Condições de correspondência do filtro de firewall para tráfego IPv6

Combine com o campo de endereço de origem ou destino IPv6, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv6.

Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.

Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.

Combine com o campo de endereço de destino IPv6, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv6.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addressdestination-address

Combine com um ou mais nomes de classe de destino especificados (conjuntos de prefixos de destino agrupados e com um nome de classe).

Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.Condições de correspondência do filtro de firewall com base em aulas de endereço

Não corresponda a um ou mais nomes de classe de destino especificados. Para obter mais informações, veja a condição da partida.destination-class

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.portdestination-port

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (2108), (25), (161), (162), (162) 444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) ou (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da partida.destination-port

Combine o prefixo de destino IPv6 com a lista especificada, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao prefixo de destino IPv6 à lista especificada.

A lista de prefixo é definida no nível ] hierarquia.[edit policy-options prefix-list prefix-list-name

Combine com um tipo de cabeçalho de extensão contido no pacote, identificando um valor de Cabeçalho Próximo.

No primeiro fragmento de um pacote, o filtro procura uma correspondência em qualquer um dos tipos de cabeçalho de extensão. Quando um pacote com um cabeçalho de fragmento é encontrado (um fragmento subseqüente), o filtro só procura uma correspondência do próximo tipo de cabeçalho de extensão porque a localização de outros cabeçalhos de extensão é imprevisível.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (50), (44), (0), (135) ou (43).ahdestinationespfragmenthop-by-hopmobilityrouting

Para combinar com qualquer valor para a opção de cabeçalho de extensão, use o sinônimo de texto.any

Para roteadores da Série MX com MPCs, iniciais novos filtros de firewall que incluem essa condição andando pelo SNMP MIB correspondente.

Não corresponda a um tipo de cabeçalho de extensão contido no pacote. Para obter mais informações, veja a condição da partida.extension-headers

Comprimento da entrada de inteiro (1,32 bits);

(Opcional) Comprimento da entrada de string (1.128 bits)

Compensação de bits após a compensação (match-start + byte) (0,7)

Byte offset após o ponto de partida da partida

Selecione uma combinação flexível no campo de modelo predefinido

Mascarar bits nos dados do pacote a serem combinados

Ponto de partida para combinar em pacote

Valorize dados/string a serem combinados

Veja as condições flexíveis de correspondência do filtro de firewall para obter detalhesCondições flexíveis de correspondência do filtro de firewall

Comprimento dos dados a serem combinados em bits (0,32)

Compensação de bits após a compensação (match-start + byte) (0,7)

Byte offset após o ponto de partida da partida

Selecione uma combinação flexível no campo de modelo predefinido

Ponto de partida para combinar em pacote

Gama de valores a serem combinados

Não corresponda a essa gama de valores

Veja as condições flexíveis de correspondência do filtro de firewall para obter detalhesCondições flexíveis de correspondência do filtro de firewall

Combine com a classe de encaminhamento do pacote.

Especifique, ou .assured-forwardingbest-effortexpedited-forwardingnetwork-control

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.Understanding How Forwarding Classes Assign Classes to Output Queues

Não corresponda à classe de encaminhamento do pacote. Para obter mais informações, veja a condição da partida.forwarding-class

Combine o limite de salto com o limite de salto ou conjunto de limites de salto especificados. Para , especifique um único valor ou uma gama de valores de 0 a 255.hop-limit

Suporte em interfaces hospedadas apenas em MICs ou MPCs em roteadores da Série MX.

Não combine o limite de salto com o limite de salto especificado ou o conjunto de limites de salto. Para obter mais informações, veja a condição da partida.hop-limit

Suporte em interfaces hospedadas apenas em MICs ou MPCs em roteadores da Série MX.

Combine com o campo de código de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo.next-header icmpnext-header icmp6

Se você configurar essa condição de correspondência, você também deve configurar a condição de correspondência no mesmo termo.icmp-type message-type Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

• problema de parâmetros: (0), (1), (2)ip6-header-badunrecognized-next-headerunrecognized-option

• tempo excedido: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

• destino inalcançável: (1), (3), (0), (4)administratively-prohibitedaddress-unreachableno-route-to-destinationport-unreachable

Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da partida.icmp-code

Combine com o campo do tipo de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo.next-header icmpnext-header icmp6

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (146), (131), (132), (147), (146) 136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133) ou (3).certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-requesthome-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

Para (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados.private-experimentation-201

Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da partida.icmp-type

Combine com a interface em que o pacote foi recebido.

Combine com a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para , especifique um único valor ou uma variedade de valores de até .group-number0255

Para atribuir uma interface lógica a um grupo de interface, especifique o nível de hierarquia.group-numbergroup-number[interfaces interface-name unit number family family filter group]

Para obter mais informações, veja a visão geral dos pacotes de filtragem recebidos em um conjunto de grupos de interface.Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral

Não corresponda à interface lógica na qual o pacote foi recebido ao grupo de interface especificado ou ao conjunto de grupos de interface. Para obter mais informações, veja a condição da partida.interface-group

Combine com a interface na qual o pacote foi recebido no conjunto de interface especificado.

Para definir um conjunto de interface, inclua a declaração no nível de hierarquia.interface-set[edit firewall]

Para obter mais informações, veja a filtragem de pacotes recebidos em uma visão geral do conjunto de interface.Filtragem de pacotes recebidos em uma visão geral do conjunto de interface

Combine com o campo de opção de IP de 8 bits, se presente, com o valor ou lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de opção também estão listados): (131), (7), (148), (130), (136), (137) ou (68).loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

Para combinar com qualquer valor para a opção de IP, use o sinônimo de texto.any Para combinar com vários valores, especifique a lista de valores dentro de parênteses quadrados ('' e '').[] Para combinar com uma variedade de valores, use a especificação de valor.[ value1-value2 ]

Por exemplo, a condição da partida corresponde a um campo de opções de IP que contém o , ou valores, ou qualquer outro valor de 0 a 147.ip-options [ 0-147 ]loose-source-routerecord-routesecurity No entanto, essa condição de partida não corresponde a um campo de opções de IP que contém apenas o valor (148).router-alert

Para a maioria das interfaces, um termo de filtro que especifica uma correspondência em um ou mais valores de opção de IP específicos (um valor diferente) faz com que os pacotes sejam enviados ao Mecanismo de Roteamento para que o kernel possa analisar o campo de opção de IP no cabeçalho do pacote.ip-optionany

• Para um termo de filtro de firewall que especifica uma correspondência em um ou mais valores de opção de IP específicos, você não pode especificar as ações, ou não termômetros , a menos que você também especifique a ação de terminação no mesmo termo.ip-optioncountlogsyslogdiscard Esse comportamento evita a contagem dupla de pacotes para um filtro aplicado a uma interface de trânsito no roteador.

• Os pacotes processados no kernel podem ser descartados em caso de gargalo do sistema. Para garantir que os pacotes combinados sejam enviados ao Mecanismo de encaminhamento de pacotes (onde o processamento de pacotes é implementado em hardware), use a condição de correspondência.ip-options any

O Concentrador modular de portas Ethernet (MPC), Ethernet MPC de 100 Gigabits, Ethernet MPC de 60 Gigabit, 60 Gigabit Ethernet MPC, 60 Gigabit Ethernet MPC e 60 Gigabit Ethernet Ethernet Enhanced Queuing MPC nos roteadores da Série MX são capazes de analisar o campo de opção de IP do cabeçalho de pacote IPv4. Para interfaces configuradas nesses MPCs, todos os pacotes compatíveis usando a condição de correspondência são enviados ao Mecanismo de encaminhamento de pacotes para processamento.ip-options

Não combine o campo de opção de IP com o valor ou lista de valores especificados. Para obter mais informações sobre a especificação, veja a condição da partida.valuesip-options

Corresponda ao nível de prioridade de perda de pacote (PLP).

Especifique um único nível ou vários níveis: ou...lowmedium-lowmedium-highhigh

Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX.

Para tráfego IP em M320, Série MX, roteadores da Série T e switches da Série EX com concentradores PIC flexíveis (FPCs) Aprimorados II, você deve incluir a declaração no nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados.tri-color[edit class-of-service] Se a declaração não estiver habilitada, você só poderá configurar os níveis e os níveis.tri-colorhighlow Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a declaração, veja Configuração e aplicação de policiais tricolores de marcação.tri-colorConfiguring and Applying Tricolor Marking Policers Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.Understanding How Forwarding Classes Assign Classes to Output Queues

Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da partida.loss-priority

Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do firewall está disponível no Junos OS Release 13.3R6 e posterior.next-header

Combine com o primeiro campo next header de 8 bits no pacote.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (4) 1), (135), (59), (89), (103), (43), (46), (132), (6), (17) ou (112).ahdstopsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6mobilityno-next-headerospfpimroutingrsvpsctptcpudp vrrp

Não combine com o campo Next Header de 8 bits que identifica o tipo de cabeçalho entre o cabeçalho IPv6 e a carga útil. Para obter mais informações, veja o tipo de correspondência.next-header

Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de correspondência.packet-length

Combine com o tipo de protocolo de carga.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):protocol-type especifique um ou um conjunto dos seguintes: (51), (60), (8), (50), (44), (47), (0), (1), (58), (2), (4), (41), , (89), (103), , (46), (132), (6), (17), ou (112) (dstopts (60), fragmento (44), salto por salto 0) e roteamento não estão disponíveis no Junos OS Release 16.1 e posterior).ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudpvrrp

Você também pode usar a condição para combinar com um tipo de cabeçalho de extensão que o firmware da Juniper Networks não pode interpretar.payload-protocol Você pode especificar uma variedade de valores de cabeçalho de extensão dentro de parênteses quadrados. Quando o firmware encontra o primeiro tipo de cabeçalho de extensão que não pode interpretar em um pacote, o valor é definido para esse tipo de cabeçalho de extensão.payload-protocol O filtro de firewall examina apenas o primeiro tipo de cabeçalho de extensão que o firmware não pode interpretar no pacote.

Não corresponda ao tipo de protocolo de carga. Para obter mais informações, veja o tipo de correspondência.payload-protocol

Combine com o campo de porta de origem ou destino UDP ou TCP.

Se você configurar esta condição de correspondência, não poderá configurar a condição da correspondência ou a condição da correspondência no mesmo termo.destination-portsource-port

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em .destination-port

Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter mais informações, veja a condição da partida.port

Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a opção esteja incluída.except Se a opção estiver incluída, não combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada.

A lista de prefixo é definida no nível de hierarquia.[edit policy-options prefix-list prefix-list-name]

Combine com um pacote recebido de um filtro onde uma ação foi aplicada.service-filter-hit

Combine com o endereço IPv6 do nó de origem que envia o pacote a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao endereço IPv6 do nó de origem que envia o pacote.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addresssource-address

Combine com um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e dado um nome de classe).

Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.Condições de correspondência do filtro de firewall com base em aulas de endereço

Não combine com um ou mais nomes de classe de origem especificados. Para obter mais informações, veja a condição da partida.source-class

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as condições e combinar no mesmo termo.portsource-port

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de correspondência.destination-port number

Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da partida.source-port

Combine com o prefixo de endereço IPv6 do campo de origem do pacote, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao prefixo de endereço IPv6 do campo de origem do pacote.

Especifique um nome de lista de prefixo definido no nível de hierarquia.[edit policy-options prefix-list prefix-list-name]

Combine com pacotes TCP que não sejam o primeiro pacote de uma conexão. Este é um sinônimo de texto para ().tcp-flags "(ack | rst)"0x14

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo.next-header tcp

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as condições e as condições da partida.tcp-establishedtcp-initial

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo para especificar que o protocolo TCP está sendo usado na porta.next-header tcp

Combine com o pacote inicial de uma conexão TCP. Este é um sinônimo de texto para .tcp-flags "(!ack & syn)"

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo.next-header tcp

Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico de até .063 Para especificar o valor na forma hexadadecimal, inclua como prefixo.0x Para especificar o valor em forma binária, inclua como prefixo.b

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

• RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).

• RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

  • (10), (12), (14)af11af12af13

  • (18), (20), (22)af21af22af23

  • (26), (28), (30)af31af32af33

  • (34), (36), (38)af41af42af43

Não corresponda ao campo de 8 bits que especifica a prioridade cos do pacote. Para obter mais informações, veja a descrição da correspondência.traffic-class