IPv6 트래픽에 대한 방화벽 필터 일치 조건

옵션이 포함되어 있지 않는 한 IPv6 소스 또는 대상 주소 필드를 일치시킬 except 수 있습니다. 옵션이 포함되어 있는 경우 IPv6 소스 또는 대상 주소 필드를 일치시키지 마십시오.

구성 데이터를 상속할 그룹을 지정합니다. 그룹 이름을 두 개 이상 지정할 수 있습니다. 상속 우선 순위 순서대로 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선합니다.

구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 두 개 이상 지정할 수 있습니다.

옵션이 포함되어 있지 않는 한 except IPv6 대상 주소 필드를 일치시킬 수 있습니다. 옵션이 포함되어 있는 경우, IPv6 대상 주소 필드를 일치시키지 마십시오.

동일한 용어에 address 및 destination-address 일치 조건을 모두 지정할 수 없습니다.

하나 이상의 지정된 대상 클래스 이름(함께 그룹화되고 클래스 이름이 부여된 대상 접두사 집합)을 일치시킵니다.

자세한 내용은 주소 클래스를 기반으로 하는 방화벽 필터 일치 조건을 참조하십시오.

하나 이상의 지정된 대상 클래스 이름을 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 destination-class .

UDP 또는 TCP 대상 포트 필드를 일치시킬 수 있습니다.

동일한 용어에 port 및 destination-port 일치 조건을 모두 지정할 수 없습니다.

이 일치 조건을 구성하는 경우, 포트에서 사용 중인 프로토콜을 next-header udp 지정하기 위해 동일한 용어에 또는 next-header tcp 일치 조건을 구성하는 것이 좋습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있음). afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), (514), cmd (2401), cvspserverdhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), (80), httphttps (443), ident (113), imap (143), kerberos-sec (88), (543), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), (389), ldapldp (646), login (513), mobileip-agent (434), (435), mobilip-mnmsdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), (2049), nfsdnntp (119), (519), (519), ntalkntp (123), pop3 (110), (1723), printerpptp (515), radacct (1813), radius (1812), rip (520), (2108), smtprkinit (25), snmp (161), (162), snmptrap (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), (65), tacacs-ds (517), talk (23), telnet (69), timedtftp (525), (513), who 또는 xdmcp (177).

UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 destination-port .

옵션이 포함되어 있지 않는 한 IPv6 대상 접두스를 지정된 목록 과 일치시킬 except 수 있습니다. 옵션이 포함되어 있는 경우, IPv6 대상 접두스를 지정된 목록과 일치시키지 마십시오.

접두사 목록은 ] 계층 수준에서 정의 [edit policy-options prefix-list prefix-list-name됩니다.

다음 헤더 값을 식별하여 패킷에 포함된 확장 헤더 유형을 일치시킬 수 있습니다.

패킷의 첫 번째 부분에서 필터는 확장 헤더 유형에서 일치를 검색합니다. 단편 헤더가 있는 패킷이 발견되면(후속 패킷 조각), 필터는 다른 확장 헤더의 위치가 예측할 수 없어서 다음 확장 헤더 유형의 일치만 검색합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), destination (60), (50), fragmentesp (44), hop-by-hop (0), mobility (135) 또는 routing (43).

확장 헤더 옵션에 대한 모든 값을 일치하려면 텍스트 동의어를 any사용합니다.

MPC가 있는 MX 시리즈 라우터의 경우, 해당 SNMP 관리 정보 베이스(MIB)를 보며 이 조건을 포함하는 새로운 방화벽 필터를 초기화합니다.

패킷에 포함된 확장 헤더 유형을 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 extension-headers .

정수 입력 길이(1..32비트),

(선택 사항) 문자열 입력 길이(1.128비트)

(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋

일치 시작점 이후의 바이트 오프셋

사전 정의된 템플릿 필드에서 유연한 일치 항목 선택

일치할 패킷 데이터에서 비트 마스크 아웃

패킷에서 일치하는 시작점

일치할 값 데이터/문자열

자세한 내용은 방화벽 필터 유연한 일치 조건을 참조하십시오.

비트로 일치할 데이터의 길이(0..32)

(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋

일치 시작점 이후의 바이트 오프셋

사전 정의된 템플릿 필드에서 유연한 일치 항목 선택

패킷에서 일치하는 시작점

일치할 값 범위

이 값 범위를 일치시키지 마십시오.

자세한 내용은 방화벽 필터 유연한 일치 조건을 참조하십시오.

패킷 포워딩 클래스를 일치시킬 수 있습니다.

, , 또는 network-control을(를expedited-forwarding) best-effort지정합니다assured-forwarding.

포워딩 클래스 및 라우터 내부 출력 대기열에 대한 정보는 포워딩 클래스가 클래스를 출력 대기열에 할당하는 방법 이해하기를 참조하십시오.

패킷의 포워딩 클래스를 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 forwarding-class .

홉 제한을 지정된 홉 제한 또는 홉 제한 세트와 일치합니다. 의 경우 hop-limit, 단일 값 또는 0~255 값 범위를 지정합니다.

MX 시리즈 라우터에서만 MIC 또는 MPC에서 호스팅되는 인터페이스에서만 지원됩니다.

홉 제한을 지정된 홉 제한 또는 홉 제한 세트와 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 hop-limit .

MX 시리즈 라우터에서만 MIC 또는 MPC에서 호스팅되는 인터페이스에서만 지원됩니다.

ICMP 메시지 코드 필드를 일치시킬 수 있습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 next-header icmp 또는 next-header icmp6 일치 조건을 구성하는 것이 좋습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 icmp-type message-type 일치 조건을 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있습니다). 키워드는 연결된 ICMP 유형으로 그룹화됩니다.

• parameter-problem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• 시간 초과: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• 목적지에 도달할 수 없음: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

ICMP 메시지 코드 필드를 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 icmp-code .

ICMP 메시지 유형 필드를 일치시킬 수 있습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 next-header icmp 또는 next-header icmp6 일치 조건을 구성하는 것이 좋습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), (145), home-agent-address-discovery-replyhome-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), (141), membership-queryinverse-neighbor-discovery-solicitation (130), membership-report (131), (132), membership-termination (147), mobile-prefix-advertisement-reply (146), mobile-prefix-solicitation (146), (146) neighbor-advertisement 36), neighbor-solicit (135), node-information-reply (140), (139), packet-too-bignode-information-request (2), parameter-problem (4), (100), private-experimentation-100 (101), private-experimentation-101 (200), private-experimentation-200 (200), (201), private-experimentation-201 (137), redirectrouter-advertisement (134), (138), router-renumberingrouter-solicit (133), 또는 time-exceeded (3).

(201)의 경우 private-experimentation-201 , 대괄호 안에 값 범위를 지정할 수도 있습니다.

ICMP 메시지 유형 필드를 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 icmp-type .

패킷이 수신된 인터페이스를 일치시킬 수 있습니다.

패킷이 수신된 논리적 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치합니다. 의 경우group-number, 단일 값 또는 에서 까지 255값 범위를 0 지정합니다.

인터페이스 그룹에 group-number논리적 인터페이스를 할당하려면 계층 수준에서 을(를[interfaces interface-name unit number family family filter group]) 지정 group-number 합니다.

자세한 내용은 인터페이스 그룹 집합에서 수신된 패킷 필터링 개요를 참조하십시오.

패킷이 수신된 논리적 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 interface-group .

패킷이 수신된 인터페이스를 지정된 인터페이스 세트와 일치합니다.

인터페이스 세트를 정의하려면 계층 수준에서 문을 [edit firewall] 포함합니다interface-set.

자세한 내용은 인터페이스 세트에서 수신된 패킷 필터링 개요를 참조하십시오.

존재하는 경우 8비트 IP 옵션 필드를 지정된 값 또는 값 목록과 일치합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(옵션 값도 나열되어 있음). loose-source-route(131), record-route (7), (148), router-alertsecurity (130), stream-id (136),strict-source-route (137) 또는 timestamp (68).

IP 옵션에 대한 모든 값을 일치하려면 텍스트 동의어를 any사용합니다. 여러 값을 일치하려면 대괄호 안에 값 목록('' 및 '[])을 지정합니다. 값의 범위를 일치하려면 값 사양 [ value1-value2 ]을(를) 사용합니다.

예를 들어, 일치 조건 ip-options [ 0-147 ] 은( 는) , record-route또는 값 또는 security 0에서 147까지의 다른 값을 포함하는 IP 옵션 필드에 일치합니다loose-source-route. 그러나 이 일치 조건은 값(148)만 포함하는 IP 옵션 필드와 router-alert 일치하지 않습니다.

대부분의 인터페이스에서 하나 이상의 특정 IP 옵션 값(이외의 any값)에 대한 일치를 지정 ip-option 하는 필터 용어는 커널이 패킷 헤더의 IP 옵션 필드를 구문 분석할 수 있도록 패킷을 라우팅 엔진 전송하도록 합니다.

• 하나 이상의 특정 IP 옵션 값에 대한 일치를 ip-option 지정하는 방화벽 필터 용어의 경우, 동일한 용어에 종료 작업을 지정하지 않는 한, log또는 syslog 비 종료 동작을 지정할 countdiscard 수 없습니다. 이 동작은 라우터의 전송 인터페이스에 적용된 필터에 대한 패킷의 이중 카운팅을 방지합니다.

• 시스템 병목 현상이 발생할 경우 커널에서 처리된 패킷이 손실될 수 있습니다. 대신 일치하는 패킷이 패킷 전달 엔진(하드웨어에서 패킷 처리가 구현되는 위치)로 전송되도록 하려면 일치 조건을 사용합니다 ip-options any .

MX 시리즈 라우터의 10기가비트 이더넷 MPC(Modular Port Concentrator), 100기가비트 이더넷 MPC, 60기가비트 이더넷 MPC, 60기가비트 큐잉 이더넷 MPC 및 60기가비트 이더넷 Enhanced 큐잉 MPC는 IPv4 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다. 이러한 MPC에 구성된 인터페이스의 경우, 일치 조건을 사용하여 ip-options 일치하는 모든 패킷이 처리를 위해 패킷 전달 엔진 전송됩니다.

IP 옵션 필드를 지정된 값 또는 값 목록과 일치시키지 마십시오. 지정 values에 대한 자세한 내용은 일치 조건을 참조하십시오 ip-options .

패킷 손실 우선순위(PLP) 수준을 일치합니다.

단일 수준 또는 여러 수준을 지정합니다. low, medium-low, medium-high, .high

M120 및 M320 라우터에서 지원됩니다. Enhanced CFEB(CFEB-E)가 탑재된 M7i 및 M10i 라우터 MX 시리즈 라우터와 EX 시리즈 스위치를 지원합니다.

Enhanced II FPC(Flexible PIC Concentrator)가 있는 M320, MX 시리즈, T 시리즈 라우터 및 EX 시리즈 스위치의 IP 트래픽의 경우, 계층 수준에 문을 [edit class-of-service] 포함 tri-color 시켜 4개의 수준이 지정되어 있는 PLP 구성을 커밋해야 합니다. tri-color 문이 활성화되지 않은 경우, 및 low 수준만 구성할 high 수 있습니다. 이는 모든 프로토콜 체계에 적용됩니다.

문에 tri-color 대한 정보는 삼색 마킹 폴리서 구성 및 적용을 참조하십시오. 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용 관련 정보는 포워딩 클래스가 클래스를 출력 대기열에 할당하는 방법 이해하기를 참조하십시오.

PLP 수준을 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 loss-priority .

패킷의 첫 번째 8비트 다음 헤더 필드를 일치시킬 수 있습니다. 방화벽 일치 조건에 대한 next-header 지원은 Junos OS 릴리스 13.3R6 이상에서 사용할 수 있습니다.

IPv6의 payload-protocol 경우, 일치 조건으로 방화벽 필터를 next-header 구성할 때 용어가 아닌 용어를 사용하는 것이 좋습니다. 어느 하나를 사용할 수 있지만, payload-protocol 실제 페이로드 프로토콜을 사용하여 일치를 찾을 수 있기 때문에 보다 안정적인 일치 조건을 제공하는 반면, IPv6 헤더 다음의 첫 번째 헤더에 표시되는 것이 무엇이든 취하는 반면 next-header , 이는 실제 프로토콜일 수도 있고 아닐 수도 있습니다. 또한 IPv6에서 사용되는 경우 next-header 가속 필터 블록 조회 프로세스가 우회되고 대신 표준 필터가 사용됩니다.

패킷의 첫 번째 8비트 다음 헤더 필드를 일치시킬 수 있습니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), dstops (60), (8), egp (50), esp (44), fragmentgre (47), hop-by-hop (0), (1), icmp6icmp (58), icmpv6 (58), igmp (2), ipip (4), (4) ipv6 1), mobility (135), no-next-header (59), (89), ospfpim (103), routing (43), (46), rsvp (132), tcpsctp (6), (17), udp  또는 vrrp (112).

IPv6 헤더와 페이로드 사이의 헤더 유형을 식별하는 8비트 다음 헤더 필드를 일치시키지 마십시오. 자세한 내용은 일치 유형을 참조하십시오 next-header .

수신된 패킷 길이(바이트)를 일치시킵니다. 길이는 패킷 헤더를 포함한 IP 패킷만 의미하며 레이어 2 캡슐화 오버헤드는 포함하지 않습니다.

수신된 패킷 길이(바이트)를 일치시키지 마십시오. 자세한 내용은 일치 유형을 참조하십시오 packet-length .

페이로드 프로토콜 유형을 일치시킬 수 있습니다.

숫자 값 대신 protocol-type 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 은(는) 다음 중 하나 또는 일련의 일련의 을 지정합니다. ah(51), dstopts (60), egp (8), (50), espfragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), (2), ipip (4), (41), ipv6no-next-header( ospf 89), pim (103), routing, rsvp (46), sctp (132), tcp (6), (17), udp 또는 vrrp (112) (dstopts (60), 패킷 조각(44), hop-by-hop 0), 및 라우팅은 릴리스 16.1 이상에서 사용할 수 Junos OS.

또한 조건을 사용하여 payload-protocol 주니퍼 네트웍스 펌웨어가 해석할 수 없는 확장 헤더 유형을 일치시킬 수도 있습니다. 대괄호 안에 확장 헤더 값 범위를 지정할 수 있습니다. 펌웨어가 패킷에서 해석할 수 없는 첫 번째 확장 헤더 유형을 찾은 경우, payload-protocol 값은 해당 확장 헤더 유형으로 설정됩니다. 방화벽 필터는 펌웨어가 패킷에서 해석할 수 없는 첫 번째 확장 헤더 유형만 검사합니다.

페이로드 프로토콜 유형을 일치시키지 마십시오. 자세한 내용은 일치 유형을 참조하십시오 payload-protocol .

UDP 또는 TCP 소스 또는 대상 포트 필드를 일치시킬 수 있습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 destination-port 일치 조건 또는 source-port 일치 조건을 구성할 수 없습니다.

이 일치 조건을 구성하는 경우, 포트에서 사용 중인 프로토콜을 next-header udp 지정하기 위해 동일한 용어에 또는 next-header tcp 일치 조건을 구성하는 것이 좋습니다.

숫자 값 대신 에 나열된 destination-port텍스트 동의어 중 하나를 지정할 수 있습니다.

UDP 또는 TCP 소스 또는 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 port .

옵션이 포함되어 있지 않는 한 소스 또는 대상 주소 필드의 접두사를 지정된 목록 의 접두사에 except 일치시킵니다. 옵션이 포함되어 있는 경우, 소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사에 일치시키지 마십시오.

접두사 목록은 계층 수준에서 정의 [edit policy-options prefix-list prefix-list-name] 됩니다.

작업이 적용된 필터에서 수신한 패킷을 일치시킬 수 service-filter-hit 있습니다.

옵션이 포함되어 있지 않는 한 패킷을 전송하는 소스 노드의 IPv6 주소를 일치시킬 except 수 있습니다. 옵션이 포함되어 있는 경우 패킷을 전송하는 소스 노드의 IPv6 주소를 일치시키지 마십시오.

동일한 용어에 address 및 source-address 일치 조건을 모두 지정할 수 없습니다.

하나 이상의 지정된 소스 클래스 이름(함께 그룹화되고 클래스 이름이 부여된 소스 접두사 집합)을 일치시킵니다.

자세한 내용은 주소 클래스를 기반으로 하는 방화벽 필터 일치 조건을 참조하십시오.

하나 이상의 지정된 소스 클래스 이름을 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 source-class .

UDP 또는 TCP 소스 포트 필드를 일치시킬 수 있습니다.

동일한 용어에 port 및 source-port 일치 조건을 지정할 수 없습니다.

이 일치 조건을 구성하는 경우, 포트에서 사용 중인 프로토콜을 next-header udp 지정하기 위해 동일한 용어에 또는 next-header tcp 일치 조건을 구성하는 것이 좋습니다.

숫자 값 대신 일치 조건으로 나열된 destination-port number 텍스트 동의어 중 하나를 지정할 수 있습니다.

UDP 또는 TCP 소스 포트 필드를 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 source-port .

옵션이 포함되어 있지 않는 한 except 패킷 소스 필드의 IPv6 주소 접두사를 일치시킬 수 있습니다. 옵션이 포함되어 있는 경우, 패킷 소스 필드의 IPv6 주소 접두사를 일치시키지 마십시오.

계층 수준에서 정의된 [edit policy-options prefix-list prefix-list-name] 접두사 목록 이름을 지정합니다.

연결의 첫 번째 패킷이 아닌 TCP 패킷을 일치시킬 수 있습니다. 이것은 (0x14)의 텍스트 동의어입니다 tcp-flags "(ack | rst)" .

이 일치 조건을 구성하는 경우, 동일한 용어에 next-header tcp 일치 조건을 구성하는 것이 좋습니다.

TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트 를 일치시킬 수 있습니다.

개별 비트 필드를 지정하려면 다음 텍스트 동의어 또는 16진수 값을 지정할 수 있습니다.

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

TCP 세션에서 SYN 플래그는 전송된 초기 패킷에서만 설정되며, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정됩니다.

비트 필드 논리 연산자를 사용하여 여러 플래그를 함께 묶을 수 있습니다.

결합된 비트 필드 일치 조건은 및 tcp-initial 일치 조건을 참조하십시오tcp-established.

이 일치 조건을 구성하는 경우, 동일한 용어에 next-header tcp 일치 조건을 구성하여 TCP 프로토콜이 포트에서 사용되고 있음을 지정하는 것이 좋습니다.

TCP 연결의 초기 패킷을 일치시킬 수 있습니다. 은(는) 의 텍스트 동의어입니다 tcp-flags "(!ack & syn)".

이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 next-header tcp 일치 조건을 구성하는 것이 좋습니다.

패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드를 일치시킵니다.

이 필드는 이전에 IPv4의 서비스 유형(ToS) 필드로 사용되었습니다.

에서 063까지 숫자 값을 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 접두사로 을(를) 포함합니다 0x . 이진 형식으로 값을 지정하려면 접두사로 을(를) 포함합니다 b .

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

• RFC 3246, Expedited Forwarding PHB(Per-Hop Behavior)는 하나의 코드 포인트를 정의합니다. ef(46).

• 보장된 포워딩 PHB 그룹인 RFC 2597은 총 12개의 코드 포인트를 위해 각 클래스에 3개의 드롭 우선순위가 있는 4개의 클래스를 정의합니다.

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

패킷의 CoS 우선 순위를 지정하는 8비트 필드를 일치시키지 마십시오. 자세한 내용은 일치 설명을 참조하십시오 traffic-class .