Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones y acciones de coincidencia de filtro de Firewall (serie ACX enrutadores)

En serie ACX enrutadores de metro universales, puede configurar filtros de Firewall para filtrar paquetes y llevar a cabo una acción en paquetes que coincidan con el filtro. Las condiciones de coincidencia especificadas para filtrar los paquetes son específicas del tipo de tráfico que se está filtrando.

Filtros de firewall con condiciones de coincidencia IPv6 no compatibles en el nivel de jerarquía en enrutadores ACX6360-OR en Junos OS firewall family inet6 filter name versión 19.1R1.

Nota:

En serie ACX enrutadores, el filtro para el tráfico de salida (filtro de salida) solo se puede aplicar para instancias específicas de la interfaz del filtro del firewall.

Introducción a las condiciones y acciones de coincidencia de filtros del cortafuegos en serie ACX enrutadores

Tabla 1describe los tipos de tráfico para los que puede configurar filtros de Firewall estándar sin estado.

Tabla 1: Filtro estándar de Firewall condiciones de coincidencia de la familia de protocolo para serie ACX enrutadores

Tipo de tráfico

Nivel de jerarquía en el que se especifican condiciones de coincidencia

Independiente del Protocolo

[edit firewall family any filter filter-name term term-name]

No se admiten condiciones de coincidencia para este tipo de tráfico en enrutadores de serie ACX.

IPv4

[edit firewall family inet filter filter-name term term-name

Para obtener la lista completa de las condiciones de coincidencia, consulte coincidencia de condiciones para el tráfico IPv4 (serie ACX enrutadores).

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para obtener la lista completa de las condiciones de coincidencia, consulte coincidencia de condiciones para el tráfico de MPLS (serie ACX enrutadores).

CCC de capa 2

[edit firewall family ccc filter filter-name term term-name]

No se admiten condiciones de coincidencia para este tipo de tráfico en enrutadores de serie ACX.

Puente

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name](Sólo aplicable a enrutadores ACX5048 y ACX5096)

En el enrutador ACX5448, se pueden escalar los siguientes filtros de la familia de entrada según la disponibilidad de la TCAM externa:

  • serieethernet-switching

  • serieccc

  • serieinet

  • serieinet6

  • seriempls

  • serievpls

Bajo la then instrucción de un término estándar de filtro de Firewall sin estado, puede especificar las acciones que se realizarán en un paquete que coincida con el término.

Tabla 2resume los tipos de acciones que se pueden especificar en un término estándar de filtro de cortafuegos sin estado.

Tabla 2: Filtro estándar de cortafuegos categorías de acciones para serie ACX enrutadores

Tipo de acción

Descriptiva

Coment

Anula

Detiene toda la evaluación de un filtro de Firewall para un paquete específico. El enrutador realiza la acción especificada, y no se utilizan términos adicionales para examinar el paquete.

Sólo puede especificar una acción de terminación en un filtro estándar de Firewall. Sin embargo, puede especificar una acción de terminación con una o más acciones de no terminación en un único término. Por ejemplo, dentro de un término, puede especificar accept con count and syslog.

Consulte finalización de acciones (serie ACX enrutadores).

No terminando

Realiza otras funciones en un paquete (como incriminating un contador, registro de la información sobre el encabezado del paquete, el muestreo de los datos del paquete o el envío de información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan términos adicionales para examinar el paquete.

Consulte acciones de no terminación (serie ACX enrutadores).

Condiciones de coincidencia para filtros de firewalls de la familia puente (serie ACX enrutadores)

Filtros de cortafuegos de la familia puente en enrutadores serie ACX

Los filtros del firewall de la familia puente se pueden configurar a nivel de familia de IFL en enrutadores serie ACX. Los filtros de la familia puente se utilizan para hacer coincidir los flujos del puente L2 según los campos Layer2/layer3 compatibles y llevar a cabo una acción de cortafuegos. El número máximo de términos admitidos para los filtros de Firewall de puente en serie ACX enrutadores es 124.

Tabla 3muestra las condiciones de coincidencia compatibles con los filtros de la familia puente.

Tabla 3: Filtro de servidor de seguridad de familia puente condiciones de coincidencia para serie ACX enrutadores

Condición coincidir

Descriptiva

aplicar-grupos

Establecer los grupos de los que se heredarán los datos de configuración

Apply-Groups-Except

Establecer los grupos a los que no se difundirán los datos de configuración

destino-MAC-dirección

Establecer el dirección MAC de destino

Puerto de destino

Coincide con el puerto de destino TCP/UDP

destination-prefix-list

Hacer coincidir prefijos de destino IP en la lista nombrada.

valida

Hacer coincidir con el punto de código de servicios diferenciados (DiffServ)

ether-Type

Coincide con el tipo de Ethernet

código de ICMP

Hacer coincidir con un código de mensaje ICMP

tipo de ICMP

Hacer coincidir con un tipo de mensaje ICMP

Grupo de interfaces

Hacer coincidir con un grupo de interfaz

Dirección de destino de IP

Hacer coincidir con una dirección de destino IP

prioridad de IP

Coincide con un valor de prioridad IP

protocolo IP

Hacer coincidir con un tipo de protocolo IP

Dirección de origen de IP

Hacer coincidir con una dirección IP de origen

learn-vlan-1p-priority

Cumplir con la prioridad aprendida 802.1 p VLAN

aprendizaje-VLAN-dei

Hacer coincidir ID DEI de VLAN de usuario

aprendizaje-VLAN-id

IDENTIFICACIÓN de VLAN de aprendizaje

Source-MAC-address

Establecer el dirección MAC de origen

source-prefix-list

Hacer coincidir los prefijos de origen IP en la lista con nombre.

Puerto de origen

Hacer coincidir con un puerto de origen TCP/UDP

user-vlan-1p-priority

Coincide con prioridad de usuario de 802.1 p VLAN

ID. usuario-VLAN

Coincidir con un ID de VLAN de usuario

tipo VLAN-ether-Type

Hacer coincidir con un tipo Ethernet VLAN

Tabla 4muestra los campos de acción compatibles.

Tabla 4: Familia puente campos de acción de filtro de cortafuegos para serie ACX enrutadores

Campo acción

Descriptiva

recibir

Aceptar el paquete

cuentan

Contar el paquete en el contador con nombre

rechaza

Descarte el paquete

de clase de reenvío

Clasificar el paquete a la clase de reenvío

prioridad de pérdida

Prioridad de pérdida de paquetes

archivo

Registrar la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede tener acceso a esta información si emite el comando show Firewall log en la interfaz de línea de comandos (CLI).

policía

Nombre de la policía que se utilizará para limitar la velocidad de tráfico

registro

Registre el paquete en el archivo de registro del sistema.

policía de tres colores

Policiale el paquete utilizando un colo de tres.

Nota:

Los filtros del cortafuegos de la familia Bridge se pueden aplicar como filtro de salida a las interfaces de la capa 2. Cuando la interfaz de capa 2 se encuentra en un dominio de puente configurado vlan-id con la instrucción, los enrutadores de la serie ACX pueden hacer coincidir la VLAN externa del paquete mediante la coincidencia de usuario VLAN-id especificada en el filtro Firewall de la familia Bridge.

Condiciones de concordancia para filtros de familia de Firewall CCC (serie ACX enrutadores)

Condiciones para filtrar filtros de cortafuegos de la familia CCC

En serie ACX enrutadores, puede configurar un filtro estándar de firewall con condiciones de coincidencia para el tráfico entre conexiones (CCC) del circuito (familia CCC).

Tabla 5describe las condiciones de coincidencia que puede configurar en [edit firewall family ccc filter filter-name term term-name] el nivel de jerarquía.

Tabla 5: CCC filtro de servidor de seguridad de familia condiciones de coincidencia para serie ACX enrutadores

Campo

Descriptiva

destination-mac-address

dirección MAC de destino

destination-port

Coincide con el puerto de destino TCP/UDP

dscp

Coincide con punto de código de servicios diferenciados (DiffServ)

icmp-code

Coincide con código de mensaje ICMP

icmp-type

Coincide con el tipo de mensaje ICMP

ip-destination-address

Coincide con dirección IP de destino

ip-precedence

Coincide con el valor de prioridad IP

ip-protocol

Coincide con el tipo de protocolo IP

ip-source-address

Coincide con dirección IP de origen

learn-vlan-1p-priority

Correspondencias aprendidas 802.1 p prioridad VLAN

source-mac-address

dirección MAC de origen

source-port

Coincide con el puerto de origen TCP/UDP

user-vlan-1p-priority

Coincide con prioridad de usuario 802.1 p VLAN

Condiciones de coincidencia para el tráfico IPv4 (serie ACX enrutadores)

En enrutadores serie ACX, puede configurar un filtro estándar de firewall sin estado con condiciones de coincidencia para el tráfico IP versión 4 (IPv4) ( ). describe las condiciones de coincidencia que puede configurar en el nivel jerárquico. family inetTabla 6[edit firewall family inet filter filter-name term term-name from]

Tabla 6: Condiciones de coincidencia de filtro de Firewall para el tráfico IPv4 en enrutadores serie ACX

Condición coincidir

Descriptiva

destination-address address

Hacer coincidir el campo de dirección de destino IPv4.

Nota:

En serie ACX enrutadores, sólo puede especificar una dirección de destino. No se admite una lista de direcciones IPv4 de destino.

destination-port number

Hacer coincidir con el campo de puerto de destino UDP o TCP.

Si configura esta condición de coincidencia, es recomendable que configure también las protocol udp instrucciones protocol tcp o Match en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los números de puertos): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), ((639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (2 snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-prefix-list

Hacer coincidir prefijos de destino IP en la lista nombrada.

dscp number

Busca una coincidencia con el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte comprender cómo el comportamiento agregan clasificadores priorizan el tráfico de confianza.

Puede especificar un valor numérico comprendido entre 0 y 63. Para especificar el valor en formato hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • RFC 3246, Un PHBde reenvío acelerado (comportamiento por salto) , define un punto de código: ef(46).

  • RFC 2597, Reenvío asegurado grupo PHB, define 4 clases, con 3 prioridades de colocación en cada clase, para un total de 12 puntos de código:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

fragment-flags number

(Solo entrada) Hacer coincidir el campo de marcadores de fragmentación de IP de tres bits en el encabezado IP.

En lugar del valor del campo numérico, puede especificar una de las palabras clave siguientes (también se muestran los valores del campo): dont-fragment(0x4), more-fragments (0x2) o reserved (0x8).

icmp-code number

Hacer coincidir el campo de código de mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que configure también protocol icmp la condición de coincidencia en el mismo término.

Si configura esta condición de coincidencia, debe configurar también la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip-header-bad(0), required-option-missing (1)

  • redirección: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • tiempo transcedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • inalcanzable: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachablehost-unreachable-for-TOS (1), (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number

Hacer coincidir el campo tipo de mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que configure también protocol icmp la condición de coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), ( parameter-problem 12), redirect (5), router-advertisement (9), router-solicit (10), ( source-quench 4), time-exceeded (11), timestamp (13), timestamp-reply (14) o unreachable (3).

ip-options values

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado.

Serie ACX enrutadores son compatibles ip-options_any únicamente con la condición de coincidencia, lo que garantiza que los paquetes se envíen al motor de reenvío de paquetes para su procesamiento.

Nota:

En serie ACX enrutadores, sólo puede especificar un valor de opción de dirección IP. No se admite la configuración de varios valores.

precedence ip-precedence-field

Hacer coincidir con el campo de prioridad IP.

En lugar del valor del campo numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también aparecen en la lista): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00). Puede especificar una prioridad en formato hexadecimal, binario o decimal.

protocol number

Hacer coincidir con el campo tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): dstopts(60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6icmpv6 (58), igmp (2), ipipipv6 (4), (41), no-next-headerospf (89), pim (103), routingrsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

source-address address

Coincide con la dirección IPv4 del nodo de origen que envía el paquete.

source-port number

Coincida con el campo de puerto de origen UDP o TCP.

Si configura esta condición de coincidencia para el tráfico IPv4, recomendamos que configure también protocol udp las protocol tcp instrucciones o Match en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición coincidir.

source-prefix-list

Hacer coincidir los prefijos de origen IP en la lista con nombre.

tcp-flags value

Hacer coincidir uno o más de los 6 bits de orden bajo en el campo indicadores TCP de 8 bits en el encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

En una sesión TCP, el indicador SYN sólo se establece en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede unir varias marcas utilizando los operadores lógicos de campos de bits.

Para las condiciones de coincidencia de campos de bits combinados tcp-initial , vea las condiciones de coincidencia.

Si configura esta condición de coincidencia, es recomendable que configure también la protocol tcp instrucción Match en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.

tcp-initial

Hacer coincidir con el paquete inicial de una conexión TCP. Este es un alias de tcp-flags "(!ack & syn)".

Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que configure también protocol tcp la condición de coincidencia en el mismo término.

ttl number

Hacer coincidir el número de período de vida IPv4. Especifique un valor TTL o un rango de valores de TTL. Para number, puede especificar uno o más valores comprendidos entre el 2 y el 255.

Condiciones de coincidencia para el tráfico IPv6 (enrutadores serie ACX)

Puede configurar un filtro de firewall con condiciones de coincidencia para el tráfico de protocolo de Internet versión 6 (IPv6) ( ). describe las condiciones de coincidencia que puede configurar en family inet6Tabla 7 el nivel [edit firewall family inet6 filter filter-name term term-name from] jerárquico.

Tabla 7: Condiciones de coincidencia de filtro de Firewall para tráfico IPv6

Condición coincidir

Descriptiva

destination-address address

Hacer coincidir con el campo de dirección de destino de IPv6.

destination-port number

Hacer coincidir con el campo de puerto de destino UDP o TCP.

No puede especificar las port condiciones de destination-port coincidencia con el mismo término.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header udp condición next-header tcp o coincidir en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los números de puertos): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), ((639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (2 snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-prefix-list

Hacer coincidir prefijos de destino IP en la lista nombrada.

extension-headers header-type

Hacer coincidir con un tipo de encabezado de extensión contenido en el paquete mediante la identificación de un siguiente valor de encabezado.

En el primer fragmento de un paquete, el filtro busca una coincidencia en cualquiera de los tipos de encabezado de extensión. Cuando se encuentra un paquete con un encabezado Fragment (un fragmento subsiguiente), el filtro solo busca una coincidencia con el siguiente tipo de encabezado, ya que la ubicación de los demás encabezados de extensión es imprevisible.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): ah(51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) o routing (43).

Para hacer coincidir cualquier valor de la opción de encabezado de extensión, anyutilice el sinónimo de texto.

Nota:

Solo se puede hacer coincidir el primer encabezado de extensión del paquete IPv6. Se coincidirá con un encabezado L4 más allá de un encabezado de extensión IPv6.

hop-limit hop-limit

Hace coincidir el límite de saltos con el límite de saltos especificado o con el conjunto de límites de saltos. Para hop-limit, especifique un valor único o un rango de valores del 0 al 255.

icmp-code message-code

Hacer coincidir el campo de código de mensaje ICMP.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header icmp condición next-header icmp6 o que coincida en el mismo término.

Si configura esta condición de coincidencia, debe configurar también la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • tiempo transcedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • destino: inaccesible: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-type message-type

Hacer coincidir el campo tipo de mensaje ICMP.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header icmp condición next-header icmp6 o que coincida en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitation (142), (141), membership-query (130), membership-reportmembership-termination (131), (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), (130) (131), (147), (146) (146) neighbor-advertisementneighbor-solicit (136), node-information-reply (135), (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200private-experimentation-201 (200), (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) o time-exceeded (3).

Para private-experimentation-201 (201), también puede especificar un rango de valores entre corchetes.

next-header header-type

Hacer coincidir con el primer campo del encabezado siguiente de 8 bits del paquete. La compatibilidad con la next-header condición de coincidencia de firewall está disponible en Junos OS versión 13.3R6 y posteriores.

En el caso de IPv6, recomendamos que utilice el término en lugar del término cuando configure un payload-protocol filtro de firewall con condiciones de next-header coincidencia. Aunque se puede usar, proporciona la condición de coincidencia más confiable, ya que utiliza el protocolo de carga real para encontrar una coincidencia, mientras que simplemente toma lo que aparece en el primer encabezado después del encabezado payload-protocol IPv6, que puede o no ser el protocolo next-header real. Además, si se usa con IPv6, se omite el proceso de búsqueda acelerada de bloques de filtros y se usa next-header el filtro estándar en su lugar.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6icmpv6 (58), (58), igmp (2), ipip (4), ipv6 (4 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

Nota:

next-header icmp6y next-header icmpv6 las condiciones de coincidencia realizan la misma función. next-header icmp6 es la opción preferida. next-header icmpv6 está oculta en Junos os CLI.

source-address address

Hacer coincidir con la dirección IPv6 del nodo de origen que envía el paquete.

source-port number

Coincida con el campo de puerto de origen UDP o TCP.

No puede especificar las port condiciones source-port de coincidencia en el mismo término.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header udp condición next-header tcp o coincidir en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición coincidir.

source-prefix-list

Hacer coincidir los prefijos de origen IP en la lista con nombre.

tcp-flags flags

Hacer coincidir uno o más de los 6 bits de orden bajo en el campo indicadores TCP de 8 bits en el encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

En una sesión TCP, el indicador SYN sólo se establece en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede unir varias marcas utilizando los operadores lógicos de campos de bits.

Para las condiciones de coincidencia de campos de bits combinados tcp-established , tcp-initial vea las condiciones de coincidencia y.

Si configura esta condición de coincidencia, le recomendamos que configure también next-header tcp la condición de coincidencia en el mismo término para especificar que el protocolo TCP se utiliza en el puerto.

tcp-initial

Hacer coincidir con el paquete inicial de una conexión TCP. Este es un sinónimo de tcp-flags "(!ack & syn)"texto.

Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que configure también next-header tcp la condición de coincidencia en el mismo término.

traffic-class number

Hacer coincidir el campo de 8 bits que especifica la prioridad de la clase de servicio (CoS) del paquete.

Este campo se usó anteriormente como campo de tipo de servicio (ToS) en IPv4.

Puede especificar un valor numérico de 0 a. 63 Para especificar el valor en formato hexadecimal, incluir 0x como prefijo. Para especificar el valor en formato binario, b incluya un prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • RFC 3246, Un PHBde reenvío acelerado (comportamiento por salto) , define un punto de código: ef(46).

  • RFC 2597, Reenvío asegurado grupo PHB, define 4 clases, con 3 prioridades de colocación en cada clase, para un total de 12 puntos de código:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

Nota:

Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o de coincidencia), utilice la sintaxis para las representaciones de texto descritas en addressdestination-address RFC source-address 4291, Arquitectura de dirección IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte información general sobre IPv6 y estándares de IPv6 compatibles.

El siguiente es un ejemplo de configuración inet6 de la familia del servidor de seguridad:

Condiciones de tráfico de MPLS (enrutadores serie ACX)

En serie ACX enrutadores, puede configurar un filtro de Firewall sin estado estándar con condiciones de coincidencia para elfamily mplstráfico de MPLS ().

Nota:

Las input-list filter-names instrucciones output-list filter-names y de filtros de cortafuegos mpls para la familia de protocolos son compatibles con todas las interfaces con excepción de las interfaces de administraciónfxp y em0las interfaces Ethernet internas (o), las interfaces de bucle invertido (lo0) y USB interfaces de módem (umd).

Tabla 8describe las condiciones de coincidencia que puede configurar en [edit firewall family mpls filter filter-name term term-name from] el nivel de jerarquía.

Tabla 8: Filtro estándar de Firewall condiciones de coincidencia de tráfico de MPLS en enrutadores serie ACX
Condición coincidir Descripción

exp number

Número de bits experimental (EXP) o intervalo de números de bits del encabezado MPLS. Para number, puede especificar uno o más valores de 0 a 7 en formato decimal, binario o hexadecimal.

Acciones de no terminación (serie ACX enrutadores)

Los filtros estándar de Firewall sin estado admiten distintos conjuntos de acciones de no terminación para cada familia de protocolos.

Nota:

Serie ACX enrutadores no admiten next term la acción.

Los enrutadores serie ACX admiten acciones de registro y syslog en direcciones de entrada y salida para familia inet y bridge familia.

ACX5448, los enrutadores serie ACX710 y ACX7100 no admiten , , y en la dirección logsyslog de rejectforwarding-classloss-priority salida. En la dirección de entrada y salida, los enrutadores solo admiten la tipola de interfaces específicas.

Tabla 9describe las acciones de no terminación que puede configurar para un término de filtro estándar de Firewall.

Tabla 9: Acciones de no terminación para filtros de Firewall estándar en enrutadores serie ACX

Acción de no terminación

Descriptiva

Familias de protocolos

count counter-name

Cuente el paquete en el contador con nombre.

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

Clasificar el paquete basándose en la clase de reenvío especificada:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

Nota:

Esta acción solo se admite en la entrada.

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

Registrar la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede tener acceso a esta información si emite el show firewall log comando en la interfaz de línea de comandos (CLI).

Nota:

Esta acción se admite en entrada y salida. La acción de salida no es compatible con la familia inet6.

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

Establezca el nivel de prioridad de pérdida de paquetes (PLP).

No puede configurar también la three-color-policer acción de no terminación para el mismo término de filtro de Firewall. Estas dos acciones de no terminación son mutuamente excluyentes.

Debe incluir la tri-color instrucción en el [edit class-of-service] nivel de jerarquía para confirmar una configuración de PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles low y. Esto se aplica a todas las familias de protocolos.

Para obtener más información tri-color sobre la instrucción, consulte configuración y aplicación de políticas de marcado tricolor. Para obtener información acerca de cómo utilizar clasificadores agregados de comportamiento de (BA) para establecer el nivel PLP de paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

Nota:

Esta acción solo se admite en la entrada.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

Nombre de la policía que se utilizará para limitar la velocidad del tráfico.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

Port-mirrore el paquete basado en la familia especificada.

Nota:

Esta acción solo se admite en la entrada.

Los enrutadores ACX5048 y ACX5096 no admiten port-mirror .

family inet

syslog

Registre el paquete en el archivo de registro del sistema.

Nota:

Esta acción se admite en entrada y salida. La acción de salida no es compatible con la familia inet6.

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

Policía: el paquete utilizando las políticas de monotasa o de tres colores especificadas.

Tampoco puede configurar la loss-priority acción para el mismo término de filtro de Firewall. Estas dos acciones son mutuamente excluyentes.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

Establecer punto de código de clase de tráfico

Nota:

Esta acción solo se admite en la entrada.

family inet6

Acciones de finalización (serie ACX enrutadores)

Los filtros estándar de Firewall sin estado admiten distintos conjuntos de acciones de terminación para cada familia de protocolos.

Nota:

Serie ACX enrutadores no admiten next term la acción.

Tabla 10describe las acciones de terminación que puede especificar en un término de filtro estándar de Firewall.

Tabla 10: Acciones de terminación de filtros de Firewall estándar en enrutadores serie ACX

Acción de terminación

Descriptiva

Protocol

accept

Aceptar el paquete.

  • family any

  • family inet

  • family mpls

  • family ccc

discard

Descartar un paquete de forma silenciosa, sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP). Hay paquetes descartados disponibles para el registro y el muestreo.

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

Rechazar el paquete y devolver un mensaje ICMPv4 o ICMPv6:

  • Si no se especifica ningún tipo de mensaje destination-unreachable , se devolverá un mensaje de forma predeterminada.

  • Si tcp-reset se especifica como el tipo de mensaje tcp-reset , sólo se devuelve si el paquete es un paquete TCP. De lo administratively-prohibited contrario, se devuelve el mensaje, que tiene un valor de 13.

  • Si se especifica cualquier otro tipo de mensaje, se devuelve dicho mensaje.

Nota:
  • Los paquetes rechazados pueden ser muestreados o registrados si configura la sample acción syslog o.

  • Esta acción solo se admite en la entrada.

La message-type opción puede tener uno de los siguientes valores: address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tos, beyond-scope, fragmentation-needed, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, no-route, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachablesource-host-isolated,, o tcp-reset. source-route-failed

family inet

routing-instance routing-instance-name

Dirija el paquete a la instancia de enrutamiento especificada.

  • family inet