このページで

ACXシリーズルーターでのファイアウォールフィルターの一致条件とアクションの概要
ブリッジファミリーファイアウォールフィルター(ACXシリーズルーター)の一致条件
CCCファイアウォールファミリーフィルター(ACXシリーズルーター)の一致条件
IPv4トラフィックの一致条件(ACXシリーズルーター)
IPv6トラフィックの一致条件(ACXシリーズルーター)
MPLSトラフィックの一致条件(ACXシリーズルーター)
非終了アクション(ACXシリーズルーター)
終了アクション(ACXシリーズルーター)

ファイアウォールフィルターの一致条件およびアクション(ACXシリーズルーター)

ACXシリーズユニバーサルメトロルーターでは、ファイアウォールフィルターを設定して、パケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行することができます。パケットをフィルタリングするために指定された一致条件は、フィルタリングされるトラフィックのタイプに固有です。

IPv6 一致条件のファイアウォールフィルターは、Junos OS リリース 19.1R1 の ACX6360-OR ルーターの階層レベルではサポートされていません。firewall family inet6 filter name

注:

ACXシリーズルーターでは、既存のトラフィックに対するフィルター(egressフィルター)は、ファイアウォールフィルターのインターフェイス固有のインスタンスに対してのみ適用できます。

ACX シリーズルーターでは、適用されたファイアウォールフィルターのプレフィックスまたは条件を変更すると、TCAM エラーが発生します。ファイアウォールフィルターのプレフィックスまたは用語を変更するには、既存のファイアウォールフィルターを削除してから、変更したフィルターを適用する必要があります。

注:

ACX シリーズルーターでは、IRB インターフェイスのエグレス方向にファイアウォールフィルターを適用することはできません。

ACXシリーズルーターでのファイアウォールフィルターの一致条件とアクションの概要

表 1 標準のステートレスファイアウォールフィルターを構成できるトラフィックの種類について説明します。

表 1: ACXシリーズルーターのプロトコルファミリー別の標準ファイアウォールフィルター一致条件
トラフィックタイプ	一致条件を指定する階層レベル
プロトコル非依存	`[edit firewall family any filter filter-name term term-name]` ACXシリーズルーターでは、このトラフィックタイプに一致する条件はサポートされていません。
IPv4	`[edit firewall family inet filter filter-name term term-name` 一致条件の完全なリストについては、 IPv4トラフィックの一致条件(ACXシリーズルーター)を参照してください。
MPLS	`[edit firewall family mpls filter filter-name term term-name]` 一致条件の完全なリストについては、 MPLS トラフィックの一致条件(ACX シリーズルーター)を参照してください。MPLSトラフィックの一致条件(ACXシリーズルーター)
レイヤー 2 CCC	`[edit firewall family ccc filter filter-name term term-name]` ACXシリーズルーターでは、このトラフィックタイプに一致する条件はサポートされていません。
橋	`[edit firewall family bridge filter filter-name term term-name]` `[edit firewall family ethernet-switching filter filter-name term term-name]` (ACX5048およびACX5096ルーターにのみ適用されます。

ACX5448ルーターでは、external-tcamの可用性に応じて、以下のイングレスファミリーフィルターを拡張できます。

家族 ethernet-switching
家族 ccc
家族 inet
家族 inet6
家族 mpls
家族 vpls

標準のステートレスファイアウォールフィルター条件のステートメントで、条件に一致するパケットに対して実行するアクションを指定できます。then

表 2 は、標準のステートレスファイアウォールフィルター条件で指定できるアクションの種類をまとめたものです。

表 2: ACXシリーズルーターの標準ファイアウォールフィルターアクションカテゴリー
アクションの種類	説明	コメント
終了	特定のパケットに対するファイアウォールフィルターのすべての評価を停止します。ルーターは指定されたアクションを実行し、パケットの検査に追加の用語は使用されません。標準のファイアウォールフィルターで指定できる終了アクションは 1 つだけです。ただし、1 つの用語に 1 つ以上の非終了アクションを指定して、1 つの終了アクションを指定することができます。例えば、項内では、とを指定できます。`acceptcountsyslog`	「終了アクション(ACXシリーズルーター)」を参照してください。終了アクション(ACXシリーズルーター)
非終端	パケットに対して他の機能(カウンターの犯罪、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報の送信など)を実行しますが、追加の用語はパケットの検査に使用されます。	非終了アクション(ACXシリーズルーター)を参照してください。非終了アクション(ACXシリーズルーター)

ブリッジファミリーファイアウォールフィルター(ACXシリーズルーター)の一致条件

ACXシリーズルーターのブリッジファミリーファイアウォールフィルター

ブリッジファミリーファイアウォールフィルターは、ACXシリーズルーターのIFLファミリーレベルで設定できます。ブリッジファミリーフィルタは、サポートされている Layer2/Layer3 フィールドに基づいて L2 ブリッジフローを照合し、ファイアウォールアクションを実行するために使用されます。ACX シリーズルーターのブリッジファイアウォールフィルターでサポートされる条件の最大数は 124 です。

注:

ACX5448 および ACX7000 シリーズルーターでは、ブリッジドメインに IRB がブリッジドメインに接続されている場合でも、レイヤー 2 スイッチパケットにのみレイヤー 2 ファイアウォールフィルターを適用する必要があります。パケットがレイヤー 3 転送される場合、レイヤー 3 フィルターを IRB に適用する必要があります。

注:

ACX シリーズルーターでは、IRB インターフェイスのエグレス方向にファイアウォールフィルターを適用することはできません。

表 3 は、ブリッジファミリーフィルターでサポートされている一致条件を示しています。

表 3: ACXシリーズルーターのブリッジファミリーファイアウォールフィルター一致条件
一致条件	説明
グループを適用します	設定データを継承するグループを設定する
適用グループ-除く	設定データをブロードキャストしないグループを設定する
宛先MACアドレス	宛先MACアドレスを設定する
宛先ポート	TCP/UDP宛先ポートに一致します
`destination-prefix-list`	名前付きリストの IP 宛先プレフィックスに一致します。
Dscp	差別化されたサービス (DiffServ) コードポイントに一致します。
イーサタイプ	イーサネットのタイプに一致します
ICMPコード	ICMP メッセージコードに一致します。
ICMPタイプ	ICMP メッセージの種類に一致します
interface-group	インターフェイスグループに一致
IP 宛先アドレス	IP 宛先アドレスに一致
IP 優先順位	IP 優先度値に一致
IP プロトコル	IP プロトコルの種類に一致します
IP送信元アドレス	IP 送信元アドレスに一致します。
learn-vlan-1p-priority	学習した802.1p VLANプライオリティに一致
learn-vlan-dei	ユーザー VLAN ID DEI ビットに一致
学習-VLAN ID	学習したVLAN IDに一致させる
送信元MACアドレス	送信元MACアドレスを設定する
`source-prefix-list`	名前付きリスト内のIPソースプレフィックスに一致します。
送信元ポート	TCP/UDP 送信元ポートに一致
ユーザー-VLAN-1P-優先度	ユーザー 802.1p VLAN プライオリティに一致
user-vlan-id	ユーザー VLAN ID に一致します
vlan-ether-type	VLANイーサネットタイプに一致

表 4 は、サポートされているアクションフィールドを示しています。

表 4: ACXシリーズルーターのブリッジファミリーファイアウォールフィルターアクションフィールド
アクションフィールド	説明
受け入れ	パケットを受け取る
count	名前付きカウンター内のパケットをカウントします
破棄	パケットを破棄する
転送クラス	パケットを転送クラスに分類する
損失優先度	パケットの損失優先度
ログ	パケットヘッダー情報をパケット転送エンジン内のバッファーに記録します。この情報にアクセスするには、コマンドラインインターフェイス(CLI)で show firewall log コマンドを発行します。
ポリサー	トラフィックのレート制限に使用するポリサーの名前
Syslog	パケットをシステムログファイルに記録します。
3 色ポリサー	スリーコロポリサーを使用してパケットをポリシングする

注:

ブリッジファミリーファイアウォールフィルターは、レイヤー 2 インターフェイスの出力フィルターとして適用できます。レイヤー2インターフェイスがステートメントで設定されたブリッジドメイン上にある場合、ACXシリーズルーターは、ブリッジファミリーファイアウォールフィルターで指定されたユーザーvlan-id一致を使用してパケットの外部vlanを照合できます。vlan-id

CCCファイアウォールファミリーフィルター(ACXシリーズルーター)の一致条件

CCCファミリーファイアウォールフィルターの一致条件

ACXシリーズルーターでは、CCC(回線相互接続)トラフィック(ファミリーCCC)の一致条件を指定して、標準のファイアウォールフィルターを設定できます。

表 5 は、階層レベルで設定できる一致条件を説明します。[edit firewall family ccc filter filter-name term term-name]

表 5: ACXシリーズルーターのCCCファミリーファイアウォールフィルター一致条件
フィールド	説明
`destination-mac-address`	宛先MACアドレス
`destination-port`	TCP/UDP宛先ポートに一致します
`dscp`	差別化されたサービス (DiffServ) コードポイントに一致します。
`icmp-code`	ICMPメッセージコードに一致します
`icmp-type`	ICMPメッセージタイプに一致します
`ip-destination-address`	宛先IPアドレスに一致
`ip-precedence`	IP 優先度値に一致します
`ip-protocol`	IPプロトコルタイプに一致します
`ip-source-address`	送信元 IP アドレスに一致します
`learn-vlan-1p-priority`	学習された802.1p VLAN優先度に一致
`source-mac-address`	送信元MACアドレス
`source-port`	TCP/UDP送信元ポートに一致します
`user-vlan-1p-priority`	ユーザー 802.1p VLAN プライオリティに一致

IPv4トラフィックの一致条件(ACXシリーズルーター)

ACXシリーズルーターでは、IPバージョン4(IPv4)トラフィック()の一致条件を使用して、標準のステートレスファイアウォールフィルターを設定できます。は、階層レベルで設定できる一致条件を説明します。 family inet表 6[edit firewall family inet filter filter-name term term-name from]

表 6: ACXシリーズルーターでのIPv4トラフィックのファイアウォールフィルター一致条件
一致条件	説明
`destination-address address`	IPv4宛先アドレスフィールドに一致します。注: ACX シリーズルーターでは、指定できる宛先アドレスは 1 つだけです。IPv4 宛先アドレスのリストはサポートされていません。
`destination-port number`	UDPまたはTCP宛先ポートフィールドに一致します。この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で `protocol udp`または `protocol tcp`一致ステートメントを設定することもお勧めします。数値の代わりに、以下のテキスト（ポート番号も記載されています）のいずれかを指定します。`afs` (1483)、 (`bgp`179)、 (512)、 (68)、 (67`bootps`)、 (514)、 (2401)、 (67)、 (53)、 (2`domaineklogin`105)`dhcp`、 (2106)、 `ekshell`(512)、 (79`exec`)、 (21)、 (20)、 (80)、 (443)、 (113)、 (143)、 (88)、 (543)、 (761)、 (7`finger`54)、 (760)`http`、 (5`krb-prop`44`https`)、 (389)、 `krbupdatekshellldap`(646)、 (513)、 (434)、 (435)、 (639)、`loginmobileip-agentmobilip-mnmsdpnetbios-dgm` (138)、 (137)、 (139)、 (2049)、 (119)、 (518)、 `biff`(123)、 (110)、 (1`nntpntalkntppop3`723)、 `bootpc`(515`sunrpcsyslogtacacs`)、 (1813)、`cmd` (1812)、 (520)、 `pptp`(2108)、 (25)、 (161)、 (162)`nfsd`、 (444)、`radiusriprkinitsmtpsnmpsnmptrapsnppsocksssh` (`netbios-ssn`1080`printerradacct`)、 (22)、 (111)、 (514)、 (49)、 (65)、 (517)、 (23)、 (69)、 (525)、 (513)、o`imapkerberos-seckloginkpasswd`r (177).`identtacacs-dstalktelnettftptimedcvspserverwhoxdmcpnetbios-nsftpftp-dataldp`
`destination-prefix-list`	名前付きリストの IP 宛先プレフィックスに一致します。
`dscp number`	DSCP（差別化されたサービスコードポイント）に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。 0 から 63 までの数値を指定できます。値を 16 進形式で指定するには、プレフィックスとして 0x を含めます。値を 2 進形式で指定するには、プレフィックスとして b を含めます。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 RFC 3246, An Expeded Forwarding PHB（Per-Hop Behavior）は、1つのコードポイントを定義します。`ef` (46)。 RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します（各クラスには3つのドロップ優先順位があります）。 `af11` (10), `af12` (12), `af13` (14) `af21` (18), `af22` (20), `af23` (22) `af31` (26), `af32` (28), `af33` (30) `af41` (34), `af42` (36), `af43` (38)
`fragment-flags number`	（イングレスのみ）IPヘッダーの3ビットIPフラグメント化フラグフィールドに一致します。数字フィールド値の代わりに、以下のキーワード（フィールド値も記載されています）のいずれかを指定します。`dont-fragment` （0x4）、`more-fragments`（0x2）、または`reserved` （0x8）。
`icmp-code number`	ICMPメッセージコードフィールドに一致します。この一致条件を設定した場合、同じ条件で `protocol icmp`一致条件も設定することをお勧めします。この一致条件を設定する場合、同じ条件で一致条件も設定する必要があります。`icmp-type message-type` ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。 parameter-problem：`ip-header-bad` (0)、`required-option-missing` (1) redirect：`redirect-for-host` (1)、 `redirect-for-network`(0)、 `redirect-for-tos-and-host`(3)、 `redirect-for-tos-and-net`(2) time-exceeded：`ttl-eq-zero-during-reassembly` (1)、 `ttl-eq-zero-during-transit`(0) unreachable：`communication-prohibited-by-filtering` (13)、 `destination-host-prohibited`(10)、`destination-host-unknown` (7)、 `destination-network-prohibited`(9)、`destination-network-unknown` (6)、 `fragmentation-needed`(4)、`host-precedence-violation` (14)、 `host-unreachable`(1)、`host-unreachable-for-TOS` (12)、 `network-unreachable`(0)、`network-unreachable-for-TOS` (11)、 `port-unreachable`(3)、`precedence-cutoff-in-effect` (15)、 `protocol-unreachable`(2)、 `source-host-isolated`(8)、`source-route-failed` (5)
`icmp-type number`	ICMPメッセージタイプフィールドに一致します。この一致条件を設定した場合、同じ条件で `protocol icmp`一致条件も設定することをお勧めします。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。`echo-reply`(0)`echo-request`、 (`info-reply`8)、 (1`info-request`6)、 (15)`mask-reply`、 `mask-request`(1`parameter-problem`7)、 (`redirect`18)`router-advertisement`、 (1`router-solicit`2)、 `source-quench`(5)`time-exceeded`、 (9)`timestamp`、 (1`timestamp-reply`0)、 (`unreachable`4)、 (11)、 (13)、 (14)、または (3)。
`ip-options values`	指定された値に、8ビットIPオプションフィールドを一致させます。 ACX シリーズルーターは、パケットが処理のためにパケット転送エンジンに送信されることを保証する一致条件のみをサポートします。`ip-options_any` 注: ACX シリーズルーターでは、IP オプション値を 1 つだけ指定できます。複数の値を構成することはサポートされていません。
`precedence ip-precedence-field`	IP優先度フィールドに一致します。数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。`critical-ecp` （0xa0）、（`flash`0x60）、（`flash-override`0x80）、（0x4`immediate`0）、（0x`internet-control`c0）、（0xe0）`net-control`、（0x20）、または（0x00）。`routinepriority` 16進法、2進法、または10進法で優先度を指定できます。
`protocol number`	IPプロトコルタイプフィールドに一致します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。(60)、 (8)、 (50)、 (44)、 (47)、 (0)、 (1)、 (58)、 (58)、 (2)、 (4)、 (41)、、 (89)、 (103)、、 (46)、 (132)、 (6)、 (17)、また (112)。`dstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudp` `vrrp`
`source-address address`	パケットを送信する送信元ノードのIPv4アドレスに一致します。
`source-port number`	UDPまたはTCP送信元ポートフィールドに一致します。 IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で `protocol udp`または `protocol tcp`一致ステートメントを設定することもお勧めします。数値の代わりに、 `destination-port number`一致条件で記載されているテキスト同義語の1つを指定します。
`source-prefix-list`	名前付きリスト内のIPソースプレフィックスに一致します。
`tcp-flags value`	TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。 `fin` (0x01) `syn` (0x02) `rst` (0x04) `push` (0x08) `ack` (0x10) `urgent` (0x20) TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。ビットフィールド論理演算子を使用して複数のフラグを結合できます。組み合わせたビットフィールド一致条件については、一致条件を参照してください。`tcp-initial` この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で一`protocol tcp`致ステートメントを設定することもお勧めします。
`tcp-initial`	TCP接続の最初のパケットに一致します。これは、 `tcp-flags "(!ack & syn)"`のエイリアスです。この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で `protocol tcp`一致条件も設定することをお勧めします。
`ttl number`	IPv4生存時間値に一致します。TTL値またはTTL値の範囲を指定します。には、2 から 255 までの 1 つ以上の値を指定できます。`number`

IPv6トラフィックの一致条件(ACXシリーズルーター)

Internet Protocol version 6(IPv6)トラフィック()の一致条件があるファイアウォールフィルターを設定できます。は、階層レベルで設定できる一致条件を説明します。 family inet6表 7[edit firewall family inet6 filter filter-name term term-name from]

表 7: IPv6トラフィックのファイアウォールフィルター一致条件
一致条件	説明
`destination-address address`	IPv6宛先アドレスフィールドに一致します。
`destination-port number`	UDPまたはTCP宛先ポートフィールドに一致します。同じ条件に `port`および`destination-port` 一致条件を両方指定することはできません。この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件でまたは一致条件を設定することもお勧めします。`next-header udpnext-header tcp` 数値の代わりに、以下のテキスト（ポート番号も記載されています）のいずれかを指定します。`afs` (1483)、 (`bgp`179)、 (512)、 (68)、 (67`bootps`)、 (514)、 (2401)、 (67)、 (53)、 (2`domaineklogin`105)`dhcp`、 (2106)、 `ekshell`(512)、 (79`exec`)、 (21)、 (20)、 (80)、 (443)、 (113)、 (143)、 (88)、 (543)、 (761)、 (7`finger`54)、 (760)`http`、 (5`krb-prop`44`https`)、 (389)、 `krbupdatekshellldap`(646)、 (513)、 (434)、 (435)、 (639)、`loginmobileip-agentmobilip-mnmsdpnetbios-dgm` (138)、 (137)、 (139)、 (2049)、 (119)、 (518)、 `biff`(123)、 (110)、 (1`nntpntalkntppop3`723)、 `bootpc`(515`sunrpcsyslogtacacs`)、 (1813)、`cmd` (1812)、 (520)、 `pptp`(2108)、 (25)、 (161)、 (162)`nfsd`、 (444)、`radiusriprkinitsmtpsnmpsnmptrapsnppsocksssh` (`netbios-ssn`1080`printerradacct`)、 (22)、 (111)、 (514)、 (49)、 (65)、 (517)、 (23)、 (69)、 (525)、 (513)、o`imapkerberos-seckloginkpasswd`r (177).`identtacacs-dstalktelnettftptimedcvspserverwhoxdmcpnetbios-nsftpftp-dataldp`
`destination-prefix-list`	名前付きリストの IP 宛先プレフィックスに一致します。
`extension-headers header-type`	次のヘッダー値を識別することによって、パケットに含まれる拡張ヘッダーの種類に一致します。パケットの最初のフラグメントで、フィルターはいずれかの拡張ヘッダータイプで一致を検索します。フラグメントヘッダーを持つパケット(後続のフラグメント)が見つかった場合、他の拡張ヘッダーの位置は予測できないため、フィルターは次の拡張ヘッダータイプの一致のみを検索します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。(51)、 (60)、 (50)、 (44)、 (0)、 (135)、または (43)。`ahdestinationespfragmenthop-by-hopmobilityrouting` 拡張ヘッダーオプションの任意の値に一致するには、テキストシノニムを使用します。`any` 注: IPv6 パケットの最初の拡張ヘッダーのみを照合できます。1 つの IPv6 拡張ヘッダーを超える L4 ヘッダーが照合されます。
`hop-limit hop-limit`	ホップ制限を、指定されたホップ制限またはホップ制限のセットに一致させます。`hop-limit`の場合、0～255 の単一の値または値の範囲を指定します。
`icmp-code message-code`	ICMPメッセージコードフィールドに一致します。この一致条件を設定した場合、同じ条件でまたは一致条件も設定することをお勧めします。`next-header icmpnext-header icmp6` この一致条件を設定する場合、同じ条件で一致条件も設定する必要があります。`icmp-type message-type` ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。 parameter-problem：(0)、(1)、 (2)`ip6-header-badunrecognized-next-headerunrecognized-option` time-exceeded：`ttl-eq-zero-during-reassembly` (1)、 `ttl-eq-zero-during-transit`(0) 宛先到達不能: (1)、 (3)、 (0)、 (4)`administratively-prohibitedaddress-unreachableno-route-to-destinationport-unreachable`
`icmp-type message-type`	ICMPメッセージタイプフィールドに一致します。この一致条件を設定した場合、同じ条件でまたは一致条件も設定することをお勧めします。`next-header icmpnext-header icmp6` 数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。(149)、 (148)、 (1)、 (129)、 (128)、 (145)、 (144)、 (142)、 (141)、 (130)、 (131)、 (132)、 (147)、 (146)、 (136)、 (135)、 (140)、 (139)、 (2)、 (4)、 (100)、 (101)、 (200)、 (201)、 (137)、 (134)、 (138)、 (133)、または (3)。`certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-requesthome-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded` (201) の場合、角括弧内の値の範囲を指定することもできます。`private-experimentation-201`
`next-header header-type`	パケットの最初の 8 ビットの Next Header フィールドに一致します。ファイアウォール一致条件のサポートは、Junos OS リリース 13.3R6 以降で利用可能です。`next-header` IPv6では、一致条件でファイアウォールフィルターを設定する際に、用語ではなく用語を使用することが推奨されます。`payload-protocolnext-header` どちらでも使用できますが、実際のペイロードプロトコルを使用して一致を見つけるのに対し、IPv6ヘッダーに続く最初のヘッダーに表示されるものは単に取得するため、より信頼性の高い一致条件が提供されます。`payload-protocolnext-header` さらに、IPv6 でを使用する場合は、高速フィルターブロックの検索プロセスがバイパスされ、代わりに標準フィルターが使用されます。`next-header` 数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。(51)、 (60)、 (8)、 (50)、 (44)、 (47)、 (0)、 (1)、 (58)、 (58)、 (2)、 (4)、 (41)、 (135)、 (59)、 (89)、 (103)、 (43)、 (46)、 (132)、 (6)、 (17)、または (112)。`ahdstopsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6mobilityno-next-headerospfpimroutingrsvpsctptcpudp` `vrrp` 注: および一致条件は同じ機能を実行します。が推奨されるオプションです。はJunos OS CLIで非表示になっています。 `next-header icmp6next-header icmpv6next-header icmp6next-header icmpv6`
`source-address address`	パケットを送信する送信元ノードのIPv6アドレスに一致します。
`source-port number`	UDPまたはTCP送信元ポートフィールドに一致します。同じ項に `port`および `source-port`一致条件を指定することはできません。この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件でまたは一致条件を設定することもお勧めします。`next-header udpnext-header tcp` 数値の代わりに、 `destination-port number`一致条件で記載されているテキスト同義語の1つを指定します。
`source-prefix-list`	名前付きリスト内のIPソースプレフィックスに一致します。
`tcp-flags flags`	TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。 `fin` (0x01) `syn` (0x02) `rst` (0x04) `push` (0x08) `ack` (0x10) `urgent` (0x20) TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。ビットフィールド論理演算子を使用して複数のフラグを結合できます。組み合わせたビットフィールド一致条件については、 `tcp-established`および `tcp-initial`一致条件を参照してください。この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で一致条件を設定することもお勧めします。`next-header tcp`
`tcp-initial`	TCP接続の最初のパケットに一致します。これは、のテキスト同義語です。`tcp-flags "(!ack & syn)"` この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で `next-header tcp`一致条件も設定することをお勧めします。
`traffic-class number`	パケットのサービスクラス(CoS)優先度を指定する8ビットフィールドに一致します。このフィールドは、以前は IPv4 の type-of-service(ToS)フィールドとして使用されていました。 `0`から `63`までの数値を指定できます。値を16進形式で指定するには、`0x` をプレフィックスに含めます。値を2進法で指定するには、 `b`をプレフィックスとして含めます。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 RFC 3246, An Expeded Forwarding PHB（Per-Hop Behavior）は、1つのコードポイントを定義します。`ef` (46)。 RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します（各クラスには3つのドロップ優先順位があります）。 `af11` (10), `af12` (12), `af13` (14) `af21` (18), `af22` (20), `af23` (22) `af31` (26), `af32` (28), `af33` (30) `af41` (34), `af42` (36), `af43` (38)

注:

一致条件( 、、または一致条件)でIPv6アドレスを指定する場合は、RFC 4291、 IPバージョン6アドレッシングアーキテクチャに記述されたテキスト表現の構文を使用してください。addressdestination-addresssource-address IPv6 アドレスの詳細については、「IPv6 の概要」および「サポートされている IPv6 標準」を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.html https://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html

次に、ファイアウォールファミリー inet6 の設定例を示します。

MPLSトラフィックの一致条件(ACXシリーズルーター)

ACXシリーズルーターでは、MPLSトラフィックの一致条件()を使用して、標準のステートレスファイアウォールフィルターを設定できます。family mpls

注:

プロトコルファミリーのファイアウォールフィルターのおよびステートメントは、管理インターフェイスと内部イーサネットインターフェイス(または)、ループバックインターフェイス()、およびUSBモデムインターフェイス()を除くすべてのインターフェイスでサポートされています。input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd

は、階層レベルで設定できる一致条件を説明します。表 8[edit firewall family mpls filter filter-name term term-name from]

表 8: ACX シリーズルーターでの MPLS トラフィックの標準ファイアウォールフィルター一致条件
一致条件	説明
`exp number`	MPLS ヘッダーの実験(EXP)ビット番号またはビット番号の範囲。には、0 から 7 までの 1 つ以上の値を 10 進数、2 進数、または 16 進数形式で指定できます。`number`

非終了アクション(ACXシリーズルーター)

標準のステートレスファイアウォールフィルターは、プロトコルファミリーごとに異なる非終了アクションセットをサポートします。

注:

ACXシリーズルーターは、アクションをサポートしていません。next term

ACX シリーズルーターは、ファミリーおよびファミリーのイングレスおよびエグレス方向でのログおよび syslog アクションをサポートします。inetbridge

ACX5448、ACX710およびACX7100シリーズルーターは、エグレス方向の、、、、をサポートしていません。 logsyslogrejectforwarding-classloss-priority イングレスおよびエグレス方向では、ルーターはインターフェイス固有のセマンティクスのみをサポートします。

表 9 標準のファイアウォールフィルター条件に設定できる非終了アクションについて説明します。

表 9: ACXシリーズルーターの標準ファイアウォールフィルターの非終了アクション
非終了アクション	説明	プロトコルファミリー
`count counter-name`	名前付きカウンター内のパケットをカウントします。	`family any` `family inet` `family mpls` `family ccc` `family bridge` `family vpls`
`forwarding-class class-name`	指定された転送クラスに基づいてパケットを分類します。 `assured-forwarding` `best-effort` `expedited-forwarding` `network-control` 注: このアクションは、イングレスでのみサポートされます。	`family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`log`	パケットヘッダー情報をパケット転送エンジン内のバッファーに記録します。この情報にアクセスするには、コマンド行インターフェース (CLI) でコマンドを発行します。`show firewall log` 注: このアクションは、イングレスとエグレスでサポートされています。エグレスに対するアクションは、ファミリーinet6ではサポートされていません。	`family inet` `family inet6` `family bridge`
`loss-priority (high \| medium-high \| low)`	PLP(パケット損失の優先度)レベルを設定します。また、同じファイアウォールフィルター条件に対して非終了アクションを設定することもできません。`three-color-policer` これら 2 つの非終了アクションは相互に排他的です。指定された 4 つのレベルのいずれかで PLP 設定をコミットするには、階層レベルにステートメントを含める必要があります。`tri-color[edit class-of-service]` ステートメントが有効になっていない場合、およびレベルのみを設定できます。`tri-colorhighlow` これは、すべてのプロトコルファミリーに適用されます。 `tri-color`ステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。Understanding How Forwarding Classes Assign Classes to Output Queues 注: このアクションは、イングレスでのみサポートされます。	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`policer policer-name`	トラフィックのレート制限に使用するポリサーの名前。	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`port-mirror`	指定されたファミリーに基づいてパケットをポートミラーリングします。注: このアクションは、イングレスでのみサポートされます。 ACX5048およびACX5096ルーターは、.port-mirror	`family inet`
`syslog`	パケットをシステムログファイルに記録します。注: このアクションは、イングレスとエグレスでサポートされています。エグレスに対するアクションは、ファミリーinet6ではサポートされていません。	`family inet` `family inet6` `family bridge`
`three-color-policer (single-rate \| two-rate) policer-name`	指定された1レートまたは2レートの3カラーポリサーを使用してパケットをポリシングします。同じファイアウォールフィルター条件に対してアクションを設定することもできません。`loss-priority` これら 2 つのアクションは相互に排他的です。	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
traffic-class	トラフィッククラスコードポイントの設定注: このアクションは、イングレスでのみサポートされます。	`family inet6`

終了アクション(ACXシリーズルーター)

標準のステートレスファイアウォールフィルターは、プロトコルファミリーごとに異なる終了アクションセットをサポートします。

注:

ACXシリーズルーターは、アクションをサポートしていません。next term

表 10 標準のファイアウォールフィルター条件で指定できる終了アクションを説明します。

表 10: ACX シリーズルーターの標準ファイアウォールフィルターの終了アクション
アクションの終了	説明	プロトコル
`accept`	パケットを受け取ります。	`family any` `family inet` `family mpls` `family ccc`
`discard`	インターネット制御メッセージプロトコル（ICMP）メッセージを送信することなく、気付かれることなくパケットを無効にします。破棄されたパケットは、ロギングとサンプリングに使用できます。	`family any` `family inet` `family mpls` `family ccc`
`reject message-type`	パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。メッセージの種類が指定されていない場合は、既定でメッセージが返されます。`destination-unreachable` がメッセージの種類として指定されている場合、パケットが TCP パケットの場合にのみ返されます。`tcp-resettcp-reset` それ以外の場合は、値 13 のメッセージが返されます。`administratively-prohibited` 他のメッセージ・タイプが指定されている場合は、そのメッセージが返されます。注: 拒否されたパケットは、またはアクションを設定した場合にサンプル化またはログに記録できます。`samplesyslog` このアクションは、イングレスでのみサポートされます。オプションには、次のいずれかの値を指定できます。`message-type` 、、、、、または。`address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset`	`family inet`
`routing-instance routing-instance-name`	指定されたルーティングインスタンスにパケットを送信します。	`family inet`