Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 트래픽 방화벽 일치 조건

인터넷 프로토콜 버전 4(IPv4) 트래픽(family inet) 일치 조건으로 방화벽 필터를 구성할 수 있습니다.

주:

MPC를 포함하고 있는 MX 시리즈 라우터의 경우, 해당 SNMP MIB(예: show snmp mib walk name ascii)을(를) 살펴봄으로써 관리 정보 베이스(MIB)의 트리오 전용 일치 필터에 대한 필터 카운터를 초기화해야 합니다. 이는 Junos가 필터 카운터를 학습하도록 강요하고 필터 통계가 표시되도록 보장합니다(이는 통계를 필터링하기 위한 첫 번째 폴이 모든 카운터를 나타내지 않을 수 있기 때문입니다.). 이 지침은 향상된 모드 방화벽 필터, 유연한 조건을 가진 필터 및 특정 종료 동작을 가진 필터에 모두 적용됩니다. 자세한 내용은 관련 문서에 나열된 주제를 참조하십시오.

표 1에는 계층 match-conditions수준에서 구성할 수 있는 이(가) [edit firewall family inet filter filter-name term term-name from]설명되어 있습니다.

표 1: IPv4 트래픽 방화벽 일치 조건

일치 조건

설명

address address [ except ]

except 옵션이 포함되어 있지 않는 한 IPv4 소스 또는 대상 주소 필드를 일치시킵니다. 옵션이 포함되어 있는 경우, IPv4 소스 또는 대상 주소 필드를 일치시키지 마십시오.

except 변경 도구는 EX2300 및 EX3400 플랫폼에서 지원되지 않습니다.

ah-spi spi-value

(M120 및 M320을 제외한 M 시리즈 라우터) IPsec 인증 헤더(AH) 보안 매개변수 색인(SPI) 값을 일치시킵니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

ah-spi-except spi-value

(M120 및 M320을 제외한 M 시리즈 라우터) IPsec AH SPI 값을 일치시키지 마십시오.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

apply-groups

구성 데이터를 상속하는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다. 상속 우선순위를 순서대로 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선권을 갖습니다.

apply-groups-except

구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다.

destination-address address [ except ]

except 옵션이 포함되어 있지 않는 한 IPv4 대상 주소 필드를 일치시킵니다. 옵션이 포함되어 있는 경우, IPv4 대상 주소 필드를 일치시키지 마십시오.

동일한 용어에 addressdestination-address 일치 조건을 모두 지정할 수 없습니다.

destination-class class-names

하나 이상의 지정된 대상 클래스 이름을 일치시킵니다(함께 그룹화되고 클래스 이름이 부여된 대상 접두사 집합). 자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오.

destination-class-except class-names

하나 이상의 지정된 대상 클래스 이름을 일치시키지 마십시오. 자세한 내용은 destination-class 일치 조건을 참조하십시오.

destination-port number

UDP 또는 TCP 대상 포트 필드를 일치시킵니다.

동일한 용어에 portdestination-port 일치 조건을 모두 지정할 수 없습니다.

일치 조건에 기반하여 포트를 구성할 때 동일한 필터 용어에 protocol udp또는 protocol tcp일치 문을 구성해야 합니다. 포트 값만 일치시키면 예기치 않은 일치가 발생할 수 있습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-port-except number

UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 destination-port 일치 조건을 참조하십시오.

destination-prefix-list name [ except ]

except 옵션이 포함되어 있지 않는 한 지정된 목록에 있는 대상 접두사를 일치시킵니다. 옵션이 포함되어 있는 경우, 지정된 목록에 대상 접두사를 일치시키지 마십시오.

[edit policy-options prefix-list prefix-list-name 계층 수준에 정의되어 있는 접두사 목록의 이름을 지정합니다.

dscp number

DSCP(Differentiated Services Code Point)를 일치시킵니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. 자세한 내용은 행동 집계(BA) 분류자가 트러스트 트래픽을 우선순위 지정하는 방법 이해하기를 참조하십시오.

DSCP(Differentiated Services Code Point) 필터링 및 GRE(Generic Routing Encapsulation)에 캡슐화된 IS-IS 패킷을 포함한 라우팅 엔진 소싱 패킷 클래스 포워딩을 위한 지원 기능이 추가되었습니다. 부수적으로, 서비스 등급(CoS) 및 방화벽 필터를 모두 포함하고 DSCP 또는 포워딩 클래스 필터 작업을 모두 포함하는 Junos OS 이전 버전에서 업그레이드할 때 방화벽 필터의 기준이 자동으로 CoS 설정보다 우선시됩니다. 새로운 구성을 생성할 때도 마찬가지입니다. 즉, 동일한 설정이 존재할 경우, 먼저 생성되었는지 여부에 관계없이 방화벽 필터가 CoS보다 우선시됩니다.

0에서 63까지 숫자 값을 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 접두사로 0x을(를) 포함시켜야 합니다. 2진수 형식으로 값을 지정하려면 접두사로 b을(를) 포함시켜야 합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

  • EF(Expedited Forwarding) PHB(Per-Hop Behavior)인 RFC 3246은 하나의 코드 포인트를 정의합니다. ef(46).

  • AF(Assured Forwarding) PHB 그룹인 RFC 2597은 총 12개의 코드 포인트를 위해 각 클래스에 3개의 드롭 전례를 갖는 4개의 클래스를 정의합니다.

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

dscp-except number

DSCP 숫자를 일치시키지 마십시오. 자세한 내용은 dscp 일치 조건을 참조하십시오.

esp-spi spi-value

IPsec ESP(Encapsulating Security Payload) SPI 값을 일치시킵니다. 이 특정 SPI 값을 일치시킵니다. 16진수, 2진수 또는 10진수 형식으로 ESP SPI 값을 지정할 수 있습니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

esp-spi-except spi-value

IPsec ESP SPI 값을 일치시킵니다. 이 특정 SPI 값을 일치시키지 마십시오.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

first-fragment

패킷이 단편화된 패킷의 첫 번째 부분인 경우 일치시킵니다. 패킷이 단편화된 패킷의 마지막 부분인 경우 일치시키지 않습니다. 단편화된 패킷의 첫 번째 부분은 0의 부분 오프셋 값을 갖습니다.

이 일치 조건은 비트 필드 일치 조건인 fragment-offset 0 일치 조건에 대한 별칭입니다.

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어를 사용할 수 있습니다. first-fragmentis-fragment.

flexible-match-mask value

bit-length

비트 단위로 일치할 데이터의 길이, 문자열 입력에 필요하지 않음(0..128)

bit-offset

(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋

byte-offset

일치 시작점 이후의 바이트 오프셋

flexible-mask-name

사전 정의된 템플릿 필드에서 유연한 일치 항목 선택

mask-in-hex

일치할 패킷 데이터에서 비트 마스크 아웃

match-start

패킷 일치 시작점

prefix

일치할 값 데이터/문자열

flexible-match-range value

bit-length

비트 단위로 일치할 데이터의 길이(0..32)

bit-offset

(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋

byte-offset

일치 시작점 이후의 바이트 오프셋

flexible-range-name

사전 정의된 템플릿 필드에서 유연한 일치 항목 선택

match-start

패킷 일치 시작점

range

일치할 값 범위

range-except

이러한 값 범위를 일치시키지 마십시오

forwarding-class class

패킷 포워딩 클래스를 일치시킵니다.

assured-forwarding, best-effort, expedited-forwarding 또는 network-control을(를) 지정합니다.

포워딩 클래스 및 라우터 내부 출력 큐에 대한 내용은 포워딩 클래스가 클래스를 출력 큐로 할당하는 방법 이해하기를 참조하십시오.

forwarding-class-except class

패킷 포워딩 클래스를 일치시키지 마십시오. 자세한 내용은 forwarding-class 일치 조건을 참조하십시오.

fragment-flags number

(수신 전용) IP 헤더의 3비트 IP 단편화 플래그 필드를 일치시킵니다.

숫자 필드 값 대신 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). dont-fragment(0x4), more-fragments(0x2) 또는 reserved(0x8).

fragment-offset value

IP 헤더의 13비트 부분 오프셋 필드를 일치시킵니다. 이 값은 데이터 부분에 대한 전체 데이터그램 메시지의 오프셋(8바이트 단위)입니다. 숫자 값, 값 범위 또는 값 집합을 지정합니다. 0의 오프셋 값은 단편화된 패킷의 첫 번째 부분을 나타냅니다.

first-fragment 일치 조건은 fragment-offset 0 일치 조건에 대한 별칭입니다.

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어(first-fragmentis-fragment)를 사용할 수 있습니다.

fragment-offset-except number

13비트 부분 오프셋 필드를 일치시키지 마십시오.

gre-key range

GRE 키 필드를 일치시킵니다. GRE 키 필드는 GRE 캡슐화 도구에 의해 삽입된 4옥텟 숫자입니다. GRE 캡슐화에 사용하는 선택적 필드입니다. range은(는) 단일 GRE 키 번호 또는 키 숫자 범위가 될 수 있습니다.

MPC를 포함하고 있는 MX 시리즈 라우터의 경우, 해당 SNMP 관리 정보 베이스(MIB)를 살펴봄으로써 이 조건을 포함하는 새로운 방화벽 필터를 초기화합니다.

icmp-code number

ICMP 메시지 코드 필드를 일치시킵니다.

주:

이 일치 조건을 사용할 때, 패킷이 평가되도록 아래에 제시되어 있는 protocol icmp바와 같이 동일한 용어에 일치 조건을 사용해야 icmp합니다.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

또한 동일한 용어에 icmp-type message-type 일치 조건을 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다.

숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.

  • 매개변수 문제: ip-header-bad(0), required-option-missing(1)

  • 리디렉션: redirect-for-host(1), redirect-for-network(0), redirect-for-tos-and-host(3), redirect-for-tos-and-net (2)

  • 시간 초과: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit(0)

  • 도달 불가: communication-prohibited-by-filtering(13), destination-host-prohibited(10), destination-host-unknown(7), destination-network-prohibited(9), destination-network-unknown(6), fragmentation-needed(4), host-precedence-violation(14), host-unreachable(1), host-unreachable-for-TOS(12), network-unreachable(0), network-unreachable-for-TOS(11), port-unreachable(3), precedence-cutoff-in-effect(15), protocol-unreachable(2), source-host-isolated(8), source-route-failed(5)

icmp-code-except message-code

ICMP 메시지 코드 필드를 일치시키지 마십시오. 자세한 내용은 icmp-code 일치 조건을 참조하십시오.

icmp-type number

ICMP 메시지 유형 필드를 일치시킵니다.

주:

이 일치 조건을 사용할 때, 패킷이 평가되도록 아래에 제시되어 있는 protocol icmp바와 같이 동일한 용어에 일치 조건을 사용해야 icmp합니다.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

또한 동일한 용어에 icmp-type message-type 일치 조건을 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다.

주:

Junos OS Evolved의 경우, 동일한 용어에 protocol 일치 문을 구성해야 합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). echo-reply(0), echo-request(8), info-reply(16), info-request(15), mask-request(17), mask-reply(18), parameter-problem(12), redirect(5), router-advertisement(9), router-solicit(10), source-quench(4), time-exceeded(11), timestamp(13), timestamp-reply(14) 또는 unreachable (3).

icmp-type-except message-type

ICMP 메시지 유형 필드를 일치시키지 마십시오. 자세한 내용은 icmp-type 일치 조건을 참조하십시오.

interface interface-name

패킷이 수신된 인터페이스를 일치시킵니다.

주:

존재하지 않는 인터페이스를 사용하여 이 일치 조건을 구성할 경우, 용어는 패킷과 일치하지 않습니다.

interface-group group-number

패킷이 수신된 논리 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시킵니다. group-number의 경우, 단일 값 또는 0~255 값 범위를 지정합니다.

논리 인터페이스를 인터페이스 그룹 에 할당하려면 계층 수준에서 을(를) group-number지정해야 group-number[interfaces interface-name unit number family family filter group]합니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

자세한 내용은 인터페이스 그룹 집합에서 수신된 패킷 필터링 개요를 참조하십시오.

interface-group-except group-number

패킷이 수신된 논리 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시키지 마십시오. 자세한 내용은 interface-group 일치 조건을 참조하십시오.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

interface-set interface-set-name

패킷이 수신된 인터페이스를 지정된 인터페이스 모음과 일치시킵니다.

인터페이스 집합을 정의하려면 계층 수준에서 문을 포함시켜야 interface-set[edit firewall]합니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

자세한 내용은 인터페이스 집합에서 수신된 패킷 필터링 개요를 참조하십시오.

ip-options values

존재하는 경우, 8비트 IP 옵션 필드를 지정된 값 또는 값 목록과 일치시킵니다.

숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(옵션 값도 나열되어 있음). loose-source-route(131), record-route(7), router-alert(148), security(130), stream-id(136), strict-source-route(137) 또는 timestamp(68).

IP 옵션에 대한 모든 값을 일치시키려면 텍스트 동의어 any을(를) 사용해야 합니다. 여러 값을 일치시키려면 대괄호 안에 값 목록( [])을 지정해야 합니다. 값의 범위를 일치시키려면 값 사양 value1-value2 ]을(를) 사용해야 합니다.

예를 들어, 일치 조건 ip-options [ 0-147 ]은(는) loose-source-route, record-route 또는 security 값 혹은 0~147 범위의 다른 값을 포함하는 IP 옵션 필드를 일치시킵니다. 그러나 이 일치 조건은 router-alert 값(148)만 포함하는 IP 옵션 필드를 일치시키 않습니다.

대부분의 인터페이스의 경우, 하나 이상의 특정 IP 옵션 값( ip-option이외의 값)에 대한 일치 값을 지정하는 필터 용어로 인해 패킷이 라우팅 엔진으로 전송되어 any커넬이 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다.

  • 하나 이상의 특정 IP 옵션 값에 대한 일치 ip-option값을 지정하는 방화벽 필터 용어의 경우, 동일한 용어에 종료 동작을 지정하지 않는 한 count, log또는 비 syslog종료 동작을 지정할discard없습니다. 이 동작은 라우터의 트랜짓 인터페이스에 적용된 필터에 대한 패킷의 더블 카운트를 방지합니다.

  • 시스템 병목 현상이 발생할 경우 커널에 처리된 패킷이 드롭됩니다. 대신 일치하는 패킷이 패킷 전달 엔진(하드웨어에서 패킷 처리가 실행되는 장소)으로 전달되도록 보장하려면 ip-options any 일치 조건을 사용해야 합니다.

MX 시리즈의 10기가비트 이더넷 MPC(Modular Port Concentrator), 100기가비트 이더넷 MPC, 60기가비트 이더넷 MPC, 60기가비트 큐잉 이더넷 MPC 및 60기가비트 이더넷 Enhanced 큐잉 MPC는 IPv4 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다. 이러한 MPC에 구성된 인터페이스 경우, ip-options 일치 조건을 사용하여 일치하는 모든 패킷이 처리를 위해 패킷 전달 엔진으로 전송됩니다.

Junos Evolved OS 릴리스 20.2R1부터 ip-options any 일치 조건은 PTX10003 및 PTX10008 시리즈 라우터에서 지원됩니다.

주:
  • MX 시리즈 라우터에서 ip-options을(를) 사용하는 필터 일치 조건은 송신(출력) 필터와 함께 사용할 수 없습니다.
  • M 및 T 시리즈 라우터에서 방화벽 필터는 옵션 유형 및 인터페이스 기준에 따라 ip-options 패킷을 카운트할 수 없습니다. 제한된 해결 방법은 show pfe statistics ip options 명령을 사용하여 PFE 기준에 따라 ip-options 통계를 보는 것입니다. 샘플 출력은 pfe 통계 ip 표시를 참조하십시오.

ip-options-except values

IP 옵션 필드를 지정된 값 또는 값 목록과 일치시키지 마십시오. values 지정에 관한 자세한 내용은 ip-options 일치 조건을 참조하십시오.

is-fragment

이 조건을 사용하면 IP 헤더에 추가 조각 플래그가 활성화된 경우 조각 오프셋이 0이 아닌 경우 및 을 일치시킵니다.

주:

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어(first-fragmentis-fragment)를 사용할 수 있습니다.

loss-priority level

패킷 손실 우선순위(PLP) 수준을 일치시킵니다.

단일 수준 또는 여러 수준을 지정합니다. low, medium-low, medium-high 또는 high

M120 및 M320 라우터, Enhanced CFEB(CFEB-E)가 있는 M7i 및 M10i 라우터 그리고 MX 시리즈 라우터에서 지원됩니다.

Enhanced II FPC(Flexible PIC Concentrator)가 있는 M320, MX 시리즈 및 T 시리즈의 IP 트래픽의 경우, 계층 수준에 문을 포함시켜 4개의 수준이 지정되어 tri-color 있는 PLP 구성을 [edit class-of-service]커밋해야 합니다. tri-color 문이 활성화되어 있지 않은 경우, highlow 수준만 구성할 수 있습니다. 이는 모든 프로토콜 제품군에 적용됩니다.

tri-color 문에 대한 정보는 삼색 마킹 폴리서 구성 및 적용을 참조하십시오. 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용에 관한 내용은 행동 집계(BA) 분류자가 트러스트 트래픽을 우선순위 지정하는 방법 이해하기를 참조하십시오.

loss-priority-except level

PLP 수준을 일치시키지 마십시오. 자세한 내용은 loss-priority 일치 조건을 참조하십시오.

packet-length bytes

수신된 패킷 길이를 바이트로 일치시킵니다. 길이는 패킷 헤더를 포함하여 IP 패킷만 언급하고 모든 레이어 2 캡슐화 오버헤드를 포함하지 않습니다. 또한 일치할 값의 범위를 지정할 수 있습니다.

packet-length-except bytes

수신된 패킷 길이(바이트)를 일치시키지 마십시오. 자세한 내용은 packet-length 일치 유형을 참조하십시오.

port number

UDP 또는 TCP 소스나 대상 포트 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 destination-port 일치 조건 또는 source-port 일치 조건을 구성할 수 없습니다.

일치 조건에 기반하여 포트를 구성할 때 동일한 필터 용어에 protocol udp 또는 protocol tcp 일치 문을 구성해야 합니다. 포트 값만 일치시키면 예기치 않은 일치가 발생할 수 있습니다.

숫자 값 대신, destination-port에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

port-except number

소스 또는 대상 UDP나 TCP 포트 필드를 일치시키지 마십시오. 자세한 내용은 port 일치 조건을 참조하십시오.

precedence ip-precedence-value

IP 우선순위 필드를 일치시킵니다.

숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). critical-ecp(0xa0), flash(0x60), flash-override(0x80), immediate(0x40), internet-control(0xc0), net-control(0xe0), priority(0x20) 또는 routine(0x00). 16진수, 2진수 또는 10진수 형식으로 우선순위를 지정할 수 있습니다.

precedence-except ip-precedence-value

IP 우선순위 필드를 일치시키지 마십시오.

숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). critical-ecp(0xa0), flash(0x60), flash-override(0x80), immediate(0x40), internet-control(0xc0), net-control(0xe0), priority(0x20) 또는 routine(0x00). 16진수, 2진수 또는 10진수 형식으로 우선순위를 지정할 수 있습니다.

prefix-list name [ except ]

except 옵션을 포함하지 않는 한 소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사와 일치시킵니다. 옵션이 포함되어 있는 경우, 소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사와 일치시키지 마십시오.

접두사 목록은 [edit policy-options prefix-list prefix-list-name] 계층 수준에 정의되어 있습니다.

주:

이 일치 조건은 PTX1000 라우터에서는 지원되지 않습니다.

protocol number

IP 프로토콜 유형 필드를 일치시킵니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), dstopts(60), egp(8), esp(50), fragment(44), gre(47), hop-by-hop(0), icmp(1), icmp6(58), icmpv6(58), igmp(2), ipip(4), ipv6(41), ospf(89), pim(103), rsvp(46), sctp(132), tcp(6), udp(17) 또는 vrrp(112).

protocol-except number

IP 프로토콜 유형 필드를 일치시키지 마십시오. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), dstopts(60), egp(8), esp(50), fragment(44), gre(47), hop-by-hop(0), icmp(1), icmp6(58), icmpv6(58), igmp(2), ipip(4), ipv6(41), ospf(89), pim(103), rsvp(46), sctp(132), tcp(6), udp (17) 또는 vrrp(112).

rat-type tech-type-value

Proxy Mobile IPv4(PMIPv4) 액세스 기술 유형 확장에 대한 8비트 Tech-Type 필드에 지정되어 있는 RAT(Radio Access Technology) 유형을 일치시킵니다. 기술 유형은 디바이스 액세스 기술을 지정하며 이를 통해 모바일 디바이스가 액세스 네트워크와 연결됩니다.

단일 값, 값 범위 또는 값 집합을 지정합니다. 0~255 범위의 숫자 값 또는 시스템 키워드로 기술 유형을 지정할 수 있습니다.

  • 다음 숫자 값은 잘 알려진 기술 유형의 예입니다.

    • 숫자 값 1은 IEEE 802.3과 일치합니다.

    • 숫자 값 2는 IEEE 802.11a/b/g와 일치합니다.

    • 숫자 값 3은 IEEE 802.16e와 일치합니다.

    • 숫자 값 4는 IEEE 802.16m과 일치합니다.

  • 텍스트 문자열 eutran은(는) 4G와 일치합니다.

  • 텍스트 문자열 geran은(는) 2G와 일치합니다.

  • 텍스트 문자열 utran은(는) 3G와 일치합니다.

rat-type-except tech-type-value

RAT 유형을 일치시키지 마십시오.

service-filter-hit

service-filter-hit 동작이 적용된 필터에서 수신된 패킷을 일치시킵니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다.

source-address address [ except ]

except 옵션이 포함되어 있지 않는 한 패킷을 전송하는 소스 노드의 IPv4 주소를 일치시킵니다. 옵션이 포함되어 있는 경우, 패킷을 전송하는 소스 노드의 IPv4 주소를 일치시키지 마십시오.

동일한 용어에 addresssource-address 일치 조건을 모두 지정할 수 없습니다.

source-class class-names

하나 이상의 지정된 소스 클래스 이름(함께 그룹화되고 클래스 이름이 부여되어 있는 소스 접두사 모음)을 일치시킵니다. 자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오.

source-class-except class-names

하나 이상의 지정된 소스 클래스 이름을 일치시키지 마십시오. 자세한 내용은 source-class 일치 조건을 참조하십시오.

source-port number

UDP 또는 TCP 소스 포트 필드를 일치시킵니다.

동일한 용어에 portsource-port 일치 조건을 지정할 수 없습니다.

일치 조건에 기반하여 포트를 구성할 때 동일한 필터 용어에 protocol udp 또는 protocol tcp 일치 문을 구성해야 합니다. 포트 값만 일치시키면 예기치 않은 일치가 발생할 수 있습니다.

숫자 값 대신, destination-port number 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

source-port-except number

UDP 또는 TCP 소스 포트 필드를 일치시키지 마십시오. 자세한 내용은 source-port 일치 조건을 참조하십시오.

source-prefix-list name [ except ]

except 옵션이 포함되어 있지 않는 한 지정된 목록에서 소스 접두사를 일치시킵니다. 옵션이 포함되어 있는 경우, 지정된 목록에 소스 접두사를 일치시키지 마십시오.

[edit policy-options prefix-list prefix-list-name 계층 수준에 정의되어 있는 접두사 목록의 이름을 지정합니다.

tcp-established

설정된 TCP 세션의 TCP 패킷(연결의 첫 번째 패킷 이외의 패킷)을 일치시킵니다. 이는 tcp-flags "(ack | rst)"의 별칭입니다.

이 일치 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이를 확인하려면 protocol tcp 일치 조건을 지정해야 합니다.

tcp-flags value

TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다.

개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다.

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다.

비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다.

결합된 비트 필드 일치 조건의 경우, tcp-establishedtcp-initial 일치 조건을 참조하십시오.

이 일치 조건을 구성하는 경우, 동일한 용어에 protocol tcp 일치 문을 구성하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.

IPv4 트래픽의 경우에만, 이 일치 조건은 데이터그램이 단편화된 패킷의 첫 번째 부분을 포함하는지 암묵적으로 확인하지 않습니다. IPv4 트래픽에만 해당하는 이 조건을 확인하려면 first-fragment 일치 조건을 사용해야 합니다.

tcp-initial

TCP 연결의 패킷 초기 패킷을 일치시킵니다. 이는 tcp-flags "(!ack & syn)"의 별칭입니다.

이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 protocol tcp 일치 조건을 구성하는 것이 좋습니다.

ttl number

IPv4 TTL(time-to-live) 숫자를 일치시킵니다. TTL 값 또는 TTL 값 범위를 지정합니다. number의 경우, 하나 이상의 값(0~255)을 지정할 수 있습니다. 이 일치 조건은 M120, M320, MX, T 시리즈 라우터에서만 지원됩니다.

ttl-except number

IPv4 TTL 숫자를 일치시키지 마십시오. 자세한 내용은 ttl 일치 조건을 참조하십시오.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
13.3R7
DSCP(Differentiated Services Code Point) 필터링 및 GRE(Generic Routing Encapsulation)에 캡슐화된 IS-IS 패킷을 포함한 라우팅 엔진 소싱 패킷 클래스 포워딩을 위한 지원 기능이 추가되었습니다.