Conditions de correspondance des filtres paramétrés pour le trafic IPv6

Faites correspondre le champ Adresse source ou de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le champ d’adresse source ou de destination IPv6.

Correspond au champ Adresse de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ Adresse de destination IPv6.

Vous ne pouvez pas spécifier à la fois les conditions et les address destination-address conditions de correspondance dans le même terme.

Faites correspondre le champ Port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions et les port destination-port conditions de correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header udp correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les numéros de port sont également répertoriés) : afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

Ne correspond pas au champ Port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

Faites correspondre le préfixe de destination IPv6 à la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie ] .

(Junos OS Evolved) Vous pouvez spécifier prefix-list au niveau de la hiérarchie et [edit dynamic-profiles name policy-options prefix-list prefix-list-name] de la [edit policy-options prefix-list prefix-list-name] liste.

Correspond à la classe de transfert du paquet.

Spécifiez assured-forwarding, , best-effortexpedited-forwardingou network-control.

Pour plus d’informations sur les classes de transfert et les files d’attente de sortie internes au routeur, consultez Présentation de la façon dont les classes de transfert affectent des classes aux files d’attente de sortie.

Ne correspond pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

Faites correspondre le champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de correspondance ou next-header icmp6 dans le next-header icmp même terme.

Si vous configurez cette condition de icmp-type message-type correspondance, vous devez également la configurer dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés par type ICMP auquel ils sont associés :

• problème-paramètre : ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• Dépassement dans le temps : ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

• Destination inaccessible : administratively-prohibited (1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

Ne correspond pas au champ de code de message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

Correspond au champ Type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de correspondance ou next-header icmp6 dans le next-header icmp même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées) : certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), (129 echo-reply ), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre crochets.

Ne correspond pas au champ Type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

Correspond au niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-highou high.

Pris en charge sur les routeurs M120 et M320 ; les routeurs M7i et M10i avec le CFEB-E amélioré ; et les routeurs MX Series et les commutateurs EX Series.

Pour le trafic IP sur les routeurs M320, MX Series T Series et les commutateurs EX Series équipés de concentrateurs PIC flexibles (FPC) Enhanced II, vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction n’est tri-color pas activée, vous pouvez uniquement configurer les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction tri-color , consultez Configuration et application de mécanismes de contrôle de marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Présentation de la façon dont les classes de transfert affectent des classes aux files d’attente de sortie.

Ne correspond pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

Faites correspondre le premier champ En-tête suivant 8 bits du paquet. La prise en charge de la condition de correspondance du next-header pare-feu est disponible à partir de la version 13.3R6 de Junos OS.

Pour IPv6, nous vous recommandons d’utiliser le payload-protocol terme plutôt que le terme lors de la configuration d’un next-header filtre de pare-feu avec des conditions de correspondance. Bien que l’un ou l’autre puisse être utilisé, payload-protocol fournit la condition de correspondance la plus fiable car il utilise le protocole de charge utile réel pour trouver une correspondance, alors que next-header prend simplement ce qui apparaît dans le premier en-tête suivant l’en-tête IPv6, qui peut ou non être le protocole réel. En outre, si next-header est utilisé avec IPv6, le processus accéléré de recherche de bloc de filtre est ignoré et le filtre standard est utilisé à la place.

Faites correspondre le premier champ En-tête suivant 8 bits du paquet.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées) : ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), icmpv6 igmp (2), ipip (4 ipv6 ), (41), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Ne correspond pas au champ En-tête suivant 8 bits qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

Correspond à la longueur du paquet reçu, en octets. La longueur fait uniquement référence au paquet IP, y compris l’en-tête du paquet, et n’inclut pas la surcharge d’encapsulation de couche 2.

Ne correspond pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Correspond au champ UDP ou TCP source ou port de destination.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de destination-port correspondance ou la source-port condition de correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header udp correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous la condition de destination-port correspondance.

Ne correspond pas au champ UDP ou TCP source ou port de destination. Pour plus de détails, voir la condition de port correspondance.

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

(Junos OS Evolved) Vous pouvez spécifier prefix-list au niveau de la hiérarchie et [edit dynamic-profiles name policy-options prefix-list prefix-list-name] de la [edit policy-options prefix-list prefix-list-name] liste.

Correspond à un paquet reçu d’un filtre auquel une service-filter-hit action a été appliquée.

Faites correspondre l’adresse IPv6 du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions et les address source-address conditions de correspondance dans le même terme.

Faites correspondre un ou plusieurs noms de classes sources spécifiés (ensembles de préfixes sources regroupés et dotés d’un nom de classe). Pour plus d’informations, consultez Conditions de correspondance des filtres de pare-feu en fonction des classes d’adresses.

Ne correspondent pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, voir la condition de source-class correspondance.

Faites correspondre le champ Port source UDP ou TCP.

Vous ne pouvez pas spécifier les conditions de port correspondance et source-port dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de next-header udp correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels répertoriés avec la condition de destination-port number correspondance.

Ne correspond pas au champ Port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

Faites correspondre le préfixe d’adresse IPv6 du champ source du paquet, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe d’adresse IPv6 du champ source du paquet.

Spécifiez un nom de liste de préfixes défini au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

(Junos OS Evolved) Vous pouvez spécifier prefix-list au niveau de la hiérarchie et [edit dynamic-profiles name policy-options prefix-list prefix-list-name] de la [edit policy-options prefix-list prefix-list-name] liste. La longueur maximale du préfixe que vous pouvez utiliser est /64.

Faites correspondre le champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique comprise entre 0 et 63. Pour spécifier la valeur sous forme hexadécimale, incluez-la 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la b comme préfixe.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées) :

• La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : ef (46).

• La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences de suppression dans chaque classe, pour un total de 12 points de code :

  • af11(10), af12 (12), af13 (14)

  • af21(18), af22 (20), af23 (22)

  • af31(26), af32 (28), af33 (30)

  • af41(34), af42 (36), af43 (38)

Ne correspond pas au champ 8 bits qui spécifie la priorité CoS du paquet. Pour plus de détails, voir la description du traffic-class match.