Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia del filtro de firewall para el tráfico IPv6

Puede configurar un filtro de firewall con condiciones coincidentes para el tráfico del Protocolo de Internet versión 6 (IPv6) (family inet6).

Nota:

En el caso de los enrutadores de la serie MX con MPC, debe inicializar el contador de filtros para los filtros de coincidencia solo Trio caminando por la MIB SNMP correspondiente, por ejemplo, show snmp mib walk name ascii. Esto obliga a Junos a aprender los contadores de filtros y asegurarse de que se muestran las estadísticas de filtro. Esta guía se aplica a todos los filtros de firewall de modo mejorado, filtros con condiciones flexibles y filtros con ciertas acciones de terminación. Consulte esos temas, enumerados en Documentación relacionada, para obtener más información.

Tabla 1 Describe las condiciones de coincidencia que puede configurar en el nivel jerárquico [edit firewall family inet6 filter filter-name term term-name from] .

Tabla 1: Condiciones de coincidencia del filtro de firewall para el tráfico IPv6

Condición de coincidencia

Description

address address [ except ]

Haga coincidir el campo Dirección de origen o destino IPv6, a menos que se incluya la except opción. Si se incluye la opción, no coincida con el campo Dirección de origen o destino IPv6.

apply-groups

Especifique de qué grupos desea heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos en orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos siguientes.

apply-groups-except

Especifique de qué grupos no desea heredar los datos de configuración. Puede especificar más de un nombre de grupo.

destination-address address [ except ]

Haga coincidir el campo Dirección de destino IPv6 a menos que se incluya la except opción. Si se incluye la opción, no coincida con el campo Dirección de destino IPv6.

No puede especificar las condiciones de coincidencia address y destination-address en el mismo término.

destination-class class-names

Hacer coincidir uno o más nombres de clase de destino especificados (conjuntos de prefijos de destino agrupados y con un nombre de clase).

Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

destination-class-except class-names

No coincida con uno o más nombres de clase de destino especificados. Para obtener más información, consulte la condición de destination-class coincidencia.

destination-port number

Haga coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones de coincidencia port y destination-port en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

Nota:

Para Junos OS Evolved, debe configurar la instrucción match next-header en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-port-except number

No coincida con el campo Puerto de destino UDP o TCP. Para obtener más información, consulte la condición de destination-port coincidencia.

destination-prefix-list prefix-list-name [ except ]

Haga coincidir el prefijo de destino IPv6 con la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir el prefijo de destino IPv6 con la lista especificada.

La lista de prefijos se define en el nivel de [edit policy-options prefix-list prefix-list-namejerarquía ].

extension-headers header-type

Haga coincidir un tipo de encabezado de extensión contenido en el paquete identificando un valor de encabezado siguiente.

Nota:

Esta condición de coincidencia solo se admite en MPC de enrutadores de la serie MX.

En el primer fragmento de un paquete, el filtro busca una coincidencia en cualquiera de los tipos de encabezado de extensión. Cuando se encuentra un paquete con un encabezado de fragmento (un fragmento posterior), el filtro sólo busca una coincidencia del siguiente tipo de encabezado de extensión porque la ubicación de otros encabezados de extensión es impredecible.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) o routing (43).

Para hacer coincidir cualquier valor de la opción de encabezado de extensión, utilice el sinónimo anyde texto .

Para los enrutadores de la serie MX con MPC, inicialice los nuevos filtros de firewall que incluyen esta condición caminando por la MIB SNMP correspondiente.

first-fragment

Coincidir si el paquete es el primer fragmento.

 

etiqueta de flujo flow label value

Haga coincidir el campo flow-label de 20 bits en el encabezado de un paquete IPv6. Los valores varían de 0x1 a 0xFFFFF.

Las condiciones de coincidencia flow-label y next-header no pueden coexistir. Solo se puede aplicar cualquiera de estas condiciones de coincidencia a la vez. Para habilitar flow-label y deshabilitar next-header , aplique la siguiente configuración: set firewall v6-flowlabel-enable.

En la tabla siguiente se resume el comportamiento de la condición de coincidencia flow-label con la condición de encabezado siguiente .

Escenario

Configuración

La configuración del filtro tiene

Acción

1

Sin configuración

etiqueta de flujo

No se permite ninguna coincidencia de etiqueta de flujo.

2

Sin configuración

siguiente-encabezado

No se permite la coincidencia del encabezado siguiente con el primer encabezado de extensión. El valor predeterminado es que coincide con el protocolo de carga.

3

no-next-header-to-payload-protocol-mapping

etiqueta de flujo

No se permite la coincidencia de etiqueta de flujo.

4

no-next-header-to-payload-protocol-mapping

siguiente-encabezado

Se permite la siguiente coincidencia del encabezado con el primer encabezado de extensión.

5

v6-flowlabel-enable

etiqueta de flujo

coincidencia flow-label permitida

6

v6-flowlabel-enable

siguiente-encabezado

No se permite la coincidencia del encabezado siguiente con el primer encabezado de extensión. El valor predeterminado es que coincide con el protocolo de carga.

Nota:

Las v6-flowlabel-enable condiciones de coincidencia y flow-label solo se admiten en Junos EVO en PTX10001-36MR, PTX10003, PTX10004, PTX10008 y PTX10016.

máscara de etiqueta flow label value de flujo mask value

Además del valor de etiqueta de flujo normal, puede utilizar un valor de máscara al configurar la coincidencia; El valor de máscara coincide con bits específicos del valor de etiqueta de flujo dado.

Nota:

La flow-label condición de coincidencia de valor de máscara de valor de etiqueta mask de flujo solo se admite en Junos EVO en PTX10001-36MR, PTX10003, PTX10004, PTX10008 y PTX10016.

extension-headers-except header-type

No coincida con un tipo de encabezado de extensión contenido en el paquete. Para obtener más información, consulte la condición de extension-headers coincidencia.

Nota:

Esta condición de coincidencia solo se admite en MPC de enrutadores de la serie MX.

flexible-match-mask value

bit-length

Longitud de la entrada entera (1..32 bits);

(Opcional) Longitud de la entrada de cadena (1.128 bits)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desplazamiento de bytes después del punto de inicio de la coincidencia

flexible-mask-name

Seleccione una coincidencia flexible del campo de plantilla predefinido

mask-in-hex

Enmascarar bits en los datos del paquete para que coincidan

match-start

Punto de inicio para que coincida en el paquete

prefix

Datos de valor/cadena que deben coincidir

Consulte Condiciones de coincidencia flexible del filtro de firewall para obtener más información.

flexible-match-range value

Los rangos deben tener el siguiente formato: Integer-Integer

bit-length

Longitud de los datos que deben coincidir en bits (0..32)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desplazamiento de bytes después del punto de inicio de la coincidencia

flexible-range-name

Seleccione una coincidencia flexible del campo de plantilla predefinido

match-start

Punto de inicio para que coincida en el paquete

range

Intervalo de valores que deben coincidir

range-except

No coinciden con este rango de valores

Consulte Condiciones de coincidencia flexible del filtro de firewall para obtener más información.

forwarding-class class

Hacer coincidir la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwarding, o network-control.

Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

forwarding-class-except class

No coincida con la clase de reenvío del paquete. Para obtener más información, consulte la condición de forwarding-class coincidencia.

hop-limit hop-limit

Haga coincidir el límite de salto con el límite de salto especificado o con un conjunto de límites de saltos. Para hop-limit, especifique un único valor o un intervalo de valores del 0 al 255.

Solo se admite en interfaces alojadas en MIC o MPC de enrutadores de la serie MX.

Nota:

Esta condición de coincidencia se admite en los enrutadores de la serie PTX cuando enhanced-mode se configura en el enrutador.

hop-limit-except hop-limit

No haga coincidir el límite de salto con el límite de salto especificado ni con el conjunto de límites de saltos. Para obtener más información, consulte la condición de hop-limit coincidencia.

Solo se admite en interfaces alojadas en MIC o MPC de enrutadores de la serie MX.

Nota:

Esta condición de coincidencia se admite en los enrutadores de la serie PTX cuando enhanced-mode se configura en el enrutador.

icmp-code message-code

Haga coincidir el campo de código del mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la next-header icmp condición de coincidencia o next-header icmp6 en el mismo término.

Si configura esta condición de coincidencia, también debe configurar la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • Tiempo excedido: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Destino inalcanzable: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de icmp-code coincidencia.

icmp-type message-type

Haga coincidir el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la next-header icmp condición de coincidencia o next-header icmp6 en el mismo término.

Nota:

Para Junos OS Evolved, debe configurar la instrucción match next-header en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) o time-exceeded (3).

Para private-experimentation-201 (201), también puede especificar un rango de valores entre corchetes.

icmp-type-except message-type

No coincida con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de icmp-type coincidencia.

interface interface-name

Haga coincidir la interfaz en la que se recibió el paquete.

Nota:

Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.

interface-group group-number

Haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para group-number, especifique un único valor o un intervalo de valores de 0 a .255

Para asignar una interfaz lógica a un grupo group-numberde interfaces , especifique el group-number en el nivel de [interfaces interface-name unit number family family filter group] jerarquía.

Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces.

interface-group-except group-number

No hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para obtener más información, consulte la condición de interface-group coincidencia.

interface-set interface-set-name

Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la interface-set instrucción en el nivel de [edit firewall] jerarquía.

Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.

ip-options values

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores.

En lugar de un valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de opción): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) o timestamp (68).

Para hacer coincidir cualquier valor de la opción IP, utilice el sinónimo anyde texto . Para hacer coincidir varios valores , especifique la lista de valores entre corchetes ('[' y ']'). Para hacer coincidir un rango de valores, utilice la especificación value1-value2 ]de valores .

Por ejemplo, la condición ip-options [ 0-147 ] de coincidencia coincide en un campo de opciones IP que contiene los loose-source-routevalores , record-route, o security cualquier otro valor del 0 al 147. Sin embargo, esta condición de coincidencia no coincide en un campo de opciones IP que contiene solo el router-alert valor (148).

Para la mayoría de las interfaces, un término de filtro que especifica una ip-option coincidencia en uno o más valores de opción IP específicos (un valor distinto de any) hace que los paquetes se envíen al motor de enrutamiento para que el kernel pueda analizar el campo de opción IP en el encabezado del paquete.

  • Para un término de filtro de firewall que especifica una ip-option coincidencia en uno o más valores de opción IP específicos, no puede especificar las acciones , countlogni syslog las acciones de no terminación a menos que también especifique la acción de discard terminación en el mismo término. Este comportamiento impide la doble cuenta de paquetes para un filtro aplicado a una interfaz de tránsito en el enrutador.

  • Los paquetes procesados en el kernel pueden ser descartados en caso de un cuello de botella del sistema. Para asegurarse de que los paquetes coincidentes se envían al motor de reenvío de paquetes (donde el procesamiento de paquetes se implementa en el hardware), utilice la ip-options any condición de coincidencia.

El concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, el MPC de 100 Gigabit Ethernet, el MPC de 60 Gigabit Ethernet, el MPC de cola de 60 Gigabit y el MPC de cola mejorada de 60 Gigabit Ethernet en los enrutadores de la serie MX son capaces de analizar el campo de opción IP del encabezado del paquete IPv4. Para las interfaces configuradas en esas MPC, todos los paquetes que coinciden mediante la ip-options condición de coincidencia se envían al motor de reenvío de paquetes para su procesamiento.

ip-options-except values

No haga coincidir el campo de opción IP con el valor especificado o la lista de valores. Para obtener más información sobre cómo especificar el values, consulte la condición de ip-options coincidencia.

is-fragment

Coincidir si el paquete es un fragmento.

 

last-fragment

Coincidir si el paquete es el último fragmento.

 

loss-priority level

Coincidir con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique uno o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores serie MX y conmutadores serie EX.

Para el tráfico IP en enrutadores M320, serie MX, serie T y conmutadores serie EX con concentradores PIC flexibles (FPC) II mejorados, debe incluir la tri-color instrucción en el [edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, sólo podrá configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la tri-color instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

loss-priority-except level

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

next-header header-type

Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete. La compatibilidad con la condición de coincidencia de next-header firewall está disponible en Junos OS versión 13.3R6 y posteriores.

Nota:

Las plataformas MX tienen una next-header coincidencia que coincide con el primer encabezado siguiente (NH) del paquete y el payload-protocol para que coincida con el último NH. Mientras que las plataformas EVO-PTX soportaron el next-header partido en el último NH, pero no en el primero. El caso de uso más común es hacer coincidir el último NH, y este era nativo de las plataformas PTX. Ahora el next-header coincide con el primer NH, y el payload-protocol coincide con el último NH, y se comporta de la misma manera que en las plataformas MX. Si utiliza la cláusula de filtro next-header IPv6 en el firewall de las interfaces WAN, debe revisar y modificar el firewall para que coincida con el nuevo comportamiento. Este cambio se introdujo en las versiones evolucionadas de Junos OS:

  • 21.4R2-S1-EVO, 21.4R2-S2-EVO, 21.4R3-S1-EVO y posteriores

  • Excluye 21.4R3-EVO

  • 22,2 R2-EVO

  • 22.3R1-EVO

Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

Nota:
  • next-header icmp6 y next-header icmpv6 las condiciones de coincidencia realizan la misma función. next-header icmp6 es la opción preferida. next-header icmpv6 está oculto en la CLI de Junos OS.

  • En los dispositivos de la serie QFX5000 que ejecutan Junos OS Evolved, la coincidencia no se admite en next-header ERACLv6 y, en su lugar, debe configurar la payload-protocol coincidencia.

next-header-except header-type

No coincida con el campo Encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más información, consulte el tipo de next-header coincidencia.

packet-length bytes

Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

packet-length-except bytes

No coincida con la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

payload-protocol protocol-type

Haga coincidir el tipo de protocolo de carga.

En lugar del protocol-type valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): Especifique una o una de las siguientes opciones: ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-header, ospf (89), pim (103), routing, rsvp (46), sctp (132), tcp (6), udp (17) o vrrp (112) (dstopts (60), fragmento (44), salto a salto 0) y enrutamiento no están disponibles en Junos OS versión 16.1 y posteriores).

También puede usar la payload-protocol condición para que coincida con un tipo de encabezado de extensión que el firmware de Juniper Networks no pueda interpretar. Puede especificar un rango de valores de encabezado de extensión entre corchetes. Cuando el firmware encuentra el primer tipo de encabezado de extensión que no puede interpretar en un paquete, el valor se establece en ese tipo de payload-protocol encabezado de extensión. El filtro de firewall solo examina el primer tipo de encabezado de extensión que el firmware no puede interpretar en el paquete.

Nota:

Esta condición de coincidencia solo se admite en MPC de enrutadores de la serie MX. Inicialice los nuevos filtros de firewall que incluyan esta condición caminando por la MIB SNMP correspondiente.

payload-protocol-except protocol-type

No coincida con el tipo de protocolo de carga. Para obtener más información, consulte el tipo de payload-protocol coincidencia.

Nota:

Esta condición de coincidencia solo se admite en MPC en enrutadores de la serie MX

port number

Haga coincidir el campo Puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la condición de destination-port coincidencia ni la condición de source-port coincidencia en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

Nota:

Para Junos OS Evolved, debe configurar la instrucción match next-header en el mismo término.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

port-except number

No coincida con el campo Puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de port coincidencia.

prefix-list prefix-list-name [ except ]

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se define en el nivel jerárquico [edit policy-options prefix-list prefix-list-name] .

service-filter-hit

Hacer coincidir un paquete recibido de un filtro en el que se aplicó una service-filter-hit acción.

source-address address [ except ]

Haga coincidir la dirección IPv6 del nodo de origen que envía el paquete, a menos que se incluya la except opción. Si se incluye la opción, no coincida con la dirección IPv6 del nodo de origen que envía el paquete.

No puede especificar las condiciones de coincidencia address y source-address en el mismo término.

source-class class-names

Hacer coincidir uno o más nombres de clase de origen especificados (conjuntos de prefijos de origen agrupados y con un nombre de clase).

Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

source-class-except class-names

No coincida con uno o más nombres de clase de origen especificados. Para obtener más información, consulte la condición de source-class coincidencia.

source-port number

Haga coincidir el campo Puerto de origen UDP o TCP.

No puede especificar las port condiciones y source-port coincidir en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

Nota:

Para Junos OS Evolved, debe configurar la next-header instrucción or next-header tcp match en el mismo término.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

source-port-except number

No coincida con el campo Puerto de origen UDP o TCP. Para obtener más información, consulte la condición de source-port coincidencia.

source-prefix-list name [ except ]

Haga coincidir el prefijo de dirección IPv6 del campo de origen del paquete , a menos que se incluya la except opción. Si se incluye la opción, no coincida con el prefijo de dirección IPv6 del campo de origen del paquete.

Especifique un nombre de lista de prefijos definido en el nivel de [edit policy-options prefix-list prefix-list-name] jerarquía.

tcp-established

Hacer coincidir paquetes TCP distintos del primer paquete de una conexión. Este es un sinónimo de texto para tcp-flags "(ack | rst)" (0x14).

Nota:

Esta condición no comprueba implícitamente que el protocolo es TCP. Para comprobarlo, especifique la condición de protocol tcp coincidencia.

Si configura esta condición de coincidencia, le recomendamos que también configure la next-header tcp condición de coincidencia en el mismo término.

tcp-flags flags

Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de tcp-established coincidencia y tcp-initial .

Si configura esta condición de coincidencia, se recomienda que también configure la condición de next-header tcp coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.

tcp-initial

Hacer coincidir el paquete inicial de una conexión TCP. Este es un sinónimo de texto para tcp-flags "(!ack & syn)".

Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que también configure la next-header tcp condición de coincidencia en el mismo término.

traffic-class number

Haga coincidir el campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete.

Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4.

Puede especificar un valor numérico desde 0 .63 Para especificar el valor en formato hexadecimal, inclúyalo 0x como prefijo. Para especificar el valor en formato binario, inclúyalo b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

traffic-class-except number

No coincida con el campo de 8 bits que especifica la prioridad CoS del paquete. Para obtener más información, consulte la descripción del traffic-class partido.

Nota:

source-port-range-optimize y destination-port-range-optimize son compatibles con el filtro de firewall IPv6 en la dirección de entrada en el nivel de [edit firewall family inet6 filter <filter-name> term <term-name> from] jerarquía.

Hay espacio TCAM limitado disponible para programar entradas de filtro. El espacio TCAM puede agotarse al intentar hacer coincidir un gran número de rangos de puertos de origen o destino. Para resolver esto, y destination-port-range-optimize se puede configurar desde CLI, source-port-range-optimize lo que reducirá considerablemente el número de entradas TCAM utilizadas cuando los rangos de puertos de origen o destino se configuran en condiciones de coincidencia de filtro de firewall.

A continuación se muestra un ejemplo de configuración.

Nota:

Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o source-address de coincidenciaaddressdestination-address), use la sintaxis para las representaciones de texto descritas en RFC 4291, Arquitectura de direccionamiento IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y Estándares IPv6 compatibles.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
13.3R6
La compatibilidad con la condición de coincidencia de next-header firewall está disponible en Junos OS versión 13.3R6 y posteriores.