Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 일치 조건 및 작업(PTX 시리즈 라우터)

방화벽 필터 일치 조건 및 작업(PTX10003 및 PTX10008)

방화벽 필터의 각 용어는 일치 조건과 작업으로 구성됩니다. 일치 조건은 패킷이 포함해야 하는 필드 및 값과 일치하는 것으로 간주됩니다. 일치 명령문에서 단일 또는 다중 일치 조건을 정의할 수 있습니다. 이 용어가 모든 패킷과 일치하는 경우 일치 명령문을 포함할 수도 있습니다.

패킷이 필터와 일치하면 라우터는 용어에 지정된 조치를 취합니다. 또한, 패킷을 카운트, 미러링, 속도 제한 및 분류하는 작업 수정자를 지정할 수 있습니다. 용어에 대해 일치 조건이 지정되지 않은 경우 라우터는 기본적으로 패킷을 허용합니다.

또한, PTX10003 여러 방화벽 필터를 단일 인터페이스에 단일 입력 목록 또는 출력 목록으로 적용할 수 filter input-list and output-list 있습니다. 이러한 방식으로 단일 방화벽 필터에서 필터링 작업에 대한 구성만 관리합니다. 이는 많은 인터페이스로 구성된 디바이스를 사용하는 대규모 환경에서 유연성을 제공합니다. 네트워크에서 동일하게 PTX10008 수 있지만 라우터는 단일 입력 목록에만 여러 방화벽 필터를 적용하는 것을 지원합니다.

  • 표 1 방화벽 필터 구성 시 지정할 수 있는 일치 조건을 설명합니다. 숫자 범위와 비트 필드 일치 조건 중 일부는 텍스트 동의어를 지정할 수 있도록 합니다. 일치 조건에 대한 모든 동의어 목록을 확인하다가 명령문에 해당 장소에 ? 입력합니다.

  • 표 2 용어에서 지정할 수 있는 작업 및 작업 수정자를 표시합니다.

표 1: 지원되는 일치 조건(PTX10003 및 PTX10008)

일치 조건

설명

지원되는 인터페이스

address address [ except ]

옵션이 포함되어 있지 않은 경우 소스 또는 대상 주소 except 필드와 일치합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-address address [ except ]

옵션이 포함되어 있지 않은 경우 대상 주소 except 필드와 일치합니다.

동일한 용어로는 조건과 address 일치 조건을 모두 지정할 수 destination-address 없습니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-port number

UDP 또는 TCP 대상 포트 필드에 일치 또한, 포트에서 어떤 프로토콜이 사용되는지 지정하기 위해 동일한 용어로 match 명령문을 protocol udpprotocol tcp 구성해야 합니다.

동일한 용어에서 일치 조건과 조건을 portdestination-port 모두 지정할 수 없습니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨). afs(1483), bgp (179), biff (512), bootpcbootps (68), cmd (67), (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2105), exec (2106), (512), finger (79), ftpftp-data (21), http (80), (80), https (443), identimap (113), (143), kerberos-secklogin (88), (543), kpasswdkrb-prop (761), (754), krbupdate (760), kshell (544), ldap (389), ldplogin (646), (513), mobileip-agentmobilip-mn (435), msdp (635), (639), (639) netbios-dgm 138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacctradius (1813), (1812), riprkinit (2108), smtp (2) 5), snmp (161), snmptrapsnpp (162), (444), socks (1080), sshsunrpc (22), (111), syslog (514), tacacs (49), tacacs-ds (49), talk (517), telnet (23), tftp (69), timed (525), who (513) xdmcp 또는 (177)

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-port-except number

UDP 또는 TCP 대상 포트 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 destination-port 참조합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

destination-prefix-list name [ except ]

옵션이 포함되지 않는 한 목록에 대상 except 프리픽스를 일치 자주 사용할 수 있는 prefix-list 별칭에서 IP 주소 프리픽스 목록을 정의할 수 있습니다. 계층 수준에서 이 [edit policy-options] 목록을 정의합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

dscp number

DSCP(Differentiated Services Code Point)에 일치 DiffServ 프로토콜은 IP 헤더에서 ToS(Type-of-Service) byte를 사용합니다. 이 바이트 중 가장 중요한 6비트는 DSCP를 형성합니다.

DSCP를 hexadecimal, 바이너리 또는 소수의 양식으로 지정할 수 있습니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • be—best effort(기본)

  • ef (46)—RFC 3246, Expedited Forwarding PHB에 정의되어 있습니다.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    총 12개의 코드 포인트에 대해 각 클래스에서 3개 드롭 우선 순위를 갖는 이들 4개 클래스는 RFC 2597, Assured Forwarding PHB에 정의되어 있습니다.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

IPv4(inet) 및 IPv6(inet6) 인터페이스.

dscp-except number

DSCP 번호와 일치하지 말 것. 자세한 내용은 일치 조건을 dscp 참조하십시오.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

first-fragment

패킷이 단편화된 패킷의 첫 번째 패킷 패킷인 경우와 일치합니다. 패킷이 단편화된 패킷의 후행 패킷인 경우 일치하지 마십시오. 단편화 패킷의 첫 번째 패킷 조각은 의 패킷 조각 상한 값을 나타 내고 0 있습니다.

이 일치 조건은 bit-field 일치 조건의 fragment-offset 0 별칭입니다.

첫 번째 및 후행 단편과 일치하기 위해 서로 다른 일치 조건을 지정하는 두 가지 용어를 사용할 수 있습니다. first-fragmentis-fragment및 를 통해

IPv4(inet) 인터페이스.

forwarding-class class

다음 기본 포우링 클래스 중 하나 또는 사용자 정의 포우링 클래스 중 하나에 패킷을 분류합니다.

  • best-effort

  • fcoe

  • network-control

  • no-loss

IPv4(inet), IPv6(inet6) 및 인터페이스 MPLS 있습니다.

forwarding-class-except class

패킷의 포우링 클래스와 일치하지 마십시오. 자세한 내용은 일치 조건을 forwarding-class 참조합니다.

IPv4(inet), IPv6(inet6) 및 인터페이스 MPLS 있습니다.

fragment-flags number

IP 헤더의 3비트 IP 단편화 플래그 필드와 일치

숫자 필드 값을 대신하여 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열됨). dont-(0x4), more-s (0x2) reserved 또는 (0x8).

IPv4(inet) 인터페이스.

fragment-offset value

IP 헤더에서 13비트 단편화 오프셋 필드와 일치. 이 값은 데이터 단편화에 대한 전체 데이터그램 메시지에서 8비트 단위로 상개되는 것입니다. 숫자 값, 값 범위 또는 값 집합을 지정합니다. 오프셋 값은 0 단편화된 패킷의 첫 번째 패킷 조각을 나타냅니다.

일치 조건은 일치 first-fragment 조건에 대한 fragment-offset 0 별칭입니다.

첫 번째 및 후행 단편과 일치하기 위해 서로 다른 일치 조건을 지정하는 두 가지 용어를 사용할 first-fragmentis-fragment 있습니다.

IPv4(inet) 인터페이스.

fragment-offset-except number

13비트 단편화 오프셋 필드와 일치하지 않습니다.

IPv4(inet) 인터페이스.

icmp-code message-code

ICMP 메시지 코드 필드와 일치합니다.

이 일치 조건을 구성하는 경우 동일한 기간에 해당 조건 또는 일치 next-header icmpnext-header icmp6 조건을 구성하는 것이 좋습니다.

이 일치 조건을 구성하는 경우 동일한 용어에서 일치 icmp-type message-type 조건을 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 구체적인 정보를 제공하지만, ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열). 키워드는 연관된 ICMP 유형으로 그룹화됩니다.

  • 매개 변수 문제: ip-header-bad(0), required-option-missing (1)

  • 리디렉션할: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-hostredirect-for-tos-and-net (3), (2)

  • 초과 시간: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • 연결할: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknowndestination-network-prohibited (7), destination-network-unknown (9), fragmentation-needed (4), host-precedence-violation (4), host-unreachable (1), (1), host-unreachable-for-TOS (12), network-unreachable (12), (11), network-unreachable-for-TOS (11), port-unreachableprecedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

IPv4(inet) 및 IPv6(inet6) 인터페이스.

icmp-code-except message-code

ICMP 메시지 코드 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 icmp-code 참조합니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

icmp-type number

ICMP 메시지 유형 필드와 일치합니다. 또한 동일한 용어로 구성하거나 다음 헤더 일치 icmp icmpv6 유형으로 구성해야 합니다. protocol

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). echo-reply(0), echo-requestinfo-reply (8), info-request (16), mask-request (15), mask-reply (17), parameter-problem (18), redirect (12), router-advertisement (9), router-solicit (9), (10), source-quenchtime-exceeded (4), (11), timestamp (13), timestamp-reply (14) 또는 unreachable (3).

참조. icmp-code variable

IPv4(inet) 및 IPv6(inet6) 인터페이스.

icmp-type-except message-type

ICMP 메시지 유형 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 icmp-type 참조합니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

interface interface-name

수신 필터의 경우 패킷이 수신된 인터페이스와 일치합니다.

egress 필터의 경우 패킷이 전송된 인터페이스와 일치합니다.

주:

PTX5000 시리즈 라우터는 인터페이스(라우팅 및 패킷 포링 엔진 간의 내부 링크)를 지원하지 않습니다. 예를 em0.0 들어, em0.0에서 트래픽과 일치하기 위해 lo0에서 방화벽 필터를 생성하여 Telnet 및 SSH와 같은 자체 시작 트래픽을 lo0 필터링합니다. 다음 코드 코드는 컨텍스트를 제공합니다.

firewall
  filter core-protect {
            term Telnet {
                from {
                    protocol tcp;
                    destination-port telnet;
                    interface em0.0;
                }
                then accept;
            }
  }
}

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

interface-except number

패킷이 수신된 논리적 인터페이스와 일치하지 마십시오. 자세한 내용은 일치 조건을 interface 참조합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

is-fragment

패킷이 단편화된 패킷의 후행 패킷인 경우와 일치합니다. 단편화된 패킷의 첫 번째 패킷 조각과 일치하지 마십시오.

주:

첫 번째 및 후행 단편과 일치하기 위해 서로 다른 일치 조건을 지정하는 두 가지 용어를 사용할 first-fragmentis-fragment 있습니다.

PTX10003 Junos OS 라우터의 경우, 단편화 패킷의 첫 번째 패킷 조각을 포함한 모든 단편화 패킷은 "is-fragment" 일치되는 방화벽 필터 용어와 일치합니다.

IPv4(inet) 인터페이스.

loss-priority level

PLP(Packet Loss Priority)에 일치.

단일 수준 또는 여러 레벨을 지정합니다. low, medium-lowmedium-highhigh 또는.

주:

작업 수정자는 작업과 함께 loss-priority 지원되지 policer 않습니다.

IPv4(inet), IPv6(inet6) 및 인터페이스 MPLS 있습니다.

loss-priority-except level

PLP 수준과 일치하지 않습니다. 자세한 내용은 일치 조건을 loss-priority 참조합니다.

IPv4(inet), IPv6(inet6) 및 인터페이스 MPLS 있습니다.

next-header header-type

패킷의 처음 8비트 다음 헤더 필드와 일치

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). ah(51), dstops (60), egpesp (8), fragment (50), gre (44), hop-by-hop (47), (0), icmpicmp6 (58), icmpv6 (58), igmp (2), ipipipv6 (4), (4) mobility 1), (135), no-next-headerospf (59), pim (89), (103), routingrsvp (43), sctp (46), (132), tcp (6), udp  (17) 또는 vrrp (112).

IPv6(inet6) 인터페이스.

next-header-except header-type

IPv6 헤더와 페이로드 사이에 헤더 유형을 식별하는 8비트 Next 헤더 필드와 일치하지 않습니다. 자세한 내용은 일치 유형을 next-header 참조합니다.

IPv6(inet6) 인터페이스

packet-length bytes

수신 패킷의 길이(bytes)를 일치합니다. 길이는 패킷 헤더를 포함하여 IP 패킷만 참조하며 Layer 2 캡슐화 오버헤드를 포함하지 않습니다. 또한 일치할 값의 범위를 지정할 수도 있습니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

packet-length-except bytes

수신된 패킷 길이(bytes)를 일치하지 마십시오. 자세한 내용은 일치 유형을 packet-length 참조합니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

port number

UDP 또는 TCP 소스 또는 대상 포트 필드에 일치 또한, 포트에서 어떤 프로토콜이 사용되는지 지정하기 위해 동일한 용어로 match 명령문을 protocol udpprotocol tcp 구성해야 합니다.

동일한 용어로 일치 조건 또는 일치 조건을 destination-portsource-port 구성할 수 없습니다.

숫자 값을 대신하여 에 나열된 텍스트 동의어 중 하나를 지정할 수 destination-port 있습니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

port-except number

소스 또는 대상 UDP 또는 TCP 포트 필드를 일치하지 말 것. 자세한 내용은 일치 조건을 port 참조합니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

precedence ip-precedence-value

IP 우선 순위 필드에 일치.

숫자 필드 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), internet-control (0x40), (0xc0), net-control (0xe0), priority (0x20) routine 또는 (0x00). hexadecimal, 바이너리 또는 소수의 양식으로 우선 순위를 지정할 수 있습니다.

IPv4(inet) 인터페이스.

precedence-except ip-precedence-value

IP 우선 순위 필드와 일치하지 않습니다.

IPv4(inet) 인터페이스.

protocol number

IPv4 프로토콜 유형 필드에 일치. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열됨).

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

IPv4(inet) 인터페이스.

protocol-except number

IP 프로토콜 유형 필드와 일치하지 않습니다. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). ah(51), dstopts (60), egpesp (50), fragment (44), gre (47), hop-by-hop (47), icmp (58), icmp6icmpv6 (58), (58), igmpipip (4), (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcpudp  (6), (17) vrrp 또는 (112)

IPv4(inet) 인터페이스.

source-address ip-address

IP 소스 주소 필드는 패킷을 전송한 노드의 주소입니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-address address [ except ]

옵션이 포함되지 않는 한 패킷을 전송하는 소스 노드의 IP 주소를 except 일치합니다. 옵션이 포함된 경우 패킷을 전송하는 소스 노드의 IP 주소와 일치하지 마십시오.

동일한 용어에서 일치 조건과 조건을 addresssource-address 모두 지정할 수 없습니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-port value

TCP 또는 UDP 소스 포트를 일치. 동일한 용어로 일치 명령문을 protocol udpprotocol tcp 구성해야 합니다.

숫자 값을 대신하여 일치 조건과 함께 나열된 텍스트 동의어 중 하나를 destination-port number 지정할 수 있습니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-port-except number

UDP 또는 TCP 소스 포트 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 source-port 참조합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

source-prefix-list prefix-list

IP 소스 Prefix 목록. 자주 사용할 수 있는 prefix-list 별칭에서 IP 주소 프리픽스 목록을 정의할 수 있습니다. 계층 수준에서 이 [edit policy-options] 목록을 정의합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

tcp-flags value

TCP 헤더에서 8비트 TCP 플래그 필드에 저수준 6비트 이상을 매치합니다.

개별 비트 필드를 지정하기 위해 다음 텍스트 동의어 또는 hexadecimal 값을 지정할 수 있습니다.

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP 세션에서 SYN 플래그는 전송된 최초 패킷에만 설정되는 반면, ACK 플래그는 초기 패킷 이후 전송된 모든 패킷에 설정됩니다.

bit-field 논리적 운영자(bit-field logical operator)를 사용하여 여러 플래그를 함께 연계할 수 있습니다.

이 일치 조건을 구성하는 경우 동일한 용어로 일치 명령문을 구성하여 TCP 프로토콜이 포트에서 사용 중이라는 것을 지정하는 protocol tcp 것이 좋습니다.

IPv4 트래픽만이 해당되는 경우, 이 일치 조건은 데이터그램에 단편화된 패킷의 첫 번째 패킷 조각이 포함되어 있는지 여부를 암시적으로 확인하지 않습니다. IPv4 트래픽에 대한 이 조건을 검사하기 위해 일치 조건을 first-fragment 사용 합니다.

IPv4(inet) 인터페이스 및 IPv6(inet6) 인터페이스.

traffic-class value

패킷의 CoS(Class-of-Service) 우선 순위를 지정하는 8비트 필드 트래픽 클래스 필드는 DSCP(DiffServ Code Point) 값을 지정하는 데 사용됩니다. 이 필드는 이전에 IPv4에서 ToS(Type-of-Service) 필드로 사용이 났지만, 이 필드의 유형(예: DSCP)은 IPv4의 유형과 동일합니다.

다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

IPv6(inet6) 인터페이스.

traffic-class-except number

패킷의 CoS 우선 순위를 지정하는 8비트 필드와 일치하지 마십시오. 자세한 내용은 일치 traffic-class 설명을 참조하세요.

IPv6(inet6) 인터페이스.

ttl number

IPv4 또는 IPv6의 실시간 번호 일치. TTL 값 또는 TTL 값의 범위를 지정합니다. 에서 number 를 통해 하나 이상의 값을 지정할 수 0255 있습니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

ttl-except number

IPv4 또는 IPv6 TTL 번호와 일치하지 않습니다. 자세한 내용은 일치 조건을 ttl 참조합니다.

IPv4(inet) 및 IPv6(inet6) 인터페이스.

명령문을 사용하여 패킷이 명령문의 모든 조건과 일치하는 경우 발생해야 하는 작업을 thenfrom 정의합니다. 용어에서 지정할 수 있는 작업을 표 2 표시합니다. (명령문을 포함하지 않는 경우 시스템은 필터와 일치하는 then 패킷을 허용합니다.)

표 2: 조치 및 조치 수정자(PTX10003 PTX10008)

실행

설명

accept

패킷을 허용합니다. 이는 용어와 일치하는 패킷에 대한 기본 작업입니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고도 패킷을 자동으로 폐기합니다.

count counter-name

용어에 일치하는 패킷 수를 계산합니다.

forwarding-class class

다음 기본 포우링 클래스 중 하나 또는 사용자 정의 포우링 클래스 중 하나에 패킷을 분류합니다.

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

주:

forwarding-class 작업은 IPv4, IPv6 및 MPLS 지원됩니다.

log

패킷 헤더 정보를 패킷 패킷 라우팅 엔진. 이 정보를 보시고, show firewall log 작업 모드 명령을 입력합니다.

주:

작업 log 수정자는 IPv4 및 IPv6 ingress 인터페이스에서만 지원됩니다.

loss-priority level

PLP(Packet Loss Priority)를 설정합니다.

policer policer-name

속도 제한 적용의 목적으로 패킷을 정책 처리(policer)로 전송합니다. 이 PTX10003 2색, 단일 속도 3색(srTCM) 및 2개 속도 3색 마커(trTCM) policer를 지원

주:

작업 수정자는 작업과 함께 policer 지원되지 loss-priority 않습니다.

reject message-type

패킷을 폐기하고 "수신할 수 없는 대상" ICMPv4 또는 ICMPv6 메시지(유형 3)를 전송합니다. 거부된 패킷을 로그하려면 작업 syslog 수정자를 구성합니다.

다음 메시지 유형 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,.

주:

메시지 tcp-reset 유형은 지원되지 않습니다.

메시지 유형을 지정하지 않으면 ICMP 알림 "수신할 수 없는 대상"은 "통신을 관리적으로 필터링"하는 기본 메시지와 함께 전송됩니다.

syslog

이 패킷에 대한 경고를 기록합니다.

routing-instance instance-name

일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다. 패킷은 기본 인스턴스로 전달될 수 있습니다.

지원 virtual-routerforwarding instance-types.

IPv6 방화벽 필터 일치 조건 및 작업(PTX10001-20C)

이 주제에서는 PTX10001-20C 라우터에 대한 IPv6 방화벽 필터 일치 조건, 작업 및 작업 수정자에 대해 설명하고 있습니다.

방화벽 필터의 각 용어는 일치 조건과 작업으로 구성됩니다. 일치 조건은 패킷이 포함해야 하는 필드 및 값과 일치하는 것으로 간주됩니다. 일치 명령문에서 단일 또는 다중 일치 조건을 정의할 수 있습니다. 또한, no matchstatement을 포함할 수 있습니다. 이 용어는 모든 패킷과 일치합니다.

패킷이 필터와 일치하면 라우터는 용어에 지정된 조치를 취합니다. 또한 패킷을 카운트, 미러링 및 분류할 작업 수정자를 지정할 수도 있습니다. 용어에 대해 일치 조건을 지정하지 않으면 라우터는 기본적으로 패킷을 허용합니다.

주:

PTX10001-20C 라우터에서 ingress 방향으로 IPv6 인터페이스에 방화벽 필터만 적용할 수 있습니다.

  • 표 3 지원되는 일치 조건을 설명합니다.

  • 표 4 용어로 지정할 수 있는 작업을 표시합니다. 명령문을 포함하지 않는 경우 시스템은 필터와 일치하는 then 패킷을 허용합니다.

  • 표 5 은 카운트, 미러링, 속도 제한, 패킷 분류에 사용할 수 있는 작업 수정자를 보여줍니다.

표 3: IPv6 지원 일치 조건

일치 조건

설명

address address [ except ]

옵션이 포함되어 있지 않는 한 IPv6 소스 또는 대상 주소 except 필드와 일치 옵션이 포함된 경우 IPv6 소스 또는 대상 주소 필드와 일치하지 않음.

apply-groups

구성 데이터를 사용할 그룹을 지정합니다. 두 개 이상의 그룹 이름을 지정할 수 있습니다. 우선 순위가 정해지기 위해서는 이를 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선 순위를 니다.

apply-groups-except

구성 데이터를 상속하지 않는 그룹을 지정합니다. 두 개 이상의 그룹 이름을 지정할 수 있습니다.

destination-address address [ except ]

옵션이 포함되어 있지 않은 경우 IPv6 대상 주소 except 필드와 일치합니다. 옵션이 포함된 경우 IPv6 대상 주소 필드와 일치하지 않음.

동일한 용어에서 일치 조건과 조건을 addressdestination-address 모두 지정할 수 없습니다.

destination-port number

UDP 또는 TCP 대상 포트 필드에 일치

동일한 용어에서 일치 조건과 조건을 portdestination-port 모두 지정할 수 없습니다.

이 일치 조건을 구성하는 경우 포트에서 어떤 프로토콜이 사용되고 있는지 지정하기 위해 동일한 용어에서 일치 조건을 구성하는 next-header udpnext-header tcp 것이 좋습니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨). afs(1483), bgp (179), biff (512), bootpcbootps (68), cmd (67), (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2105), exec (2106), (512), finger (79), ftpftp-data (21), http (80), (80), https (443), identimap (113), (143), kerberos-secklogin (88), (543), kpasswdkrb-prop (761), krbupdate (754), (760), kshell (544), ldap (389), ldplogin (646), (513), mobileip-agentmobilip-mn (435), msdp (639), (639), (539) netbios-dgm 138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacctradius (1813), (1812), riprkinit (2108), smtp (2) 5), snmp (161), snmptrapsnpp (162), (444), socks (1080), sshsunrpc (22), (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) xdmcp 또는 (177)

destination-port-except number

UDP 또는 TCP 대상 포트 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 destination-port 참조합니다.

destination-prefix-list prefix-list-name [ except ]

옵션이 포함되지 않는 한 IPv6 대상 prefix를 지정된 목록에 except 일치 옵션이 포함된 경우 IPv6 대상 prefix를 지정된 목록에 일치하지 않습니다.

Prefix 목록은 ] 계층 [edit policy-options prefix-list prefix-list-name 수준에서 정의됩니다.

icmp-code message-code

ICMP 메시지 코드 필드와 일치합니다.

이 일치 조건을 구성하는 경우 동일한 기간에 해당 조건 또는 일치 next-header icmpnext-header icmp6 조건을 구성하는 것이 좋습니다.

ICMP 메시지 코드는 ICMP 메시지 유형보다 구체적인 정보를 제공하지만, ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 따라 달라지기만 합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열). 키워드는 연관된 ICMP 유형으로 그룹화됩니다.

  • 매개 변수 문제: ip6-header-bad(0), unrecognized-next-headerunrecognized-option (1), (2)

  • 초과 시간: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • 대상에 대한 응답이 가능하지 않습니다. administratively-prohibited(1), address-unreachableno-route-to-destination (3), (0), port-unreachable (4)

icmp-code-except message-code

ICMP 메시지 코드 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 icmp-code 참조합니다.

message-type

ICMP 메시지 유형 필드와 일치합니다.

동일한 기간에 조건을 icmpnext-header icmp6 구성하거나 일치해야 합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). certificate-path-advertisementcertificate-path-solicitation(149), (148), destination-unreachableecho-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-reportmembership-termination (131), mobile-prefix-advertisement-reply (132), mobile-prefix-solicitation (146), (146) neighbor-advertisementneighbor-solicit 136), (135), node-information-replynode-information-request (140), packet-too-big (139), (2), parameter-problemprivate-experimentation-100 (4), private-experimentation-101 (100), (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (201), router-advertisement (137), router-renumbering (134), router-solicit (138), time-exceeded 또는 (3).

(201)의 경우 평방 각괄호 내에서 값 범위를 private-experimentation-201 지정할 수 있습니다.

icmp-type-except message-type

ICMP 메시지 유형 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 icmp-type 참조합니다.

next

필터를 사용하여 다음 용어로 계속 진행하십시오.

next-header header-type

패킷의 처음 8비트 다음 헤더 필드와 일치

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). ah(51), dstops (60), egpesp (8), fragment (50), gre (44), hop-by-hop (47), (0), icmpicmp6 (58), icmpv6 (58), igmp (2), ipipipv6 (4), (4) mobility 1), (135), no-next-headerospf (59), pim (89), (103), routingrsvp (43), sctp (46), (132), tcp (6), udp  (17) 또는 vrrp (112).

주:

next-header icmp6 일치 조건이 동일한 기능을 수행합니다. 기본 옵션입니다. 기본 설정 next-header icmpv6next-header icmp6next-header icmpv6 옵션에 Junos OS CLI.

next-header-except header-type

IPv6 헤더와 페이로드 사이에 헤더 유형을 식별하는 8비트 Next 헤더 필드와 일치하지 않습니다. 자세한 내용은 일치 유형을 next-header 참조합니다.

port number

UDP 또는 TCP 소스 또는 대상 포트 필드에 일치

이 일치 조건을 구성하는 경우 동일한 용어에 일치 조건 또는 일치 조건을 destination-portsource-port 구성할 수 없습니다.

이 일치 조건을 구성하는 경우 포트에서 어떤 프로토콜이 사용되고 있는지 지정하기 위해 동일한 용어에서 일치 조건을 구성하는 next-header udpnext-header tcp 것이 좋습니다.

숫자 값을 대신하여 에 나열된 텍스트 동의어 중 하나를 지정할 수 destination-port 있습니다.

port-except number

UDP 또는 TCP 소스 또는 대상 포트 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 port 참조합니다.

port-mirror instance-name

패킷을 포트 미러링합니다.

port-mirror-instance instance-name

인스턴스에 대한 패킷 미러링을 실행합니다.

prefix-list prefix-list-name [ except ]

옵션이 포함되지 않는 한, 소스 또는 대상 주소 필드의 prefix를 지정된 목록의 prefix와 except 일치합니다. 옵션이 포함된 경우, 소스 또는 대상 주소 필드의 prefix를 지정된 리스트의 prefix와 일치하지 않습니다.

Prefix 목록은 계층 수준에서 [edit policy-options prefix-list prefix-list-name] 정의됩니다.

sample

패킷을 샘플링합니다.

source-address address [ except ]

옵션이 포함되지 않는 한 패킷을 전송하는 소스 노드의 IPv6 except 주소와 일치합니다. 옵션이 포함된 경우 패킷을 전송하는 소스 노드의 IPv6 주소와 일치하지 마십시오.

동일한 용어에서 일치 조건과 조건을 addresssource-address 모두 지정할 수 없습니다.

source-port number

UDP 또는 TCP 소스 포트 필드에 일치

동일한 용어에서 일치 조건을 지정할 portsource-port 수 없습니다.

이 일치 조건을 구성하는 경우 포트에서 어떤 프로토콜이 사용되고 있는지 지정하기 위해 동일한 용어에서 일치 조건을 구성하는 next-header udpnext-header tcp 것이 좋습니다.

주:

Junos OS 경우, 동일한 용어에서 일치 명령문을 next-header udpnext-header tcp 구성해야 합니다.

숫자 값을 대신하여 일치 조건과 함께 나열된 텍스트 동의어 중 하나를 destination-port number 지정할 수 있습니다.

source-port-except number

UDP 또는 TCP 소스 포트 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 source-port 참조합니다.

source-prefix-list name [ except ]

옵션이 포함되지 않는 한 패킷 소스 필드의 IPv6 주소 Prefix와 except 일치합니다. 옵션이 포함된 경우 패킷 소스 필드의 IPv6 주소 Prefix와 일치하지 마십시오.

계층 수준에서 정의된 Prefix list [edit policy-options prefix-list prefix-list-name] name을 지정합니다.

주:

일치 조건(의 , 또는 일치 조건)에서 IPv6 주소를 지정하는 addressdestination-addresssource-address 경우, RFC 4291, IP Version 6 Addressing Architecture에서설명하는 텍스트 표현을 위해 구문을 사용해야 합니다. IPv6 주소에 대한 자세한 내용은 IPv6 개요지원 IPv6 표준 을 참조하십시오.

표 4: IPv6 방화벽 필터를 위한 작업

실행

설명

accept

패킷을 허용합니다. 이는 용어와 일치하는 패킷에 대한 기본 작업입니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고도 패킷을 자동으로 폐기합니다.

표 5: IPv6 방화벽 필터를 위한 조치 수정자

조치 수정자

설명

count counter-name

용어에 일치하는 패킷 수를 계산합니다.

forwarding-class class

다음 기본 포우링 클래스 중 하나 또는 사용자 정의 포우링 클래스 중 하나에 패킷을 분류합니다.

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

주:

포링 클래스를 구성하려면 손실 우선 순위도 구성해야 합니다.

loss-priority (low | medium-low | medium-high | high)

PLP(Packet Loss Priority)를 설정합니다.