IPv6 트래픽에 대한 방화벽 필터 일치 조건

except 옵션이 포함되어 있지 않는 한 IPv6 소스 또는 대상 주소 필드를 일치시킵니다. 옵션이 포함되어 있는 경우, IPv6 소스 또는 대상 주소 필드를 일치시키지 마십시오.

구성 데이터를 상속하는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다. 상속 우선순위를 순서대로 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선권을 갖습니다.

구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다.

except 옵션이 포함되어 있지 않는 한 IPv6 대상 주소 필드를 일치시킵니다. 옵션이 포함되어 있는 경우, IPv6 대상 주소 필드를 일치시키지 마십시오.

동일한 용어에 address 및 destination-address 일치 조건을 모두 지정할 수 없습니다.

하나 이상의 지정된 대상 클래스 이름을 일치시킵니다(함께 그룹화되고 클래스 이름이 부여된 대상 접두사 집합).

자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오.

하나 이상의 지정된 대상 클래스 이름을 일치시키지 마십시오. 자세한 내용은 destination-class 일치 조건을 참조하십시오.

UDP 또는 TCP 대상 포트 필드를 일치시킵니다.

동일한 용어에 port 및 destination-port 일치 조건을 모두 지정할 수 없습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.next-header udpnext-header tcp

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 destination-port 일치 조건을 참조하십시오.

옵션이 포함되어 있지 않는 한 IPv6 대상 접두사를 지정된 목록 과 일치시킵니다 .except 옵션이 포함되어 있는 경우, IPv6 대상 접두사를 지정된 목록과 일치시키지 마십시오.

접두사 목록은 ] 계층 수준에서 정의됩니다 .[edit policy-options prefix-list prefix-list-name

Next Header 값을 식별하여 패킷에 포함된 확장 헤더 유형을 일치시킵니다.

패킷의 첫 번째 부분에서 필터는 확장 헤더 유형에서 일치하는 항목을 검색합니다. 프래그먼트 헤더가 있는 패킷이 발견되면(후속 프래그먼트) 다른 확장 헤더의 위치를 예측할 수 없기 때문에 필터는 다음 확장 헤더 유형의 일치 항목만 검색합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (51), (60), (50), (44), (0), (135) 또는 (43).ahdestinationespfragmenthop-by-hopmobilityrouting

확장 헤더 옵션 의 값을 일치 시키려면 텍스트 동의어 를 사용합니다.any

MPC를 포함하고 있는 MX 시리즈 라우터의 경우, 해당 SNMP 관리 정보 베이스(MIB)를 살펴봄으로써 이 조건을 포함하는 새로운 방화벽 필터를 초기화합니다.

패킷에 포함된 확장 헤더 유형을 일치시키지 마십시오. 자세한 내용은 extension-headers 일치 조건을 참조하십시오.

정수 입력의 길이 (1..32 비트);

(선택 사항) 문자열 입력 길이(1..128비트)

(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋

일치 시작점 이후의 바이트 오프셋

사전 정의된 템플릿 필드에서 유연한 일치 항목 선택

일치할 패킷 데이터에서 비트 마스크 아웃

패킷 일치 시작점

일치할 값 데이터/문자열

자세한 내용은 방화벽 필터 유연한 일치 조건을 참조하십시오방화벽 필터 FMC(Flexible Match Condition)

비트 단위로 일치할 데이터의 길이(0..32)

(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋

일치 시작점 이후의 바이트 오프셋

사전 정의된 템플릿 필드에서 유연한 일치 항목 선택

패킷 일치 시작점

일치할 값 범위

이러한 값 범위를 일치시키지 마십시오

자세한 내용은 방화벽 필터 유연한 일치 조건을 참조하십시오방화벽 필터 FMC(Flexible Match Condition)

패킷 포워딩 클래스를 일치시킵니다.

assured-forwarding, best-effort, expedited-forwarding 또는 network-control을(를) 지정합니다.

포워딩 클래스 및 라우터 내부 출력 큐에 대한 내용은 포워딩 클래스가 클래스를 출력 큐로 할당하는 방법 이해하기를 참조하십시오.

패킷 포워딩 클래스를 일치시키지 마십시오. 자세한 내용은 forwarding-class 일치 조건을 참조하십시오.

홉 제한을 지정된 홉 제한 또는 홉 제한 집합과 일치시킵니다. hop-limit의 경우, 단일 값 또는 0~255 값 범위를 지정합니다.

MX 시리즈 라우터의 MIC 또는 MPC에서 호스팅되는 인터페이스에서만 지원됩니다.

홉 제한을 지정된 홉 제한 또는 홉 제한 집합과 일치시키지 마십시오. 자세한 내용은 hop-limit 일치 조건을 참조하십시오.

MX 시리즈 라우터의 MIC 또는 MPC에서 호스팅되는 인터페이스에서만 지원됩니다.

ICMP 메시지 코드 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우 동일한 용어에 또는 일치 조건도 구성하는 것이 좋습니다.next-header icmpnext-header icmp6

이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건도 구성해야 합니다.icmp-type message-type ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 의존합니다.

숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.

• 매개변수 문제: (0), (1), (2)ip6-header-badunrecognized-next-headerunrecognized-option

• 시간 초과: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit(0)

• destination-unreachable: (1), (3), (0), (4)administratively-prohibitedaddress-unreachableno-route-to-destinationport-unreachable

ICMP 메시지 코드 필드를 일치시키지 마십시오. 자세한 내용은 icmp-code 일치 조건을 참조하십시오.

ICMP 메시지 유형 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우 동일한 용어에 또는 일치 조건도 구성하는 것이 좋습니다.next-header icmpnext-header icmp6

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133), 또는 (3). certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-requesthome-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

(201)의 경우 대괄호 안에 값 범위를 지정할 수도 있습니다.private-experimentation-201

ICMP 메시지 유형 필드를 일치시키지 마십시오. 자세한 내용은 icmp-type 일치 조건을 참조하십시오.

패킷이 수신된 인터페이스를 일치시킵니다.

패킷이 수신된 논리 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시킵니다. 의 경우 단일 값 또는 에서 까지의 값 범위를 지정합니다.group-number0255

논리 인터페이스를 인터페이스 그룹 에 할당하려면 계층 수준에서 을(를) group-number지정해야 group-number[interfaces interface-name unit number family family filter group]합니다.

자세한 내용은 인터페이스 그룹 집합에서 수신된 패킷 필터링 개요를 참조하십시오.

패킷이 수신된 논리 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시키지 마십시오. 자세한 내용은 interface-group 일치 조건을 참조하십시오.

패킷이 수신된 인터페이스를 지정된 인터페이스 모음과 일치시킵니다.

인터페이스 집합을 정의하려면 계층 수준에서 문을 포함시켜야 interface-set[edit firewall]합니다.

자세한 내용은 인터페이스 집합에서 수신된 패킷 필터링 개요를 참조하십시오.

존재하는 경우, 8비트 IP 옵션 필드를 지정된 값 또는 값 목록과 일치시킵니다.

숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(옵션 값도 나열되어 있음). loose-source-route(131), record-route(7), router-alert(148), security(130), stream-id(136), strict-source-route(137) 또는 timestamp(68).

IP 옵션에 대한 모든 값을 일치시키려면 텍스트 동의어 any을(를) 사용해야 합니다. 여러 값을 일치시키려면 대괄호 안에 값 목록( [및 ])을 지정해야 합니다. 값의 범위를 일치시키려면 값 사양 [ value1-value2 ]을(를) 사용해야 합니다.

예를 들어, 일치 조건 ip-options [ 0-147 ]은(는) loose-source-route, record-route 또는 security 값 혹은 0~147 범위의 다른 값을 포함하는 IP 옵션 필드를 일치시킵니다. 그러나 이 일치 조건은 router-alert 값(148)만 포함하는 IP 옵션 필드를 일치시키 않습니다.

대부분의 인터페이스의 경우, 하나 이상의 특정 IP 옵션 값( ip-option이외의 값)에 대한 일치 값을 지정하는 필터 용어로 인해 패킷이 라우팅 엔진으로 전송되어 any커넬이 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다.

• 하나 이상의 특정 IP 옵션 값에 대한 일치 ip-option값을 지정하는 방화벽 필터 용어의 경우, 동일한 용어에 종료 동작을 지정하지 않는 한 count, log또는 비 syslog종료 동작을 지정할 수 discard없습니다. 이 동작은 라우터의 트랜짓 인터페이스에 적용된 필터에 대한 패킷의 더블 카운트를 방지합니다.

• 시스템 병목 현상이 발생할 경우 커널에 처리된 패킷이 드롭됩니다. 대신 일치하는 패킷이 패킷 전달 엔진(하드웨어에서 패킷 처리가 실행되는 장소)으로 전달되도록 보장하려면 ip-options any 일치 조건을 사용해야 합니다.

MX 시리즈의 10기가비트 이더넷 MPC(Modular Port Concentrator), 100기가비트 이더넷 MPC, 60기가비트 이더넷 MPC, 60기가비트 큐잉 이더넷 MPC 및 60기가비트 이더넷 Enhanced 큐잉 MPC는 IPv4 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다. 이러한 MPC에 구성된 인터페이스 경우, ip-options 일치 조건을 사용하여 일치하는 모든 패킷이 처리를 위해 패킷 전달 엔진으로 전송됩니다.

IP 옵션 필드를 지정된 값 또는 값 목록과 일치시키지 마십시오. values 지정에 관한 자세한 내용은 ip-options 일치 조건을 참조하십시오.

패킷 손실 우선순위(PLP) 수준을 일치시킵니다.

단일 수준 또는 여러 수준을 지정합니다. low, medium-low, medium-high 또는 high

M120 및 M320 라우터에서 지원; 향상된 CFEB(CFEB-E)가 있는 M7i 및 M10i 라우터; MX 시리즈 라우터와 EX 시리즈 스위치가 있습니다.

Enhanced II FPC(Flexible PIC Concentrator)가 있는 M320, MX 시리즈, T 시리즈 라우터 및 EX 시리즈 스위치의 IP 트래픽의 경우, 계층 수준에 문을 포함 시켜 지정된 4개 수준 중 하나로 PLP 구성을 커밋해야 합니다.tri-color[edit class-of-service] tri-color 문이 활성화되어 있지 않은 경우, high 및 low 수준만 구성할 수 있습니다. 이는 모든 프로토콜 제품군에 적용됩니다.

tri-color 문에 대한 정보는 삼색 마킹 폴리서 구성 및 적용을 참조하십시오. 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용에 대한 자세한 내용은 포워딩 클래스가 출력 대기열에 클래스를 할당하는 방법 이해하기를 참조하십시오.Understanding How Forwarding Classes Assign Classes to Output Queues

PLP 수준을 일치시키지 마십시오. 자세한 내용은 loss-priority 일치 조건을 참조하십시오.

패킷의 첫 번째 8비트 Next Header 필드를 일치시킵니다. 방화벽 일치 조건에 대한 지원은 Junos OS 릴리스 13.3R6 이상에서 사용할 수 있습니다.next-header

패킷의 첫 번째 8비트 Next Header 필드를 일치시킵니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), (17) 또는 (112).ahdstopsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6mobilityno-next-headerospfpimroutingrsvpsctptcpudp vrrp

IPv6 헤더와 페이로드 사이의 헤더 유형을 식별하는 8비트 Next Header 필드를 일치시키지 마십시오. 자세한 내용은 next-header 일치 유형을 참조하십시오.

수신된 패킷 길이를 바이트로 일치시킵니다. 길이는 패킷 헤더를 포함하여 IP 패킷만 언급하고 모든 레이어 2 캡슐화 오버헤드를 포함하지 않습니다.

수신된 패킷 길이(바이트)를 일치시키지 마십시오. 자세한 내용은 packet-length 일치 유형을 참조하십시오.

페이로드 프로토콜 유형을 일치시킵니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).protocol-type 다음 중 하나 또는 집합을 지정합니다. (51), (60), (8), (50), (44), (47), (0), (1), (58, (2), (4), (41), , (89), (103), , (46), (132), (6), (17) 또는 (112) (dstopts (60), fragment (44), hop-by-hop 0) 및 라우팅은 Junos OS 릴리스 16.1 이상에서 사용할 수 없음). ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudpvrrp

또한 이 조건을 사용하여 주니퍼 네트웍스 펌웨어가 해석할 수 없는 확장 헤더 유형을 일치시킬 수도 있습니다.payload-protocol 대괄호 안에 확장 헤더 값의 범위를 지정할 수 있습니다. 펌웨어가 패킷에서 해석할 수 없는 첫 번째 확장 헤더 유형을 찾으면 값이 해당 확장 헤더 유형으로 설정됩니다.payload-protocol 방화벽 필터는 펌웨어가 패킷에서 해석할 수 없는 첫 번째 확장 헤더 유형만 검사합니다.

페이로드 프로토콜 유형을 일치시키지 마십시오. 자세한 내용은 payload-protocol 일치 유형을 참조하십시오.

UDP 또는 TCP 소스나 대상 포트 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 destination-port 일치 조건 또는 source-port 일치 조건을 구성할 수 없습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.next-header udpnext-header tcp

숫자 값 대신, destination-port에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

UDP 또는 TCP 소스나 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 port 일치 조건을 참조하십시오.

except 옵션을 포함하지 않는 한 소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사와 일치시킵니다. 옵션이 포함되어 있는 경우, 소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사와 일치시키지 마십시오.

접두사 목록은 [edit policy-options prefix-list prefix-list-name] 계층 수준에 정의되어 있습니다.

service-filter-hit 동작이 적용된 필터에서 수신된 패킷을 일치시킵니다.

except 옵션이 포함되어 있지 않는 한 패킷을 전송하는 소스 노드의 IPv6 주소를 일치시킵니다. 옵션이 포함되어 있는 경우, 패킷을 전송하는 소스 노드의 IPv6 주소를 일치시키지 마십시오.

동일한 용어에 address 및 source-address 일치 조건을 모두 지정할 수 없습니다.

하나 이상의 지정된 소스 클래스 이름(함께 그룹화되고 클래스 이름이 부여되어 있는 소스 접두사 모음)을 일치시킵니다.

자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오.

하나 이상의 지정된 소스 클래스 이름을 일치시키지 마십시오. 자세한 내용은 source-class 일치 조건을 참조하십시오.

UDP 또는 TCP 소스 포트 필드를 일치시킵니다.

동일한 용어에 port 및 source-port 일치 조건을 지정할 수 없습니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.next-header udpnext-header tcp

숫자 값 대신, destination-port number 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

UDP 또는 TCP 소스 포트 필드를 일치시키지 마십시오. 자세한 내용은 source-port 일치 조건을 참조하십시오.

옵션이 포함되어 있지 않는 한 패킷 소스 필드의 IPv6 주소 접두사를 일치시킵니다.except 옵션이 포함되어 있는 경우, 패킷 소스 필드의 IPv6 주소 접두사를 일치시키지 마십시오.

계층 수준에서 정의된 접두사 목록 이름을 지정합니다.[edit policy-options prefix-list prefix-list-name]

연결의 첫 번째 패킷 이외의 TCP 패킷을 일치시킵니다. 이것은 ()의 텍스트 동의어입니다.tcp-flags "(ack | rst)"0x14

이 일치 조건을 구성하는 경우, 동일한 용어에 next-header tcp 일치 조건을 구성하는 것이 좋습니다.

TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다.

개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다.

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다.

비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다.

결합된 비트 필드 일치 조건의 경우, tcp-established 및 tcp-initial 일치 조건을 참조하십시오.

이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건을 구성 하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.next-header tcp

TCP 연결의 패킷 초기 패킷을 일치시킵니다. 이것은 의 텍스트 동의어 입니다.tcp-flags "(!ack & syn)"

이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 next-header tcp 일치 조건을 구성하는 것이 좋습니다.

패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드를 일치시킵니다.

이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었습니다.

0에서 63까지 숫자 값을 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 접두사로 0x을(를) 포함시켜야 합니다. 2진수 형식으로 값을 지정하려면 접두사로 b을(를) 포함시켜야 합니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).

• EF(Expedited Forwarding) PHB(Per-Hop Behavior)인 RFC 3246은 하나의 코드 포인트를 정의합니다. ef(46).

• AF(Assured Forwarding) PHB 그룹인 RFC 2597은 총 12개의 코드 포인트를 위해 각 클래스에 3개의 드롭 전례를 갖는 4개의 클래스를 정의합니다.

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

패킷의 CoS 우선순위를 지정하는 8비트 필드를 일치시키지 마십시오. 자세한 내용은 경기 설명을 참조하십시오 .traffic-class