Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルタマッチング条件とアクション (ルーター ACX シリーズ)

ACX シリーズユニバーサルメトロルーターでは、ファイアウォールフィルターを構成してパケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行できます。パケットをフィルタリングするために指定された照合条件は、フィルタリングされるトラフィックのタイプによって異なります。

IPv6 一致条件を持つファイアウォール フィルターは、ACX6360-OR ルーターの階層レベルJunos OS firewall family inet6 filter name サポート19.1R1。

注:

ACX シリーズルーターでは、既存のトラフィック (送信フィルター) のフィルターを適用できるのは、ファイアウォールフィルターのインターフェイス固有のインスタンスに対してのみです。

ファイアウォールフィルタ Match 条件と ACX シリーズルーターでのアクションの概要

表 1標準のステートレスファイアウォールフィルターを構成できるトラフィックのタイプについて説明します。

表 1: ACX シリーズルーター用のプロトコルファミリによる標準ファイアウォールフィルターの検索条件

トラフィックタイプ

一致条件が指定された階層レベル

プロトコル非依存型

[edit firewall family any filter filter-name term term-name]

ACX シリーズルーターでは、このトラフィックタイプに対して一致条件がサポートされていません。

IPv4

[edit firewall family inet filter filter-name term term-name

Match 条件の完全なリストについては、 IPv4 トラフィック (ACX シリーズルーター) の条件を満たしていることを参照してください。

MPLS

[edit firewall family mpls filter filter-name term term-name]

Match 条件の完全なリストについては、「 MPLS トラフィック (ACX シリーズルーター) のマッチング条件を参照してください。

レイヤー 2 CCC

[edit firewall family ccc filter filter-name term term-name]

ACX シリーズルーターでは、このトラフィックタイプに対して一致条件がサポートされていません。

Bridge

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name](ACX5048 および ACX5096 ルーターにのみ適用可能)

ACX5448 ルーターでは、以下の入口シリーズフィルタを、外部 tcam の可用性に基づいて拡張することができます。

  • 家族ethernet-switching

  • 家族ccc

  • 家族inet

  • 家族inet6

  • 家族mpls

  • 家族vpls

標準のthenステートレスファイアウォールフィルター条件のステートメントの下で、条件に一致するパケットに対して実行するアクションを指定できます。

表 2標準のステートレスファイアウォールフィルター条件で指定できるアクションのタイプをまとめたものです。

表 2: ACX シリーズルーターの標準ファイアウォールフィルタアクションカテゴリ

アクションのタイプ

説明

コメント

中断

特定のパケットについて、ファイアウォールフィルタの評価をすべて停止します。ルーターは指定されたアクションを実行します。また、追加の条件を使用してパケットを検証することはありません。

標準ファイアウォールフィルターに指定できる終端アクションは1つだけです。ただし、1つの終端に終端アクション以外のアクションが含まれている場合は、それらを指定することができます。たとえば、and acceptcountsyslogを使用して指定できます。

終端のアクション (ACX シリーズルーター)を参照してください。

終端以外

その他の機能をパケットに対して実行します (incriminating、counter、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、またはシステムログ機能を使用したリモートホストへの情報送信など)。その他の条件が確認に使用されます。パケットです。

終端以外のアクション (ACX シリーズルーター)を参照してください。

ブリッジファミリーファイアウォールフィルター (ACX シリーズルーター) の条件を照会します。

ブリッジファミリーファイアウォールフィルター ACX シリーズルーター

ブリッジファミリーファイアウォールフィルタは、ACX シリーズルーターの IFL ファミリーレベルで設定できます。ブリッジファミリーフィルターは、サポートされている Layer2/Layer3 フィールドに基づいて L2 ブリッジフローを照合し、ファイアウォールアクションを実行するために使用されます。ACX シリーズルーターのブリッジファイアウォールフィルターでサポートされる条件の最大数は、124です。

表 3は、ブリッジファミリーフィルターでサポートされている照合条件を示しています。

表 3: ACX シリーズルーターのブリッジファミリーファイアウォールフィルタマッチング条件

条件の照合

説明

apply-groups

構成データを継承するためのグループを設定します。

apply-groups-except

設定データをブロードキャストしないグループを設定します。

宛先-mac アドレス

宛先 MAC アドレスを設定します。

destination-port

TCP/UDP 宛先ポートを照会します。

destination-prefix-list

名前付きリストの IP 宛先プレフィックスを検索します。

dscp

DiffServ (差別化サービス) コードポイントと一致させる

ether タイプ

イーサネットタイプと一致します。

icmp-code

ICMP メッセージコードを照合する

icmp-type

ICMP メッセージタイプを照会します。

interface-group

インターフェイスグループと一致させます

ip 宛先アドレス

IP 宛先アドレスを照会します。

ip の優先順位

IP の優先値を照会します。

ip プロトコル

IP プロトコルタイプに一致

ip ソース-アドレス

IP 発信元アドレスを照会します。

learn-vlan-1p-priority

学習した 802.1 p VLAN 優先度に合わせる

学習-vlan-de

ユーザー VLAN ID DEI ビットに合わせる

学習-vlan id

習得した VLAN ID と一致させる

ソース-mac アドレス

ソース MAC アドレスを設定します。

source-prefix-list

名前付きリストの IP 送信元プレフィックスを照会します。

source-port

TCP/UDP 送信元ポートを照会します。

user-vlan-1p-priority

ユーザー 802.1 p VLAN 優先度に合わせる

ユーザー-vlan id

ユーザー VLAN ID と一致します。

vlan-ether タイプ

VLAN イーサネットタイプと一致します。

表 4サポートされているアクションフィールドを表示します。

表 4: ブリッジファミリーファイアウォールフィルターアクションフィールド (ACX シリーズルーター)

アクションフィールド

説明

同意

パケットを受け入れる

計数

指定されたカウンターでのパケットのカウント

捨て

パケットを破棄する

forwarding-class

転送クラスにパケットを分類

損失-優先度

パケット損失の優先度

パケット転送エンジン内のバッファーにパケットヘッダー情報を記録します。この情報にアクセスするには、CLI (コマンドラインインターフェイス) で [ファイアウォールログを表示] コマンドを発行します。

ポリサー

レートトラフィックを制限するために使用するポリサーの名前

syslog

パケットをシステムログファイルに記録します。

3色のポリサー

3つの機能を使用してパケットを事前設定する

注:

ブリッジファミリーファイアウォールフィルタは、レイヤー2インタフェース上で出力フィルタとして適用できます。このvlan-idステートメントで構成されたブリッジドメイン上にレイヤー2インターフェイスがある場合、acx シリーズルーターは、ブリッジファミリーファイアウォールフィルターで指定されたユーザー vlan id 一致を使用して、パケットの外側の vlan を照合できます。

CCC ファイアウォールファミリーフィルター (ACX シリーズルーター) のマッチング条件

CCC ファミリーファイアウォールフィルタのマッチング条件

ACX シリーズルーターでは、接続条件を満たす標準ファイアウォールフィルターを構成できます。これにより、回線間通信 (CCC) トラフィック (ファミリ ccc) が可能になります。

表 5[edit firewall family ccc filter filter-name term term-name]階層レベルで設定可能な照合条件について説明します。

表 5: CCC ファミリーファイアウォールフィルタマッチング条件 ACX シリーズルーター

]

説明

destination-mac-address

宛先 MAC アドレス

destination-port

TCP/UDP 宛先ポートを検索します。

dscp

DiffServ (差別化サービス) コードポイントと一致させます。

icmp-code

ICMP メッセージコードを照合します。

icmp-type

ICMP メッセージタイプを照合します

ip-destination-address

宛先 IP アドレスを照会する

ip-precedence

IP 優先値を照合します。

ip-protocol

IP プロトコルタイプに一致

ip-source-address

送信元 IP アドレスと一致させます

learn-vlan-1p-priority

学習した 802.1 p VLAN 優先度を満たす

source-mac-address

ソース MAC アドレス

source-port

TCP/UDP 送信元ポートを照合します。

user-vlan-1p-priority

ユーザー 802.1 p VLAN 優先度に一致

IPv4 トラフィック (ACX シリーズルーター) の条件を照会します。

ACX シリーズでは、IPバージョン4(IPv4)トラフィック( )の一致条件を使用して、標準のステートレスファイアウォールフィルタを設定できます。 には、階層レベルで設定できる一致条件が示 family inet表 6[edit firewall family inet filter filter-name term term-name from] されます。

表 6: ACX シリーズルーター上で IPv4 トラフィックを処理するためのファイアウォールフィルタマッチング条件

条件の照合

説明

destination-address address

IPv4 宛先アドレスフィールドと一致します。

注:

ACX シリーズルーターでは、宛先アドレスを1つだけ指定できます。IPv4 宛先アドレスのリストはサポートされていません。

destination-port number

宛先ポートフィールドとして UDP または TCP を入力します。

この照合条件を構成する場合は、ポートで使用されるprotocol udpプロトコルprotocol tcpを指定するために、同じ用語で or match ステートメントを設定することをお勧めします。

数値の代わりに、次のいずれかの同義語を指定できます (ポート番号も表示されています)。afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(514)、(2401)、(67)(53)(2105)、(2106)、(512)、(79)、(20)、(80)、 cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)(389)、(646)、(513)、(434)、(635)、(639)、(639)、 identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)(110)、(1723)、(515)(1813)、(1812)、(520)、(2108)、(2) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmp (161)、(161)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)(69)、(525)、(513)、(177) snmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-prefix-list

名前付きリストの IP 宛先プレフィックスを検索します。

dscp number

DSCP (差別化サービスコードポイント) と一致させます。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最も重要な 6 ビットが DSCP を形成しています。詳細については、「振る舞い集約分類子が信頼できるトラフィックの優先度を設定する方法の理解」を参照してください

0 ~ 63 の数値を指定できます。16進形式で値を指定するには、プリフィックスとして0x を組み込みます。バイナリ形式で値を指定するには、b をプレフィックスとして含めます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

  • RFC 3246, An Expedited Forwarding PHB(Per-Hop Behavior)では、1 つのコード ポイントを定義しています。ef(46).

  • RFC 2597, Assured Forwarding PHB Groupでは、4 つのクラスを定義し、各クラスでは 3 つのドロップ Precedence を使用し、合計 12 のコード ポイントを示しています。

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

fragment-flags number

(受信のみ)IP ヘッダーの3ビット IP フラグメント化フラグフィールドと一致させます。

数値フィールド値の代わりに、以下のいずれかのキーワードを指定できます (フィールド値も示されています)。dont-fragmentmore-fragments(0x4)、(0x2)、または reserved (0x8)。

icmp-code number

ICMP メッセージのコードフィールドと一致します。

この照合条件を構成する場合は、同じ用語でprotocol icmp照合条件も設定することをお勧めします。

この照合条件を構成する場合は、同じ用語でicmp-type message-type対戦条件も設定する必要があります。Icmp メッセージコードは、ICMP メッセージタイプよりも具体的な情報を提供しますが、ICMP メッセージコードの意味は、関連付けられている ICMP メッセージタイプによって異なります。

数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。

  • パラメーターの問題:ip-header-badrequired-option-missing(0)、(1)

  • リダイレクトredirect-for-hostredirect-for-networkredirect-for-tos-and-host (1)、(0)、(3)、(2) redirect-for-tos-and-net

  • 時間超過:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • ませcommunication-prohibited-by-filteringdestination-host-prohibiteddestination-host-unknowndestination-network-prohibiteddestination-network-unknown (13)、(10)、(7)、(9)、(4)、(14)、(12)、(12)、(11)、(3)、(15)、(2)、(8)、(5) fragmentation-neededhost-precedence-violationhost-unreachablehost-unreachable-for-TOSnetwork-unreachablenetwork-unreachable-for-TOSport-unreachableprecedence-cutoff-in-effectprotocol-unreachablesource-host-isolatedsource-route-failed

icmp-type number

ICMP メッセージタイプフィールドと一致します。

この照合条件を構成する場合は、同じ用語でprotocol icmp照合条件も設定することをお勧めします。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。echo-replyecho-requestinfo-replyinfo-requestmask-request (0)、(8)、(16)、(15)、(18)、(12)、(5)、(9)、(10)、(4)、(11)、(13)、(14)、(3) mask-replyparameter-problemredirectrouter-advertisementrouter-solicitsource-quenchtime-exceededtimestamptimestamp-replyunreachable

ip-options values

存在する場合は、8 ビット IP オプション フィールドを指定された値に一致します。

ACX シリーズルーターは、 ip-options_any検索条件のみをサポートし、パケットが処理のためにパケット転送エンジンに送信されるようにします。

注:

ACX シリーズルーターでは、1つの IP オプション値のみを指定できます。複数の値を設定することはサポートされていません。

precedence ip-precedence-field

IP 優先度フィールドと一致します。

数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。critical-ecpflashflash-override (0xa0)、(0x60)、(0x80)、(0x40)、(0xc0)、(0xe0)、(0x20)、または immediateinternet-controlnet-controlpriorityroutine (0x00) 優先度は、16進、2進数、10進数のいずれかの形式で指定できます。

protocol number

IP プロトコルタイプフィールドと一致します。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。dstoptsegpespfragmentgre (60)、(80)、(50)、(44)、(47)、(1)、(58)、(58)、(2)、(41)、(41)、(89)、(103)、(46)、(6)、(17)、(112)、 hop-by-hopicmpicmp6icmpv6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudp vrrp

source-address address

パケットを送信する送信元ノードの IPv4 アドレスと一致させます。

source-port number

UDP または TCP 送信元ポートフィールドと一致させます。

IPv4 トラフィックに対してこの照合条件を構成する場合は、このポートでprotocol udp使用protocol tcpされるプロトコルを指定するために、または同じ用語で match ステートメントも設定することをお勧めします。

数値の代わりに、 destination-port number一致条件としてリストされたいずれかのテキストシノニムを指定できます。

source-prefix-list

名前付きリストの IP 送信元プレフィックスを照会します。

tcp-flags value

TCP ヘッダーの 8 ビット TCP フラグ フィールドの低次 6 ビットを 1 つ以上一致します。

個々のビットフィールドを指定するには、次のようなテキストシノニムまたは16進値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは初期パケットの後に送信されるすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを連結することができます。

組み合わせビットフィールド match 条件については、 tcp-initial match 条件を参照してください。

この照合条件を構成する場合は、同じ用語でprotocol tcp match ステートメントを設定して、TCP プロトコルがポートで使用されるように指定することをお勧めします。

tcp-initial

TCP 接続の最初のパケットと一致します。これは、のtcp-flags "(!ack & syn)"エイリアスです。

この状況では、プロトコルが TCP であることが暗黙的に確認されるわけではありません。この照合条件を構成する場合は、同じ用語でprotocol tcp照合条件も設定することをお勧めします。

ttl number

IPv4 の time to live 番号に一致します。TTL 値または TTL 値の範囲を指定します。numberでは、2 ~ 255 の1つまたは複数の値を指定できます。

IPv6 トラフィック (ACX シリーズルーター) の条件を照会します。

IPv6(インターネット プロトコル バージョン 6)トラフィック( )に一致条件を使用してファイアウォール フィルタを設定できます。 は、階層レベルで設定できる一致条件 family inet6表 7[edit firewall family inet6 filter filter-name term term-name from] を示します。

表 7: IPv6 トラフィックのファイアウォールフィルタマッチング条件

条件の照合

説明

destination-address address

IPv6 宛先アドレスフィールドと一致します。

destination-port number

宛先ポートフィールドとして UDP または TCP を入力します。

同じ用語にport and destination-port match 条件を指定することはできません。

この照合条件を構成する場合は、同じ用語で条件をnext-header udp設定next-header tcpして、ポートで使用されるプロトコルを指定することをお勧めします。

数値の代わりに、次のいずれかの同義語を指定できます (ポート番号も表示されています)。afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(514)、(2401)、(67)(53)(2105)、(2106)、(512)、(79)、(20)、(80)、 cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)(389)、(646)、(513)、(434)、(635)、(639)、(639)、 identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)(110)、(1723)、(515)(1813)、(1812)、(520)、(2108)、(2) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmp (161)、(161)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)(69)、(525)、(513)、(177) snmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-prefix-list

名前付きリストの IP 宛先プレフィックスを検索します。

extension-headers header-type

次のヘッダー値を識別することで、パケットに含まれている拡張ヘッダータイプと一致します。

パケットの最初のフラグメントで、このフィルターは、すべての拡張ヘッダータイプで一致を検索します。フラグメントヘッダーを持つパケットが検出されると (それ以降のフラグメント)、他の拡張ヘッダーの位置は予測できないため、このフィルターでは次の拡張ヘッダータイプの一致のみが検索されます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ah(51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135), またroutingは (43).

Extension header オプションの任意の値と一致させるには、 anyテキストシノニムを使用します。

注:

IPv6 パケットの最初の拡張ヘッダーのみを照合できます。1つの IPv6 拡張ヘッダー以外の L4 ヘッダーが照合されます。

hop-limit hop-limit

ホップ制限を指定したホップ制限またはホップ制限セットに一致させます。[ hop-limit] には、0 ~ 255 の1つの値または範囲内の値を指定します。

icmp-code message-code

ICMP メッセージのコードフィールドと一致します。

この照合条件を構成する場合は、 next-header icmp or next-header icmp6条件を同じ用語で設定することをお勧めします。

この照合条件を構成する場合は、同じ用語でicmp-type message-type対戦条件も設定する必要があります。Icmp メッセージコードは、ICMP メッセージタイプよりも具体的な情報を提供しますが、ICMP メッセージコードの意味は、関連付けられている ICMP メッセージタイプによって異なります。

数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。

  • パラメーターの問題:ip6-header-badunrecognized-next-header(0)、(1)、(2) unrecognized-option

  • 時間超過:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • 宛先-到達不能:administratively-prohibitedaddress-unreachableno-route-to-destination (1)、(3)、(0)、(4) port-unreachable

icmp-type message-type

ICMP メッセージタイプフィールドと一致します。

この照合条件を構成する場合は、 next-header icmp or next-header icmp6条件を同じ用語で設定することをお勧めします。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-request (149)、(148)、(129)、(128)、(144)、(144)、(142)、(130)、(131)、(132)、(147)、(146)、(146) home-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicit (136)、(135)、(140)、(2)、(4)、(100)、(200)、(200)、(201)、(134)、(138)、(133)、(3) node-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

( private-experimentation-201 201) の場合は、角括弧内に値の範囲を指定することもできます。

next-header header-type

パケット内の最初の8ビットの次のヘッダーフィールドと一致します。ファイアウォールの一 next-header 致条件のサポートは、Junos OS リリース 13.3R6で提供されています。

IPv6 では、ファイアウォール フィルタを一致条件で設定する際には、その用語ではなく用語 payload-protocolnext-header を使用することをお勧めします。どちらの方法を使用するかは使用できます。ただし、実際のペイロード プロトコルを使用して一致を見つけるのに対して、信頼性の高い一致条件を提供します。一方 payload-protocol 、IPv6 ヘッダーの後の最初のヘッダーに表示される情報は、実際のプロトコルである場合と異なる可能性があります。 next-header さらに、IPv6 と一緒に使用すると、高速化フィルタ ブロックルックアップ プロセスは迂回され、代わりに使用される標準 next-header フィルタが使用されます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ahdstopsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、(2)、(4)、(4) grehop-by-hopicmpicmp6icmpv6igmpipipipv6mobility 1)、(135)、(59)、(89)、(103)、(43)、(46)、(132)、(6)、(17)、(112) no-next-headerospfpimroutingrsvpsctptcpudp vrrp

注:

next-header icmp6next-header icmpv6 match 条件は同じ機能を実行します。next-header icmp6は推奨されるオプションです。next-header icmpv6 Junos OS CLI で非表示になっています。

source-address address

パケットを送信する送信元ノードの IPv6 アドレスと一致させます。

source-port number

UDP または TCP 送信元ポートフィールドと一致させます。

port And source-port match 条件を同じ用語で指定することはできません。

この照合条件を構成する場合は、同じ用語で条件をnext-header udp設定next-header tcpして、ポートで使用されるプロトコルを指定することをお勧めします。

数値の代わりに、 destination-port number一致条件としてリストされたいずれかのテキストシノニムを指定できます。

source-prefix-list

名前付きリストの IP 送信元プレフィックスを照会します。

tcp-flags flags

TCP ヘッダーの 8 ビット TCP フラグ フィールドの低次 6 ビットを 1 つ以上一致します。

個々のビットフィールドを指定するには、次のようなテキストシノニムまたは16進値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは初期パケットの後に送信されるすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを連結することができます。

組み合わせビットフィールドの match 条件についてはtcp-establishedtcp-initial 「and match 条件」を参照してください。

この照合条件を構成する場合は、同じ用語でnext-header tcp一致条件を設定して、TCP プロトコルがポートで使用されるように指定することをお勧めします。

tcp-initial

TCP 接続の最初のパケットと一致します。これは、のtcp-flags "(!ack & syn)"テキストシノニムです。

この状況では、プロトコルが TCP であることが暗黙的に確認されるわけではありません。この照合条件を構成する場合は、同じ用語でnext-header tcp照合条件も設定することをお勧めします。

traffic-class number

パケットのサービスクラス (CoS) の優先度を指定する8ビットのフィールドと一致します。

このフィールドは、IPv4 でサービスタイプ (ToS) フィールドとして以前に使用されていました。

From からの0数値を指定でき63ます。16進形式で値を指定するに0xは、接頭辞として含めます。バイナリ形式で値を指定するにはb 、接頭辞として含めます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

  • RFC 3246, An Expedited Forwarding PHB(Per-Hop Behavior)では、1 つのコード ポイントを定義しています。ef(46).

  • RFC 2597, Assured Forwarding PHB Groupでは、4 つのクラスを定義し、各クラスでは 3 つのドロップ Precedence を使用し、合計 12 のコード ポイントを示しています。

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

注:

一致条件(、 を一致条件)で IPv6 アドレスを指定する場合は addressdestination-addresssource-address 、RFC 4291、IP バージョン 6 アアドレス アーキテクチャ で説明されているテキスト表現の構文を使用します。IPv6 アドレスの詳細については、「 ipv6 の概要」および「サポートされる ipv6 規格」を参照してください。

次の例は、ファイアウォールファミリーの inet6 の構成を示しています。

MPLS トラフィック (ACX シリーズルーター) の条件を満たす

ACX シリーズルーターでは、MPLS トラフィック (family mpls) のマッチング条件を使用して、標準のステートレスファイアウォールフィルターを構成できます。

注:

input-list filter-namesプロトコルoutput-list filter-namesファミリー mpls用のファイアウォールフィルターの and ステートメントは、管理インターフェイスと内部イーサネットインターフェイス (fxpまたはem0) を除くすべてのインターフェイスでサポートされています。ループバックインターフェイス (lo0)、USB モデムインターフェース (umd) があります。

表 8[edit firewall family mpls filter filter-name term term-name from]階層レベルで設定可能な照合条件について説明します。

表 8: ACX シリーズルーター上での MPLS トラフィックに対する標準のファイアウォールフィルタマッチング条件
条件の照合 説明

exp number

実験的 (EXP) ビット数または MPLS ヘッダーのビット番号の範囲のnumber場合、10進数、バイナリ、16進数のいずれかの形式で、0 ~ 7 の1つ以上の値を指定できます。

終端以外のアクション (ACX シリーズルーター)

標準のステートレスファイアウォールフィルターは、各プロトコルファミリに対して終端以外のアクションセットをサポートします。

注:

ACX シリーズルーターはこのアクションをnext termサポートしていません。

ACX シリーズ ルーターは、ファミリーおよびファミリーの受信/送信方向にログと syslog アクションを inet サポートします bridge

ACX5448 ACX710 および ACX7100 シリーズ ルーターは、エグレス方向 、 を logsyslogrejectforwarding-classloss-priority サポートしています。受信/送信方向では、ルーターはインターフェイス固有のセマンティックスのみをサポートします。

表 9標準のファイアウォールフィルタ条件に対して設定可能な終端以外のアクションについて説明します。

表 9: ACX シリーズルーターでの標準ファイアウォールフィルターの非終端アクション

終端以外のアクション

説明

プロトコルファミリー

count counter-name

指定されたカウンターでパケットをカウントします。

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

指定された転送クラスに基づいてパケットを分類します。

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

注:

このアクションは受信のみでサポートされています。

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

パケット転送エンジン内のバッファーにパケットヘッダー情報を記録します。この情報にアクセスするには、 show firewall log CLI (コマンドラインインターフェイス) でコマンドを発行します。

注:

このアクションは、受信時と送信時にサポートされています。送信時のアクションは、ファミリー inet6 ではサポートされていません。

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

パケットロス優先度 (PLP) レベルを設定します。

また、同じファイアウォールthree-color-policerフィルタ条件に対して終端以外のアクションを設定することはできません。これら2つの終端以外のアクションは相互に排他的です。

指定されたtri-color 4 つの[edit class-of-service]レベルのいずれかを使用して PLP 構成をコミットするには、階層レベルの明細書を含める必要があります。tri-color明細書が有効になっていない場合は、 highおよびlowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

このtri-color文の詳細については、 Tricolor マーキングポリサーの設定と適用を参照してください。行動集約 (BA) 分類子を使用して受信パケットの PLP レベルを設定する方法については、「転送クラスによる出力キューへのクラスの割り当て方法を理解する」を参照してください。

注:

このアクションは受信のみでサポートされています。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

レート制限トラフィックに使用されるポリサーの名前。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Port-指定されたファミリに基づいてパケットをミラーリングします。

注:

このアクションは受信のみでサポートされています。

ACX5048 および ACX5096 ルーターはサポートされていません port-mirror

family inet

syslog

パケットをシステムログファイルに記録します。

注:

このアクションは、受信時と送信時にサポートされています。送信時のアクションは、ファミリー inet6 ではサポートされていません。

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

指定したシングルレートまたは2レートの3色のポリサーを使用して、パケットを事前設定します。

同じファイアウォールフィルター条件loss-priorityのアクションを構成することはできません。これらの2つのアクションは相互に排他的です。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

トラフィッククラスのコードポイントを設定します。

注:

このアクションは受信のみでサポートされています。

family inet6

終端動作 (ACX シリーズルーター)

標準のステートレスファイアウォールフィルターは、各プロトコルファミリーに対して異なるセットの終端アクションをサポートします。

注:

ACX シリーズルーターはこのアクションをnext termサポートしていません。

表 10標準のファイアウォールフィルター条件で指定できる終了時のアクションについて説明します。

表 10: ACX シリーズルーターでの標準ファイアウォールフィルターのアクションを終了する

終了アクション

説明

プロトコル

accept

パケットを受け入れます。

  • family any

  • family inet

  • family mpls

  • family ccc

discard

インターネット制御メッセージプロトコル (ICMP) メッセージを送信せずに、パケットをサイレントで破棄します。ログ収集とサンプリングには、廃棄されたパケットを利用できます。

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。

  • メッセージタイプが指定されていdestination-unreachableない場合は、デフォルトでメッセージが返されます。

  • tcp-resetメッセージタイプとして指定さtcp-resetれた場合、パケットが TCP パケットである場合にのみ返されます。それ以外の場合 administratively-prohibited は、値 13 のメッセージが返されます。

  • その他のメッセージタイプが指定された場合は、そのメッセージが返されます。

注:
  • 拒否されたパケットは、or samplesyslogアクションを設定することによってサンプリングまたはログに記録できます。

  • このアクションは受信のみでサポートされています。

このmessage-typeオプションには、以下のいずれかの値を指定できます。address-unreachablesource-host-isolatedtcp-reset,,,,,,,,,,,,,,,,,,,、または. administratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-route-failed

family inet

routing-instance routing-instance-name

パケットを指定されたルーティングインスタンスにリダイレクトします。

  • family inet