Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia del filtro de firewall para el tráfico IPv4

Puede configurar un filtro de firewall con condiciones coincidentes para el tráfico del Protocolo de Internet versión 4 (IPv4) (family inet).

Nota:

En el caso de los enrutadores de la serie MX con MPC, debe inicializar el contador de filtros para los filtros de coincidencia solo Trio en la MIB recorriendo la MIB SNMP correspondiente, por ejemplo, show snmp mib walk name ascii. Esto obliga a Junos a aprender los contadores de filtro y garantiza que se muestren las estadísticas de filtro (esto se debe a que es posible que el primer sondeo para filtrar estadísticas no muestre todos los contadores). Esta guía se aplica a todos los filtros de firewall de modo mejorado, filtros con condiciones flexibles y filtros con ciertas acciones de terminación. Consulte esos temas, enumerados en Documentación relacionada, para obtener más información.

Tabla 1 Describe cómo match-conditions se puede configurar en el nivel jerárquico [edit firewall family inet filter filter-name term term-name from] .

Tabla 1: Condiciones de coincidencia del filtro de firewall para el tráfico IPv4

Condición de coincidencia

Description

address address [ except ]

Haga coincidir el campo Dirección de origen o destino IPv4, a menos que se incluya la except opción. Si se incluye la opción, no coincida con el campo Dirección de origen o destino IPv4.

El except modificador no es compatible con las plataformas EX2300 y EX3400.

ah-spi spi-value

(Enrutadores de la serie M, excepto M120 y M320) Hacer coincidir el valor del índice de parámetros de seguridad (SPI) del encabezado de autenticación (AH) de IPsec.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

ah-spi-except spi-value

(Enrutadores de la serie M, excepto M120 y M320) No coincida con el valor SPI de AH de IPsec.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

apply-groups

Especifique de qué grupos desea heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos en orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos siguientes.

apply-groups-except

Especifique de qué grupos no desea heredar los datos de configuración. Puede especificar más de un nombre de grupo.

destination-address address [ except ]

Haga coincidir el campo Dirección de destino IPv4 a menos que se incluya la except opción. Si se incluye la opción, no coincida con el campo Dirección de destino IPv4.

No puede especificar las condiciones de coincidencia address y destination-address en el mismo término.

destination-class class-names

Hacer coincidir uno o más nombres de clase de destino especificados (conjuntos de prefijos de destino agrupados y con un nombre de clase). Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

destination-class-except class-names

No coincida con uno o más nombres de clase de destino especificados. Para obtener más información, consulte la condición de destination-class coincidencia.

destination-port number

Haga coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones de coincidencia port y destination-port en el mismo término.

Al configurar coincidencias basadas en puertos, también debe configurar la protocol udp instrucción or protocol tcp match en el mismo término de filtro. Hacer coincidir solo el valor del puerto puede dar lugar a coincidencias inesperadas.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-port-except number

No coincida con el campo Puerto de destino UDP o TCP. Para obtener más información, consulte la condición de destination-port coincidencia.

destination-prefix-list name [ except ]

Hacer coincidir los prefijos de destino de la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no coincida con los prefijos de destino de la lista especificada.

Especifique el nombre de una lista de prefijos definida en el [edit policy-options prefix-list prefix-list-namenivel jerárquico ].

dscp number

Hacer coincidir el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.

Se agregó compatibilidad para filtrar en puntos de código de servicios diferenciados (DSCP) y clase de reenvío para paquetes de origen del motor de enrutamiento, incluidos los paquetes IS-IS encapsulados en encapsulación de enrutamiento genérico (GRE). Posteriormente, al actualizar desde una versión anterior de Junos OS en la que tenga un filtro de clase de servicio (CoS) y un filtro de firewall, y ambos incluyan acciones de filtro DSCP o de clase de reenvío, los criterios del filtro de firewall prevalecerán automáticamente sobre la configuración de CoS. Lo mismo ocurre cuando se crean nuevas configuraciones; es decir, cuando existe la misma configuración, el filtro de firewall tiene prioridad sobre el CoS, independientemente de cuál se haya creado primero.

Puede especificar un valor numérico desde 0 .63 Para especificar el valor en formato hexadecimal, inclúyalo 0x como prefijo. Para especificar el valor en formato binario, inclúyalo b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

dscp-except number

No coincida con el número DSCP. Para obtener más información, consulte la condición de dscp coincidencia.

esp-spi spi-value

Hacer coincidir el valor SPI de la carga de seguridad encapsuladora (ESP) IPsec. Coincidir en este valor SPI específico. Puede especificar el valor ESP SPI en formato hexadecimal, binario o decimal.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

esp-spi-except spi-value

Hacer coincidir el valor SPI ESP IPsec. No coincida en este valor SPI específico.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

first-fragment

Coincidir si el paquete es el primer fragmento de un paquete fragmentado. No coincida si el paquete es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmentos de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia fragment-offset 0 de campo de bits.

Para hacer coincidir tanto el primer fragmento como el final, puede utilizar dos términos que especifiquen diferentes condiciones de coincidencia: first-fragment y is-fragment.

flexible-match-mask value

bit-length

Longitud de los datos que deben coincidir en bits, no necesaria para la entrada de cadena (0..128)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desplazamiento de bytes después del punto de inicio de la coincidencia

flexible-mask-name

Seleccione una coincidencia flexible del campo de plantilla predefinido

mask-in-hex

Enmascarar bits en los datos del paquete para que coincidan

match-start

Punto de inicio para que coincida en el paquete

prefix

Datos de valor/cadena que deben coincidir

flexible-match-range value

bit-length

Longitud de los datos que deben coincidir en bits (0..32)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desplazamiento de bytes después del punto de inicio de la coincidencia

flexible-range-name

Seleccione una coincidencia flexible del campo de plantilla predefinido

match-start

Punto de inicio para que coincida en el paquete

range

Intervalo de valores que deben coincidir

range-except

No coinciden con este rango de valores

forwarding-class class

Hacer coincidir la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwarding, o network-control.

Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

forwarding-class-except class

No coincida con la clase de reenvío del paquete. Para obtener más información, consulte la condición de forwarding-class coincidencia.

fragment-flags number

(Solo entrada) Haga coincidir el campo de indicadores de fragmentación de IP de tres bits en el encabezado de IP.

En lugar del valor numérico del campo, puede especificar una de las siguientes palabras clave (también se enumeran los valores de campo): dont-fragment(0x4), more-fragments (0x2) o reserved (0x8).

fragment-offset value

Haga coincidir el campo de desplazamiento del fragmento de 13 bits en el encabezado IP. El valor es el desplazamiento, en unidades de 8 bytes, del mensaje general del datagrama al fragmento de datos. Especifique un valor numérico, un rango de valores o un conjunto de valores. Un valor de desplazamiento de 0 indica el primer fragmento de un paquete fragmentado.

La first-fragment condición de coincidencia es un alias para la condición de fragment-offset 0 coincidencia.

Para hacer coincidir tanto el primer fragmento como el final, puede utilizar dos términos que especifiquen diferentes condiciones de coincidencia (first-fragment y is-fragment).

fragment-offset-except number

No coincida con el campo de desplazamiento de fragmentos de 13 bits.

gre-key range

Haga coincidir el campo gre-key. El campo clave GRE es un número de 4 octetos insertado por el encapsulador GRE. Es un campo opcional para su uso en la encapsulación GRE. Puede range ser un solo número de clave GRE o un rango de números clave.

Para los enrutadores de la serie MX con MPC, inicialice los nuevos filtros de firewall que incluyen esta condición caminando por la MIB SNMP correspondiente.

icmp-code number

Haga coincidir el campo de código del mensaje ICMP.

Nota:

Cuando utilice esta condición de coincidencia, también debe utilizar la condición de protocol icmp coincidencia en el mismo término (como se muestra a continuación) para asegurarse de que icmp se están evaluando los paquetes.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

También debe configurar la condición de icmp-type message-type coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip-header-bad(0), required-option-missing (1)

  • redirigir: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • Tiempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • inalcanzable: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-code-except message-code

No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de icmp-code coincidencia.

icmp-type number

Haga coincidir el campo de tipo de mensaje ICMP.

Nota:

Cuando utilice esta condición de coincidencia, también debe utilizar la condición de protocol icmp coincidencia en el mismo término (como se muestra a continuación) para asegurarse de que icmp se están evaluando los paquetes.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

También debe configurar la condición de icmp-type message-type coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

Nota:

Para Junos OS Evolved, debe configurar la instrucción match protocol en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) o unreachable (3).

icmp-type-except message-type

No coincida con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de icmp-type coincidencia.

interface interface-name

Haga coincidir la interfaz en la que se recibió el paquete.

Nota:

Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.

interface-group group-number

Haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para group-number, especifique un único valor o un intervalo de valores del 0 al 255.

Para asignar una interfaz lógica a un grupo group-numberde interfaces , especifique el group-number en el nivel de [interfaces interface-name unit number family family filter group] jerarquía.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces.

interface-group-except group-number

No hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para obtener más información, consulte la condición de interface-group coincidencia.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

interface-set interface-set-name

Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la interface-set instrucción en el nivel de [edit firewall] jerarquía.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.

ip-options values

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores.

En lugar de un valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de opción): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) o timestamp (68).

Para hacer coincidir cualquier valor de la opción IP, utilice el sinónimo anyde texto . Para hacer coincidir varios valores , especifique la lista de valores entre corchetes ('[' y ']'). Para hacer coincidir un rango de valores, utilice la especificación value1-value2 ]de valores .

Por ejemplo, la condición ip-options [ 0-147 ] de coincidencia coincide en un campo de opciones IP que contiene los loose-source-routevalores , record-route, o security cualquier otro valor del 0 al 147. Sin embargo, esta condición de coincidencia no coincide en un campo de opciones IP que contiene solo el router-alert valor (148).

Para la mayoría de las interfaces, un término de filtro que especifica una ip-option coincidencia en uno o más valores de opción IP específicos (un valor distinto de any) hace que los paquetes se envíen al motor de enrutamiento para que el kernel pueda analizar el campo de opción IP en el encabezado del paquete.

  • Para un término de filtro de firewall que especifica una ip-option coincidencia en uno o más valores de opción IP específicos, no puede especificar las acciones , countlogni syslog las acciones de no terminación a menos que también especifique la acción de discard terminación en el mismo término. Este comportamiento impide la doble cuenta de paquetes para un filtro aplicado a una interfaz de tránsito en el enrutador.

  • Los paquetes procesados en el kernel pueden ser descartados en caso de un cuello de botella del sistema. Para asegurarse de que los paquetes coincidentes se envían al motor de reenvío de paquetes (donde el procesamiento de paquetes se implementa en el hardware), utilice la ip-options any condición de coincidencia.

El concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, el MPC de 100 Gigabit Ethernet, el MPC de 60 Gigabit Ethernet, el MPC de cola de 60 Gigabit y el MPC de cola mejorada de 60 Gigabit Ethernet en los enrutadores de la serie MX son capaces de analizar el campo de opción IP del encabezado del paquete IPv4. Para las interfaces configuradas en esas MPC, todos los paquetes que coinciden mediante la ip-options condición de coincidencia se envían al motor de reenvío de paquetes para su procesamiento.

La ip-options any condición de coincidencia se admite en enrutadores de las series PTX10003 y PTX10008 a partir de Junos Evolved OS versión 20.2R1.

Nota:
  • En los enrutadores de la serie MX, las coincidencias de filtros mediante el uso ip-options no se pueden utilizar con filtros de salida (salida).
  • En los enrutadores de las series M y T, los filtros de firewall no pueden contar ip-options paquetes por tipo de opción y por interfaz. Una solución limitada es usar el show pfe statistics ip options comando para ver ip-options estadísticas por PFE. Consulte mostrar ip de estadísticas de pfe para ver ejemplos de salida.

ip-options-except values

No haga coincidir el campo de opción IP con el valor especificado o la lista de valores. Para obtener más información sobre cómo especificar el values, consulte la condición de ip-options coincidencia.

is-fragment

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP y si el desplazamiento del fragmento no es cero.

Nota:

Para hacer coincidir tanto el primer fragmento como el final, puede utilizar dos términos que especifiquen diferentes condiciones de coincidencia (first-fragment y is-fragment).

loss-priority level

Coincidir con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique uno o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores de la serie MX.

Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) Enhanced II, debe incluir la tri-color instrucción en el nivel de [edit class-of-service] jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, sólo podrá configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la tri-color instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza.

loss-priority-except level

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

packet-length bytes

Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que deben coincidir.

packet-length-except bytes

No coincida con la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

port number

Haga coincidir el campo Puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la condición de destination-port coincidencia ni la condición de source-port coincidencia en el mismo término.

Al configurar coincidencias basadas en puertos, también debe configurar la protocol udp instrucción or protocol tcp match en el mismo término de filtro. Hacer coincidir solo el valor del puerto puede dar lugar a coincidencias inesperadas.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

port-except number

No coincida con el campo de puerto UDP o TCP de origen o destino. Para obtener más información, consulte la condición de port coincidencia.

precedence ip-precedence-value

Haga coincidir el campo de prioridad de IP.

En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00). Puede especificar la prioridad en formato hexadecimal, binario o decimal.

precedence-except ip-precedence-value

No coincida con el campo de prioridad de IP.

En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00). Puede especificar la prioridad en formato hexadecimal, binario o decimal.

prefix-list name [ except ]

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se define en el nivel jerárquico [edit policy-options prefix-list prefix-list-name] .

Nota:

Esta condición de coincidencia no se admite en enrutadores PTX1000.

protocol number

Haga coincidir el campo Tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) o vrrp (112).

protocol-except number

No coincida con el campo Tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

rat-type tech-type-value

Coincidir con el tipo de tecnología de acceso de radio (RAT) especificado en el campo Tipo de técnica de 8 bits de la extensión de tipo de tecnología de acceso IPv4 móvil proxy (PMIPv4). El tipo de tecnología especifica la tecnología de acceso a través de la cual el dispositivo móvil está conectado a la red de acceso.

Especifique un único valor, un rango de valores o un conjunto de valores. Puede especificar un tipo de tecnología como un valor numérico de 0 a 255 o como una palabra clave del sistema.

  • Los siguientes valores numéricos son ejemplos de tipos de tecnología conocidos:

    • El valor numérico 1 coincide con IEEE 802.3.

    • El valor numérico 2 coincide con IEEE 802.11a/b/g.

    • El valor numérico 3 coincide con IEEE 802.16e

    • El valor numérico 4 coincide con IEEE 802.16m.

  • La cadena eutran de texto coincide con 4G.

  • La cadena geran de texto coincide con 2G.

  • La cadena utran de texto coincide con 3G.

rat-type-except tech-type-value

No coincida con el tipo de RAT.

service-filter-hit

Hacer coincidir un paquete recibido de un filtro en el que se aplicó una service-filter-hit acción.

Nota:

Esta condición de coincidencia no se admite en los enrutadores de la serie PTX.

source-address address [ except ]

Haga coincidir la dirección IPv4 del nodo de origen que envía el paquete, a menos que se incluya la except opción. Si se incluye la opción, no coincida con la dirección IPv4 del nodo de origen que envía el paquete.

No puede especificar las condiciones de coincidencia address y source-address en el mismo término.

source-class class-names

Hacer coincidir uno o más nombres de clase de origen especificados (conjuntos de prefijos de origen agrupados y con un nombre de clase). Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

source-class-except class-names

No coincida con uno o más nombres de clase de origen especificados. Para obtener más información, consulte la condición de source-class coincidencia.

source-port number

Haga coincidir el campo Puerto de origen UDP o TCP.

No puede especificar las port condiciones y source-port coincidir en el mismo término.

Al configurar coincidencias basadas en puertos, también debe configurar la protocol udp instrucción or protocol tcp match en el mismo término de filtro. Hacer coincidir solo el valor del puerto puede dar lugar a coincidencias inesperadas.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

source-port-except number

No coincida con el campo Puerto de origen UDP o TCP. Para obtener más información, consulte la condición de source-port coincidencia.

source-prefix-list name [ except ]

Haga coincidir los prefijos de origen de la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no coincida con los prefijos de origen de la lista especificada.

Especifique el nombre de una lista de prefijos definida en el [edit policy-options prefix-list prefix-list-namenivel jerárquico ].

tcp-established

Hacer coincidir los paquetes TCP de una sesión TCP establecida (paquetes distintos del primer paquete de una conexión). Este es un alias para tcp-flags "(ack | rst)".

Esta condición de coincidencia no comprueba implícitamente que el protocolo es TCP. Para comprobarlo, especifique la condición de protocol tcp coincidencia.

tcp-flags value

Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de tcp-established coincidencia y tcp-initial .

Si configura esta condición de coincidencia, se recomienda configurar también la instrucción de protocol tcp coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.

Solo para el tráfico IPv4, esta condición de coincidencia no comprueba implícitamente si el datagrama contiene el primer fragmento de un paquete fragmentado. Para comprobar esta condición solo para el tráfico IPv4, utilice la condición de first-fragment coincidencia.

tcp-initial

Hacer coincidir el paquete inicial de una conexión TCP. Este es un alias para tcp-flags "(!ack & syn)".

Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que también configure la protocol tcp condición de coincidencia en el mismo término.

ttl number

Haga coincidir el número de tiempo de vida IPv4. Especifique un valor TTL o un rango de valores TTL. Para number, puede especificar uno o varios valores desde 0 .255 Esta condición de coincidencia solo se admite en enrutadores serie M120, M320, MX y T.

ttl-except number

No coincida con el número TTL IPv4. Para obtener más información, consulte la condición de ttl coincidencia.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
13.3R7
Se agregó compatibilidad para filtrar en puntos de código de servicios diferenciados (DSCP) y clase de reenvío para paquetes de origen del motor de enrutamiento, incluidos los paquetes IS-IS encapsulados en encapsulación de enrutamiento genérico (GRE).