flow (IPv6)

Sintaxis

Nivel de jerarquía

Descripción

Configure la especificación de flujo del BGP para la familia de direcciones IPv6 para automatizar la coordinación de las reglas de filtrado de tráfico y permitir la propagación de reglas de especificación de flujo de tráfico para IPv6 y VPN IPv6 con el fin de mitigar los ataques distribuidos de denegación de servicio. La especificación de flujo ofrece protección contra ataques de denegación de servicio y restringe el tráfico malo que consume ancho de banda y lo detiene cerca de la fuente.

Nota:

Para propagar rutas de especificación de flujo IPv6 a través del BGP, habilite la familia inet6 flow o inet6-vpn flow en el [edit protocols bgp family] nivel de jerarquía en enrutadores BGP de la red.

Opciones

`discard-action-for-unresolved-redir-addr`	Configure la acción de descarte para rutas de especificación de flujo del BGP que no se resolvieron mediante la acción redirigir a IP.
`interface-group group<exclude>`	Excluya la aplicación del filtro de especificación de flujo al tráfico recibido en interfaces específicas. Use `exclude` para especificar el grupo de interfaz en el que no desea recibir el tráfico.
`per-route-accounting`	Habilite la contabilidad de tráfico por ruta de especificación de flujo.
`no-per-route-accounting`	Desactive la contabilidad de tráfico por ruta de especificación de flujo.
`destination ipv6-prefix`	Campo de dirección ip de destino.
`destination-port destination-port-names`	Campo de puerto de destino tcp o protocolo de datagramas de usuario (UDP). No puede especificar las `port` condiciones y `destination-port` coincidir en el mismo término. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los números de puerto): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513), `xdmcp` (177), `zephyr-clt` (2103) o `zephyr-hm` (2104).
`dscp value`	Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los seis bits más significativos de este byte forman el DSCP. Gama: Puede especificar DSCP en forma hexadecimal o decimal del 0 al 63.
`flow-label` `numeric-expression`	El valor de este campo oscila entre 0 y 1048575. Esta condición de coincidencia solo se admite en dispositivos Junos con MPC mejorados configurados para `enhanced-ip` el modo.
`fragment fragment-value`	Las palabras clave se agrupan por el tipo de fragmento con el que están asociadas: `first-fragment` `is-fragment` `last-fragment` `not-a-fragment` Esta condición de coincidencia solo se admite en dispositivos Junos con MPC mejorados configurados para `enhanced-ip` el modo.
`icmp6-code icmp6-code-value`	Campo de código ICMP6. Este valor o palabra clave proporciona información más específica que `icmp6-type`. Dado que el significado del valor depende del valor asociado `icmp6-type` , debe especificar `icmp6-type` junto con `icmp6-code`. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas: parameter-problem: `ip-header-bad` (0), `required-option-missing` (1) Redirigir: `redirect-for-host`(1), `redirect-for-network` (0), `redirect-for-tos-and-host` (3), `redirect-for-tos-and-net` (2) tiempo superado: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) Inalcanzable: `communication-prohibited-by-filtering`(13), `destination-host-prohibited` (10), `destination-host-unknown` (7), `destination-network-prohibited` (9), `destination-network-unknown` (6), `fragmentation-needed` (4), `host-precedence-violation` (14), `host-unreachable` (1), `host-unreachable-for-TOS` (12), `network-unreachable` (0), `network-unreachable-for-TOS` (11), `port-unreachable` (3), `precedence-cutoff-in-effect` (15), `protocol-unreachable` (2), `source-host-isolated` (8), `source-route-failed` (5)
`icmp6-type icmp6-type-value`	Campo de tipo de paquete ICMP6. Normalmente, se especifica esta coincidencia junto con la `protocol` instrucción match para determinar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `echo-reply`(0), `echo-request` (8), `info-reply` (16), `info-request` (15), `mask-request` (17), `mask-reply` (18), `parameter-problem` (12), `redirect` (5), `router-advertisement` (9), `router-solicit` (10), `source-quench` (4), `time-exceeded` (11), `timestamp` (13), `timestamp-reply` (14) o `unreachable` (3).
`packet-length packet-length`	El valor total de longitud de paquete IP puede oscilar entre 0 y 65535.
`port port-names`	Campo de puerto de origen o destino TCP o UDP. No puede especificar tanto la `port` condición de coincidencia como la `destination-port` condición de coincidencia `source-port` en el mismo término. En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en `destination-port`.
prefix-offset `number`	(Opcional) Especifique la cantidad de bits que se deben omitir antes de que Junos OS comience a coincidir con el prefijo. Esta condición de coincidencia solo se admite en dispositivos Junos con MPC mejorados configurados para `enhanced-ip` el modo.
`protocol number`	Para IPv6, el campo de protocolo IP solo se admite en dispositivos Junos con MPC configurados para `enhanced-ip` el modo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `ah` (51), `egp` (8), `esp` (50), `gre` (47), `icmp` (1), `igmp` (2), `ipip` (4), `ipv6` (41), `ospf` (89), `pim` (103), `rsvp` (46), `tcp` (6) o `udp` (17).
`source ipv6-prefix`	Campo de dirección IP de origen.
`source-port source-port-names`	Campo de puerto de origen TCP o UDP. No puede especificar las `port` condiciones y `source-port` coincidir en el mismo término. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en `destination-port`.
`tcp-flags tcp-flags`	Formato de encabezado TCP.
`no-install`	Prohibir la instalación de rutas recibidas en la tabla de reenvío.
`accept`	Aceptar un paquete. Este es el valor predeterminado.
`community name`	Reemplace las comunidades de la ruta con las comunidades especificadas.
`discard`	Descarte un paquete en silencio, sin enviar un mensaje de protocolo de mensaje de control de Internet (ICMP).
`mark value`	Establezca un valor DSCP para el tráfico que coincida con este flujo. Especifique un valor del 0 al 63. Esta acción solo se admite en dispositivos Junos con MPC configurados para `enhanced-ip` el modo. Nota: Junos OS admite la acción extendida de filtrado del BGP `community` de marcado de tráfico. Para el tráfico IPv4, Junos OS modifica los bits de punto de código DiffServ (DSCP) de un paquete IPv4 en tránsito al valor correspondiente de la comunidad extendida. En el caso de los paquetes IPv6, Junos OS modifica los primeros seis bits del `traffic class` campo del paquete IPv6 que transmite al valor correspondiente de la comunidad extendida.
`redirect`	Redirigir (túnel) el tráfico de este flujo a una dirección dada del salto siguiente.
`next-term`	Continúe con la siguiente condición de coincidencia para la evaluación.
`rate-limit rate-limit`	Limite el ancho de banda en la ruta de flujo. Exprese el límite en bits por segundo (bps).
`routing-instance route-target-extended-community`	Especifique una instancia de enrutamiento a la que se reenvían los paquetes.
`sample`	Muestra del tráfico en la ruta de flujo.
`traceoptions`	Defina las operaciones de rastreo que rastrean todas las funcionalidades del protocolo de enrutamiento en el dispositivo de enrutamiento.

Nivel de privilegio requerido

enrutamiento: para ver esta instrucción en la configuración.

enrutamiento-control: para agregar esta instrucción a la configuración.

Información de versión

Declaración introducida en la versión 16.1 de Junos OS.

EN ESTA PÁGINA