Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu pour le trafic IPv6

Vous pouvez configurer un filtre de pare-feu avec les conditions de correspondance pour le trafic IPv6 (family inet6Internet Protocol version 6).

Remarque :

Pour les routeurs MX Series avec MPC, vous devez initialiser le compteur de filtres pour les filtres de correspondance Trio uniquement en marchant sur la MIB SNMP correspondante, par exemple . show snmp mib walk name ascii Cela force Junos à connaître les compteurs de filtres et à s’assurer que les statistiques des filtres sont affichées. Ce guide s’applique à tous les filtres de pare-feu en mode amélioré, aux filtres avec des conditions flexibles et aux filtres avec certaines actions de terminaison. Pour plus de détails, consultez ces rubriques, répertoriées dans la documentation connexe.

Tableau 1 décrit les conditions de correspondance que vous pouvez configurer au niveau de la [edit firewall family inet6 filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance des filtres de pare-feu pour le trafic IPv6

Condition de correspondance

Description

address address [ except ]

Correspondez au champ d’adresse source ou de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse source ou de destination IPv6.

apply-groups

Indiquez les groupes dont les données de configuration doivent être héritées. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les répertorier par ordre de priorité de l’héritage. Les données de configuration du premier groupe sont prioritaires par rapport aux données des groupes suivants.

apply-groups-except

Indiquez les groupes dont vous ne devez pas hériter. Vous pouvez spécifier plusieurs noms de groupe.

destination-address address [ except ]

Correspondez au champ d’adresse de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv6.

Vous ne pouvez pas spécifier les conditions et destination-address les address conditions de correspondance dans le même terme.

destination-class class-names

Associer un ou plusieurs noms de classe de destination spécifiés (ensembles de préfixes de destination regroupés et donnés un nom de classe).

Pour plus d’informations, consultez Conditions de correspondance des filtres de pare-feu basées sur les classes d’adresses.

destination-class-except class-names

Ne correspondez pas à un ou plusieurs noms de classe de destination spécifiés. Pour plus de détails, voir la condition de destination-class correspondance.

destination-port number

Correspondez au champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier les conditions et destination-port les port conditions de correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

Remarque :

Pour Junos OS Evolved, vous devez configurer l’instruction de next-header correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21 ( ekshell 2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), (518), ntalkntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Ne correspondez pas au champ de port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

destination-prefix-list prefix-list-name [ except ]

Associez le préfixe de destination IPv6 à la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie ].

extension-headers header-type

Associez un type d’en-tête d’extension contenu dans le paquet en identifiant une valeur d’en-tête suivant.

Remarque :

Cette condition de correspondance n’est prise en charge que sur les MPC des routeurs MX Series.

Dans le premier fragment d’un paquet, le filtre recherche une correspondance dans n’importe quel type d’en-tête d’extension. Lorsqu’un paquet avec un en-tête de fragment est trouvé (un fragment suivant), le filtre recherche uniquement la correspondance du type d’en-tête d’extension suivant, car l’emplacement des autres en-têtes d’extension est imprévisible.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Pour correspondre à toute valeur de l’option d’en-tête de l’extension, utilisez le synonyme anyde texte .

Pour les routeurs MX Series avec MPC, initialisez de nouveaux filtres de pare-feu qui incluent cette condition en marchant sur le MIB SNMP correspondant.

first-fragment

Correspondez si le paquet est le premier fragment.

 

extension-headers-except header-type

Ne correspondez pas au type d’en-tête d’extension contenu dans le paquet. Pour plus de détails, voir la condition de extension-headers correspondance.

Remarque :

Cette condition de correspondance n’est prise en charge que sur les MPC des routeurs MX Series.

flexible-match-mask Valeur

bit-length

Longueur d’entrée de l’entier (1,32 bits) ;

(Facultatif) Longueur de l’entrée chaîne (1,128 bits)

bit-offset

Bit offset après le décalage (match-start + octet) (0..7)

byte-offset

Décalage d’octet après le point de début du match

flexible-mask-name

Sélectionner une correspondance flexible dans un champ de modèle prédéfini

mask-in-hex

Masquer les bits des données de paquet à assortir

match-start

Point de départ correspondant à un paquet

prefix

Valeur des données/chaîne à assortir

Voir Conditions de correspondance flexibles du filtre de pare-feu pour plus de détails

flexible-match-range Valeur

Les plages doivent utiliser le format suivant : Entier-entier

bit-length

Longueur des données à assortir en bits (0..32)

bit-offset

Bit offset après le décalage (match-start + octet) (0..7)

byte-offset

Décalage d’octet après le point de début du match

flexible-range-name

Sélectionner une correspondance flexible dans un champ de modèle prédéfini

match-start

Point de départ correspondant à un paquet

range

Plage de valeurs à assortir

range-except

Ne correspondez pas à cette plage de valeurs

Voir Conditions de correspondance flexibles du filtre de pare-feu pour plus de détails

forwarding-class class

Correspondez à la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effort, expedited-forwardingou network-control.

Pour plus d’informations sur les classes de transfert et les files d’attente de sortie internes au routeur, consultez Understanding How Forwarding Classes Assignation Classes to Output Queues.

forwarding-class-except class

Ne correspondez pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

hop-limit hop-limit

Faites correspondre la limite de saut à la limite de saut spécifiée ou à la limite définie de saut. Pour hop-limit, spécifiez une valeur unique ou une plage de valeurs comprise entre 0 et 255.

Prise en charge sur les interfaces hébergées sur MPC ou MPC sur les routeurs MX Series uniquement.

Remarque :

Cette condition de correspondance est prise en charge sur les routeurs PTX Series une fois enhanced-mode configurés sur le routeur.

hop-limit-except hop-limit

Ne correspondez pas à la limite de saut spécifiée ou à la limite de saut définie. Pour plus de détails, voir la condition de hop-limit correspondance.

Prise en charge sur les interfaces hébergées sur MPC ou MPC sur les routeurs MX Series uniquement.

Remarque :

Cette condition de correspondance est prise en charge sur les routeurs PTX Series une fois enhanced-mode configurés sur le routeur.

icmp-code message-code

Correspondez au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou next-header icmp6 de next-header icmp la assortir dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés par type ICMP auquel ils sont associés :

  • problème de paramètres : ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • délais dépassés : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • destination inatteignable : administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Ne correspondez pas au champ code du message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

icmp-type message-type

Correspondez au champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou next-header icmp6 de next-header icmp la assortir dans le même terme.

Remarque :

Pour Junos OS Evolved, vous devez configurer l’instruction de next-header correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (1 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre les supports carrés.

icmp-type-except message-type

Ne correspondez pas au champ de type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

interface interface-name

Correspondez à l’interface sur laquelle le paquet a été reçu.

Remarque :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-group group-number

Associez l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifié. Pour group-number, spécifiez une valeur unique ou une plage de valeurs de 0 à 255.

Pour attribuer une interface logique à un groupe group-numberd’interfaces , spécifiez le group-number niveau [interfaces interface-name unit number family family filter group] hiérarchique.

Pour plus d’informations, consultez la présentation du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.

interface-group-except group-number

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifié. Pour plus de détails, voir la condition de interface-group correspondance.

interface-set interface-set-name

Correspondez à l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un ensemble d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie.

Pour plus d’informations, consultez la rubrique Filtrage des paquets reçus dans une présentation de l’ensemble d’interfaces.

ip-options values

Associez le champ d’option IP 8 bits, le cas échéant, à la valeur ou à la liste de valeurs spécifiée.

En lieu et place d’une valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs des options sont également répertoriées) : loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Pour correspondre à toute valeur de l’option IP, utilisez le synonyme anyde texte . Pour correspondre à plusieurs valeurs, spécifiez la liste des valeurs entre les crochets ('[' et ']'). Pour correspondre à une gamme de valeurs, utilisez la spécification value1-value2 ]de la valeur .

Par exemple, la condition ip-options [ 0-147 ] de correspondance correspond à un champ d’options IP qui contient la ou security les loose-source-routerecord-routevaleurs, ou toute autre valeur comprise entre 0 et 147. Cependant, cette condition de correspondance ne correspond pas sur un champ d’options IP qui contient uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme de filtre qui spécifie une correspondance avec une ou plusieurs valeurs d’option ip-option IP spécifiques (une valeur autre que any) entraîne l’envoi de paquets au moteur de routage afin que le noyau puisse analyser le champ d’option IP dans l’en-tête de paquet.

  • Pour un terme de filtre de pare-feu qui spécifie une correspondance avec une ou plusieurs valeurs d’option ip-option IP spécifiques, vous ne pouvez pas spécifier les countactions , logou syslog nonterminating , sauf si vous spécifiez également l’action discard de terminaison dans le même terme. Ce comportement empêche le double comptage des paquets pour un filtre appliqué à une interface de transit sur le routeur.

  • Les paquets traités sur le noyau peuvent être perdus en cas de goulot d’étranglement du système. Pour s’assurer que les paquets correspondant sont envoyés au moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la condition de ip-options any correspondance.

Les MPC (Modular Port Concentrator) 10 Gigabit Ethernet, MPC 100 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC 60 Gigabit Queuing Ethernet et MPC 60 Gigabit Ethernet Enhanced Queuing sur les routeurs MX Series sont capables d’analyser le champ d’option IP de l’en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets correspondant à l’aide de la condition de ip-options correspondance sont envoyés au moteur de transfert de paquets pour traitement.

ip-options-except values

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste des valeurs spécifiées. Pour plus de détails sur la spécification de la values, reportez-vous à la condition de ip-options correspondance.

is-fragment

Correspondez si le paquet est fragmenté.

 

last-fragment

Correspondez si le paquet est le dernier fragment.

 

loss-priority level

Correspondez au niveau de priorité de perte de paquets (PLP).

Indiquez un ou plusieurs niveaux : low, medium-lowmedium-highou high.

Compatible avec les routeurs M120 et M320 ; routeurs M7i et M10i dotés du CFEB amélioré (CFEB-E) ; routeurs MX Series et commutateurs EX Series.

Pour le trafic IP sur M320, MX Series, les routeurs T Series et les commutateurs EX Series avec concentrateurs PIC flexibles Enhanced II (FPC), vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction tri-color n’est pas activée, vous pouvez uniquement configurer les niveaux et low les niveauxhigh. Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction tri-color , consultez La configuration et l’application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportements (BA) afin de définir le niveau PLP des paquets entrants, consultez Understanding How Forwarding Classes Assign Classes to Output Queues.

loss-priority-except level

Ne correspondez pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

next-header header-type

Correspondez au premier champ 8 bits Next Header (En-tête suivant) du paquet. La prise en charge de la next-header condition de correspondance de pare-feu est disponible dans Junos OS version 13.3R6 et versions ultérieures.

Pour IPv6, nous vous recommandons d’utiliser le payload-protocol terme plutôt que le terme lors de la next-header configuration d’un filtre de pare-feu avec des conditions de correspondance. Bien que l’une ou l’autre puisse être utilisée, payload-protocol fournit la condition de correspondance la plus fiable car elle utilise le protocole de charge utile réelle pour trouver une correspondance, alors qu’elle next-header prend tout simplement ce qui apparaît dans le premier en-tête suivant l’en-tête IPv6, qui peut ou non être le protocole réel. En outre, si next-header elle est utilisée avec IPv6, le processus de recherche de bloc de filtre accéléré est dérivé et le filtre standard utilisé à la place.

Correspondez au premier champ 8 bits Next Header (En-tête suivant) du paquet.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (4 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Remarque :

next-header icmp6 et next-header icmpv6 les conditions de correspondance exécutent la même fonction. next-header icmp6 est l’option préférée. next-header icmpv6 est masquée dans l’interface de ligne de commande Junos OS.

next-header-except header-type

Ne correspondez pas au champ 8 bits Next Header (En-tête suivant) qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

packet-length bytes

Correspondez à la longueur du paquet reçu, en octets. La longueur se réfère uniquement au paquet IP, y compris l’en-tête du paquet, et n’inclut aucun frais d’encapsulation de couche 2.

packet-length-except bytes

Ne correspondez pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

payload-protocol protocol-type

Correspondez au type de protocole de la charge utile.

En lieu et place de la protocol-type valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : spécifiez un ou plusieurs des éléments suivants : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-header( ospf 89), pim (103), routing, rsvp (46), sctp (132), tcp (6), udp (17) ou vrrp (112) (dstopts (60), fragment (44), saut par saut 0) et le routage ne sont pas disponibles dans Junos OS version 16.1 et versions ultérieures).

Vous pouvez également utiliser cette payload-protocol condition pour correspondre à un type d’en-tête d’extension que le firmware de Juniper Networks ne peut pas interpréter. Vous pouvez spécifier une plage de valeurs d’en-tête d’extension entre des supports carrés. Lorsque le firmware trouve le premier type d’en-tête d’extension qu’il ne peut pas interpréter dans un paquet, la valeur est définie sur ce payload-protocol type d’en-tête d’extension. Le filtre de pare-feu examine uniquement le premier type d’en-tête de l’extension que le firmware ne peut pas interpréter dans le paquet.

Remarque :

Cette condition de correspondance n’est prise en charge que sur les MPC des routeurs MX Series. Initialisez les nouveaux filtres de pare-feu qui incluent cette condition en marchant sur la MIB SNMP correspondante.

payload-protocol-except protocol-type

Ne correspondez pas au type de protocole de charge utile. Pour plus de détails, voir le type de payload-protocol correspondance.

Remarque :

Cette condition de correspondance n’est prise en charge que sur les MPC sur les routeurs MX Series

port number

Correspondez au champ de port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la destination-port condition de correspondance ou la condition de source-port correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

Remarque :

Pour Junos OS Evolved, vous devez configurer l’instruction de next-header correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

port-except number

Ne correspondez pas au champ source ou de port de destination UDP ou TCP. Pour plus de détails, voir la condition de port correspondance.

prefix-list prefix-list-name [ except ]

Associez les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

service-filter-hit

Correspondez à un paquet reçu à partir d’un filtre où une service-filter-hit action a été appliquée.

source-address address [ except ]

Correspondez à l’adresse IPv6 du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier les conditions et source-address les address conditions de correspondance dans le même terme.

source-class class-names

Associer un ou plusieurs noms de classe source spécifiés (ensembles de préfixes source regroupés et donné un nom de classe).

Pour plus d’informations, consultez Conditions de correspondance des filtres de pare-feu basées sur les classes d’adresses.

source-class-except class-names

Ne correspondez pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, voir la condition de source-class correspondance.

source-port number

Correspondez au champ de port source UDP ou TCP.

Vous ne pouvez pas préciser et assortir les portsource-port conditions dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

Remarque :

Pour Junos OS Evolved, vous devez configurer l’instruction next-header ou next-header tcp la correspondance dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la condition de destination-port number correspondance.

source-port-except number

Ne correspondez pas au champ de port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

source-prefix-list name [ except ]

Correspondez au préfixe d’adresse IPv6 du champ de source de paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au préfixe d’adresse IPv6 du champ source du paquet.

Indiquez un nom de liste de préfixe défini au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

tcp-established

Associer des paquets TCP autres que le premier paquet d’une connexion. Il s’agit d’un synonyme de texte : tcp-flags "(ack | rst)" (0x14).

Remarque :

Cette condition ne vérifie pas implicitement que le protocole est TCP. Pour vérifier cela, spécifiez la condition de protocol tcp correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer la condition de next-header tcp correspondance dans le même terme.

tcp-flags flags

Correspondez à un ou plusieurs des 6 bits de bas niveau du champ d’flags TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez assembler plusieurs indicateurs à l’aide des opérateurs logiques de champ de bits.

Pour connaître les conditions du match sur bit-field combiné, voir les conditions du tcp-established match.tcp-initial

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer next-header tcp la condition de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

tcp-initial

Correspondez au paquet initial d’une connexion TCP. Il s’agit d’un synonyme de texte pour tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer la condition de next-header tcp correspondance dans le même terme.

traffic-class number

Correspond au champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était précédemment utilisé comme champ Type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique à partir de 063. Pour spécifier la valeur sous forme hexadécimale, incluez 0x un préfixe. Pour spécifier la valeur sous forme binaire, incluez b comme préfixe.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior) » définit un point de code : ef(46).

  • RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 préséances d’abandon dans chaque classe, pour un total de 12 points de code :

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

traffic-class-except number

Ne correspondez pas au champ 8 bits qui spécifie la priorité CoS du paquet. Pour plus de détails, voir la description des traffic-class correspondances.

Remarque :

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (les address, destination-addressou source-address conditions de correspondance), utilisez la syntaxe pour les représentations de texte décrites dans RFC 4291, IP Version 6 Addressing Architecture. Pour plus d’informations sur les adresses IPv6, consultez la présentation d’IPv6 et les normes IPv6 prises en charge.

Tableau de l'historique des versions
Version
Description
13.3R6
La prise en charge de la next-header condition de correspondance de pare-feu est disponible dans Junos OS version 13.3R6 et versions ultérieures.