Übereinstimmungsbedingungen für Firewall-Filter für IPv4-Datenverkehr
Sie können einen Firewallfilter mit Übereinstimmungsbedingungen für IPv4-Datenverkehr (Internet Protocol Version 4) konfigurieren ().family inet
Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Nur-Trio-Übereinstimmungsfilter in der MIB initialisieren, indem Sie die entsprechende SNMP-MIB durchlaufen, z. B . . .show snmp mib walk name ascii
Dadurch wird Junos gezwungen, die Filterzähler zu lernen, und es wird sichergestellt, dass die Filterstatistiken angezeigt werden (dies liegt daran, dass bei der ersten Abfrage zum Filtern von Statistiken möglicherweise nicht alle Leistungsindikatoren angezeigt werden). Diese Anleitung gilt für alle Firewallfilter im erweiterten Modus, Filter mit flexiblen Bedingungen und Filter mit bestimmten Beendigungsaktionen. Weitere Informationen finden Sie in den Themen, die unter "Zugehörige Dokumentation" aufgeführt sind.
Tabelle 1
Beschreibt die Konfigurationen, die Sie auf Hierarchieebene konfigurieren können.match-conditions[edit firewall family inet filter filter-name term term-name from]
Übereinstimmungsbedingung |
Beschreibung |
|
---|---|---|
|
Stimmt mit dem IPv4-Quell- oder Zieladressfeld überein, es sei denn, die Option ist enthalten. Der Modifikator wird auf den Plattformen EX2300 und EX3400 nicht unterstützt. |
|
|
(Router der M-Serie, außer M120 und M320) Übereinstimmung mit dem Wert des IPsec-Authentifizierungsheaders (AH) für den Sicherheitsparameterindex (SPI). HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. |
|
|
(Router der M-Serie, außer M120 und M320) Stimmen Sie nicht mit dem IPsec AH SPI-Wert überein. HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. |
|
|
Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen. |
|
|
Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. |
|
|
Stimmt mit dem IPv4-Zieladressfeld überein, es sei denn, die Option ist enthalten. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben. |
|
|
Übereinstimmung mit einem oder mehreren angegebenen Zielklassennamen (Gruppen von Zielpräfixen, die gruppiert sind und einen Klassennamen erhalten). Weitere Informationen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter basierend auf Adressklassen.Übereinstimmungsbedingungen für Firewall-Filter basierend auf Adressklassen |
|
|
Stimmt nicht mit einem oder mehreren angegebenen Zielklassennamen überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Stimmt mit dem Feld UDP- oder TCP-Zielport überein. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben. Wenn Sie portbasierte Übereinstimmungen konfigurieren, müssen Sie auch die Anweisung or match im selben Filterbegriff konfigurieren. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) oder (177). |
|
|
Stimmen Sie nicht mit dem Feld UDP- oder TCP-Zielport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Stimmt mit Zielpräfixen in der angegebenen Liste überein, es sei denn, die Option ist enthalten. Geben Sie den Namen einer Präfixliste an, die auf der Hierarchieebene ] definiert ist. |
|
|
Übereinstimmung mit dem Codepunkt für differenzierte Dienste (Differentiated Services, DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bits dieses Bytes bilden den DSCP. Weitere Informationen finden Sie unter Grundlegendes dazu, wie Verhaltensaggregatklassifizierer vertrauenswürdigen Datenverkehr priorisieren.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic Unterstützung für das Filtern nach DSCP (Differentiated Services Code Point) und Weiterleitungsklassen für Pakete aus der Routing-Engine wurde hinzugefügt, einschließlich IS-IS-Paketen, die in generischer Routingkapselung (GRE) gekapselt sind. Wenn Sie anschließend ein Upgrade von einer früheren Version von Junos OS durchführen, bei der Sie sowohl über einen CoS- (Class of Service) als auch über einen Firewall-Filter verfügen und beide DSCP- oder Weiterleitungsklassenfilteraktionen enthalten, haben die Kriterien im Firewallfilter automatisch Vorrang vor den CoS-Einstellungen. Das Gleiche gilt für das Erstellen neuer Konfigurationen. Das heißt, wenn die gleichen Einstellungen vorhanden sind, hat der Firewall-Filter Vorrang vor dem CoS, unabhängig davon, welcher zuerst erstellt wurde. Sie können einen numerischen Wert von bis angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):
|
|
|
Stimmen Sie nicht mit der DSCP-Nummer überein. Weitere Informationen finden Sie unter Übereinstimmungsbedingung . |
|
|
Übereinstimmung mit dem SPI-Wert für die IPsec-Kapselungssicherheitsnutzlast (ESP). Übereinstimmung mit diesem bestimmten SPI-Wert. Sie können den ESP-SPI-Wert in hexadezimaler, binärer oder dezimaler Form angeben. HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. |
|
|
Übereinstimmung mit dem IPsec ESP SPI-Wert. Stimmt nicht mit diesem bestimmten SPI-Wert überein. HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. |
|
|
Übereinstimmung, wenn es sich bei dem Paket um das erste Fragment eines fragmentierten Pakets handelt. Nicht übereinstimmen, wenn es sich bei dem Paket um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragment-Offset-Wert von . Diese Übereinstimmungsbedingung ist ein Alias für die Übereinstimmungsbedingung für die Bitfeld-Übereinstimmungsbedingung . Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben: und . |
|
|
|
Länge der abzugleichenden Daten in Bits, nicht benötigt für String-Eingabe (0..128) |
|
Bit-Offset nach dem (Match-Start + Byte) Offset (0..7) |
|
|
Byte-Offset nach dem Startpunkt des Spiels |
|
|
Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus |
|
|
Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen |
|
|
Startpunkt für den Abgleich im Paket |
|
|
Abzugleichende Wertdaten/Zeichenfolge |
|
|
|
Länge der abzugleichenden Daten in Bit (0..32) |
|
Bit-Offset nach dem (Match-Start + Byte) Offset (0..7) |
|
|
Byte-Offset nach dem Startpunkt des Spiels |
|
|
Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus |
|
|
Startpunkt für den Abgleich im Paket |
|
|
Wertebereich, der abgeglichen werden soll |
|
|
Übereinstimmung mit diesem Wertebereich nicht |
|
|
Entspricht der Weiterleitungsklasse des Pakets. Geben Sie , , oder . Weitere Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.Understanding How Forwarding Classes Assign Classes to Output Queues |
|
|
Sie stimmt nicht mit der Weiterleitungsklasse des Pakets überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
(Nur Ingress) Übereinstimmung mit dem Feld für die Drei-Bit-IP-Fragmentierungsflags im IP-Header. Anstelle des numerischen Feldwerts können Sie eines der folgenden Schlüsselwörter angeben (die Feldwerte werden ebenfalls aufgelistet): (0x4), (0x2) oder (0x8). |
|
|
Übereinstimmung mit dem 13-Bit-Fragment-Offset-Feld im IP-Header. Der Wert ist der Offset in 8-Byte-Einheiten in der gesamten Datagrammnachricht zum Datenfragment. Geben Sie einen numerischen Wert, einen Wertebereich oder eine Gruppe von Werten an. Ein Offset-Wert von gibt das erste Fragment eines fragmentierten Pakets an. Die Übereinstimmungsbedingung ist ein Alias für die Übereinstimmungsbedingung. Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben ( und ). |
|
|
Stimmen Sie nicht mit dem 13-Bit-Fragment-Offset-Feld überein. |
|
|
Stimmt mit dem Gre-Key-Feld überein. Das GRE-Schlüsselfeld ist eine 4-Oktett-Nummer, die vom GRE-Encapsulator eingefügt wird. Dies ist ein optionales Feld für die Verwendung in der GRE-Kapselung. Dabei kann es sich um eine einzelne GRE-Schlüsselnummer oder einen Bereich von Schlüsselnummern handeln.range Initialisieren Sie bei Routern der MX-Serie mit MPCs neue Firewall-Filter, die diese Bedingung enthalten, indem Sie die entsprechende SNMP-MIB durchlaufen. |
|
|
Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein. HINWEIS:
Wenn Sie diese Übereinstimmungsbedingung verwenden, sollten Sie auch die Übereinstimmungsbedingung im selben Begriff (wie unten gezeigt) verwenden, um sicherzustellen, dass Pakete ausgewertet werden. term Allow _ICMP { from protocol icmp { icmp-code ip-header-bad; icmp-type echo-reply; } then { policer ICMP_Policier; count Allow_ICMP; Sie müssen auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:
|
|
|
Stimmen Sie nicht mit dem ICMP-Meldungscodefeld überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein. HINWEIS:
Wenn Sie diese Übereinstimmungsbedingung verwenden, sollten Sie auch die Übereinstimmungsbedingung im selben Begriff (wie unten gezeigt) verwenden, um sicherzustellen, dass Pakete ausgewertet werden. term Allow _ICMP { from protocol icmp { icmp-code ip-header-bad; icmp-type echo-reply; } then { policer ICMP_Policier; count Allow_ICMP; Sie müssen auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. HINWEIS:
Für Junos OS Evolved müssen Sie die match-Anweisung mit demselben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0), (8), (16), (15), (17), (18), (12), (5), (9), (10), (4), (11), (13), (14) oder (3). |
|
|
Stimmen Sie nicht mit dem Feld ICMP-Nachrichtentyp überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Stimmt mit der Schnittstelle überein, auf der das Paket empfangen wurde. HINWEIS:
Wenn Sie diese Übereinstimmungsbedingung mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, stimmt der Begriff mit keinem Paket überein. |
|
|
Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Geben Sie für einen einzelnen Wert oder einen Wertebereich zwischen 0 und 255 an. Um einer Schnittstellengruppe eine logische Schnittstelle zuzuordnen, geben Sie die auf Hierarchieebene an. HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Filtern von Paketen, die in einer Gruppe von Schnittstellengruppen empfangen wurden – Übersicht.Filtern von Paketen, die auf einer Gruppe von Schnittstellengruppen empfangen wurden Übersicht |
|
|
Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. |
|
|
Ordnen Sie die Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe zu. Um eine Schnittstellenmenge zu definieren, fügen Sie die Anweisung auf Hierarchieebene ein. HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Filtern von Paketen, die in einer Schnittstellengruppe empfangen wurden – Übersicht.Filtern von Paketen, die auf einer Schnittstelle empfangen wurden Satzübersicht |
|
|
Ordnen Sie das 8-Bit-IP-Optionsfeld, falls vorhanden, dem angegebenen Wert oder der angegebenen Werteliste zu. Anstelle eines numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Optionswerte werden ebenfalls aufgelistet): (131), (7), (148), (130), (136), (137) oder (68). Um einen beliebigen Wert für die IP-Option abzugleichen, verwenden Sie das Textsynonym . Beispielsweise stimmt die Übereinstimmungsbedingung in einem IP-Optionsfeld überein, das die Werte , , oder oder einen anderen Wert zwischen 0 und 147 enthält. Bei den meisten Schnittstellen bewirkt ein Filterbegriff, der eine Übereinstimmung mit einem oder mehreren bestimmten IP-Optionswerten angibt (ein anderer Wert als ), dass Pakete an die Routing-Engine gesendet werden, damit der Kernel das IP-Optionsfeld im Paket-Header analysieren kann.
Der 10-Gigabit Ethernet Modular Port Concentrator (MPC), der 100-Gigabit-Ethernet-MPC, der 60-Gigabit-Ethernet-MPC, der 60-Gigabit-Ethernet-MPC und der 60-Gigabit-Ethernet-Enhanced Queuing-MPC auf Routern der MX-Serie sind in der Lage, das IP-Optionsfeld des IPv4-Paketheaders zu analysieren. Bei Schnittstellen, die auf diesen MPCs konfiguriert sind, werden alle Pakete, die mit der Übereinstimmungsbedingung abgeglichen werden, zur Verarbeitung an die Paketweiterleitungs-Engine gesendet. Die Übereinstimmungsbedingung wird auf Routern der Serien PTX10003 und PTX10008 ab Junos Evolved OS Version 20.2R1 unterstützt. HINWEIS:
|
|
|
Gleichen Sie das IP-Optionsfeld nicht mit dem angegebenen Wert oder der angegebenen Werteliste ab. Weitere Informationen zum Angeben von , finden Sie in der Übereinstimmungsbedingung. |
|
|
Die Verwendung dieser Bedingung führt zu einer Übereinstimmung, wenn das Flag "Weitere Fragmente" im IP-Header aktiviert ist und der Fragmentoffset nicht Null ist. HINWEIS:
Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben ( und ). |
|
|
Entspricht der PLP-Stufe (Packet Loss Priority). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: , , oder . Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie. Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die Anweisung auf Hierarchieebene einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Weitere Informationen zu dieser Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. |
|
|
Nicht mit dem PLP-Wert übereinstimmen. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Entspricht der Länge des empfangenen Pakets in Bytes. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead. Sie können auch einen Wertebereich angeben, der abgeglichen werden soll. |
|
|
Stimmt nicht mit der Länge des empfangenen Pakets in Byte überein. Weitere Informationen finden Sie unter Übereinstimmungstyp . |
|
|
Stimmen Sie mit dem Feld UDP- oder TCP-Quell- oder Zielport überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, können Sie die Übereinstimmungsbedingung oder die Übereinstimmungsbedingung nicht im selben Begriff konfigurieren. Wenn Sie portbasierte Übereinstimmungen konfigurieren, müssen Sie auch die Anweisung or match im selben Filterbegriff konfigurieren. Anstelle des numerischen Werts können Sie eines der unter aufgeführten Textsynonyme angeben. |
|
|
Stimmen Sie weder mit dem Feld für den Quell- noch für den Ziel-UDP oder den TCP-Port überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Stimmt mit dem Feld für die IP-Rangfolge überein. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00). |
|
|
Stimmen Sie nicht mit dem Feld für die IP-Rangfolge überein. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00). |
|
|
Ordnen Sie die Präfixe der Quell- oder Zieladressfelder den Präfixen in der angegebenen Liste zu, es sei denn, die Option ist enthalten. Die Präfixliste wird auf Hierarchieebene definiert. HINWEIS:
Diese Übereinstimmungsbedingung wird auf PTX1000-Routern nicht unterstützt. |
|
|
Stimmt mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) oder (112). |
|
|
Stimmen Sie nicht mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) oder (112). |
|
|
Übereinstimmung mit dem RAT-Typ (Radio-Access Technology), der im Feld 8-Bit-Tech-Type der Proxy Mobile IPv4 (PMIPv4)-Access-Technology-Typerweiterung angegeben ist. Der Technologietyp gibt die Zugriffstechnologie an, über die das mobile Gerät mit dem Zugriffsnetzwerk verbunden ist. Geben Sie einen einzelnen Wert, einen Wertebereich oder eine Gruppe von Werten an. Sie können einen Technologietyp als numerischen Wert von 0 bis 255 oder als Systemschlüsselwort angeben.
|
|
|
Nicht mit dem RAT-Typ übereinstimmen. |
|
|
Entspricht einem Paket, das von einem Filter empfangen wurde, auf den eine Aktion angewendet wurde. HINWEIS:
Diese Übereinstimmungsbedingung wird auf Routern der PTX-Serie nicht unterstützt. |
|
|
Stimmt mit der IPv4-Adresse des Quellknotens überein, der das Paket sendet, es sei denn, die Option ist enthalten. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben. |
|
|
Übereinstimmung mit einem oder mehreren angegebenen Quellklassennamen (Gruppen von Quellpräfixen, die gruppiert sind und einen Klassennamen erhalten). Weitere Informationen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter basierend auf Adressklassen.Übereinstimmungsbedingungen für Firewall-Filter basierend auf Adressklassen |
|
|
Stimmen Sie nicht mit einem oder mehreren angegebenen Quellklassennamen überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein. Sie können die Bedingungen und übereinstimmen nicht im selben Begriff angeben. Wenn Sie portbasierte Übereinstimmungen konfigurieren, müssen Sie auch die Anweisung or match im selben Filterbegriff konfigurieren. Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der Übereinstimmungsbedingung aufgeführt sind. |
|
|
Stimmen Sie nicht mit dem Feld für den UDP- oder TCP-Quellport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
|
|
Stimmt mit Quellpräfixen in der angegebenen Liste überein, es sei denn, die Option ist enthalten. Geben Sie den Namen einer Präfixliste an, die auf der Hierarchieebene ] definiert ist. |
|
|
TCP-Pakete einer eingerichteten TCP-Sitzung abgleichen (andere Pakete als das erste Paket einer Verbindung). Dies ist ein Alias für . Mit dieser Übereinstimmungsbedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Um dies zu überprüfen, geben Sie die Übereinstimmungsbedingung an. |
|
|
Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header. Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:
In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden. Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen. Informationen zu kombinierten Bitfeld-Übereinstimmungsbedingungen finden Sie unter und Übereinstimmungsbedingungen. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsanweisung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird. Nur bei IPv4-Datenverkehr wird mit dieser Übereinstimmungsbedingung nicht implizit überprüft, ob das Datagramm das erste Fragment eines fragmentierten Pakets enthält. Um diese Bedingung nur für IPv4-Datenverkehr zu überprüfen, verwenden Sie die Übereinstimmungsbedingung . |
|
|
Stimmt mit dem ursprünglichen Paket einer TCP-Verbindung überein. Dies ist ein Alias für . Mit dieser Bedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren. |
|
|
Übereinstimmung mit der IPv4-Gültigkeitsdauer. Geben Sie einen TTL-Wert oder einen Bereich von TTL-Werten an. Für können Sie einen oder mehrere Werte von bis angeben. |
|
|
Stimmen Sie nicht mit der IPv4-TTL-Nummer überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . |
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.