Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 トラフィックのファイアウォール フィルター一致条件

Internet Protocol version 6(IPv6)トラフィック(family inet6)の一致条件でファイアウォールフィルターを設定できます。

注:

MPCを搭載したMXシリーズルーターでは、例えば show snmp mib walk name ascii、対応するSNMP MIBをウォークすることで、Trioのみの一致フィルターのフィルターカウンターを初期化する必要があります。これにより、Junos はフィルター カウンターを学習し、フィルター統計が表示されていることを確認します。このガイダンスは、すべての拡張モード ファイアウォール フィルター、柔軟な条件を持つフィルター、および特定の終了アクションを持つフィルターに適用されます。詳細については、関連ドキュメントの下に記載されているこれらのトピックを参照してください。

表 1 では、 階層レベルで [edit firewall family inet6 filter filter-name term term-name from] 設定できる一致条件について説明します。

表 1: IPv6 トラフィックのファイアウォール フィルター一致条件

一致条件

説明

address address [ except ]

オプションが含まれていない限り、IPv6 送信元または宛先アドレス フィールドに except 一致します。オプションが含まれている場合、IPv6 送信元または宛先アドレス フィールドに一致しません。

apply-groups

設定データを継承するグループを指定します。複数のグループ名を指定できます。継承優先度順に一覧表示する必要があります。最初のグループの設定データは、後続のグループのデータよりも優先されます。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

destination-address address [ except ]

オプションが含まれていない限り、IPv6 宛先アドレス フィールドに except 一致します。オプションが含まれている場合、IPv6 宛先アドレス フィールドに一致しません。

同じ条件に address および destination-address 一致条件の両方を指定することはできません。

destination-class class-names

1 つ以上の指定された宛先クラス名(まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット)に一致します。

詳細については、 アドレスクラスに基づくファイアウォールフィルター一致条件を参照してください

destination-class-except class-names

1 つ以上の指定された宛先クラス名に一致しません。詳細については、 一致条件を destination-class 参照してください。

destination-port number

UDP または TCP 宛先ポート フィールドに一致します。

同じ条件に port および destination-port 一致条件の両方を指定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

注:

Junos OS Evolvedでは、同じ条件で match ステートメントを設定 next-header する必要があります。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67) cmd 、(514) cvspserver 、(2401) dhcp 、(67)、 domain (53)、 eklogin (21 05、 ekshell (2106)、 exec (512)、 finger (79) ftp 、(21)、 ftp-data (20)、 http (80) https 、(443) ident 、(113)、 imap (143) kerberos-sec (88)、(543) kpasswdklogin 、(761)、 krb-prop (754)、 krbupdate (760) kshell 、(544) ldap 、(389) ldp 、(646) login 、(513) mobileip-agent 、(434) mobilip-mn 、(435) msdp 、(639) netbios-dgm 、(138) netbios-ns 、(137)、(139) netbios-ssn 、(2049) nfsdnntp 、(119)、(58) ntalkntp (123)、 pop3 (110)、 pptp (1723)、 printer (515) radacct 、(1813) radius 、(1812) rip 、(520) rkinit 、(2108) smtp 、(25)、(161) snmp 、(162) snmptrapsnpp 、(44 4)、 socks (1080) ssh 、(22)、 sunrpc (111) syslog 、(514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) tftptimed (525)、(513) who 、またはxdmcp(177)。

destination-port-except number

UDP または TCP 宛先ポート フィールドに一致しません。詳細については、 一致条件を destination-port 参照してください。

destination-prefix-list prefix-list-name [ except ]

オプションが含まれていない限り、IPv6 宛先プレフィックスを指定されたリストにexcept一致させます。オプションが含まれている場合、IPv6 宛先プレフィックスを指定されたリストに一致しません。

プレフィックスリストは、 ] 階層レベルで [edit policy-options prefix-list prefix-list-name定義されます。

extension-headers header-type

次のヘッダー値を識別することにより、パケットに含まれる拡張ヘッダータイプに一致します。

注:

この一致条件は、MXシリーズルーターのMPCでのみサポートされています。

パケットの最初のフラグメントでは、フィルターは、任意の拡張機能ヘッダー タイプで一致するものを検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、フィルターは、他の拡張機能ヘッダーの場所が予測できないため、次の拡張ヘッダー タイプの一致のみを検索します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)。

拡張ヘッダー オプションの 任意 の値に一致するには、テキスト 同義語 anyを使用します。

MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

first-fragment

パケットが最初のフラグメントの場合に一致します。

 

extension-headers-except header-type

パケットに含まれる拡張ヘッダー タイプに一致しません。詳細については、 一致条件を extension-headers 参照してください。

注:

この一致条件は、MXシリーズルーターのMPCでのみサポートされています。

flexible-match-mask value

bit-length

整数入力の長さ(1..32ビット)、

(オプション)文字列入力の長さ(1..128 ビット)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビット オフセット

byte-offset

一致開始ポイント後のバイト オフセット

flexible-mask-name

定義済みテンプレート フィールドから柔軟に一致するものを選択します。

mask-in-hex

一致させるパケット データ内のビットをマスクアウトする

match-start

パケットで一致させる開始ポイント

prefix

一致させる値データ/文字列

詳細については、 ファイアウォールフィルターフレキシブル一致条件 を参照してください。

flexible-match-range value

範囲は、次の形式を使用する必要があります。Integer-Integer

bit-length

一致させるデータの長さ(ビット単位)(0..32)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビット オフセット

byte-offset

一致開始ポイント後のバイト オフセット

flexible-range-name

定義済みテンプレート フィールドから柔軟に一致するものを選択します。

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

この値の範囲に一致しません

詳細については、 ファイアウォールフィルターフレキシブル一致条件 を参照してください。

forwarding-class class

パケットの転送クラスに一致します。

、 、 best-effortexpedited-forwarding、 または を指定assured-forwardingしますnetwork-control

転送クラスとルーター内部出力キューについては、 転送クラスが出力キューに クラスを割り当てる方法についてを参照してください。

forwarding-class-except class

パケットの転送クラスに一致しません。詳細については、 一致条件を forwarding-class 参照してください。

hop-limit hop-limit

指定されたホップ制限またはホップ制限のセットにホップ制限を一致させます。の場合 hop-limit、単一の値または 0~255 の値の範囲を指定します。

MXシリーズルーターのMICまたはMPCでのみホストされているインターフェイスでサポートされています。

注:

この一致条件は、ルーターで設定されている場合 enhanced-mode 、PTXシリーズルーターでサポートされています。

hop-limit-except hop-limit

指定されたホップ制限またはホップ制限のセットにホップ制限を一致しません。詳細については、 一致条件を hop-limit 参照してください。

MXシリーズルーターのMICまたはMPCでのみホストされているインターフェイスでサポートされています。

注:

この一致条件は、ルーターで設定されている場合 enhanced-mode 、PTXシリーズルーターでサポートされています。

icmp-code message-code

ICMP メッセージ コード フィールドに一致します。

この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmpすることをお勧めします。

この一致条件を設定した場合、同じ条件で 一致条件も設定 icmp-type message-type する必要があります。ICMP メッセージ コードは ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は関連する ICMP メッセージ タイプに依存します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

  • parameter-problem:ip6-header-bad(0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • time-exceeded:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

  • 宛先-到達不能:administratively-prohibited(1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

ICMP メッセージ コード フィールドに一致しません。詳細については、 一致条件を icmp-code 参照してください。

icmp-type message-type

ICMP メッセージ タイプ フィールドに一致します。

この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmpすることをお勧めします。

注:

Junos OS Evolvedでは、同じ条件で match ステートメントを設定 next-header する必要があります。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。certificate-path-advertisement (149)、(148) certificate-path-solicitationdestination-unreachable (1)、 echo-reply (129) echo-request 、(128) home-agent-address-discovery-reply 、(145) home-agent-address-discovery-request 、(144) inverse-neighbor-discovery-advertisement 、(142) inverse-neighbor-discovery-solicitation 、(141) membership-query 、(130) membership-report 、(131)、(132) membership-termination 、(147) mobile-prefix-advertisement-reply 、(146) mobile-prefix-solicitation 、(146) neighbor-advertisement 136、(135) neighbor-solicit 、(140) node-information-replynode-information-request (139) packet-too-big 、(2)、 parameter-problem (4)、 private-experimentation-100 (100) private-experimentation-101 、(101) private-experimentation-200 、(200) private-experimentation-201 、(201) redirect 、(137)、(134) router-advertisement 、(138) router-renumbering 、(133)、 router-solicit または time-exceeded(3)。

private-experimentation-201 (201)では、角括弧内の値の範囲を指定することもできます。

icmp-type-except message-type

ICMP メッセージ タイプ フィールドに一致しません。詳細については、 一致条件を icmp-type 参照してください。

interface interface-name

パケットを受信したインターフェイスに一致します。

注:

存在しないインターフェイスでこの一致条件を設定した場合、条件はどのパケットにも一致しません。

interface-group group-number

指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致します。に対して group-number、単一の値または から までの 0 値の範囲を 255指定します。

インターフェイスグループgroup-numberに論理インターフェイスを割り当てるには、 階層レベルで をgroup-number[interfaces interface-name unit number family family filter group]指定します。

詳細については、 一連のインターフェイス グループで受信したパケットのフィルタリングの概要を参照してください。

interface-group-except group-number

指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致しません。詳細については、 一致条件を interface-group 参照してください。

interface-set interface-set-name

指定されたインターフェイス セットにパケットを受信したインターフェイスに一致します。

インターフェイス セットを定義するには、 階層レベルで interface-set ステートメントを [edit firewall] 含めます。

詳細については、 インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

ip-options values

8 ビット IP オプション フィールドが存在する場合は、指定された値または値のリストに一致します。

数値の代わりに、以下のテキスト シノニム(オプション値も記載されています)のいずれかを指定します。loose-source-route(131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)、strict-source-route(137)、または timestamp(68)。

IP オプション の任意 の値に一致するには、テキスト 同義語 anyを使用します。複数の値に一致するには、角括弧内の値のリストを指定します('[' と ']')。値の 範囲 に一致するには、値指定を使用します value1-value2 ]

例えば、一致条件ip-options [ 0-147 ]は、 、 、record-routeまたは security の値、または 0~147 のその他の値を含む loose-source-routeIP オプション フィールドで一致します。ただし、この一致条件は、値(148)のみを router-alert 含む IP オプション フィールドでは一致しません。

ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外anyの値)で一致を指定ip-optionするフィルター条件により、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるように、パケットがルーティング エンジンに送信されます。

  • 1 つ以上の特定の IP オプション値で一致をip-option指定するファイアウォール フィルター条件では、同じ条件で終了アクションも指定しない限り、 、 log、または syslog 非終了アクションを指定countdiscardできません。この動作により、ルーター上のトランジット インターフェイスに適用されるフィルターのパケットの二重カウントが防止されます。

  • カーネルで処理されたパケットは、システムボトルネックが発生した場合に破棄されることがあります。一致したパケットがパケット転送エンジンに送信されるようにするには、 一致条件を ip-options any 使用します。

MX シリーズ ルーターの 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、100 ギガビット イーサネット MPC、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。これらのMPCに設定されたインターフェイスでは、 一致条件を使用してip-options一致したすべてのパケットが処理のためにパケット転送エンジンに送信されます。

ip-options-except values

指定された値または値のリストに IP オプション フィールドに一致しません。の指定 valuesの詳細については、 一致条件を ip-options 参照してください。

is-fragment

パケットがフラグメントの場合に一致します。

 

last-fragment

パケットが最後のフラグメントである場合に一致します。

 

loss-priority level

PLP(パケット損失の優先度)レベルに一致します。

1 つのレベルまたは複数のレベルを指定します。low、 、 medium-lowmedium-high、または high.

M120およびM320ルーターでサポートされています。Enhanced CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。MXシリーズルーターとEXシリーズスイッチです

拡張 II FPC(フレキシブル PIC コンセントレータ)を搭載した M320、MX シリーズ、T シリーズ ルーター、EX シリーズ スイッチの IP トラフィックの場合、指定された 4 つのレベルのいずれかを持つ PLP 設定をコミットするには、 階層レベルに [edit class-of-service] ステートメントを含めるtri-color必要があります。ステートメントがtri-color有効でない場合、 および low レベルのみを設定highできます。これは、すべてのプロトコルファミリーに適用されます。

ステートメントの詳細 tri-color については、 トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定する BA(動作集約)分類子の使用については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

loss-priority-except level

PLP レベルに一致しません。詳細については、 一致条件を loss-priority 参照してください。

next-header header-type

パケットの最初の 8 ビットネクスト ヘッダー フィールドに一致します。ファイアウォールの一致条件の next-header サポートは、Junos OS リリース 13.3R6 以降で利用できます。

注:

MXプラットフォームは、 next-header パケットの最初のネクストヘッダー(NH)と一致し、最後の payload-protocol NHと一致する一致があります。EVO-PTX プラットフォームは前回の NH で一致を next-header サポートしましたが、最初の NH プラットフォームではサポートされていませんでした。最も一般的な使用事例は、前回の NH と一致しており、これは PTX プラットフォームにネイティブなものでした。next-headerこれは最初のNHと一致し、最後のNHとpayload-protocol一致し、MXプラットフォームと同じように動作します。WANインターフェイスのファイアウォールでIPv6フィルター next-header 句を使用している場合は、新しい動作に合わせてファイアウォールを確認および変更する必要があります。この変更は、Junos OS Evolvedバージョンに導入されました。

  • 21.4R2-S1-EVO、21.4R2-S2-EVO、21.4R3-S1-EVO 以降

  • 21.4R3-EVO を除外

  • 22.2R2-EVO

  • 22.3R1-EVO

パケットの最初の 8 ビットネクスト ヘッダー フィールドに一致します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah(51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58) icmpv6 、(58)、 igmp (2)、(4) ipip 、(4) ipv6 1)、 mobility (135)、 no-next-header (59) ospf 、(89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、(17) udp  、または vrrp(112)。

注:
  • next-header icmp6next-header icmpv6 致条件が同じ機能 next-header icmp6 を実行します。は推奨オプションです。 next-header icmpv6 はJunos OS CLIで非表示になっています。

  • Junos OS Evolved実行されているQFX5000シリーズデバイスでは、 next-header ERACLv6では一致はサポートされず、代わりに 一致を payload-protocol 設定する必要があります。

next-header-except header-type

IPv6 ヘッダーとペイロード間のヘッダーのタイプを識別する 8 ビットネクスト ヘッダー フィールドに一致しません。詳細については、 一致タイプを next-header 参照してください。

packet-length bytes

受信したパケットの長さに一致します(バイト単位)。長さはパケットヘッダーを含むIPパケットのみを指し、レイヤー2のカプセル化オーバーヘッドは含まれません。

packet-length-except bytes

受信したパケットの長さに一致しません(バイト単位)。詳細については、 一致タイプを packet-length 参照してください。

payload-protocol protocol-type

ペイロード プロトコル タイプに一致します。

数値の protocol-type 代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。以下のいずれかを指定します。ah(51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、(58、 icmp6igmp (2)、 ipip (4)、 ipv6 (41) no-next-headerospf (89) pim 、(103) routingrsvp (46) sctp 、(132) tcp 、(17) udp 、または vrrp(112)(dstopts(60)、フラグメント(44)、ホップバイホップ 0)、およびルーティングは、Junos OS リリース 16.1 以降では利用できません。

また、 条件を payload-protocol 使用して、Juniper Networks のファームウェアが解釈できない拡張ヘッダー タイプを一致させることができます。拡張ヘッダー値の範囲を角括弧内で指定できます。ファームウェアは、パケットで解釈できない最初の拡張機能ヘッダーの種類を見つけると、 payload-protocol 値がその拡張機能ヘッダーの種類に設定されます。ファイアウォール フィルターは、ファームウェアがパケットで解釈できない最初の拡張ヘッダー タイプのみを検査します。

注:

この一致条件は、MXシリーズルーターのMPCでのみサポートされています。対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

注:

payload-protocol はイングレスフィルターでのみ機能しますが、エグレスフィルターでは機能しません。エグレスフィルターの場合、 next-header を使用する必要があります。

payload-protocol-except protocol-type

ペイロード プロトコル タイプに一致しません。詳細については、 一致タイプを payload-protocol 参照してください。

注:

この一致条件は、MXシリーズルーターのMPCでのみサポートされています

port number

UDP または TCP 送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件または source-port 一致条件を設定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

注:

Junos OS Evolvedでは、同じ条件で match ステートメントを設定 next-header する必要があります。

数値の代わりに、 の下 destination-portに記載されているテキスト同義語の1つを指定します。

port-except number

UDP または TCP 送信元または宛先ポート フィールドに一致しません。詳細については、 一致条件を port 参照してください。

prefix-list prefix-list-name [ except ]

オプションが含まれていない限り、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスをexcept一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致しません。

プレフィックスリストは、 階層レベルで [edit policy-options prefix-list prefix-list-name] 定義されます。

service-filter-hit

アクションが適用されたフィルターから受信したパケットに service-filter-hit 一致します。

source-address address [ except ]

オプションが含まれていない限り、パケットを送信する送信元ノードの IPv6 アドレスに except 一致します。オプションが含まれている場合、パケットを送信する送信元ノードの IPv6 アドレスに一致しません。

同じ条件に address および source-address 一致条件の両方を指定することはできません。

source-class class-names

1 つ以上の指定されたソース クラス名(まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット)に一致します。

詳細については、 アドレスクラスに基づくファイアウォールフィルター一致条件を参照してください

source-class-except class-names

1 つ以上の指定されたソース クラス名に一致しません。詳細については、 一致条件を source-class 参照してください。

source-port number

UDP または TCP 送信元ポート フィールドに一致します。

同じ条件に port および source-port 一致条件を指定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

注:

Junos OS Evolvedでは、同じ条件で または next-header tcp 一致ステートメントを設定next-headerする必要があります。

数値の代わりに、 一致条件で記載されているテキスト同義語の1つを destination-port number 指定できます。

source-port-except number

UDP または TCP 送信元ポート フィールドに一致しません。詳細については、 一致条件を source-port 参照してください。

source-prefix-list name [ except ]

オプションが含まれていない限り、パケット送信元フィールドの IPv6 アドレス プレフィックスにexcept一致します。オプションが含まれている場合、パケット送信元フィールドの IPv6 アドレス プレフィックスに一致しません。

階層レベルで定義されたプレフィックスリスト名を [edit policy-options prefix-list prefix-list-name] 指定します。

tcp-established

接続の最初のパケット以外の TCP パケットを照合します。これは(0x14)のテキスト同義語ですtcp-flags "(ack | rst)"

注:

この条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、 一致条件を protocol tcp 指定します。

この一致条件を設定した場合、同じ条件で 一致条件も設定 next-header tcp することをお勧めします。

tcp-flags flags

TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上に一致します。

個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。

組み合わせたビットフィールド一致条件については、 および tcp-initial 一致条件をtcp-established参照してください。

この一致条件を設定した場合、ポートでTCPプロトコルが使用されていることを指定するために、同じ条件で 一致条件を設定 next-header tcp することもお勧めします。

tcp-initial

TCP 接続の最初のパケットに一致します。これは、 のテキスト同義語です tcp-flags "(!ack & syn)"

この条件は、プロトコルがTCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で 一致条件も設定 next-header tcp することをお勧めします。

traffic-class number

パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールドに一致します。

このフィールドは、以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていました。

から 063までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 0x めます。値を 2 進形式で指定するには、プレフィックスとして を含 b めます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。ef(46).

  • RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。

    • af11(10)、 af12 (12)、 af13 (14)

    • af21(18)、 af22 (20)、 af23 (22)

    • af31(26)、 af32 (28)、 af33 (30)

    • af41(34)、 af42 (36)、 af43 (38)

traffic-class-except number

パケットの CoS 優先度を指定する 8 ビット フィールドに一致しません。詳細については、 一致の説明を traffic-class 参照してください。

注:

一致条件( address、 、 destination-address、または source-address 一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング アーキテクチャで説明されているテキスト表現の構文を使用します。IPv6アドレスの詳細については、 IPv6の概要サポートされているIPv6標準を参照してください。

リリース履歴テーブル
リリース
説明
13.3R6
ファイアウォールの一致条件の next-header サポートは、Junos OS リリース 13.3R6 以降で利用できます。