IPv4 또는 IPv6 트래픽에 대한 서비스 필터 일치 조건

address address

IP 소스 또는 대상 주소 필드를 일치시킵니다.

address address except

IP 소스 또는 대상 주소 필드를 일치시키지 마십시오.

ah-spi spi-value

(M120 및 M320을 제외한 M 시리즈 라우터) IPsec 인증 헤더(AH) SPI(보안 매개 변수 인덱스) 값이 일치합니다.

ah-spi-except spi-value

(M120 및 M320을 제외한 M 시리즈 라우터) IPsec AH SPI 값을 일치시키지 마십시오.

destination-address address

IP 대상 주소 필드를 일치시킵니다.

동일한 용어에 address 및 destination-address 일치 조건을 모두 지정할 수 없습니다.

destination-address address except

IP 대상 주소 필드를 일치시키지 마십시오.

동일한 용어에 address 및 destination-address 일치 조건을 모두 지정할 수 없습니다.

destination-port number

UDP 또는 TCP 대상 포트 필드를 일치시킵니다.

동일한 용어에 port 및 destination-port 일치 조건을 모두 지정할 수 없습니다.

IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.protocol udpprotocol tcp

IPv6 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.next-header udpnext-header tcp

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-port-except number

UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 경기 설명을 참조하십시오 .destination-port

destination-prefix-list name

대상 접두사 목록을 일치시킵니다. 접두사 목록은 ] 계층 수준에서 정의됩니다 .[edit policy-options prefix-list prefix-list-name

esp-spi value

IPsec ESP(Encapsulating Security Payload) SPI 값을 일치시킵니다. 단일 값 또는 값 범위를 지정합니다. 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다.value 16진수 형식으로 값을 지정하려면 접두사로 0x을(를) 포함시켜야 합니다. 2진수 형식으로 값을 지정하려면 접두사로 b을(를) 포함시켜야 합니다.

esp-spi-except value

IPsec ESP SPI 값 또는 값 범위를 일치시키지 마십시오. 자세한 내용은 esp-spi 일치 조건을 참조하십시오.

first-fragment

패킷이 단편화된 패킷의 첫 번째 부분인 경우 일치시킵니다. 패킷이 단편화된 패킷의 마지막 부분인 경우 일치시키지 않습니다. 단편화된 패킷의 첫 번째 부분은 0의 부분 오프셋 값을 갖습니다.

이 일치 조건은 비트 필드 일치 조건인 fragment-offset 0 일치 조건에 대한 별칭입니다.

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어를 사용할 수 있습니다. first-fragment 및 is-fragment.

forwarding-class

다음 지정된 패킷 포워딩 클래스 중 하나 이상을 일치시킵니다.

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

포워딩 클래스 및 라우터 내부 출력 큐에 대한 내용은 포워딩 클래스가 클래스를 출력 큐로 할당하는 방법 이해하기를 참조하십시오.

forwarding-class-except

다음과 같은 지정된 패킷 포워딩 클래스 중 하나 이상을 일치시키지 마십시오.

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(수신 전용) IP 헤더의 3비트 IP 단편화 플래그 필드를 일치시킵니다.

숫자 필드 값 대신 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). dont-fragment(0x4), more-fragments(0x2) 또는 reserved(0x8).

fragment-offset number

IP 헤더의 13비트 부분 오프셋 필드를 일치시킵니다. 이 값은 데이터 부분에 대한 전체 데이터그램 메시지의 오프셋(8바이트 단위)입니다. 숫자 값, 값 범위 또는 값 집합을 지정합니다. 0의 오프셋 값은 단편화된 패킷의 첫 번째 부분을 나타냅니다.

first-fragment 일치 조건은 fragment-offset 0 일치 조건에 대한 별칭입니다.

첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어(first-fragment 및 is-fragment)를 사용할 수 있습니다.

fragment-offset-except number

13비트 부분 오프셋 필드를 일치시키지 마십시오.

interface-group group-number

패킷이 수신된 인터페이스 그룹(하나 이상의 논리적 인터페이스 집합)을 일치시킵니다. 의 경우 에서 까지의 값을 지정합니다.group-number0255

인터페이스 그룹 구성에 대한 자세한 내용은 을(를) 참조하십시오 .인터페이스 그룹 집합에서 수신된 패킷 필터링 개요

interface-group-except group-number

패킷이 수신된 인터페이스 그룹을 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 .interface-group

ip-options values

존재하는 경우, 8비트 IP 옵션 필드를 지정된 값 또는 값 목록과 일치시킵니다.

숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(옵션 값도 나열되어 있음). (131), (7), (148), (130), (136), (137) 또는 (68).loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

IP 옵션에 대한 모든 값을 일치시키려면 텍스트 동의어 any을(를) 사용해야 합니다. 여러 값을 일치시키려면 대괄호 안에 값 목록( [및 ])을 지정해야 합니다. 값의 범위를 일치시키려면 값 사양 [ value1-value2 ]을(를) 사용해야 합니다.

예를 들어, 일치 조건 ip-options [ 0-147 ]은(는) loose-source-route, record-route 또는 security 값 혹은 0~147 범위의 다른 값을 포함하는 IP 옵션 필드를 일치시킵니다. 그러나 이 일치 조건은 router-alert 값(148)만 포함하는 IP 옵션 필드를 일치시키 않습니다.

대부분의 인터페이스의 경우, 하나 이상의 특정 IP 옵션 값( ip-option이외의 값)에 대한 일치 값을 지정하는 필터 용어로 인해 패킷이 라우팅 엔진으로 전송되어 any커넬이 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다.

• 하나 이상의 특정 IP 옵션 값에 대한 일치 ip-option값을 지정하는 방화벽 필터 용어의 경우, 동일한 용어에 종료 동작을 지정하지 않는 한 count, log또는 비 syslog종료 동작을 지정할 수 discard없습니다. 이 동작은 라우터(또는 스위치)의 전송 인터페이스에 적용된 필터에 대한 패킷의 이중 계산을 방지합니다.

• 시스템 병목 현상이 발생할 경우 커널에 처리된 패킷이 드롭됩니다. 대신 일치하는 패킷이 패킷 전달 엔진(하드웨어에서 패킷 처리가 실행되는 장소)으로 전달되도록 보장하려면 ip-options any 일치 조건을 사용해야 합니다.

MX 시리즈 라우터 및 EX 시리즈 스위치의 10기가비트 이더넷 MPC(Modular Port Concentrator), 60기가비트 이더넷 MPC, 60기가비트 큐잉 이더넷 MPC, 60기가비트 이더넷 Enhanced 큐잉 MPC는 IPv4 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다. 이 기능은 EX 시리즈 스위치에서도 지원됩니다. 이러한 MPC에 구성된 인터페이스 경우, ip-options 일치 조건을 사용하여 일치하는 모든 패킷이 처리를 위해 패킷 전달 엔진으로 전송됩니다.

ip-options-except values

IP 옵션 필드를 지정된 값 또는 값 목록과 일치시키지 마십시오. values 지정에 관한 자세한 내용은 ip-options 일치 조건을 참조하십시오.

is-fragment

패킷이 단편화된 패킷의 후행 부분인 경우 일치시킵니다. 단편화된 패킷의 첫 번째 부분을 일치시키지 마십시오.

이 일치 조건은 비트 필드 일치 조건 비트의 별칭입니다.fragment-offset 0 except

loss-priority

다음과 같은 지정된 패킷 손실 우선순위(PLP) 수준 중 하나 이상을 일치시킵니다.

• low

• medium-low

• medium-high

• high

PLP는 스케줄러가 RED(Random Early Discard) 알고리즘과 함께 사용하여 혼잡 기간 동안 패킷 삭제를 제어합니다. PLP에 대한 자세한 내용은 다양한 트래픽 흐름에 대한 패킷 손실 우선 순위를 설정하여 혼잡 관리 및 여러 패킷 헤더 필드를 기반으로 패킷에 서비스 수준 할당 개요를 참조하십시오.Managing Congestion by Setting Packet Loss Priority for Different Traffic FlowsOverview of Assigning Service Levels to Packets Based on Multiple Packet Header Fields

loss-priority-except

다음과 같은 지정된 패킷 손실 우선순위(PLP) 수준 중 하나 이상을 일치시키지 마십시오.

• low

• medium-low

• medium-high

• high

port number

UDP 또는 TCP 소스나 대상 포트 필드를 일치시킵니다.

이 일치 조건을 구성하는 경우, 동일한 용어에 destination-port 일치 조건 또는 source-port 일치 조건을 구성할 수 없습니다.

IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.protocol udpprotoco tcp

IPv6 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.next-header udpnext-header tcp

숫자 값 대신, destination-port에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

port-except number

UDP 또는 TCP 소스나 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 port 일치 조건을 참조하십시오.

prefix-list prefix-list-name

소스 또는 대상 주소 필드의 접두사를 지정된 목록의 접두사와 일치시킵니다. 접두사 목록은 [edit policy-options prefix-list prefix-list-name] 계층 수준에 정의되어 있습니다.

protocol number

IP 프로토콜 유형 필드를 일치시킵니다.

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) 또는 (112).ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

protocol-except number

IP 프로토콜 유형 필드를 일치시키지 마십시오. 자세한 내용은 protocol 일치 조건을 참조하십시오.

source-address address

IP 소스 주소를 일치시킵니다.

동일한 용어에 address 및 source-address 일치 조건을 모두 지정할 수 없습니다.

source-address address except

IP 소스 주소를 일치시키지 마십시오.

동일한 용어에 address 및 source-address 일치 조건을 모두 지정할 수 없습니다.

source-port number

UDP 또는 TCP 소스 포트 필드를 일치시킵니다.

동일한 용어에 port 및 source-port 일치 조건을 지정할 수 없습니다.

IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.protocol udpprotocol tcp

IPv6 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.next-header udpnext-header tcp

숫자 값 대신, destination-port number 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.

source-port-except number

UDP 또는 TCP 소스 포트 필드를 일치시키지 마십시오. 자세한 내용은 source-port 일치 조건을 참조하십시오.

source-prefix-list name

지정된 목록에서 소스 접두사를 일치시킵니다. [edit policy-options prefix-list prefix-list-name 계층 수준에 정의되어 있는 접두사 목록의 이름을 지정합니다.

tcp-flags value

TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다.

개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다.

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다.

비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다.

결합된 비트 필드 일치 조건의 경우, tcp-established 및 tcp-initial 일치 조건을 참조하십시오.

IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 문을 구성 하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.protocol tcp

IPv6 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건을 구성 하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.next-header tcp