットに一致します。これは、 のテキスト同義語です tcp-flags "(!ack & syn)"

この条件は、プロトコルがTCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で 一致条件も設定 next-header tcp することをお勧めします。

traffic-class number

パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールドに一致します。

このフィールドは、以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていました。

から 063までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 0x めます。値を 2 進形式で指定するには、プレフィックスとして を含 b めます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。ef(46).

  • RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。

    • af11(10)、 af12 (12)、 af13 (14)

    • af21(18)、 af22 (20)、 af23 (22)

    • af31(26)、 af32 (28)、 af33 (30)

    • af41(34)、 af42 (36)、 af43 (38)

注:

一致条件( address、 、 destination-address、または source-address 一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング アーキテクチャで説明されているテキスト表現の構文を使用します。IPv6アドレスの詳細については、 IPv6の概要サポートされているIPv6標準を参照してください。

以下に、ファイアウォールファミリーinet6の設定例を示します。

MPLS トラフィックの一致条件(ACX シリーズ ルーター)

ACXシリーズルーターでは、MPLSトラフィック(family mpls)の一致条件を使用して、標準のステートレスファイアウォールフィルターを設定できます。

注:

input-list filter-namesプロトコルファミリーのファイアウォールフィルターmplsの および output-list filter-names ステートメントは、管理インターフェイスと内部イーサネットインターフェイス(またはem0)、ループバックインターフェイス(fxp)、USBモデムインターフェイス(lo0umd)を除いて、すべてのインターフェイスでサポートされています。

表 8 では、 階層レベルで [edit firewall family mpls filter filter-name term term-name from] 設定できる一致条件について説明します。

表 8: ACX シリーズ ルーター上の MPLS トラフィックの標準ファイアウォール フィルター一致条件
一致条件 説明

exp number

MPLS ヘッダーの実験(EXP)ビット番号またはビット番号の範囲。の場合 number、0~7 の 10 進数、2 進、または 16 進形式で 1 つ以上の値を指定できます。

非終端処理アクション(ACXシリーズルーター)

標準のステートレスファイアウォールフィルターは、各プロトコルファミリーに対して異なる非終了アクションのセットをサポートします。

注:

ACXシリーズルーターは、アクションを next term サポートしていません。

ACX シリーズ ルーターは、ファミリーとファミリー inetbridgeのイングレス/エグレス方向のログ および syslog アクションをサポートしています。

ACX5448、ACX710、ACX7100シリーズルーターは、エグレス方向で 、 、 rejectsyslogforwarding-class、および loss-priority をサポートlogしていません。イングレス方向とエグレス方向では、ルーターはインターフェイス固有のセマンティクスのみをサポートします。

表 9 は、標準のファイアウォール フィルター条件に対して設定できる終了しないアクションについて説明します。

表 9: ACXシリーズルーター上の標準ファイアウォールフィルターの非終了アクション

非終了アクション

説明

プロトコルファミリー

count counter-name

名前付きカウンター内のパケットをカウントします。

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

指定された転送クラスに基づいてパケットを分類します。

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

注:

このアクションは、イングレスでのみサポートされています。

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

パケット転送エンジン内のバッファーにパケット ヘッダー情報を記録します。この情報にアクセスする場合は、CLI(コマンドライン インターフェイス)で コマンドを show firewall log 発行します。

注:

このアクションは、イングレスとエグレスでサポートされています。エグレスでのアクションは、ファミリーinet6ではサポートされていません。

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

PLP(パケット損失の優先度)レベルを設定します。

また、同じファイアウォールフィルター条件に three-color-policer 非終了アクションを設定することもできません。これら 2 つの非終了アクションは相互に排他的です。

指定された tri-color 4つのレベルのいずれかを使用してPLP設定をコミットするには、 階層レベルに ステートメント [edit class-of-service] を含める必要があります。ステートメントがtri-color有効でない場合、 および low レベルのみをhigh設定できます。これは、すべてのプロトコルファミリーに適用されます。

ステートメントの詳細 tri-color については、 トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定する BA(動作集約)分類子の使用については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

注:

このアクションは、イングレスでのみサポートされています。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

トラフィックのレート制限に使用するポリサーの名前。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

指定されたファミリーに基づいてパケットをポートミラーリングします。

注:

このアクションは、イングレスでのみサポートされています。

ACX5048およびACX5096ルーターはサポート port-mirrorしていません。

family inet

syslog

パケットをシステム ログ ファイルに記録します。

注:

このアクションは、イングレスとエグレスでサポートされています。エグレスでのアクションは、ファミリーinet6ではサポートされていません。

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

指定された単一レートまたは 2 レート 3 カラー ポリサーを使用してパケットをポリサーします。

また、同じファイアウォールフィルター条件に loss-priority 対して アクションを設定することはできません。これら 2 つのアクションは相互に排他的です。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

トラフィッククラスコードポイントを設定する

注:

このアクションは、イングレスでのみサポートされています。

family inet6

ターミティング アクション(ACX シリーズ ルーター)

標準のステートレスファイアウォールフィルターは、各プロトコルファミリーに対して異なる終了アクションのセットをサポートしています。

注:

ACXシリーズルーターは、アクションを next term サポートしていません。

表 10 は、標準のファイアウォールフィルター条件で指定できる終了アクションについて説明します。

表 10: ACXシリーズルーター上の標準ファイアウォールフィルターの終了アクション

終了アクション

説明

プロトコル

accept

パケットを受け入れます。

  • family any

  • family inet

  • family mpls

  • family ccc

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。破棄されたパケットは、ロギングとサンプリングに使用できます。

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。

  • メッセージ・タイプが指定されていない場合は、 destination-unreachable デフォルトでメッセージが戻されます。

  • メッセージタイプとして指定された場合 tcp-resettcp-reset パケットがTCPパケットである場合にのみ返されます。それ以外の administratively-prohibited 場合は、値が 13 のメッセージが返されます。

  • 他のメッセージ・タイプが指定されている場合は、そのメッセージが戻されます。

注:
  • または syslog アクションを設定すると、拒否されたパケットをサンプリングまたはログにsample記録できます。

  • このアクションは、イングレスでのみサポートされています。

オプションには message-type 、以下のいずれかの値を設定できます。address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-unknownno-routeport-unreachableprecedence-cutoffnetwork-unreachablenetwork-prohibitedprotocol-unreachablesource-host-isolatedprecedence-violationsource-route-failedまたは .tcp-reset

family inet

routing-instance routing-instance-name

指定されたルーティング インスタンスにパケットを誘導します。

  • family inet