Conditions de correspondance des filtres de pare-feu pour le trafic IPv6

Correspondz à la source ou au champ d’adresse de destination IPv6, sauf except si l’option est incluse. Si l’option est incluse, ne pas correspondre à la source ou au champ d’adresse de destination IPv6.

Spécifiez les groupes dont vous avez besoin pour hériter les données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les énumérer par ordre de héritage prioritaire. Les données de configuration du premier groupe ont la priorité sur les données des groupes suivants.

Indiquez les groupes à ne pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.

Correspondance avec le champ de destination IPv6 sauf except si l’option est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv6.

Vous ne pouvez pas spécifier à la fois les conditions et les addressdestination-address assortir dans un même terme.

Indiquez un ou plusieurs noms de classe de destination spécifiés (ensembles de préfixes de destination regroupés et nommés par un nom de classe).

Pour plus d’informations, consultez le filtrage des conditions de correspondance du pare-feu en fonction des classes d’adresse.

Ne faites pas correspondre un ou plusieurs noms de classe de destination spécifiés. Pour plus d’informations, consultez la destination-class condition de correspondance.

Faire correspondre le champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions et les portdestination-port assortir dans un même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou de la correspondance dans le même terme pour spécifier le protocole utilisé next-header udpnext-header tcp sur le port.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les numéros de port sont également répertoriés): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftpftp-data (21), http (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-propkrbupdate (754), (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntppop3 (123), (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

Ne pas correspondre au champ de port de destination UDP ou TCP. Pour plus d’informations, consultez la destination-port condition de correspondance.

Assortissez le préfixe de destination IPv6 à la liste spécifiée, sauf si except l’option est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au [edit policy-options prefix-list prefix-list-name niveau de la hiérarchie.

Déterminez un type d’en-tête d’extension contenu dans le paquet en identifiant une valeur d’en-tête suivant.

Dans le premier fragment d’un paquet, le filtre recherche une correspondance dans n’importe quel type d’en-tête d’extension. Lorsqu’un paquet contenant un en-tête de fragmentation est trouvé (fragment subséquent), le filtre recherche uniquement une correspondance du type d’en-tête d’extension suivant, car la position d’autres en-têtes d’extension est imprévisible.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Pour correspondre à toute valeur de l’option d’en-tête d’extension, utilisez la synonymétrie de texte any .

Pour MX Series routeurs avec MPC, initialisez de nouveaux filtres de pare-feu qui incluent cette condition en suivant l’MIB SNMP.

Ne faites pas correspondre au type d’en-tête d’extension contenu dans le paquet. Pour plus d’informations, consultez la extension-headers condition de correspondance.

Longueur des entrées d’entrée (1,32 bits) ;

(Facultatif) Longueur d’entrée de chaîne (1,128 bits)

Bits compenser après le décalage (0,7)

Compensation des bytes après le point de début de la correspondance

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

Masquer les bits dans les données de paquet pour les faire correspondre

Point de départ pour correspondance dans le paquet

Valeur de données/chaîne à correspondre

Voir les conditions de correspondance flexibles des filtres de pare-feu pour plus d’informations

Longueur des données à correspondre en bits (0.32)

Bits compenser après le décalage (0,7)

Compensation des bytes après le point de début de la correspondance

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

Point de départ pour correspondance dans le paquet

Plage de valeurs à correspondre

Ne correspond pas à cette gamme de valeurs

Voir les conditions de correspondance flexibles des filtres de pare-feu pour plus d’informations

Correspondre à la classe de forwarding du paquet.

Spécifier assured-forwardingbest-effort , ou expedited-forwardingnetwork-control .

Pour plus d’informations sur les classes de forwarding et les files d’attente de sortie internes routeur-routeur, consultez la liste Understanding How Forwarding Classes Assign Classes to Output Queues.

Ne correspondent pas à la classe de forwarding du paquet. Pour plus d’informations, consultez la forwarding-class condition de correspondance.

Faites correspondre la limite du saut à la limite de saut spécifiée ou à l’ensemble des limites de saut. Pour hop-limit , spécifiez une valeur unique ou une plage de valeurs de 0 à 255.

Prise en charge sur les interfaces hébergées sur MPC ou MPC MX Series routeurs uniquement.

Ne faites pas correspondre la limite du saut à la limite du saut spécifié ou à l’ensemble de ses limites. Pour plus d’informations, consultez la hop-limit condition de correspondance.

Prise en charge sur les interfaces hébergées sur MPC ou MPC MX Series routeurs uniquement.

Correspondre au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer cette condition ou de la assortir next-header icmpnext-header icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés selon le type d’ICMP auquel ils sont associés:

• paramètre du problème: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• dépassé dans le temps: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• la destination n’est pas mise en cache: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

Ne correspondez pas au champ de code de message ICMP. Pour plus d’informations, consultez la icmp-code condition de correspondance.

Correspondre au champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer cette condition ou de la assortir next-header icmpnext-header icmp6 dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-requestinverse-neighbor-discovery-advertisement (144), inverse-neighbor-discovery-solicitation (142), membership-query (141), membership-report (130), membership-termination (131), (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), (146) neighbor-advertisement 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-bigparameter-problem (2), (4), private-experimentation-100private-experimentation-101 (100), (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une gamme de valeurs au sein de supports carrés.

Ne correspondent pas au champ de type de message ICMP. Pour plus d’informations, consultez la icmp-type condition de correspondance.

Correspondre à l’interface sur laquelle le paquet a été reçu.

Faire correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interface ou ensemble de groupes d’interfaces spécifiés. Pour group-number , spécifier une valeur unique ou une plage de valeurs de 0 l’à 255 la .

Pour attribuer une interface logique à un groupe group-number d’interfaces, spécifiez le group-number niveau [interfaces interface-name unit number family family filter group] hiérarchique.

Pour plus d’informations, consultez la présentation des paquets de filtrage reçus dans un ensemble de groupes d’interfaces.

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu vers le groupe ou ensemble d’interfaces spécifié. Pour plus d’informations, consultez la interface-group condition de correspondance.

Assortir l’interface sur laquelle le paquet a été reçu sur l’ensemble d’interface spécifié.

Pour définir un ensemble d’interfaces, inclure interface-set l’instruction au niveau [edit firewall] de la hiérarchie.

Pour plus d’informations, consultez la présentation du filtrage des paquets reçus dans un ensemble d’interfaces.

Si vous la présentez, faire correspondre le champ d’option IP de 8 bits à la valeur ou à la liste de valeurs spécifiées.

Au lieu d’une valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs d’option sont également répertoriées): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) ou timestamp (68).

Pour correspondre à toute valeur de l’option IP, utilisez la synonyme de texte any . Pour correspondre à plusieurs valeurs, spécifiez la liste des valeurs dans des supports carrés (' [ et ' ] '). Pour correspondre à une gamme de valeurs, utilisez la spécification de [ value1-value2 ] valeur.

Par exemple, la condition de correspondance est fonction d’un champ d’options IP contenant la valeur de 0 à ip-options [ 0-147 ]loose-source-routerecord-route 147 , ou de toute autre security valeur. Toutefois, cette condition de correspondance ne correspond pas à un champ d’options IP contenant uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme filtre qui spécifie une correspondance avec une ou plusieurs valeurs d’option IP spécifiques (une valeur autre que ) envoie des paquets au moteur de routage afin que le noyau puisse utiliser l’option IP dans l’en-tête du ip-optionany paquet.

• Pour un terme de filtre de pare-feu qui spécifie une correspondance sur une ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les actions , ou les actions non liées, sauf si vous spécifiez également l’action de terminaison dans le même ip-optioncountlogsyslogdiscard terme. Ce comportement empêche de doubler le nombre de paquets afin d’appliquer un filtre à une interface de transit sur le routeur.

• Les paquets traiter sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour s’assurer que les paquets assortis sont envoyés au centre de moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la ip-options any condition de correspondance.

Les concentrateurs de ports modulaires (MPC) 10 Gigabit Ethernet, MPC 100 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC Ethernet 60 Gigabit Queuing et MPC 60 Gigabit Ethernet MPC améliorée sur les routeurs MX Series sont capables d’mesurer le champ d’option IP du en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets qui sont assortis à l’aide de la condition de correspondance sont envoyés au centre ip-options moteur de transfert de paquets traitement.

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification de values l', consultez la ip-options condition de correspondance.

Correspondre au niveau de priorité de perte de paquets (PLP).

Indiquez un niveau ou plusieurs niveaux: low, medium-low ou medium-highhigh .

Pris en charge sur M120 et M320 routeurs d’M120, M7i et M10i de liaisons avec le CFEB amélioré (CFEB-E) ; et MX Series routeurs et EX Series commutateurs.

Pour le trafic IP sur M320, MX Series, routeurs T Series et commutateurs EX Series avec concentrateurs PIC flexibles (FPPC) II améliorés, vous devez inclure l’instruction au niveau de la hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux tri-color[edit class-of-service] spécifiés. Si tri-color l’instruction n’est pas activée, vous pouvez uniquement configurer les high niveaux et les low Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur tri-color l’énoncé, consultez le site Configuring and Applying Tricolor Marking Policers(Configurer et appliquer les policeurs de marquage tricolore). Pour plus d’informations sur l’utilisation de classificateurs BA (Behavior Aggregate) pour définir le niveau PLP des paquets entrants, consultez understanding how Forwarding Classes Assign classes to Output Queues.

Ne pas correspondre au niveau PLP. Pour plus d’informations, consultez la loss-priority condition de correspondance.

Faire correspondre le premier champ d’en-tête suivant 8 bits dans le paquet. La prise en charge de la condition de correspondance du pare-feu est disponible Junos OS next-header version 13.3R6 et ultérieures.

Pour IPv6, il est recommandé d’utiliser le terme plutôt que celui utilisé lors de la configuration d’un filtre de pare-feu payload-protocol avec des conditions de next-header correspondance. Bien que l’une ou l’autre puisse être utilisée, fournit une condition de correspondance plus fiable, car elle utilise le protocole de charge utile réel pour trouver la correspondance, alors que tout ce qui apparaît dans le premier en-tête suivant l’en-tête payload-protocol IPv6, qui peut ou ne peut pas être le protocole next-header réel. En outre, s’il est utilisé avec IPv6, le processus de recherche accélérée des blocs de filtre est contourné et le filtre next-header standard utilisé à la place.

Faire correspondre le premier champ d’en-tête suivant 8 bits dans le paquet.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hopicmp (0), (1), icmp6icmpv6 (58), (58), igmp (2), ipip (4), ipv6 (4) mobility 1), (135), no-next-header (59), ospf (89), pimrouting (103), rsvp (43), (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Ne faites pas correspondre au champ Next Header 8 bits qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus d’informations, consultez le next-header type de correspondance.

Correspondre à la longueur du paquet reçu, en octets. Cette longueur fait uniquement référence au paquet IP, y compris l’en-tête de paquet, et n’inclut pas de coûts d’encapsulation de couche 2.

Ne correspondent pas à la longueur du paquet reçu, en octets. Pour plus d’informations, consultez le packet-length type de correspondance.

Correspondre au type de protocole de charge utile.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ protocol-type sont également répertoriées): indiquez un ou un ensemble des spécifications suivantes: ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-header , ospf (89), pim (103), routing , rsvp (46), sctp (132), tcpudp (6), (17) ou vrrp (112) (dstopts (60), fragment (44), saut par saut 0) et routage ne sont disponibles dans la version Junos OS version 16.1 et ultérieure.

Vous pouvez également utiliser cette condition pour correspondre à un type d’en-tête d’extension que Juniper Networks payload-protocol firmware ne peut pas interpréter. Vous pouvez spécifier une gamme de valeurs d’en-tête d’extension dans des supports carrés. Lorsque le firmware trouve le premier type d’en-tête d’extension qu’il ne peut interpréter dans un paquet, la valeur est définie par ce payload-protocol type d’en-tête d’extension. Le filtre de pare-feu examine uniquement le premier type d’en-tête d’extension que le firmware ne peut pas interpréter dans le paquet.

Ne correspondent pas au type de protocole de charge utile. Pour plus d’informations, consultez le payload-protocol type de correspondance.

Correspondre au champ de port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de correspondance ou la condition de destination-port correspondance dans le même source-port terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou de la correspondance dans le même terme pour spécifier le protocole utilisé next-header udpnext-header tcp sur le port.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées destination-port ci-dessous.

Ne pas correspondre au champ de port source ou de destination UDP ou TCP. Pour plus d’informations, consultez la port condition de correspondance.

Assortissez les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si except l’option est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau [edit policy-options prefix-list prefix-list-name] de la hiérarchie.

Faire correspondre un paquet reçu à partir d’un filtre où service-filter-hit une action a été appliquée.

Correspondance avec l’adresse IPv6 du nœud source qui envoie le paquet, sauf si except l’option est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions et les addresssource-address assortir dans un même terme.

Indiquez un ou plusieurs noms de classe source spécifiés (ensembles de préfixes source regroupés et nommés par un nom de classe).

Pour plus d’informations, consultez le filtrage des conditions de correspondance du pare-feu en fonction des classes d’adresse.

Ne faites pas correspondre un ou plusieurs noms de classe source spécifiés. Pour plus d’informations, consultez la source-class condition de correspondance.

Faire correspondre le champ de port source UDP ou TCP.

Vous ne pouvez pas port spécifier et source-port assortir les conditions dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou de la correspondance dans le même terme pour spécifier le protocole utilisé next-header udpnext-header tcp sur le port.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées avec la destination-port number condition de correspondance.

Ne pas correspondre au champ de port source UDP ou TCP. Pour plus d’informations, consultez la source-port condition de correspondance.

Correspondz au préfixe d’adresse IPv6 du champ source du paquet, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe d’adresse IPv6 du champ source du paquet.

Indiquez un nom de liste de préfixe défini au niveau [edit policy-options prefix-list prefix-list-name] de la hiérarchie.

Assortir les paquets TCP autres que le premier paquet d’une connexion. Il s’agit d’une synonymétrie de texte pour tcp-flags "(ack | rst)"0x14 ().

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer cette condition de next-header tcp correspondance dans le même terme.

Faire correspondre un ou plusieurs des 6 bits de faible commande dans le champ des indicateurs TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimale suivantes:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques sur le champ bit.

Pour voir les conditions de correspondance sur le terrain combinées, consultez tcp-established les tcp-initial conditions de correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition de correspondance dans le même terme pour spécifier que le protocole TCP est next-header tcp utilisé sur le port.

Correspondre au paquet initial d’une connexion TCP. Il s’agit d’un synonyme de texte pour tcp-flags "(!ack & syn)" .

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer cette condition de next-header tcp correspondance dans le même terme.

Correspondent au champ de 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique de 0 par 63 . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure 0x comme préfixe. Pour spécifier la valeur dans un format binaire, inclure b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

• RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code: ef(46).

• RFC 2597, groupe PHB (Assured Forwarding PHB Group),définit 4 classes, avec 3 préséances d’abandon pour un total de 12 points de code:

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

Ne faites pas correspondre au champ 8 bits qui spécifie la CoS priorité du paquet. Pour plus d’informations, consultez la traffic-class description de la correspondance.