Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance du filtre de pare-feu pour le trafic IPv4

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le traficfamily inet IPv4 (Internet Protocol version 4).

REMARQUE :

Pour les routeurs MX Series avec MPC, vous devez initialiser le compteur de filtres pour les filtres de correspondance Trio uniquement dans la MIB en marchant sur la MIB SNMP correspondante, par exemple, show snmp mib walk name ascii. Cela oblige Junos à apprendre les compteurs de filtre et s’assure que les statistiques des filtres sont affichées (car le premier sondage à filtrer les statistiques peut ne pas afficher tous les compteurs). Ces conseils s’appliquent à tous les filtres de pare-feu en mode amélioré, aux filtres avec des conditions flexibles et aux filtres avec certaines actions d’arrêt. Consultez ces sujets, répertoriés sous Documentation associée, pour plus de détails.

Tableau 1 décrit les match-conditions paramètres que vous pouvez configurer au niveau de la [edit firewall family inet filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic IPv4

Condition de correspondance

Description

address address [ except ]

Correspondez au champ d’adresse source ou de destination IPv4, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ de l’adresse source ou de destination IPv4.

Le except modificateur n’est pas pris en charge sur les plates-formes EX2300 et EX3400.

ah-spi spi-value

(routeurs M Series, sauf M120 et M320) Correspondez à la valeur SPI (Security Parameter Index) de l’en-tête d’authentification IPsec (AH).

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

ah-spi-except spi-value

(routeurs M Series, sauf M120 et M320) Ne correspondez pas à la valeur SPI AH IPsec.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

apply-groups

Spécifiez les groupes dont les données de configuration doivent être héritées. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe ont la priorité sur les données des groupes suivants.

apply-groups-except

Spécifiez les groupes dont les données de configuration ne doivent pas hériter. Vous pouvez spécifier plusieurs noms de groupe.

destination-address address [ except ]

Correspondez au champ d’adresse de destination IPv4, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv4.

Vous ne pouvez pas spécifier les conditions et destination-address les address correspondre dans le même terme.

destination-class class-names

Correspondance avec un ou plusieurs noms de classes de destination spécifiés (ensembles de préfixes de destination regroupés et donnés un nom de classe). Pour plus d’informations, voir Conditions de correspondance des filtres de pare-feu en fonction des classes d’adresse.

destination-class-except class-names

Ne correspondez pas à un ou plusieurs noms de classes de destination spécifiés. Pour plus de détails, consultez l’état des destination-class correspondances.

destination-port number

Correspond au champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier les conditions et destination-port les port correspondre dans le même terme.

Lorsque vous configurez des correspondances basées sur des ports, vous devez également configurer l’instruction protocol udp ou protocol tcp de correspondance dans le même terme de filtre. La correspondance uniquement sur la valeur du port peut entraîner des correspondances inattendues.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), (67), bootpscmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), (138), netbios-nsnetbios-dgm (137), (139), netbios-ssnnfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44) ( socks 1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Ne correspondez pas au champ de port de destination UDP ou TCP. Pour plus de détails, consultez l’état des destination-port correspondances.

destination-prefix-list name [ except ]

Faites correspondre les préfixes de destination dans la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas aux préfixes de destination de la liste spécifiée.

Spécifiez le nom d’une liste de préfixes définie au niveau ] hiérarchique [edit policy-options prefix-list prefix-list-name.

dscp number

Faites correspondre le point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet octet forment le DSCP. Pour plus d’informations, voir Comprendre comment les classificateurs d’agrégation de comportement hiérarchisent le trafic fiable.

La prise en charge du filtrage du point de code de services (DSCP) et de la classe de transfert pour les paquets provenant du moteur de routage, y compris les paquets IS-IS encapsulés dans l’encapsulation de routage générique (GRE). Par la suite, lorsque vous effectuez une mise à niveau à partir d’une version précédente de Junos OS où vous disposez à la fois d’une classe de service (CoS) et d’un filtre de pare-feu, et qui intègrent tous deux des actions de filtrage de classe DS ou de transfert, les critères du filtre de pare-feu priment automatiquement sur les paramètres CoS. Il en va de même pour la création de nouvelles configurations; c’est-à-dire que lorsque les mêmes paramètres existent, le filtre de pare-feu prime sur le CoS, quel que soit le premier à avoir été créé.

Vous pouvez spécifier une valeur numérique à partir de 063. Pour spécifier la valeur sous forme hexadécimale, incluez 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

  • RFC 3246, Un PHB de transfert accéléré (par saut comportement) définit un point de code : ef(46).

  • RFC 2597, Groupe PHB de transfert assuré, définit 4 classes, avec 3 niveaux de priorité dans chaque classe, pour un total de 12 points de code :

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

dscp-except number

Ne correspondez pas au numéro DSCP. Pour plus d’informations, consultez la condition de dscp correspondance.

esp-spi spi-value

Correspondez à la valeur SPI ESP (Encapsulating Security Payload) IPsec. Correspondez à cette valeur SPI spécifique. Vous pouvez spécifier la valeur ESP SPI sous forme hexadécimale, binaire ou décimale.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

esp-spi-except spi-value

Correspondez à la valeur IPS ESP IPsec. Ne correspondez pas à cette valeur SPI spécifique.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

first-fragment

Correspondance si le paquet est le premier fragment d’un paquet fragmenté. Ne correspondez pas si le paquet est un fragment traînant d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de décalage de fragment de 0.

Cette condition de correspondance est un alias pour la condition de correspondance de champ fragment-offset 0 bit.

Pour correspondre à la fois aux fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes : first-fragment et is-fragment.

flexible-match-mask value

bit-length

Longueur des données à correspondre en bits, non nécessaire pour l’entrée de chaîne (0..128)

bit-offset

Bit offset après le décalage (match-start + octet) offset (0..7)

byte-offset

Décalage d’octet après le point de départ de la correspondance

flexible-mask-name

Sélectionnez une correspondance flexible dans le champ de modèle prédéfini

mask-in-hex

Masquer les bits dans les données de paquets à correspondre

match-start

Point de départ correspondant dans le paquet

prefix

Données de valeur/chaîne à apparier

flexible-match-range value

bit-length

Longueur des données à apparier en bits (0..32)

bit-offset

Bit offset après le décalage (match-start + octet) offset (0..7)

byte-offset

Décalage d’octet après le point de départ de la correspondance

flexible-range-name

Sélectionnez une correspondance flexible dans le champ de modèle prédéfini

match-start

Point de départ correspondant dans le paquet

range

Plage de valeurs à correspondre

range-except

Ne pas correspondre à cette plage de valeurs

forwarding-class class

Correspond à la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effortou expedited-forwardingnetwork-control.

Pour plus d’informations sur les classes de transfert et les files d’attente de sortie internes au routeur, consultez la section Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie.

forwarding-class-except class

Ne correspondez pas à la classe de transfert du paquet. Pour plus de détails, consultez l’état des forwarding-class correspondances.

fragment-flags number

(Entrant uniquement) Correspond au champ des indicateurs de fragmentation IP de trois bits dans l’en-tête IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des mots clés suivants (les valeurs de champ sont également répertoriées) : dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

fragment-offset value

Faites correspondre le champ de décalage de fragment de 13 bits dans l’en-tête IP. La valeur est le décalage, en unités de 8 octets, dans le message global du datagramme vers le fragment de données. Spécifiez une valeur numérique, une plage de valeurs ou un ensemble de valeurs. Une valeur de décalage indique 0 le premier fragment d’un paquet fragmenté.

La first-fragment condition de correspondance est un alias pour la condition de fragment-offset 0 correspondance.

Pour correspondre à la fois aux fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes (first-fragment et is-fragment).

fragment-offset-except number

Ne correspondez pas au champ décalé de fragments de 13 bits.

gre-key range

Correspondez au champ gre-key. Le champ clé GRE est un nombre de 4 octets inséré par l’encapsulateur GRE. Il s’agit d’un champ optionnel pour l’encapsulation GRE. Il range peut s’agir d’un seul numéro de clé GRE ou d’une gamme de chiffres clés.

Pour les routeurs MX Series avec MPC, initialisez de nouveaux filtres de pare-feu qui incluent cette condition en parcourant la MIB SNMP correspondante.

icmp-code number

Correspond au champ de code du message ICMP.

REMARQUE :

Lorsque vous utilisez cette condition de correspondance, vous devez également utiliser la protocol icmp condition de correspondance dans le même terme (comme illustré ci-dessous) pour vous assurer que icmp les paquets sont en cours d’évaluation.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées). Les mots clés sont regroupés par type ICMP auquel ils sont associés :

  • problème de paramètres : ip-header-bad(0), required-option-missing (1)

  • Rediriger: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • dépassement de temps : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Inaccessible: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), (14), host-unreachable (12 host-unreachable-for-TOS ), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-code-except message-code

Ne correspondez pas au champ de code du message ICMP. Pour plus de détails, consultez l’état des icmp-code correspondances.

icmp-type number

Correspond au champ de type de message ICMP.

REMARQUE :

Lorsque vous utilisez cette condition de correspondance, vous devez également utiliser la protocol icmp condition de correspondance dans le même terme (comme illustré ci-dessous) pour vous assurer que icmp les paquets sont en cours d’évaluation.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

REMARQUE :

Pour Junos OS Evolved, vous devez configurer l’instruction protocol de correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

icmp-type-except message-type

Ne correspondez pas au champ de type de message ICMP. Pour plus de détails, consultez l’état des icmp-type correspondances.

interface interface-name

Correspond à l’interface sur laquelle le paquet a été reçu.

REMARQUE :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-group group-number

Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour group-number, spécifiez une seule valeur ou une plage de valeurs de 0 à 255.

Pour attribuer une interface logique à un groupe group-numberd’interfaces , spécifiez le group-number au niveau de la [interfaces interface-name unit number family family filter group] hiérarchie.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

Pour plus d’informations, consultez la présentation du filtrage des paquets reçus sur un ensemble de groupes d’interface.

interface-group-except group-number

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, consultez l’état des interface-group correspondances.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

interface-set interface-set-name

Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un ensemble d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

Pour plus d’informations, voir Filtrage des paquets reçus sur un ensemble d’interfaces.

ip-options values

Faites correspondre le champ d’option IP 8 bits, le cas échéant, à la valeur ou à la liste de valeurs spécifiées.

Au lieu d’une valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs d’option sont également répertoriées) : loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Pour correspondre à n’importe quelle valeur de l’option IP, utilisez le synonyme anyde texte . Pour correspondre sur plusieurs valeurs, spécifiez la liste des valeurs entre crochets ('[' et ']'). Pour correspondre à une plage de valeurs, utilisez la spécification value1-value2 ]de valeur .

Par exemple, la condition ip-options [ 0-147 ] de correspondance correspond à un champ d’options IP qui contient le loose-source-route, record-routeou des security valeurs, ou toute autre valeur comprise entre 0 et 147. Toutefois, cette condition de correspondance ne correspond pas sur un champ d’options IP qui contient uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme de filtre qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques (une valeur autre que any) entraîne l’envoi de paquets au moteur de routage afin que le noyau puisse analyser le champ d’option IP dans l’en-tête du paquet.

  • Pour un terme de filtre de pare-feu qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les countactions , logou syslog de non-termination , sauf si vous spécifiez également l’action discard de terminaison dans le même terme. Ce comportement empêche le double comptage des paquets pour un filtre appliqué à une interface de transit sur le routeur.

  • Les paquets traités sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour vous assurer que les paquets correspondants sont envoyés au moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la condition de ip-options any correspondance.

Le concentrateur de ports modulaire 10 Gigabit Ethernet (MPC), le MPC 100 Gigabit Ethernet, le MPC 60 Gigabit Ethernet, le MPC de file d’attente Ethernet 60 Gigabit et le MPC de file d’attente améliorée 60 Gigabit Ethernet sur les routeurs MX Series sont capables d’analyser le champ d’option IP de l’en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets correspondants à l’aide de la ip-options condition de correspondance sont envoyés au moteur de transfert de paquets pour traitement.

La ip-options any condition de correspondance est prise en charge sur les routeurs PTX10003 et PTX10008 Series à partir de la version 20.2R1 de Junos Evolved OS.

REMARQUE :
  • Sur les routeurs MX Series, les correspondances de filtres ne ip-options peuvent pas être utilisées avec des filtres sortants (sortie).
  • Sur les routeurs M et T Series, les filtres de pare-feu ne peuvent pas compter ip-options les paquets par type d’option et par interface. Un travail limité consiste à utiliser la show pfe statistics ip options commande pour consulter ip-options les statistiques par PFE. Voir afficher les statistiques pfe ip pour obtenir des exemples de sortie.

ip-options-except values

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification du values, reportez-vous à la condition de ip-options la correspondance.

is-fragment

L’utilisation de cette condition entraîne une correspondance si l’indicateur Plus de fragments est activé dans l’en-tête IP ou si le décalage du fragment n’est pas zéro.

REMARQUE :

Pour correspondre à la fois aux fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes (first-fragment et is-fragment).

loss-priority level

Correspond au niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-highou high.

Compatible avec les routeurs M120 et M320 ; M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E) ; et les routeurs MX Series.

Pour le trafic IP sur les routeurs M320, MX Series et T Series équipés de concentrateurs PIC flexibles (FPC) Enhanced II), vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction tri-color n’est pas activée, vous pouvez uniquement configurer les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction tri-color , voir Configuration et application de polices de marquage tricolore. Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez la section Comprendre comment les classificateurs agrégés de comportement hiérarchisent le trafic fiable.

loss-priority-except level

Ne correspondez pas au niveau PLP. Pour plus de détails, consultez l’état des loss-priority correspondances.

packet-length bytes

Correspond à la longueur du paquet reçu, en octets. La longueur se réfère uniquement au paquet IP, y compris l’en-tête du paquet, et n’inclut pas de frais d’encapsulation de couche 2. Vous pouvez également spécifier une plage de valeurs à correspondre.

packet-length-except bytes

Ne correspondez pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

port number

Correspond au champ source ou port de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la destination-port condition de correspondance ou la condition de source-port correspondance dans le même terme.

Lorsque vous configurez des correspondances basées sur des ports, vous devez également configurer l’instruction protocol udp ou protocol tcp de correspondance dans le même terme de filtre. La correspondance uniquement sur la valeur du port peut entraîner des correspondances inattendues.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

port-except number

Ne correspondez pas au champ udp ou TCP source ou de destination. Pour plus de détails, consultez l’état des port correspondances.

precedence ip-precedence-value

Correspond au champ de priorité IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

precedence-except ip-precedence-value

Ne correspondez pas au champ de priorité IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

prefix-list name [ except ]

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste de préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX1000.

protocol number

Correspond au champ de type de protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), (132), sctp (6), tcpudp (17) ou vrrp (112).

protocol-except number

Ne correspondez pas au champ de type de protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), (132), sctp (6), tcpudp  (17) ou vrrp (112).

rat-type tech-type-value

Correspond au type de technologie d’accès radio (RAT) spécifié dans le champ Tech-Type 8 bits de l’extension de type de technologie d’accès Proxy Mobile IPv4 (PMIPv4). Le type de technologie spécifie la technologie d’accès par laquelle l’équipement mobile est connecté au réseau d’accès.

Spécifiez une valeur unique, une plage de valeurs ou un ensemble de valeurs. Vous pouvez spécifier un type de technologie sous la forme d’une valeur numérique comprise entre 0 et 255 ou sous la forme d’un mot-clé système.

  • Les valeurs numériques suivantes sont des exemples de types de technologies bien connus :

    • La valeur numérique 1 correspond à IEEE 802.3.

    • La valeur numérique 2 correspond à IEEE 802.11a/b/g.

    • Valeur numérique 3 correspond à IEEE 802.16e

    • La valeur numérique 4 correspond à IEEE 802.16m.

  • La chaîne de eutran texte correspond à la 4G.

  • La chaîne de geran texte correspond à la 2G.

  • La chaîne de utran texte correspond à la 3G.

rat-type-except tech-type-value

Ne correspondez pas au type de RAT.

service-filter-hit

Correspond à un paquet reçu d’un filtre sur lequel une service-filter-hit action a été appliquée.

REMARQUE :

Cette condition de correspondance n’est pas prise en charge sur les routeurs PTX Series.

source-address address [ except ]

Correspondez à l’adresse IPv4 du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv4 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier les conditions et source-address les address correspondre dans le même terme.

source-class class-names

Faites correspondre un ou plusieurs noms de classe source spécifiés (ensembles de préfixes source regroupés et donnés un nom de classe). Pour plus d’informations, voir Conditions de correspondance des filtres de pare-feu en fonction des classes d’adresse.

source-class-except class-names

Ne correspondez pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, consultez l’état des source-class correspondances.

source-port number

Correspond au champ de port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions et source-port les assortir dans le même terme.

Lorsque vous configurez des correspondances basées sur des ports, vous devez également configurer l’instruction protocol udp ou protocol tcp de correspondance dans le même terme de filtre. La correspondance uniquement sur la valeur du port peut entraîner des correspondances inattendues.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la condition de destination-port number correspondance.

source-port-except number

Ne correspondez pas au champ de port source UDP ou TCP. Pour plus de détails, consultez l’état des source-port correspondances.

source-prefix-list name [ except ]

Faites correspondre les préfixes source dans la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas aux préfixes source de la liste spécifiée.

Spécifiez le nom d’une liste de préfixes définie au niveau ] hiérarchique [edit policy-options prefix-list prefix-list-name.

tcp-established

Correspondance des paquets TCP d’une session TCP établie (paquets autres que le premier paquet d’une connexion). Il s’agit d’un alias pour tcp-flags "(ack | rst)".

Cette condition de correspondance ne vérifie pas implicitement que le protocole est TCP. Pour vérifier cela, spécifiez la condition de protocol tcp correspondance.

tcp-flags value

Faites correspondre un ou plusieurs des 6 bits d’ordre bas dans le champ indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte suivants ou des valeurs hexadécimales :

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques de champ bit.

Pour les conditions de correspondance bit-field combinées, voir les conditions et tcp-initial de tcp-established correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol tcp de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Pour le trafic IPv4 uniquement, cette condition de correspondance ne vérifie pas implicitement si le datagramme contient le premier fragment d’un paquet fragmenté. Pour vérifier cette condition pour le trafic IPv4 uniquement, utilisez la condition de first-fragment correspondance.

tcp-initial

Correspond au paquet initial d’une connexion TCP. Il s’agit d’un alias pour tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de protocol tcp correspondance dans le même terme.

ttl number

Correspond au numéro IPv4 de temps de vie. Spécifiez une valeur TTL ou une plage de valeurs TTL. Pour number, vous pouvez spécifier une ou plusieurs valeurs à partir de 0255. Cette condition de correspondance n’est prise en charge que sur les routeurs M120, M320, MX Series et T Series.

ttl-except number

Ne correspondez pas au numéro TTL IPv4. Pour plus de détails, consultez l’état des ttl correspondances.

Tableau de l'historique des versions
Version
Description
13.3R7
La prise en charge du filtrage du point de code de services (DSCP) et de la classe de transfert pour les paquets provenant du moteur de routage, y compris les paquets IS-IS encapsulés dans l’encapsulation de routage générique (GRE).