Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu pour le trafic IPv6

Vous pouvez configurer un filtre de pare-feu avec les conditions de correspondance du trafic IPv6 (Internet Protocol version 6) ( family inet6 ).

Remarque :

Pour MX Series routeurs avec MPC, vous devez initialiser le compteur de filtres pour les filtres de correspondance Trio uniquement en s’adonnant aux MIB SNMP correspondants, par show snmp mib walk name ascii exemple. Junos est alors contraint d’apprendre les compteurs des filtres et de s’assurer que les statistiques de filtre sont affichées. Ces directives s’appliquent à tous les filtres de pare-feu en mode amélioré, aux filtres avec des conditions flexibles et aux filtres avec certaines actions de terminaison. Pour plus de détails, consultez les rubriques ci-dessous.

Tableau 1 décrit les conditions de correspondance que vous pouvez configurer au niveau [edit firewall family inet6 filter filter-name term term-name from] de la hiérarchie.

Tableau 1 : Conditions de correspondance des filtres de pare-feu pour le trafic IPv6

Condition de correspondance

Description

address address [ except ]

Correspondz à la source ou au champ d’adresse de destination IPv6, sauf except si l’option est incluse. Si l’option est incluse, ne pas correspondre à la source ou au champ d’adresse de destination IPv6.

apply-groups

Spécifiez les groupes dont vous avez besoin pour hériter les données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les énumérer par ordre de héritage prioritaire. Les données de configuration du premier groupe ont la priorité sur les données des groupes suivants.

apply-groups-except

Indiquez les groupes à ne pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.

destination-address address [ except ]

Correspondance avec le champ de destination IPv6 sauf except si l’option est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv6.

Vous ne pouvez pas spécifier à la fois les conditions et les addressdestination-address assortir dans un même terme.

destination-class class-names

Indiquez un ou plusieurs noms de classe de destination spécifiés (ensembles de préfixes de destination regroupés et nommés par un nom de classe).

Pour plus d’informations, consultez le filtrage des conditions de correspondance du pare-feu en fonction des classes d’adresse.

destination-class-except class-names

Ne faites pas correspondre un ou plusieurs noms de classe de destination spécifiés. Pour plus d’informations, consultez la destination-class condition de correspondance.

destination-port number

Faire correspondre le champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions et les portdestination-port assortir dans un même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou de la correspondance dans le même terme pour spécifier le protocole utilisé next-header udpnext-header tcp sur le port.

Remarque :

Pour Junos OS évolué, vous devez configurer l’instruction de next-header correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les numéros de port sont également répertoriés): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftpftp-data (21), http (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-propkrbupdate (754), (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntppop3 (123), (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

Ne pas correspondre au champ de port de destination UDP ou TCP. Pour plus d’informations, consultez la destination-port condition de correspondance.

destination-prefix-list prefix-list-name [ except ]

Assortissez le préfixe de destination IPv6 à la liste spécifiée, sauf si except l’option est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au [edit policy-options prefix-list prefix-list-name niveau de la hiérarchie.

extension-headers header-type

Déterminez un type d’en-tête d’extension contenu dans le paquet en identifiant une valeur d’en-tête suivant.

Remarque :

Cette condition de correspondance est prise en charge uniquement sur les MPC MX Series routeurs.

Dans le premier fragment d’un paquet, le filtre recherche une correspondance dans n’importe quel type d’en-tête d’extension. Lorsqu’un paquet contenant un en-tête de fragmentation est trouvé (fragment subséquent), le filtre recherche uniquement une correspondance du type d’en-tête d’extension suivant, car la position d’autres en-têtes d’extension est imprévisible.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Pour correspondre à toute valeur de l’option d’en-tête d’extension, utilisez la synonymétrie de texte any .

Pour MX Series routeurs avec MPC, initialisez de nouveaux filtres de pare-feu qui incluent cette condition en suivant l’MIB SNMP.

first-fragment

Si le paquet est le premier fragment,

 

extension-headers-except header-type

Ne faites pas correspondre au type d’en-tête d’extension contenu dans le paquet. Pour plus d’informations, consultez la extension-headers condition de correspondance.

Remarque :

Cette condition de correspondance est prise en charge uniquement sur les MPC MX Series routeurs.

flexible-match-mask value

bit-length

Longueur des entrées d’entrée (1,32 bits) ;

(Facultatif) Longueur d’entrée de chaîne (1,128 bits)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-mask-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

mask-in-hex

Masquer les bits dans les données de paquet pour les faire correspondre

match-start

Point de départ pour correspondance dans le paquet

prefix

Valeur de données/chaîne à correspondre

Voir les conditions de correspondance flexibles des filtres de pare-feu pour plus d’informations

flexible-match-range value

Les plages doivent utiliser le format suivant: Registre -Fin d’erteger

bit-length

Longueur des données à correspondre en bits (0.32)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-range-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

match-start

Point de départ pour correspondance dans le paquet

range

Plage de valeurs à correspondre

range-except

Ne correspond pas à cette gamme de valeurs

Voir les conditions de correspondance flexibles des filtres de pare-feu pour plus d’informations

forwarding-class class

Correspondre à la classe de forwarding du paquet.

Spécifier assured-forwardingbest-effort , ou expedited-forwardingnetwork-control .

Pour plus d’informations sur les classes de forwarding et les files d’attente de sortie internes routeur-routeur, consultez la liste Understanding How Forwarding Classes Assign Classes to Output Queues.

forwarding-class-except class

Ne correspondent pas à la classe de forwarding du paquet. Pour plus d’informations, consultez la forwarding-class condition de correspondance.

hop-limit hop-limit

Faites correspondre la limite du saut à la limite de saut spécifiée ou à l’ensemble des limites de saut. Pour hop-limit , spécifiez une valeur unique ou une plage de valeurs de 0 à 255.

Prise en charge sur les interfaces hébergées sur MPC ou MPC MX Series routeurs uniquement.

Remarque :

Cette condition de correspondance est prise en charge sur les routeurs PTX Series une fois configurés enhanced-mode sur le routeur.

hop-limit-except hop-limit

Ne faites pas correspondre la limite du saut à la limite du saut spécifié ou à l’ensemble de ses limites. Pour plus d’informations, consultez la hop-limit condition de correspondance.

Prise en charge sur les interfaces hébergées sur MPC ou MPC MX Series routeurs uniquement.

Remarque :

Cette condition de correspondance est prise en charge sur les routeurs PTX Series une fois configurés enhanced-mode sur le routeur.

icmp-code message-code

Correspondre au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer cette condition ou de la assortir next-header icmpnext-header icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés selon le type d’ICMP auquel ils sont associés:

  • paramètre du problème: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • dépassé dans le temps: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • la destination n’est pas mise en cache: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Ne correspondez pas au champ de code de message ICMP. Pour plus d’informations, consultez la icmp-code condition de correspondance.

icmp-type message-type

Correspondre au champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer cette condition ou de la assortir next-header icmpnext-header icmp6 dans le même terme.

Remarque :

Pour Junos OS évolué, vous devez configurer l’instruction de next-header correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-requestinverse-neighbor-discovery-advertisement (144), inverse-neighbor-discovery-solicitation (142), membership-query (141), membership-report (130), membership-termination (131), (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), (146) neighbor-advertisement 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-bigparameter-problem (2), (4), private-experimentation-100private-experimentation-101 (100), (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une gamme de valeurs au sein de supports carrés.

icmp-type-except message-type

Ne correspondent pas au champ de type de message ICMP. Pour plus d’informations, consultez la icmp-type condition de correspondance.

interface interface-name

Correspondre à l’interface sur laquelle le paquet a été reçu.

Remarque :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-group group-number

Faire correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interface ou ensemble de groupes d’interfaces spécifiés. Pour group-number , spécifier une valeur unique ou une plage de valeurs de 0 l’à 255 la .

Pour attribuer une interface logique à un groupe group-number d’interfaces, spécifiez le group-number niveau [interfaces interface-name unit number family family filter group] hiérarchique.

Pour plus d’informations, consultez la présentation des paquets de filtrage reçus dans un ensemble de groupes d’interfaces.

interface-group-except group-number

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu vers le groupe ou ensemble d’interfaces spécifié. Pour plus d’informations, consultez la interface-group condition de correspondance.

interface-set interface-set-name

Assortir l’interface sur laquelle le paquet a été reçu sur l’ensemble d’interface spécifié.

Pour définir un ensemble d’interfaces, inclure interface-set l’instruction au niveau [edit firewall] de la hiérarchie.

Pour plus d’informations, consultez la présentation du filtrage des paquets reçus dans un ensemble d’interfaces.

ip-options values

Si vous la présentez, faire correspondre le champ d’option IP de 8 bits à la valeur ou à la liste de valeurs spécifiées.

Au lieu d’une valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs d’option sont également répertoriées): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) ou timestamp (68).

Pour correspondre à toute valeur de l’option IP, utilisez la synonyme de texte any . Pour correspondre à plusieurs valeurs, spécifiez la liste des valeurs dans des supports carrés (' [ et ' ] '). Pour correspondre à une gamme de valeurs, utilisez la spécification de value1-value2 ] valeur.

Par exemple, la condition de correspondance est fonction d’un champ d’options IP contenant la valeur de 0 à ip-options [ 0-147 ]loose-source-routerecord-route 147 , ou de toute autre security valeur. Toutefois, cette condition de correspondance ne correspond pas à un champ d’options IP contenant uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme filtre qui spécifie une correspondance avec une ou plusieurs valeurs d’option IP spécifiques (une valeur autre que ) envoie des paquets au moteur de routage afin que le noyau puisse utiliser l’option IP dans l’en-tête du ip-optionany paquet.

  • Pour un terme de filtre de pare-feu qui spécifie une correspondance sur une ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les actions , ou les actions non liées, sauf si vous spécifiez également l’action de terminaison dans le même ip-optioncountlogsyslogdiscard terme. Ce comportement empêche de doubler le nombre de paquets afin d’appliquer un filtre à une interface de transit sur le routeur.

  • Les paquets traiter sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour s’assurer que les paquets assortis sont envoyés au centre de moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la ip-options any condition de correspondance.

Les concentrateurs de ports modulaires (MPC) 10 Gigabit Ethernet, MPC 100 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC Ethernet 60 Gigabit Queuing et MPC 60 Gigabit Ethernet MPC améliorée sur les routeurs MX Series sont capables d’mesurer le champ d’option IP du en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets qui sont assortis à l’aide de la condition de correspondance sont envoyés au centre ip-options moteur de transfert de paquets traitement.

ip-options-except values

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification de values l', consultez la ip-options condition de correspondance.

is-fragment

Si le paquet est fragmenté,

 

last-fragment

Correspondre si le paquet est le dernier fragment.

 

loss-priority level

Correspondre au niveau de priorité de perte de paquets (PLP).

Indiquez un niveau ou plusieurs niveaux: low, medium-low ou medium-highhigh .

Pris en charge sur M120 et M320 routeurs d’M120, M7i et M10i de liaisons avec le CFEB amélioré (CFEB-E) ; et MX Series routeurs et EX Series commutateurs.

Pour le trafic IP sur M320, MX Series, routeurs T Series et commutateurs EX Series avec concentrateurs PIC flexibles (FPPC) II améliorés, vous devez inclure l’instruction au niveau de la hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux tri-color[edit class-of-service] spécifiés. Si tri-color l’instruction n’est pas activée, vous pouvez uniquement configurer les high niveaux et les low Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur tri-color l’énoncé, consultez le site Configuring and Applying Tricolor Marking Policers(Configurer et appliquer les policeurs de marquage tricolore). Pour plus d’informations sur l’utilisation de classificateurs BA (Behavior Aggregate) pour définir le niveau PLP des paquets entrants, consultez understanding how Forwarding Classes Assign classes to Output Queues.

loss-priority-except level

Ne pas correspondre au niveau PLP. Pour plus d’informations, consultez la loss-priority condition de correspondance.

next-header header-type

Faire correspondre le premier champ d’en-tête suivant 8 bits dans le paquet. La prise en charge de la condition de correspondance du pare-feu est disponible Junos OS next-header version 13.3R6 et ultérieures.

Pour IPv6, il est recommandé d’utiliser le terme plutôt que celui utilisé lors de la configuration d’un filtre de pare-feu payload-protocol avec des conditions de next-header correspondance. Bien que l’une ou l’autre puisse être utilisée, fournit une condition de correspondance plus fiable, car elle utilise le protocole de charge utile réel pour trouver la correspondance, alors que tout ce qui apparaît dans le premier en-tête suivant l’en-tête payload-protocol IPv6, qui peut ou ne peut pas être le protocole next-header réel. En outre, s’il est utilisé avec IPv6, le processus de recherche accélérée des blocs de filtre est contourné et le filtre next-header standard utilisé à la place.

Faire correspondre le premier champ d’en-tête suivant 8 bits dans le paquet.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hopicmp (0), (1), icmp6icmpv6 (58), (58), igmp (2), ipip (4), ipv6 (4) mobility 1), (135), no-next-header (59), ospf (89), pimrouting (103), rsvp (43), (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Remarque :

next-header icmp6 et next-header icmpv6 les conditions de correspondance exécutent la même fonction. est l’option next-header icmp6 préférée. est next-header icmpv6 masquée dans Junos OS CLI.

next-header-except header-type

Ne faites pas correspondre au champ Next Header 8 bits qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus d’informations, consultez le next-header type de correspondance.

packet-length bytes

Correspondre à la longueur du paquet reçu, en octets. Cette longueur fait uniquement référence au paquet IP, y compris l’en-tête de paquet, et n’inclut pas de coûts d’encapsulation de couche 2.

packet-length-except bytes

Ne correspondent pas à la longueur du paquet reçu, en octets. Pour plus d’informations, consultez le packet-length type de correspondance.

payload-protocol protocol-type

Correspondre au type de protocole de charge utile.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ protocol-type sont également répertoriées): indiquez un ou un ensemble des spécifications suivantes: ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-header , ospf (89), pim (103), routing , rsvp (46), sctp (132), tcpudp (6), (17) ou vrrp (112) (dstopts (60), fragment (44), saut par saut 0) et routage ne sont disponibles dans la version Junos OS version 16.1 et ultérieure.

Vous pouvez également utiliser cette condition pour correspondre à un type d’en-tête d’extension que Juniper Networks payload-protocol firmware ne peut pas interpréter. Vous pouvez spécifier une gamme de valeurs d’en-tête d’extension dans des supports carrés. Lorsque le firmware trouve le premier type d’en-tête d’extension qu’il ne peut interpréter dans un paquet, la valeur est définie par ce payload-protocol type d’en-tête d’extension. Le filtre de pare-feu examine uniquement le premier type d’en-tête d’extension que le firmware ne peut pas interpréter dans le paquet.

Remarque :

Cette condition de correspondance est uniquement prise en charge sur les MPC sur MX Series routeurs. Initialisez de nouveaux filtres de pare-feu qui incluent cette condition en suivant l’MIB SNMP.

payload-protocol-except protocol-type

Ne correspondent pas au type de protocole de charge utile. Pour plus d’informations, consultez le payload-protocol type de correspondance.

Remarque :

Cette condition de correspondance est uniquement prise en charge sur les MPC sur MX Series routeurs

port number

Correspondre au champ de port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de correspondance ou la condition de destination-port correspondance dans le même source-port terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou de la correspondance dans le même terme pour spécifier le protocole utilisé next-header udpnext-header tcp sur le port.

Remarque :

Pour Junos OS évolué, vous devez configurer l’instruction de next-header correspondance dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées destination-port ci-dessous.

port-except number

Ne pas correspondre au champ de port source ou de destination UDP ou TCP. Pour plus d’informations, consultez la port condition de correspondance.

prefix-list prefix-list-name [ except ]

Assortissez les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si except l’option est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau [edit policy-options prefix-list prefix-list-name] de la hiérarchie.

service-filter-hit

Faire correspondre un paquet reçu à partir d’un filtre où service-filter-hit une action a été appliquée.

source-address address [ except ]

Correspondance avec l’adresse IPv6 du nœud source qui envoie le paquet, sauf si except l’option est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions et les addresssource-address assortir dans un même terme.

source-class class-names

Indiquez un ou plusieurs noms de classe source spécifiés (ensembles de préfixes source regroupés et nommés par un nom de classe).

Pour plus d’informations, consultez le filtrage des conditions de correspondance du pare-feu en fonction des classes d’adresse.

source-class-except class-names

Ne faites pas correspondre un ou plusieurs noms de classe source spécifiés. Pour plus d’informations, consultez la source-class condition de correspondance.

source-port number

Faire correspondre le champ de port source UDP ou TCP.

Vous ne pouvez pas port spécifier et source-port assortir les conditions dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition ou de la correspondance dans le même terme pour spécifier le protocole utilisé next-header udpnext-header tcp sur le port.

Remarque :

Pour Junos OS evolved, vous devez configurer l’énoncé de correspondance ou de correspondance next-headernext-header tcp dans le même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte répertoriées avec la destination-port number condition de correspondance.

source-port-except number

Ne pas correspondre au champ de port source UDP ou TCP. Pour plus d’informations, consultez la source-port condition de correspondance.

source-prefix-list name [ except ]

Correspondz au préfixe d’adresse IPv6 du champ source du paquet, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe d’adresse IPv6 du champ source du paquet.

Indiquez un nom de liste de préfixe défini au niveau [edit policy-options prefix-list prefix-list-name] de la hiérarchie.

tcp-established

Assortir les paquets TCP autres que le premier paquet d’une connexion. Il s’agit d’une synonymétrie de texte pour tcp-flags "(ack | rst)"0x14 ().

Remarque :

Cette condition ne vérifie pas implicitement que le protocole est TCP. Pour vérifier cela, spécifiez la protocol tcp condition de correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer cette condition de next-header tcp correspondance dans le même terme.

tcp-flags flags

Faire correspondre un ou plusieurs des 6 bits de faible commande dans le champ des indicateurs TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimale suivantes:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques sur le champ bit.

Pour voir les conditions de correspondance sur le terrain combinées, consultez tcp-established les tcp-initial conditions de correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition de correspondance dans le même terme pour spécifier que le protocole TCP est next-header tcp utilisé sur le port.

tcp-initial

Correspondre au paquet initial d’une connexion TCP. Il s’agit d’un synonyme de texte pour tcp-flags "(!ack & syn)" .

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer cette condition de next-header tcp correspondance dans le même terme.

traffic-class number

Correspondent au champ de 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique de 0 par 63 . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure 0x comme préfixe. Pour spécifier la valeur dans un format binaire, inclure b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code: ef(46).

  • RFC 2597, groupe PHB (Assured Forwarding PHB Group),définit 4 classes, avec 3 préséances d’abandon pour un total de 12 points de code:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

traffic-class-except number

Ne faites pas correspondre au champ 8 bits qui spécifie la CoS priorité du paquet. Pour plus d’informations, consultez la traffic-class description de la correspondance.

Remarque :

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (la , ou les conditions de correspondance), utilisez la syntaxe pour les représentations de texte décrites dans addressdestination-addresssource-address RFC 4291, IP Version 6 Addressing Architecture. Pour plus d’informations sur les adresses IPv6, consultez la présentation d’IPv6 et les normes IPv6 prise en charge.

Tableau de l'historique des versions
Version
Description
13.3R6
La prise en charge de la condition de correspondance du pare-feu est disponible Junos OS next-header version 13.3R6 et ultérieures.