ACX 시리즈 라우터의 방화벽 필터 일치 조건 및 동작(Junos OS Evolved)
진화한 Junos OS를 실행하는 ACX 시리즈 라우터의 수신 및 송신 방향에서 지원되는 방화벽 필터 일치 조건 및 작업
방화벽 필터의 각 용어는 일치 조건과작업으로 구성됩니다. 일치 조건은 패킷이 일치로 간주되기 위해 포함해야 하는 필드와 값입니다. 일치 문에서 단일 또는 다중 일치 조건을 정의할 수 있습니다. 또한 일치 문을 포함하지 않을 수 있으며, 이 경우 용어는 모든 패킷과 일치합니다.
패킷이 필터와 일치하면 스위치는 용어에 지정된 작업을 수행합니다. 또한 작업 수정자를 지정하여 패킷을 카운트, 미러링, 속도 제한 및 분류할 수 있습니다. 용어에 대한 일치 조건이 지정되지 않은 경우 스위치는 기본적으로 패킷을 수락합니다. 및 표 2을 참조하십시오표 1.
|
일치 조건 |
설명 |
진입 |
출구 |
방화벽 필터 제품군(수신) |
방화벽 필터 제품군(송신) |
|---|---|---|---|---|---|
|
대상 주소 ip-destination-address |
패킷의 최종 대상 노드 주소인 IPv4 주소입니다. 이더넷 스위칭 및 CCC 제품군에 사용 |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
IPv4 및 IPv6 |
|
소스 주소 ip-source-address |
패킷을 전송하는 소스 노드의 IPv4 주소입니다. 이더넷 스위칭 및 CCC 제품군에 사용 |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
IPv4 |
|
대상 접두사 목록 |
IP 대상 접두사 목록 필드입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 |
예 |
예 |
IPv4, IPv6 및 이더넷 스위칭 |
IPv4, IPv6 |
|
소스 접두사 목록 |
IP 소스 접두사 목록입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 목록을 |
예 |
예 |
IPv4, IPv6 및 이더넷 스위칭 |
IPv4 |
|
목적지 포트 |
TCP 또는 UDP 대상 필드. 일반적으로 이 일치 조건은 match 문과
|
예 |
예 |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
|
소스 포트 |
TCP 또는 UDP 소스 포트. 일반적으로 이 일치 조건은 match 문과 |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
|
프로토콜 IP 프로토콜 |
IP 프로토콜 필드 이더넷 스위칭 및 CCC 제품군에 사용 |
예 |
예 |
IPv4, 이더넷 스위칭 및 CCC |
IPv4, 이더넷 스위칭 및 CCC |
|
첫 번째 조각 |
패킷이 단편화된 패킷의 첫 번째 부분인 경우 일치시킵니다. 패킷이 단편화된 패킷의 후행 조각인 경우 패킷 일치를 방지합니다. 단편화된 패킷의 첫 번째 부분은 0의 단편 오프셋 값을 갖습니다. 이 일치 조건은 비트 필드 일치 조건인 fragment-offset 0 일치 조건에 대한 별칭입니다. 첫 번째 부분과 마지막 부분을 모두 일치시키기 위해 서로 다른 일치 조건을 지정하는 두 용어를 |
예 |
아니요 |
IPv4 |
NA |
|
icmp 코드 |
ICMP 코드 필드입니다. 값의 의미는 연결된
|
예 |
예 |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
|
ICMP형 |
ICMP 메시지 유형 필드입니다. 일반적으로 이 일치 항목을 match 문과 IPv4: IPv6: 도 |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
IPv4, IPv6, 이더넷 스위칭 및 CCC |
|
ip-옵션 |
IP 헤더의 옵션 필드에 지정된 항목이 있는 경우 일치 항목을 만들도록 지정합니다 |
예 |
아니요 |
IPv4 |
NA |
|
우선 순위 IP 우선 순위 |
IP 우선 순위 필드입니다. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 이더넷 스위칭 및 CCC 제품군에 사용합니다 |
예 |
아니요 |
IPv4, 이더넷 스위칭 및 CCC |
NA |
|
is-fragment |
IP 헤더에서 More Fragments 플래그가 활성화되어 있거나 부분 오프셋이 제로가 아닌 경우 이 조건을 사용하면 일치가 발생합니다. |
예 |
아니요 |
IPv4 |
NA |
|
tcp 설정 |
설정된 TCP 3방향 핸드셰이크 연결(SYN, SYN-ACK, ACK)의 패킷을 일치시킵니다. 일치하지 않는 유일한 패킷은 SYN 비트만 설정되므로 핸드셰이크의 첫 번째 패킷입니다. 이 패킷의 경우, 로 일치 조건으로 지정해야 를 지정할 |
예 |
예 |
IPv4 및 IPv6 |
IPv4 및 IPv6 |
|
tcp-플래그 |
하나 이상의 TCP 플래그:
|
예 |
아니요 |
IPv4 및 IPv6 |
NA |
|
tcp-이니셜 |
연결의 첫 번째 TCP 패킷을 일치시킵니다. TCP 플래그는 설정되고 TCP 플래그 를 지정할 |
예 |
아니요 |
IPv4 및 IPv6 |
NA |
|
증권 시세 표시기 |
IP TTL(Time-to-Live) 필드(10진수)입니다. 값은 1-255일 수 있습니다. |
예 |
예 |
IPv4 |
IPv4 |
|
대상 MAC 주소 |
패킷의 대상 MAC 주소입니다. |
예 |
예 |
이더넷 스위칭 및 CCC |
이더넷 스위칭 및 CCC |
|
소스 MAC 주소 |
패킷의 소스 MAC(미디어 액세스 제어) 주소입니다. |
예 |
예 |
이더넷 스위칭 및 CCC |
이더넷 스위칭 및 CCC |
|
증권 시세 표시기 |
DSCP(Differentiated Services Code Point)입니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).
|
예 |
예 |
IPv4, 이더넷 스위칭 및 CCC |
IPv4, 이더넷 스위칭 및 CCC |
|
에테르 유형 |
패킷의 이더넷 유형 필드입니다. EtherType 값은 이더넷 프레임에서 전송 중인 프로토콜을 지정합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).
|
예 |
예 |
이더넷 스위칭 및 CCC |
이더넷 스위칭 및 CCC |
|
learn-vlan-1p-우선 순위 |
공급자 VLAN 태그(802.1Q VLAN 태그가 있는 단일 태그 프레임의 유일한 태그 또는 802.1Q VLAN 태그가 있는 이중 태그 프레임의 외부 태그)에서 IEEE 802.1p 학습된 VLAN 우선 순위 비트와 일치합니다. 0에서 7 사이의 단일 값 또는 여러 값을 지정합니다. |
예 |
예 |
이더넷 스위칭 및 CCC |
이더넷 스위칭 및 CCC |
|
사용자-vlan-1p-우선순위 |
범위에서 |
예 |
예 |
이더넷 스위칭 및 CCC |
이더넷 스위칭 및 CCC |
|
특급 |
MPLS EXP 비트에서 일치합니다. |
예 |
아니요 |
MPLS |
NA |
|
레이블 |
MPLS 레이블 비트에서 일치합니다. |
예 |
아니요 |
MPLS |
NA |
|
트래픽 클래스 |
패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드입니다. traffic-class 필드는 DSCP(DiffServ Code Point) 값을 지정하는 데 사용됩니다. 이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었으며, 이 필드(예: DSCP)의 의미 체계는 IPv4의 의미 체계와 동일합니다. 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).
|
예 |
예 |
IPv6 |
IPv6 |
|
홉 제한 |
지정된 홉 제한 또는 홉 제한 집합을 일치시킵니다. 단일 값 또는 0에서 255 사이의 값 범위를 지정합니다. |
예 |
예 |
IPv6 |
IPv6 |
|
다음 헤더 |
IPv4 또는 IPv6 프로토콜 값입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(숫자 값도 나열되어 있음).
|
예 |
예 |
IPv6 |
IPv6 |
|
작업 |
설명 |
진입 |
출구 |
방화벽 필터 제품군(수신) |
방화벽 필터 제품군(송신) |
|---|---|---|---|---|---|
|
극대화합니다 |
용어와 일치하는 패킷 수를 계산합니다. |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭, CCC, MPLS 및 모든 |
IPv4, IPv6, 이더넷 스위칭, CCC 및 모든 |
|
버리다 |
ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다. |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭, CCC, MPLS 및 모든 |
IPv4, IPv6, 이더넷 스위칭, CCC 및 모든 |
|
로그 |
라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 작동 모드 명령을 |
예 |
아니요 |
IPv4 및 IPv6 |
NA |
|
포워딩 클래스 |
다음 기본 포워딩 클래스 중 하나 또는 사용자 정의 포워딩 클래스에서 패킷을 분류합니다.
포워딩 클래스를 구성하려면 손실 우선순위도 구성해야 합니다. |
예 |
아니요 |
IPv4, IPv6, 이더넷 스위칭, CCC 및 MPLS |
NA |
|
다음 인터페이스 |
지정된 발신 인터페이스로 패킷을 전달합니다. |
예 |
아니요 |
IPv4 및 IPv6 |
NA |
|
손실 우선 순위 |
패킷 손실 우선순위(PLP) 수준을 설정합니다. 동일한 방화벽 필터 용어에 |
예 |
아니요 |
IPv4, IPv6, 이더넷 스위칭, CCC 및 MPLS |
NA |
|
넥스트-IP |
지정된 대상 IPv4 주소로 패킷을 전달합니다. |
예 |
아니요 |
예 |
NA |
|
넥스트-IP6 |
지정된 대상 IPv6 주소로 패킷을 보냅니다. |
예 |
아니요 |
IPv6 |
NA |
|
폴리서 |
트래픽 속도 제한에 사용할 폴리서의 이름입니다. |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭, CCC, MPLS 및 모든 |
IPv4, IPv6, 이더넷 스위칭, CCC 및 모든 |
|
거부 |
패킷을 폐기하고 "대상에 연결할 수 없음" ICMPv4 메시지(유형 3)를 보냅니다. 거부된 패킷을 기록하려면 작업 수정자를 구성합니다 다음 메시지 유형 중 하나를 지정할 수 있습니다.
administratively-prohibited (default),
bad-host-tos, bad-network-tos, host-prohibited,
host-unknown, host-unreachable, network-prohibited,
network-unknown, network-unreachable,
port-unreachable, precedence-cutoff,
precedence-violation, protocol-unreachable,
source-host-isolated, source-route-failed, 또는 tcp-reset.를 지정할 메시지 유형을 지정하지 않으면 ICMP 알림 "대상에 연결할 수 없음"이 기본 메시지 "통신 관리적으로 필터링됨"과 함께 전송됩니다. |
예 |
아니요 |
IPv4 및 IPv6 |
NA |
|
syslog |
이 패킷에 대한 경고를 기록합니다. |
예 |
아니요 |
IPv4 및 IPv6 |
NA |
|
샘플 |
패킷 트래픽을 샘플링합니다. 트래픽 샘플링을 활성화한 경우에만 이 옵션을 적용하십시오. |
예 |
아니요 |
IPv4 및 IPv6 |
NA |
|
3색 폴리서 |
3색 폴리서에 패킷을 전송합니다(속도 제한을 적용하기 위해). |
예 |
예 |
IPv4, IPv6, 이더넷 스위칭, CCC, MPLS 및 모든 |
IPv4, IPv6, 이더넷 스위칭, CCC 및 모든 |