Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 일치 조건 및 작업(PTX 시리즈 라우터)

방화벽 필터 일치 조건 및 작업(PTX 시리즈 라우터)

방화벽 필터의 각 용어는 일치 조건과작업으로 구성됩니다. 일치 조건은 패킷이 일치로 간주되기 위해 포함해야 하는 필드와 값입니다. 일치 문에서 단일 또는 다중 일치 조건을 정의할 수 있습니다. 또한 일치 문을 포함하지 않을 수 있으며, 이 경우 용어는 모든 패킷과 일치합니다.

패킷이 필터와 일치하면 라우터는 용어에 지정된 작업을 수행합니다. 또한 작업 수정자를 지정하여 패킷을 카운트, 미러링, 속도 제한 및 분류할 수 있습니다. 용어에 대한 일치 조건이 지정되지 않은 경우, 라우터는 기본적으로 패킷을 수락합니다.

PTX10003에서 여러 방화벽 필터를 단일 인터페이스에 단일 입력 목록 또는 출력 목록으로 적용할 수 있습니다(filter input-list and output-list). 이러한 방식으로 단일 방화벽 필터에서 필터링 작업에 대한 구성만 관리할 수 있습니다. 이는 많은 인터페이스로 구성된 디바이스가 있는 경우 대규모 환경에서 유연성을 제공합니다. PTX10008에서도 동일한 작업을 수행할 수 있지만, 라우터는 단일 입력 목록에 여러 방화벽 필터를 적용하는 것만 지원합니다.

  • 표 1 은(는) 방화벽 필터를 구성할 때 지정할 수 있는 일치 조건을 설명합니다. 일부 숫자 범위 및 비트 필드 일치 조건에서는 텍스트 동의어를 지정할 수 있습니다. 일치 조건에 대한 모든 동의어 목록을 보려면 문의 적절한 위치에 입력합니다 ? .

  • 표 2 에는 용어로 지정할 수 있는 작업 및 작업 수정자가 표시됩니다.

표 1: 지원되는 일치 조건

일치 조건

설명

지원되는 인터페이스

address address [ except ]

옵션이 포함되어 있지 않는 한 except 소스 또는 대상 주소 필드를 일치시킵니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-address address [ except ]

옵션이 포함되어 있지 않는 한 except 대상 주소 필드를 일치시킵니다.

동일한 용어에 및 destination-address 일치 조건을 모두 address 지정할 수 없습니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-port number

UDP 또는 TCP 대상 포트 필드를 일치시킵니다. 또한 포트에서 사용 중인 프로토콜을 지정하기 위해 동일한 용어에 또는 protocol tcp 일치 문을 구성해야 protocol udp 합니다.

동일한 용어에 portdestination-port 일치 조건을 모두 지정할 수 없습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-port-except number

UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 destination-port 일치 조건을 참조하십시오.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-prefix-list name [ except ]

옵션이 포함되어 있지 않는 한 목록에서 대상 접두사를 except 일치시킵니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 [edit policy-options] 정의합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

dscp number

DSCP(Differentiated Services Code Point)를 일치시킵니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다.

DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

  • be- Best Effort(기본값)

  • ef (46)- RFC 3246, 신속 전달 PHB에 정의되어 있습니다.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    총 12개의 코드 포인트에 대해 각 클래스에 3개의 드롭 우선 순위를 갖는 이 4개의 클래스는 RFC 2597, Assured Forwarding PHB에 정의되어 있습니다.

  • cs0, , cs1, cs3cs6cs2cs5cs4cs7,cs5

IPv4(inet) 및 IPv6(inet6) 인터페이스.

dscp-except number

DSCP 숫자를 일치시키지 마십시오. 자세한 내용은 dscp 일치 조건을 참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

first-fragment

패킷이 단편화된 패킷의 첫 번째 부분인 경우 일치시킵니다. 패킷이 단편화된 패킷의 마지막 부분인 경우 일치시키지 않습니다. 단편화된 패킷의 첫 번째 부분은 0의 부분 오프셋 값을 갖습니다.

이 일치 조건은 비트 필드 일치 조건인 fragment-offset 0 일치 조건에 대한 별칭입니다.

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어를 사용할 수 있습니다. first-fragmentis-fragment.

IPv4(inet) 인터페이스.

forwarding-class class

다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.

  • best-effort

  • fcoe

  • network-control

  • no-loss

IPv4(inet), IPv6(inet6) 및 MPLS 인터페이스.

forwarding-class-except class

패킷 포워딩 클래스를 일치시키지 마십시오. 자세한 내용은 forwarding-class 일치 조건을 참조하십시오.

IPv4(inet), IPv6(inet6) 및 MPLS 인터페이스.

fragment-flags number

IP 헤더의 3비트 IP 단편화 플래그 필드를 일치시킵니다.

숫자 필드 값 대신 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). dont-(0x4), more-s(0x2) 또는 reserved(0x8).

IPv4(inet) 인터페이스.

fragment-offset value

IP 헤더의 13비트 부분 오프셋 필드를 일치시킵니다. 이 값은 데이터 부분에 대한 전체 데이터그램 메시지의 오프셋(8바이트 단위)입니다. 숫자 값, 값 범위 또는 값 집합을 지정합니다. 0의 오프셋 값은 단편화된 패킷의 첫 번째 부분을 나타냅니다.

first-fragment 일치 조건은 fragment-offset 0 일치 조건에 대한 별칭입니다.

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어(first-fragmentis-fragment)를 사용할 수 있습니다.

IPv4(inet) 인터페이스.

fragment-offset-except number

13비트 부분 오프셋 필드를 일치시키지 마십시오.

IPv4(inet) 인터페이스.

icmp-code message-code

ICMP 메시지 코드 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우 동일한 용어에 또는 next-header icmp6 일치 조건도 next-header icmp 구성하는 것이 좋습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 icmp-type message-type 일치 조건도 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다.

숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.

  • 매개변수 문제: ip-header-bad (0), required-option-missing (1)

  • 리디렉션: redirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • 시간 초과: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • 도달 불가: communication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

IPv4(inet) 및 IPv6(inet6) 인터페이스.

icmp-code-except message-code

ICMP 메시지 코드 필드를 일치시키지 마십시오. 자세한 내용은 icmp-code 일치 조건을 참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

icmp-type number

ICMP 메시지 유형 필드를 일치시킵니다. 또한 동일한 용어에 또는 icmpv6 을(를) protocol next-header 일치 유형으로 구성해야 icmp 합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). echo-reply(0), echo-request(8), info-reply(16), info-request(15), mask-request(17), mask-reply(18), parameter-problem(12), redirect(5), router-advertisement(9), router-solicit(10), source-quench(4), time-exceeded(11), timestamp(13), timestamp-reply(14) 또는 unreachable (3).

icmp-code variable참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

icmp-type-except message-type

ICMP 메시지 유형 필드를 일치시키지 마십시오. 자세한 내용은 icmp-type 일치 조건을 참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

interface interface-name

수신 필터의 경우, 패킷이 수신된 인터페이스를 일치시킵니다.

송신 필터의 경우, 패킷이 전송된 인터페이스를 일치시킵니다.

주:

PTX5000 시리즈 라우터는 인터페이스(라우팅 엔진과 패킷 전달 엔진 간의 내부 링크)를 (루프백 인터페이스)에 lo0 연결하는 것을 em0.0 지원하지 않습니다(예: em0.0의 트래픽과 일치하도록 lo0에 방화벽 필터를 생성하여 Telnet 및 SSH와 같은 자체 발생 트래픽을 필터링). 다음 코드 조각은 컨텍스트를 제공합니다.

firewall
  filter core-protect {
            term Telnet {
                from {
                    protocol tcp;
                    destination-port telnet;
                    interface em0.0;
                }
                then accept;
            }
  }
}

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

interface-except number

패킷이 수신된 논리적 인터페이스를 일치시키지 마십시오. 자세한 내용은 interface 일치 조건을 참조하십시오.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

is-fragment

패킷이 단편화된 패킷의 후행 부분인 경우 일치시킵니다. 단편화된 패킷의 첫 번째 부분을 일치시키지 마십시오.

주:

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어(first-fragmentis-fragment)를 사용할 수 있습니다.

Junos OS Evolved를 실행하는 PTX10003 라우터의 경우, 단편화된 패킷의 첫 번째 단편을 포함한 모든 단편화된 패킷은 "is-fragment" 일치를 포함하는 모든 방화벽 필터 용어에서 일치합니다.

IPv4(inet) 인터페이스.

loss-priority level

패킷 손실 우선순위(PLP)를 일치시킵니다.

단일 수준 또는 여러 수준을 지정합니다. low, medium-low, medium-high 또는 high

주:

loss-priority 작업 수정자는 작업과 함께 policer 지원되지 않습니다.

IPv4(inet), IPv6(inet6) 및 MPLS 인터페이스.

loss-priority-except level

PLP 수준을 일치시키지 마십시오. 자세한 내용은 loss-priority 일치 조건을 참조하십시오.

IPv4(inet), IPv6(inet6) 및 MPLS 인터페이스.

next-header header-type

패킷의 첫 8비트 다음 헤더 필드를 일치시킵니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) 또는 vrrp (112).

IPv6(inet6) 인터페이스.

next-header-except header-type

IPv6 헤더와 페이로드 사이의 헤더 유형을 식별하는 8비트 Next Header 필드를 일치시키지 마십시오. 자세한 내용은 next-header 일치 유형을 참조하십시오.

IPv6(inet6) 인터페이스

packet-length bytes

수신된 패킷 길이를 바이트로 일치시킵니다. 길이는 패킷 헤더를 포함하여 IP 패킷만 언급하고 모든 레이어 2 캡슐화 오버헤드를 포함하지 않습니다. 또한 일치할 값의 범위를 지정할 수 있습니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

packet-length-except bytes

수신된 패킷 길이(바이트)를 일치시키지 마십시오. 자세한 내용은 packet-length 일치 유형을 참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

port number

UDP 또는 TCP 소스나 대상 포트 필드를 일치시킵니다. 또한 포트에서 사용 중인 프로토콜을 지정하기 위해 동일한 용어에 또는 protocol tcp 일치 문을 구성해야 protocol udp 합니다.

동일한 용어에서 destination-port 일치 조건 또는 source-port 일치 조건을 구성할 수 없습니다.

숫자 값 대신, destination-port에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

port-except number

소스 또는 대상 UDP나 TCP 포트 필드를 일치시키지 마십시오. 자세한 내용은 port 일치 조건을 참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

precedence ip-precedence-value

IP 우선순위 필드를 일치시킵니다.

숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). critical-ecp(0xa0), flash(0x60), flash-override(0x80), immediate(0x40), internet-control(0xc0), net-control(0xe0), priority(0x20) 또는 routine(0x00). 16진수, 2진수 또는 10진수 형식으로 우선순위를 지정할 수 있습니다.

IPv4(inet) 인터페이스.

precedence-except ip-precedence-value

IP 우선순위 필드를 일치시키지 마십시오.

IPv4(inet) 인터페이스.

protocol number

IPv4 프로토콜 유형 필드를 일치시킵니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).

hop-by-hop (0),icmp (1), icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

IPv4(inet) 인터페이스.

protocol-except number

IP 프로토콜 유형 필드를 일치시키지 마십시오. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), dstopts(60), egp(8), esp(50), fragment(44), gre(47), hop-by-hop(0), icmp(1), icmp6(58), icmpv6(58), igmp(2), ipip(4), ipv6(41), ospf(89), pim(103), rsvp(46), sctp(132), tcp(6), udp (17) 또는 vrrp(112).

IPv4(inet) 인터페이스.

source-address ip-address

IP 원본 주소 필드로, 패킷을 전송한 노드의 주소입니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-address address [ except ]

옵션이 포함되어 있지 않는 한 except 패킷을 전송하는 소스 노드의 IP 주소를 일치시킵니다. 옵션이 포함되어 있는 경우 패킷을 전송하는 소스 노드의 IP 주소를 일치시키지 마십시오.

동일한 용어에 addresssource-address 일치 조건을 모두 지정할 수 없습니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-port value

TCP 또는 UDP 소스 포트를 일치시킵니다. 또한 동일한 용어에 protocol udp 또는 protocol tcp 일치 문을 구성해야 합니다.

숫자 값 대신, destination-port number 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-port-except number

UDP 또는 TCP 소스 포트 필드를 일치시키지 마십시오. 자세한 내용은 source-port 일치 조건을 참조하십시오.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-prefix-list prefix-list

IP 소스 접두사 목록입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 [edit policy-options] 정의합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

tcp-flags value

TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다.

개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다.

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다.

비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 protocol tcp 일치 문을 구성하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.

IPv4 트래픽의 경우에만, 이 일치 조건은 데이터그램이 단편화된 패킷의 첫 번째 부분을 포함하는지 암묵적으로 확인하지 않습니다. IPv4 트래픽에만 해당하는 이 조건을 확인하려면 first-fragment 일치 조건을 사용해야 합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

traffic-class value

패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드입니다. traffic-class 필드는 DSCP(DiffServ Code Point) 값을 지정하는 데 사용됩니다. 이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었으며, 이 필드(예: DSCP)의 의미 체계는 IPv4의 의미 체계와 동일합니다.

다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

af11 (10), af12 (12), af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

IPv6(inet6) 인터페이스.

traffic-class-except number

패킷의 CoS 우선순위를 지정하는 8비트 필드를 일치시키지 마십시오. 자세한 내용은 경기 설명을 참조하십시오 traffic-class .

IPv6(inet6) 인터페이스.

ttl number

IPv4 또는 IPv6 TTL(time-to-live) 숫자를 일치시킵니다. TTL 값 또는 TTL 값 범위를 지정합니다. number의 경우, 하나 이상의 값(0~255)을 지정할 수 있습니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

ttl-except number

IPv4 또는 IPv6 TTL 번호를 일치시키지 마십시오. 자세한 내용은 ttl 일치 조건을 참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

vxlan

VNI에 대한 숫자 값 또는 숫자 값 범위를 지정합니다. 수신 인터페이스에필터를 적용합니다.

  • vni vni-value- VNI를 일치시킵니다.

  • vni-except vni-value- VNI를 일치시키지 마십시오.

주:

Junos OS Evolved 릴리스 23.4R2부터 수신 및 송신 인터페이스 모두에서 일치 조건에 따라 vxlan 값을 필터링하고 vni-except 숫자를 지정할 vni 수 있습니다.

IPv4(inet) 인터페이스.

명령문을 사용하여 then 패킷이 명령문의 모든 조건과 일치할 경우 발생해야 하는 from 작업을 정의합니다. 표 2 는 용어로 지정할 수 있는 작업을 보여줍니다. (명령문을 포함하지 then 않으면 시스템은 필터와 일치하는 패킷을 수락합니다.)

표 2: 작업 및 작업 수정자

작업

설명

accept

패킷을 수락합니다. 이는 용어와 일치하는 패킷에 대한 기본 작업입니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다.

count counter-name

용어와 일치하는 패킷 수를 계산합니다.

forwarding-class class

다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

주:

forwarding-class 작업은 IPv4, IPv6 및 MPLS 인터페이스에서 지원됩니다.

log

라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 작동 모드 명령을 show firewall log 입력합니다.

주:

log 작업 수정자는 IPv4 및 IPv6 수신 인터페이스에서만 지원됩니다.

loss-priority level

패킷 손실 우선순위(PLP)를 설정합니다.

policer policer-name

폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해). PTX10003는 2색, 단일레이트 3색(srTCM) 및 2레이트 3색 마커(trTCM) 폴리서를 지원합니다.

주:

policer 작업 수정자는 작업과 함께 loss-priority 지원되지 않습니다.

redirect instance-name

(Junos Evolved OS 릴리스 22.1R1을 실행하는 PTX10004, PTX10008 및 PTX10016 디바이스에서만 지원됩니다.)

Junos 계층 수준에서 정의된 인스턴스에 지정된 대로 P4 컨트롤러로 [services inline-monitoring instance instance-name controller p4] 패킷을 보냅니다.

reject message-type

패킷을 버리고 "대상에 연결할 수 없음" ICMPv4 또는 ICMPv6 메시지(유형 3)를 보냅니다. 거부된 패킷을 기록하려면 작업 수정자를 구성합니다 syslog .

다음 메시지 유형 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, .

주:

tcp-reset 메시지 유형이 지원되지 않습니다.

메시지 유형을 지정하지 않으면 ICMP 알림 "대상에 연결할 수 없음"이 기본 메시지 "통신 관리적으로 필터링됨"과 함께 전송됩니다.

syslog

이 패킷에 대한 경고를 기록합니다.

routing-instance instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다. 패킷을 기본 인스턴스로 포워딩할 수 있습니다.

및 에서 virtual-router 지원 forwarding instance-types.

IPv6 방화벽 필터 일치 조건 및 작업(PTX10001-20C)

이 주제에서는 PTX10001-20C 라우터에 대한 IPv6 방화벽 필터 일치 조건, 작업 및 작업 수정자에 대해 설명합니다.

방화벽 필터의 각 용어는 일치 조건과작업으로 구성됩니다. 일치 조건은 패킷이 일치로 간주되기 위해 포함해야 하는 필드와 값입니다. 일치 문에서 단일 또는 다중 일치 조건을 정의할 수 있습니다. 또한 no match 문을 포함할 수 있으며, 이 경우 용어는 모든 패킷과 일치합니다.

패킷이 필터와 일치하면 라우터는 용어에 지정된 작업을 수행합니다. 또한 작업 수정자를 지정하여 패킷을 계산, 미러링 및 분류할 수 있습니다. 용어에 대한 일치 조건이 지정되지 않은 경우, 라우터는 기본적으로 패킷을 수락합니다.

주:

PTX10001-20C 라우터에서는 수신 방향으로만 IPv6 인터페이스에 방화벽 필터를 적용할 수 있습니다.

  • 표 3 은(는) 지원되는 일치 조건을 설명합니다.

  • 표 4 에서는 용어로 지정할 수 있는 작업을 보여 줍니다. 명령문을 포함하지 then 않으면 시스템은 필터와 일치하는 패킷을 수락합니다.

  • 표 5 은(는) 패킷을 카운트, 미러링, 속도 제한 및 분류하는 데 사용할 수 있는 작업 수정자를 보여줍니다.

표 3: IPv6 지원 일치 조건

일치 조건

설명

address address [ except ]

except 옵션이 포함되어 있지 않는 한 IPv6 소스 또는 대상 주소 필드를 일치시킵니다. 옵션이 포함되어 있는 경우, IPv6 소스 또는 대상 주소 필드를 일치시키지 마십시오.

apply-groups

구성 데이터를 상속하는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다. 상속 우선순위를 순서대로 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선권을 갖습니다.

apply-groups-except

구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다.

destination-address address [ except ]

except 옵션이 포함되어 있지 않는 한 IPv6 대상 주소 필드를 일치시킵니다. 옵션이 포함되어 있는 경우, IPv6 대상 주소 필드를 일치시키지 마십시오.

동일한 용어에 addressdestination-address 일치 조건을 모두 지정할 수 없습니다.

destination-port number

UDP 또는 TCP 대상 포트 필드를 일치시킵니다.

동일한 용어에 portdestination-port 일치 조건을 모두 지정할 수 없습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 또는 next-header tcp 일치 조건을 구성 next-header udp 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-port-except number

UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 destination-port 일치 조건을 참조하십시오.

destination-prefix-list prefix-list-name [ except ]

옵션이 포함되어 있지 않는 한 IPv6 대상 접두사를 지정된 목록과 일치시킵니다 except . 옵션이 포함되어 있는 경우, IPv6 대상 접두사를 지정된 목록과 일치시키지 마십시오.

접두사 목록은 ] 계층 수준에서 정의됩니다 [edit policy-options prefix-list prefix-list-name.

icmp-code message-code

ICMP 메시지 코드 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우 동일한 용어에 또는 next-header icmp6 일치 조건도 next-header icmp 구성하는 것이 좋습니다.

ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다.

숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.

  • 매개변수 문제: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • 시간 초과: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • destination-unreachable: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

ICMP 메시지 코드 필드를 일치시키지 마십시오. 자세한 내용은 icmp-code 일치 조건을 참조하십시오.

message-type

ICMP 메시지 유형 필드를 일치시킵니다.

또한 동일한 용어에서 조건을 구성 icmp 하거나 next-header icmp6 일치시켜야 합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), (141), membership-queryinverse-neighbor-discovery-solicitation (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133), time-exceeded 또는 (3).

(201)의 경우 private-experimentation-201 대괄호 안에 값 범위를 지정할 수도 있습니다.

icmp-type-except message-type

ICMP 메시지 유형 필드를 일치시키지 마십시오. 자세한 내용은 icmp-type 일치 조건을 참조하십시오.

next

필터에서 다음 용어로 계속 진행합니다.

next-header header-type

패킷의 첫 번째 8비트 Next Header 필드를 일치시킵니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) 또는 vrrp (112).

주:

next-header icmp6next-header icmpv6 일치 조건은 동일한 기능을 수행합니다. next-header icmp6 이 기본 옵션입니다. next-header icmpv6 Junos OS CLI에 숨겨져 있습니다.

next-header-except header-type

IPv6 헤더와 페이로드 사이의 헤더 유형을 식별하는 8비트 Next Header 필드를 일치시키지 마십시오. 자세한 내용은 next-header 일치 유형을 참조하십시오.

port number

UDP 또는 TCP 소스나 대상 포트 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 destination-port 일치 조건 또는 source-port 일치 조건을 구성할 수 없습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 또는 next-header tcp 일치 조건을 구성 next-header udp 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.

숫자 값 대신, destination-port에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

port-except number

UDP 또는 TCP 소스나 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 port 일치 조건을 참조하십시오.

port-mirror instance-name

패킷을 포트 미러링합니다.

port-mirror-instance instance-name

포트는 인스턴스에 대한 패킷을 미러링합니다.

prefix-list prefix-list-name [ except ]

옵션을 포함하지 않는 한 소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사와 except 일치시킵니다. 옵션이 포함되어 있는 경우, 소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사와 일치시키지 마십시오.

접두사 목록은 [edit policy-options prefix-list prefix-list-name] 계층 수준에 정의되어 있습니다.

sample

패킷을 샘플링합니다.

source-address address [ except ]

except 옵션이 포함되어 있지 않는 한 패킷을 전송하는 소스 노드의 IPv6 주소를 일치시킵니다. 옵션이 포함되어 있는 경우, 패킷을 전송하는 소스 노드의 IPv6 주소를 일치시키지 마십시오.

동일한 용어에 addresssource-address 일치 조건을 모두 지정할 수 없습니다.

source-port number

UDP 또는 TCP 소스 포트 필드를 일치시킵니다.

동일한 용어에 portsource-port 일치 조건을 지정할 수 없습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 또는 next-header tcp 일치 조건을 구성 next-header udp 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.

주:

Junos OS Evolved의 경우, 동일한 용어에 next-header udp 또는 next-header tcp 일치 문을 구성해야 합니다.

숫자 값 대신, destination-port number 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

source-port-except number

UDP 또는 TCP 소스 포트 필드를 일치시키지 마십시오. 자세한 내용은 source-port 일치 조건을 참조하십시오.

source-prefix-list name [ except ]

옵션이 포함되어 있지 않는 한 패킷 소스 필드의 IPv6 주소 접두사를 except 일치시킵니다. 옵션이 포함되어 있는 경우, 패킷 소스 필드의 IPv6 주소 접두사를 일치시키지 마십시오.

계층 수준에서 정의된 [edit policy-options prefix-list prefix-list-name] 접두사 목록 이름을 지정합니다.

주:

일치 조건( address, destination-address, 또는 source-address 일치 조건)에서 IPv6 주소를 지정하는 경우 RFC 4291, IP 버전 6 주소 지정 아키텍처에 설명된 텍스트 표현 구문을 사용합니다. IPv6 주소에 대한 자세한 내용은 IPv6 개요지원되는 IPv6 표준을 참조하십시오.

표 4: IPv6 방화벽 필터에 대한 작업

작업

설명

accept

패킷을 수락합니다. 이는 용어와 일치하는 패킷에 대한 기본 작업입니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다.

redirect instance-name

(Junos Evolved OS 릴리스 22.1R1을 실행하는 PTX10004, PTX10008 및 PTX10016 디바이스에서만 지원됩니다.)

Junos 계층의 [services inline-monitoring instance instance-name 컨트롤러 p4] 수준에서 정의된 인스턴스에 지정된 대로 P4 컨트롤러로 패킷을 전송합니다.

표 5: IPv6 방화벽 필터에 대한 작업 수정자

작업 수정자

설명

count counter-name

용어와 일치하는 패킷 수를 계산합니다.

forwarding-class class

다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

주:

포워딩 클래스를 구성하려면 손실 우선순위도 구성해야 합니다.

loss-priority (low | medium-low | medium-high | high)

패킷 손실 우선순위(PLP)를 설정합니다.