Conditions de correspondance de filtre paramétrées pour le trafic IPv6

Faites correspondre le champ d’adresse source ou de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ d’adresse source ou de destination IPv6.

Faites correspondre le champ de l’adresse de destination IPv6, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ Adresse de destination IPv6.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et destination-address dans address le même terme.

Faites correspondre le champ Port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et destination-port dans port le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les numéros de port sont également répertoriés) : afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

Ne correspond pas au champ Port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

Faites correspondre le préfixe de destination IPv6 à la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre le préfixe de destination IPv6 à la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie.

Faites correspondre la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effort, expedited-forwarding, ou network-control.

Pour plus d’informations sur le transfert de classes et les files d’attente de sortie internes au routeur, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

Ne correspond pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

Faites correspondre le champ Code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

• problème_paramètre : ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• Temps dépassé : ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

• destination-inaccessible : administratively-prohibited (1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

Ne correspond pas au champ Code de message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

Faites correspondre le champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header icmp condition de correspondance ou next-header icmp6 dans le même terme.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

Pour private-experimentation-201 (201), vous pouvez également spécifier une plage de valeurs entre crochets.

Ne correspond pas au champ Type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

Faites correspondre le niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-high, ou high.

Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et les routeurs et commutateurs EX Series et MX Series.

Pour le trafic IP sur les routeurs M320, MX Series, T Series et les commutateurs EX Series avec des concentrateurs PIC flexibles (FPC) II améliorés, vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction n’est tri-color pas activée, vous ne pouvez configurer que les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction, reportez-vous à la tri-color section Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

Ne correspond pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

Faites correspondre le premier champ Next Header de 8 bits du paquet. La prise en charge de la next-header condition de correspondance de pare-feu est disponible à partir de Junos OS version 13.3R6.

Pour IPv6, nous vous recommandons d’utiliser le payload-protocol terme plutôt que le terme lors de la configuration d’un next-header filtre de pare-feu avec des conditions de correspondance. Bien que l’un ou l’autre puisse être utilisé, payload-protocol fournit la condition de correspondance la plus fiable car il utilise le protocole de charge utile réel pour trouver une correspondance, alors qu’il next-header prend simplement ce qui apparaît dans le premier en-tête suivant l’en-tête IPv6, qui peut ou non être le protocole réel. De plus, s’il next-header est utilisé avec IPv6, le processus de recherche accélérée de bloc de filtre est contourné et le filtre standard est utilisé à la place.

Faites correspondre le premier champ Next Header de 8 bits du paquet.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), igmp icmpv6 (2), ipip (4), (41 ipv6 ), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Ne faites pas correspondre le champ En-tête suivant de 8 bits qui identifie le type d’en-tête entre l’en-tête IPv6 et la charge utile. Pour plus de détails, voir le type de next-header correspondance.

Faites correspondre la longueur du paquet reçu, en octets. La longueur fait uniquement référence au paquet IP, y compris l’en-tête du paquet, et n’inclut aucune surcharge d’encapsulation de couche 2.

Ne correspond pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Faites correspondre le champ du port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de destination-port correspondance ou la condition de source-port correspondance dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous la destination-port condition de correspondance.

Ne correspond pas au champ UDP ou TCP source ou port de destination. Pour plus de détails, voir la condition de port correspondance.

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Correspond à un paquet reçu d’un filtre sur lequel une service-filter-hit action a été appliquée.

Faites correspondre l’adresse IPv6 du nœud source qui envoie le paquet, sauf si cette except option est incluse. Si l’option est incluse, ne correspond pas à l’adresse IPv6 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et source-address dans address le même terme.

Faites correspondre un ou plusieurs noms de classe source spécifiés (ensembles de préfixes de source regroupés et dotés d’un nom de classe). Pour plus d’informations, reportez-vous à la section Conditions de correspondance du filtre de pare-feu en fonction des classes d’adresses.

Ne correspond pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, voir la condition de source-class correspondance.

Faites correspondre le champ Port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions de correspondance et source-port dans le même terme.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la next-header udp condition de correspondance ou next-header tcp dans le même terme pour spécifier le protocole utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

Ne correspond pas au champ Port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

Faites correspondre le préfixe d’adresse IPv6 du champ source du paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au préfixe d’adresse IPv6 du champ source du paquet.

Spécifiez un nom de liste de préfixes défini au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Correspond au champ 8 bits qui spécifie la priorité de classe de service (CoS) du paquet.

Ce champ était auparavant utilisé comme champ de type de service (ToS) dans IPv4.

Vous pouvez spécifier une valeur numérique à partir de 0 . 63 Pour spécifier la valeur sous forme hexadécimale, incluez-la 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la b comme préfixe.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : ef (46).

• La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code :

  • af11(10), af12 (12) et af13 (14)

  • af21(18), af22 (20) et af23 (22)

  • af31(26), af32 (28) et af33 (30)

  • af41(34), af42 (36) et af43 (38)

Ne correspond pas au champ 8 bits qui spécifie la priorité CoS du paquet. Pour plus de détails, voir la description du traffic-class match.