Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condições parametrizadas de correspondência de filtro para tráfego IPv6

Você pode configurar um filtro parametrizado com condições de correspondência para tráfegofamily inet6 de protocolo de Internet versão 6 (IPv6).

Nota:

Para roteadores da Série MX com MPCs, você precisa inicializar certos novos filtros de firewall andando pelo SNMP MIB correspondente, por exemplo. show snmp mib walk name ascii Isso força o Junos a aprender os contadores de filtro e garantir que as estatísticas do filtro sejam exibidas. Essa orientação se aplica a todos os filtros de firewall de modo aprimorado, filtros com condições flexíveis e filtros com certas ações terminais. Veja esses tópicos, listados em Documentação relacionada, para obter mais detalhes.

A Tabela 1 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family inet6 filter filter-name term term-name from] hierarquia.

Tabela 1: Condições de correspondência do filtro de firewall para tráfego IPv6

Condição da partida

Descrição

address address [ except ]

Combine com o campo de endereço de origem ou destino IPv6, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv6.

destination-address address [ except ]

Combine com o campo de endereço de destino IPv6, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv6.

Você não pode especificar as address condições e destination-address as condições compatíveis no mesmo termo.

destination-port number

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as port condições e destination-port as condições compatíveis no mesmo termo.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header tcp a next-header udp condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), (514), cvspserver cmd (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), (511) exec 2), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), (754), krb-prop (760), kshell krbupdate (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), (110), pptp pop3 (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), (49), tacacs (65), tacacs-ds (517), telnet talk (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da destination-port partida.

destination-prefix-list prefix-list-name [ except ]

Combine o prefixo de destino IPv6 com a lista especificada, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de destino IPv6 à lista especificada.

A lista de prefixo é definida no [edit policy-options prefix-list prefix-list-namenível ] hierarquia.

forwarding-class class

Combine com a classe de encaminhamento do pacote.

Especifiqueassured-forwarding, best-effortexpedited-forwardingou network-control.

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.

forwarding-class-except class

Não corresponda à classe de encaminhamento do pacote. Para obter mais informações, veja a condição da forwarding-class partida.

icmp-code message-code

Combine com o campo de código de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header icmp6 a next-header icmp condição de correspondência no mesmo termo.

Se você configurar essa condição de correspondência, você também deve configurar a condição de icmp-type message-type correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

  • problema de parâmetros: ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

  • tempo excedido: ttl-eq-zero-during-reassembly (1) ttl-eq-zero-during-transit (0)

  • destino inalcançável: administratively-prohibited (1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da icmp-code partida.

icmp-type message-type

Combine com o campo do tipo de mensagem do ICMP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header icmp6 a next-header icmp condição de correspondência no mesmo termo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), (145), home-agent-address-discovery-reply (144), home-agent-address-discovery-request inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), (200), private-experimentation-200 (201), redirect private-experimentation-201 (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Para private-experimentation-201 (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados.

icmp-type-except message-type

Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da icmp-type partida.

loss-priority level

Corresponda ao nível de prioridade de perda de pacote (PLP).

Especifique um único nível ou vários níveis:low, medium-lowoumedium-highhigh.

Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX.

Para tráfego IP em M320, Série MX, roteadores da Série T e switches da Série EX com concentradores PIC flexíveis (FPCs) Aprimorados II, você deve incluir a tri-color declaração no nível de [edit class-of-service] hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a tri-color declaração não estiver habilitada, você só poderá configurar os níveis e low os high níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a tri-color declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.

loss-priority-except level

Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da loss-priority partida.

next-header header-type

Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do next-header firewall está disponível no Junos OS Release 13.3R6 e posterior.

Para O IPv6, recomendamos que você use o payload-protocol termo em vez do next-header termo ao configurar um filtro de firewall com condições de correspondência. Embora possa ser usado, oferece a condição de correspondência mais confiável porque payload-protocol usa o protocolo de carga real para encontrar uma correspondência, enquanto next-header simplesmente leva o que aparecer no primeiro cabeçalho após o cabeçalho IPv6, que pode ou não ser o protocolo real. Além disso, se next-header for usado com o IPv6, o processo acelerado de pesquisa de blocos de filtro é ignorado e o filtro padrão usado em vez disso.

Combine com o primeiro campo next header de 8 bits no pacote.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58) icmpv6 ), igmp (2), ipip (4), ipv6 (41), mobility (135), no-next-header (59), (89), pim ospf (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Nota:

next-header icmp6 e next-header icmpv6 as condições de correspondência executam a mesma função. next-header icmp6 é a opção preferida. next-header icmpv6 está oculta no Junos OS CLI.

next-header-except header-type

Não combine com o campo Next Header de 8 bits que identifica o tipo de cabeçalho entre o cabeçalho IPv6 e a carga útil. Para obter mais informações, veja o tipo de next-header correspondência.

packet-length bytes

Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.

packet-length-except bytes

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de packet-length correspondência.

port number

Combine com o campo de porta de origem ou destino UDP ou TCP.

Se você configurar esta condição de correspondência, não poderá configurar a condição da destination-port correspondência ou a condição da source-port correspondência no mesmo termo.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header tcp a next-header udp condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados sob a condição de destination-port correspondência.

port-except number

Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter mais informações, veja a condição da port partida.

prefix-list prefix-list-name [ except ]

Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a opção except esteja incluída. Se a opção estiver incluída, não combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada.

A lista de prefixo é definida no nível de [edit policy-options prefix-list prefix-list-name] hierarquia.

service-filter-hit

Combine com um pacote recebido de um filtro onde uma service-filter-hit ação foi aplicada.

source-address address [ except ]

Combine com o endereço IPv6 do nó de origem que envia o pacote a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao endereço IPv6 do nó de origem que envia o pacote.

Você não pode especificar as address condições e source-address as condições compatíveis no mesmo termo.

source-class class-names

Combine com um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e dado um nome de classe). Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.

source-class-except class-names

Não combine com um ou mais nomes de classe de origem especificados. Para obter mais informações, veja a condição da source-class partida.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as port condições e source-port combinar no mesmo termo.

Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou next-header tcp a next-header udp condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de destination-port number correspondência.

source-port-except number

Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da source-port partida.

source-prefix-list name [ except ]

Combine com o prefixo de endereço IPv6 do campo de origem do pacote, a menos que a opção except esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de endereço IPv6 do campo de origem do pacote.

Especifique um nome de lista de prefixo definido no nível de [edit policy-options prefix-list prefix-list-name] hierarquia.

traffic-class number

Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote.

Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4.

Você pode especificar um valor numérico de 0 até 63. Para especificar o valor na forma hexadadecimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

  • RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef (46).

  • RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

traffic-class-except number

Não corresponda ao campo de 8 bits que especifica a prioridade cos do pacote. Para obter mais informações, veja a descrição da traffic-class correspondência.

Nota:

Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições, destination-addressou source-address condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
13.3R6
O suporte para a condição de correspondência do next-header firewall está disponível no Junos OS Release 13.3R6 e posterior.