Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu pour le trafic IPv4

Vous pouvez configurer un filtre de pare-feu avec les conditions de correspondance du trafic IPv4 (Internet Protocol version 4) ( family inet ).

Remarque :

Pour les routeurs MX Series avec MPC, vous devez initialiser le compteur de filtre pour les filtres de correspondance Trio uniquement dans le MIB en s’adonnant aux MIB SNMP correspondants, par show snmp mib walk name ascii exemple. Junos est alors contraint d’apprendre les compteurs de filtres et garantit l’affichage des statistiques de filtres (car le premier sondage qui a vu le jour pour filtrer les statistiques ne peut afficher toutes les statistiques). Cette directive s’applique à tous les filtres de pare-feu en mode amélioré, aux filtres avec des conditions flexibles et aux filtres avec certaines actions de terminaison. Pour plus de détails, consultez les rubriques ci-dessous.

Tableau 1 décrit ce match-conditions que vous pouvez configurer au niveau de la [edit firewall family inet filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance des filtres de pare-feu pour le trafic IPv4

Condition de correspondance

Description

address address [ except ]

Correspondz à la source ou au champ d’adresse de destination IPv4, sauf except si l’option est incluse. Si l’option est incluse, ne faites pas correspondre le champ de la source ou de l’adresse de destination IPv4.

Le except modifier n’est pas pris en charge sur EX2300 et EX3400 plates-formes web.

ah-spi spi-value

(M Series routeurs, sauf M120 et M320) Correspondre à la valeur SPI (Security Parameter Index) de l’en-tête d’authentification IPsec.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

ah-spi-except spi-value

(M Series routeurs, sauf M120 et M320) Ne pas correspondre à la valeur SPI IPsec AH.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

apply-groups

Spécifiez les groupes dont vous avez besoin pour hériter les données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les énumérer par ordre de héritage prioritaire. Les données de configuration du premier groupe ont la priorité sur les données des groupes suivants.

apply-groups-except

Indiquez les groupes à ne pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.

destination-address address [ except ]

Correspondance avec le champ de destination IPv4 sauf except si l’option est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv4.

Vous ne pouvez pas spécifier à la fois les conditions et les addressdestination-address assortir dans un même terme.

destination-class class-names

Indiquez un ou plusieurs noms de classe de destination spécifiés (ensembles de préfixes de destination regroupés et nommés par un nom de classe). Pour plus d’informations, consultez le filtrage des conditions de correspondance du pare-feu en fonction des classes d’adresse.

destination-class-except class-names

Ne faites pas correspondre un ou plusieurs noms de classe de destination spécifiés. Pour plus d’informations, consultez la destination-class condition de correspondance.

destination-port number

Faire correspondre le champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions et les portdestination-port assortir dans un même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer l’énoncé de correspondance ou de l’énoncé de correspondance dans le même terme pour spécifier le protocole utilisé protocol udpprotocol tcp sur le port.

Remarque :

Pour Junos OS évolué, vous devez configurer l’instruction de protocol correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les numéros de port sont également répertoriés): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftpftp-data (21), http (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-propkrbupdate (754), (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntppop3 (123), (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Ne pas correspondre au champ de port de destination UDP ou TCP. Pour plus d’informations, consultez la destination-port condition de correspondance.

destination-prefix-list name [ except ]

Assortissez les préfixes de destination dans la liste spécifiée, sauf si except l’option est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes de destination dans la liste spécifiée.

Indiquez le nom d’une liste de préfixes définie au [edit policy-options prefix-list prefix-list-name niveau de la hiérarchie.

dscp number

Correspondre au point de code differentiated services (DSCP). Le protocole DiffServ utilise le type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet investissement constituent le DSCP. Pour plus d’informations, consultez le site Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

La prise en charge du filtrage des points de code de service différenciés (DSCP) et de la classe de paquets moteur de routage source, y compris les paquets IS-IS encapsulés dans l’encapsulation de routage générique (GRE), a été ajoutée. Par la suite, lorsque vous effectuez la mise à niveau à partir d’une version de Junos OS antérieure où vous avez à la fois un classe de service (CoS) et un filtre de pare-feu, et qu’ils incluent DSCP ou des actions de filtrage de classe, les critères du filtre de pare-feu prennent automatiquement le pas sur les paramètres CoS. Il en va de même pour la création de nouvelles configurations. c’est-à-dire que là où les mêmes paramètres existent, le filtre de pare-feu a priorité sur CoS, quels que soient les premiers paramètres créés.

Vous pouvez spécifier une valeur numérique de 0 par 63 . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure 0x comme préfixe. Pour spécifier la valeur dans un format binaire, inclure b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code: ef(46).

  • RFC 2597, groupe PHB (Assured Forwarding PHB Group),définit 4 classes, avec 3 préséances d’abandon pour un total de 12 points de code:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

dscp-except number

Ne faites pas correspondre au numéro DSCP. Pour plus d’informations, consultez la dscp condition de correspondance.

esp-spi spi-value

Faire correspondre la valeur SPI de la charge utile de sécurité (ESP) encapsulée IPsec. Match sur cette valeur SPI spécifique. Vous pouvez spécifier la valeur SPI ESP dans une forme hexadécimale, binaire ou décimale.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

esp-spi-except spi-value

Correspondre à la valeur SPI ESP IPsec. Ne faites pas correspondre à cette valeur SPI spécifique.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

first-fragment

Si le paquet est le premier fragment d’un paquet fragmenté, Ne faites pas correspondre si le paquet est un fragment de sillage d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté présente une valeur de « fragmentation » de 0 .

Cette condition de correspondance est une alias pour la condition de correspondance sur le terrain fragment-offset 0 de bit.

Pour correspondre aux fragments de départ et de trailing, vous pouvez utiliser deux termes qui spécifient différentes conditions de correspondance: first-fragment et is-fragment .

flexible-match-mask value

bit-length

Longueur des données à assortir en bits, non requise pour l’entrée de chaîne (0.128)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-mask-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

mask-in-hex

Masquer les bits dans les données de paquet pour les faire correspondre

match-start

Point de départ pour correspondance dans le paquet

prefix

Valeur de données/chaîne à correspondre

flexible-match-range value

bit-length

Longueur des données à correspondre en bits (0.32)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-range-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

match-start

Point de départ pour correspondance dans le paquet

range

Plage de valeurs à correspondre

range-except

Ne correspond pas à cette gamme de valeurs

forwarding-class class

Correspondre à la classe de forwarding du paquet.

Spécifier assured-forwardingbest-effort , ou expedited-forwardingnetwork-control .

Pour plus d’informations sur les classes de forwarding et les files d’attente de sortie internes routeur-routeur, consultez la liste Understanding How Forwarding Classes Assign Classes to Output Queues.

forwarding-class-except class

Ne correspondent pas à la classe de forwarding du paquet. Pour plus d’informations, consultez la forwarding-class condition de correspondance.

fragment-flags number

(entrée uniquement) Faire correspondre le champ des indicateurs de fragmentation IP à trois bits dans l’en-tête IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des mots-clés suivants (les valeurs de champ sont également répertoriées): dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

fragment-offset value

Correspondance avec le champ de fragmentation de 13 bits de l’en-tête IP. Il s’agit de la valeur détribuée, dans des unités de 8 tots, dans le message global de datagramme envoyé au fragment de données. Spécifiez une valeur numérique, une gamme de valeurs ou un ensemble de valeurs. Valeur décalage de 0 10,7 millions d’heures indiquée pour le premier fragment d’un paquet fragmenté.

La first-fragment condition de correspondance est une alias pour la condition de fragment-offset 0 correspondance.

Pour correspondre aux fragments de départ et de trailing, vous pouvez utiliser deux termes qui spécifient différentes conditions de correspondance ( first-fragmentis-fragment et).

fragment-offset-except number

Ne pas correspondre au champ de fragmentation en 13 bits.

gre-key Gamme

Faire correspondre le champ gre-key. Le champ clé GRE est un numéro de 4 octet inséré par l’encapsuleur GRE. Il s’agit d’un champ facultatif pour l’encapsulation GRE. Il peut s’agit d’un seul numéro de clé GRE ou d’une série de chiffres clés.

Pour MX Series routeurs avec MPC, initialisez de nouveaux filtres de pare-feu qui incluent cette condition en suivant l’MIB SNMP.

icmp-code number

Correspondre au champ de code de message ICMP.

Remarque :

Lorsque vous utilisez cette condition de correspondance, vous devez également utiliser la condition de correspondance dans le même terme (comme indiqué ci-dessous) pour vous assurer que les protocol icmpicmp paquets sont évalués.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés selon le type d’ICMP auquel ils sont associés:

  • paramètre du problème: ip-header-bad(0), required-option-missing (1)

  • Rediriger: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • dépassé dans le temps: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Inaccessible: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-neededhost-precedence-violation (4), (14), host-unreachablehost-unreachable-for-TOS (1), network-unreachable (12), network-unreachable-for-TOS (0), (11), port-unreachable (3), precedence-cutoff-in-effectprotocol-unreachable (15), (2), source-host-isolated (8), source-route-failed (5)

icmp-code-except message-code

Ne correspondez pas au champ de code de message ICMP. Pour plus d’informations, consultez la icmp-code condition de correspondance.

icmp-type number

Correspondre au champ de type de message ICMP.

Remarque :

Lorsque vous utilisez cette condition de correspondance, vous devez également utiliser la condition de correspondance dans le même terme (comme indiqué ci-dessous) pour vous assurer que les protocol icmpicmp paquets sont évalués.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Remarque :

Pour Junos OS évolué, vous devez configurer l’instruction de protocol correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-replyparameter-problem (18), redirect (12), router-advertisement (5), router-solicit (9), (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

icmp-type-except message-type

Ne correspondent pas au champ de type de message ICMP. Pour plus d’informations, consultez la icmp-type condition de correspondance.

interface interface-name

Correspondre à l’interface sur laquelle le paquet a été reçu.

Remarque :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-group group-number

Faire correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interface ou ensemble de groupes d’interfaces spécifiés. Pour group-number , spécifiez une valeur unique ou une plage de valeurs de 0 à 255.

Pour attribuer une interface logique à un groupe group-number d’interfaces, spécifiez le group-number niveau [interfaces interface-name unit number family family filter group] hiérarchique.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

Pour plus d’informations, consultez la présentation des paquets de filtrage reçus dans un ensemble de groupes d’interfaces.

interface-group-except group-number

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu vers le groupe ou ensemble d’interfaces spécifié. Pour plus d’informations, consultez la interface-group condition de correspondance.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

interface-set interface-set-name

Assortir l’interface sur laquelle le paquet a été reçu sur l’ensemble d’interface spécifié.

Pour définir un ensemble d’interfaces, inclure interface-set l’instruction au niveau [edit firewall] de la hiérarchie.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

Pour plus d’informations, consultez la présentation du filtrage des paquets reçus dans un ensemble d’interfaces.

ip-options values

Si vous la présentez, faire correspondre le champ d’option IP de 8 bits à la valeur ou à la liste de valeurs spécifiées.

Au lieu d’une valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs d’option sont également répertoriées): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) ou timestamp (68).

Pour correspondre à toute valeur de l’option IP, utilisez la synonyme de texte any . Pour correspondre à plusieurs valeurs, spécifiez la liste des valeurs dans des supports carrés (' [ et ' ] '). Pour correspondre à une gamme de valeurs, utilisez la spécification de value1-value2 ] valeur.

Par exemple, la condition de correspondance est fonction d’un champ d’options IP contenant la valeur de 0 à ip-options [ 0-147 ]loose-source-routerecord-route 147 , ou de toute autre security valeur. Toutefois, cette condition de correspondance ne correspond pas à un champ d’options IP contenant uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme filtre qui spécifie une correspondance avec une ou plusieurs valeurs d’option IP spécifiques (une valeur autre que ) envoie des paquets au moteur de routage afin que le noyau puisse utiliser l’option IP dans l’en-tête du ip-optionany paquet.

  • Pour un terme de filtre de pare-feu qui spécifie une correspondance sur une ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les actions , ou les actions non liées, sauf si vous spécifiez également l’action de terminaison dans le même ip-optioncountlogsyslogdiscard terme. Ce comportement empêche de doubler le nombre de paquets afin d’appliquer un filtre à une interface de transit sur le routeur.

  • Les paquets traiter sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour s’assurer que les paquets assortis sont envoyés au centre de moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la ip-options any condition de correspondance.

Les concentrateurs de ports modulaires (MPC) 10 Gigabit Ethernet, MPC 100 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC Ethernet 60 Gigabit Queuing et MPC 60 Gigabit Ethernet MPC améliorée sur les routeurs MX Series sont capables d’mesurer le champ d’option IP du en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets qui sont assortis à l’aide de la condition de correspondance sont envoyés au centre ip-options moteur de transfert de paquets traitement.

Remarque :

Sur les routeurs des gammes M et T Series, les filtres de pare-feu ne peuvent pas compter les paquets par ip-options type d’option et par interface. L’utilisation de la commande pour consulter les statistiques par PFE est show pfe statistics ip optionsip-options limitée. Voir afficher les statistiques pfe ip pour obtenir un exemple de sortie.

La condition de correspondance est prise en charge sur les routeurs PTX10003 Series et PTX10008 Series à partir de ip-options any Junos Evolved OS Version 20.2R1.

ip-options-except values

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification de values l', consultez la ip-options condition de correspondance.

is-fragment

L’utilisation de cette condition provoque une correspondance si l’indicateur Plus de Fragments est activé dans l’en-tête IP ou si le décalage de fragment n’est pas nul.

Remarque :

Pour correspondre aux fragments de départ et de trailing, vous pouvez utiliser deux termes qui spécifient différentes conditions de correspondance ( first-fragmentis-fragment et).

loss-priority level

Correspondre au niveau de priorité de perte de paquets (PLP).

Indiquez un niveau ou plusieurs niveaux: low, medium-low ou medium-highhigh .

Pris en charge sur M120 et M320 routeurs d’M120, M7i et M10i de liaisons avec le CFEB amélioré (CFEB-E) ; et MX Series routeurs.

Pour le trafic IP sur les routeurs M320, MX Series et T Series avec les concentrateurs PIC flexibles (FPPC) enhanced II, vous devez inclure l’instruction au niveau de la hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux tri-color[edit class-of-service] spécifiés. Si tri-color l’instruction n’est pas activée, vous pouvez uniquement configurer les high niveaux et les low Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur tri-color l’énoncé, consultez le site Configuring and Applying Tricolor Marking Policers(Configurer et appliquer les policeurs de marquage tricolore). Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportements (BA) pour définir le niveau de PLP des paquets entrants, consultez la partie Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

loss-priority-except level

Ne pas correspondre au niveau PLP. Pour plus d’informations, consultez la loss-priority condition de correspondance.

packet-length bytes

Correspondre à la longueur du paquet reçu, en octets. Cette longueur fait uniquement référence au paquet IP, y compris l’en-tête de paquet, et n’inclut pas de coûts d’encapsulation de couche 2. Vous pouvez également spécifier un ensemble de valeurs à assortir.

packet-length-except bytes

Ne correspondent pas à la longueur du paquet reçu, en octets. Pour plus d’informations, consultez le packet-length type de correspondance.

port number

Correspondre au champ de port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de correspondance ou la condition de destination-port correspondance dans le même source-port terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer l’énoncé de correspondance ou de l’énoncé de correspondance dans le même terme pour spécifier le protocole utilisé protocol udpprotocol tcp sur le port.

Remarque :

Pour Junos OS évolué, vous devez configurer l’instruction de protocol correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées destination-port ci-dessous.

port-except number

Ne correspondent pas au champ de port UDP source ou de destination ou TCP. Pour plus d’informations, consultez la port condition de correspondance.

precedence ip-precedence-value

Faire correspondre le champ de préséance IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs de champ sont également répertoriées): critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-controlnet-control (0xc0), priority (0xe0), (0x20) ou routine (0x00). Vous pouvez spécifier la priorité dans une forme hexadécimale, binaire ou décimale.

precedence-except ip-precedence-value

Ne correspondent pas au champ de préséance IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs de champ sont également répertoriées): critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-controlnet-control (0xc0), priority (0xe0), (0x20) ou routine (0x00). Vous pouvez spécifier la priorité dans une forme hexadécimale, binaire ou décimale.

prefix-list name [ except ]

Assortissez les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si except l’option est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau [edit policy-options prefix-list prefix-list-name] de la hiérarchie.

Remarque :

Cette condition de correspondance n’est pas prise en charge PTX1000 routeurs.

protocol number

Faire correspondre le champ type de protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hopicmp (0), icmp6 (1), icmpv6 (58), (58), igmp (2), ipip (4), ipv6ospf (41), pim (89), (103), rsvp (46), sctp (132), tcp (6), udp (17) ou vrrp (112).

protocol-except number

Ne correspondent pas au champ type de protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hopicmp (0), icmp6 (1), icmpv6 (58), (58), igmp (2), ipip (4), ipv6ospf (41), pim (89), (103), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

rat-type tech-type-value

Correspondent au type de technologie d’accès radio (RAT) spécifié dans le champ 8 bits Tech-Type de l’extension de type IPv4 mobile proxy (PMIPv4) de la technologie d’accès. Le type de technologie spécifie la technologie d’accès par laquelle l’équipement mobile est connecté au réseau d’accès.

Spécifiez une valeur unique, une gamme de valeurs ou un ensemble de valeurs. Vous pouvez spécifier un type de technologie comme valeur numérique de 0 à 255 ou comme mots-clés système.

  • Les valeurs numériques suivantes sont des exemples de types de technologies connus:

    • La valeur numérique 1 correspond à IEEE 802.3.

    • Valeur numérique 2 correspondances IEEE 802.11a/b/g.

    • Valeur numérique 3 correspondances IEEE 802.16e

    • Valeur numérique 4 correspondances IEEE 802,16 m.

  • La chaîne eutran de texte correspond à la 4G.

  • La chaîne geran de texte correspond à la 2G.

  • La chaîne utran de texte correspond à la 3G.

rat-type-except tech-type-value

Ne pas correspondre au type de RAT.

service-filter-hit

Faire correspondre un paquet reçu à partir d’un filtre où service-filter-hit une action a été appliquée.

Remarque :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

source-address address [ except ]

Correspondance avec l’adresse IPv4 du nœud source qui envoie le paquet, sauf except si l’option est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv4 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions et les addresssource-address assortir dans un même terme.

source-class class-names

Indiquez un ou plusieurs noms de classe source spécifiés (ensembles de préfixes source regroupés et nommés par un nom de classe). Pour plus d’informations, consultez le filtrage des conditions de correspondance du pare-feu en fonction des classes d’adresse.

source-class-except class-names

Ne faites pas correspondre un ou plusieurs noms de classe source spécifiés. Pour plus d’informations, consultez la source-class condition de correspondance.

source-port number

Faire correspondre le champ de port source UDP ou TCP.

Vous ne pouvez pas port spécifier et source-port assortir les conditions dans le même terme.

Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer l’énoncé de correspondance ou de l’énoncé de correspondance dans le même terme pour spécifier le protocole utilisé sur protocol udpprotocol tcp le port.

Remarque :

Pour Junos OS évolué, vous devez configurer l’instruction de protocol correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées avec la destination-port number condition de correspondance.

source-port-except number

Ne pas correspondre au champ de port source UDP ou TCP. Pour plus d’informations, consultez la source-port condition de correspondance.

source-prefix-list name [ except ]

Assortissez les préfixes source dans la liste spécifiée, sauf si except l’option est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes source dans la liste spécifiée.

Indiquez le nom d’une liste de préfixes définie au [edit policy-options prefix-list prefix-list-name niveau de la hiérarchie.

tcp-established

Correspondre aux paquets TCP d’une session TCP établie (paquets autres que le premier paquet d’une connexion). Il s’agit d’une alias pour tcp-flags "(ack | rst)" .

Cette condition de correspondance ne vérifie pas implicitement que le protocole est TCP. Pour vérifier cela, spécifiez la protocol tcp condition de correspondance.

tcp-flags value

Faire correspondre un ou plusieurs des 6 bits de faible commande dans le champ des indicateurs TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimale suivantes:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques sur le champ bit.

Pour voir les conditions de correspondance sur le terrain combinées, consultez tcp-established les tcp-initial conditions de correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer l’instruction de correspondance dans le même terme pour spécifier que le protocole protocol tcp TCP est utilisé sur le port.

Pour le trafic IPv4 uniquement, cette condition de correspondance ne permet pas de vérifier implicitement si le datagramme contient le premier fragment d’un paquet fragmenté. Pour vérifier cette condition pour le trafic IPv4 uniquement, utilisez la first-fragment condition de correspondance.

tcp-initial

Correspondre au paquet initial d’une connexion TCP. Il s’agit d’une alias pour tcp-flags "(!ack & syn)" .

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer cette condition de protocol tcp correspondance dans le même terme.

ttl number

Correspondre au numéro de la durée de vie d’IPv4. Indiquez une valeur TTL ou une gamme de valeurs TTL. Pour number , vous pouvez spécifier une ou plusieurs valeurs à partir de « 0255 jusqu’à ». Cette condition de correspondance est prise en charge uniquement sur M120, M320, MX Series et T Series routeurs.

ttl-except number

Ne faites pas correspondre sur le numéro TTL IPv4. Pour plus d’informations, consultez la ttl condition de correspondance.

Tableau de l'historique des versions
Version
Description
13.3R7
La prise en charge du filtrage des points de code de service différenciés (DSCP) et de la classe de paquets moteur de routage source, y compris les paquets IS-IS encapsulés dans l’encapsulation de routage générique (GRE), a été ajoutée.