Condições de correspondência do filtro de serviço para tráfego IPv4 ou IPv6

address address

Combine com o campo de endereços de origem ou destino de IP.

address address except

Não corresponda ao campo de endereços de origem ou destino de IP.

ah-spi spi-value

(Roteadores da Série M, exceto M120 e M320) Combine com o valor do índice de parâmetro de segurança (SPI) do cabeçalho de autenticação IPsec (AH).

ah-spi-except spi-value

(Roteadores da Série M, exceto M120 e M320) Não corresponda ao valor IPsec AH SPI.

destination-address address

Combine com o campo de endereço de destino IP.

Você não pode especificar as address condições e destination-address as condições compatíveis no mesmo termo.

destination-address address except

Não corresponda ao campo de endereços de destino IP.

Você não pode especificar as address condições e destination-address as condições compatíveis no mesmo termo.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as port condições e destination-port as condições compatíveis no mesmo termo.

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a protocol udp declaração ou protocol tcp correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a next-header udp condição ou next-header tcp a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), (434), mobileip-agentmobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), (139), (2049), (119), (518), (518), (137), netbios-ssn (139), nfsd (2049), (119), nntpntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a descrição da destination-port correspondência.

destination-prefix-list name

Combine com a lista de prefixos de destino. A lista de prefixo é definida no [edit policy-options prefix-list prefix-list-namenível ] hierarquia.

esp-spi value

Combine com o valor de SPI de carga de segurança (ESP) encapsulando IPsec. Especifique um único valor ou uma variedade de valores. Você pode especificar uma value forma hexadima, binária ou decimal. Para especificar o valor na forma hexadadecimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

esp-spi-except value

Não corresponda ao valor de ESP SPI do IPsec ou à gama de valores. Para obter mais informações, veja a condição da esp-spi partida.

first-fragment

Combine se o pacote é o primeiro fragmento de um pacote fragmentado. Não combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de compensação de fragmentos de 0.

Esta condição de jogo é um vulto para a condição de jogo de condição fragment-offset 0 de jogo de campo bit.

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência: first-fragment e is-fragment...

forwarding-class

Combine com uma ou mais das seguintes aulas de encaminhamento de pacotes especificadas:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.

forwarding-class-except

Não corresponda a uma ou mais das seguintes aulas de encaminhamento de pacotes especificadas:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP.

No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

fragment-offset number

Combine com o campo de compensação de fragmentos de 13 bits no cabeçalho IP. O valor é a compensação, em unidades de 8 byte, na mensagem geral de datagrama para o fragmento de dados. Especifique um valor numérico, uma variedade de valores ou um conjunto de valores. Um valor de compensação 0 indica o primeiro fragmento de um pacote fragmentado.

A first-fragment condição da partida é um vulto para a condição da fragment-offset 0 partida.

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência (first-fragment e is-fragment).

fragment-offset-except number

Não combine com o campo de compensação de fragmentos de 13 bits.

interface-group group-number

Combine com o grupo de interface (conjunto de uma ou mais interfaces lógicas) em que o pacote foi recebido. Para group-number, especifique um valor de 0 até 255.

Para obter informações sobre a configuração de grupos de interface, veja Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral.

interface-group-except group-number

Não corresponda ao grupo de interface no qual o pacote foi recebido. para obter mais informações, veja a condição da interface-group partida.

ip-options values

Combine com o campo de opção de IP de 8 bits, se presente, com o valor ou lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de opção também estão listados): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) ou timestamp (68).

Para combinar com qualquer valor para a opção de IP, use o sinônimo de anytexto. Para combinar com vários valores, especifique a lista de valores dentro de parênteses quadrados ('[' e ']'). Para combinar com uma variedade de valores, use a especificação [ value1-value2 ]de valor.

Por exemplo, a condição ip-options [ 0-147 ] da partida corresponde a um campo de opções de IP que contém o loose-source-route, record-routeou security valores, ou qualquer outro valor de 0 a 147. No entanto, essa condição de partida não corresponde a um campo de opções de IP que contém apenas o router-alert valor (148).

Para a maioria das interfaces, um termo de filtro que especifica uma ip-option correspondência em um ou mais valores de opção de IP específicos (um valor diferente) faz com que anyos pacotes sejam enviados ao Mecanismo de Roteamento para que o kernel possa analisar o campo de opção de IP no cabeçalho do pacote.

• Para um termo de filtro de firewall que especifica uma ip-option correspondência em um ou mais valores de opção de IP específicos, você não pode especificar as countações, logou syslog não termômetros , a menos que você também especifique a ação discard de terminação no mesmo termo. Esse comportamento evita a contagem dupla de pacotes para um filtro aplicado a uma interface de trânsito no roteador (ou switch).

• Os pacotes processados no kernel podem ser descartados em caso de gargalo do sistema. Para garantir que os pacotes combinados sejam enviados ao Mecanismo de encaminhamento de pacotes (onde o processamento de pacotes é implementado em hardware), use a condição de ip-options any correspondência.

O Concentrador modular de portas Ethernet (MPC) de 10 Gigabits, Ethernet MPC de 60 Gigabits, Ethernet MPC com fila de 60 Gigabits, Ethernet Ethernet Aprimorada MPC em roteadores da Série MX e switches da Série EX são capazes de analisar o campo de opção de IP do cabeçalho de pacote IPv4. Esse recurso também é compatível com switches da Série EX. Para interfaces configuradas nesses MPCs, todos os pacotes compatíveis usando a condição de ip-options correspondência são enviados ao Mecanismo de encaminhamento de pacotes para processamento.

ip-options-except values

Não combine o campo de opção de IP com o valor ou lista de valores especificados. Para obter mais informações sobre a especificação, valuesveja a condição da ip-options partida.

is-fragment

Combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. Não corresponda ao primeiro fragmento de um pacote fragmentado.

Esta condição de jogo é um vulto para os bits de condição fragment-offset 0 except de jogo em campo.

loss-priority

Corresponda a um ou mais dos seguintes níveis especificados de prioridade de perda de pacote (PLP):

• low

• medium-low

• medium-high

• high

O PLP é usado por agendadores em conjunto com o algoritmo de descarte antecipado aleatório (RED) para controlar o descarte de pacotes durante períodos de congestionamento. Para obter informações sobre PLP, veja gerenciamento de congestionamento configurando a prioridade de perda de pacotes para diferentes fluxos de tráfego e visão geral da atribuição de níveis de serviço a pacotes com base em vários campos de cabeçalho de pacotes.

loss-priority-except

Não corresponda a um ou mais dos seguintes níveis especificados de prioridade de perda de pacote (PLP):

• low

• medium-low

• medium-high

• high

port number

Combine com o campo de porta de origem ou destino UDP ou TCP.

Se você configurar esta condição de correspondência, não poderá configurar a condição da destination-port correspondência ou a condição da source-port correspondência no mesmo termo.

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a protocol udp declaração ou protoco tcp correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a next-header udp condição ou next-header tcp a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em destination-port.

port-except number

Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter mais informações, veja a condição da port partida.

prefix-list prefix-list-name

Combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada. A lista de prefixo é definida no nível de [edit policy-options prefix-list prefix-list-name] hierarquia.

protocol number

Combine com o campo do tipo de protocolo IP.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), (89), pimospf (103), rsvp (46), sctp (132), (6), tcpudp (17) ou vrrp (112).

protocol-except number

Não corresponda ao campo do tipo de protocolo IP. Para obter mais informações, veja a condição da protocol partida.

source-address address

Combine com o endereço de origem IP.

Você não pode especificar as address condições e source-address as condições compatíveis no mesmo termo.

source-address address except

Não corresponda ao endereço de origem IP.

Você não pode especificar as address condições e source-address as condições compatíveis no mesmo termo.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as port condições e source-port combinar no mesmo termo.

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a protocol udp declaração ou protocol tcp correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a next-header udp condição ou next-header tcp a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de destination-port number correspondência.

source-port-except number

Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da source-port partida.

source-prefix-list name

Prefixos de origem compatível na lista especificada. Especifique o nome de uma lista de prefixo definida no [edit policy-options prefix-list prefix-list-name] nível de hierarquia.

tcp-flags value

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as tcp-established condições e tcp-initial as condições da partida.

Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a declaração de protocol tcp correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.

Se você configurar esta condição de correspondência para tráfego IPv6, recomendamos que você também configure a condição de next-header tcp correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.