Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

As condições de combinação do filtro de firewall para o tráfego IPv6

Você pode configurar um filtro de firewall com condições de combinação para tráfego IPv6 (Internet Protocol versão 6) ( family inet6 ).

Nota:

Para roteadores da Série MX com MPCs, você precisa inicializar o contador de filtros para filtros de combinação somente Trio, guiando o SNMP correspondente MIB, por exemplo, show snmp mib walk name ascii . Isso força o Junos a aprender os contadores de filtro e a garantir que as estatísticas de filtro sejam visualizadas. Essa orientação se aplica a todos os filtros de firewall do modo aprimorado, filtros com condições flexíveis e filtros com determinadas ações de terminação. Consulte esses tópicos, relacionados na documentação relacionada, para obter detalhes.

Tabela 1 descreve as condições de combinação que você pode configurar em [edit firewall family inet6 filter filter-name term term-name from] nível de hierarquia.

Tabela 1: As condições de combinação do filtro de firewall para o tráfego IPv6

Condição de combinação

Descrição

address address [ except ]

Combinar o campo de endereço de origem ou destino do IPv6, a menos que except a opção esteja incluída. Se a opção estiver incluída, não atender ao campo de endereços de origem ou destino do IPv6.

apply-groups

Especifique quais grupos devem herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los por ordem de prioridade de herança. Os dados de configuração do primeiro grupo priorizam os dados nos grupos seguintes.

apply-groups-except

Especifique quais grupos não herdam dados de configuração. Você pode especificar mais de um nome de grupo.

destination-address address [ except ]

Combinar com o campo de endereço de destino IPv6, a menos que except a opção esteja incluída. Se a opção estiver incluída, não combinar com o campo de endereços de destino IPv6.

Não é possível especificar as address condições e destination-address as combinações no mesmo termo.

destination-class class-names

Combinar um ou mais nomes de classe de destino especificados (conjuntos de prefixos de destino agrupados e determinados nomes de classe).

Para obter mais informações, consulte condições de combinação do filtro de firewall com base em classes de endereço.

destination-class-except class-names

Não combinar um ou mais nomes de classe de destino especificados. Para obter detalhes, consulte a destination-class condição da combinação.

destination-port number

Combinar o campo de porta de destino de UDP ou TCP.

Não é possível especificar as port condições e destination-port as combinações no mesmo termo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

Nota:

Para o Junos OS Evolved, você deve configurar a next-header declaração de match no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão indicados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-datahttp (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (2108) snmp 5), snmptrap (161), (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Não combinar com o campo de porta de destino do UDP ou do TCP. Para obter detalhes, consulte a destination-port condição da combinação.

destination-prefix-list prefix-list-name [ except ]

Combinar o prefixo de destino IPv6 à lista especificada, a menos que except a opção esteja incluída. Se a opção estiver incluída, não combinar o prefixo de destino IPv6 à lista especificada.

A lista de prefixos é definida no [edit policy-options prefix-list prefix-list-name nível da hierarquia ]

extension-headers header-type

Identifique um tipo de header de extensão que está contido no pacote identificando um próximo valor do header.

Nota:

Essa condição de combinação só é suportada em MPCs em roteadores da série MX.

No primeiro fragmento de um pacote, o filtro pesquisa uma combinação em qualquer um dos tipos de header de extensão. Quando um pacote com um header de fragmentação é encontrado (um fragmento posterior), o filtro só pesquisa uma combinação do próximo tipo de header de extensão, porque a localização de outros headers de extensão é imprevisível.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Para combinar qualquer valor com a opção do cabeador de extensão, use o sinônimo de any texto.

Para roteadores da Série MX com MPCs, inicialize novos filtros de firewall que incluem essa condição, guiando o SNMP MIB.

first-fragment

Combinar se o pacote for o primeiro fragmento.

 

extension-headers-except header-type

Não se iguale a um tipo de cabeador de extensão que está contido no pacote. Para obter detalhes, consulte a extension-headers condição da combinação.

Nota:

Essa condição de combinação só é suportada em MPCs em roteadores da série MX.

flexible-match-mask value

bit-length

Comprimento da entrada inteira (1,32 bits);

(Opcional) Comprimento da entrada da string (1,128 bits)

bit-offset

Compensação de bits após o deslocamento (início da partida + byte) (0,7)

byte-offset

Deslocamento de byte após o ponto de partida da partida

flexible-mask-name

Selecione uma combinação flexível do campo de modelos predefinido

mask-in-hex

Mascarar bits nos dados de pacote a serem matched

match-start

Ponto de partida para combinar em pacote

prefix

Dados/cadeia de valores a serem combinando

Consulte Condições de combinação flexíveis do filtro de firewall para obter detalhes

flexible-match-range value

Os intervalos devem usar o seguinte formato: Inteiro-Inteiro

bit-length

Comprimento dos dados a combinar em bits (0,32)

bit-offset

Compensação de bits após o deslocamento (início da partida + byte) (0,7)

byte-offset

Deslocamento de byte após o ponto de partida da partida

flexible-range-name

Selecione uma combinação flexível do campo de modelos predefinido

match-start

Ponto de partida para combinar em pacote

range

Variedade de valores a serem a combinar

range-except

Não combinar com essa variedade de valores

Consulte Condições de combinação flexíveis do filtro de firewall para obter detalhes

forwarding-class class

Combinar a classe de encaminhamento do pacote.

assured-forwardingbest-effort Especifique, expedited-forwarding ou network-control .

Para obter informações sobre classes de encaminhamento e filas de saída internas do roteador, consulte Entender como as classes de encaminhamento atribuem classes a filas de saída.

forwarding-class-except class

Não se iguale à classe de encaminhamento do pacote. Para obter detalhes, consulte a forwarding-class condição da combinação.

hop-limit hop-limit

Combinar o limite de hop com o limite de hop especificado ou o conjunto de limites de hop. Para, hop-limit especifique um único valor ou um intervalo de valores de 0 a 255.

Suporte apenas para interfaces hospedadas em MICs ou MPCs em roteadores da série MX.

Nota:

Essa condição de combinação é suportada em roteadores da série PTX quando enhanced-mode está configurada no roteador.

hop-limit-except hop-limit

Não combinar o limite de hop com o limite de hop especificado ou o conjunto de limites de hop. Para obter detalhes, consulte a hop-limit condição da combinação.

Suporte apenas para interfaces hospedadas em MICs ou MPCs em roteadores da série MX.

Nota:

Essa condição de combinação é suportada em roteadores da série PTX quando enhanced-mode está configurada no roteador.

icmp-code message-code

Combinar o campo de código de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação next-header icmpnext-header icmp6 no mesmo prazo.

Se você configurar essa condição de combinação, você também deve configurar a condição icmp-type message-type da combinação no mesmo prazo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

  • problema nos parâmetros: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • ultrapassada no tempo: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • destino inalcançável: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Não combinar com o campo de código de mensagem ICMP. Para obter detalhes, consulte a icmp-code condição da combinação.

icmp-type message-type

Combinar o campo do tipo de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação next-header icmpnext-header icmp6 no mesmo prazo.

Nota:

Para o Junos OS Evolved, você deve configurar a next-header declaração de match no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachableecho-reply (1), (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-reportmembership-termination (131), (132), mobile-prefix-advertisement-reply (147), (146), (146), (130), (131), (132), (147), mobile-prefix-solicitation (146), (146) neighbor-advertisementneighbor-solicit 136), (135), node-information-reply (140), node-information-request (139), packet-too-bigparameter-problem (2), (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Para private-experimentation-201 (201), você também pode especificar uma variedade de valores dentro de suportes quadrados.

icmp-type-except message-type

Não combinar com o campo do tipo de mensagem ICMP. Para obter detalhes, consulte a icmp-type condição da combinação.

interface interface-name

Combinar a interface na qual o pacote foi recebido.

Nota:

Se você configurar essa condição de combinação com uma interface que não existe, o termo não combina com nenhum pacote.

interface-group group-number

Combinar a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para, group-number especifique um único valor ou uma variedade de valores a partir 0 de 255 .

Para designar uma interface lógica a um grupo de group-number interface, especifique group-number a no nível da [interfaces interface-name unit number family family filter group] hierarquia.

Para obter mais informações, consulte Filtragem de pacotes recebidos em uma visão geral de grupos de interface.

interface-group-except group-number

Não combinar a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para obter detalhes, consulte a interface-group condição da combinação.

interface-set interface-set-name

Combinar a interface na qual o pacote foi recebido ao conjunto de interface especificado.

Para definir um conjunto de interface, inclua a interface-set instrução em [edit firewall] nível de hierarquia.

Para obter mais informações, consulte Filtragem de pacotes recebidos em uma visão geral do conjunto de interface.

ip-options values

Combinar o campo de opção de IP de 8 bits, se presente, com o valor ou a lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores da opção também estão relacionados): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) ou timestamp (68).

Para combinar qualquer valor com a opção de IP, use o sinônimo de any texto. Para combinar com vários valores, especifique a lista de valores entre parênteses quadrados (' [ e ' ] '). Para combinar com uma variedade de valores, use a especificação de value1-value2 ] valor.

Por exemplo, a condição de combinação combina com um campo de opções de IP que contém os valores, ou qualquer outro valor de ip-options [ 0-147 ] 0 a loose-source-routerecord-routesecurity 147. Entretanto, essa condição de combinação não combina com um campo de opções de IP que contém apenas router-alert o valor (148).

Para a maioria das interfaces, um termo de filtro que especifica uma combinação em um ou mais valores de opção IP específicos (um valor diferente) faz com que os pacotes sejam enviados para o Mecanismo de Roteamento para que o kernel possa analisar o campo opção IP no header do ip-optionany pacote.

  • Para um termo de filtro de firewall que especifique uma combinação em um ou mais valores de opção IP específicos, você não pode especificar as ações , ou não-termo, a menos que você também especifique a ação de terminação no ip-optioncount mesmo logsyslogdiscard termo. Esse comportamento impede a dupla contagem de pacotes para um filtro aplicado a uma interface de trânsito no roteador.

  • Pacotes processados no kernel podem ser descartados no caso de um gargalo no sistema. Para garantir que os pacotes matched sejam enviados ao Mecanismo de Encaminhamento de Pacotes (onde o processamento de pacotes é implementado no hardware), use a condição ip-options any de combinação.

O MPC de 10 Gigabit Ethernet Modular Port Concentrator (MPC), MPC de Ethernet de 100 Gigabits, MPC Ethernet de 60 Gigabits, Ethernet MPC de 60 Gigabits e MPC em fila aprimorado de 60 Gigabits em roteadores da série MX são capazes de analisar o campo de opção DE IP do header de pacotes IPv4. Para interfaces configuradas nesses MPCs, todos os pacotes que são configurados usando a condição de match são enviados ao Mecanismo de Encaminhamento de Pacotes ip-options para processamento.

ip-options-except values

Não combinar o campo opção IP com o valor ou lista de valores especificados. Para obter detalhes sobre a values especificação, consulte a condição da ip-options combinação.

is-fragment

Combinar se o pacote for um fragmento.

 

last-fragment

Combinar se o pacote for o último fragmento.

 

loss-priority level

Corresponder ao nível de prioridade de perda de pacotes (PLP).

Especifique um único nível ou vários níveis: low, medium-lowmedium-high ou high .

Com suporte em M120 e M320 roteadores; M7i e M10i roteadores com o CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX.

Para tráfego IP em M320, Série MX, roteadores Série T e switches série EX com FPCs (Enhanced II Flexible PIC Concentrators, Concentradores de PIC) aprimorados II, você deve incluir a instrução em nível de hierarquia para cometer uma configuração de PLP com qualquer um dos quatro níveis tri-color[edit class-of-service] especificados. Caso a tri-color declaração não seja habilitada, você só pode configurar high os níveis e os low níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre tri-color a declaração, consulte Configuração e aplicação de polícias tricolores de marcação. Para obter informações sobre como usar classificadores agregados de comportamento (BA) para definir o nível de PLP dos pacotes de entrada, consulte Entender como as classes de encaminhamento atribuem classes a filas de saída.

loss-priority-except level

Não se iguale ao nível do PLP. Para obter detalhes, consulte a loss-priority condição da combinação.

next-header header-type

Combinar o primeiro campo Next Header de 8 bits no pacote. O suporte para a next-header condição de combinação de firewall está disponível no Junos OS Release 13.3R6 e depois.

Para IPv6, recomendamos que você use o termo em vez do termo ao configurar um payload-protocol filtro de firewall com condições de next-header combinação. Embora possa ser usado, fornece a condição de combinação mais confiável, porque ele usa o protocolo de carga real para encontrar uma combinação, enquanto simplesmente leva o que aparece no primeiro header seguindo o payload-protocol header IPv6, que pode ou não ser o protocolo next-header real. Além disso, se for usado com IPv6, o processo de análise de bloco de filtro acelerado é ignorado e o next-header filtro padrão usado.

Combinar o primeiro campo Next Header de 8 bits no pacote.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): ah(51), dstops (60), egpesp (8), (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (4)1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Nota:

next-header icmp6 e as condições de combinação executam a next-header icmpv6 mesma função. é a opção next-header icmp6 preferida. está oculto na next-header icmpv6 CLI do Junos OS.

next-header-except header-type

Não se iguale ao campo next header de 8 bits que identifica o tipo de header entre o header IPv6 e a carga. Para obter detalhes, consulte o tipo next-header de combinação.

packet-length bytes

Corresponda ao comprimento do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeça de pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

packet-length-except bytes

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter detalhes, consulte o tipo packet-length de combinação.

payload-protocol protocol-type

Combinar com o tipo de protocolo de carga.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo protocol-type também estão relacionados): especifique um ou um conjunto dos seguintes: ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipipipv6 (41), no-next-headerospf (89), pim (103), routingrsvp (46), sctp (132), tcpudp (6), (17) ou vrrp (112) (dstopts (60), fragment (44), hop-by-hop 0), e o roteamento não está disponível na Versão 16.1 e posterior do Junos OS.

Você também pode usar a condição para combinar com um tipo de cabeador de extensão que payload-protocol o Juniper Networks não consegue interpretar. Você pode especificar uma variedade de valores do cabeamento de extensão entre os suportes quadrados. Quando o firmware encontra o primeiro tipo de header de extensão que não pode ser interpretado em um pacote, o valor é definido para payload-protocol esse tipo de header de extensão. O filtro de firewall só examina o primeiro tipo de header de extensão que o firmware não consegue interpretar no pacote.

Nota:

Essa condição de combinação só é suportada em MPCs em roteadores da série MX. Inicialize novos filtros de firewall que incluem essa condição ao passar pelo SNMP MIB.

payload-protocol-except protocol-type

Não combinar com o tipo de protocolo de carga. Para obter detalhes, consulte o tipo payload-protocol de combinação.

Nota:

Essa condição de combinação só é suportada em MPCs em roteadores da série MX

port number

Combinar o campo de origem ou porta de destino do UDP ou do TCP.

Se você configurar essa condição de combinação, você não poderá configurar a condição da combinação ou a condição da combinação destination-portsource-port no mesmo prazo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

Nota:

Para o Junos OS Evolved, você deve configurar a next-header declaração de match no mesmo termo.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto indicados em destination-port .

port-except number

Não combinar com o campo de origem ou porta de destino do UDP ou do TCP. Para obter detalhes, consulte a port condição da combinação.

prefix-list prefix-list-name [ except ]

Combinar os prefixos dos campos de endereço de origem ou destino aos prefixos da lista especificada, a menos que a opção esteja except incluída. Se a opção for incluída, não combinar os prefixos dos campos de origem ou endereço de destino com os prefixos da lista especificada.

A lista de prefixos é definida em nível [edit policy-options prefix-list prefix-list-name] de hierarquia.

service-filter-hit

Combinar um pacote recebido de um filtro no qual uma service-filter-hit ação foi aplicada.

source-address address [ except ]

Combinar o endereço IPv6 do nó de origem que envia o pacote, a menos que except a opção esteja incluída. Se a opção for incluída, não combinar com o endereço IPv6 do nó de origem que envia o pacote.

Não é possível especificar as address condições e source-address as combinações no mesmo termo.

source-class class-names

Combinar um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e determinados nomes de classe).

Para obter mais informações, consulte condições de combinação do filtro de firewall com base em classes de endereço.

source-class-except class-names

Não combinar um ou mais nomes de classe de origem especificados. Para obter detalhes, consulte a source-class condição da combinação.

source-port number

Combinar o campo de porta de origem UDP ou TCP.

Não é possível especificar port as condições e as source-port combinações no mesmo termo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

Nota:

Para o Junos OS Evolved, você deve configurar a next-header instrução ou next-header tcp a combinação no mesmo termo.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto relacionados com a condição destination-port number de combinação.

source-port-except number

Não combinar com o campo de porta de origem UDP ou TCP. Para obter detalhes, consulte a source-port condição da combinação.

source-prefix-list name [ except ]

Combinar o prefixo de endereço IPv6 do campo de origem do pacote, a menos que except a opção esteja incluída. Se a opção for incluída, não combinar com o prefixo de endereço IPv6 do campo de origem do pacote.

Especifique um nome da lista de prefixos definido no [edit policy-options prefix-list prefix-list-name] nível da hierarquia.

tcp-established

Match TCP pacotes que não o primeiro pacote de uma conexão. Esse é um sinônimo de texto tcp-flags "(ack | rst)" para ( 0x14 ).

Nota:

Essa condição não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a protocol tcp condição da combinação.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação next-header tcp no mesmo prazo.

tcp-flags flags

Combinar um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no header TCP.

Para especificar campos de bit individuais, você pode especificar os seguintes valores de texto ou hexadecimal:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Em uma sessão TCP, o sinal SYN é definido apenas no pacote inicial enviado, enquanto o sinal ACK é definido em todos os pacotes enviados após o pacote inicial.

Você pode unir vários flags usando os operadores lógicos do campo de bit.

Para condições combinadas de match de campo de bit, consulte as tcp-established condições tcp-initial e as combinações.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação no mesmo prazo para especificar que o protocolo TCP está sendo next-header tcp usado na porta.

tcp-initial

Combinar o pacote inicial de uma conexão TCP. Esse é um sinônimo de texto tcp-flags "(!ack & syn)" para .

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação next-header tcp no mesmo prazo.

traffic-class number

Combinar com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico a partir 0 de 63 . Para especificar o valor na forma hexadecimal, inclua 0x como prefixo. Para especificar o valor em formato binário, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

  • RFC 3246, um PHB de encaminhamento acelerado (comportamento por hop),define um ponto de código: ef(46).

  • RFC 2597, Grupo PHBde Encaminhamento Garantido, define 4 classes, com 3 precedências de drop em cada classe, para um total de 12 pontos de código:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

traffic-class-except number

Não se compara ao campo de 8 bits que especifica a CoS prioridade do pacote. Para obter detalhes, consulte a traffic-class descrição da partida.

Nota:

Se você especificar um endereço IPv6 em uma condição de combinação (as condições, ou as condições da combinação), use a sintaxe para representações de texto descritas na arquitetura de endereçamento addressdestination-addresssource-address RFC 4291, IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte Visão geral do IPv6 e padrões IPv6 suportados.

Tabela de histórico de liberação
Versão
Descrição
13.3R6
O suporte para a next-header condição de combinação de firewall está disponível no Junos OS Release 13.3R6 e depois.