Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6トラフィックのファイアウォールフィルター一致条件

Internet Protocol version 6( IPv6)トラフィック(family inet6)の一致条件を持つファイアウォールフィルターを設定できます。

注:

MPCを搭載したMXシリーズルーターでは、対応するSNMP MIB(例: show snmp mib walk name ascii)をウォークすることで、Trio-only一致フィルターのフィルターカウンターを初期化する必要があります。これにより、Junosはフィルターカウンターを学習し、フィルター統計が表示されていることを確認します。このガイダンスは、すべての拡張モードファイアウォール フィルター、柔軟な条件を有するフィルター、特定の終了アクションを有するフィルターに適用されます。詳細については、関連ドキュメントの下に記載されているこれらのトピックを参照してください。

表 1 は、 [edit firewall family inet6 filter filter-name term term-name from] 階層レベルで設定できる一致条件を説明します。

表 1: IPv6トラフィックのファイアウォールフィルター一致条件

一致条件

説明

address address [ except ]

exceptオプションが含まれていない限り、IPv6送信元または宛先アドレスフィールドが一致します。オプションが含まれている場合、IPv6 送信元または宛先アドレス フィールドが一致しません。

apply-groups

設定データを継承するグループを指定します。複数のグループ名を指定できます。継承する優先度順に一覧化する必要があります。最初のグループの設定データは、以降のグループのデータよりも優先されます。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

destination-address address [ except ]

exceptオプションが含まれていない限り、IPv6宛先アドレスフィールドに一致します。オプションが含まれている場合、IPv6宛先アドレスフィールドに一致しません。

同じ条件に addressおよびdestination-address 一致条件を両方指定することはできません。

destination-class class-names

1 つ以上の指定された宛先クラス名(まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット)に一致します。

詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。

destination-class-except class-names

1つ以上の指定された宛先クラス名に一致しません。詳細については、 destination-class一致条件を参照してください。

destination-port number

UDPまたはTCP宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で next-header 一致ステートメントを設定する必要があります。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-port-except number

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port一致条件を参照してください。

destination-prefix-list prefix-list-name [ except ]

exceptオプションが含まれていない限りIPv6宛先プレフィックスを指定されたリストに一致させます。オプションが含まれている場合、指定されたリストのIPv6宛先プレフィックスに一致しません。

プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されます。

extension-headers header-type

次のヘッダー値を識別することによって、パケットに含まれる拡張ヘッダーの種類に一致します。

注:

この一致条件は、MX シリーズ ルーターの MPC でのみサポートされます。

パケットの最初のフラグメントで、フィルターはいずれかの拡張ヘッダー タイプで一致を検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、他の拡張ヘッダーの位置は予測できないため、フィルターは次の拡張ヘッダー タイプの一致のみを検索します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)。

拡張ヘッダー オプションの 任意の 値に一致するには、テキスト シノニム anyを使用します。

MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

first-fragment

パケットが最初のフラグメントである場合に一致します。

 

フローラベル flow label value

IPv6 パケットのヘッダーにある 20 ビットのフローラベルフィールドに一致します。値の範囲は 0x1 から 0xFFFFF です。

フローラベルネクストヘッダー の一致条件は共存できません。これらの一致条件は、一度にいずれか 1 つだけ適用できます。フローラベルを有効にし、ネクストヘッダーを無効にするには、次の設定を適用します。set firewall v6-flowlabel-enable.

次の表は、 フローラベル 一致条件と ネクストヘッダー 条件の動作をまとめたものです。

シナリオ

設定

フィルター構成には

アクション

1

設定なし

フローラベル

フロー ラベルの一致は許可されません。

2

設定なし

ネクストヘッダー

最初の拡張ヘッダーへの次のヘッダーの一致は許可されません。デフォルトは payload-protocol と一致する。

3

次のヘッダーからペイロードプロトコルへのマッピングなし

フローラベル

フロー ラベルの一致は許可されません。

4

次のヘッダーからペイロードプロトコルへのマッピングなし

ネクストヘッダー

最初の拡張ヘッダーへの次のヘッダーの一致が許可されます。

5

v6-flowlabel-enable

フローラベル

フローラベルの一致を許可

6

v6-flowlabel-enable

ネクストヘッダー

最初の拡張ヘッダーへの次のヘッダーの一致は許可されません。デフォルトは payload-protocol と一致する。

注:

v6-flowlabel-enable およびflow-label一致条件は、PTX10001-36MR、PTX10003、PTX10004、PTX10008、および PTX10016 の Junos EVO でのみサポートされています。

フローラベル flow label value マスク mask value

通常の フローラベル 値に加えて、一致を設定する際にマスク値を使用できます。マスク値は、指定された フローラベル 値の特定のビットと一致します。

注:

flow-labelフローラベル値maskマスク値の一致条件は、PTX10001-36MR、PTX10003、PTX10004、PTX10008、および PTX10016 の Junos EVO でのみサポートされています。

extension-headers-except header-type

パケットに含まれている拡張ヘッダーの種類に一致しません。詳細については、 extension-headers一致条件を参照してください。

注:

この一致条件は、MX シリーズ ルーターの MPC でのみサポートされます。

flexible-match-mask value

bit-length

整数入力の長さ(1..32ビット);

(オプション)文字列入力の長さ (1..128 ビット)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-mask-name

定義済みテンプレートフィールドから柔軟な一致を選択します。

mask-in-hex

一致するパケットデータ内のマスクアウトビット

match-start

パケットで一致させる開始ポイント

prefix

一致する値データ/文字列

詳細については、ファイアウォールフィルターの柔軟な一致条件を参照してください。

flexible-match-range value

範囲には、次の形式を使用する必要があります。Integer-Integer

bit-length

一致させるデータの長さ(ビット単位)(0..32)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-range-name

定義済みテンプレートフィールドから柔軟な一致を選択します。

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

値のこの範囲に一致しません

詳細については、ファイアウォールフィルターの柔軟な一致条件を参照してください。

forwarding-class class

パケットの転送クラスに一致します。

assured-forwardingbest-effortexpedited-forwarding、 またはnetwork-control を指定します。

転送クラスとルーター内出力キューについては、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

forwarding-class-except class

パケットの転送クラスに一致しません。詳細については、 forwarding-class一致条件を参照してください。

hop-limit hop-limit

ホップ制限を、指定されたホップ制限またはホップ制限のセットに一致させます。hop-limitの場合、0~255 の単一の値または値の範囲を指定します。

MXシリーズルーターのMICまたはMPCでホストされているインターフェイスでのみサポートされます。

注:

この一致条件は、PTXシリーズルーターで enhanced-mode がルーターに設定されている場合にサポートされます。

hop-limit-except hop-limit

指定されたホップ制限またはホップ制限のセットにホップ制限を一致させません。詳細については、 hop-limit一致条件を参照してください。

MXシリーズルーターのMICまたはMPCでホストされているインターフェイスでのみサポートされます。

注:

この一致条件は、PTXシリーズルーターで enhanced-mode がルーターに設定されている場合にサポートされます。

icmp-code message-code

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:ip6-header-bad( 0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • 宛先到達不能:administratively-prohibited( 1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

icmp-type message-type

ICMPメッセージタイプフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で next-header 一致ステートメントを設定する必要があります。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。certificate-path-advertisement (149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、 echo-reply (129)、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、 inverse-neighbor-discovery-advertisement (142)、 inverse-neighbor-discovery-solicitation (141)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、 neighbor-advertisement (1) 36)、 neighbor-solicit (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 private-experimentation-100 (100)、 private-experimentation-101 (101)、 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)、または time-exceeded (3)。

private-experimentation-201 (201) の場合、角括弧内の値の範囲を指定することもできます。

icmp-type-except message-type

ICMPメッセージタイプフィールドに一致しません。詳細については、 icmp-type一致条件を参照してください。

interface interface-name

パケットを受信したインターフェイスに一致します。

注:

存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。

interface-group group-number

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。[ group-number] には、単一の値、または 0 から 255 の値の範囲を指定します。

インターフェイスグループ に論理インターフェイスを割り当てるにはgroup-number、 階[interfaces interface-name unit number family family filter group]層レベルgroup-numberで を指定します。

詳細については、インターフェイスグループのセットで受信したパケットのフィルタリングの概要を参照してください。

interface-group-except group-number

指定されたインターフェイスグループまたはインターフェイス グループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 interface-group一致条件を参照してください。

interface-set interface-set-name

指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。

インターフェイスセットを定義するには、 階[edit firewall]層レベルに ステートinterface-setメントを含めます。

詳細については、インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

ip-options values

指定された値または値のリストに、8ビットIPオプション フィールドを一致させます。

数値の代わりに、以下のテキスト同義語(オプション値も記載されています)のいずれかを指定することができます。loose-source-route (131)、record-route (7)、router-alert (148)、security (130)、stream-id (136)、strict-source-route (137)、またはtimestamp (68).

IPオプションの任意の値に一致させるには、テキスト同義語any を使用します。複数の値に一致するには、角括弧内の値(「[」と「]」)のリストを指定します。値の範囲に一致するには、値指定value1-value2 ] を指定します。

例えば、一致条件ip-options [ 0-147 ] は 、loose-source-routerecord-route または security値、あるいは0~147のその他の値を含むIPオプションフィールドで一致します。ただし、この一致条件は、 router-alert値(148)のみを含むIPオプション フィールドでは一致しません。

ほんどのインターフェイスでは、1つ以上の特定の IPオプション値( 以外の値any)で 一ip-option致を指定するフィルター条件によって、カーネルがパケットヘッダーのIPオプションフィールドを解析できるように、パケットはルーティングエンジンに送信されます。

  • 1つ以上の特定のIPオプション値で 一ip-option致を指定するファイアウォールフィルター条件では、同じ条件で discard終了アクションも指定しない限りcountlog、またはsyslog非終了アクションを指定できません。この動作では、ルーター上のトランジットインターフェイスに適用されるフィルターのパケットの二重カウントを防ぐことができます。

  • カーネルで処理されたパケットは、システムボトルネックのケースでは破棄される場合があります。一致したパケットがパケット転送エンジンに送信されるようにするには、 ip-options any一致条件を使用します。

MXシリーズルーターの10ギガビットイーサネットMPC(モジュラー型ポートコンセントレータ)、100ギガビットイーサネットMPC、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、60ギガビットイーサネット拡張キューイングMPCは、IPv4パケットヘッダーのIPオプションフィールドを解析できます。これらのMPC で設定されたインターフェイスでは、 ip-options一致条件を使用して一致するすべてのパケットが処理のためパケット転送エンジンに送信されます。

ip-options-except values

指定された値または値のリストにIPオプション フィールドに一致しません。values の指定に関する詳細については、 ip-options一致条件を参照してください。

is-fragment

パケットがフラグメントの場合に一致します。

 

last-fragment

パケットが最後のフラグメントである場合に一致します。

 

loss-priority level

PLP(パケット損失の優先度)レベルに一致します。

単一のレベルまたは複数のレベルを指定します。lowmedium-lowmedium-high、またはhigh

M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーターとEXシリーズスイッチ。

拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MX  シリーズ、Tシリーズルーター、EXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、[edit class-of-service]階層レベルにtri-colorステートメントを含める必要があります。tri-colorステートメントが有効になっていない場合、highおよび lowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

tri-colorステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

loss-priority-except level

PLPレベルに一致しません。詳細については、 loss-priority一致条件を参照してください。

next-header header-type

パケットの最初の 8 ビットの Next Header フィールドに一致します。next-headerファイアウォール一致条件のサポートは、Junos OSリリース13.3R6以降で利用可能です。

注:

MX プラットフォームには、パケット内の最初の NH(ネクスト ヘッダー)に一致する next-header 一致があり、最後の NH と一致する payload-protocol があります。一方、EVO-PTXプラットフォームは、最後のNHで next-header 試合をサポートしましたが、最初のNHではサポートしませんでした。最も一般的な使用例は、最後のNHと一致することであり、これはPTXプラットフォームにネイティブでした。これで、 next-header は最初のNHと一致し、 payload-protocol は最後のNHと一致し、MXプラットフォームと同じように動作します。WAN インターフェイスのファイアウォールで IPv6 フィルター next-header 句を使用している場合は、新しい動作に合わせてファイアウォールを確認し、変更する必要があります。この変更は、Junos OS Evolvedバージョンで導入されました。

  • 21.4R2-S1-EVO、21.4R2-S2-EVO、21.4R3-S1-EVOおよびそれ以降

  • 21.4R3-EVOを除外

  • 22.2R2-EVO

  • 22.3R1-EVO

パケットの最初の 8 ビットの Next Header フィールドに一致します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah( 51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp  (17)、または vrrp (112)。

注:
  • next-header icmp6 および next-header icmpv6 一致条件は同じ機能を実行します。 next-header icmp6 が推奨されるオプションです。 next-header icmpv6 は、Junos OS CLI で非表示になっています。

  • Junos OS Evolvedを実行しているQFX5000 シリーズ デバイスでは、 next-header 一致は ERACLv6 ではサポートされません。代わりに、 payload-protocol 一致を設定する必要があります。

next-header-except header-type

IPv6ヘッダーとペイロード間のヘッダーのタイプを識別する8ビットのNext Headerフィールドに一致しません。詳細については、 next-header一致タイプを参照してください。

packet-length bytes

受信したパケットの長さに一致します(バイト単位)。長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。

packet-length-except bytes

受信したパケットの長さに一致しません(バイト単位)。詳細については、 packet-length一致タイプを参照してください。

payload-protocol protocol-type

ペイロードプロトコルタイプに一致します。

protocol-type数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。次のいずれかまたはセットを指定します。ah( 51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58、 igmp (2)、 ipip (4)、 ipv6 (41)、 no-next-headerospf (89)、 pim (103)、 routingrsvp (46)、 sctp (132)、 tcp (6)、 udp (17)、または vrrp (112)(dstopts(60)、フラグメント(44)、ホップバイホップ0)、およびルーティングはJunos OSリリース16.1以降では使用できません)。

また、 payload-protocol 条件を使用して、ジュニパーネットワークスのファームウェアが解釈できない拡張ヘッダータイプと一致させることもできます。拡張ヘッダー値の範囲を角括弧で囲んで指定できます。ファームウェアがパケットで解釈できない最初の拡張ヘッダーの種類を検出すると、 payload-protocol 値はその拡張ヘッダーの種類に設定されます。ファイアウォールフィルターは、ファームウェアがパケットで解釈できない最初の拡張ヘッダータイプのみを調べます。

注:

この一致条件は、MX シリーズ ルーター上の MPC でのみサポートされます。対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

payload-protocol-except protocol-type

ペイロードプロトコルタイプに一致しません。詳細については、 payload-protocol一致タイプを参照してください。

注:

この一致条件は、MX シリーズ ルーター上の MPC でのみサポートされます

port number

UDPまたはTCP送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件またはsource-port 一致条件を設定できません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で next-header 一致ステートメントを設定する必要があります。

数値の代わりに、destination-port の下に記載されているテキスト同義語の1つを指定します。

port-except number

UDPまたはTCP送信元または宛先ポートフィールドに一致しません。詳細については、 port一致条件を参照してください。

prefix-list prefix-list-name [ except ]

exceptオプションが含まれていない限り、指定されたリスト のプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させません。

プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されます。

service-filter-hit

service-filter-hit アクションが適用されたフィルターから受信したパケットに一致します。

source-address address [ except ]

exceptオプションが含まれていない限り、パケットを送信する送信元ノードのIPv6 アドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードのIPv6アドレスに一致しません。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

source-class class-names

1 つ以上の指定された送信元クラス名(まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット)に一致します。

詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。

source-class-except class-names

1 つ以上の指定された送信元クラス名に一致しません。詳細については、 source-class一致条件を参照してください。

source-port number

UDPまたはTCP送信元ポート フィールドに一致します。

同じ項に portおよび source-port一致条件を指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で next-header または next-header tcp 一致ステートメントを設定する必要があります。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

source-port-except number

UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 source-port一致条件を参照してください。

source-prefix-list name [ except ]

exceptオプションが含まれていない限りパケット送信元フィールドのIPv6アドレスプレフィックスに一致します。オプションが含まれている場合、パケット送信元フィールドのIPv6アドレスプレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name]階層レベルで定義されたプレフィックスリスト名を指定します。

tcp-established

接続の最初のパケット以外の TCP パケットに一致します。これは、 tcp-flags "(ack | rst)" (0x14)のテキスト同義語です。

注:

この条件は、プロトコルが TCPであることを暗示的に確認しません。これを確認するには、 protocol tcp一致条件を指定します。

この一致条件を設定した場合、同じ条件で next-header tcp一致条件も設定することをお勧めします。

tcp-flags flags

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、 tcp-establishedおよび tcp-initial一致条件を参照してください。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header tcp 一致条件を設定することもお勧めします。

tcp-initial

TCP接続の最初のパケットに一致します。これは tcp-flags "(!ack & syn)"のテキスト同義語です。

この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で next-header tcp一致条件も設定することをお勧めします。

traffic-class number

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールドに一致します。

このフィールドは、以前は IPv4 の type-of-service(ToS)フィールドとして使用されていました。

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

traffic-class-except number

パケットのCoSプライオリティを指定する8ビットフィールドに一致しません。詳細については、 traffic-class 一致の説明を参照してください。

注:

一致条件( addressdestination-address、または source-address 一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング・アーキテクチャーで説明されているテキスト表現の構文  を使用してください。IPv6 アドレスの詳細については、「 IPv6 の概要 」および 「サポートされている IPv6 標準」を参照してください。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
13.3R6
next-headerファイアウォール一致条件のサポートは、Junos OSリリース13.3R6以降で利用可能です。