ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルターの一致条件とアクション

Junos OS Evolvedを実行しているACXシリーズルーターのイングレスおよびエグレス方向でサポートされているファイアウォールフィルターの一致条件とアクション

ファイアウォールフィルターの各用語は、 一致条件 と アクションで構成されます。一致条件とは、一致と見なされるためにパケットに含まれる必要のあるフィールドと値です。match ステートメントでは、単一または複数の一致条件を定義できます。また、no match ステートメントを含めることもできます。その場合、条件はすべてのパケットに一致します。

パケットがフィルタに一致すると、スイッチは条件で指定されたアクションを実行します。さらに、アクション修飾子を指定して、パケットのカウント、ミラーリング、レート制限、分類を行うことができます。条件に一致する条件が指定されていない場合、スイッチはデフォルトでパケットを受け入れます。およびを参照表 1してください表 2。

表 1: Junos OS Evolvedを実行しているACXシリーズルーターのイングレスおよびエグレス方向でサポートされているファイアウォールフィルター一致条件
一致条件	説明	イングレス	出口	ファイアウォールフィルターファミリー(イングレス)	ファイアウォールフィルターファミリー(エグレス)
宛先アドレス IP 宛先アドレス	パケットの最終宛先ノードアドレスである IPv4 アドレス。イーサネットスイッチングとCCCファミリーに `ip-destination-address` を使用	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC	IPv4 および IPv6
送信元アドレス IP送信元アドレス	パケットを送信する送信元ノードの IPv4 アドレス。イーサネットスイッチングとCCCファミリーに `ip-source-address` を使用	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC	IPv4
宛先プレフィックスリスト	IP 宛先プレフィックスリストフィールドです。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 `[edit policy-options]` 階層レベルで定義します。	◯	◯	IPv4、IPv6、およびイーサネットスイッチング	IPv4, IPv6
ソースプレフィックスリスト	IP ソースプレフィックスリスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 `[edit policy-options]` 階層レベルで定義します。	◯	◯	IPv4、IPv6、およびイーサネットスイッチング	IPv4
宛先ポート	TCPまたはUDP宛先ポートフィールド。通常、この一致は `protocol` 一致ステートメントと組み合わせて指定します。次の既知のポートでは、テキスト同義語を指定できます(ポート番号もリストされています)。 `afs (1483)`、 `bgp (179)`、 `biff (512)`、 `bootpc (68)`、 `bootps (67)`、 `cmd (514)`、 `cvspserver (2401)`、 `dhcp (67)`、 `domain (53)`、 `eklogin (2105)`、 `ekshell (2106)`、 `exec (512)`、 `finger (79)`、 `ftp (21)`、 `ftp-data (20)`、 `http (80)`、 `https (443)`、 `ident (113)`、 `imap (143)`、 `kerberos-sec (88)`、 `klogin (543)`、 `kpasswd (761)`、 `krb-prop (754)`、 `krbupdate (760)`、 `kshell (544)`、 `ldap (389)`、 `login (513)`、 `mobileip-agent (434)`、 `mobilip-mn (435)`、 `msdp (639)`、 `netbios-dgm (138)`、 `netbios-ns (137)`、 `netbios-ssn (139)`、 `nfsd (2049)`、 `nntp (119)`、 `ntalk (518)`、 `ntp (123)`、 `pop3 (110)`、 `pptp (1723)`、 `printer (515)`、 `radacct (1813)`、`radius (1812)`、 `rip (520)`、 `rkinit (2108)`、 `smtp (25)`、 `snmp (161)`、 `snmptrap (162)`、 `snpp (444)`、 `socks (1080)`、 `ssh (22)`、 `sunrpc (111)`、 `syslog (514)`、 `tacacs-ds (65)`、 `talk (517)`、 `telnet (23)`、 `tftp (69)`、 `timed (525)`、 `who (513)`、 `xdmcp (177)`、 `zephyr-clt (2103)`、`zephyr-hm (2104)`	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC	IPv4、IPv6、イーサネットスイッチング、CCC
送信元ポート	TCP または UDP 送信元ポート通常、この一致は `protocol` 一致ステートメントと組み合わせて指定します。数値フィールドの代わりに、の下に記載されているテキストシノニムの 1 つを指定します`destination-port`。	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC	IPv4、IPv6、イーサネットスイッチング、CCC
protocol IP プロトコル	IPプロトコルフィールドイーサネットスイッチングとCCCファミリーに `ip-protocol` を使用	◯	◯	IPv4、イーサネットスイッチング、CCC	IPv4、イーサネットスイッチング、CCC
最初のフラグメント	パケットがフラグメントパケットの最初のフラグメントである場合に一致します。フラグメントパケットの追跡フラグメントである場合のパケットの一致を回避する。フラグメントパケットの最初のフラグメントのフラグメントオフセット値は 0 です。この一致条件は、ビットフィールド一致条件フラグメントオフセット0一致条件のエイリアスです。最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます: `first-fragment` と `is-fragment`。	◯	なし	IPv4	該当なし
ICMPコード	ICMP コードフィールドです。値の意味は関連する `icmp-type`によって異なるため、 `icmp-type` の値と `icmp-code`の値を指定する必要があります。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。 IPv4: parameter-problem—`ip-header-bad (0)`、 `required-option-missing (1)` IPv6: parameter-problem—`ip6-header-bad (0)`、 `unrecognized-next-header (1)`、 `unrecognized-option (2)` `redirect`—`redirect-for-network (0)`、 `redirect-for-host (1)`、 `redirect-for-tos-and-net (2)`、 `redirect-for-tos-and-host (3)` `time-exceeded`—`ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)` IPv4: 到達不能—`network-unreachable (0)`、 `host-unreachable (1)`、 `protocol-unreachable (2)`、 `port-unreachable (3)`、 `fragmentation-needed (4)`、 `source-route-failed (5)`、 `destination-network-unknown (6)`、 `destination-host-unknown (7)`、 `source-host-isolated (8)`、 `destination-network-prohibited (9)`、 `destination-host-prohibited (10)`、 `network-unreachable-for-TOS (11)`、 `host-unreachable-for-TOS (12)`、 `communication-prohibited-by-filtering (13)`、 `host-precedence-violation (14)`、 `precedence-cutoff-in-effect (15)` IPv6: 到達不能—`address-unreachable (3)`、 `administratively-prohibited (1)`、 `no-route-to-destination (0)`、 `port-unreachable (4)`	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC	IPv4、IPv6、イーサネットスイッチング、CCC
ICMPタイプ	ICMP メッセージタイプフィールドです。通常、 `protocol` 一致ステートメントと合わせてこの一致を指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 IPv4: `echo-reply (0)`、 `destination unreachable (3)`、 `source-quench (4)`、 `redirect (5)`、 `echo-request (8)`、 `IPv4 (inet)-advertisement (9)`、 `IPv4 (inet)-solicit (10)`、 `time-exceeded (11)`、 `parameter-problem (12)`、 `timestamp (13)`、 `timestamp-reply (14)`、 `info-request (15)`、 `info-reply (16)`、 `mask-request (17)`、 `mask-reply (18)` IPv6: `destination-unreachable (1)`、 `packet-too-big (2)`、 `time-exceeded (3)`、 `parameter-problem (4)`、 `echo-request (128)`、 `echo-reply (129)`、 `membership-query (130)`、 `membership-report (131)`、 `membership-termination (132)`、 `router-solicit (133)`、 `router-advertisement (134)`、 `neighbor-solicit (135)`、 `neighbor-advertisement (136)`、 `redirect (137)`、 `router-renumbering (138)`、 `node-information-request (139)`、 `node-information-reply (140)` `icmp-code variable`も参照してください。	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC	IPv4、IPv6、イーサネットスイッチング、CCC
IP オプション	IP ヘッダーのオプションフィールドに何かが指定されている場合に一致を作成する `any` を指定します。	◯	なし	IPv4	該当なし
順位 IP 優先順位	IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。`critical-ecp` (0xa0)、 `flash` (0x60)、 `flash-override` (0x80)、 `immediate` (0x40)、 `internet-control` (0xc0)、 `net-control` (0xe0)、 `priority` (0x20)、または `routine` (0x00)。イーサネットスイッチングとCCCファミリーには `ip-precedence` を使用します。	◯	なし	IPv4、イーサネットスイッチング、CCC	該当なし
IS-fragment	この条件を使用すると、IPヘッダーでMore Fragmentsフラグが有効になっている場合、またはフラグメントオフセットがゼロではない場合に一致します。	◯	なし	IPv4	該当なし
TCP確立	確立されたTCPスリーウェイハンドシェイク接続(SYN、SYN-ACK、ACK)のパケットを照合します。一致しない唯一のパケットは、SYNビットのみが設定されているため、ハンドシェイクの最初のパケットです。このパケットでは、一致条件として `tcp-initial` を指定する必要があります。 `tcp-established` を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。`protocol tcp`一致条件も指定する必要があります。	◯	◯	IPv4 および IPv6	IPv4 および IPv6
tcp フラグ	1 つ以上の TCP フラグ: `ack (0x10)` `fin (0x01)` `push (0x08)` `rst (0x04)` `syn (0x02)` `urgent (0x20)`	◯	なし	IPv4 および IPv6	該当なし
tcp イニシャル	接続の最初の TCP パケットに一致します。TCP フラグ `SYN` が設定され、TCP フラグ `ACK` が設定されていない場合、一致が発生します。 `tcp-initial` を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。`protocol tcp`一致条件も指定する必要があります。	◯	なし	IPv4 および IPv6	該当なし
ティッカー	10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。	◯	◯	IPv4	IPv4
宛先MACアドレス	パケットの宛先MACアドレス。	◯	◯	イーサネットスイッチングとCCC	イーサネットスイッチングとCCC
送信元MACアドレス	パケットの送信元メディアアクセス制御(MAC)アドレス	◯	◯	イーサネットスイッチングとCCC	イーサネットスイッチングとCCC
ティッカー	差別化されたサービスコードポイント（DSCP）です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。 DSCPは、16進法、2進法、または10進法で指定できます。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 `be`- ベストエフォート(デフォルト) `ef (46)`- RFC 3246, An Expeded Forwarding PHBで定義されています。 `af11 (10)`、 `af12 (12)`、 `af13 (14)`; `af21 (18)`、 `af22 (20)`、 `af23 (22)`; `af31 (26)`、 `af32 (28)`、 `af33 (30)`; `af41 (34)`、 `af42 (36)`、 `af43 (38)` これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコードポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。 `cs0`、 `cs1`、 `cs2`、 `cs3`、 `cs4`、 `cs5`、 `cs6`、 `cs7`、 `cs5`	◯	◯	IPv4、イーサネットスイッチング、CCC	IPv4、イーサネットスイッチング、CCC
イーサタイプ	パケットのイーサネットタイプフィールドです。EtherType 値は、イーサネットフレームで転送されるプロトコルを指定します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 `aarp (0x80F3)`- イーサタイプ値 AARP `appletalk (0x809B)`- EtherType 値アップルトーク `arp (0x0806)`- イーサタイプ値ARP `fcoe (0x8906)`- イーサタイプ値 FCoE `fip (0x8914)`- イーサタイプ値 FIP `ipv4 (0x0800)`- イーサタイプ値 IPv4 `ipv6 (0x08DD)`- イーサタイプ値 IPv6 `mpls-multicast (0x8848)`- EtherType値MPLSマルチキャスト `mpls-unicast (0x8847)`- イーサタイプ値MPLSユニキャスト `oam (0x88A8)`- イーサタイプ値 OAM `ppp (0x880B)`- イーサタイプ値 PPP `pppoe-discovery (0x8863)`- EtherType値PPPoEディスカバリーステージ `pppoe-session (0x8864)`- EtherType 値 PPPoE セッションステージ `sna (0x80D5)`- イーサタイプ値 SNA	◯	◯	イーサネットスイッチングとCCC	イーサネットスイッチングとCCC
learn-vlan-1p-priority	プロバイダVLANタグのIEEE 802.1p学習VLAN優先度ビット(802.1Q VLANタグを持つ単一タグフレーム内の唯一のタグ、または802.1Q VLANタグを持つ二重タグフレーム内の外部タグ)に一致します。単一の値または0から7までの複数の値を指定してください。	◯	◯	イーサネットスイッチングとCCC	イーサネットスイッチングとCCC
ユーザー-VLAN-1P-優先度	`0-7`の範囲で指定された802.1p VLAN優先度に一致します。	◯	◯	イーサネットスイッチングとCCC	イーサネットスイッチングとCCC
経験値	MPLS EXP ビットに一致します。	◯	なし	MPLS	該当なし
ラベル	MPLSラベルビットに一致します。	◯	なし	MPLS	該当なし
トラフィッククラス	パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィッククラスフィールドは、DSCP(DiffServ コードポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。 `af11 (10)`、 `af12 (12)`、 `af13 (14)`、 `af21 (18)`、 `af22 (20)`、 `af23 (22)`、 `af31 (26)`、 `af32 (28)`、 `af33 (30)`、 `af41 (34)`、 `af42 (36)`、 `af43 (38)`、 `cs0 (0)`、 `cs1 (8)`、 `cs2 (16)`、 `cs3 (24)`、 `cs4 (32)`、 `cs5 (40)`、 `cs6 (48)`、 `cs7 (56)`、 `ef (46)`	◯	◯	IPv6	IPv6
ホップ制限	指定されたホップ制限またはホップ制限のセットに一致します。単一の値または0から255の値の範囲を指定してください。	◯	◯	IPv6	IPv6
ネクストヘッダー	IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。 `hop-by-hop (0)`、`icmp (1)`、 `icmp6 (58)`、 `igmp (2)`、 `ipip (4)`、 `tcp (6)`、 `egp (8)`、 `udp (17)`、 `ipv6 (41)`、 `routing (43)`、 `fragment (44)`、`rsvp (46)`、 `gre (47)`、 `esp (50)`、 `ah (51)`、 `icmp6 (58)`、 `no-next-header (59)`、 `dstopts (60)`、 `ospf (89)`、 `pim (103)`、 `vrrp (112)`、 `sctp (132)`	◯	◯	IPv6	IPv6

表 2: Junos OS Evolvedを実行しているACXプラットフォームで、イングレスおよびエグレス方向でサポートされているファイアウォールフィルターアクション
アクション	説明	イングレス	出口	ファイアウォールフィルターファミリー(イングレス)	ファイアウォールフィルターファミリー(エグレス)
count	条件に一致するパケットの数をカウントします。	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC、MPLS、その他	IPv4、IPv6、イーサネットスイッチング、CCC、その他
捨てる	インターネット制御メッセージプロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC、MPLS、その他	IPv4、IPv6、イーサネットスイッチング、CCC、その他
丸太	パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 `show firewall log` 動作モードコマンドを入力します。	◯	なし	IPv4 および IPv6	該当なし
転送クラス	パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。 `best-effort` `fcoe` `mcast` `network-control` `no-loss` 注：転送クラスを設定するには、損失の優先度も設定する必要があります。	◯	なし	IPv4、IPv6、イーサネットスイッチング、CCC、MPLS	該当なし
ネクストインターフェイス	指定された発信インターフェイスにパケットを送信します。	◯	なし	IPv4 および IPv6	該当なし
損失優先度	PLP(パケット損失の優先度)レベルを設定します。また、同じファイアウォールフィルター条件に対して `three-color-policer` 非終了アクションを設定することもできません。これら 2 つの非終了アクションは相互に排他的です。	◯	なし	IPv4、IPv6、イーサネットスイッチング、CCC、MPLS	該当なし
ネクストIP	指定された宛先 IPv4 アドレスにパケットを送信します。	◯	なし	◯	該当なし
ネクストIP6	指定された宛先 IPv6 アドレスにパケットを送信します。	◯	なし	IPv6	該当なし
ポリサー	トラフィックのレート制限に使用するポリサーの名前。	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC、MPLS、その他	IPv4、IPv6、イーサネットスイッチング、CCCなど
拒む	パケットを破棄し、「宛先到達不能」ICMPv4メッセージ(タイプ3)を送信します。拒否されたパケットをログに記録するには、 `syslog` アクション修飾子を設定します。以下のいずれかのメッセージ・タイプを指定できます。 administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または `tcp-reset`。 `tcp-reset` を指定した場合、パケットが TCP パケットの場合は TCP リセットを送信します。それ以外の場合は何も送信されません。メッセージタイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。	◯	なし	IPv4 および IPv6	該当なし
シスログ	このパケットのアラートをログに記録します。	◯	なし	IPv4 および IPv6	該当なし
サンプル	パケットトラフィックをサンプルします。このオプションは、トラフィックサンプリングを有効にしている場合にのみ適用してください。	◯	なし	IPv4 および IPv6	該当なし
3 色ポリサー	3 カラーポリサーにパケットを送信します(レート制限を適用するため)。	◯	◯	IPv4、IPv6、イーサネットスイッチング、CCC、MPLS、その他	IPv4、IPv6、イーサネットスイッチング、CCCなど