Conditions de correspondance des filtres de pare-feu pour le trafic IPv6

Correspondez au champ d’adresse source ou de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse source ou de destination IPv6.

Indiquez les groupes dont les données de configuration doivent être héritées. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les répertorier par ordre de priorité de l’héritage. Les données de configuration du premier groupe sont prioritaires par rapport aux données des groupes suivants.

Indiquez les groupes dont vous ne devez pas hériter. Vous pouvez spécifier plusieurs noms de groupe.

Correspondez au champ d’adresse de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv6.

Vous ne pouvez pas spécifier les conditions et destination-address les address conditions de correspondance dans le même terme.

Associer un ou plusieurs noms de classe de destination spécifiés (ensembles de préfixes de destination regroupés et donnés un nom de classe).

Pour plus d’informations, consultez Conditions de correspondance des filtres de pare-feu basées sur les classes d’adresses.

Ne correspondez pas à un ou plusieurs noms de classe de destination spécifiés. Pour plus de détails, voir la condition de destination-class correspondance.

Correspondez au champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier les conditions et destination-port les port conditions de correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21 ( ekshell 2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), (518), ntalkntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

Ne correspondez pas au champ de port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

Associez le préfixe de destination IPv6 à la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie ].

Associez un type d’en-tête d’extension contenu dans le paquet en identifiant une valeur d’en-tête suivant.

Dans le premier fragment d’un paquet, le filtre recherche une correspondance dans n’importe quel type d’en-tête d’extension. Lorsqu’un paquet avec un en-tête de fragment est trouvé (un fragment suivant), le filtre recherche uniquement la correspondance du type d’en-tête d’extension suivant, car l’emplacement des autres en-têtes d’extension est imprévisible.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Pour correspondre à toute valeur de l’option d’en-tête de l’extension, utilisez le synonyme anyde texte .

Pour les routeurs MX Series avec MPC, initialisez de nouveaux filtres de pare-feu qui incluent cette condition en marchant sur le MIB SNMP correspondant.

Ne correspondez pas au type d’en-tête d’extension contenu dans le paquet. Pour plus de détails, voir la condition de extension-headers correspondance.

Longueur d’entrée de l’entier (1,32 bits) ;

(Facultatif) Longueur de l’entrée chaîne (1,128 bits)

Bit offset après le décalage (match-start + octet) (0..7)

Décalage d’octet après le point de début du match

Sélectionner une correspondance flexible dans un champ de modèle prédéfini

Masquer les bits des données de paquet à assortir

Point de départ correspondant à un paquet

Valeur des données/chaîne à assortir

Voir Conditions de correspondance flexibles du filtre de pare-feu pour plus de détails

Longueur des données à assortir en bits (0..32)

Bit offset après le décalage (match-start + octet) (0..7)

Décalage d’octet après le point de début du match

Sélectionner une correspondance flexible dans un champ de modèle prédéfini

Point de départ correspondant à un paquet

Plage de valeurs à assortir

Ne correspondez pas à cette plage de valeurs

Voir Conditions de correspondance flexibles du filtre de pare-feu pour plus de détails

Correspondez à la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effort, expedited-forwardingou network-control.

Pour plus d’informations sur les classes de transfert et les files d’attente de sortie internes au routeur, consultez Understanding How Forwarding Classes Assignation Classes to Output Queues.

Ne correspondez pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

Faites correspondre la limite de saut à la limite de saut spécifiée ou à la limite définie de saut. Pour hop-limit, spécifiez une valeur unique ou une plage de valeurs comprise entre 0 et 255.

Prise en charge sur les interfaces hébergées sur MPC ou MPC sur les routeurs MX Series uniquement.

Ne correspondez pas à la limite de saut spécifiée ou à la limite de saut définie. Pour plus de détails, voir la condition de hop-limit correspondance.

Prise en charge sur les interfaces hébergées sur MPC ou MPC sur les routeurs MX Series uniquement.

Correspondez au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou next-header icmp6 de next-header icmp la assortir dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés par type ICMP auquel ils sont associés :

• problème de paramètres : ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• délais dépassés : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• destination inatteignable : administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

Ne correspondez pas au champ code du message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

Correspondez au champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou next-header icmp6 de next-header icmp la assortir dans le même terme.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (1 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre les supports carrés.

Ne correspondez pas au champ de type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

Correspondez à l’interface sur laquelle le paquet a été reçu.

Associez l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifié. Pour group-number, spécifiez une valeur unique ou une plage de valeurs de 0 à 255.

Pour attribuer une interface logique à un groupe group-numberd’interfaces , spécifiez le group-number niveau [interfaces interface-name unit number family family filter group] hiérarchique.

Pour plus d’informations, consultez la présentation du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifié. Pour plus de détails, voir la condition de interface-group correspondance.

Correspondez à l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un ensemble d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie.

Pour plus d’informations, consultez la rubrique Filtrage des paquets reçus dans une présentation de l’ensemble d’interfaces.

Associez le champ d’option IP 8 bits, le cas échéant, à la valeur ou à la liste de valeurs spécifiée.

En lieu et place d’une valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs des options sont également répertoriées) : loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Pour correspondre à toute valeur de l’option IP, utilisez le synonyme anyde texte . Pour correspondre à plusieurs valeurs, spécifiez la liste des valeurs entre les crochets ('[' et ']'). Pour correspondre à une gamme de valeurs, utilisez la spécification [ value1-value2 ]de la valeur .

Par exemple, la condition ip-options [ 0-147 ] de correspondance correspond à un champ d’options IP qui contient la ou security les loose-source-routerecord-routevaleurs, ou toute autre valeur comprise entre 0 et 147. Cependant, cette condition de correspondance ne correspond pas sur un champ d’options IP qui contient uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme de filtre qui spécifie une correspondance avec une ou plusieurs valeurs d’option ip-option IP spécifiques (une valeur autre que any) entraîne l’envoi de paquets au moteur de routage afin que le noyau puisse analyser le champ d’option IP dans l’en-tête de paquet.

• Pour un terme de filtre de pare-feu qui spécifie une correspondance avec une ou plusieurs valeurs d’option ip-option IP spécifiques, vous ne pouvez pas spécifier les countactions , logou syslog nonterminating , sauf si vous spécifiez également l’action discard de terminaison dans le même terme. Ce comportement empêche le double comptage des paquets pour un filtre appliqué à une interface de transit sur le routeur.

• Les paquets traités sur le noyau peuvent être perdus en cas de goulot d’étranglement du système. Pour s’assurer que les paquets correspondant sont envoyés au moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la condition de ip-options any correspondance.

Les MPC (Modular Port Concentrator) 10 Gigabit Ethernet, MPC 100 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC 60 Gigabit Queuing Ethernet et MPC 60 Gigabit Ethernet Enhanced Queuing sur les routeurs MX Series sont capables d’analyser le champ d’option IP de l’en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets correspondant à l’aide de la condition de ip-options correspondance sont envoyés au moteur de transfert de paquets pour traitement.

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste des valeurs spécifiées. Pour plus de détails sur la spécification de la values, reportez-vous à la condition de ip-options correspondance.

Correspondez au niveau de priorité de perte de paquets (PLP).

Indiquez un ou plusieurs niveaux : low, medium-lowmedium-highou high.

Compatible avec les routeurs M120 et M320 ; routeurs M7i et M10i dotés du CFEB amélioré (CFEB-E) ; routeurs MX Series et commutateurs EX Series.

Pour le trafic IP sur M320, MX Series, les routeurs T Series et les commutateurs EX Series avec concentrateurs PIC flexibles Enhanced II (FPC), vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction tri-color n’est pas activée, vous pouvez uniquement configurer les niveaux et low les niveauxhigh. Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction tri-color , consultez La configuration et l’application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportements (BA) afin de définir le niveau PLP des paquets entrants, consultez Understanding How Forwarding Classes Assign Classes to Output Queues.

Ne correspondez pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

Correspondez au premier champ 8 bits Next Header (En-tête suivant) du paquet. La prise en charge de la next-header condition de correspondance de pare-feu est disponible dans Junos OS version 13.3R6 et versions ultérieures.

Pour IPv6, nous vous recommandons d’utiliser le payload-protocol terme plutôt que le terme lors de la next-header configuration d’un filtre de pare-feu avec des conditions de correspondance. Bien que l’une ou l’autre puisse être utilisée, payload-protocol fournit la condition de correspondance la plus fiable car elle utilise le protocole de charge utile réelle pour trouver une correspondance, alors qu’elle next-header prend tout simplement ce qui apparaît dans le premier en-tête suivant l’en-tête IPv6, qui peut ou non être le protocole réel. En outre, si next-header elle est utilisée avec IPv6, le processus de recherche de bloc de filtre accéléré est dérivé et le filtre standard utilisé à la place.

Correspondez au premier champ 8 bits Next Header (En-tête suivant) du paquet.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (4 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Ne correspondez pas au champ 8 bits Next Header (En-tête suivant) qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

Correspondez à la longueur du paquet reçu, en octets. La longueur se réfère uniquement au paquet IP, y compris l’en-tête du paquet, et n’inclut aucun frais d’encapsulation de couche 2.

Ne correspondez pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Correspondez au type de protocole de la charge utile.

En lieu et place de la protocol-type valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) : spécifiez un ou plusieurs des éléments suivants : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-header( ospf 89), pim (103), routing, rsvp (46), sctp (132), tcp (6), udp (17) ou vrrp (112) (dstopts (60), fragment (44), saut par saut 0) et le routage ne sont pas disponibles dans Junos OS version 16.1 et versions ultérieures).

Vous pouvez également utiliser cette payload-protocol condition pour correspondre à un type d’en-tête d’extension que le firmware de Juniper Networks ne peut pas interpréter. Vous pouvez spécifier une plage de valeurs d’en-tête d’extension entre des supports carrés. Lorsque le firmware trouve le premier type d’en-tête d’extension qu’il ne peut pas interpréter dans un paquet, la valeur est définie sur ce payload-protocol type d’en-tête d’extension. Le filtre de pare-feu examine uniquement le premier type d’en-tête de l’extension que le firmware ne peut pas interpréter dans le paquet.

Ne correspondez pas au type de protocole de charge utile. Pour plus de détails, voir le type de payload-protocol correspondance.

Correspondez au champ de port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la destination-port condition de correspondance ou la condition de source-port correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Ne correspondez pas au champ source ou de port de destination UDP ou TCP. Pour plus de détails, voir la condition de port correspondance.

Associez les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Correspondez à un paquet reçu à partir d’un filtre où une service-filter-hit action a été appliquée.

Correspondez à l’adresse IPv6 du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier les conditions et source-address les address conditions de correspondance dans le même terme.

Associer un ou plusieurs noms de classe source spécifiés (ensembles de préfixes source regroupés et donné un nom de classe).

Pour plus d’informations, consultez Conditions de correspondance des filtres de pare-feu basées sur les classes d’adresses.

Ne correspondez pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, voir la condition de source-class correspondance.

Correspondez au champ de port source UDP ou TCP.

Vous ne pouvez pas préciser et assortir les portsource-port conditions dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la next-header udp condition ou next-header tcp de la assortir dans le même terme pour spécifier le protocole utilisé sur le port.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la condition de destination-port number correspondance.

Ne correspondez pas au champ de port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

Correspondez au préfixe d’adresse IPv6 du champ de source de paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au préfixe d’adresse IPv6 du champ source du paquet.

Indiquez un nom de liste de préfixe défini au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Associer des paquets TCP autres que le premier paquet d’une connexion. Il s’agit d’un synonyme de texte : tcp-flags "(ack | rst)" (0x14).

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer la condition de next-header tcp correspondance dans le même terme.

Correspondez à un ou plusieurs des 6 bits de bas niveau du champ d’flags TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez assembler plusieurs indicateurs à l’aide des opérateurs logiques de champ de bits.

Pour connaître les conditions du match sur bit-field combiné, voir les conditions du tcp-established match.tcp-initial

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer next-header tcp la condition de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Correspondez au paquet initial d’une connexion TCP. Il s’agit d’un synonyme de texte pour tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer la condition de next-header tcp correspondance dans le même terme.

Correspond au champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était précédemment utilisé comme champ Type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique à partir de 063. Pour spécifier la valeur sous forme hexadécimale, incluez 0x un préfixe. Pour spécifier la valeur sous forme binaire, incluez b comme préfixe.

En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs du champ sont également répertoriées) :

• RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior) » définit un point de code : ef(46).

• RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 préséances d’abandon dans chaque classe, pour un total de 12 points de code :

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

Ne correspondez pas au champ 8 bits qui spécifie la priorité CoS du paquet. Pour plus de détails, voir la description des traffic-class correspondances.