Condiciones y acciones de coincidencia del filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)

dirección-destino

dirección ip-destino

Dirección IPv4 que es la dirección del nodo de destino final del paquete.

Uso ip-destination-address para conmutación Ethernet y familias CCC

Sí

Sí

IPv4, IPv6, conmutación Ethernet y CCC

IPv4 e IPv6

dirección de origen

dirección de origen IP

Dirección IPv4 del nodo de origen que envía el paquete.

Uso ip-source-address para conmutación Ethernet y familias CCC

Sí

Sí

IPv4, IPv6, conmutación Ethernet y CCC

IPv4

lista de prefijos de destino

Campo Lista de prefijos de destino IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Defina esta lista en el nivel jerárquico [edit policy-options] .

Sí

Sí

Conmutación IPv4, IPv6 y Ethernet

IPv4, IPv6

source-prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP en un alias de lista de prefijos para uso frecuente. Defina esta lista en el nivel jerárquico [edit policy-options] .

Sí

Sí

Conmutación IPv4, IPv6 y Ethernet

IPv4

puerto de destino

Campo Puerto de destino TCP o UDP. Normalmente, esta coincidencia se especifica junto con la instrucción coincidencia protocol . Para los siguientes puertos conocidos, puede especificar sinónimos de texto (también se enumeran los números de puerto):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), ,

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), , nntp (119)nfsd (2049), ntalk (518), ntp (123), ,

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), , rkinit (2108),

smtp (25), snmp (161), , snpp (444)snmptrap (162), socks (1080), ssh (22), sunrpc (111), , syslog (514)

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), ,

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

Sí

Sí

IPv4, IPv6, conmutación Ethernet y CCC

IPv4, IPv6, conmutación Ethernet y CCC

puerto de origen

Puerto de origen TCP o UDP. Normalmente, esta coincidencia se especifica junto con la instrucción coincidencia protocol . En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Sí

Sí

IPv4, IPv6, conmutación Ethernet y CCC

IPv4, IPv6, conmutación Ethernet y CCC

protocolo

protocolo ip

Campo de protocolo IP

Uso ip-protocol para conmutación Ethernet y familias CCC

Sí

Sí

IPv4, conmutación Ethernet y CCC

IPv4, conmutación Ethernet y CCC

primer fragmento

Coincidir si el paquete es el primer fragmento de un paquete fragmentado. Evitar hacer coincidir el paquete si es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmentos de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia de campo de bits fragmento-desplazamiento 0.

Para hacer coincidir tanto el primer fragmento como el final, puede utilizar dos términos que especifiquen condiciones de coincidencia diferentes: first-fragment y is-fragment.

Sí

No

IPv4

NA

código icmp

Campo de código ICMP. Dado que el significado del valor depende del valor asociado icmp-type, debe especificar un valor para icmp-type junto con un valor para icmp-code. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

• IPv4: parámetro-problema—ip-header-bad (0), required-option-missing (1)

• IPv6: parámetro-problema—ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• redirect—redirect-for-network (0), redirect-for-host (1), redirect-for-tos-and-net (2), redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1), ttl-eq-zero-during-transit (0)

• IPv4: inalcanzable—network-unreachable (0), host-unreachable (1), protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

• IPv6: inalcanzable—address-unreachable (3), administratively-prohibited (1), no-route-to-destination (0), , port-unreachable (4)

Sí

Sí

IPv4, IPv6, conmutación Ethernet y CCC

IPv4, IPv6, conmutación Ethernet y CCC

Tipo ICMP

Campo de tipo de mensaje ICMP. Normalmente, esta coincidencia se especifica junto con la instrucción coincidencia protocol para determinar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

IPv4: echo-reply (0), destination unreachable (3), , source-quench (4), echo-request (8)time-exceeded (11)IPv4 (inet)-solicit (10)redirect (5)IPv4 (inet)-advertisement (9), parameter-problem (12), , timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3)membership-query (130)membership-report (131)membership-termination (132)parameter-problem (4)router-solicit (133)echo-reply (129)echo-request (128), , router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

Consulte también icmp-code variable.

Sí

Sí

IPv4, IPv6, conmutación Ethernet y CCC

IPv4, IPv6, conmutación Ethernet y CCC

Opciones IP

Especifique any para crear una coincidencia si se especifica algo en el campo de opciones del encabezado IP.

Sí

No

IPv4

NA

precedencia

Precedencia de IP

Campo de prioridad de IP. En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp (0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

Utilícelo ip-precedence para conmutación Ethernet y familias CCC.

Sí

No

IPv4, conmutación Ethernet y CCC

NA

is-fragmento

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Sí

No

IPv4

NA

Establecido por TCP

Hace coincidir paquetes de una conexión de protocolo de enlace tridireccional TCP establecida (SYN, SYN-ACK, ACK). El único paquete que no coincide es el primer paquete del protocolo de enlace, ya que sólo se establece el bit SYN. Para este paquete, debe especificar tcp-initial como condición de coincidencia.

Cuando se especifica tcp-established, el modificador no comprueba implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Sí

Sí

IPv4 e IPv6

IPv4 e IPv6

Indicadores TCP

Uno o más indicadores TCP:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

Sí

No

IPv4 e IPv6

NA

TCP-inicial

Hacer coincidir el primer paquete TCP de una conexión. Se produce una coincidencia cuando se establece el indicador SYN TCP y no se establece el indicador ACK TCP.

Cuando se especifica tcp-initial, un modificador no comprueba implícitamente que el protocolo es TCP. También debe especificar la condición de protocol tcp coincidencia.

Sí

No

IPv4 e IPv6

NA

Ttl

Campo IP Tiempo de vida (TTL) en decimal. El valor puede ser 1-255.

Sí

Sí

IPv4

IPv4

dirección-MAC de destino

Dirección MAC de destino del paquete.

Sí

Sí

Conmutación Ethernet y CCC

Conmutación Ethernet y CCC

dirección-MAC de origen

Dirección MAC (control de acceso a medios de origen) del paquete.

Sí

Sí

Conmutación Ethernet y CCC

Conmutación Ethernet y CCC

DSCP

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• be—Mejor esfuerzo (predeterminado)

• ef (46)—como se define en RFC 3246, Un PHB de reenvío acelerado.

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, PHB de reenvío asegurado.

• cs0, cs1, , cs3cs2, cs4, cs5, cs6, , cs7cs5

Sí

Sí

IPv4, conmutación Ethernet y CCC

IPv4, conmutación Ethernet y CCC

tipo éter

Campo de tipo Ethernet de un paquete. El valor EtherType especifica qué protocolo se transporta en la trama Ethernet. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• aarp (0x80F3)—Valor de EtherType AARP

• appletalk (0x809B)—Valor de EtherType AppleTalk

• arp (0x0806)—ARP del valor EtherType

• fcoe (0x8906)—Valor FCoE de EtherType

• fip (0x8914)—EtherType valor FIP

• ipv4 (0x0800)—Valor de EtherType IPv4

• ipv6 (0x08DD)—Valor de EtherType IPv6

• mpls-multicast (0x8848)—Valor de EtherType Multidifusión MPLS

• mpls-unicast (0x8847)—Unidifusión MPLS del valor EtherType

• oam (0x88A8)—Valor de EtherType OAM

• ppp (0x880B)—Valor PPP de EtherType

• pppoe-discovery (0x8863)—Valor de EtherType Etapa de descubrimiento de PPPoE

• pppoe-session (0x8864)—Valor de EtherType Etapa de sesión PPPoE

• sna (0x80D5)—Valor EtherType SNA

Sí

Sí

Conmutación Ethernet y CCC

Conmutación Ethernet y CCC

learn-vlan-1p-priority

Coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de doble etiqueta con etiquetas VLAN 802.1Q). Especifique uno o varios valores del 0 al 7.

Sí

Sí

Conmutación Ethernet y CCC

Conmutación Ethernet y CCC

user-vlan-1p-priority

Hace coincidir la prioridad de VLAN 802.1p especificada en el rango 0-7.

Sí

Sí

Conmutación Ethernet y CCC

Conmutación Ethernet y CCC

Exp

Coincidir en bits EXP MPLS.

Sí

No

MPLS

NA

etiqueta

Coincidir en bits de etiqueta MPLS.

Sí

No

MPLS

NA

clase de tráfico

Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo traffic-class se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4 y la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

af11 (10), af12 (12), , af21 (18)af13 (14), af22 (20)af23 (22), af31 (26), af33 (30)af32 (28), , af41 (34), af42 (36), af43 (38), , cs0 (0), cs1 (8)cs3 (24)cs4 (32)cs5 (40)cs2 (16)cs6 (48), , , cs7 (56)ef (46)

Sí

Sí

IPv6

IPv6

límite de salto

Coincidir con el límite de salto especificado o el conjunto de límites de salto. Especifique un único valor o un rango de valores del 0 al 255.

Sí

Sí

IPv6

IPv6

siguiente-encabezado

Valor del protocolo IPv4 o IPv6. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2)no-next-header (59)ipip (4)fragment (44)routing (43)rsvp (46)ipv6 (41)gre (47)udp (17)esp (50)ah (51)egp (8)tcp (6)dstopts (60)ospf (89)icmp6 (58)pim (103), , vrrp (112)sctp (132)

Sí

Sí

IPv6

IPv6

cuenta

Cuente el número de paquetes que coincidan con el término.

Sí

Sí

IPv4, IPv6, conmutación Ethernet, CCC, MPLS y cualquier

IPv4, IPv6, conmutación Ethernet, CCC y cualquier

descartar

Descartar un paquete silenciosamente sin enviar un mensaje de Protocolo de mensajes de control de Internet (ICMP).

Sí

Sí

IPv4, IPv6, conmutación Ethernet, CCC, MPLS y cualquier

IPv4, IPv6, conmutación Ethernet, CCC y cualquier

registro

Registre la información del encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando del show firewall log modo operativo.

Sí

No

IPv4 e IPv6

NA

clase de reenvío

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

• best-effort

• fcoe

• mcast

• network-control

• no-loss

Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

Sí

No

IPv4, IPv6, conmutación Ethernet, CCC y MPLS

NA

interfaz siguiente

Dirija los paquetes a la interfaz de salida especificada.

Sí

No

IPv4 e IPv6

NA

prioridad a la pérdida

Establezca el nivel de prioridad de pérdida de paquetes (PLP).

Tampoco puede configurar la acción de three-color-policer no terminación para el mismo período de filtro de firewall. Estas dos acciones de no terminación son mutuamente excluyentes.

Sí

No

IPv4, IPv6, conmutación Ethernet, CCC y MPLS

NA

Siguiente IP

Dirija los paquetes a la dirección IPv4 de destino especificada.

Sí

No

Sí

NA

IP6 siguiente

Dirija los paquetes a la dirección IPv6 de destino especificada.

Sí

No

IPv6

NA

Policíar

Nombre del agente de policía que se va a utilizar para limitar la velocidad del tráfico.

Sí

Sí

IPv4, IPv6, conmutación Ethernet, CCC, MPLS y cualquier

IPv4, IPv6, conmutación Ethernet, CCC y cualquier

rechazar

Descarte un paquete y envíe un mensaje ICMPv4 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de acción syslog .

administratively-prohibited (default),
bad-host-tos, bad-network-tos, host-prohibited,
host-unknown, host-unreachable, network-prohibited,
network-unknown, network-unreachable,
port-unreachable, precedence-cutoff, 
precedence-violation, protocol-unreachable,
        source-host-isolated, source-route-failed,

Si especifica tcp-reset, el sistema envía un restablecimiento TCP si el paquete es un paquete TCP; de lo contrario, no se envía nada.

Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".

Sí

No

IPv4 e IPv6

NA

syslog

Registre una alerta para este paquete.

Sí

No

IPv4 e IPv6

NA

muestra

Muestree el tráfico de paquetes. Aplique esta opción sólo si ha habilitado el muestreo de tráfico.

Sí

No

IPv4 e IPv6

NA

Poligrafiador de tres colores

Envíe paquetes a un controlador de tres colores (con el fin de aplicar la limitación de velocidad).

Sí

Sí

IPv4, IPv6, conmutación Ethernet, CCC, MPLS y cualquier

IPv4, IPv6, conmutación Ethernet, CCC y cualquier