Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの一致条件およびアクション(ACXシリーズルーター)

ACXシリーズユニバーサルメトロルーターでは、ファイアウォールフィルターを設定して、パケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行することができます。パケットをフィルタリングするために指定された一致条件は、フィルタリングされるトラフィックのタイプに固有です。

Junos OSリリース19.1R1のACX6360-ORルーターの firewall family inet6 filter name 階層レベルではサポートされていないIPv6一致条件のファイアウォールフィルター。

注:

ACXシリーズルーターでは、既存のトラフィックに対するフィルター(egressフィルター)は、 ファイアウォールフィルターのインターフェイス固有のインスタンスに対してのみ適用できます。

ACX シリーズ ルーターでは、適用されたファイアウォール フィルターのプレフィックスまたは条件を変更すると、TCAM エラーが発生します。ファイアウォールフィルターのプレフィックスまたは用語を変更するには、既存のファイアウォールフィルターを削除してから、変更したフィルターを適用する必要があります。

注:

ACX シリーズ ルーターでは、IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。

ACXシリーズルーターでのファイアウォールフィルターの一致条件とアクションの概要

表 1 標準のステートレス ファイアウォール フィルターを構成できるトラフィックの種類について説明します。

表 1: ACXシリーズルーターのプロトコルファミリー別の標準ファイアウォールフィルター一致条件

トラフィック タイプ

一致条件を指定する階層レベル

プロトコル非依存

[edit firewall family any filter filter-name term term-name]

ACXシリーズルーターでは、このトラフィックタイプに一致する条件はサポートされていません。

IPv4

[edit firewall family inet filter filter-name term term-name

一致条件の完全なリストについては、 IPv4トラフィックの一致条件(ACXシリーズルーター)を参照してください。

MPLS

[edit firewall family mpls filter filter-name term term-name]

一致条件の完全なリストについては、 MPLS トラフィックの一致条件(ACX シリーズルーター)を参照してください。

レイヤー 2 CCC

[edit firewall family ccc filter filter-name term term-name]

ACXシリーズルーターでは、このトラフィックタイプに一致する条件はサポートされていません。

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (ACX5048およびACX5096ルーターにのみ適用されます。

ACX5448ルーターでは、external-tcamの可用性に応じて、以下のイングレスファミリーフィルターを拡張できます。

  • 家族 ethernet-switching

  • 家族 ccc

  • 家族 inet

  • 家族 inet6

  • 家族 mpls

  • 家族 vpls

標準のステートレス ファイアウォール フィルター条件の then ステートメントでは、条件に一致するパケットに対して実行するアクションを指定できます。

表 2 は、標準のステートレス ファイアウォール フィルター条件で指定できるアクションの種類をまとめたものです。

表 2: ACXシリーズルーターの標準ファイアウォールフィルターアクションカテゴリー

アクションの種類

説明

コメント

終了

特定のパケットに対するファイアウォール フィルターのすべての評価を停止します。ルーターは指定されたアクションを実行し、パケットの検査に追加の用語は使用されません。

標準のファイアウォールフィルターで指定できる 終了アクション は 1 つだけです。ただし、1 つの用語に 1 つ以上の 非終了アクション を指定して、1 つの終了アクションを指定することができます。たとえば、用語内では、countsyslogaccept を指定できます。

「 終了アクション(ACXシリーズルーター)」を参照してください。

非終端

パケットに対して他の機能(カウンターの犯罪、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報の送信など)を実行しますが、追加の用語はパケットの検査に使用されます。

非終了アクション(ACXシリーズルーター)を参照してください。

ブリッジファミリーファイアウォールフィルター(ACXシリーズルーター)の一致条件

ACXシリーズルーターのブリッジファミリーファイアウォールフィルター

ブリッジファミリーファイアウォールフィルターは、ACXシリーズルーターのIFLファミリーレベルで設定できます。ブリッジ ファミリー フィルタは、サポートされている Layer2/Layer3 フィールドに基づいて L2 ブリッジ フローを照合し、ファイアウォール アクションを実行するために使用されます。ACX シリーズルーターのブリッジファイアウォールフィルターでサポートされる条件の最大数は 124 です。

注:

ACX5448 および ACX7000 シリーズ ルーターでは、ブリッジ ドメインに IRB がブリッジ ドメインに接続されている場合でも、レイヤー 2 スイッチ パケットにのみレイヤー 2 ファイアウォール フィルターを適用する必要があります。パケットがレイヤー 3 転送される場合、レイヤー 3 フィルターを IRB に適用する必要があります。

注:

ACX シリーズ ルーターでは、IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。

表 3 は、ブリッジ ファミリー フィルターでサポートされている一致条件を示しています。

表 3: ACXシリーズルーターのブリッジファミリーファイアウォールフィルター一致条件

一致条件

説明

グループを適用します

設定データを継承するグループを設定する

適用グループ-除く

設定データをブロードキャストしないグループを設定する

宛先MACアドレス

宛先MACアドレスを設定する

宛先ポート

TCP/UDP宛先ポートに一致します

destination-prefix-list

名前付きリストの IP 宛先プレフィックスに一致します。

ティッカー

差別化されたサービス (DiffServ) コード ポイントに一致します。

イーサタイプ

イーサネットのタイプに一致します

ICMPコード

ICMP メッセージ コードに一致します。

ICMPタイプ

ICMP メッセージの種類に一致します

interface-group

インターフェイスグループに一致

IP 宛先アドレス

IP 宛先アドレスに一致

IP 優先順位

IP 優先度値に一致

IP プロトコル

IP プロトコルの種類に一致します

IP送信元アドレス

IP 送信元アドレスに一致します。

learn-vlan-1p-priority

学習した802.1p VLANプライオリティに一致

learn-vlan-dei

ユーザー VLAN ID DEI ビットに一致

学習-VLAN ID

学習したVLAN IDに一致させる

送信元MACアドレス

送信元MACアドレスを設定する

source-prefix-list

名前付きリスト内のIPソースプレフィックスに一致します。

送信元ポート

TCP/UDP 送信元ポートに一致

ユーザー-VLAN-1P-優先度

ユーザー 802.1p VLAN プライオリティに一致

user-vlan-id

ユーザー VLAN ID に一致します

vlan-ether-type

VLANイーサネットタイプに一致

表 4 は、サポートされているアクションフィールドを示しています。

表 4: ACXシリーズルーターのブリッジファミリーファイアウォールフィルターアクションフィールド

アクションフィールド

説明

受け入れ

パケットを受け取る

count

名前付きカウンター内のパケットをカウントします

捨てる

パケットを破棄する

転送クラス

パケットを転送クラスに分類する

損失優先度

パケットの損失優先度

丸太

パケット ヘッダー情報をパケット転送エンジン内のバッファーに記録します。この情報にアクセスするには、コマンドライン インターフェイス(CLI)で show firewall log コマンドを発行します。

ポリサー

トラフィックのレート制限に使用するポリサーの名前

シスログ

パケットをシステム ログ ファイルに記録します。

3 色ポリサー

スリーコロポリサーを使用してパケットをポリシングする

注:

ブリッジ ファミリー ファイアウォール フィルターは、レイヤー 2 インターフェイスの出力フィルターとして適用できます。レイヤー2インターフェイスが vlan-id ステートメントで設定されたブリッジドメイン上にある場合、ACXシリーズルーターは、ブリッジファミリーファイアウォールフィルターで指定されたユーザーvlan-id一致を使用してパケットの外部vlanを照合できます。

CCCファイアウォールファミリーフィルター(ACXシリーズルーター)の一致条件

CCCファミリーファイアウォールフィルターの一致条件

ACXシリーズルーターでは、CCC(回線相互接続)トラフィック(ファミリーCCC)の一致条件を指定して、標準のファイアウォールフィルターを設定できます。

表 5 は、 [edit firewall family ccc filter filter-name term term-name] 階層レベルで設定できる一致条件を説明します。

表 5: ACXシリーズルーターのCCCファミリーファイアウォールフィルター一致条件

フィールド

説明

destination-mac-address

宛先MACアドレス

destination-port

TCP/UDP宛先ポートに一致します

dscp

差別化されたサービス (DiffServ) コード ポイントに一致します。

icmp-code

ICMPメッセージコードに一致します

icmp-type

ICMPメッセージタイプに一致します

ip-destination-address

宛先IPアドレスに一致

ip-precedence

IP 優先度値に一致します

ip-protocol

IPプロトコルタイプに一致します

ip-source-address

送信元 IP アドレスに一致します

learn-vlan-1p-priority

学習された802.1p VLAN優先度に一致

source-mac-address

送信元MACアドレス

source-port

TCP/UDP送信元ポートに一致します

user-vlan-1p-priority

ユーザー 802.1p VLAN プライオリティに一致

IPv4トラフィックの一致条件(ACXシリーズルーター)

ACXシリーズルーターでは、IPバージョン4( IPv4)トラフィック(family inet)の一致条件を使用して、標準のステートレスファイアウォールフィルターを設定できます。 表 6 に、 [edit firewall family inet filter filter-name term term-name from] 階層レベルで設定できる一致条件について説明します。

表 6: ACXシリーズルーターでのIPv4トラフィックのファイアウォールフィルター一致条件

一致条件

説明

destination-address address

IPv4宛先アドレスフィールドに一致します。

注:

ACX シリーズ ルーターでは、指定できる宛先アドレスは 1 つだけです。IPv4 宛先アドレスのリストはサポートされていません。

destination-port number

UDPまたはTCP宛先ポート フィールドに一致します。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protocol tcp一致ステートメントを設定することもお勧めします。

数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-prefix-list

名前付きリストの IP 宛先プレフィックスに一致します。

dscp number

DSCP(差別化されたサービスコードポイント)に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。

0 から 63 までの数値を指定できます。値を 16 進形式で指定するには、プレフィックスとして 0x を含めます。値を 2 進形式で指定するには、プレフィックスとして b を含めます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

fragment-flags number

(イングレスのみ)IPヘッダーの3ビットIPフラグメント化フラグフィールドに一致します。

数字フィールド値の代わりに、以下のキーワード(フィールド値も記載されています)のいずれかを指定します。dont-fragment (0x4)、more-fragments(0x2)、またはreserved (0x8)。

icmp-code number

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で protocol icmp一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:ip-header-bad (0)、required-option-missing (1)

  • redirect:redirect-for-host (1)、 redirect-for-network(0)、 redirect-for-tos-and-host(3)、 redirect-for-tos-and-net(2)

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • unreachable:communication-prohibited-by-filtering (13)、 destination-host-prohibited(10)、destination-host-unknown (7)、 destination-network-prohibited(9)、destination-network-unknown (6)、 fragmentation-needed(4)、host-precedence-violation (14)、 host-unreachable(1)、host-unreachable-for-TOS (12)、 network-unreachable(0)、network-unreachable-for-TOS (11)、 port-unreachable(3)、precedence-cutoff-in-effect (15)、 protocol-unreachable(2)、 source-host-isolated(8)、source-route-failed (5)

icmp-type number

ICMPメッセージタイプフィールドに一致します。

この一致条件を設定した場合、同じ条件で protocol icmp一致条件も設定することをお勧めします。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。echo-reply(0)echo-request、 (info-reply8)、 (1info-request6)、 (15)mask-reply、 mask-request(1parameter-problem7)、 (redirect18)router-advertisement、 (1router-solicit2)、 source-quench(5)time-exceeded、  (9)timestamp、 (1timestamp-reply0)、 (unreachable4)、 (11)、 (13)、 (14)、または (3)。

ip-options values

指定された値に、8ビットIPオプション フィールドを一致させます。

ACX シリーズ ルーターは、パケットが処理のためにパケット転送エンジンに送信されるようにする ip-options_any 一致条件のみをサポートします。

注:

ACX シリーズ ルーターでは、IP オプション値を 1 つだけ指定できます。複数の値を構成することはサポートされていません。

precedence ip-precedence-field

IP優先度フィールドに一致します。

数字フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp 0xa0)、flash 0x60)、flash-override (0x80)、immediate (0x40)、internet-control (0xc0)、net-control (0xe0)、priority (0x20)、または routine (0x00)。16進法、2進法、または10進法で優先度を指定できます。

protocol number

IPプロトコルタイプフィールドに一致します。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。dstopts( 60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 no-next-headerospf (89)、 pim (103)、 routingrsvp (46)、 sctp (132)、 tcp (6)、 udp  (17)、または vrrp (112)。

source-address address

パケットを送信する送信元ノードのIPv4アドレスに一致します。

source-port number

UDPまたはTCP送信元ポート フィールドに一致します。

IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protocol tcp一致ステートメントを設定することもお勧めします。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

source-prefix-list

名前付きリスト内のIPソースプレフィックスに一致します。

tcp-flags value

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、 tcp-initial 一致条件を参照してください。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 一protocol tcp致ステートメントを設定することもお勧めします。

tcp-initial

TCP接続の最初のパケットに一致します。これは、 tcp-flags "(!ack & syn)"のエイリアスです。

この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で protocol tcp一致条件も設定することをお勧めします。

ttl number

IPv4生存時間値に一致します。TTL値またはTTL値の範囲を指定します。number の場合、2 から 255 までの 1 つ以上の値を指定できます。

IPv6トラフィックの一致条件(ACXシリーズルーター)

Internet Protocol version 6( IPv6)トラフィック(family inet6)の一致条件を使用してファイアウォールフィルターを設定できます。 表 7 に、 [edit firewall family inet6 filter filter-name term term-name from] 階層レベルで設定できる一致条件について説明します。

表 7: IPv6トラフィックのファイアウォールフィルター一致条件

一致条件

説明

destination-address address

IPv6宛先アドレスフィールドに一致します。

destination-port number

UDPまたはTCP宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-prefix-list

名前付きリストの IP 宛先プレフィックスに一致します。

extension-headers header-type

次のヘッダー値を識別することによって、パケットに含まれる拡張ヘッダーの種類に一致します。

パケットの最初のフラグメントで、フィルターはいずれかの拡張ヘッダー タイプで一致を検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、他の拡張ヘッダーの位置は予測できないため、フィルターは次の拡張ヘッダー タイプの一致のみを検索します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)。

拡張ヘッダー オプションの 任意の 値に一致するには、テキスト シノニム anyを使用します。

注:

IPv6 パケットの最初の拡張ヘッダーのみを照合できます。1 つの IPv6 拡張ヘッダーを超える L4 ヘッダーが照合されます。

hop-limit hop-limit

ホップ制限を、指定されたホップ制限またはホップ制限のセットに一致させます。hop-limitの場合、0~255 の単一の値または値の範囲を指定します。

icmp-code message-code

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:ip6-header-bad( 0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • 宛先到達不能:administratively-prohibited( 1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-type message-type

ICMPメッセージタイプフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。certificate-path-advertisement (149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、 echo-reply (129)、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、 inverse-neighbor-discovery-advertisement (142)、 inverse-neighbor-discovery-solicitation (141)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、 neighbor-advertisement (1) 36)、 neighbor-solicit (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 private-experimentation-100 (100)、 private-experimentation-101 (101)、 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)、または time-exceeded (3)。

private-experimentation-201 (201) の場合、角括弧内の値の範囲を指定することもできます。

next-header header-type

パケットの最初の 8 ビットの Next Header フィールドに一致します。next-headerファイアウォール一致条件のサポートは、Junos OSリリース13.3R6以降で利用可能です。

IPv6では、一致条件でファイアウォールフィルターを設定する際に、next-header用語ではなく、payload-protocol用語を使用することを推奨します。どちらでも使用できますが、 payload-protocol は実際のペイロード プロトコルを使用して一致を見つけるのに対し、 next-header は IPv6 ヘッダーに続く最初のヘッダーに表示されるものをすべて取得するため、より信頼性の高い一致条件を提供します。さらに、IPv6 で next-header を使用すると、高速フィルター ブロックの検索プロセスはバイパスされ、代わりに標準フィルターが使用されます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah( 51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp  (17)、または vrrp (112)。

注:

next-header icmp6 および next-header icmpv6 一致条件は同じ機能を実行します。 next-header icmp6 が推奨されるオプションです。 next-header icmpv6 は、Junos OS CLI で非表示になっています。

source-address address

パケットを送信する送信元ノードのIPv6アドレスに一致します。

source-port number

UDPまたはTCP送信元ポート フィールドに一致します。

同じ項に portおよび source-port一致条件を指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

source-prefix-list

名前付きリスト内のIPソースプレフィックスに一致します。

tcp-flags flags

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、 tcp-establishedおよび tcp-initial一致条件を参照してください。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header tcp 一致条件を設定することもお勧めします。

tcp-initial

TCP接続の最初のパケットに一致します。これは tcp-flags "(!ack & syn)"のテキスト同義語です。

この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で next-header tcp一致条件も設定することをお勧めします。

traffic-class number

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールドに一致します。

このフィールドは、以前は IPv4 の type-of-service(ToS)フィールドとして使用されていました。

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

注:

一致条件( addressdestination-address、または source-address 一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング・アーキテクチャーで説明されているテキスト表現の構文  を使用してください。IPv6 アドレスの詳細については、「 IPv6 の概要 」および 「サポートされている IPv6 標準」を参照してください。

次に、ファイアウォール ファミリー inet6 の設定例を示します。

MPLSトラフィックの一致条件(ACXシリーズルーター)

ACX シリーズ ルーターでは、MPLS トラフィック(family mpls)の一致条件を使用して、標準のステートレス ファイアウォール フィルターを設定できます。

注:

mplsプロトコルファミリーのファイアウォールフィルターの input-list filter-names および output-list filter-names ステートメントは、管理インターフェイスと内部イーサネットインターフェイス(fxpまたはem0)、ループバックインターフェイス(lo0)、およびUSBモデムインターフェイス(umd)を除くすべてのインターフェイスでサポートされています。

表 8 は、 [edit firewall family mpls filter filter-name term term-name from] 階層レベルで設定できる一致条件を説明します。

表 8: ACX シリーズルーターでの MPLS トラフィックの標準ファイアウォールフィルター一致条件
一致条件 説明

exp number

MPLS ヘッダーの実験(EXP)ビット番号またはビット番号の範囲。number の場合、0 から 7 までの 1 つ以上の値を 10 進数、2 進数、または 16 進数形式で指定できます。

非終了アクション(ACXシリーズルーター)

標準のステートレス ファイアウォール フィルターは、プロトコル ファミリーごとに異なる非終了アクション セットをサポートします。

注:

ACXシリーズルーターは、 next term アクションをサポートしていません。

ACX シリーズ ルーターは、ファミリー inet とファミリー bridgeのイングレスおよびエグレス方向でのログおよび syslog アクションをサポートします。

ACX5448、ACX710および ACX7100 シリーズ ルーターは、エグレス方向での logsyslogrejectforwarding-classloss-priority をサポートしていません。イングレスおよびエグレス方向では、ルーターはインターフェイス固有のセマンティクスのみをサポートします。

表 9 標準のファイアウォールフィルター条件に設定できる非終了アクションについて説明します。

表 9: ACXシリーズルーターの標準ファイアウォールフィルターの非終了アクション

非終了アクション

説明

プロトコルファミリー

count counter-name

名前付きカウンター内のパケットをカウントします。

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

指定された転送クラスに基づいてパケットを分類します。

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

注:

このアクションは、イングレスでのみサポートされます。

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

パケット ヘッダー情報をパケット転送エンジン内のバッファーに記録します。この情報にアクセスするには、コマンド・ライン・インターフェース (CLI) で show firewall log コマンドを発行します。

注:

このアクションは、イングレスとエグレスでサポートされています。エグレスに対するアクションは、ファミリーinet6ではサポートされていません。

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

PLP(パケット損失の優先度)レベルを設定します。

また、同じファイアウォールフィルター条件に対して three-color-policer 非終了アクションを設定することもできません。これら 2 つの非終了アクションは相互に排他的です。

指定された 4 つのレベルのいずれかで PLP 設定をコミットするには、[edit class-of-service]階層レベルに tri-color ステートメントを含める必要があります。tri-color ステートメントが有効になっていない場合は、highレベルとlowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

tri-colorステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

注:

このアクションは、イングレスでのみサポートされます。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

トラフィックのレート制限に使用するポリサーの名前。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

指定されたファミリーに基づいてパケットをポートミラーリングします。

注:

このアクションは、イングレスでのみサポートされます。

ACX5048およびACX5096ルーターは、 port-mirrorをサポートしていません。

family inet

syslog

パケットをシステム ログ ファイルに記録します。

注:

このアクションは、イングレスとエグレスでサポートされています。エグレスに対するアクションは、ファミリーinet6ではサポートされていません。

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

指定された1レートまたは2レートの3カラーポリサーを使用してパケットをポリシングします。

同じファイアウォールフィルター条件に対して loss-priority アクションを設定することもできません。これら 2 つのアクションは相互に排他的です。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

トラフィッククラスコードポイントの設定

注:

このアクションは、イングレスでのみサポートされます。

family inet6

終了アクション(ACXシリーズルーター)

標準のステートレス ファイアウォール フィルターは、プロトコル ファミリーごとに異なる終了アクション セットをサポートします。

注:

ACXシリーズルーターは、 next term アクションをサポートしていません。

表 10 標準のファイアウォールフィルター条件で指定できる終了アクションを説明します。

表 10: ACX シリーズルーターの標準ファイアウォールフィルターの終了アクション

アクションの終了

説明

プロトコル

accept

パケットを受け取ります。

  • family any

  • family inet

  • family mpls

  • family ccc

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信することなく、気付かれることなくパケットを無効にします。破棄されたパケットは、ロギングとサンプリングに使用できます。

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。

  • メッセージ・タイプが指定されていない場合は、デフォルトで destination-unreachable メッセージが返されます。

  • メッセージ・タイプとして tcp-reset を指定した場合、パケットが TCP パケットである場合にのみ tcp-reset が返されます。それ以外の場合は、値 13 の administratively-prohibited メッセージが返されます。

  • 他のメッセージ・タイプが指定されている場合は、そのメッセージが返されます。

注:
  • 拒否されたパケットは、 sample または syslog アクションを設定した場合にサンプル化またはロギングすることができます。

  • このアクションは、イングレスでのみサポートされます。

message-type オプションには、次のいずれかの値を指定できます。address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failed、または tcp-reset

family inet

routing-instance routing-instance-name

指定されたルーティングインスタンスにパケットを送信します。

  • family inet