이 페이지에서

ACX 시리즈 라우터의 방화벽 필터 일치 조건 및 작업 개요
브리지 제품군 방화벽 필터(ACX 시리즈 라우터)의 일치 조건
CCC 방화벽 제품군 필터(ACX 시리즈 라우터)의 일치 조건
IPv4 트래픽 일치 조건(ACX 시리즈 라우터)
IPv6 트래픽 일치 조건(ACX 시리즈 라우터)
MPLS 트래픽에 대한 일치 조건(ACX 시리즈 라우터)
비 종료 작업(ACX 시리즈 라우터)
종료 작업(ACX 시리즈 라우터)

방화벽 필터 일치 조건 및 작업(ACX 시리즈 라우터)

ACX 시리즈 유니버설 메트로 라우터에서는 방화벽 필터를 구성하여 패킷을 필터링하고 필터와 일치하는 패킷에 대해 작업을 수행할 수 있습니다. 패킷을 필터링하기 위해 지정된 일치 조건은 필터링되는 트래픽 유형에 따라 다릅니다.

Junos OS 릴리스 19.1R1에서 ACX6360-OR 라우터의 firewall family inet6 filter name 계층 수준에서 지원되지 않는 IPv6 일치 조건의 방화벽 필터.

주:

ACX 시리즈 라우터에서 나가는 트래픽에 대한 필터(송신 필터)는 방화벽 필터의 인터페이스별 인스턴스에만 적용할 수 있습니다.

ACX 시리즈 라우터에서는 적용된 방화벽 필터에서 접두사 또는 용어를 수정할 때 TCAM 오류가 표시됩니다. 방화벽 필터에서 접두사 또는 용어를 수정하려면 기존 방화벽 필터를 제거한 다음 수정된 필터를 적용해야 합니다.

주:

ACX 시리즈 라우터에서는 IRB 인터페이스의 송신 방향으로 방화벽 필터를 적용할 수 없습니다.

ACX 시리즈 라우터의 방화벽 필터 일치 조건 및 작업 개요

표 1 에서는 표준 상태 비저장 방화벽 필터를 구성할 수 있는 트래픽 유형을 설명합니다.

표 1: ACX 시리즈 라우터의 프로토콜 제품군별 표준 방화벽 필터 일치 조건
트래픽 유형	일치 조건이 지정되는 계층 수준
프로토콜 독립적	`[edit firewall family any filter filter-name term term-name]` ACX 시리즈 라우터에서 이 트래픽 유형에 대해 지원되는 일치 조건은 없습니다.
IPv4	`[edit firewall family inet filter filter-name term term-name` 일치 조건의 전체 목록은 IPv4 트래픽에 대한 일치 조건(ACX 시리즈 라우터)을 참조하십시오.
MPLS	`[edit firewall family mpls filter filter-name term term-name]` 일치 조건의 전체 목록은 MPLS 트래픽에 대한 일치 조건(ACX 시리즈 라우터)을 참조하십시오.
레이어 2 CCC	`[edit firewall family ccc filter filter-name term term-name]` ACX 시리즈 라우터에서 이 트래픽 유형에 대해 지원되는 일치 조건은 없습니다.
브리지	`[edit firewall family bridge filter filter-name term term-name]` `[edit firewall family ethernet-switching filter filter-name term term-name]` (ACX5048 및 ACX5096 라우터에만 적용됩니다.)

라우터ACX5448 external-tcam의 가용성에 따라 다음 수신 제품군 필터를 확장할 수 있습니다.

가족 ethernet-switching
가족 ccc
가족 inet
가족 inet6
가족 mpls
가족 vpls

표준 무상태 방화벽 필터 용어에 then 대한 문에서 용어와 일치하는 패킷에 대해 수행할 작업을 지정할 수 있습니다.

표 2 에서는 표준 상태 비저장 방화벽 필터 용어로 지정할 수 있는 작업 유형을 요약합니다.

표 2: ACX 시리즈 라우터에 대한 표준 방화벽 필터 작업 범주
작업 유형	설명	코멘트
종료	특정 패킷에 대한 방화벽 필터의 모든 평가를 중지합니다. 라우터는 지정된 작업을 수행하며, 패킷을 검사하는 데 추가 용어는 사용되지 않습니다. 표준 방화벽 필터에서 하나의 종료 동작 만 지정할 수 있습니다. 그러나 단일 용어에서 하나 이상의 비 종료 작업과 함께 하나의 종료 작업을 지정할 수 있습니다. 예를 들어, 용어 내에서 및 로 `count` 지정할 `accept` 수 있습니다`syslog`.	종료 작업(ACX 시리즈 라우터)을 참조하십시오.
종료되지 않음	패킷에 대한 다른 기능(예: 카운터 유죄 판결, 패킷 헤더에 대한 정보 로깅, 패킷 데이터 샘플링 또는 시스템 로그 기능을 사용하여 원격 호스트로 정보 전송)을 수행하지만 패킷을 검사하는 데 추가 용어가 사용됩니다.	Nonterminating Actions(ACX 시리즈 라우터)를 참조하십시오.

브리지 제품군 방화벽 필터(ACX 시리즈 라우터)의 일치 조건

ACX 시리즈 라우터의 브리지 제품군 방화벽 필터

브리지 제품군 방화벽 필터는 ACX 시리즈 라우터의 IFL 제품군 수준에서 구성할 수 있습니다. 브리지 제품군 필터는 지원되는 레이어2/레이어3 필드를 기반으로 L2 브리지 플로우를 일치시키고 방화벽 작업을 수행하는 데 사용됩니다. ACX 시리즈 라우터에서 브리지 방화벽 필터에 대해 지원되는 최대 용어 수는 124개입니다.

주:

ACX5448 및 ACX7000 시리즈 라우터에서는 브리지 도메인에 IRB가 브리지 도메인에 연결되어 있더라도 레이어 2 스위치 패킷에만 레이어 2 방화벽 필터를 적용해야 합니다. 패킷이 레이어 3으로 전달되면 IRB에 레이어 3 필터를 적용해야 합니다.

주:

ACX 시리즈 라우터에서는 IRB 인터페이스의 송신 방향으로 방화벽 필터를 적용할 수 없습니다.

표 3 에서는 브리지 패밀리 필터에 대해 지원되는 일치 조건을 보여 줍니다.

표 3: ACX 시리즈 라우터에 대한 브리지 제품군 방화벽 필터 일치 조건
일치 조건	설명
적용 그룹	구성 데이터를 상속할 그룹을 설정합니다
적용 그룹 제외	구성 데이터를 브로드캐스트하지 않는 그룹 설정
대상 MAC 주소	대상 MAC 주소 설정
목적지 포트	TCP/UDP 대상 포트 일치
`destination-prefix-list`	명명된 목록에서 IP 대상 접두사를 일치시킵니다.
증권 시세 표시기	DiffServ(Differentiated Services) 코드 포인트 일치
에테르 유형	이더넷 유형 일치
icmp 코드	ICMP 메시지 코드 일치
ICMP형	ICMP 메시지 유형 일치
interface-group	인터페이스 그룹 일치
ip-destination-address	IP 대상 주소 일치
IP 우선 순위	IP 우선 순위 값 일치
IP 프로토콜	IP 프로토콜 유형 일치
ip-source-address	IP 소스 주소 일치
learn-vlan-1p-우선 순위	학습된 802.1p VLAN 우선 순위와 일치
학습-vlan-dei	사용자 VLAN ID DEI 비트 일치
learn-vlan-id	학습한 VLAN ID 일치
소스 MAC 주소	소스 MAC 주소 설정
`source-prefix-list`	명명된 목록에서 IP 소스 접두사를 일치시킵니다.
소스 포트	TCP/UDP 소스 포트 일치
사용자-vlan-1p-우선순위	사용자 일치 802.1p VLAN 우선 순위
사용자-vlan-id	사용자 VLAN ID 일치
vlan-ether-유형	VLAN 이더넷 유형 일치

표 4 에는 지원되는 작업 필드가 표시됩니다.

표 4: ACX 시리즈 라우터에 대한 브리지 제품군 방화벽 필터 작업 필드
작업 필드	설명
수락	패킷 수락
극대화합니다	명명된 카운터의 패킷 카운트
버리다	패킷 폐기
포워딩 클래스	패킷을 포워딩 클래스로 분류
손실 우선 순위	패킷 손실 우선순위
로그	패킷 전달 엔진 내의 버퍼에 패킷 헤더 정보를 기록합니다. 명령줄 인터페이스(CLI)에서 show firewall log 명령을 실행하여 이 정보에 액세스할 수 있습니다.
폴리서	트래픽 속도 제한에 사용할 폴리서의 이름
syslog	패킷을 시스템 로그 파일에 기록합니다.
3색 폴리서	three-colo-policer를 사용하여 패킷을 감시합니다.

주:

브리지 제품군 방화벽 필터는 레이어 2 인터페이스에서 출력 필터로 적용할 수 있습니다. 레이어 2 인터페이스가 명령문으로 vlan-id 구성된 브리지 도메인에 있는 경우, ACX 시리즈 라우터는 브리지 제품군 방화벽 필터에 지정된 사용자 vlan-id match를 사용하여 패킷의 외부 VLAN과 일치시킬 수 있습니다.

CCC 방화벽 제품군 필터(ACX 시리즈 라우터)의 일치 조건

CCC 제품군 방화벽 필터에 대한 일치 조건

ACX 시리즈 라우터에서는 CCC(Circuit Cross-Connection) 트래픽(family ccc)에 대한 일치 조건으로 표준 방화벽 필터를 구성할 수 있습니다.

표 5 에는 계층 수준에서 구성할 수 있는 일치 조건이 설명되어 있습니다 [edit firewall family ccc filter filter-name term term-name] .

표 5: ACX 시리즈 라우터에 대한 CCC 제품군 방화벽 필터 일치 조건
필드	설명
`destination-mac-address`	대상 MAC 주소
`destination-port`	TCP/UDP 대상 포트와 일치합니다.
`dscp`	차별화된 서비스(DiffServ) 코드 포인트와 일치합니다.
`icmp-code`	ICMP 메시지 코드와 일치합니다.
`icmp-type`	ICMP 메시지 유형과 일치합니다.
`ip-destination-address`	대상 IP 주소와 일치합니다.
`ip-precedence`	IP 우선 순위 값과 일치합니다.
`ip-protocol`	IP 프로토콜 유형과 일치합니다.
`ip-source-address`	소스 IP 주소와 일치합니다.
`learn-vlan-1p-priority`	학습된 802.1p VLAN 우선 순위와 일치
`source-mac-address`	소스 MAC 주소
`source-port`	TCP/UDP 소스 포트와 일치
`user-vlan-1p-priority`	사용자 802.1p VLAN 우선 순위와 일치

IPv4 트래픽 일치 조건(ACX 시리즈 라우터)

ACX 시리즈 라우터에서는 IP 버전 4(IPv4) 트래픽(family inet)에 대한 일치 조건으로 표준 무상태 방화벽 필터를 구성할 수 있습니다. 표 6 은(는) 계층 수준에서 구성할 수 있는 [edit firewall family inet filter filter-name term term-name from] 일치 조건을 설명합니다.

표 6: ACX 시리즈 라우터의 IPv4 트래픽에 대한 방화벽 필터 일치 조건
일치 조건	설명
`destination-address address`	IPv4 대상 주소 필드를 일치시킵니다. 주: ACX 시리즈 라우터에서는 단 하나의 대상 주소만 지정할 수 있습니다. IPv4 대상 주소 목록은 지원되지 않습니다.
`destination-port number`	UDP 또는 TCP 대상 포트 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 `protocol udp` 또는 `protocol tcp` 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). `afs` (1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513), or `xdmcp` (177).
`destination-prefix-list`	명명된 목록에서 IP 대상 접두사를 일치시킵니다.
`dscp number`	DSCP(Differentiated Services Code Point)를 일치시킵니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. 자세한 내용은 행동 집계(BA) 분류자가 트러스트 트래픽을 우선순위 지정하는 방법 이해하기를 참조하십시오. 0에서 63 사이의 숫자 값을 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 0x를 접두사로 포함하십시오. 2진수 형식으로 값을 지정하려면 b를 접두사로 포함합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). EF(Expedited Forwarding) PHB(Per-Hop Behavior)인 RFC 3246은 하나의 코드 포인트를 정의합니다. `ef`(46). AF(Assured Forwarding) PHB 그룹인 RFC 2597은 총 12개의 코드 포인트를 위해 각 클래스에 3개의 드롭 전례를 갖는 4개의 클래스를 정의합니다. `af11` (10), `af12` (12), `af13` (14) `af21` (18), `af22` (20), `af23` (22) `af31` (26), `af32` (28), `af33` (30) `af41` (34), `af42` (36), `af43` (38)
`fragment-flags number`	(수신 전용) IP 헤더의 3비트 IP 단편화 플래그 필드를 일치시킵니다. 숫자 필드 값 대신 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). `dont-fragment`(0x4), `more-fragments`(0x2) 또는 `reserved`(0x8).
`icmp-code number`	ICMP 메시지 코드 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 `protocol icmp` 일치 조건을 구성하는 것이 좋습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 `icmp-type message-type` 일치 조건도 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다. 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다. 매개변수 문제: `ip-header-bad` (0), `required-option-missing` (1) 리디렉션: `redirect-for-host` (1), `redirect-for-network` (0), `redirect-for-tos-and-host` (3), `redirect-for-tos-and-net` (2) 시간 초과: `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) 도달 불가: `communication-prohibited-by-filtering` (13), `destination-host-prohibited` (10), `destination-host-unknown` (7), `destination-network-prohibited` (9), `destination-network-unknown` (6), `fragmentation-needed` (4), `host-precedence-violation` (14), `host-unreachable` (1), `host-unreachable-for-TOS` (12), `network-unreachable` (0), `network-unreachable-for-TOS` (11), `port-unreachable` (3), `precedence-cutoff-in-effect` (15), `protocol-unreachable` (2), `source-host-isolated` (8), `source-route-failed` (5)
`icmp-type number`	ICMP 메시지 유형 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 `protocol icmp` 일치 조건을 구성하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). `echo-reply`(0), `echo-request`(8), `info-reply`(16), `info-request`(15), `mask-request`(17), `mask-reply`(18), `parameter-problem`(12), `redirect`(5), `router-advertisement`(9), `router-solicit`(10), `source-quench`(4), `time-exceeded`(11), `timestamp`(13), `timestamp-reply`(14) 또는 `unreachable` (3).
`ip-options values`	8비트 IP 옵션 필드(있는 경우)를 지정된 값과 일치시킵니다. ACX 시리즈 라우터는 패킷이 `ip-options_any` 처리를 위해 패킷 전달 엔진으로 전송되도록 하는 일치 조건만 지원합니다. 주: ACX 시리즈 라우터에서는 IP 옵션 값을 하나만 지정할 수 있습니다. 여러 값을 구성하는 것은 지원되지 않습니다.
`precedence ip-precedence-field`	IP 우선순위 필드를 일치시킵니다. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). `critical-ecp`(0xa0), `flash`(0x60), `flash-override`(0x80), `immediate`(0x40), `internet-control`(0xc0), `net-control`(0xe0), `priority`(0x20) 또는 `routine`(0x00). 16진수, 2진수 또는 10진수 형식으로 우선순위를 지정할 수 있습니다.
`protocol number`	IP 프로토콜 유형 필드를 일치시킵니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). `dstopts`(60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), (58), `igmpicmpv6` (2), `ipip` (4 `ipv6` ), (41), `no-next-header`, ( `ospf` 89), `pim` (103), `routing`( `rsvp` 46), `sctp` (132), `tcp` (6), `udp` (17) 또는 `vrrp` (112).
`source-address address`	패킷을 전송하는 소스 노드의 IPv4 주소를 일치시킵니다.
`source-port number`	UDP 또는 TCP 소스 포트 필드를 일치시킵니다. IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 `protocol udp` 또는 `protocol tcp` 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신, `destination-port number` 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.
`source-prefix-list`	명명된 목록에서 IP 소스 접두사를 일치시킵니다.
`tcp-flags value`	TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다. 개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다. `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. 비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다. 결합된 비트 필드 일치 조건의 `tcp-initial` 경우, 일치 조건을 참조하십시오. 이 일치 조건을 구성하는 경우, 동일한 용어에 `protocol tcp` 일치 문을 구성하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.
`tcp-initial`	TCP 연결의 패킷 초기 패킷을 일치시킵니다. 이는 `tcp-flags "(!ack & syn)"`의 별칭입니다. 이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 `protocol tcp` 일치 조건을 구성하는 것이 좋습니다.
`ttl number`	IPv4 TTL(time-to-live) 숫자를 일치시킵니다. TTL 값 또는 TTL 값 범위를 지정합니다. 의 경우 `number`2에서 255 사이의 값을 하나 이상 지정할 수 있습니다.

IPv6 트래픽 일치 조건(ACX 시리즈 라우터)

인터넷 프로토콜 버전 6(IPv6) 트래픽(family inet6)에 대한 일치 조건으로 방화벽 필터를 구성할 수 있습니다. 은(는) 표 7 계층 수준에서 구성할 수 있는 [edit firewall family inet6 filter filter-name term term-name from] 일치 조건을 설명합니다.

표 7: IPv6 트래픽에 대한 방화벽 필터 일치 조건
일치 조건	설명
`destination-address address`	IPv6 대상 주소 필드를 일치시킵니다.
`destination-port number`	UDP 또는 TCP 대상 포트 필드를 일치시킵니다. 동일한 용어에 `port` 및 `destination-port` 일치 조건을 모두 지정할 수 없습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 `next-header tcp` 일치 조건을 구성 `next-header udp` 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). `afs` (1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513), or `xdmcp` (177).
`destination-prefix-list`	명명된 목록에서 IP 대상 접두사를 일치시킵니다.
`extension-headers header-type`	Next Header 값을 식별하여 패킷에 포함된 확장 헤더 유형을 일치시킵니다. 패킷의 첫 번째 부분에서 필터는 확장 헤더 유형에서 일치하는 항목을 검색합니다. 프래그먼트 헤더가 있는 패킷이 발견되면(후속 프래그먼트) 다른 확장 헤더의 위치를 예측할 수 없기 때문에 필터는 다음 확장 헤더 유형의 일치 항목만 검색합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). `ah` (51), (60), `destinationesp` (50), `fragment` (44), `hop-by-hop` (0), `mobility` (135) 또는 `routing` (43). 확장 헤더 옵션 의 값을 일치 시키려면 텍스트 동의어 `any`를 사용합니다. 주: IPv6 패킷의 첫 번째 확장 헤더만 일치시킬 수 있습니다. 하나의 IPv6 확장 헤더를 초과하는 L4 헤더는 일치합니다.
`hop-limit hop-limit`	홉 제한을 지정된 홉 제한 또는 홉 제한 집합과 일치시킵니다. `hop-limit`의 경우, 단일 값 또는 0~255 값 범위를 지정합니다.
`icmp-code message-code`	ICMP 메시지 코드 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우 동일한 용어에 또는 `next-header icmp6` 일치 조건도 `next-header icmp` 구성하는 것이 좋습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 `icmp-type message-type` 일치 조건도 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다. 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다. 매개변수 문제: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) 시간 초과: `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) destination-unreachable: `administratively-prohibited`(1), `address-unreachable` (3), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-type message-type`	ICMP 메시지 유형 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우 동일한 용어에 또는 `next-header icmp6` 일치 조건도 `next-header icmp` 구성하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). `certificate-path-advertisement`(149), `certificate-path-solicitation` (148), `destination-unreachable` (1), `echo-reply` (129), `echo-request` (128), `home-agent-address-discovery-reply` (145), `home-agent-address-discovery-request` (144), `inverse-neighbor-discovery-advertisement` (142), (141), `membership-queryinverse-neighbor-discovery-solicitation` (130), `membership-report` (131), `membership-termination` (132), `mobile-prefix-advertisement-reply` (147), `mobile-prefix-solicitation` (146), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), `parameter-problem` (4), `private-experimentation-100` (100), `private-experimentation-101` (101), `private-experimentation-200` (200), `private-experimentation-201` (201), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133), `time-exceeded` 또는 (3). (201)의 경우 `private-experimentation-201` 대괄호 안에 값 범위를 지정할 수도 있습니다.
`next-header header-type`	패킷의 첫 번째 8비트 Next Header 필드를 일치시킵니다. 방화벽 일치 조건에 대한 `next-header` 지원은 Junos OS 릴리스 13.3R6 이상에서 사용할 수 있습니다. IPv6의 경우, 일치 조건으로 방화벽 필터를 구성할 때 용어 대신 `next-header` 용어를 사용하는 `payload-protocol` 것이 좋습니다. 둘 중 하나를 사용할 `payload-protocol` 수 있지만 실제 페이로드 프로토콜을 사용하여 일치 항목을 찾기 때문에 더 신뢰할 수 있는 일치 조건을 제공하는 반면 `next-header` , 실제 프로토콜일 수도 있고 아닐 수도 있는 IPv6 헤더 다음의 첫 번째 헤더에 나타나는 모든 것을 취합니다. 또한 이(가) IPv6과 함께 사용되는 경우 `next-header` 가속 필터 블록 조회 프로세스가 무시되고 대신 표준 필터가 사용됩니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). `ah`(51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), (41 `ipv6` ), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) 또는 `vrrp` (112). 주: `next-header icmp6` 및 `next-header icmpv6` 일치 조건은 동일한 기능을 수행합니다. `next-header icmp6` 이 기본 옵션입니다. `next-header icmpv6` Junos OS CLI에 숨겨져 있습니다.
`source-address address`	패킷을 전송하는 소스 노드의 IPv6 주소를 일치시킵니다.
`source-port number`	UDP 또는 TCP 소스 포트 필드를 일치시킵니다. 동일한 용어에 `port` 및 `source-port` 일치 조건을 지정할 수 없습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 `next-header tcp` 일치 조건을 구성 `next-header udp` 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신, `destination-port number` 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.
`source-prefix-list`	명명된 목록에서 IP 소스 접두사를 일치시킵니다.
`tcp-flags flags`	TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다. 개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다. `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. 비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다. 결합된 비트 필드 일치 조건의 경우, `tcp-established` 및 `tcp-initial` 일치 조건을 참조하십시오. 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건을 구성 `next-header tcp` 하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.
`tcp-initial`	TCP 연결의 패킷 초기 패킷을 일치시킵니다. 이것은 의 텍스트 동의어 `tcp-flags "(!ack & syn)"`입니다. 이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 `next-header tcp` 일치 조건을 구성하는 것이 좋습니다.
`traffic-class number`	패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드를 일치시킵니다. 이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었습니다. `0`에서 `63`까지 숫자 값을 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 접두사로 `0x`을(를) 포함시켜야 합니다. 2진수 형식으로 값을 지정하려면 접두사로 `b`을(를) 포함시켜야 합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). EF(Expedited Forwarding) PHB(Per-Hop Behavior)인 RFC 3246은 하나의 코드 포인트를 정의합니다. `ef`(46). AF(Assured Forwarding) PHB 그룹인 RFC 2597은 총 12개의 코드 포인트를 위해 각 클래스에 3개의 드롭 전례를 갖는 4개의 클래스를 정의합니다. `af11` (10), `af12` (12), `af13` (14) `af21` (18), `af22` (20), `af23` (22) `af31` (26), `af32` (28), `af33` (30) `af41` (34), `af42` (36), `af43` (38)

주:

일치 조건( address, destination-address, 또는 source-address 일치 조건)에서 IPv6 주소를 지정하는 경우 RFC 4291, IP 버전 6 주소 지정 아키텍처에 설명된 텍스트 표현 구문을 사용합니다. IPv6 주소에 대한 자세한 내용은 IPv6 개요 및 지원되는 IPv6 표준을 참조하십시오.

다음은 방화벽 제품군 inet6 구성의 예입니다.

MPLS 트래픽에 대한 일치 조건(ACX 시리즈 라우터)

ACX 시리즈 라우터에서는 MPLS 트래픽()에 대한 일치 조건으로 표준 스테이트리스 방화벽 필터를 구성할 수 있습니다.family mpls

주:

input-list filter-names 프로토콜 제품군의 mpls 방화벽 필터에 대한 및 output-list filter-names 명령문은 관리 인터페이스 및 내부 이더넷 인터페이스(fxp 또는 em0), 루프백 인터페이스(lo0), USB 모뎀 인터페이스(umd)를 제외한 모든 인터페이스에서 지원됩니다.

표 8 에는 계층 수준에서 구성할 수 있는 일치 조건이 설명되어 있습니다 [edit firewall family mpls filter filter-name term term-name from] .

표 8: ACX 시리즈 라우터의 MPLS 트래픽에 대한 표준 방화벽 필터 일치 조건
일치 조건	설명
`exp number`	MPLS 헤더의 실험적(EXP) 비트 번호 또는 비트 번호 범위입니다. 의 경우 `number`0에서 7 사이의 하나 이상의 값을 10진수, 2진수 또는 16진수 형식으로 지정할 수 있습니다.

비 종료 작업(ACX 시리즈 라우터)

표준 무상태 방화벽 필터는 각 프로토콜 제품군에 대해 서로 다른 일련의 비종료 작업을 지원합니다.

주:

ACX 시리즈 라우터는 next term 이 작업을 지원하지 않습니다.

ACX 시리즈 라우터는 패밀리 inet 와 패밀리 bridge의 수신 및 송신 방향에서 로그 및 syslog 작업을 지원합니다.

ACX5448, ACX710 및 ACX7100 시리즈 라우터는 송신 방향에서 , syslog, forwarding-classreject, 및 loss-priority 를 지원하지 log않습니다. 수신 및 송신 방향에서 라우터는 인터페이스별 의미만 지원합니다.

표 9 표준 방화벽 필터 용어에 대해 구성할 수 있는 비종료 작업에 대해 설명합니다.

표 9: ACX 시리즈 라우터의 표준 방화벽 필터에 대한 비종료 작업
Nonterminating Action(종료되지 않는 작업)	설명	프로토콜 제품군
`count counter-name`	명명된 카운터의 패킷을 계산합니다.	`family any` `family inet` `family mpls` `family ccc` `family bridge` `family vpls`
`forwarding-class class-name`	지정된 포워딩 클래스를 기준으로 패킷을 분류합니다. `assured-forwarding` `best-effort` `expedited-forwarding` `network-control` 주: 이 작업은 수신 시에만 지원됩니다.	`family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`log`	패킷 전달 엔진 내의 버퍼에 패킷 헤더 정보를 기록합니다. 명령줄 인터페이스(CLI)에서 `show firewall log` 명령을 실행하여 이 정보에 액세스할 수 있습니다. 주: 이 작업은 수신 및 송신에서 지원됩니다. 송신에 대한 작업은 inet6 제품군에 대해 지원되지 않습니다.	`family inet` `family inet6` `family bridge`
`loss-priority (high \| medium-high \| low)`	패킷 손실 우선순위(PLP) 수준을 설정합니다. 동일한 방화벽 필터 용어에 `three-color-policer` 대해 종료되지 않는 작업을 구성할 수도 없습니다. 이 두 가지 비 종료 작업은 상호 배타적입니다. 지정된 4개 수준 중 하나로 PLP 구성을 커밋하려면 계층 수준에 문을 `[edit class-of-service]` 포함해야 `tri-color` 합니다. `tri-color` 문이 활성화되어 있지 않은 경우, 및 `low` 수준만 `high` 구성할 수 있습니다. 이는 모든 프로토콜 제품군에 적용됩니다. `tri-color` 문에 대한 정보는 삼색 마킹 폴리서 구성 및 적용을 참조하십시오. 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용에 대한 자세한 내용은 포워딩 클래스가 출력 대기열에 클래스를 할당하는 방법 이해하기를 참조하십시오. 주: 이 작업은 수신 시에만 지원됩니다.	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`policer policer-name`	트래픽 속도 제한에 사용할 폴리서의 이름입니다.	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
`port-mirror`	지정된 패밀리를 기반으로 패킷을 포트 미러링합니다. 주: 이 작업은 수신 시에만 지원됩니다. ACX5048 및 ACX5096 라우터는 을(를) 지원하지 port-mirror않습니다.	`family inet`
`syslog`	패킷을 시스템 로그 파일에 기록합니다. 주: 이 작업은 수신 및 송신에서 지원됩니다. 송신에 대한 작업은 inet6 제품군에 대해 지원되지 않습니다.	`family inet` `family inet6` `family bridge`
`three-color-policer (single-rate \| two-rate) policer-name`	지정된 단일 속도 또는 2 속도 3색 폴리서를 사용하여 패킷을 감시합니다. 동일한 방화벽 필터 용어에 대한 작업도 `loss-priority` 구성할 수 없습니다. 이 두 작업은 상호 배타적입니다.	`family any` `family inet` `family inet6` `family mpls` `family ccc` `family bridge` `family vpls`
traffic-class	트래픽 클래스 코드 포인트 설정 주: 이 작업은 수신 시에만 지원됩니다.	`family inet6`

종료 작업(ACX 시리즈 라우터)

표준 무상태 방화벽 필터는 각 프로토콜 제품군에 대해 서로 다른 종료 작업 집합을 지원합니다.

주:

ACX 시리즈 라우터는 next term 이 작업을 지원하지 않습니다.

표 10 에서는 표준 방화벽 필터 용어로 지정할 수 있는 종료 동작을 설명합니다.

표 10: ACX 시리즈 라우터의 표준 방화벽 필터에 대한 종료 작업
종료 동작	설명	프로토콜
`accept`	패킷을 수락합니다.	`family any` `family inet` `family mpls` `family ccc`
`discard`	인터넷 제어 메시지 프로토콜(ICMP) 메시지를 보내지 않고 조용히 패킷을 버립니다. 폐기된 패킷은 로깅 및 샘플링에 사용할 수 있습니다.	`family any` `family inet` `family mpls` `family ccc`
`reject message-type`	패킷을 거부하고 ICMPv4 또는 ICMPv6 메시지를 반환합니다. 메시지 유형을 지정하지 `destination-unreachable` 않으면 기본적으로 메시지가 반환됩니다. if `tcp-reset` 가 메시지 유형으로 `tcp-reset` 지정되면 패킷이 TCP 패킷인 경우에만 반환됩니다. `administratively-prohibited` 그렇지 않으면 값이 13인 메시지가 반환됩니다. 다른 메시지 유형이 지정되면 해당 메시지가 리턴됩니다. 주: 또는 `syslog` 작업을 구성하는 `sample` 경우 거부된 패킷을 샘플링하거나 기록할 수 있습니다. 이 작업은 수신 시에만 지원됩니다. 옵션은 `message-type` 다음 값 중 하나를 가질 수 있습니다. `address-unreachable`, `administratively-prohibited`, `bad-host-tos`, `bad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset`	`family inet`
`routing-instance routing-instance-name`	패킷을 지정된 라우팅 인스턴스로 보냅니다.	`family inet`