Übereinstimmungsbedingungen für Dienstfilter für IPv4- oder IPv6-Datenverkehr

address address

Stimmt mit dem Feld für die IP-Quell- oder Zieladresse überein.

address address except

Stimmen Sie nicht mit dem Feld für die IP-Quell- oder Zieladresse überein.

ah-spi spi-value

(Router der M-Serie, außer M120 und M320) Übereinstimmung mit dem SPI-Wert (Security Parameter Index) des IPsec-Authentifizierungsheaders (AH).

ah-spi-except spi-value

(Router der M-Serie, außer M120 und M320) Nicht übereinstimmend mit dem IPsec AH SPI-Wert.

destination-address address

Stimmt mit dem Feld für die IP-Zieladresse überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben.addressdestination-address

destination-address address except

Stimmen Sie nicht mit dem Feld für die IP-Zieladresse überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben.addressdestination-address

destination-port number

Stimmt mit dem Feld UDP- oder TCP-Zielport überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben.portdestination-port

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Anweisung or match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.protocol udpprotocol tcp

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung oder im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.next-header udpnext-header tcp

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) oder (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-port-except number

Stimmen Sie nicht mit dem Feld UDP- oder TCP-Zielport überein. Weitere Informationen finden Sie in der Beschreibung des Spiels.destination-port

destination-prefix-list name

Stimmt mit der Liste der Zielpräfixe überein. Die Präfixliste wird auf der Hierarchieebene ] definiert.[edit policy-options prefix-list prefix-list-name

esp-spi value

Übereinstimmung mit dem SPI-Wert für die IPsec-Kapselungssicherheitsnutzlast (ESP). Geben Sie einen einzelnen Wert oder einen Wertebereich an. Sie können a in hexadezimaler, binärer oder dezimaler Form angeben.value Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein .0x Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein.b

esp-spi-except value

Stimmen Sie nicht mit dem IPsec-ESP-SPI-Wert oder dem Wertebereich überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .esp-spi

first-fragment

Übereinstimmung, wenn es sich bei dem Paket um das erste Fragment eines fragmentierten Pakets handelt. Nicht übereinstimmen, wenn es sich bei dem Paket um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragment-Offset-Wert von .0

Diese Übereinstimmungsbedingung ist ein Alias für die Übereinstimmungsbedingung für die Bitfeld-Übereinstimmungsbedingung .fragment-offset 0

Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben: und .first-fragmentis-fragment

forwarding-class

Übereinstimmung mit einer oder mehreren der folgenden angegebenen Paketweiterleitungsklassen:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

Weitere Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.Understanding How Forwarding Classes Assign Classes to Output Queues

forwarding-class-except

Sie stimmen nicht mit einer oder mehreren der folgenden angegebenen Paketweiterleitungsklassen überein:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(Nur Ingress) Übereinstimmung mit dem Feld für die Drei-Bit-IP-Fragmentierungsflags im IP-Header.

Anstelle des numerischen Feldwerts können Sie eines der folgenden Schlüsselwörter angeben (die Feldwerte werden ebenfalls aufgelistet): (0x4), (0x2) oder (0x8).dont-fragmentmore-fragmentsreserved

fragment-offset number

Übereinstimmung mit dem 13-Bit-Fragment-Offset-Feld im IP-Header. Der Wert ist der Offset in 8-Byte-Einheiten in der gesamten Datagrammnachricht zum Datenfragment. Geben Sie einen numerischen Wert, einen Wertebereich oder eine Gruppe von Werten an. Ein Offset-Wert von gibt das erste Fragment eines fragmentierten Pakets an.0

Die Übereinstimmungsbedingung ist ein Alias für die Übereinstimmungsbedingung.first-fragmentfragment-offset 0

Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben ( und ).first-fragmentis-fragment

fragment-offset-except number

Stimmen Sie nicht mit dem 13-Bit-Fragment-Offset-Feld überein.

interface-group group-number

Übereinstimmung mit der Schnittstellengruppe (Gruppe aus einer oder mehreren logischen Schnittstellen), auf der das Paket empfangen wurde. Geben Sie für einen Wert von bis an .group-number0255

Weitere Informationen zum Konfigurieren von Schnittstellengruppen finden Sie unter .Filtern von Paketen, die auf einer Gruppe von Schnittstellengruppen empfangen wurden Übersicht

interface-group-except group-number

Stimmen Sie nicht mit der Schnittstellengruppe überein, auf der das Paket empfangen wurde. Weitere Informationen finden Sie unter Übereinstimmungsbedingung .interface-group

ip-options values

Ordnen Sie das 8-Bit-IP-Optionsfeld, falls vorhanden, dem angegebenen Wert oder der angegebenen Werteliste zu.

Anstelle eines numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Optionswerte werden ebenfalls aufgelistet): (131), (7), (148), (130), (136), (137) oder (68).loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

Um einen beliebigen Wert für die IP-Option abzugleichen, verwenden Sie das Textsynonym .any Um mehrere Werte abzugleichen, geben Sie die Liste der Werte in eckigen Klammern ('' und '') an.[] Um einen Wertebereich abzugleichen, verwenden Sie die Wertespezifikation .[ value1-value2 ]

Beispielsweise stimmt die Übereinstimmungsbedingung in einem IP-Optionsfeld überein, das die Werte , , oder oder einen anderen Wert zwischen 0 und 147 enthält.ip-options [ 0-147 ]loose-source-routerecord-routesecurity Diese Übereinstimmungsbedingung stimmt jedoch nicht mit einem IP-Optionsfeld überein, das nur den Wert (148) enthält.router-alert

Bei den meisten Schnittstellen bewirkt ein Filterbegriff, der eine Übereinstimmung mit einem oder mehreren bestimmten IP-Optionswerten angibt (ein anderer Wert als ), dass Pakete an die Routing-Engine gesendet werden, damit der Kernel das IP-Optionsfeld im Paket-Header analysieren kann.ip-optionany

• Für einen Firewallfilterbegriff, der eine Übereinstimmung mit einem oder mehreren bestimmten IP-Optionswerten angibt, können Sie die Aktionen , und oder nicht beendend nur angeben, wenn Sie die beendende Aktion im selben Begriff angeben.ip-optioncountlogsyslogdiscard Dieses Verhalten verhindert die doppelte Zählung von Paketen für einen Filter, der auf eine Transitschnittstelle auf dem Router (oder Switch) angewendet wird.

• Pakete, die auf dem Kernel verarbeitet werden, können im Falle eines Systemengpasses verworfen werden. Verwenden Sie die Übereinstimmungsbedingung, um sicherzustellen, dass übereinstimmende Pakete stattdessen an die Paketweiterleitungs-Engine gesendet werden (wo die Paketverarbeitung in Hardware implementiert ist).ip-options any

Der modulare 10-Gigabit-Ethernet-Port-Concentrator (MPC), der 60-Gigabit-Ethernet-MPC, der 60-Gigabit-Ethernet-MPC, der 60-Gigabit-Ethernet-MPC mit erweiterter Warteschlange auf Routern der MX-Serie und Switches der EX-Serie sind in der Lage, das IP-Optionsfeld des IPv4-Paketheaders zu analysieren. Diese Funktion wird auch von Switches der EX-Serie unterstützt. Bei Schnittstellen, die auf diesen MPCs konfiguriert sind, werden alle Pakete, die mit der Übereinstimmungsbedingung abgeglichen werden, zur Verarbeitung an die Paketweiterleitungs-Engine gesendet.ip-options

ip-options-except values

Gleichen Sie das IP-Optionsfeld nicht mit dem angegebenen Wert oder der angegebenen Werteliste ab. Weitere Informationen zum Angeben von , finden Sie in der Übereinstimmungsbedingung.valuesip-options

is-fragment

Übereinstimmung, wenn es sich bei dem Paket um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Stimmt nicht mit dem ersten Fragment eines fragmentierten Pakets überein.

Diese Übereinstimmungsbedingung ist ein Alias für die Bitfeld-Übereinstimmungsbedingungsbits .fragment-offset 0 except

loss-priority

Entsprechen Sie einer oder mehreren der folgenden angegebenen PLP-Stufen (Packet Loss Priority):

• low

• medium-low

• medium-high

• high

Das PLP wird von Schedulern in Verbindung mit dem RED-Algorithmus (Random Early Discard) verwendet, um die Paketverwerfung in Zeiten von Überlastung zu steuern. Weitere Informationen zu PLP finden Sie unter Verwalten von Überlastungen durch Festlegen der Paketverlustpriorität für verschiedene Datenverkehrsströme und Übersicht über die Zuweisung von Servicelevels zu Paketen basierend auf mehreren Paket-Header-Feldern.Managing Congestion by Setting Packet Loss Priority for Different Traffic FlowsOverview of Assigning Service Levels to Packets Based on Multiple Packet Header Fields

loss-priority-except

Entsprechen Sie nicht einer oder mehreren der folgenden angegebenen PLP-Stufen (Packet Loss Priority):

• low

• medium-low

• medium-high

• high

port number

Stimmen Sie mit dem Feld UDP- oder TCP-Quell- oder Zielport überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, können Sie die Übereinstimmungsbedingung oder die Übereinstimmungsbedingung nicht im selben Begriff konfigurieren.destination-portsource-port

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Anweisung or match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.protocol udpprotoco tcp

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung oder im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.next-header udpnext-header tcp

Anstelle des numerischen Werts können Sie eines der unter aufgeführten Textsynonyme angeben.destination-port

port-except number

Stimmen Sie nicht mit dem Feld UDP- oder TCP-Quell- oder Zielport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .port

prefix-list prefix-list-name

Ordnen Sie die Präfixe der Quell- oder Zieladressfelder den Präfixen in der angegebenen Liste zu. Die Präfixliste wird auf Hierarchieebene definiert.[edit policy-options prefix-list prefix-list-name]

protocol number

Stimmt mit dem Feld IP-Protokolltyp überein.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) oder (112). ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

protocol-except number

Stimmen Sie nicht mit dem Feld IP-Protokolltyp überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .protocol

source-address address

Stimmt mit der IP-Quelladresse überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben.addresssource-address

source-address address except

Stimmen Sie nicht mit der IP-Quelladresse überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben.addresssource-address

source-port number

Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein.

Sie können die Bedingungen und übereinstimmen nicht im selben Begriff angeben.portsource-port

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Anweisung or match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.protocol udpprotocol tcp

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung oder im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.next-header udpnext-header tcp

Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der Übereinstimmungsbedingung aufgeführt sind.destination-port number

source-port-except number

Stimmen Sie nicht mit dem Feld für den UDP- oder TCP-Quellport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .source-port

source-prefix-list name

Übereinstimmung der Quellpräfixe in der angegebenen Liste. Geben Sie den Namen einer Präfixliste an, die auf der Hierarchieebene ] definiert ist.[edit policy-options prefix-list prefix-list-name

tcp-flags value

Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen.

Informationen zu kombinierten Bitfeld-Übereinstimmungsbedingungen finden Sie unter und Übereinstimmungsbedingungen.tcp-establishedtcp-initial

Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsanweisung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird.protocol tcp

Wenn Sie diese Übereinstimmungsbedingung für IPv6-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird.next-header tcp