Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condições de correspondência do filtro de firewall para tráfego IPv4

Você pode configurar um filtro de firewall com condições de correspondência para o tráfegofamily inet de protocolo de Internet 4 (IPv4).

Nota:

Para roteadores da Série MX com MPCs, você precisa inicializar o contador de filtros para filtros de correspondência somente de Trio no MIB, andando pelo SNMP MIB correspondente, por exemplo show snmp mib walk name ascii. Isso força o Junos a aprender os contadores de filtro, e garante que as estatísticas do filtro sejam exibidas (isso é porque a primeira pesquisa a filtrar estatísticas pode não mostrar todos os contadores). Essa orientação se aplica a todos os filtros de firewall de modo aprimorado, filtros com condições flexíveis e filtros com certas ações terminais. Veja esses tópicos, listados em Documentação relacionada, para obter mais detalhes.

Tabela 1 descreve o que match-conditions você pode configurar no nível de [edit firewall family inet filter filter-name term term-name from] hierarquia.

Tabela 1: Condições de correspondência do filtro de firewall para tráfego IPv4

Condição da partida

Descrição

address address [ except ]

Combine com o campo de endereço de origem ou destino IPv4, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv4.

O except modificador não é suportado em plataformas EX2300 e EX3400.

ah-spi spi-value

(Roteadores da Série M, exceto M120 e M320) Combine com o valor do índice de parâmetro de segurança (SPI) do cabeçalho de autenticação IPsec (AH).

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

ah-spi-except spi-value

(Roteadores da Série M, exceto M120 e M320) Não corresponda ao valor IPsec AH SPI.

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

apply-groups

Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.

apply-groups-except

Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.

destination-address address [ except ]

Combine com o campo de endereço de destino IPv4, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv4.

Você não pode especificar as address condições e destination-address as condições compatíveis no mesmo termo.

destination-class class-names

Combine com um ou mais nomes de classe de destino especificados (conjuntos de prefixos de destino agrupados e com um nome de classe). Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.

destination-class-except class-names

Não corresponda a um ou mais nomes de classe de destino especificados. Para obter mais informações, veja a condição da destination-class partida.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as port condições e destination-port as condições compatíveis no mesmo termo.

Ao configurar correspondências baseadas em porta, você também deve configurar a protocol udp declaração ou protocol tcp a declaração de correspondência no mesmo termo do filtro. Combinar apenas com o valor da porta pode resultar em partidas inesperadas.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), (434), mobileip-agentmobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), (139), (2049), (119), (518), (518), (137), netbios-ssn (139), nfsd (2049), (119), nntpntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da destination-port partida.

destination-prefix-list name [ except ]

Prefixos de destino de correspondência na lista especificada, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda aos prefixos de destino na lista especificada.

Especifique o nome de uma lista de prefixo definida no [edit policy-options prefix-list prefix-list-name] nível de hierarquia.

dscp number

Combine com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.

O suporte foi adicionado para filtragem em ponto de código de serviços diferenciados (DSCP) e classe de encaminhamento para pacotes de origem do mecanismo de roteamento, incluindo pacotes IS-IS encapsulados em encapsulamento de roteamento genérico (GRE). Posteriormente, ao atualizar a partir de uma versão anterior do Junos OS, onde você tem uma classe de serviço (CoS) e um filtro de firewall, e ambos incluem ações de DSCP ou de filtro de classe de encaminhamento, os critérios no filtro de firewall prevalecem automaticamente sobre as configurações de CoS. O mesmo acontece ao criar novas configurações; ou seja, onde as mesmas configurações existem, o filtro de firewall tem precedência sobre o CoS, independentemente do qual tenha sido criado primeiro.

Você pode especificar um valor numérico de 0 até 63. Para especificar o valor na forma hexadadecimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).

  • RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

dscp-except number

Não corresponda ao número de DSCP. Para obter mais informações, veja a condição da dscp partida.

esp-spi spi-value

Combine com o valor de SPI de carga de segurança (ESP) encapsulando IPsec. Combine com esse valor específico de SPI. Você pode especificar o valor do ESP SPI em forma hexadima, binária ou decima.

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

esp-spi-except spi-value

Corresponda ao valor de SPI DO ESP IPsec. Não corresponda a esse valor específico de SPI.

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

first-fragment

Combine se o pacote é o primeiro fragmento de um pacote fragmentado. Não combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de compensação de fragmentos de 0.

Esta condição de jogo é um vulto para a condição de jogo de condição fragment-offset 0 de jogo de campo bit.

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência: first-fragment e is-fragment...

flexible-match-mask value

bit-length

Comprimento dos dados a serem combinados em bits, não necessário para entrada de string (0.128)

bit-offset

Compensação de bits após a compensação (match-start + byte) (0,7)

byte-offset

Byte offset após o ponto de partida da partida

flexible-mask-name

Selecione uma combinação flexível no campo de modelo predefinido

mask-in-hex

Mascarar bits nos dados do pacote a serem combinados

match-start

Ponto de partida para combinar em pacote

prefix

Valorize dados/string a serem combinados

flexible-match-range value

bit-length

Comprimento dos dados a serem combinados em bits (0,32)

bit-offset

Compensação de bits após a compensação (match-start + byte) (0,7)

byte-offset

Byte offset após o ponto de partida da partida

flexible-range-name

Selecione uma combinação flexível no campo de modelo predefinido

match-start

Ponto de partida para combinar em pacote

range

Gama de valores a serem combinados

range-except

Não corresponda a essa gama de valores

forwarding-class class

Combine com a classe de encaminhamento do pacote.

Especifiqueassured-forwarding, best-effortexpedited-forwardingou network-control.

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.

forwarding-class-except class

Não corresponda à classe de encaminhamento do pacote. Para obter mais informações, veja a condição da forwarding-class partida.

fragment-flags number

(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP.

No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

fragment-offset value

Combine com o campo de compensação de fragmentos de 13 bits no cabeçalho IP. O valor é a compensação, em unidades de 8 byte, na mensagem geral de datagrama para o fragmento de dados. Especifique um valor numérico, uma variedade de valores ou um conjunto de valores. Um valor de compensação 0 indica o primeiro fragmento de um pacote fragmentado.

A first-fragment condição da partida é um vulto para a condição da fragment-offset 0 partida.

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência (first-fragment e is-fragment).

fragment-offset-except number

Não combine com o campo de compensação de fragmentos de 13 bits.

gre-key range

Combine com o campo gre-key. O campo chave GRE é um número de 4 octetes inserido pelo encapsulador GRE. É um campo opcional para uso no encapsulamento GRE. Pode range ser um único número de chave GRE ou uma variedade de números-chave.

Para roteadores da Série MX com MPCs, iniciais novos filtros de firewall que incluem essa condição andando pelo SNMP MIB correspondente.

icmp-code number

Combine com o campo de código de mensagem do ICMP.

Nota:

Ao usar essa condição de correspondência, você também deve usar a protocol icmp condição de correspondência no mesmo termo (conforme mostrado abaixo) para garantir que icmp os pacotes estão sendo avaliados.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Você também deve configurar a condição de icmp-type message-type correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • problema de parâmetros: ip-header-bad(0), required-option-missing (1)

  • redirecionar: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • tempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Inacessível: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), (14), host-precedence-violationhost-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), (2), protocol-unreachablesource-host-isolated (8), source-route-failed (5)

icmp-code-except message-code

Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da icmp-code partida.

icmp-type number

Combine com o campo do tipo de mensagem do ICMP.

Nota:

Ao usar essa condição de correspondência, você também deve usar a protocol icmp condição de correspondência no mesmo termo (conforme mostrado abaixo) para garantir que icmp os pacotes estão sendo avaliados.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Você também deve configurar a condição de icmp-type message-type correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

Nota:

Para o Junos OS Evolved, você deve configurar a declaração de protocol correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), (12), parameter-problemredirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

icmp-type-except message-type

Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da icmp-type partida.

interface interface-name

Combine com a interface em que o pacote foi recebido.

Nota:

Se você configurar essa condição de correspondência com uma interface que não existe, o termo não corresponde a nenhum pacote.

interface-group group-number

Combine com a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para group-number, especifique um único valor ou uma gama de valores de 0 a 255.

Para atribuir uma interface lógica a um grupo group-numberde interface, especifique o nível de group-number[interfaces interface-name unit number family family filter group] hierarquia.

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

Para obter mais informações, veja a visão geral dos pacotes de filtragem recebidos em um conjunto de grupos de interface.

interface-group-except group-number

Não corresponda à interface lógica na qual o pacote foi recebido ao grupo de interface especificado ou ao conjunto de grupos de interface. Para obter mais informações, veja a condição da interface-group partida.

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

interface-set interface-set-name

Combine com a interface na qual o pacote foi recebido no conjunto de interface especificado.

Para definir um conjunto de interface, inclua a interface-set declaração no nível de [edit firewall] hierarquia.

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

Para obter mais informações, veja a filtragem de pacotes recebidos em uma visão geral do conjunto de interface.

ip-options values

Combine com o campo de opção de IP de 8 bits, se presente, com o valor ou lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de opção também estão listados): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Para combinar com qualquer valor para a opção de IP, use o sinônimo de anytexto. Para combinar com vários valores, especifique a lista de valores dentro de parênteses quadrados ('[' e ']'). Para combinar com uma variedade de valores, use a especificação value1-value2 ]de valor.

Por exemplo, a condição ip-options [ 0-147 ] da partida corresponde a um campo de opções de IP que contém o loose-source-route, record-routeou security valores, ou qualquer outro valor de 0 a 147. No entanto, essa condição de partida não corresponde a um campo de opções de IP que contém apenas o router-alert valor (148).

Para a maioria das interfaces, um termo de filtro que especifica uma ip-option correspondência em um ou mais valores de opção de IP específicos (um valor diferente) faz com que anyos pacotes sejam enviados ao Mecanismo de Roteamento para que o kernel possa analisar o campo de opção de IP no cabeçalho do pacote.

  • Para um termo de filtro de firewall que especifica uma ip-option correspondência em um ou mais valores de opção de IP específicos, você não pode especificar as countações, logou syslog não termômetros , a menos que você também especifique a ação discard de terminação no mesmo termo. Esse comportamento evita a contagem dupla de pacotes para um filtro aplicado a uma interface de trânsito no roteador.

  • Os pacotes processados no kernel podem ser descartados em caso de gargalo do sistema. Para garantir que os pacotes combinados sejam enviados ao Mecanismo de encaminhamento de pacotes (onde o processamento de pacotes é implementado em hardware), use a condição de ip-options any correspondência.

O Concentrador modular de portas Ethernet (MPC), Ethernet MPC de 100 Gigabits, Ethernet MPC de 60 Gigabit, 60 Gigabit Ethernet MPC, 60 Gigabit Ethernet MPC e 60 Gigabit Ethernet Ethernet Enhanced Queuing MPC nos roteadores da Série MX são capazes de analisar o campo de opção de IP do cabeçalho de pacote IPv4. Para interfaces configuradas nesses MPCs, todos os pacotes compatíveis usando a condição de ip-options correspondência são enviados ao Mecanismo de encaminhamento de pacotes para processamento.

A ip-options any condição da partida é suportada em roteadores da Série PTX10003 e PTX10008, começando pelo Junos Evolved OS Release 20.2R1.

Nota:
  • Nos roteadores da série MX, o uso de correspondências de filtro ip-options não pode ser usado com filtros de saída (saída).
  • Nos roteadores da série M e T, os filtros de firewall não podem contar ip-options pacotes por tipo de opção e por interface. Um trabalho limitado é usar o show pfe statistics ip options comando para ver ip-options estatísticas por PFE. Veja as estatísticas de pfe de exibição ip para saída de amostra.

ip-options-except values

Não combine o campo de opção de IP com o valor ou lista de valores especificados. Para obter mais informações sobre a especificação, valuesveja a condição da ip-options partida.

is-fragment

Usar essa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho ip e se a compensação do fragmento não for zero.

Nota:

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência (first-fragment e is-fragment).

loss-priority level

Corresponda ao nível de prioridade de perda de pacote (PLP).

Especifique um único nível ou vários níveis: lowoumedium-lowmedium-highhigh...

Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX.

Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) aprimorados, você deve incluir a tri-color declaração no [edit class-of-service] nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a tri-color declaração não estiver habilitada, você só poderá configurar os níveis e low os high níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a tri-color declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.

loss-priority-except level

Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da loss-priority partida.

packet-length bytes

Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2. Você também pode especificar uma variedade de valores a serem combinados.

packet-length-except bytes

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de packet-length correspondência.

port number

Combine com o campo de porta de origem ou destino UDP ou TCP.

Se você configurar esta condição de correspondência, não poderá configurar a condição da destination-port correspondência ou a condição da source-port correspondência no mesmo termo.

Ao configurar correspondências baseadas em porta, você também deve configurar a protocol udp declaração ou protocol tcp a declaração de correspondência no mesmo termo do filtro. Combinar apenas com o valor da porta pode resultar em partidas inesperadas.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em destination-port.

port-except number

Não corresponda ao UDP de origem ou destino ou ao campo de porta TCP. Para obter mais informações, veja a condição da port partida.

precedence ip-precedence-value

Combine com o campo de precedência de IP.

No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Você pode especificar a precedência em forma hexadima, binária ou decimais.

precedence-except ip-precedence-value

Não corresponda ao campo de precedência de IP.

No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Você pode especificar a precedência em forma hexadima, binária ou decimais.

prefix-list name [ except ]

Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a opção except esteja incluída. Se a opção estiver incluída, não combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada.

A lista de prefixo é definida no nível de [edit policy-options prefix-list prefix-list-name] hierarquia.

Nota:

Esta condição de correspondência não é suportada em PTX1000 roteadores.

protocol number

Combine com o campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), (89), pimospf (103), rsvp (46), sctp (132), (6), tcpudp (17) ou vrrp (112).

protocol-except number

Não corresponda ao campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), (89), pimospf (103), rsvp (46), sctp (132), (6), tcpudp  (17) ou vrrp (112).

rat-type tech-type-value

Combine com o tipo de tecnologia de acesso por rádio (RAT) especificado no campo tech-type de 8 bits do tipo de tecnologia de acesso Proxy Mobile IPv4 (PMIPv4). O tipo de tecnologia especifica a tecnologia de acesso pela qual o dispositivo móvel está conectado à rede de acesso.

Especifique um único valor, uma variedade de valores ou um conjunto de valores. Você pode especificar um tipo de tecnologia como um valor numérico de 0 a 255 ou como uma palavra-chave do sistema.

  • Os seguintes valores numéricos são exemplos de tipos de tecnologia bem conhecidos:

    • Valor numérico 1 corresponde ao IEEE 802.3.

    • Valor numérico 2 corresponde ao IEEE 802.11a/b/g.

    • Valor numérico 3 corresponde ao IEEE 802.16e

    • Valor numérico 4 corresponde ao IEEE 802.16m.

  • A seqüência de texto eutran corresponde ao 4G.

  • A corda de texto geran combina com 2G.

  • A seqüência de texto utran corresponde ao 3G.

rat-type-except tech-type-value

Não corresponda ao tipo RAT.

service-filter-hit

Combine com um pacote recebido de um filtro onde uma service-filter-hit ação foi aplicada.

Nota:

Esta condição de correspondência não é suportada em roteadores da série PTX.

source-address address [ except ]

Combine com o endereço IPv4 do nó de origem que envia o pacote a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao endereço IPv4 do nó de origem que envia o pacote.

Você não pode especificar as address condições e source-address as condições compatíveis no mesmo termo.

source-class class-names

Combine com um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e dado um nome de classe). Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.

source-class-except class-names

Não combine com um ou mais nomes de classe de origem especificados. Para obter mais informações, veja a condição da source-class partida.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as port condições e source-port combinar no mesmo termo.

Ao configurar correspondências baseadas em porta, você também deve configurar a protocol udp declaração ou protocol tcp a declaração de correspondência no mesmo termo do filtro. Combinar apenas com o valor da porta pode resultar em partidas inesperadas.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de destination-port number correspondência.

source-port-except number

Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da source-port partida.

source-prefix-list name [ except ]

Prefixos de origem compatível na lista especificada, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda aos prefixos de origem na lista especificada.

Especifique o nome de uma lista de prefixo definida no [edit policy-options prefix-list prefix-list-name] nível de hierarquia.

tcp-established

Combine pacotes TCP de uma sessão TCP estabelecida (pacotes que não sejam o primeiro pacote de uma conexão). Este é um apelido para tcp-flags "(ack | rst)".

Esta condição de correspondência não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a condição da protocol tcp correspondência.

tcp-flags value

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as tcp-established condições e tcp-initial as condições da partida.

Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de protocol tcp correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.

Somente para tráfego IPv4, essa condição de correspondência não verifica implicitamente se o datagrama contém o primeiro fragmento de um pacote fragmentado. Para verificar se essa condição é apenas para tráfego IPv4, use a condição da first-fragment correspondência.

tcp-initial

Combine com o pacote inicial de uma conexão TCP. Este é um apelido para tcp-flags "(!ack & syn)".

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de protocol tcp correspondência no mesmo termo.

ttl number

Combine com o número de tempo ao vivo IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para number, você pode especificar um ou mais valores de 0 até 255. Essa condição de correspondência é suportada apenas em roteadores M120, M320, Série MX e Série T.

ttl-except number

Não corresponda ao número de TTL IPv4. Para obter mais informações, veja a condição da ttl partida.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
13.3R7
O suporte foi adicionado para filtragem em ponto de código de serviços diferenciados (DSCP) e classe de encaminhamento para pacotes de origem do mecanismo de roteamento, incluindo pacotes IS-IS encapsulados em encapsulamento de roteamento genérico (GRE).