As condições de combinação do filtro de firewall para o tráfego IPv6

Combinar o campo de endereço de origem ou destino do IPv6, a menos que except a opção esteja incluída. Se a opção estiver incluída, não atender ao campo de endereços de origem ou destino do IPv6.

Especifique quais grupos devem herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los por ordem de prioridade de herança. Os dados de configuração do primeiro grupo priorizam os dados nos grupos seguintes.

Especifique quais grupos não herdam dados de configuração. Você pode especificar mais de um nome de grupo.

Combinar com o campo de endereço de destino IPv6, a menos que except a opção esteja incluída. Se a opção estiver incluída, não combinar com o campo de endereços de destino IPv6.

Não é possível especificar as address condições e destination-address as combinações no mesmo termo.

Combinar um ou mais nomes de classe de destino especificados (conjuntos de prefixos de destino agrupados e determinados nomes de classe).

Para obter mais informações, consulte condições de combinação do filtro de firewall com base em classes de endereço.

Não combinar um ou mais nomes de classe de destino especificados. Para obter detalhes, consulte a destination-class condição da combinação.

Combinar o campo de porta de destino de UDP ou TCP.

Não é possível especificar as port condições e destination-port as combinações no mesmo termo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão indicados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-datahttp (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (2108) snmp 5), snmptrap (161), (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

Não combinar com o campo de porta de destino do UDP ou do TCP. Para obter detalhes, consulte a destination-port condição da combinação.

Combinar o prefixo de destino IPv6 à lista especificada, a menos que except a opção esteja incluída. Se a opção estiver incluída, não combinar o prefixo de destino IPv6 à lista especificada.

A lista de prefixos é definida no [edit policy-options prefix-list prefix-list-name nível da hierarquia ]

Identifique um tipo de header de extensão que está contido no pacote identificando um próximo valor do header.

No primeiro fragmento de um pacote, o filtro pesquisa uma combinação em qualquer um dos tipos de header de extensão. Quando um pacote com um header de fragmentação é encontrado (um fragmento posterior), o filtro só pesquisa uma combinação do próximo tipo de header de extensão, porque a localização de outros headers de extensão é imprevisível.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Para combinar qualquer valor com a opção do cabeador de extensão, use o sinônimo de any texto.

Para roteadores da Série MX com MPCs, inicialize novos filtros de firewall que incluem essa condição, guiando o SNMP MIB.

Não se iguale a um tipo de cabeador de extensão que está contido no pacote. Para obter detalhes, consulte a extension-headers condição da combinação.

Comprimento da entrada inteira (1,32 bits);

(Opcional) Comprimento da entrada da string (1,128 bits)

Compensação de bits após o deslocamento (início da partida + byte) (0,7)

Deslocamento de byte após o ponto de partida da partida

Selecione uma combinação flexível do campo de modelos predefinido

Mascarar bits nos dados de pacote a serem matched

Ponto de partida para combinar em pacote

Dados/cadeia de valores a serem combinando

Consulte Condições de combinação flexíveis do filtro de firewall para obter detalhes

Comprimento dos dados a combinar em bits (0,32)

Compensação de bits após o deslocamento (início da partida + byte) (0,7)

Deslocamento de byte após o ponto de partida da partida

Selecione uma combinação flexível do campo de modelos predefinido

Ponto de partida para combinar em pacote

Variedade de valores a serem a combinar

Não combinar com essa variedade de valores

Consulte Condições de combinação flexíveis do filtro de firewall para obter detalhes

Combinar a classe de encaminhamento do pacote.

assured-forwardingbest-effort Especifique, expedited-forwarding ou network-control .

Para obter informações sobre classes de encaminhamento e filas de saída internas do roteador, consulte Entender como as classes de encaminhamento atribuem classes a filas de saída.

Não se iguale à classe de encaminhamento do pacote. Para obter detalhes, consulte a forwarding-class condição da combinação.

Combinar o limite de hop com o limite de hop especificado ou o conjunto de limites de hop. Para, hop-limit especifique um único valor ou um intervalo de valores de 0 a 255.

Suporte apenas para interfaces hospedadas em MICs ou MPCs em roteadores da série MX.

Não combinar o limite de hop com o limite de hop especificado ou o conjunto de limites de hop. Para obter detalhes, consulte a hop-limit condição da combinação.

Suporte apenas para interfaces hospedadas em MICs ou MPCs em roteadores da série MX.

Combinar o campo de código de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação next-header icmpnext-header icmp6 no mesmo prazo.

Se você configurar essa condição de combinação, você também deve configurar a condição icmp-type message-type da combinação no mesmo prazo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados). As palavras-chave são agrupadas pelo tipo ICMP com o qual estão associadas:

• problema nos parâmetros: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• ultrapassada no tempo: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• destino inalcançável: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

Não combinar com o campo de código de mensagem ICMP. Para obter detalhes, consulte a icmp-code condição da combinação.

Combinar o campo do tipo de mensagem ICMP.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação next-header icmpnext-header icmp6 no mesmo prazo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachableecho-reply (1), (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-reportmembership-termination (131), (132), mobile-prefix-advertisement-reply (147), (146), (146), (130), (131), (132), (147), mobile-prefix-solicitation (146), (146) neighbor-advertisementneighbor-solicit 136), (135), node-information-reply (140), node-information-request (139), packet-too-bigparameter-problem (2), (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Para private-experimentation-201 (201), você também pode especificar uma variedade de valores dentro de suportes quadrados.

Não combinar com o campo do tipo de mensagem ICMP. Para obter detalhes, consulte a icmp-type condição da combinação.

Combinar a interface na qual o pacote foi recebido.

Combinar a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para, group-number especifique um único valor ou uma variedade de valores a partir 0 de 255 .

Para designar uma interface lógica a um grupo de group-number interface, especifique group-number a no nível da [interfaces interface-name unit number family family filter group] hierarquia.

Para obter mais informações, consulte Filtragem de pacotes recebidos em uma visão geral de grupos de interface.

Não combinar a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para obter detalhes, consulte a interface-group condição da combinação.

Combinar a interface na qual o pacote foi recebido ao conjunto de interface especificado.

Para definir um conjunto de interface, inclua a interface-set instrução em [edit firewall] nível de hierarquia.

Para obter mais informações, consulte Filtragem de pacotes recebidos em uma visão geral do conjunto de interface.

Combinar o campo de opção de IP de 8 bits, se presente, com o valor ou a lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores da opção também estão relacionados): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) ou timestamp (68).

Para combinar qualquer valor com a opção de IP, use o sinônimo de any texto. Para combinar com vários valores, especifique a lista de valores entre parênteses quadrados (' [ e ' ] '). Para combinar com uma variedade de valores, use a especificação de [ value1-value2 ] valor.

Por exemplo, a condição de combinação combina com um campo de opções de IP que contém os valores, ou qualquer outro valor de ip-options [ 0-147 ] 0 a loose-source-routerecord-routesecurity 147. Entretanto, essa condição de combinação não combina com um campo de opções de IP que contém apenas router-alert o valor (148).

Para a maioria das interfaces, um termo de filtro que especifica uma combinação em um ou mais valores de opção IP específicos (um valor diferente) faz com que os pacotes sejam enviados para o Mecanismo de Roteamento para que o kernel possa analisar o campo opção IP no header do ip-optionany pacote.

• Para um termo de filtro de firewall que especifique uma combinação em um ou mais valores de opção IP específicos, você não pode especificar as ações , ou não-termo, a menos que você também especifique a ação de terminação no ip-optioncount mesmo logsyslogdiscard termo. Esse comportamento impede a dupla contagem de pacotes para um filtro aplicado a uma interface de trânsito no roteador.

• Pacotes processados no kernel podem ser descartados no caso de um gargalo no sistema. Para garantir que os pacotes matched sejam enviados ao Mecanismo de Encaminhamento de Pacotes (onde o processamento de pacotes é implementado no hardware), use a condição ip-options any de combinação.

O MPC de 10 Gigabit Ethernet Modular Port Concentrator (MPC), MPC de Ethernet de 100 Gigabits, MPC Ethernet de 60 Gigabits, Ethernet MPC de 60 Gigabits e MPC em fila aprimorado de 60 Gigabits em roteadores da série MX são capazes de analisar o campo de opção DE IP do header de pacotes IPv4. Para interfaces configuradas nesses MPCs, todos os pacotes que são configurados usando a condição de match são enviados ao Mecanismo de Encaminhamento de Pacotes ip-options para processamento.

Não combinar o campo opção IP com o valor ou lista de valores especificados. Para obter detalhes sobre a values especificação, consulte a condição da ip-options combinação.

Corresponder ao nível de prioridade de perda de pacotes (PLP).

Especifique um único nível ou vários níveis: low, medium-lowmedium-high ou high .

Com suporte em M120 e M320 roteadores; M7i e M10i roteadores com o CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX.

Para tráfego IP em M320, Série MX, roteadores Série T e switches série EX com FPCs (Enhanced II Flexible PIC Concentrators, Concentradores de PIC) aprimorados II, você deve incluir a instrução em nível de hierarquia para cometer uma configuração de PLP com qualquer um dos quatro níveis tri-color[edit class-of-service] especificados. Caso a tri-color declaração não seja habilitada, você só pode configurar high os níveis e os low níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre tri-color a declaração, consulte Configuração e aplicação de polícias tricolores de marcação. Para obter informações sobre como usar classificadores agregados de comportamento (BA) para definir o nível de PLP dos pacotes de entrada, consulte Entender como as classes de encaminhamento atribuem classes a filas de saída.

Não se iguale ao nível do PLP. Para obter detalhes, consulte a loss-priority condição da combinação.

Combinar o primeiro campo Next Header de 8 bits no pacote. O suporte para a next-header condição de combinação de firewall está disponível no Junos OS Release 13.3R6 e depois.

Para IPv6, recomendamos que você use o termo em vez do termo ao configurar um payload-protocol filtro de firewall com condições de next-header combinação. Embora possa ser usado, fornece a condição de combinação mais confiável, porque ele usa o protocolo de carga real para encontrar uma combinação, enquanto simplesmente leva o que aparece no primeiro header seguindo o payload-protocol header IPv6, que pode ou não ser o protocolo next-header real. Além disso, se for usado com IPv6, o processo de análise de bloco de filtro acelerado é ignorado e o next-header filtro padrão usado.

Combinar o primeiro campo Next Header de 8 bits no pacote.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados): ah(51), dstops (60), egpesp (8), (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (4)1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Não se iguale ao campo next header de 8 bits que identifica o tipo de header entre o header IPv6 e a carga. Para obter detalhes, consulte o tipo next-header de combinação.

Corresponda ao comprimento do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeça de pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter detalhes, consulte o tipo packet-length de combinação.

Combinar com o tipo de protocolo de carga.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo protocol-type também estão relacionados): especifique um ou um conjunto dos seguintes: ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipipipv6 (41), no-next-headerospf (89), pim (103), routingrsvp (46), sctp (132), tcpudp (6), (17) ou vrrp (112) (dstopts (60), fragment (44), hop-by-hop 0), e o roteamento não está disponível na Versão 16.1 e posterior do Junos OS.

Você também pode usar a condição para combinar com um tipo de cabeador de extensão que payload-protocol o Juniper Networks não consegue interpretar. Você pode especificar uma variedade de valores do cabeamento de extensão entre os suportes quadrados. Quando o firmware encontra o primeiro tipo de header de extensão que não pode ser interpretado em um pacote, o valor é definido para payload-protocol esse tipo de header de extensão. O filtro de firewall só examina o primeiro tipo de header de extensão que o firmware não consegue interpretar no pacote.

Não combinar com o tipo de protocolo de carga. Para obter detalhes, consulte o tipo payload-protocol de combinação.

Combinar o campo de origem ou porta de destino do UDP ou do TCP.

Se você configurar essa condição de combinação, você não poderá configurar a condição da combinação ou a condição da combinação destination-portsource-port no mesmo prazo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto indicados em destination-port .

Não combinar com o campo de origem ou porta de destino do UDP ou do TCP. Para obter detalhes, consulte a port condição da combinação.

Combinar os prefixos dos campos de endereço de origem ou destino aos prefixos da lista especificada, a menos que a opção esteja except incluída. Se a opção for incluída, não combinar os prefixos dos campos de origem ou endereço de destino com os prefixos da lista especificada.

A lista de prefixos é definida em nível [edit policy-options prefix-list prefix-list-name] de hierarquia.

Combinar um pacote recebido de um filtro no qual uma service-filter-hit ação foi aplicada.

Combinar o endereço IPv6 do nó de origem que envia o pacote, a menos que except a opção esteja incluída. Se a opção for incluída, não combinar com o endereço IPv6 do nó de origem que envia o pacote.

Não é possível especificar as address condições e source-address as combinações no mesmo termo.

Combinar um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e determinados nomes de classe).

Para obter mais informações, consulte condições de combinação do filtro de firewall com base em classes de endereço.

Não combinar um ou mais nomes de classe de origem especificados. Para obter detalhes, consulte a source-class condição da combinação.

Combinar o campo de porta de origem UDP ou TCP.

Não é possível especificar port as condições e as source-port combinações no mesmo termo.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição ou a combinação no mesmo prazo para especificar qual protocolo está sendo next-header udpnext-header tcp usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto relacionados com a condição destination-port number de combinação.

Não combinar com o campo de porta de origem UDP ou TCP. Para obter detalhes, consulte a source-port condição da combinação.

Combinar o prefixo de endereço IPv6 do campo de origem do pacote, a menos que except a opção esteja incluída. Se a opção for incluída, não combinar com o prefixo de endereço IPv6 do campo de origem do pacote.

Especifique um nome da lista de prefixos definido no [edit policy-options prefix-list prefix-list-name] nível da hierarquia.

Match TCP pacotes que não o primeiro pacote de uma conexão. Esse é um sinônimo de texto tcp-flags "(ack | rst)" para ( 0x14 ).

Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação next-header tcp no mesmo prazo.

Combinar um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no header TCP.

Para especificar campos de bit individuais, você pode especificar os seguintes valores de texto ou hexadecimal:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Em uma sessão TCP, o sinal SYN é definido apenas no pacote inicial enviado, enquanto o sinal ACK é definido em todos os pacotes enviados após o pacote inicial.

Você pode unir vários flags usando os operadores lógicos do campo de bit.

Para condições combinadas de match de campo de bit, consulte as tcp-established condições tcp-initial e as combinações.

Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação no mesmo prazo para especificar que o protocolo TCP está sendo next-header tcp usado na porta.

Combinar o pacote inicial de uma conexão TCP. Esse é um sinônimo de texto tcp-flags "(!ack & syn)" para .

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar essa condição de combinação, recomendamos que você também configure a condição da combinação next-header tcp no mesmo prazo.

Combinar com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico a partir 0 de 63 . Para especificar o valor na forma hexadecimal, inclua 0x como prefixo. Para especificar o valor em formato binário, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão relacionados):

• RFC 3246, um PHB de encaminhamento acelerado (comportamento por hop),define um ponto de código: ef(46).

• RFC 2597, Grupo PHBde Encaminhamento Garantido, define 4 classes, com 3 precedências de drop em cada classe, para um total de 12 pontos de código:

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

Não se compara ao campo de 8 bits que especifica a CoS prioridade do pacote. Para obter detalhes, consulte a traffic-class descrição da partida.