Conditions de correspondance du filtre de service pour le trafic IPv4 ou IPv6

address address

Faites correspondre le champ d’adresse IP source ou de destination.

address address except

Ne correspond pas au champ d’adresse IP source ou de destination.

ah-spi spi-value

(routeurs M Series, sauf M120 et M320) Correspondance sur la valeur de l’index des paramètres de sécurité (SPI) de l’en-tête d’authentification IPsec (AH).

ah-spi-except spi-value

(routeurs M Series, sauf M120 et M320) Ne correspond pas à la valeur IPsec AH SPI.

destination-address address

Faites correspondre le champ de l’adresse IP de destination.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance address et destination-address dans le même terme.

destination-address address except

Ne correspond pas au champ de l’adresse IP de destination.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance address et destination-address dans le même terme.

destination-port number

Faites correspondre le champ Port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance port et destination-port dans le même terme.

Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer également l’instruction protocol udp or protocol tcp match dans le même terme pour spécifier le protocole utilisé sur le port.

Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer également la condition de correspondance ou next-header tcp dans le next-header udp même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed (513) ou xdmcp (177).

destination-port-except number

Ne correspond pas au champ Port de destination UDP ou TCP. Pour plus de détails, voir la description du destination-port match.

destination-prefix-list name

Faites correspondre la liste des préfixes de destination. La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie.

esp-spi value

Faites correspondre la valeur SPI de la charge utile de sécurité encapsulating (ESP) IPsec. Spécifiez une valeur unique ou une plage de valeurs. Vous pouvez le spécifier value sous forme hexadécimale, binaire ou décimale. Pour spécifier la valeur sous forme hexadécimale, incluez-la 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la b comme préfixe.

esp-spi-except value

Ne correspond pas à la valeur IPsec ESP SPI ou à la plage de valeurs. Pour plus de détails, voir la condition de esp-spi correspondance.

first-fragment

Correspond si le paquet est le premier fragment d’un paquet fragmenté. Ne pas faire de correspondance si le paquet est un fragment de fin d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de décalage de fragment de 0.

Cette condition de correspondance est un alias pour la condition fragment-offset 0 de correspondance de champ de bits.

Pour faire correspondre à la fois le premier et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes : first-fragment et is-fragment.

forwarding-class

Faites correspondre une ou plusieurs des classes de transfert de paquets spécifiées suivantes :

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

Pour plus d’informations sur le transfert de classes et les files d’attente de sortie internes au routeur, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

forwarding-class-except

Ne correspond pas à une ou plusieurs des classes de transfert de paquets spécifiées suivantes :

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(Entrée uniquement) Faites correspondre le champ d’indicateurs de fragmentation IP à trois bits dans l’en-tête IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des mots-clés suivants (les valeurs de champ sont également répertoriées) : dont-fragment( 0x4), more-fragments (0x2) ou reserved (0x8).

fragment-offset number

Faites correspondre le champ de décalage de fragment de 13 bits dans l’en-tête IP. La valeur est le décalage, en unités de 8 octets, dans le message global du datagramme par rapport au fragment de données. Spécifiez une valeur numérique, une plage de valeurs ou un ensemble de valeurs. Une valeur de décalage de 0 indique le premier fragment d’un paquet fragmenté.

La first-fragment condition de correspondance est un alias de la condition de fragment-offset 0 correspondance.

Pour faire correspondre à la fois le premier fragment et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes (first-fragment et is-fragment).

fragment-offset-except number

Ne correspond pas au champ de décalage de fragment de 13 bits.

interface-group group-number

Faites correspondre le groupe d’interfaces (ensemble d’une ou plusieurs interfaces logiques) sur lequel le paquet a été reçu. Pour group-number, spécifiez une valeur comprise entre 0 .255

Pour plus d’informations sur la configuration des groupes d’interfaces, reportez-vous à la section Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.

interface-group-except group-number

Ne correspond pas au groupe d’interfaces sur lequel le paquet a été reçu. Pour plus de détails, consultez la condition de interface-group correspondance.

ip-options values

Faites correspondre le champ d’option IP 8 bits, s’il est présent, à la valeur ou à la liste de valeurs spécifiée.

À la place d’une valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs d’option sont également répertoriées) : loose-source-route( 131), (7), (148), (130), (136), strict-source-routesecurityrouter-alertrecord-routestream-id (137) ou timestamp (68).

Pour faire correspondre n’importe quelle valeur de l’option IP , utilisez le synonyme anyde texte . Pour effectuer une correspondance sur plusieurs valeurs, spécifiez la liste des valeurs entre crochets ('' et ''[]). Pour faire correspondre une plage de valeurs, utilisez la spécification [ value1-value2 ]de valeur .

Par exemple, la condition ip-options [ 0-147 ] de correspondance correspond à un champ d’options IP qui contient les loose-source-routevaleurs , record-routeou , ou security toute autre valeur comprise entre 0 et 147. Toutefois, cette condition de correspondance ne correspond pas à un champ d’options IP qui contient uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme de filtre qui spécifie une correspondance sur une ou plusieurs valeurs d’option IP spécifiques (une ip-option valeur autre que ) entraîne l’envoi de paquets au moteur de routage afin que anyle noyau puisse analyser le champ d’option IP dans l’en-tête du paquet.

• Pour un terme de filtre de pare-feu qui spécifie une correspondance sur une ip-option ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les actions , ou syslog non d’arrêtcount, logsauf si vous spécifiez également l’action d’arrêt discard dans le même terme. Ce comportement empêche le double comptage des paquets pour un filtre appliqué à une interface de transit sur le routeur (ou le commutateur).

• Les paquets traités sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour vous assurer que les paquets correspondants sont plutôt envoyés au moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la ip-options any condition de correspondance.

Le concentrateur de port modulaire (MPC) 10 Gigabit Ethernet, le MPC Ethernet 60 Gigabit, le MPC Ethernet de file d’attente 60 Gigabit, le MPC de file d’attente améliorée Ethernet 60 Gigabit sur les routeurs MX Series et les commutateurs EX Series sont capables d’analyser le champ d’option IP de l’en-tête de paquet IPv4. Cette fonctionnalité est également prise en charge sur les commutateurs EX Series. Pour les interfaces configurées sur ces MPC, tous les paquets mis en correspondance à l’aide de la ip-options condition de correspondance sont envoyés au moteur de transfert de paquets pour traitement.

ip-options-except values

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiée. Pour plus d’informations sur la spécification de , reportez-vous à la valuescondition de ip-options correspondance.

is-fragment

Correspond si le paquet est un fragment de fin d’un paquet fragmenté. Ne correspond pas au premier fragment d’un paquet fragmenté.

Cette condition de correspondance est un alias pour les bits de condition fragment-offset 0 except de correspondance de champ de bits.

loss-priority

Faites correspondre un ou plusieurs des niveaux de priorité de perte de paquets (PLP) spécifiés suivants :

• low

• medium-low

• medium-high

• high

Le PLP est utilisé par les planificateurs en conjonction avec l’algorithme RED (Random Early Discard) pour contrôler le rejet des paquets pendant les périodes d’encombrement. Pour plus d’informations sur PLP, reportez-vous à la section Gestion de l’encombrement en définissant la priorité de perte de paquets pour différents flux de trafic et Présentation de l’attribution de niveaux de service aux paquets en fonction de plusieurs champs d’en-tête de paquets.

loss-priority-except

Ne faites pas correspondre un ou plusieurs des niveaux de priorité de perte de paquets (PLP) spécifiés suivants :

• low

• medium-low

• medium-high

• high

port number

Faites correspondre le champ du port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de correspondance ou la destination-port condition de source-port correspondance dans le même terme.

Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer également l’instruction protocol udp or protoco tcp match dans le même terme pour spécifier le protocole utilisé sur le port.

Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer également la condition de correspondance ou next-header tcp dans le next-header udp même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

port-except number

Ne correspond pas au champ UDP ou TCP source ou port de destination. Pour plus de détails, voir la condition de port correspondance.

prefix-list prefix-list-name

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée. La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

protocol number

Correspond au champ Type de protocole IP.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah( 51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), udp gredstoptsegpicmpv6icmp6igmpicmpipiphop-by-hopipv6ospffragmentesprsvpsctppimtcp (17) ou vrrp (112).

protocol-except number

Ne correspond pas au champ Type de protocole IP. Pour plus de détails, voir la condition de protocol correspondance.

source-address address

Faites correspondre l’adresse IP source.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance address et source-address dans le même terme.

source-address address except

Ne correspond pas à l’adresse IP source.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance address et source-address dans le même terme.

source-port number

Faites correspondre le champ Port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions de correspondance et source-port dans le même terme.

Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer également l’instruction protocol udp or protocol tcp match dans le même terme pour spécifier le protocole utilisé sur le port.

Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer également la condition de correspondance ou next-header tcp dans le next-header udp même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

source-port-except number

Ne correspond pas au champ Port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

source-prefix-list name

Correspond aux préfixes source dans la liste spécifiée. Spécifiez le nom d’une liste de préfixes définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie ].

tcp-flags value

Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits.

Pour connaître les conditions de correspondance de champs binaires combinés, reportez-vous à la section et tcp-initial aux conditions de tcp-established correspondance.

Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer également l’instruction protocol tcp de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer également la condition de next-header tcp correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.