Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 트래픽에 대한 방화벽 필터 일치 조건

IPv4(Internet Protocol version 4) 트래픽에 대한 조건에 따라 방화벽 필터를 구성할 수 family inet 있습니다.

주:

MX 시리즈 라우터의 경우, 예를 들어 해당 SN 관리 정보 베이스(MIB)MP 라우터를 걸어서 관리 정보 베이스(MIB) 트리오 전용 필터에 대한 필터 카운터를 초기화해야 show snmp mib walk name ascii 합니다. 따라서 Junos는 필터 카운터를 학습하고 필터 통계가 표시되도록 합니다(이는 필터 통계에 대한 첫 번째 폴링이 모든 카운터를 표시하지 않을 수 있기 때문에). 이 지침은 모든 고급 모드 방화벽 필터, 유연한 조건을 적용하는 필터, 특정 종료 작업을 적용하는 필터에 적용됩니다. 자세한 내용은 관련 문서에 나열된 해당 주제를 참조하십시오.

표 1 계층 수준에서 match-conditions 구성할 [edit firewall family inet filter filter-name term term-name from] 수 있는 방법을 나타냅니다.

표 1: IPv4 트래픽에 대한 방화벽 필터 일치 조건

일치 조건

설명

address address [ except ]

옵션이 포함되지 않는 한 IPv4 소스 또는 대상 주소 except 필드와 일치 옵션이 포함된 경우 IPv4 소스 또는 대상 주소 필드와 일치하지 않음.

이 수정자는 EX2300 및 EX3400 except 지원되지 않습니다.

ah-spi spi-value

(M Series 라우터는 예외로 M120 M320) IPsec 인증 헤더(AH) 보안 매개 변수 인덱스(SPI) 값을 일치합니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

ah-spi-except spi-value

(M Series 라우터는 예외로 M120 M320) IPsec AH SPI 값과 일치하지 않습니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

apply-groups

구성 데이터를 사용할 그룹을 지정합니다. 두 개 이상의 그룹 이름을 지정할 수 있습니다. 우선 순위가 정해지기 위해서는 이를 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선 순위를 니다.

apply-groups-except

구성 데이터를 상속하지 않는 그룹을 지정합니다. 두 개 이상의 그룹 이름을 지정할 수 있습니다.

destination-address address [ except ]

옵션이 포함되어 있지 않은 경우 IPv4 대상 주소 except 필드와 일치합니다. 옵션이 포함된 경우 IPv4 대상 주소 필드와 일치하지 않음.

동일한 용어에서 일치 조건과 조건을 addressdestination-address 모두 지정할 수 없습니다.

destination-class class-names

하나 이상의 지정된 대상 클래스 이름과 일치(함께 그룹화되어 클래스 이름을 지정하는 대상 Prefix의 집합). 자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오.

destination-class-except class-names

하나 이상의 지정된 대상 클래스 이름과 일치하지 않습니다. 자세한 내용은 일치 조건을 destination-class 참조합니다.

destination-port number

UDP 또는 TCP 대상 포트 필드에 일치

동일한 용어에서 일치 조건과 조건을 portdestination-port 모두 지정할 수 없습니다.

이 일치 조건을 구성하는 경우 포트에서 어떤 프로토콜이 사용되고 있는지 지정하기 위해 동일한 용어로 일치 명령문을 구성하는 protocol udpprotocol tcp 것이 좋습니다.

주:

Junos OS 에 대해 동일한 용어로 일치 protocol 명령문을 구성해야 합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨). afs(1483), bgp (179), biff (512), bootpcbootps (68), cmd (67), (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2105), exec (2106), (512), finger (79), ftpftp-data (21), http (80), (80), https (443), identimap (113), (143), kerberos-secklogin (88), (543), kpasswdkrb-prop (761), krbupdate (754), (760), kshell (544), ldap (389), ldplogin (646), (513), mobileip-agentmobilip-mn (435), msdp (639), (639), (539) netbios-dgm 138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacctradius (1813), (1812), riprkinit (2108), smtp (2) 5), snmp (161), snmptrapsnpp (162), (444), socks (1080), sshsunrpc (22), (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) xdmcp 또는 (177)

destination-port-except number

UDP 또는 TCP 대상 포트 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 destination-port 참조합니다.

destination-prefix-list name [ except ]

옵션이 포함되지 않는 한 지정된 목록에 대상 Prefix를 except 일치 옵션이 포함된 경우, 지정된 목록에 있는 대상 prefix와 일치하지 않습니다.

] 계층 수준에서 정의된 Prefix list의 [edit policy-options prefix-list prefix-list-name 이름을 지정합니다.

dscp number

DSCP(Differentiated Services Code Point)에 일치 DiffServ 프로토콜은 IP 헤더에서 ToS(Type-of-Service) byte를 사용합니다. 이 바이트 중 가장 중요한 6비트는 DSCP를 형성합니다. 자세한 내용은 Behavior Aggregate Classifiers가트러스트 트래픽에 우선 순위를 지정하는 방법 이해를 참조하십시오.

GRE(Generic Routing Encapsulation)에서 캡슐화되는 IS-IS(Intermediate System to Intermediate System) 패킷을 포함하여 라우팅 엔진 소스 패킷에 대한 DSCP(Differentiated Services Code Point) 및 포우딩 클래스에 대한 필터링이 추가되었습니다. 또한 Junos OS(Junos OS 서비스 등급) 및 방화벽 필터가 있는 이전 버전의 시스템으로 업그레이드할 때 모두 DSCP 또는 포워드 클래스 필터 작업을 포함하게 되며, 방화벽 필터의 기준이 자동으로 CoS 설정보다 우선합니다. 새로운 구성을 만들 때도 마찬가지입니다. 즉, 동일한 설정이 존재하는 경우, 방화벽 필터가 먼저 생성된 설정에 관계없이 CoS보다 우선합니다.

다음에서 숫자 값을 지정할 수 063 있습니다. 값을 hexadecimal 양식으로 지정하기 위해 0x prefix로 포함하십시오. 바이너리 양식으로 값을 지정하기 위해 b prefix로 포함합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).

  • RFC 3246, Expedited Forwarding PHB(Per-Hop Behavior)는 하나의 코드 지점을 정의합니다. ef(46).

  • RFC 2597, Assured Forwarding PHB Group은총 12개 코드 지점에 대해 각 클래스에서 3개 드롭 우선 순위를 갖는 4개 클래스를 정의합니다.

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

dscp-except number

DSCP 번호와 일치하지 말 것. 자세한 내용은 일치 조건을 dscp 참조하십시오.

esp-spi spi-value

IPsec ESP(Encapsulating Security Payload) SPI 값을 매치합니다. 이 특정 SPI 값을 일치. ESP SPI 값을 hexadecimal, 바이너리 또는 소수의 양식으로 지정할 수 있습니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

esp-spi-except spi-value

IPsec ESP SPI 값을 일치합니다. 이 특정 SPI 값과 일치하지 말 것.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

first-fragment

패킷이 단편화된 패킷의 첫 번째 패킷 패킷인 경우와 일치합니다. 패킷이 단편화된 패킷의 후행 패킷인 경우 일치하지 마십시오. 단편화 패킷의 첫 번째 패킷 조각은 의 패킷 조각 상한 값을 나타 내고 0 있습니다.

이 일치 조건은 bit-field 일치 조건의 fragment-offset 0 별칭입니다.

첫 번째 및 후행 단편과 일치하기 위해 서로 다른 일치 조건을 지정하는 두 가지 용어를 사용할 수 있습니다. first-fragmentis-fragment및 를 통해

flexible-match-mask value

bit-length

문자열 입력에 필요하지 않은 비트로 일치할 데이터의 길이(0.128)

bit-offset

일치(match-start + 바이트) 오프셋 이후 비트 오프셋(0.7)

byte-offset

매치 시작 지점 이후의 Byte 오프셋

flexible-mask-name

사전 정의한 템플릿 필드에서 유연한 일치 선택

mask-in-hex

일치되는 패킷 데이터의 비트를 마킹합니다.

match-start

패킷 일치 시작 지점

prefix

일치할 가치 있는 데이터/문자열

flexible-match-range value

bit-length

비트로 일치할 데이터의 길이(0.32)

bit-offset

일치(match-start + byte) 오프셋 이후 비트 오프셋(0.7)

byte-offset

매치 시작 지점 이후의 Byte 오프셋

flexible-range-name

사전 정의한 템플릿 필드에서 유연한 일치 선택

match-start

패킷 일치 시작 지점

range

일치할 값 범위

range-except

이 값 범위와 일치하지 않는 경우

forwarding-class class

패킷의 포우링 클래스와 일치합니다.

assured-forwarding, best-effort 또는 expedited-forwarding 를 지정합니다. network-control

포우링 클래스 및 라우터 내부 출력 큐에 대한 자세한 내용은 포링 클래스가 출력 큐에 클래스를 할당하는 방법 이해를 참조하십시오.

forwarding-class-except class

패킷의 포우링 클래스와 일치하지 마십시오. 자세한 내용은 일치 조건을 forwarding-class 참조합니다.

fragment-flags number

(Ingress 전용) IP 헤더의 3비트 IP 단편화 플래그 필드와 일치.

숫자 필드 값을 대신하여 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열됨). dont-fragment(0x4), more-fragments (0x2) reserved 또는 (0x8).

fragment-offset value

IP 헤더에서 13비트 단편화 오프셋 필드와 일치. 이 값은 데이터 단편화에 대한 전체 데이터그램 메시지에서 8비트 단위로 상개되는 것입니다. 숫자 값, 값 범위 또는 값 집합을 지정합니다. 오프셋 값은 0 단편화된 패킷의 첫 번째 패킷 조각을 나타냅니다.

일치 조건은 일치 first-fragment 조건에 대한 fragment-offset 0 별칭입니다.

첫 번째 및 후행 단편과 일치하기 위해 서로 다른 일치 조건을 지정하는 두 가지 용어를 사용할 first-fragmentis-fragment 있습니다.

fragment-offset-except number

13비트 단편화 오프셋 필드와 일치하지 않습니다.

gre-key 범위

gre-key 필드에 일치. GRE 키 필드는 GRE 캡슐화기에 의해 삽입된 4 옥et 번호입니다. GRE 캡슐화에 사용하기 위한 옵션 필드입니다. 그 범위는 단일 GRE 키 번호 또는 키 번호 범위가 될 수 있습니다.

MX 시리즈 라우터의 경우, 해당 SNMP 라우터를 단계적으로 걸어서 이러한 조건을 포함해 새로운 방화벽 필터를 초기화할 관리 정보 베이스(MIB).

icmp-code number

ICMP 메시지 코드 필드와 일치합니다.

주:

이 일치 조건을 사용하는 경우, 패킷이 평가되도록 보장하기 위해 동일한 용어(아래와 같이)에서 일치 조건을 protocol icmpicmp 사용해야 합니다.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

또한 동일한 용어에서 icmp-type message-type 일치 조건을 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 구체적인 정보를 제공하지만, ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 따라 달라지기만 합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열). 키워드는 연관된 ICMP 유형으로 그룹화됩니다.

  • 매개 변수 문제: ip-header-bad(0), required-option-missing (1)

  • 리디렉션할: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-hostredirect-for-tos-and-net (3), (2)

  • 초과 시간: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • 연결할: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknowndestination-network-prohibited (7), destination-network-unknown (9), fragmentation-needed (4), host-precedence-violation (4), host-unreachable (1), (1), host-unreachable-for-TOS (12), network-unreachable (12), (11), network-unreachable-for-TOS (11), port-unreachableprecedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-code-except message-code

ICMP 메시지 코드 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 icmp-code 참조합니다.

icmp-type number

ICMP 메시지 유형 필드와 일치합니다.

주:

이 일치 조건을 사용하는 경우, 패킷이 평가되도록 보장하기 위해 동일한 용어(아래와 같이)에서 일치 조건을 protocol icmpicmp 사용해야 합니다.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

또한 동일한 용어에서 icmp-type message-type 일치 조건을 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 구체적인 정보를 제공하지만, ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 따라 달라지기만 합니다.

주:

Junos OS 에 대해 동일한 용어로 일치 protocol 명령문을 구성해야 합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). echo-reply(0), echo-requestinfo-reply (8), info-request (16), mask-request (15), mask-reply (17), parameter-problem (18), redirect (12), router-advertisement (9), router-solicit (9), (10), source-quenchtime-exceeded (4), (11), timestamp (13), timestamp-reply (14) 또는 unreachable (3).

icmp-type-except message-type

ICMP 메시지 유형 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 icmp-type 참조합니다.

interface interface-name

패킷이 수신된 인터페이스와 일치합니다.

주:

존재하지 않는 인터페이스와 일치 조건을 구성하면 해당 용어가 패킷과 일치하지 않습니다.

interface-group group-number

지정된 인터페이스 그룹 또는 인터페이스 그룹 세트에 패킷이 수신된 논리적 인터페이스를 일치합니다. 의 group-number 경우, 단일 값 또는 0에서 255까지의 값 범위를 지정합니다.

인터페이스 그룹에 논리적 인터페이스를 할당하고 group-number 계층 group-number 수준에서 [interfaces interface-name unit number family family filter group] 지정합니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

자세한 내용은 인터페이스 그룹 집합에서 수신된 패킷 필터링 개요 를 참조하십시오.

interface-group-except group-number

패킷이 지정된 인터페이스 그룹 또는 인터페이스 그룹 세트에 수신된 논리적 인터페이스를 일치하지 마십시오. 자세한 내용은 일치 조건을 interface-group 참조합니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

interface-set interface-set-name

패킷이 수신된 인터페이스와 지정된 인터페이스 세트를 일치

인터페이스 세트를 정의하기 위해 계층 수준에서 interface-set[edit firewall] 명령문을 포함해야 합니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

자세한 내용은 인터페이스 세트 개요 에서 수신된 패킷 필터링을 참조하십시오.

ip-options values

8비트 IP 옵션 필드(있는 경우) 지정된 값 또는 값 목록에 일치

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(옵션 값도 나열됨). loose-source-route(131), record-routerouter-alert (7), (148), security (130), stream-idstrict-source-route (136), (137) timestamp 또는 (68).

IP 옵션에 대한 모든 값을 일치하기 위해 텍스트 동의어를 any 사용합니다. 여러 값에 일치하기 위해 평방 브래킷 내의 값 목록을 지정합니다(' [] '. 값의 범위와 일치하기 위해 값 사양 을 value1-value2 ] 사용합니다.

예를 들어, 일치 조건은 을 포함하는 IP 옵션 필드 또는 ip-options [ 0-147 ]loose-source-routerecord-route 0에서 147까지의 다른 모든 값을 security 일치합니다. 그러나 이 일치 조건은 값만 포함하는 IP 옵션 필드에 일치하지 router-alert 않습니다(148).

대부분의 인터페이스에서 하나 이상의 특정 IP 옵션 값(이 외 값)에 일치하는 필터 용어는 커널이 패킷 헤더에서 IP 옵션 필드를 구문 분석할 수 있도록 패킷을 라우팅 엔진 패킷으로 ip-optionany 전송합니다.

  • 하나 이상의 특정 IP 옵션 값에 일치하도록 지정하는 방화벽 필터 용어의 경우 동일한 용어에서 종료 작업을 지정하지 않는 경우 , 또는 비확정 작업을 지정할 ip-optioncountlogsyslogdiscard 없습니다. 이 동작은 라우터의 전송 인터페이스에 적용된 필터의 패킷 수를 두 배로 증가하는 것을 방지합니다.

  • 시스템 병목 현상이 있을 경우 커널에서 처리된 패킷이 드롭될 수 있습니다. 일치하는 패킷이 대신 패킷 전달 엔진(하드웨어에서 패킷 처리가 구현되는 경우)에 전송되도록 보장하기 위해 일치 조건을 ip-options any 사용합니다.

MPC(10-Gigabit Ethernet Modular Port Concentrator), 100기가비트 이더넷 MPC, 60기가비트 이더넷 MPC, 60-Gigabit Queuing Ethernet MPC 및 60-Gigabit Ethernet Enhanced Queuing MPC는 IPv4 패킷 헤더의 IP 옵션 필드를 구문 분석할 수 있습니다. 이러한MPC상에서 구성된 인터페이스의 경우, 일치 조건을 사용해 일치되는 모든 패킷은 처리를 위해 패킷 전달 엔진 ip-options 전송됩니다.

주:

M 시리즈 및 T 시리즈 라우터에서 방화벽 필터는 옵션 유형 및 인터페이스별로 패킷을 계산할 ip-options 수 없습니다. 제한된 작업의 경우 이 명령을 사용하여 PFE 기준으로 통계를 보는 show pfe statistics ip optionsip-options 것입니다. 샘플 출력은 pfe 통계 ip를 표시해 봐야 합니다.

Junos Evolved OS Release PTX10003 PTX10008 라우터 및 20.2R1 라우터에서 일치 ip-options any 조건이 20.2R1.

ip-options-except values

IP 옵션 필드를 지정된 값 또는 값 목록에 일치하지 않습니다. 을 지정하는 자세한 내용은 values 일치 ip-options 조건을 참조합니다.

is-fragment

이 조건을 사용하면 IP 헤더에서 More Fragments 플래그가 활성화되거나 단편화 오프셋이 0이 아닌 경우와 일치하게 됩니다.

주:

첫 번째 및 후행 단편과 일치하기 위해 서로 다른 일치 조건을 지정하는 두 가지 용어를 사용할 first-fragmentis-fragment 있습니다.

loss-priority level

PLP(Packet Loss Priority) 레벨과 일치

단일 수준 또는 여러 레벨을 지정합니다. low, medium-lowmedium-highhigh 또는.

라우터 및 M120 M320 지원 M7i(M10i CFEB-E)를 있는 라우터 및 보안 라우터, MX 시리즈 라우터를 제공합니다.

고급 IIFPC(Flexible PIC Concentrators)를 탑재한 M320, MX 시리즈 및 T 시리즈 라우터의 IP 트래픽의 경우, 계층 수준으로 명령문을 포함해야 지정된 4개 레벨에서 PLP 구성을 커밋할 수 tri-color[edit class-of-service] 있습니다. 명령문을 활성화하지 않은 경우, 명령문과 수준만 tri-colorhigh 구성할 수 low 있습니다. 이는 모든 프로토콜 패밀리에 적용됩니다.

명령문에 대한 자세한 내용은 tri-colorConfiguring and Applying Tricolor Marking Policers를 참조하십시오. 수신 패킷의 PLP 수준을 설정하기 위해 BA(Behavior Aggregate) 분류자 사용에 대한 자세한 내용은 Behavior Aggregate Classifiers 우선순위 지정 트러스트 트래픽의 우선 순위 지정 방법을 참조하십시오.

loss-priority-except level

PLP 수준과 일치하지 않습니다. 자세한 내용은 일치 조건을 loss-priority 참조합니다.

packet-length bytes

수신 패킷의 길이(bytes)를 일치합니다. 길이는 패킷 헤더를 포함하여 IP 패킷만 참조하며 Layer 2 캡슐화 오버헤드를 포함하지 않습니다. 또한 일치할 값의 범위를 지정할 수도 있습니다.

packet-length-except bytes

수신된 패킷 길이(bytes)를 일치하지 마십시오. 자세한 내용은 일치 유형을 packet-length 참조합니다.

port number

UDP 또는 TCP 소스 또는 대상 포트 필드에 일치

이 일치 조건을 구성하는 경우 동일한 용어에 일치 조건 또는 일치 조건을 destination-portsource-port 구성할 수 없습니다.

이 일치 조건을 구성하는 경우 포트에서 어떤 프로토콜이 사용되고 있는지 지정하기 위해 동일한 용어로 일치 명령문을 구성하는 protocol udpprotocol tcp 것이 좋습니다.

주:

Junos OS 에 대해 동일한 용어로 일치 protocol 명령문을 구성해야 합니다.

숫자 값을 대신하여 에 나열된 텍스트 동의어 중 하나를 지정할 수 destination-port 있습니다.

port-except number

소스 또는 대상 UDP 또는 TCP 포트 필드를 일치하지 말 것. 자세한 내용은 일치 조건을 port 참조합니다.

precedence ip-precedence-value

IP 우선 순위 필드에 일치.

숫자 필드 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), internet-control (0x40), (0xc0), net-control (0xe0), priority (0x20) routine 또는 (0x00). hexadecimal, 바이너리 또는 소수의 양식으로 우선 순위를 지정할 수 있습니다.

precedence-except ip-precedence-value

IP 우선 순위 필드와 일치하지 않습니다.

숫자 필드 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), internet-control (0x40), (0xc0), net-control (0xe0), priority (0x20) routine 또는 (0x00). hexadecimal, 바이너리 또는 소수의 양식으로 우선 순위를 지정할 수 있습니다.

prefix-list name [ except ]

옵션이 포함되지 않는 한 소스 또는 대상 주소 필드의 prefix를 지정된 목록의 prefix와 except 일치합니다. 옵션이 포함된 경우, 소스 또는 대상 주소 필드의 prefix를 지정된 리스트의 prefix와 일치하지 않습니다.

Prefix 목록은 계층 수준에서 [edit policy-options prefix-list prefix-list-name] 정의됩니다.

주:

이 일치 조건은 네트워크 라우터에서 PTX1000 수 없습니다.

protocol number

IP 프로토콜 유형 필드에 일치. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). ah(51), dstopts (60), egpesp (50), fragment (44), gre (47), hop-by-hop (47), icmpicmp6 (58), icmpv6 (58), (58), igmpipip (4), ipv6 (4), ospf (41), pim (89), (103), rsvp (46), sctp (132), tcpudp (6), (17) vrrp 또는 (112)

protocol-except number

IP 프로토콜 유형 필드와 일치하지 않습니다. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). ah(51), dstopts (60), egpesp (50), fragment (44), gre (47), hop-by-hop (47), icmpicmp6 (58), icmpv6 (58), (58), igmpipip (4), ipv6 (4), ospf (41), pim (89), (103), rsvp (46), sctp (132), tcpudp  (6), (17) vrrp 또는 (112)

rat-type tech-type-value

Proxy Mobile IPv4(PMIPv4) 액세스 기술 유형 확장의 8비트 기술 유형 필드에 지정된 RAT(Radio-Access Technology) 유형을 일치 기술 유형은 모바일 장치가 액세스 네트워크에 연결되는 액세스 기술을 지정합니다.

단일 값, 값 범위 또는 값 집합을 지정합니다. 기술 유형을 0에서 255까지 숫자로 또는 시스템 키워드로 지정할 수 있습니다.

  • 다음은 잘 알려진 기술 유형의 예입니다.

    • 숫자 값 1은 802.3 IEEE(Institute of Electrical and Electronics Engineers) 일치합니다.

    • 숫자 값 2는 802.IEEE(Institute of Electrical and Electronics Engineers).11a/b/g와 일치합니다.

    • 숫자 값 3은 802.16e IEEE(Institute of Electrical and Electronics Engineers) 일치

    • 숫자 값 4는 802.16m IEEE(Institute of Electrical and Electronics Engineers) 일치합니다.

  • 텍스트 eutran 문자열은 4G와 일치합니다.

  • 텍스트 geran 문자열은 2G와 일치합니다.

  • 텍스트 utran 문자열은 3G와 일치합니다.

rat-type-except tech-type-value

RAT 유형과 일치하지 않습니다.

service-filter-hit

조치가 적용된 필터에서 수신된 service-filter-hit 패킷을 일치합니다.

주:

이 일치 조건은 PTX 시리즈 라우터에서 지원되지 않습니다.

source-address address [ except ]

옵션이 포함되지 않는 한 패킷을 전송하는 소스 노드의 IPv4 except 주소와 일치합니다. 옵션이 포함된 경우 패킷을 전송하는 소스 노드의 IPv4 주소와 일치하지 마십시오.

동일한 용어에서 일치 조건과 조건을 addresssource-address 모두 지정할 수 없습니다.

source-class class-names

하나 이상의 지정된 소스 클래스 이름과 일치(함께 그룹화되어 클래스 이름을 지정하는 소스 Prefix의 집합). 자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오.

source-class-except class-names

하나 이상의 지정된 소스 클래스 이름과 일치하지 않습니다. 자세한 내용은 일치 조건을 source-class 참조합니다.

source-port number

UDP 또는 TCP 소스 포트 필드에 일치

동일한 용어에서 일치 조건을 지정할 portsource-port 수 없습니다.

IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우 포트에서 어떤 프로토콜이 사용되고 있는지 지정하기 위해 동일한 용어로 해당 또는 일치 명령문을 구성하는 것이 protocol udpprotocol tcp 좋습니다.

주:

Junos OS 에 대해 동일한 용어로 일치 protocol 명령문을 구성해야 합니다.

숫자 값을 대신하여 일치 조건과 함께 나열된 텍스트 동의어 중 하나를 destination-port number 지정할 수 있습니다.

source-port-except number

UDP 또는 TCP 소스 포트 필드와 일치하지 않습니다. 자세한 내용은 일치 조건을 source-port 참조합니다.

source-prefix-list name [ except ]

옵션이 포함되지 않는 한 지정된 목록에 소스 프리픽스를 except 일치 옵션이 포함된 경우, 지정된 목록에 있는 소스 Prefix와 일치하지 않습니다.

] 계층 수준에서 정의된 Prefix list의 [edit policy-options prefix-list prefix-list-name 이름을 지정합니다.

tcp-established

설정된 TCP 세션의 TCP 패킷(첫 번째 연결 패킷이 다른 패킷)을 일치 이는 의 tcp-flags "(ack | rst)" 별칭입니다.

이 일치 조건은 프로토콜이 TCP인 지 암시적으로 확인하지는 않습니다. 이를 확인 표시하기 위해 일치 protocol tcp 조건을 지정합니다.

tcp-flags value

TCP 헤더에서 8비트 TCP 플래그 필드에 저수준 6비트 이상을 매치합니다.

개별 비트 필드를 지정하기 위해 다음 텍스트 동의어 또는 hexadecimal 값을 지정할 수 있습니다.

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP 세션에서 SYN 플래그는 전송된 최초 패킷에만 설정되는 반면, ACK 플래그는 초기 패킷 이후 전송된 모든 패킷에 설정됩니다.

bit-field 논리적 운영자(bit-field logical operator)를 사용하여 여러 플래그를 함께 연계할 수 있습니다.

결합된 비트 필드 일치 조건은 일치 tcp-establishedtcp-initial 조건을 참조합니다.

이 일치 조건을 구성하는 경우 동일한 용어로 일치 명령문을 구성하여 TCP 프로토콜이 포트에서 사용 중이라는 것을 지정하는 protocol tcp 것이 좋습니다.

IPv4 트래픽만이 해당되는 경우, 이 일치 조건은 데이터그램에 단편화된 패킷의 첫 번째 패킷 조각이 포함되어 있는지 여부를 암시적으로 확인하지 않습니다. IPv4 트래픽에 대한 이 조건을 검사하기 위해 일치 조건을 first-fragment 사용 합니다.

tcp-initial

TCP 연결의 초기 패킷과 일치합니다. 이는 의 tcp-flags "(!ack & syn)" 별칭입니다.

이 조건은 프로토콜이 TCP이 됐는 지 암시적으로 확인할 수 없습니다. 이 일치 조건을 구성하는 경우 동일한 용어로 일치 조건을 protocol tcp 구성하는 것이 좋습니다.

ttl number

IPv4의 실시간 번호와 일치. TTL 값 또는 TTL 값의 범위를 지정합니다. 에서 를 통해 하나 이상의 값을 number 지정할 수 0255 있습니다. 이 일치 조건은 라우터, M120, M320, MX Series 및 T 시리즈 지원됩니다.

ttl-except number

IPv4 TTL 번호와 일치하지 말 것. 자세한 내용은 일치 조건을 ttl 참조합니다.

출시 내역 표
릴리스
설명
13.3R7
GRE(Generic Routing Encapsulation)에서 캡슐화되는 IS-IS(Intermediate System to Intermediate System) 패킷을 포함하여 라우팅 엔진 소스 패킷에 대한 DSCP(Differentiated Services Code Point) 및 포우딩 클래스에 대한 필터링이 추가되었습니다.