ファイアウォールフィルターの一致条件およびアクション(ACXシリーズルーター)
ACXシリーズユニバーサルメトロルーターでは、ファイアウォールフィルターを設定して、パケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行することができます。パケットをフィルタリングするために指定された一致条件は、フィルタリングされるトラフィックのタイプに固有です。
Junos OSリリース19.1R1のACX6360-ORルーターの firewall family inet6 filter name
階層レベルではサポートされていないIPv6一致条件のファイアウォールフィルター。
ACXシリーズルーターでは、既存のトラフィックに対するフィルター(egressフィルター)は、 ファイアウォールフィルターのインターフェイス固有のインスタンスに対してのみ適用できます。
ACX シリーズ ルーターでは、適用されたファイアウォール フィルターのプレフィックスまたは条件を変更すると、TCAM エラーが発生します。ファイアウォールフィルターのプレフィックスまたは用語を変更するには、既存のファイアウォールフィルターを削除してから、変更したフィルターを適用する必要があります。
ACX シリーズ ルーターでは、IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。
ACXシリーズルーターでのファイアウォールフィルターの一致条件とアクションの概要
表 1 標準のステートレス ファイアウォール フィルターを構成できるトラフィックの種類について説明します。
トラフィック タイプ |
一致条件を指定する階層レベル |
---|---|
プロトコル非依存 |
ACXシリーズルーターでは、このトラフィックタイプに一致する条件はサポートされていません。 |
IPv4 |
一致条件の完全なリストについては、 IPv4トラフィックの一致条件(ACXシリーズルーター)を参照してください。 |
MPLS |
一致条件の完全なリストについては、 MPLS トラフィックの一致条件(ACX シリーズルーター)を参照してください。 |
レイヤー 2 CCC |
ACXシリーズルーターでは、このトラフィックタイプに一致する条件はサポートされていません。 |
橋 |
|
ACX5448ルーターでは、external-tcamの可用性に応じて、以下のイングレスファミリーフィルターを拡張できます。
家族
ethernet-switching
家族
ccc
家族
inet
家族
inet6
家族
mpls
家族
vpls
標準のステートレス ファイアウォール フィルター条件の then
ステートメントでは、条件に一致するパケットに対して実行するアクションを指定できます。
表 2 は、標準のステートレス ファイアウォール フィルター条件で指定できるアクションの種類をまとめたものです。
アクションの種類 |
説明 |
コメント |
---|---|---|
終了 |
特定のパケットに対するファイアウォール フィルターのすべての評価を停止します。ルーターは指定されたアクションを実行し、パケットの検査に追加の用語は使用されません。 標準のファイアウォールフィルターで指定できる 終了アクション は 1 つだけです。ただし、1 つの用語に 1 つ以上の 非終了アクション を指定して、1 つの終了アクションを指定することができます。たとえば、用語内では、 |
「 終了アクション(ACXシリーズルーター)」を参照してください。 |
非終端 |
パケットに対して他の機能(カウンターの犯罪、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報の送信など)を実行しますが、追加の用語はパケットの検査に使用されます。 |
非終了アクション(ACXシリーズルーター)を参照してください。 |
ブリッジファミリーファイアウォールフィルター(ACXシリーズルーター)の一致条件
ACXシリーズルーターのブリッジファミリーファイアウォールフィルター
ブリッジファミリーファイアウォールフィルターは、ACXシリーズルーターのIFLファミリーレベルで設定できます。ブリッジ ファミリー フィルタは、サポートされている Layer2/Layer3 フィールドに基づいて L2 ブリッジ フローを照合し、ファイアウォール アクションを実行するために使用されます。ACX シリーズルーターのブリッジファイアウォールフィルターでサポートされる条件の最大数は 124 です。
ACX5448 および ACX7000 シリーズ ルーターでは、ブリッジ ドメインに IRB がブリッジ ドメインに接続されている場合でも、レイヤー 2 スイッチ パケットにのみレイヤー 2 ファイアウォール フィルターを適用する必要があります。パケットがレイヤー 3 転送される場合、レイヤー 3 フィルターを IRB に適用する必要があります。
ACX シリーズ ルーターでは、IRB インターフェイスのエグレス方向にファイアウォール フィルターを適用することはできません。
表 3 は、ブリッジ ファミリー フィルターでサポートされている一致条件を示しています。
一致条件 |
説明 |
---|---|
グループを適用します |
設定データを継承するグループを設定する |
適用グループ-除く |
設定データをブロードキャストしないグループを設定する |
宛先MACアドレス |
宛先MACアドレスを設定する |
宛先ポート |
TCP/UDP宛先ポートに一致します |
|
名前付きリストの IP 宛先プレフィックスに一致します。 |
ティッカー |
差別化されたサービス (DiffServ) コード ポイントに一致します。 |
イーサタイプ |
イーサネットのタイプに一致します |
ICMPコード |
ICMP メッセージ コードに一致します。 |
ICMPタイプ |
ICMP メッセージの種類に一致します |
interface-group |
インターフェイスグループに一致 |
IP 宛先アドレス |
IP 宛先アドレスに一致 |
IP 優先順位 |
IP 優先度値に一致 |
IP プロトコル |
IP プロトコルの種類に一致します |
IP送信元アドレス |
IP 送信元アドレスに一致します。 |
learn-vlan-1p-priority |
学習した802.1p VLANプライオリティに一致 |
learn-vlan-dei |
ユーザー VLAN ID DEI ビットに一致 |
学習-VLAN ID |
学習したVLAN IDに一致させる |
送信元MACアドレス |
送信元MACアドレスを設定する |
|
名前付きリスト内のIPソースプレフィックスに一致します。 |
送信元ポート |
TCP/UDP 送信元ポートに一致 |
ユーザー-VLAN-1P-優先度 |
ユーザー 802.1p VLAN プライオリティに一致 |
user-vlan-id |
ユーザー VLAN ID に一致します |
vlan-ether-type |
VLANイーサネットタイプに一致 |
表 4 は、サポートされているアクションフィールドを示しています。
アクションフィールド |
説明 |
---|---|
受け入れ |
パケットを受け取る |
count |
名前付きカウンター内のパケットをカウントします |
捨てる |
パケットを破棄する |
転送クラス |
パケットを転送クラスに分類する |
損失優先度 |
パケットの損失優先度 |
丸太 |
パケット ヘッダー情報をパケット転送エンジン内のバッファーに記録します。この情報にアクセスするには、コマンドライン インターフェイス(CLI)で show firewall log コマンドを発行します。 |
ポリサー |
トラフィックのレート制限に使用するポリサーの名前 |
シスログ |
パケットをシステム ログ ファイルに記録します。 |
3 色ポリサー |
スリーコロポリサーを使用してパケットをポリシングする |
ブリッジ ファミリー ファイアウォール フィルターは、レイヤー 2 インターフェイスの出力フィルターとして適用できます。レイヤー2インターフェイスが vlan-id
ステートメントで設定されたブリッジドメイン上にある場合、ACXシリーズルーターは、ブリッジファミリーファイアウォールフィルターで指定されたユーザーvlan-id一致を使用してパケットの外部vlanを照合できます。
CCCファイアウォールファミリーフィルター(ACXシリーズルーター)の一致条件
CCCファミリーファイアウォールフィルターの一致条件
ACXシリーズルーターでは、CCC(回線相互接続)トラフィック(ファミリーCCC)の一致条件を指定して、標準のファイアウォールフィルターを設定できます。
表 5 は、 [edit firewall family ccc filter filter-name term term-name]
階層レベルで設定できる一致条件を説明します。
フィールド |
説明 |
---|---|
|
宛先MACアドレス |
|
TCP/UDP宛先ポートに一致します |
|
差別化されたサービス (DiffServ) コード ポイントに一致します。 |
|
ICMPメッセージコードに一致します |
|
ICMPメッセージタイプに一致します |
|
宛先IPアドレスに一致 |
|
IP 優先度値に一致します |
|
IPプロトコルタイプに一致します |
|
送信元 IP アドレスに一致します |
|
学習された802.1p VLAN優先度に一致 |
|
送信元MACアドレス |
|
TCP/UDP送信元ポートに一致します |
|
ユーザー 802.1p VLAN プライオリティに一致 |
IPv4トラフィックの一致条件(ACXシリーズルーター)
ACXシリーズルーターでは、IPバージョン4( IPv4)トラフィック(family inet
)の一致条件を使用して、標準のステートレスファイアウォールフィルターを設定できます。 表 6 に、 [edit firewall family inet filter filter-name term term-name from]
階層レベルで設定できる一致条件について説明します。
一致条件 |
説明 |
---|---|
|
IPv4宛先アドレスフィールドに一致します。 注:
ACX シリーズ ルーターでは、指定できる宛先アドレスは 1 つだけです。IPv4 宛先アドレスのリストはサポートされていません。 |
|
UDPまたはTCP宛先ポート フィールドに一致します。 この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。 |
|
名前付きリストの IP 宛先プレフィックスに一致します。 |
|
DSCP(差別化されたサービスコードポイント)に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。 0 から 63 までの数値を指定できます。値を 16 進形式で指定するには、プレフィックスとして 0x を含めます。値を 2 進形式で指定するには、プレフィックスとして b を含めます。 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。
|
|
(イングレスのみ)IPヘッダーの3ビットIPフラグメント化フラグフィールドに一致します。 数字フィールド値の代わりに、以下のキーワード(フィールド値も記載されています)のいずれかを指定します。 |
|
ICMPメッセージコードフィールドに一致します。 この一致条件を設定した場合、同じ条件で この一致条件を設定する場合、同じ条件で 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。
|
|
ICMPメッセージタイプフィールドに一致します。 この一致条件を設定した場合、同じ条件で 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 |
|
指定された値に、8ビットIPオプション フィールドを一致させます。 ACX シリーズ ルーターは、パケットが処理のためにパケット転送エンジンに送信されるようにする 注:
ACX シリーズ ルーターでは、IP オプション値を 1 つだけ指定できます。複数の値を構成することはサポートされていません。 |
|
IP優先度フィールドに一致します。 数字フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 |
|
IPプロトコルタイプフィールドに一致します。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 |
|
パケットを送信する送信元ノードのIPv4アドレスに一致します。 |
|
UDPまたはTCP送信元ポート フィールドに一致します。 IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 数値の代わりに、 |
|
名前付きリスト内のIPソースプレフィックスに一致します。 |
|
TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。 個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。
TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。 ビットフィールド論理演算子を使用して複数のフラグを結合できます。 組み合わせたビットフィールド一致条件については、 この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 一 |
|
TCP接続の最初のパケットに一致します。これは、 この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で |
|
IPv4生存時間値に一致します。TTL値またはTTL値の範囲を指定します。 |
IPv6トラフィックの一致条件(ACXシリーズルーター)
Internet Protocol version 6( IPv6)トラフィック(family inet6
)の一致条件を使用してファイアウォールフィルターを設定できます。 表 7 に、 [edit firewall family inet6 filter filter-name term term-name from]
階層レベルで設定できる一致条件について説明します。
一致条件 |
説明 |
|
---|---|---|
|
IPv6宛先アドレスフィールドに一致します。 |
|
|
UDPまたはTCP宛先ポート フィールドに一致します。 同じ条件に この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。 |
|
|
名前付きリストの IP 宛先プレフィックスに一致します。 |
|
|
次のヘッダー値を識別することによって、パケットに含まれる拡張ヘッダーの種類に一致します。 パケットの最初のフラグメントで、フィルターはいずれかの拡張ヘッダー タイプで一致を検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、他の拡張ヘッダーの位置は予測できないため、フィルターは次の拡張ヘッダー タイプの一致のみを検索します。 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 拡張ヘッダー オプションの 任意の 値に一致するには、テキスト シノニム 注:
IPv6 パケットの最初の拡張ヘッダーのみを照合できます。1 つの IPv6 拡張ヘッダーを超える L4 ヘッダーが照合されます。 |
|
|
ホップ制限を、指定されたホップ制限またはホップ制限のセットに一致させます。 |
|
|
ICMPメッセージコードフィールドに一致します。 この一致条件を設定した場合、同じ条件で この一致条件を設定する場合、同じ条件で 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。
|
|
|
ICMPメッセージタイプフィールドに一致します。 この一致条件を設定した場合、同じ条件で 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。
|
|
|
パケットの最初の 8 ビットの Next Header フィールドに一致します。 IPv6では、一致条件でファイアウォールフィルターを設定する際に、 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 注:
|
|
|
パケットを送信する送信元ノードのIPv6アドレスに一致します。 |
|
|
UDPまたはTCP送信元ポート フィールドに一致します。 同じ項に この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 数値の代わりに、 |
|
|
名前付きリスト内のIPソースプレフィックスに一致します。 |
|
|
TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。 個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。
TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。 ビットフィールド論理演算子を使用して複数のフラグを結合できます。 組み合わせたビットフィールド一致条件については、 この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で |
|
|
TCP接続の最初のパケットに一致します。これは この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で |
|
|
パケットのサービスクラス(CoS)優先度を指定する8ビットフィールドに一致します。 このフィールドは、以前は IPv4 の type-of-service(ToS)フィールドとして使用されていました。
数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。
|
一致条件( address
、 destination-address
、または source-address
一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング・アーキテクチャーで説明されているテキスト表現の構文 を使用してください。IPv6 アドレスの詳細については、「 IPv6 の概要 」および 「サポートされている IPv6 標準」を参照してください。
次に、ファイアウォール ファミリー inet6 の設定例を示します。
user@host# show firewall family inet6 filter ipv6-filter { term t1 { from { source-address { 2001:0000:0020:0020:0000:0000:0000:0150/128; } destination-address { 2001:0000:0040:0040:0000:0000:0000:0150/128; } next-header tcp; source-port 1000; destination-port 2000; extension-header dstopts; traffic-class ef; tcp-flags 0x20; hop-limit 254; } then count ipv6-t1-count; } term t2 { from { icmp-type neighbor-solicit; } then count ipv6-t2-count; } }
MPLSトラフィックの一致条件(ACXシリーズルーター)
ACX シリーズ ルーターでは、MPLS トラフィック(family mpls
)の一致条件を使用して、標準のステートレス ファイアウォール フィルターを設定できます。
mpls
プロトコルファミリーのファイアウォールフィルターの input-list filter-names
および output-list filter-names
ステートメントは、管理インターフェイスと内部イーサネットインターフェイス(fxp
またはem0
)、ループバックインターフェイス(lo0
)、およびUSBモデムインターフェイス(umd
)を除くすべてのインターフェイスでサポートされています。
表 8 は、 [edit firewall family mpls filter filter-name term term-name from]
階層レベルで設定できる一致条件を説明します。
一致条件 | 説明 |
---|---|
|
MPLS ヘッダーの実験(EXP)ビット番号またはビット番号の範囲。 |
非終了アクション(ACXシリーズルーター)
標準のステートレス ファイアウォール フィルターは、プロトコル ファミリーごとに異なる非終了アクション セットをサポートします。
ACXシリーズルーターは、 next term
アクションをサポートしていません。
ACX シリーズ ルーターは、ファミリー inet とファミリー bridgeのイングレスおよびエグレス方向でのログおよび syslog アクションをサポートします。
ACX5448、ACX710および ACX7100 シリーズ ルーターは、エグレス方向での log、 syslog、 reject、 forwarding-class、 loss-priority をサポートしていません。イングレスおよびエグレス方向では、ルーターはインターフェイス固有のセマンティクスのみをサポートします。
表 9 標準のファイアウォールフィルター条件に設定できる非終了アクションについて説明します。
非終了アクション |
説明 |
プロトコルファミリー |
---|---|---|
|
名前付きカウンター内のパケットをカウントします。 |
|
|
指定された転送クラスに基づいてパケットを分類します。
注:
このアクションは、イングレスでのみサポートされます。 |
|
|
パケット ヘッダー情報をパケット転送エンジン内のバッファーに記録します。この情報にアクセスするには、コマンド・ライン・インターフェース (CLI) で 注:
このアクションは、イングレスとエグレスでサポートされています。エグレスに対するアクションは、ファミリーinet6ではサポートされていません。 |
|
|
PLP(パケット損失の優先度)レベルを設定します。 また、同じファイアウォールフィルター条件に対して 指定された 4 つのレベルのいずれかで PLP 設定をコミットするには、
注:
このアクションは、イングレスでのみサポートされます。 |
|
|
トラフィックのレート制限に使用するポリサーの名前。 |
|
|
指定されたファミリーに基づいてパケットをポートミラーリングします。 注:
このアクションは、イングレスでのみサポートされます。 ACX5048およびACX5096ルーターは、 port-mirrorをサポートしていません。 |
|
|
パケットをシステム ログ ファイルに記録します。 注:
このアクションは、イングレスとエグレスでサポートされています。エグレスに対するアクションは、ファミリーinet6ではサポートされていません。 |
|
|
指定された1レートまたは2レートの3カラーポリサーを使用してパケットをポリシングします。 同じファイアウォールフィルター条件に対して |
|
traffic-class |
トラフィッククラスコードポイントの設定 注:
このアクションは、イングレスでのみサポートされます。 |
|
終了アクション(ACXシリーズルーター)
標準のステートレス ファイアウォール フィルターは、プロトコル ファミリーごとに異なる終了アクション セットをサポートします。
ACXシリーズルーターは、 next term
アクションをサポートしていません。
表 10 標準のファイアウォールフィルター条件で指定できる終了アクションを説明します。
アクションの終了 |
説明 |
プロトコル |
---|---|---|
|
パケットを受け取ります。 |
|
|
インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信することなく、気付かれることなくパケットを無効にします。破棄されたパケットは、ロギングとサンプリングに使用できます。 |
|
|
パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。
注:
|
|
|
指定されたルーティングインスタンスにパケットを送信します。 |
|