Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

flow (IPv6)

Syntax

Hierarchieebene

Beschreibung

Konfigurieren Sie die BGP-Datenflussspezifikation für die IPv6-Adressfamilie, um die Koordination von Regeln zum Filtern des Datenverkehrs zu automatisieren und die Weitergabe von Datenverkehrsflussspezifikationsregeln für IPv6 und IPv6-VPN zu ermöglichen, um Distributed-Denial-of-Service-Angriffe abzuwehren. Die Datenflussspezifikation bietet Schutz vor Denial-of-Service-Angriffen und schränkt schlechten Datenverkehr ein, der Bandbreite verbraucht, und stoppt ihn in der Nähe der Quelle.

Hinweis:

Um IPv6-Flow-Spezifikationsrouten über BGP zu propagieren, aktivieren Sie Familie inet6 flow oder inet6-vpn flow auf Hierarchieebene [edit protocols bgp family] auf BGP-Routern im Netzwerk.

Optionen

discard-action-for-unresolved-redir-addr

Konfigurieren Sie die Aktion "Verwerfen" für BGP-Datenflussspezifikationsrouten, die nicht mit der Aktion "Umleiten an IP" aufgelöst wurden.
interface-group group<exclude>

Schließen Sie die Anwendung des Flowspec-Filters auf Datenverkehr aus, der auf bestimmten Schnittstellen empfangen wird. Verwenden Sie diese Option exclude , um die Schnittstellengruppe anzugeben, in der der Datenverkehr nicht empfangen werden soll.
per-route-accounting

Aktivieren Sie die Datenverkehrsabrechnung pro Flowspec-Route.
no-per-route-accounting

Deaktivieren Sie die Datenverkehrsabrechnung pro Flowspec-Route.
destination ipv6-prefix

IP-Zieladressfeld.
destination-port destination-port-names

TCP- oder UDP-Zielportfeld (User Datagram Protocol). Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als destination-port auch die port Übereinstimmungsbedingung im selben Begriff anzugeben.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): afs (1483),  bgp(179), biff (512),  bootpc(68),  bootps(67),  cmd(514), cvspserver (2401),  dhcp(67), domain (53), eklogin (2105),  ekshell(2106), exec (512), finger (79), ftp (21),  ftp-data(20),  http(80),  https(443), ident (113), (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (imap  520), rkinit2108,  smtp25, snmp 161,  snmptrap162, snpp 444,  socks1080,  ssh22,  sunrpc111,  syslog514, tacacs-ds 65, talk 517,  telnet23,  tftp69,  timed525,  who513,  xdmcp177, zephyr-clt 2103 oder zephyr-hm 2104.  
dscp value

Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen sechs Bits dieses Bytes bilden den DSCP.

  • Bereich: Sie können DSCP in Hexadezimal- oder Dezimalform von 0 bis 63 angeben.
flow-label numeric-expression

Der Wert dieses Feldes reicht von 0 bis 1048575.

Diese Übereinstimmungsbedingung wird nur auf Junos-Geräten mit erweiterten MPCs unterstützt, die für enhanced-ip den Modus konfiguriert sind.

fragment fragment-value

Die Schlüsselwörter werden nach dem Fragmenttyp gruppiert, dem sie zugeordnet sind:

  • first-fragment

  • is-fragment

  • last-fragment

  • not-a-fragment

Diese Übereinstimmungsbedingung wird nur auf Junos-Geräten mit erweiterten MPCs unterstützt, die für enhanced-ip den Modus konfiguriert sind.

icmp6-code icmp6-code-value

ICMP6-Codefeld. Dieser Wert oder dieses Schlüsselwort enthält spezifischere Informationen als icmp6-type. Da die Bedeutung des Werts vom zugeordneten icmp6-type Wert abhängt, müssen icmp6-type Sie zusammen mit icmp6-codeangeben.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • Parameter-Problem: ip-header-bad (0), required-option-missing (1)

  • Weiterleitung: redirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • Zeitüberschreitung: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • nicht erreichbar: communication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7),   destination-network-prohibited(9), destination-network-unknown (6),   fragmentation-needed(4),   host-precedence-violation(14),   host-unreachable(1),   host-unreachable-for-TOS(12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3),   precedence-cutoff-in-effect(15),   protocol-unreachable(2),   source-host-isolated(8), source-route-failed (5)
icmp6-type icmp6-type-value

ICMP6-Pakettypfeld. Normalerweise geben Sie diese Übereinstimmung in Verbindung mit der protocol match-Anweisung an, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): echo-reply(0), echo-request (8),   info-reply(16),   info-request(15),   mask-request(17), mask-reply (18), parameter-problem (12),   redirect(5),   router-advertisement(9), router-solicit (10), source-quench (4), time-exceeded (11),   timestamp(13), timestamp-reply (14) oder   unreachable(3).  
packet-length packet-length

Der Wert für die Gesamtlänge des IP-Pakets kann zwischen 0 und 65535 liegen.
port port-names

TCP- oder UDP-Quell- oder Zielportfeld. Sie können nicht sowohl die Übereinstimmungsbedingung port als auch die destination-port Übereinstimmungsbedingung "oder source-port " im selben Begriff angeben.

Anstelle des numerischen Werts können Sie eines der unter destination-portaufgeführten Textsynonyme angeben.
prefix-offset number

(Optional) Geben Sie die Anzahl der Bits an, die übersprungen werden müssen, bevor Junos OS mit dem Präfix übereinstimmt.

Diese Übereinstimmungsbedingung wird nur auf Junos-Geräten mit erweiterten MPCs unterstützt, die für enhanced-ip den Modus konfiguriert sind.

protocol number

Für IPv6 wird das IP-Protokollfeld nur auf Junos-Geräten mit MPCs unterstützt, die für enhanced-ip den Modus konfiguriert sind. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): ah (51),   egp(8),   esp(50), gre (47),   icmp(1), igmp (2), ipip (4), (41 ipv6 ), ospf (89), pim (103), rsvp (46), tcp (6) oder udp (17).
source ipv6-prefix

IP-Quelladressfeld.
source-port source-port-names

TCP- oder UDP-Quellportfeld. Sie können die port Bedingungen und source-port übereinstimmen nicht im selben Begriff angeben.

Anstelle des numerischen Feldes können Sie eines der unter destination-portaufgeführten Textsynonyme angeben.
tcp-flags tcp-flags

TCP-Header-Format.
no-install

Installieren empfangener Routen in der Weiterleitungstabelle verbieten.
accept

Akzeptieren Sie ein Paket. Dies ist der Standardwert.
community name

Ersetzen Sie alle Gemeinden in der Route durch die angegebenen Gemeinden.
discard

Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.
mark value

Legen Sie einen DSCP-Wert für Datenverkehr fest, der diesem Datenstrom entspricht. Geben Sie einen Wert zwischen 0 und 63 an.

Diese Aktion wird nur auf Junos-Geräten mit MPCs unterstützt, die für enhanced-ip den Modus konfiguriert sind.

Hinweis:

Junos OS unterstützt die erweiterte BGP-Filterung community für die Datenverkehrsmarkierung. Bei IPv4-Datenverkehr ändert Junos OS die DiffServ-Codepunkt-Bits (DSCP) eines transitierenden IPv4-Pakets in den entsprechenden Wert der erweiterten Community. Bei IPv6-Paketen ändert Junos OS die ersten sechs Bits des traffic class Feldes des übertragenden IPv6-Pakets in den entsprechenden Wert der erweiterten Community.
redirect

Leiten Sie den Datenverkehr dieses Datenstroms an die angegebene Next-Hop-Adresse um (tunneln).
next-term

Fahren Sie mit der nächsten Übereinstimmungsbedingung zur Auswertung fort.
rate-limit rate-limit

Begrenzen Sie die Bandbreite auf der Flow-Route. Drücken Sie den Grenzwert in Bits pro Sekunde (bps) aus.
routing-instance route-target-extended-community

Geben Sie eine Routing-Instanz an, an die Pakete weitergeleitet werden.
sample

Stichprobe des Datenverkehrs auf der Flow-Route.
traceoptions

Definieren Sie Ablaufverfolgungsvorgänge, die alle Routingprotokollfunktionen im Routinggerät verfolgen.

Erforderliche Berechtigungsstufe

routing: Zum Anzeigen dieser Anweisung in der Konfiguration.

routing-control: Zum Hinzufügen dieser Anweisung zur Konfiguration.

Informationen zur Veröffentlichung

Erklärung eingeführt in Junos OS Version 16.1.

Zugehörige Dokumentation