Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie ACX)

En los enrutadores metropolitanos universales serie ACX, puede configurar filtros de firewall para filtrar paquetes y realizar una acción en paquetes que coincidan con el filtro. Las condiciones de coincidencia especificadas para filtrar los paquetes son específicas del tipo de tráfico que se filtra.

Los filtros de firewall con IPv6 coinciden con condiciones no admitidas en el nivel jerárquico en firewall family inet6 filter name enrutadores ACX6360-OR en Junos OS versión 19.1R1.

Nota:

En los enrutadores de la serie ACX, el filtro para el tráfico saliente (filtro de salida) solo se puede aplicar a instancias específicas de la interfaz del filtro de firewall.

En los enrutadores de la serie ACX, se observan errores de TCAM cuando se modifica un prefijo o un término en los filtros de firewall aplicados. Para modificar un prefijo o un término en el filtro de firewall, debe quitar el filtro de firewall existente y, a continuación, aplicar el filtro modificado.

Nota:

En los enrutadores de la serie ACX, no puede aplicar un filtro de firewall en la dirección de salida en las interfaces IRB.

Descripción general de las condiciones y acciones de coincidencia de filtro de firewall en enrutadores de la serie ACX

Tabla 1 Describe los tipos de tráfico para los que puede configurar filtros de firewall sin estado estándar.

Tabla 1: El filtro de firewall estándar coincide con las condiciones por familia de protocolos para enrutadores de la serie ACX

Tipo de tráfico

Nivel de jerarquía en el que se especifican las condiciones de coincidencia

Independiente del protocolo

[edit firewall family any filter filter-name term term-name]

No se admiten condiciones de coincidencia para este tipo de tráfico en los enrutadores de la serie ACX.

IPv4

[edit firewall family inet filter filter-name term term-name

Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia para tráfico IPv4 (enrutadores de la serie ACX).

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia para tráfico MPLS (enrutadores de la serie ACX).

CCC de capa 2

[edit firewall family ccc filter filter-name term term-name]

No se admiten condiciones de coincidencia para este tipo de tráfico en los enrutadores de la serie ACX.

Puente

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (Solo se aplica a enrutadores ACX5048 y ACX5096).

En ACX5448 enrutador, los siguientes filtros de familia de entrada se pueden escalar según la disponibilidad de ccam externo:

  • familia ethernet-switching

  • familia ccc

  • familia inet

  • familia inet6

  • familia mpls

  • familia vpls

En la then instrucción para un término de filtro de firewall sin estado estándar, puede especificar las acciones que se deben realizar en un paquete que coincida con el término.

Tabla 2 Resume los tipos de acciones que puede especificar en un término estándar de filtro de firewall sin estado.

Tabla 2: Categorías de acción de filtro de firewall estándar para enrutadores de la serie ACX

Tipo de acción

Description

Comentario

Terminación

Detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador realiza la acción especificada y no se utilizan términos adicionales para examinar el paquete.

Solo puede especificar una acción de terminación en un filtro de firewall estándar. Sin embargo, puede especificar una acción de terminación con una o más acciones de no terminación en un solo término. Por ejemplo, dentro de un término, puede especificar accept con count y syslog.

Consulte Acciones de terminación (enrutadores de la serie ACX).

No terminación

Realiza otras funciones en un paquete (como incriminar a un contador, registrar información sobre el encabezado del paquete, muestrear los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan términos adicionales para examinar el paquete.

Consulte Acciones de no terminación (enrutadores de la serie ACX).

Condiciones de coincidencia para los filtros de firewall de la familia Bridge (enrutadores de la serie ACX)

Filtros de firewall de la familia Bridge en enrutadores de la serie ACX

Los filtros de firewall de la familia de puentes se pueden configurar a nivel de familia IFL en enrutadores de la serie ACX. Los filtros de familia de puentes se utilizan para hacer coincidir los flujos de puente L2 según los campos admitidos Layer2/Layer3 y realizar acciones de firewall. El número máximo de términos admitidos para los filtros de firewall de puente en los enrutadores de la serie ACX es 124.

Nota:

En los enrutadores de las series ACX5448 y ACX7000, debe aplicar los filtros de firewall de capa 2 solo en los paquetes conmutados de capa 2, incluso si el dominio de puente tiene IRB adjunto al dominio de puente. Si el paquete se reenvía de capa 3, se deben aplicar filtros de capa 3 en el IRB.
Nota:

En los enrutadores de la serie ACX, no puede aplicar un filtro de firewall en la dirección de salida en las interfaces IRB.

Tabla 3 muestra las condiciones de coincidencia admitidas por los filtros de familia de puente.

Tabla 3: Condiciones de coincidencia del filtro de firewall de la familia Bridge para enrutadores de la serie ACX

Condición de coincidencia

Description

grupos de aplicación

Establecer los grupos de los que heredar los datos de configuración

aplicar-grupos-excepto

Establecer qué grupos no difundirán datos de configuración

dirección-MAC de destino

Establecer la dirección MAC de destino

puerto de destino

Hacer coincidir el puerto de destino TCP/UDP

destination-prefix-list

Hacer coincidir los prefijos de destino IP en la lista con nombre.

DSCP

Hacer coincidir el punto de código de los servicios diferenciados (DiffServ)

tipo éter

Coincidir con el tipo de Ethernet

código icmp

Hacer coincidir un código de mensaje ICMP

Tipo ICMP

Coincidir con un tipo de mensaje ICMP

grupo de interfaz

Hacer coincidir un grupo de interfaces

dirección ip-destino

Hacer coincidir una dirección IP de destino

Precedencia de IP

Hacer coincidir un valor de prioridad IP

protocolo ip

Hacer coincidir un tipo de protocolo IP

dirección de origen IP

Hacer coincidir una dirección IP de origen

learn-vlan-1p-priority

Haga coincidir la prioridad de VLAN 802.1p aprendida

learn-vlan-dei

Coincidir el bit DEI del ID de VLAN de usuario

learn-vlan-id

Hacer coincidir un ID de VLAN aprendido

dirección-MAC de origen

Establecer la dirección MAC de origen

source-prefix-list

Hacer coincidir los prefijos de origen IP en la lista con nombre.

puerto de origen

Hacer coincidir un puerto de origen TCP/UDP

user-vlan-1p-priority

Coincidencia de prioridad VLAN 802.1p de usuario

usuario-vlan-id

Hacer coincidir un ID de VLAN de usuario

Tipo de VLAN-ETHER

Coincidir con un tipo de Ethernet VLAN

Tabla 4 muestra los campos de acción admitidos.

Tabla 4: Campos de acción de filtro de firewall de familia de puentes para enrutadores de la serie ACX

Campo de acción

Description

aceptar

Aceptar el paquete

cuenta

Contar el paquete en el contador con nombre

descartar

Descartar el paquete

clase de reenvío

Clasificar el paquete a la clase de reenvío

prioridad a la pérdida

Prioridad de pérdida de paquetes

registro

Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Para acceder a esta información, ejecute el comando show firewall log en la interfaz de línea de comandos (CLI).

Policíar

Nombre del agente de policía que se va a utilizar para limitar la velocidad del tráfico

syslog

Registre el paquete en el archivo de registro del sistema.

Poligrafiador de tres colores

Vigile el paquete usando un policía de tres colos
Nota:

Los filtros de firewall de la familia Bridge se pueden aplicar como filtro de salida en interfaces de capa 2. Cuando la interfaz de capa 2 se encuentra en un dominio de puente configurado con la instrucción, los enrutadores de la vlan-id serie ACX pueden hacer coincidir la VLAN externa del paquete mediante la coincidencia de ID de VLAN de usuario especificada en el filtro de firewall de familia de puentes.

Condiciones de coincidencia para los filtros de la familia de firewall CCC (enrutadores de la serie ACX)

Condiciones de coincidencia para los filtros de firewall de la familia CCC

En los enrutadores de la serie ACX, puede configurar un filtro de firewall estándar con condiciones de coincidencia para el tráfico de conexión cruzada de circuito (CCC) (familia CCC).

Tabla 5 Describe las condiciones de coincidencia que puede configurar en el nivel jerárquico [edit firewall family ccc filter filter-name term term-name] .

Tabla 5: Condiciones de coincidencia del filtro de firewall de la familia CCC para enrutadores de la serie ACX

Campo

Description

destination-mac-address

Dirección MAC de destino

destination-port

Hace coincidir el puerto de destino TCP/UDP

dscp

Hace coincidir el punto de código de los servicios diferenciados (DiffServ)

icmp-code

Coincide con el código de mensaje ICMP

icmp-type

Coincide con el tipo de mensaje ICMP

ip-destination-address

Coincide con la dirección IP de destino

ip-precedence

Coincide con el valor de prioridad de IP

ip-protocol

Coincide con el tipo de protocolo IP

ip-source-address

Coincide con la dirección IP de origen

learn-vlan-1p-priority

Coincidencias aprendidas Prioridad VLAN 802.1p

source-mac-address

Dirección MAC de origen

source-port

Hace coincidir el puerto de origen TCP/UDP

user-vlan-1p-priority

Coincide con la prioridad VLAN 802.1p del usuario

Condiciones de coincidencia para el tráfico IPv4 (enrutadores de la serie ACX)

En los enrutadores de la serie ACX, puede configurar un filtro de firewall sin estado estándar con condiciones de coincidencia para el tráfico IP versión 4 (IPv4) (family inet). Tabla 6 describe las condiciones de coincidencia que puede configurar en el nivel de [edit firewall family inet filter filter-name term term-name from] jerarquía.

Tabla 6: Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 en enrutadores de la serie ACX

Condición de coincidencia

Description

destination-address address

Haga coincidir el campo Dirección de destino IPv4.

Nota:

En los enrutadores de la serie ACX, sólo puede especificar una dirección de destino. No se admite una lista de direcciones de destino IPv4.

destination-port number

Haga coincidir el campo Puerto de destino UDP o TCP.

Si configura esta condición de coincidencia, se recomienda configurar también la protocol udp instrucción o protocol tcp coincidencia en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-prefix-list

Hacer coincidir los prefijos de destino IP en la lista con nombre.

dscp number

Hacer coincidir el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.

Puede especificar un valor numérico del 0 al 63. Para especificar el valor en formato hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

fragment-flags number

(Solo entrada) Haga coincidir el campo de indicadores de fragmentación de IP de tres bits en el encabezado de IP.

En lugar del valor numérico del campo, puede especificar una de las siguientes palabras clave (también se enumeran los valores de campo): dont-fragment(0x4), more-fragments (0x2) o reserved (0x8).

icmp-code number

Haga coincidir el campo de código del mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la protocol icmp condición de coincidencia en el mismo término.

Si configura esta condición de coincidencia, también debe configurar la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip-header-bad(0), required-option-missing (1)

  • redirigir: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • Tiempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • inalcanzable: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number

Haga coincidir el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la protocol icmp condición de coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) o unreachable (3).

ip-options values

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado.

Los enrutadores de la serie ACX solo admiten la condición de ip-options_any coincidencia, lo que garantiza que los paquetes se envíen al motor de reenvío de paquetes para su procesamiento.

Nota:

En los enrutadores de la serie ACX, sólo puede especificar un valor de opción IP. No se admite la configuración de varios valores.

precedence ip-precedence-field

Haga coincidir el campo de prioridad de IP.

En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00). Puede especificar la prioridad en formato hexadecimal, binario o decimal.

protocol number

Haga coincidir el campo Tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): dstopts(60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), ipv6 (41), no-next-header, ospf (89), pim (103), routingrsvp , (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

source-address address

Haga coincidir la dirección IPv4 del nodo de origen que envía el paquete.

source-port number

Haga coincidir el campo Puerto de origen UDP o TCP.

Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la protocol udp instrucción de coincidencia o protocol tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

source-prefix-list

Hacer coincidir los prefijos de origen IP en la lista con nombre.

tcp-flags value

Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de tcp-initial coincidencia.

Si configura esta condición de coincidencia, se recomienda configurar también la instrucción de protocol tcp coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.

tcp-initial

Hacer coincidir el paquete inicial de una conexión TCP. Este es un alias para tcp-flags "(!ack & syn)".

Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que también configure la protocol tcp condición de coincidencia en el mismo término.

ttl number

Haga coincidir el número de tiempo de vida IPv4. Especifique un valor TTL o un rango de valores TTL. Para number, puede especificar uno o varios valores del 2 al 255.

Condiciones de coincidencia para el tráfico IPv6 (enrutadores de la serie ACX)

Puede configurar un filtro de firewall con condiciones de coincidencia para el tráfico del Protocolo de Internet versión 6 (IPv6) (family inet6). Tabla 7 describe las condiciones de coincidencia que puede configurar en el nivel de [edit firewall family inet6 filter filter-name term term-name from] jerarquía.

Tabla 7: Condiciones de coincidencia del filtro de firewall para el tráfico IPv6

Condición de coincidencia

Description

destination-address address

Haga coincidir el campo Dirección de destino IPv6.

destination-port number

Haga coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones de coincidencia port y destination-port en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-prefix-list

Hacer coincidir los prefijos de destino IP en la lista con nombre.

extension-headers header-type

Haga coincidir un tipo de encabezado de extensión contenido en el paquete identificando un valor de encabezado siguiente.

En el primer fragmento de un paquete, el filtro busca una coincidencia en cualquiera de los tipos de encabezado de extensión. Cuando se encuentra un paquete con un encabezado de fragmento (un fragmento posterior), el filtro sólo busca una coincidencia del siguiente tipo de encabezado de extensión porque la ubicación de otros encabezados de extensión es impredecible.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) o routing (43).

Para hacer coincidir cualquier valor de la opción de encabezado de extensión, utilice el sinónimo anyde texto .

Nota:

Sólo se puede hacer coincidir el primer encabezado de extensión del paquete IPv6. El encabezado L4 más allá de un encabezado de extensión IPv6 coincidirá.

hop-limit hop-limit

Haga coincidir el límite de salto con el límite de salto especificado o con un conjunto de límites de saltos. Para hop-limit, especifique un único valor o un intervalo de valores del 0 al 255.

icmp-code message-code

Haga coincidir el campo de código del mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la next-header icmp condición de coincidencia o next-header icmp6 en el mismo término.

Si configura esta condición de coincidencia, también debe configurar la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • Tiempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Destino inalcanzable: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-type message-type

Haga coincidir el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la next-header icmp condición de coincidencia o next-header icmp6 en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) o time-exceeded (3).

Para private-experimentation-201 (201), también puede especificar un rango de valores entre corchetes.

next-header header-type

Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete. La compatibilidad con la condición de coincidencia de next-header firewall está disponible en Junos OS versión 13.3R6 y posteriores.

Para IPv6, se recomienda utilizar el payload-protocol término en lugar del término al configurar un filtro de firewall con condiciones coincidentes next-header . Aunque cualquiera de los dos se puede usar, payload-protocol proporciona la condición de coincidencia más confiable porque usa el protocolo de carga útil real para encontrar una coincidencia, mientras next-header que simplemente toma lo que aparece en el primer encabezado después del encabezado IPv6, que puede o no ser el protocolo real. Además, si next-header se utiliza con IPv6, se omite el proceso de búsqueda acelerada de bloques de filtro y se utiliza en su lugar el filtro estándar.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

Nota:

next-header icmp6 y next-header icmpv6 las condiciones de coincidencia realizan la misma función. next-header icmp6 es la opción preferida. next-header icmpv6 está oculto en la CLI de Junos OS.

source-address address

Haga coincidir la dirección IPv6 del nodo de origen que envía el paquete.

source-port number

Haga coincidir el campo Puerto de origen UDP o TCP.

No puede especificar las port condiciones y source-port coincidir en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

source-prefix-list

Hacer coincidir los prefijos de origen IP en la lista con nombre.

tcp-flags flags

Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de tcp-established coincidencia y tcp-initial .

Si configura esta condición de coincidencia, se recomienda que también configure la condición de next-header tcp coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.

tcp-initial

Hacer coincidir el paquete inicial de una conexión TCP. Este es un sinónimo de texto para tcp-flags "(!ack & syn)".

Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que también configure la next-header tcp condición de coincidencia en el mismo término.

traffic-class number

Haga coincidir el campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete.

Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4.

Puede especificar un valor numérico desde 0 .63 Para especificar el valor en formato hexadecimal, inclúyalo 0x como prefijo. Para especificar el valor en formato binario, inclúyalo b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)
Nota:

Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o source-address de coincidenciaaddressdestination-address), use la sintaxis para las representaciones de texto descritas en RFC 4291, Arquitectura de direccionamiento IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y Estándares IPv6 compatibles.

A continuación se muestra un ejemplo de configuración de inet6 de la familia de firewalls:

Condiciones de coincidencia para el tráfico MPLS (enrutadores de la serie ACX)

En los enrutadores de la serie ACX, puede configurar un filtro de firewall sin estado estándar con condiciones coincidentes para el tráfico MPLS (family mpls).

Nota:

Las input-list filter-names instrucciones y output-list filter-names de los filtros de firewall de la mpls familia de protocolos se admiten en todas las interfaces, excepto en las interfaces de administración y las interfaces Ethernet internas (fxp o em0), las interfaces de circuito cerrado (lo0) y las interfaces de módem USB (umd).

Tabla 8 Describe las condiciones de coincidencia que puede configurar en el nivel jerárquico [edit firewall family mpls filter filter-name term term-name from] .

Tabla 8: Condiciones de coincidencia del filtro de firewall estándar para el tráfico MPLS en enrutadores de la serie ACX
Condición de coincidencia Description

exp number

Número de bits experimental (EXP) o intervalo de números de bits en el encabezado MPLS. Para number, puede especificar uno o varios valores del 0 al 7 en formato decimal, binario o hexadecimal.

Acciones de no terminación (enrutadores de la serie ACX)

Los filtros estándar de firewall sin estado admiten diferentes conjuntos de acciones de no terminación para cada familia de protocolos.

Nota:

Los enrutadores de la serie ACX no admiten la next term acción.

Los enrutadores de la serie ACX admiten acciones de registro y syslog en las direcciones de entrada y salida para la familia inet y la familia bridge.

ACX5448, los enrutadores de las series ACX710 y ACX7100 no admiten log, syslog, rejectforwarding-class, ni loss-priority en la dirección de salida. En la dirección de entrada y salida, los enrutadores solo admiten semántica específica de la interfaz.

Tabla 9 Describe las acciones de no terminación que puede configurar para un término de filtro de firewall estándar.

Tabla 9: Acciones de no terminación para filtros de firewall estándar en enrutadores de la serie ACX

Acción de no terminación

Description

Familias de protocolos

count counter-name

Cuente el paquete en el contador con nombre.

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

Clasifique el paquete según la clase de reenvío especificada:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

Nota:

Esta acción solo se admite en la entrada.

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede acceder a esta información emitiendo el show firewall log comando en la interfaz de línea de comandos (CLI).

Nota:

Esta acción se admite en la entrada y salida. La acción de salida no se admite para la familia inet6.

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

Establezca el nivel de prioridad de pérdida de paquetes (PLP).

Tampoco puede configurar la acción de three-color-policer no terminación para el mismo período de filtro de firewall. Estas dos acciones de no terminación son mutuamente excluyentes.

Debe incluir la tri-color instrucción en el nivel de [edit class-of-service] jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, sólo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la tri-color instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

Nota:

Esta acción solo se admite en la entrada.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

Nombre del agente de policía que se va a utilizar para limitar la velocidad del tráfico.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Espejo de puerto del paquete según la familia especificada.

Nota:

Esta acción solo se admite en la entrada.

ACX5048 y ACX5096 enrutadores no admiten port-mirror.

family inet

syslog

Registre el paquete en el archivo de registro del sistema.

Nota:

Esta acción se admite en la entrada y salida. La acción de salida no se admite para la familia inet6.

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

Vigile el paquete utilizando el controlador de tres colores de velocidad única o de dos velocidades especificado.

Tampoco puede configurar la loss-priority acción para el mismo período de filtro de firewall. Estas dos acciones son mutuamente excluyentes.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

Establecer punto de código de clase de tráfico

Nota:

Esta acción solo se admite en la entrada.

family inet6

Acciones de terminación (enrutadores de la serie ACX)

Los filtros estándar de firewall sin estado admiten diferentes conjuntos de acciones de terminación para cada familia de protocolos.

Nota:

Los enrutadores de la serie ACX no admiten la next term acción.

Tabla 10 Describe las acciones de terminación que puede especificar en un término de filtro de firewall estándar.

Tabla 10: Acciones de terminación para filtros de firewall estándar en enrutadores de la serie ACX

Acción de terminación

Description

Protocolos

accept

Acepte el paquete.

  • family any

  • family inet

  • family mpls

  • family ccc

discard

Descarte un paquete silenciosamente, sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP). Los paquetes desechados están disponibles para su registro y muestreo.

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

Rechazar el paquete y devolver un mensaje ICMPv4 o ICMPv6:

  • Si no se especifica ningún tipo de mensaje, se devuelve un destination-unreachable mensaje de forma predeterminada.

  • Si tcp-reset se especifica como tipo de mensaje, tcp-reset sólo se devuelve si el paquete es un paquete TCP. De lo contrario, se devuelve el administratively-prohibited mensaje, que tiene un valor de 13.

  • Si se especifica cualquier otro tipo de mensaje, se devuelve ese mensaje.

Nota:

  • Los paquetes rechazados se pueden muestrear o registrar si configura la sample acción o syslog .

  • Esta acción solo se admite en la entrada.

La message-type opción puede tener uno de los siguientes valores: address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tos, beyond-scopefragmentation-needed, host-prohibited, host-unknown, host-unreachable, network-unknownno-routeport-unreachableprecedence-cutoffnetwork-unreachablenetwork-prohibitedprotocol-unreachablesource-host-isolatedprecedence-violationsource-route-failedo .tcp-reset

family inet

routing-instance routing-instance-name

Dirija el paquete a la instancia de enrutamiento especificada.

  • family inet