Conditions de correspondance du filtre de pare-feu pour le trafic IPv6

Faites correspondre le champ d’adresse source ou de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ d’adresse source ou de destination IPv6.

Spécifiez les groupes dont vous souhaitez hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe sont prioritaires sur les données des groupes suivants.

Spécifiez les groupes dont vous ne souhaitez pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.

Faites correspondre le champ de l’adresse de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ Adresse de destination IPv6.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et destination-address dans address le même terme.

Faites correspondre un ou plusieurs noms de classe de destination spécifiés (ensembles de préfixes de destination regroupés et dotés d’un nom de classe).

Pour plus d’informations, reportez-vous à la section Conditions de correspondance du filtre de pare-feu en fonction des classes d’adresses.

Ne faites pas correspondre un ou plusieurs noms de classe de destination spécifiés. Pour plus de détails, voir la condition de destination-class correspondance.

Faites correspondre le champ Port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et destination-port dans port le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

Ne correspond pas au champ Port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

Faites correspondre le préfixe de destination IPv6 à la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie.

Faites correspondre un type d’en-tête d’extension contenu dans le paquet en identifiant une valeur d’en-tête suivant.

Dans le premier fragment d’un paquet, le filtre recherche une correspondance dans l’un des types d’en-tête d’extension. Lorsqu’un paquet avec un en-tête de fragment est trouvé (un fragment suivant), le filtre recherche uniquement une correspondance du type d’en-tête d’extension suivant, car l’emplacement des autres en-têtes d’extension est imprévisible.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) ou routing (43).

Pour faire correspondre n’importe quelle valeur de l’option d’en-tête d’extension, utilisez le synonyme anyde texte .

Pour les routeurs MX Series avec MPC, initialisez les nouveaux filtres de pare-feu qui incluent cette condition en parcourant la MIB SNMP correspondante.

Faites correspondre le champ d’étiquette de flux de 20 bits dans l’en-tête d’un paquet IPv6. Les valeurs sont comprises entre 0x1 et 0xFFFFF.

Les conditions de correspondance flow-label et next-header ne peuvent pas coexister. Seule l’une ou l’autre de ces conditions de correspondance peut être appliquée à la fois. Pour activer flow-label et désactiver next-header , appliquez la configuration suivante : set firewall v6-flowlabel-enable.

Le tableau suivant récapitule le comportement de la condition de correspondance d’étiquette de flux avec la condition d’en-tête suivant .

En plus de la valeur d’étiquette de flux normale, vous pouvez utiliser une valeur de masque lors de la configuration de la correspondance ; La valeur mask correspond à des bits spécifiques de la valeur Flow-Label donnée.

Ne correspond pas à un type d’en-tête d’extension contenu dans le paquet. Pour plus de détails, voir la condition de extension-headers correspondance.

Longueur de l’entrée d’entier (1..32 bits) ;

(Facultatif) Longueur de l’entrée de chaîne (1..128 bits)

Décalage binaire après le décalage (match-start + octet) (0..7)

Décalage d’octets après le point de départ de la correspondance

Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini

Masquer les bits dans les données de paquet à mettre en correspondance

Point de départ à faire correspondre dans le paquet

Données/chaîne de valeur à mettre en correspondance

Pour plus d’informations, reportez-vous à la section Conditions de correspondance flexibles du filtre de pare-feu .

Longueur des données à apparier en bits (0..32)

Décalage binaire après le décalage (match-start + octet) (0..7)

Décalage d’octets après le point de départ de la correspondance

Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini

Point de départ à faire correspondre dans le paquet

Plage de valeurs à faire correspondre

Ne correspond pas à cette plage de valeurs

Pour plus d’informations, reportez-vous à la section Conditions de correspondance flexibles du filtre de pare-feu .

Faites correspondre la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effort, expedited-forwarding, ou network-control.

Pour plus d’informations sur le transfert de classes et les files d’attente de sortie internes au routeur, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

Ne correspond pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

Faites correspondre la limite de sauts à la limite de sauts spécifiée ou à l’ensemble de limites de sauts. Pour hop-limit, spécifiez une valeur unique ou une plage de valeurs comprise entre 0 et 255.

Pris en charge sur les interfaces hébergées sur des MIC ou MPC dans les routeurs MX Series uniquement.

Ne faites pas correspondre la limite de sauts à la limite de sauts spécifiée ou à l’ensemble de limites de sauts. Pour plus de détails, voir la condition de hop-limit correspondance.

Pris en charge sur les interfaces hébergées sur des MIC ou MPC dans les routeurs MX Series uniquement.

Faites correspondre le champ Code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

• problème_paramètre : ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• dépassement de temps : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• destination-inaccessible : administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

Ne correspond pas au champ Code de message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

Faites correspondre le champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1 echo-reply ), (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre crochets.

Ne correspond pas au champ Type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

Faites correspondre l’interface sur laquelle le paquet a été reçu.

Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces spécifié ou à l’ensemble de groupes d’interfaces. Pour group-number, spécifiez une valeur unique ou une plage de valeurs comprise entre 0 .255

Pour affecter une interface logique à un groupe group-numberd’interfaces, spécifiez le au niveau de group-number la [interfaces interface-name unit number family family filter group] hiérarchie.

Pour plus d’informations, consultez Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.

Ne faites pas correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, voir la condition de interface-group correspondance.

Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un jeu d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie.

Pour plus d’informations, reportez-vous à la section Présentation du filtrage des paquets reçus sur un jeu d’interfaces.

Faites correspondre le champ d’option IP 8 bits, s’il est présent, à la valeur ou à la liste de valeurs spécifiée.

À la place d’une valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs d’option sont également répertoriées) : loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Pour faire correspondre n’importe quelle valeur de l’option IP, utilisez le synonyme anyde texte . Pour effectuer une correspondance sur plusieurs valeurs, spécifiez la liste des valeurs entre crochets ('[' et ']'). Pour faire correspondre une plage de valeurs, utilisez la spécification [ value1-value2 ]de valeur .

Par exemple, la condition ip-options [ 0-147 ] de correspondance correspond à un champ d’options IP qui contient les loose-source-routevaleurs , record-routeou , ou security toute autre valeur comprise entre 0 et 147. Toutefois, cette condition de correspondance ne correspond pas à un champ d’options IP qui contient uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme de filtre qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques (une valeur autre que any) entraîne l’envoi de paquets au moteur de routage afin que le noyau puisse analyser le champ d’option IP dans l’en-tête du paquet.

• Pour un terme de filtre de pare-feu qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les actions , logou syslog non d’arrêtcount, sauf si vous spécifiez également l’action d’arrêt discard dans le même terme. Ce comportement empêche le double comptage des paquets pour un filtre appliqué à une interface de transit sur le routeur.

• Les paquets traités sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour vous assurer que les paquets correspondants sont plutôt envoyés au moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la ip-options any condition de correspondance.

Le concentrateur de port modulaire (MPC) 10 Gigabit Ethernet, le MPC 100 Gigabit Ethernet, le MPC 60 Gigabit Ethernet, le MPC Ethernet de file d’attente 60 Gigabit et le MPC de file d’attente améliorée Ethernet 60 Gigabit sur les routeurs MX Series sont capables d’analyser le champ d’option IP de l’en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets mis en correspondance à l’aide de la ip-options condition de correspondance sont envoyés au moteur de transfert de paquets pour traitement.

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiée. Pour plus d’informations sur la spécification de , valuesreportez-vous à la condition de ip-options correspondance.

Faites correspondre le niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-high, ou high.

Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et les routeurs et commutateurs EX Series et MX Series.

Pour le trafic IP sur les routeurs M320, MX Series, T Series et les commutateurs EX Series avec des concentrateurs PIC flexibles (FPC) II améliorés, vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction n’est tri-color pas activée, vous ne pouvez configurer que les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction, reportez-vous à la tri-colorsection Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

Ne correspond pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

Faites correspondre le premier champ Next Header de 8 bits du paquet. La prise en charge de la next-header condition de correspondance de pare-feu est disponible à partir de Junos OS version 13.3R6.

Faites correspondre le premier champ Next Header de 8 bits du paquet.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Ne faites pas correspondre le champ En-tête suivant de 8 bits qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

Faites correspondre la longueur du paquet reçu, en octets. La longueur fait uniquement référence au paquet IP, y compris l’en-tête du paquet, et n’inclut aucune surcharge d’encapsulation de couche 2.

Ne correspond pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Faites correspondre le type de protocole de charge utile.

À la place de la protocol-type valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : Spécifiez un ou plusieurs des éléments suivants : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-headerospf , (89), pim (103), routingrsvp , (46), sctp (132), tcp (6), udp (17) ou vrrp (112) (dstopts (60), fragment (44), saut par saut 0) et routage ne sont pas disponibles dans Junos OS version 16.1 et ultérieure).

Vous pouvez également utiliser cette payload-protocol condition pour faire correspondre un type d’en-tête d’extension que le microprogramme Juniper Networks ne peut pas interpréter. Vous pouvez spécifier une plage de valeurs d’en-tête d’extension entre crochets. Lorsque le microprogramme trouve le premier type d’en-tête d’extension qu’il ne peut pas interpréter dans un paquet, la payload-protocol valeur est définie sur ce type d’en-tête d’extension. Le filtre de pare-feu examine uniquement le premier type d’en-tête d’extension que le microprogramme ne peut pas interpréter dans le paquet.

Ne correspond pas au type de protocole de charge utile. Pour plus de détails, voir le type de payload-protocol correspondance.

Faites correspondre le champ du port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de destination-port correspondance ou la condition de source-port correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Ne correspond pas au champ UDP ou TCP source ou port de destination. Pour plus de détails, voir la condition de port correspondance.

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Correspond à un paquet reçu d’un filtre sur lequel une service-filter-hit action a été appliquée.

Faites correspondre l’adresse IPv6 du nœud source qui envoie le paquet, sauf si cette except option est incluse. Si l’option est incluse, ne correspond pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et source-address dans address le même terme.

Faites correspondre un ou plusieurs noms de classe source spécifiés (ensembles de préfixes de source regroupés et dotés d’un nom de classe).

Pour plus d’informations, reportez-vous à la section Conditions de correspondance du filtre de pare-feu en fonction des classes d’adresses.

Ne correspond pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, voir la condition de source-class correspondance.

Faites correspondre le champ Port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions de correspondance et source-port dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

Ne correspond pas au champ Port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

Faites correspondre le préfixe d’adresse IPv6 du champ source du paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au préfixe d’adresse IPv6 du champ source du paquet.

Spécifiez un nom de liste de préfixes défini au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Faites correspondre les paquets TCP autres que le premier paquet d’une connexion. Il s’agit d’un synonyme textuel de tcp-flags "(ack | rst)" (0x14).

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header tcp correspondance dans le même terme.

Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits.

Pour connaître les conditions de correspondance de champs binaires combinés, reportez-vous à la section et tcp-initial aux conditions de tcp-established correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header tcp correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Correspond au paquet initial d’une connexion TCP. Il s’agit d’un synonyme textuel de tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header tcp correspondance dans le même terme.

Correspond au champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique à partir de 0 .63 Pour spécifier la valeur sous forme hexadécimale, incluez-la 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la b comme préfixe.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : ef(46).

• La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code :

  • af11(10), af12 (12) et af13 (14)

  • af21(18), af22 (20) et af23 (22)

  • af31(26), af32 (28) et af33 (30)

  • af41(34), af42 (36) et af43 (38)

Ne correspond pas au champ 8 bits qui spécifie la priorité CoS du paquet. Pour plus de détails, voir la description du traffic-class match.