Condições de correspondência do filtro de firewall para tráfego IPv6

Você pode configurar um filtro de firewall com condições de correspondência para o tráfegofamily inet6 de protocolo de Internet 6 (IPv6).

Nota:

Para roteadores da Série MX com MPCs, você precisa inicializar o contador de filtros para filtros de correspondência somente de Trio, andando pelo SNMP MIB correspondente, por exemplo, show snmp mib walk name ascii. Isso força o Junos a aprender os contadores de filtro e garantir que as estatísticas do filtro sejam exibidas. Essa orientação se aplica a todos os filtros de firewall de modo aprimorado, filtros com condições flexíveis e filtros com determinadas ações terminais. Veja esses tópicos, listados em Documentação relacionada, para obter mais detalhes.

Tabela 1 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family inet6 filter filter-name term term-name from] hierarquia.

Condição da partida

Descrição

address address [ except ]

Combine com o campo de endereço de origem ou destino IPv6, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv6.

apply-groups

Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.

apply-groups-except

Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.

destination-address address [ except ]

Combine com o campo de endereço de destino IPv6, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv6.

Você não pode especificar as address condições e destination-address as condições compatíveis no mesmo termo.

destination-class class-names

Combine com um ou mais nomes de classe de destino especificados (conjuntos de prefixos de destino agrupados e com um nome de classe).

Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.

destination-class-except class-names

Não corresponda a um ou mais nomes de classe de destino especificados. Para obter mais informações, veja a condição da destination-class partida.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as port condições e destination-port as condições compatíveis no mesmo termo.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header tcp a next-header udp condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

Nota:

Para o Junos OS Evolved, você deve configurar a declaração de next-header correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), (434), mobileip-agentmobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), (139), (2049), (119), (518), (518), (137), netbios-ssn (139), nfsd (2049), (119), nntpntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da destination-port partida.

destination-prefix-list prefix-list-name [ except ]

Combine o prefixo de destino IPv6 com a lista especificada, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de destino IPv6 à lista especificada.

A lista de prefixo é definida no [edit policy-options prefix-list prefix-list-namenível ] hierarquia.

extension-headers header-type

Combine com um tipo de cabeçalho de extensão contido no pacote, identificando um valor de Cabeçalho Próximo.

Nota:

Essa condição de correspondência só é suportada em MPCs em roteadores da Série MX.

No primeiro fragmento de um pacote, o filtro procura uma correspondência em qualquer um dos tipos de cabeçalho de extensão. Quando um pacote com um cabeçalho de fragmento é encontrado (um fragmento subseqüente), o filtro só procura uma correspondência do próximo tipo de cabeçalho de extensão porque a localização de outros cabeçalhos de extensão é imprevisível.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Para combinar com qualquer valor para a opção de cabeçalho de extensão, use o sinônimo de anytexto.

Para roteadores da Série MX com MPCs, iniciais novos filtros de firewall que incluem essa condição andando pelo SNMP MIB correspondente.

first-fragment

Combine se o pacote for o primeiro fragmento.

rótulo de fluxo flow label value

Combine com o campo de rótulo de fluxo de 20 bits no cabeçalho de um pacote IPv6. Os valores variam de 0x1 a 0xFFFFF.

condições de correspondência de fluxo e cabeçalho próximo não podem coexistir. Apenas uma dessas condições de correspondência pode ser aplicada de cada vez. Para habilitar o rótulo de fluxo e desabilitar o próximo cabeçalho , aplique a seguinte configuração: set firewall v6-flowlabel-enable.

A tabela a seguir resume o comportamento da condição de correspondência do rótulo de fluxo com a condição de cabeçalho próximo .

Cenário	Configuração	A configuração do filtro tem	Ação
1	Sem configuração	rótulo de fluxo	Nenhuma correspondência de rótulo de fluxo é permitida.
2	Sem configuração	cabeçalho próximo	próxima partida de cabeçalho para o primeiro cabeçalho de extensão não permitido. Padrões para combinar com o protocolo de carga.
3	mapeamento de protocolo no-next-header-to-payload	rótulo de fluxo	correspondência de rótulo de fluxo não é permitida.
4	mapeamento de protocolo no-next-header-to-payload	cabeçalho próximo	próxima partida de cabeçalho para o primeiro cabeçalho de extensão permitido.
5	habilitação para o v6-flowlabel	rótulo de fluxo	correspondência de rótulo de fluxo permitida
6	habilitação para o v6-flowlabel	cabeçalho próximo	próxima partida de cabeçalho para o primeiro cabeçalho de extensão não permitido. Padrões para combinar com o protocolo de carga.

Nota:

As v6-flowlabel-enable condições de flow-label correspondência só são suportadas no Junos EVO em PTX10001-36MR, PTX10003, PTX10004, PTX10008 e PTX10016.

máscara de rótulo flow label value de fluxo mask value

Além do valor regular do rótulo de fluxo , você pode usar um valor de máscara enquanto configura a correspondência; o valor da máscara corresponde a bits específicos do valor dado do rótulo de fluxo .

Nota:

A flow-label condição de correspondência do valor da máscara de valor mask do rótulo de fluxo só é suportada no Junos EVO em PTX10001-36MR, PTX10003, PTX10004, PTX10008 e PTX10016.

extension-headers-except header-type

Não corresponda a um tipo de cabeçalho de extensão contido no pacote. Para obter mais informações, veja a condição da extension-headers partida.

Nota:

Essa condição de correspondência só é suportada em MPCs em roteadores da Série MX.

flexible-match-mask value

bit-length

Comprimento da entrada de inteiro (1,32 bits);

(Opcional) Comprimento da entrada de string (1.128 bits)

bit-offset

Compensação de bits após a compensação (match-start + byte) (0,7)

byte-offset

Byte offset após o ponto de partida da partida

flexible-mask-name

Selecione uma combinação flexível no campo de modelo predefinido

mask-in-hex

Mascarar bits nos dados do pacote a serem combinados

match-start

Ponto de partida para combinar em pacote

prefix

Valorize dados/string a serem combinados

Veja as condições flexíveis de correspondência do filtro de firewall para obter detalhes

flexible-match-range value

As faixas devem usar o seguinte formato: Integer-Integer

bit-length

Comprimento dos dados a serem combinados em bits (0,32)

bit-offset

Compensação de bits após a compensação (match-start + byte) (0,7)

byte-offset

Byte offset após o ponto de partida da partida

flexible-range-name

Selecione uma combinação flexível no campo de modelo predefinido

match-start

Ponto de partida para combinar em pacote

range

Gama de valores a serem combinados

range-except

Não corresponda a essa gama de valores

Veja as condições flexíveis de correspondência do filtro de firewall para obter detalhes

forwarding-class class

Combine com a classe de encaminhamento do pacote.

Especifiqueassured-forwarding, best-effortexpedited-forwardingou network-control.

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.

forwarding-class-except class

Não corresponda à classe de encaminhamento do pacote. Para obter mais informações, veja a condição da forwarding-class partida.

hop-limit hop-limit

Combine o limite de salto com o limite de salto ou conjunto de limites de salto especificados. Para hop-limit, especifique um único valor ou uma gama de valores de 0 a 255.

Suporte em interfaces hospedadas apenas em MICs ou MPCs em roteadores da Série MX.

Nota:

Essa condição de correspondência é suportada em roteadores da série PTX quando enhanced-mode está configurada no roteador.

hop-limit-except hop-limit

Não combine o limite de salto com o limite de salto especificado ou o conjunto de limites de salto. Para obter mais informações, veja a condição da hop-limit partida.

Suporte em interfaces hospedadas apenas em MICs ou MPCs em roteadores da Série MX.

Nota:

Essa condição de correspondência é suportada em roteadores da série PTX quando enhanced-mode está configurada no roteador.

icmp-code message-code

Combine com o campo de código de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header icmp6 a next-header icmp condição de correspondência no mesmo termo.

Se você configurar essa condição de correspondência, você também deve configurar a condição de icmp-type message-type correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

problema de parâmetros: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)
tempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)
destino inalcançável: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da icmp-code partida.

icmp-type message-type

Combine com o campo do tipo de mensagem do ICMP.

Nota:

Para o Junos OS Evolved, você deve configurar a declaração de next-header correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), (131), (132), (147), (146), (146), (131), membership-reportmembership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146) neighbor-advertisement 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), (4), private-experimentation-100parameter-problem (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Para private-experimentation-201 (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados.

icmp-type-except message-type

Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da icmp-type partida.

interface interface-name

Combine com a interface em que o pacote foi recebido.

Nota:

Se você configurar essa condição de correspondência com uma interface que não existe, o termo não corresponde a nenhum pacote.

interface-group group-number

Combine com a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para group-number, especifique um único valor ou uma variedade de valores de 0 até 255.

Para atribuir uma interface lógica a um grupo group-numberde interface, especifique o nível de group-number[interfaces interface-name unit number family family filter group] hierarquia.

Para obter mais informações, veja a visão geral dos pacotes de filtragem recebidos em um conjunto de grupos de interface.

interface-group-except group-number

Não corresponda à interface lógica na qual o pacote foi recebido ao grupo de interface especificado ou ao conjunto de grupos de interface. Para obter mais informações, veja a condição da interface-group partida.

interface-set interface-set-name

Combine com a interface na qual o pacote foi recebido no conjunto de interface especificado.

Para definir um conjunto de interface, inclua a interface-set declaração no nível de [edit firewall] hierarquia.

Para obter mais informações, veja a filtragem de pacotes recebidos em uma visão geral do conjunto de interface.

ip-options values

Combine com o campo de opção de IP de 8 bits, se presente, com o valor ou lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de opção também estão listados): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Para combinar com qualquer valor para a opção de IP, use o sinônimo de anytexto. Para combinar com vários valores, especifique a lista de valores dentro de parênteses quadrados ('[' e ']'). Para combinar com uma variedade de valores, use a especificação [ value1-value2 ]de valor.

Por exemplo, a condição ip-options [ 0-147 ] da partida corresponde a um campo de opções de IP que contém o loose-source-route, record-routeou security valores, ou qualquer outro valor de 0 a 147. No entanto, essa condição de partida não corresponde a um campo de opções de IP que contém apenas o router-alert valor (148).

Para a maioria das interfaces, um termo de filtro que especifica uma ip-option correspondência em um ou mais valores de opção de IP específicos (um valor diferente) faz com que anyos pacotes sejam enviados ao Mecanismo de Roteamento para que o kernel possa analisar o campo de opção de IP no cabeçalho do pacote.

Para um termo de filtro de firewall que especifica uma ip-option correspondência em um ou mais valores de opção de IP específicos, você não pode especificar as countações, logou syslog não termômetros , a menos que você também especifique a ação discard de terminação no mesmo termo. Esse comportamento evita a contagem dupla de pacotes para um filtro aplicado a uma interface de trânsito no roteador.
Os pacotes processados no kernel podem ser descartados em caso de gargalo do sistema. Para garantir que os pacotes combinados sejam enviados ao Mecanismo de encaminhamento de pacotes (onde o processamento de pacotes é implementado em hardware), use a condição de ip-options any correspondência.

O Concentrador modular de portas Ethernet (MPC), Ethernet MPC de 100 Gigabits, Ethernet MPC de 60 Gigabit, 60 Gigabit Ethernet MPC, 60 Gigabit Ethernet MPC e 60 Gigabit Ethernet Ethernet Enhanced Queuing MPC nos roteadores da Série MX são capazes de analisar o campo de opção de IP do cabeçalho de pacote IPv4. Para interfaces configuradas nesses MPCs, todos os pacotes compatíveis usando a condição de ip-options correspondência são enviados ao Mecanismo de encaminhamento de pacotes para processamento.

ip-options-except values

Não combine o campo de opção de IP com o valor ou lista de valores especificados. Para obter mais informações sobre a especificação, valuesveja a condição da ip-options partida.

is-fragment

Combine se o pacote for um fragmento.

last-fragment

Combine se o pacote for o último fragmento.

loss-priority level

Corresponda ao nível de prioridade de perda de pacote (PLP).

Especifique um único nível ou vários níveis: lowoumedium-lowmedium-highhigh...

Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX.

Para tráfego IP em M320, Série MX, roteadores da Série T e switches da Série EX com concentradores PIC flexíveis (FPCs) Aprimorados II, você deve incluir a tri-color declaração no nível de [edit class-of-service] hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a tri-color declaração não estiver habilitada, você só poderá configurar os níveis e low os high níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a tri-color declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.

loss-priority-except level

Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da loss-priority partida.

next-header header-type

Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do next-header firewall está disponível no Junos OS Release 13.3R6 e posterior.

Nota:

As plataformas MX têm uma next-header combinação que combina com o primeiro Next Header (NH) no pacote e o payload-protocol para combinar com o último NH. Considerando que as plataformas EVO-PTX suportaram a next-header correspondência no último NH, mas não o primeiro. O caso de uso mais comum é combinar com o último NH, e este era nativo das plataformas PTX. Agora, o next-header primeiro NH combina com o payload-protocol último NH, e se comporta da mesma maneira que nas plataformas MX. Se você estiver usando a cláusula de filtro next-header IPv6 no firewall de suas interfaces WAN, você precisa revisar e modificar o firewall para combinar com o novo comportamento. Essa mudança foi introduzida nas versões Evolved do Junos OS:

21.4R2-S1-EVO, 21.4R2-S2-EVO, 21.4R3-S1-EVO e posteriores
Exclua 21.4R3-EVO
22.2R2-EVO
22.3R1-EVO

Combine com o primeiro campo next header de 8 bits no pacote.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah(51), dstops (60), egp (8), esp (50), fragment (44), (47), gre (0), hop-by-hopicmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (4) ipv6 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp (17) ou vrrp (112).

Nota:

next-header icmp6 e next-header icmpv6 as condições de correspondência executam a mesma função. next-header icmp6 é a opção preferida. next-header icmpv6 está oculta no Junos OS CLI.
Nos dispositivos da série QFX5000 que executam o Junos OS Evolved, a next-header correspondência não é suportada sob ERACLv6 e, em vez disso, você deve configurar a payload-protocol correspondência.

next-header-except header-type

Não combine com o campo Next Header de 8 bits que identifica o tipo de cabeçalho entre o cabeçalho IPv6 e a carga útil. Para obter mais informações, veja o tipo de next-header correspondência.

packet-length bytes

Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

packet-length-except bytes

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de packet-length correspondência.

payload-protocol protocol-type

Combine com o tipo de protocolo de carga.

No lugar do protocol-type valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): especifique um ou um conjunto dos seguintes: ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), igmp (2), ipip (4), ipv6 (41), no-next-header, ospf (89), pim (103), routing, rsvp (46), sctp (132), tcp (6), udp (17), ou vrrp (112) (dstopts (60), fragmento (44), salto por salto 0) e roteamento não estão disponíveis no Junos OS Release 16.1 e posterior).

Você também pode usar a payload-protocol condição para combinar com um tipo de cabeçalho de extensão que o firmware da Juniper Networks não pode interpretar. Você pode especificar uma variedade de valores de cabeçalho de extensão dentro de parênteses quadrados. Quando o firmware encontra o primeiro tipo de cabeçalho de extensão que não pode interpretar em um pacote, o payload-protocol valor é definido para esse tipo de cabeçalho de extensão. O filtro de firewall examina apenas o primeiro tipo de cabeçalho de extensão que o firmware não pode interpretar no pacote.

Nota:

Essa condição de correspondência só é suportada em MPCs em roteadores da Série MX. Inicialize novos filtros de firewall que incluam essa condição andando pelo SNMP MIB correspondente.

payload-protocol-except protocol-type

Não corresponda ao tipo de protocolo de carga. Para obter mais informações, veja o tipo de payload-protocol correspondência.

Nota:

Esta condição de correspondência só é suportada em MPCs em roteadores da Série MX

port number

Combine com o campo de porta de origem ou destino UDP ou TCP.

Se você configurar esta condição de correspondência, não poderá configurar a condição da destination-port correspondência ou a condição da source-port correspondência no mesmo termo.

Nota:

Para o Junos OS Evolved, você deve configurar a declaração de next-header correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em destination-port.

port-except number

Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter mais informações, veja a condição da port partida.

prefix-list prefix-list-name [ except ]

Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a opção except esteja incluída. Se a opção estiver incluída, não combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada.

A lista de prefixo é definida no nível de [edit policy-options prefix-list prefix-list-name] hierarquia.

service-filter-hit

Combine com um pacote recebido de um filtro onde uma service-filter-hit ação foi aplicada.

source-address address [ except ]

Combine com o endereço IPv6 do nó de origem que envia o pacote a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao endereço IPv6 do nó de origem que envia o pacote.

Você não pode especificar as address condições e source-address as condições compatíveis no mesmo termo.

source-class class-names

Combine com um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e dado um nome de classe).

Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.

source-class-except class-names

Não combine com um ou mais nomes de classe de origem especificados. Para obter mais informações, veja a condição da source-class partida.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as port condições e source-port combinar no mesmo termo.

Nota:

Para o Junos OS Evolved, você deve configurar a next-header declaração ou next-header tcp a declaração de correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de destination-port number correspondência.

source-port-except number

Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da source-port partida.

source-prefix-list name [ except ]

Combine com o prefixo de endereço IPv6 do campo de origem do pacote, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de endereço IPv6 do campo de origem do pacote.

Especifique um nome de lista de prefixo definido no nível de [edit policy-options prefix-list prefix-list-name] hierarquia.

tcp-established

Combine com pacotes TCP que não sejam o primeiro pacote de uma conexão. Este é um sinônimo de texto para tcp-flags "(ack | rst)" (0x14).

Nota:

Essa condição não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a condição da protocol tcp correspondência.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de next-header tcp correspondência no mesmo termo.

tcp-flags flags

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

fin(0x01)
syn(0x02)
rst(0x04)
push(0x08)
ack(0x10)
urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as tcp-established condições e tcp-initial as condições da partida.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de next-header tcp correspondência no mesmo termo para especificar que o protocolo TCP está sendo usado na porta.

tcp-initial

Combine com o pacote inicial de uma conexão TCP. Este é um sinônimo de texto para tcp-flags "(!ack & syn)".

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de next-header tcp correspondência no mesmo termo.

traffic-class number

Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico de 0 até 63. Para especificar o valor na forma hexadadecimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).
RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:
- af11(10), af12 (12), af13 (14)
- af21(18), af22 (20), af23 (22)
- af31(26), af32 (28), af33 (30)
- af41(34), af42 (36), af43 (38)

traffic-class-except number

Não corresponda ao campo de 8 bits que especifica a prioridade cos do pacote. Para obter mais informações, veja a descrição da traffic-class correspondência.

Nota:

source-port-range-optimize e destination-port-range-optimize são suportados para o filtro de firewall IPv6 na direção de entrada no nível de [edit firewall family inet6 filter <filter-name> term <term-name> from] hierarquia.

Há espaço limitado de TCAM disponível para entradas de filtro de programação. O espaço TCAM pode ser esgotado ao tentar combinar com um grande número de faixas de portas de origem ou destino. Para resolver isso, e destination-port-range-optimize pode ser configurado a partir da CLI, source-port-range-optimize o que reduzirá consideravelmente o número de entradas TCAM usadas quando as faixas de porta de origem ou destino estiverem configuradas em condições de correspondência do filtro de firewall.

Uma configuração de exemplo é mostrada abaixo.

Nota:

Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições, destination-addressou source-address condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão

Descrição

13.3R6

O suporte para a condição de correspondência do next-header firewall está disponível no Junos OS Release 13.3R6 e posterior.

Condições de correspondência do filtro de firewall para tráfego IPv6

Tópicos relacionados

Tabela de histórico de alterações