Condições de correspondência do filtro de serviço para tráfego IPv4 ou IPv6

address address

Combine com o campo de endereços de origem ou destino de IP.

address address except

Não corresponda ao campo de endereços de origem ou destino de IP.

ah-spi spi-value

(Roteadores da Série M, exceto M120 e M320) Combine com o valor do índice de parâmetro de segurança (SPI) do cabeçalho de autenticação IPsec (AH).

ah-spi-except spi-value

(Roteadores da Série M, exceto M120 e M320) Não corresponda ao valor IPsec AH SPI.

destination-address address

Combine com o campo de endereço de destino IP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addressdestination-address

destination-address address except

Não corresponda ao campo de endereços de destino IP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addressdestination-address

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.portdestination-port

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a declaração ou correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.protocol udpprotocol tcp

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (2108), (25), (161), (162), (162) 444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) ou (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-port-except number

Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a descrição da correspondência.destination-port

destination-prefix-list name

Combine com a lista de prefixos de destino. A lista de prefixo é definida no nível ] hierarquia.[edit policy-options prefix-list prefix-list-name

esp-spi value

Combine com o valor de SPI de carga de segurança (ESP) encapsulando IPsec. Especifique um único valor ou uma variedade de valores. Você pode especificar uma forma hexadima, binária ou decimal.value Para especificar o valor na forma hexadadecimal, inclua como prefixo.0x Para especificar o valor em forma binária, inclua como prefixo.b

esp-spi-except value

Não corresponda ao valor de ESP SPI do IPsec ou à gama de valores. Para obter mais informações, veja a condição da partida.esp-spi

first-fragment

Combine se o pacote é o primeiro fragmento de um pacote fragmentado. Não combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de compensação de fragmentos de .0

Esta condição de jogo é um vulto para a condição de jogo de condição de jogo de campo bit.fragment-offset 0

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência: e ...first-fragmentis-fragment

forwarding-class

Combine com uma ou mais das seguintes aulas de encaminhamento de pacotes especificadas:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.Understanding How Forwarding Classes Assign Classes to Output Queues

forwarding-class-except

Não corresponda a uma ou mais das seguintes aulas de encaminhamento de pacotes especificadas:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP.

No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): (0x4), (0x2) ou (0x8).dont-fragmentmore-fragmentsreserved

fragment-offset number

Combine com o campo de compensação de fragmentos de 13 bits no cabeçalho IP. O valor é a compensação, em unidades de 8 byte, na mensagem geral de datagrama para o fragmento de dados. Especifique um valor numérico, uma variedade de valores ou um conjunto de valores. Um valor de compensação indica o primeiro fragmento de um pacote fragmentado.0

A condição da partida é um vulto para a condição da partida.first-fragmentfragment-offset 0

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência ( e ).first-fragmentis-fragment

fragment-offset-except number

Não combine com o campo de compensação de fragmentos de 13 bits.

interface-group group-number

Combine com o grupo de interface (conjunto de uma ou mais interfaces lógicas) em que o pacote foi recebido. Para , especifique um valor de até .group-number0255

Para obter informações sobre a configuração de grupos de interface, veja .Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral

interface-group-except group-number

Não corresponda ao grupo de interface no qual o pacote foi recebido. para obter mais informações, veja a condição da partida.interface-group

ip-options values

Combine com o campo de opção de IP de 8 bits, se presente, com o valor ou lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de opção também estão listados): (131), (7), (148), (130), (136), (137) ou (68).loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

Para combinar com qualquer valor para a opção de IP, use o sinônimo de texto.any Para combinar com vários valores, especifique a lista de valores dentro de parênteses quadrados ('' e '').[] Para combinar com uma variedade de valores, use a especificação de valor.[ value1-value2 ]

Por exemplo, a condição da partida corresponde a um campo de opções de IP que contém o , ou valores, ou qualquer outro valor de 0 a 147.ip-options [ 0-147 ]loose-source-routerecord-routesecurity No entanto, essa condição de partida não corresponde a um campo de opções de IP que contém apenas o valor (148).router-alert

Para a maioria das interfaces, um termo de filtro que especifica uma correspondência em um ou mais valores de opção de IP específicos (um valor diferente) faz com que os pacotes sejam enviados ao Mecanismo de Roteamento para que o kernel possa analisar o campo de opção de IP no cabeçalho do pacote.ip-optionany

• Para um termo de filtro de firewall que especifica uma correspondência em um ou mais valores de opção de IP específicos, você não pode especificar as ações, ou não termômetros , a menos que você também especifique a ação de terminação no mesmo termo.ip-optioncountlogsyslogdiscard Esse comportamento evita a contagem dupla de pacotes para um filtro aplicado a uma interface de trânsito no roteador (ou switch).

• Os pacotes processados no kernel podem ser descartados em caso de gargalo do sistema. Para garantir que os pacotes combinados sejam enviados ao Mecanismo de encaminhamento de pacotes (onde o processamento de pacotes é implementado em hardware), use a condição de correspondência.ip-options any

O Concentrador modular de portas Ethernet (MPC) de 10 Gigabits, Ethernet MPC de 60 Gigabits, Ethernet MPC com fila de 60 Gigabits, Ethernet Ethernet Aprimorada MPC em roteadores da Série MX e switches da Série EX são capazes de analisar o campo de opção de IP do cabeçalho de pacote IPv4. Esse recurso também é compatível com switches da Série EX. Para interfaces configuradas nesses MPCs, todos os pacotes compatíveis usando a condição de correspondência são enviados ao Mecanismo de encaminhamento de pacotes para processamento.ip-options

ip-options-except values

Não combine o campo de opção de IP com o valor ou lista de valores especificados. Para obter mais informações sobre a especificação, veja a condição da partida.valuesip-options

is-fragment

Combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. Não corresponda ao primeiro fragmento de um pacote fragmentado.

Esta condição de jogo é um vulto para os bits de condição de jogo em campo.fragment-offset 0 except

loss-priority

Corresponda a um ou mais dos seguintes níveis especificados de prioridade de perda de pacote (PLP):

• low

• medium-low

• medium-high

• high

O PLP é usado por agendadores em conjunto com o algoritmo de descarte antecipado aleatório (RED) para controlar o descarte de pacotes durante períodos de congestionamento. Para obter informações sobre PLP, veja gerenciamento de congestionamento configurando a prioridade de perda de pacotes para diferentes fluxos de tráfego e visão geral da atribuição de níveis de serviço a pacotes com base em vários campos de cabeçalho de pacotes.Managing Congestion by Setting Packet Loss Priority for Different Traffic FlowsOverview of Assigning Service Levels to Packets Based on Multiple Packet Header Fields

loss-priority-except

Não corresponda a um ou mais dos seguintes níveis especificados de prioridade de perda de pacote (PLP):

• low

• medium-low

• medium-high

• high

port number

Combine com o campo de porta de origem ou destino UDP ou TCP.

Se você configurar esta condição de correspondência, não poderá configurar a condição da correspondência ou a condição da correspondência no mesmo termo.destination-portsource-port

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a declaração ou correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.protocol udpprotoco tcp

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em .destination-port

port-except number

Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter mais informações, veja a condição da partida.port

prefix-list prefix-list-name

Combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada. A lista de prefixo é definida no nível de hierarquia.[edit policy-options prefix-list prefix-list-name]

protocol number

Combine com o campo do tipo de protocolo IP.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) ou (112).ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

protocol-except number

Não corresponda ao campo do tipo de protocolo IP. Para obter mais informações, veja a condição da partida.protocol

source-address address

Combine com o endereço de origem IP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addresssource-address

source-address address except

Não corresponda ao endereço de origem IP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addresssource-address

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as condições e combinar no mesmo termo.portsource-port

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a declaração ou correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.protocol udpprotocol tcp

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.next-header udpnext-header tcp

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de correspondência.destination-port number

source-port-except number

Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da partida.source-port

source-prefix-list name

Prefixos de origem compatível na lista especificada. Especifique o nome de uma lista de prefixo definida no ] nível de hierarquia.[edit policy-options prefix-list prefix-list-name

tcp-flags value

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as condições e as condições da partida.tcp-establishedtcp-initial

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a declaração de correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.protocol tcp

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a condição de correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.next-header tcp