Übereinstimmungsbedingungen für Servicefilter für IPv4- oder IPv6-Datenverkehr

address address

Passen Sie das IP-Quell- oder Zieladressenfeld an.

address address except

Stimmen Sie das IP-Quell- oder Zieladressenfeld nicht ab.

ah-spi spi-value

(Router der M-Serie, ausgenommen M120 und M320) Übereinstimmung mit dem Wert des IPsec-Authentifizierungs-Headers (AH) Security Parameter Index (SPI).

ah-spi-except spi-value

(Router der M-Serie, ausgenommen M120 und M320) Nicht mit dem IPsec-AH-SPI-Wert übereinstimmen.

destination-address address

Passen Sie das Ip-Zieladressenfeld an.

Sie können sowohl die Bedingungen als destination-address auch die address Übereinstimmungsbedingungen nicht mit demselben Begriff angeben.

destination-address address except

Stimmen Sie das IP-Zieladressenfeld nicht ab.

Sie können sowohl die Bedingungen als destination-address auch die address Übereinstimmungsbedingungen nicht mit demselben Begriff angeben.

destination-port number

Passen Sie das UDP- oder TCP-Zielport-Feld an.

Sie können sowohl die Bedingungen als destination-port auch die port Übereinstimmungsbedingungen nicht mit demselben Begriff angeben.

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, auch die protocol udp Anweisung oder protocol tcp die Anweisung mit demselben Begriff zu konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, die Bedingung mit demselben next-header udp Begriff zu konfigurieren, next-header tcp um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Portnummern sind auch aufgeführt): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21)05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), (2049), nfsdnntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) oder xdmcp (177).

destination-port-except number

Stimmen Sie das UDP- oder TCP-Zielport-Feld nicht ab. Weitere Informationen finden Sie in der Beschreibung der destination-port Übereinstimmung.

destination-prefix-list name

Passen Sie die Liste der Zielpräfixe an. Die Präfixliste wird auf ] [edit policy-options prefix-list prefix-list-nameHierarchieebene definiert.

esp-spi value

Passen Sie den SPI-Wert (IPSec Kapselung Security Payload) an. Geben Sie einen einzelnen Wert oder einen Bereich von Werten an. Sie können eine value hexadezimale, binäre oder dezimale Form angeben. Um den Wert in hexadezimaler Form anzugeben, schließen Sie 0x als Prefix ein. Um den Wert in binärer Form anzugeben, schließen Sie sie b als Prefix ein.

esp-spi-except value

Passen Sie nicht den IPsec ESP SPI-Wert oder den Wertebereich an. Weitere Informationen finden Sie in der Übereinstimmungsbedingung esp-spi .

first-fragment

Stimmen Sie ab, ob das Paket das erste Fragment eines fragmentierten Pakets ist. Nicht übereinstimmen, wenn es sich bei dem Paket um ein nachlaufendes Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat den Fragment offset-Wert von 0.

Diese Übereinstimmungsbedingung ist ein Alias für die Bitfeld-Übereinstimmungsbedingungsbedingung fragment-offset 0 .

Um sowohl erste als auch nachlaufende Fragmente abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben: first-fragment und is-fragment.

forwarding-class

Passen Sie eine oder mehrere der folgenden angegebenen Paketweiterleitungsklassen ab:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes dazu, wie Weiterleitungsklassen Klassen Ausgabewarteschlangen zuweisen.

forwarding-class-except

Passen Sie nicht zu einer oder mehreren der folgenden angegebenen Paketweiterleitungsklassen:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(nur eingangs) Passen Sie das Drei-Bit-Feld für IP-Fragmentierungsflaggen im IP-Header an.

Anstelle des numerischen Feldwerts können Sie eines der folgenden Schlüsselwörter angeben (die Feldwerte sind auch aufgeführt): dont-fragment(0x4), more-fragments (0x2) oder reserved (0x8).

fragment-offset number

Passen Sie das 13-Bit-Fragment-Offset-Feld im IP-Header an. Der Wert ist der Offset in 8-Byte-Einheiten in der gesamten Datagram-Nachricht zum Datenfragment. Geben Sie einen numerischen Wert, einen Bereich von Werten oder eine Gruppe von Werten an. Ein Offset-Wert von 0 gibt das erste Fragment eines fragmentierten Pakets an.

Die first-fragment Übereinstimmungsbedingung ist ein Alias für die Übereinstimmungsbedingung fragment-offset 0 .

Um sowohl erste als auch nachlaufende Fragmente abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen (first-fragment und is-fragment) angeben.

fragment-offset-except number

Das 13-Bit-Fragment-Offset-Feld darf nicht übereinstimmen.

interface-group group-number

Passen Sie die Schnittstellengruppe (Satz einer oder mehrerer logischer Schnittstellen) an, über die das Paket empfangen wurde. Für group-numbergeben Sie einen Wert von bis 0 .255

Informationen zur Konfiguration von Schnittstellengruppen finden Sie unter Filtern von Paketen, die über eine Reihe von Schnittstellengruppen empfangen werden – Übersicht.

interface-group-except group-number

Passen Sie nicht die Schnittstellengruppe an, über die das Paket empfangen wurde. weitere Informationen finden Sie in der Übereinstimmungsbedingung interface-group .

ip-options values

Passen Sie das Feld für die 8-Bit-IP-Option (falls vorhanden) mit dem angegebenen Wert oder der Liste von Werten ab.

Anstelle eines numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Optionswerte sind auch aufgeführt): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) oder timestamp (68).

Um einen beliebigen Wert für die IP-Option zu entsprechen, verwenden Sie das Text-Synonym any. Um mehrere Werte abzugleichen, geben Sie die Liste der Werte in eckigen Klammern ('[' und ']') an. Um einen Bereich von Werten zu entsprechen, verwenden Sie die Wertspezifikation [ value1-value2 ].

Beispielsweise entspricht die Übereinstimmungsbedingung ip-options [ 0-147 ] in einem Feld für IP-Optionen, das den loose-source-route, record-routeoder security Werte oder einen anderen Wert von 0 bis 147 enthält. Diese Übereinstimmungsbedingung entspricht jedoch nicht in einem Feld für IP-Optionen, das nur den router-alert Wert (148) enthält.

Bei den meisten Schnittstellen bewirkt ein Filterbegriff, der eine ip-option Übereinstimmung für einen oder mehrere spezifische IP-Optionswerte angibt (ein anderer Wert als any), dass Pakete an die Routing-Engine gesendet werden, damit der Kernel das IP-Optionsfeld im Paket-Header analysieren kann.

• Für einen Firewall-Filterbegriff, der eine ip-option Übereinstimmung für eine oder mehrere spezifische IP-Optionswerte angibt, können Sie die oder logdie countnichtterminierenden Aktionen nur dann angeben, syslogwenn Sie auch die discard Terminierungsaktion im selben Begriff angeben. Dieses Verhalten verhindert die Doppelzählung der Pakete für einen Filter, der auf eine Transitschnittstelle am Router (oder Switch) angewendet wird.

• Pakete, die über den Kernel verarbeitet werden, können bei einem Systemengpass unterbrochen werden. Verwenden Sie die Übereinstimmungsbedingung, um sicherzustellen, dass abgeglichene Pakete stattdessen an die Packet Forwarding Engine (wo die ip-options any Paketverarbeitung in Hardware implementiert wird) gesendet werden.

Der 10-Gigabit Ethernet Modular Port Concentrator (MPC), 60-Gigabit Ethernet MPC, 60 Gigabit Queuing Ethernet MPC, 60 Gigabit Ethernet Enhanced Queuing MPC auf Routern der MX-Serie und Switches der EX-Serie sind in der Lage, das IP-Optionsfeld des IPv4-Paket-Headers zu analysieren. Diese Funktion wird auch auf Switches der EX-Serie unterstützt. Bei Schnittstellen, die auf diesen MPCs konfiguriert sind, werden alle Pakete, die mit der ip-options Übereinstimmungsbedingung abgeglichen werden, zur Verarbeitung an die Packet Forwarding Engine gesendet.

ip-options-except values

Gleichen Sie das Feld "IP-Option" nicht mit dem angegebenen Wert oder der Liste von Werten ab. Weitere Informationen zum Festlegen von , finden valuesSie unter der Übereinstimmungsbedingung ip-options .

is-fragment

Passen Sie ab, wenn es sich bei dem Paket um ein nachlaufendes Fragment eines fragmentierten Pakets handelt. Passen Sie nicht das erste Fragment eines fragmentierten Pakets an.

Diese Übereinstimmungsbedingung ist ein Alias für die Bitfeld-Übereinstimmungsbedingungsbits fragment-offset 0 except .

loss-priority

Passen Sie eine oder mehrere der folgenden PLP-Ebenen (Packet Loss Priority) ab:

• low

• medium-low

• medium-high

• high

Das PLP wird von Schedulern in Verbindung mit dem random Early Discard (RED)-Algorithmus verwendet, um die Verwerfung von Paketen in Zeiten von Überlastungen zu steuern. Informationen zu PLP finden Sie unter Verwalten von Überlastungen durch Festlegen der Paketverlustpriorität für verschiedene Datenverkehrsströme und Übersicht über das Zuweisen von Servicelevels zu Paketen basierend auf mehreren Paket-Header-Feldern.

loss-priority-except

Entsprechen Sie nicht einer oder mehreren der folgenden PLP-Ebenen (Packet Loss Priority):

• low

• medium-low

• medium-high

• high

port number

Passen Sie das UDP- oder TCP-Quell- oder Zielport-Feld an.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, können Sie die destination-port Übereinstimmungsbedingung oder die Übereinstimmungsbedingung source-port nicht im selben Begriff konfigurieren.

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, auch die protocol udp Anweisung oder protoco tcp die Anweisung mit demselben Begriff zu konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, die Bedingung mit demselben next-header udp Begriff zu konfigurieren, next-header tcp um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der unter .destination-port

port-except number

Stimmen Sie das UDP- oder TCP-Quell- oder Zielport-Feld nicht ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung port .

prefix-list prefix-list-name

Passen Sie die Präfixe der Quell- oder Zieladressenfelder mit den Präfixen in der angegebenen Liste ab. Die Präfixliste wird auf Hierarchieebene [edit policy-options prefix-list prefix-list-name] definiert.

protocol number

Passen Sie das Feld "IP-Protokolltyp" an.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt): ah(51), dstopts (60), egp (8), esp (50), (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), ipv6 (41), (89), pimospf (103), rsvp (46), sctp (132), tcp (6), udp (17) oder vrrp (112).

protocol-except number

Stimmen Sie das Feld "IP-Protokolltyp" nicht ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung protocol .

source-address address

Passen Sie die IP-Quelladresse an.

Sie können sowohl die Bedingungen als source-address auch die address Übereinstimmungsbedingungen nicht mit demselben Begriff angeben.

source-address address except

Stimmen Sie die IP-Quelladresse nicht ab.

Sie können sowohl die Bedingungen als source-address auch die address Übereinstimmungsbedingungen nicht mit demselben Begriff angeben.

source-port number

Passen Sie das UDP- oder TCP-Quell-Port-Feld an.

Sie können die Bedingungen nicht mit demselben port Begriff angeben und source-port die Bedingungen abgleichen.

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, auch die protocol udp Anweisung oder protocol tcp die Anweisung mit demselben Begriff zu konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, die Bedingung mit demselben next-header udp Begriff zu konfigurieren, next-header tcp um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der Text-Synonyme angeben, die mit der destination-port number Übereinstimmungsbedingung aufgeführt sind.

source-port-except number

Stimmen Sie das UDP- oder TCP-Quellport-Feld nicht ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung source-port .

source-prefix-list name

Passen Sie Quellpräfixe in der angegebenen Liste ab. Geben Sie den Namen einer Präfixliste an, die auf Hierarchieebene [edit policy-options prefix-list prefix-list-name] definiert ist.

tcp-flags value

Passen Sie ein oder mehrere der 6 Bits in niedriger Reihenfolge im Feld 8-Bit-TCP-Flags im TCP-Header an.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Text-Synonyme oder Hexadezimalwerte angeben:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur in dem ursprünglich gesendeten Paket festgelegt, während das ACK-Flag in allen Paketen festgelegt ist, die nach dem ersten Paket gesendet werden.

Sie können mehrere Flags mit den logischen Bitfeld-Operatoren zeichenfolgen.

Informationen zu den kombinierten Bit-Feld-Übereinstimmungsbedingungen finden Sie in den tcp-established Und tcp-initial Übereinstimmungsbedingungen.

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die protocol tcp Match-Anweisung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird.

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, auch die next-header tcp Übereinstimmungsbedingung im selben Begriff zu konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird.