Condiciones de coincidencia del filtro de firewall para el tráfico IPv6

Haga coincidir el campo Dirección de origen o destino IPv6, a menos que se incluya la opción.except Si se incluye la opción, no coincida con el campo Dirección de origen o destino IPv6.

Especifique de qué grupos desea heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos en orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos siguientes.

Especifique de qué grupos no desea heredar los datos de configuración. Puede especificar más de un nombre de grupo.

Haga coincidir el campo Dirección de destino IPv6 a menos que se incluya la opción.except Si se incluye la opción, no coincida con el campo Dirección de destino IPv6.

No puede especificar las condiciones de coincidencia y en el mismo término.addressdestination-address

Hacer coincidir uno o más nombres de clase de destino especificados (conjuntos de prefijos de destino agrupados y con un nombre de clase).

Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.El filtro de firewall coincide con condiciones basadas en clases de dirección

No coincida con uno o más nombres de clase de destino especificados. Para obtener más información, consulte la condición de coincidencia.destination-class

Haga coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones de coincidencia y en el mismo término.portdestination-port

Si configura esta condición de coincidencia, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.next-header udpnext-header tcp

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) o (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

No coincida con el campo Puerto de destino UDP o TCP. Para obtener más información, consulte la condición de coincidencia.destination-port

Haga coincidir el prefijo de destino IPv6 con la lista especificada, a menos que se incluya la opción.except Si se incluye la opción, no haga coincidir el prefijo de destino IPv6 con la lista especificada.

La lista de prefijos se define en el nivel de jerarquía ].[edit policy-options prefix-list prefix-list-name

Haga coincidir un tipo de encabezado de extensión contenido en el paquete identificando un valor de encabezado siguiente.

En el primer fragmento de un paquete, el filtro busca una coincidencia en cualquiera de los tipos de encabezado de extensión. Cuando se encuentra un paquete con un encabezado de fragmento (un fragmento posterior), el filtro sólo busca una coincidencia del siguiente tipo de encabezado de extensión porque la ubicación de otros encabezados de extensión es impredecible.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (51), (60), (50), (44), (0), (135) o (43).ahdestinationespfragmenthop-by-hopmobilityrouting

Para hacer coincidir cualquier valor de la opción de encabezado de extensión, utilice el sinónimo de texto .any

Para los enrutadores de la serie MX con MPC, inicialice los nuevos filtros de firewall que incluyen esta condición caminando por la MIB SNMP correspondiente.

No coincida con un tipo de encabezado de extensión contenido en el paquete. Para obtener más información, consulte la condición de coincidencia.extension-headers

Longitud de la entrada entera (1..32 bits);

(Opcional) Longitud de la entrada de cadena (1.128 bits)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de bytes después del punto de inicio de la coincidencia

Seleccione una coincidencia flexible del campo de plantilla predefinido

Enmascarar bits en los datos del paquete para que coincidan

Punto de inicio para que coincida en el paquete

Datos de valor/cadena que deben coincidir

Consulte Condiciones de coincidencia flexible del filtro de firewall para obtener más información.Condiciones de coincidencia flexibles del filtro de firewall

Longitud de los datos que deben coincidir en bits (0..32)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de bytes después del punto de inicio de la coincidencia

Seleccione una coincidencia flexible del campo de plantilla predefinido

Punto de inicio para que coincida en el paquete

Intervalo de valores que deben coincidir

No coinciden con este rango de valores

Consulte Condiciones de coincidencia flexible del filtro de firewall para obtener más información.Condiciones de coincidencia flexibles del filtro de firewall

Hacer coincidir la clase de reenvío del paquete.

Especifique , , , o .assured-forwardingbest-effortexpedited-forwardingnetwork-control

Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.Understanding How Forwarding Classes Assign Classes to Output Queues

No coincida con la clase de reenvío del paquete. Para obtener más información, consulte la condición de coincidencia.forwarding-class

Haga coincidir el límite de salto con el límite de salto especificado o con un conjunto de límites de saltos. Para , especifique un único valor o un intervalo de valores del 0 al 255.hop-limit

Solo se admite en interfaces alojadas en MIC o MPC de enrutadores de la serie MX.

No haga coincidir el límite de salto con el límite de salto especificado ni con el conjunto de límites de saltos. Para obtener más información, consulte la condición de coincidencia.hop-limit

Solo se admite en interfaces alojadas en MIC o MPC de enrutadores de la serie MX.

Haga coincidir el campo de código del mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia o en el mismo término.next-header icmpnext-header icmp6

Si configura esta condición de coincidencia, también debe configurar la condición de coincidencia en el mismo término.icmp-type message-type Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

• parámetro-problema: (0), (1), (2)ip6-header-badunrecognized-next-headerunrecognized-option

• Tiempo excedido: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

• Destino inalcanzable: (1), (3), (0), (4)administratively-prohibitedaddress-unreachableno-route-to-destinationport-unreachable

No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de coincidencia.icmp-code

Haga coincidir el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia o en el mismo término.next-header icmpnext-header icmp6

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133) o (3).certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-requesthome-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

Para (201), también puede especificar un rango de valores entre corchetes.private-experimentation-201

No coincida con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de coincidencia.icmp-type

Haga coincidir la interfaz en la que se recibió el paquete.

Haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para , especifique un único valor o un intervalo de valores de a .group-number0255

Para asignar una interfaz lógica a un grupo de interfaces , especifique el en el nivel de jerarquía.group-numbergroup-number[interfaces interface-name unit number family family filter group]

Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces.Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces

No hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para obtener más información, consulte la condición de coincidencia.interface-group

Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la instrucción en el nivel de jerarquía.interface-set[edit firewall]

Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores.

En lugar de un valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de opción): (131), (7), (148), (130), (136), (137) o (68).loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

Para hacer coincidir cualquier valor de la opción IP, utilice el sinónimo de texto .any Para hacer coincidir varios valores, especifique la lista de valores entre corchetes ('' y '').[] Para hacer coincidir un rango de valores, utilice la especificación de valores .[ value1-value2 ]

Por ejemplo, la condición de coincidencia coincide en un campo de opciones IP que contiene los valores , , o cualquier otro valor del 0 al 147.ip-options [ 0-147 ]loose-source-routerecord-routesecurity Sin embargo, esta condición de coincidencia no coincide en un campo de opciones IP que contiene solo el valor (148).router-alert

Para la mayoría de las interfaces, un término de filtro que especifica una coincidencia en uno o más valores de opción IP específicos (un valor distinto de ) hace que los paquetes se envíen al motor de enrutamiento para que el kernel pueda analizar el campo de opción IP en el encabezado del paquete.ip-optionany

• Para un término de filtro de firewall que especifica una coincidencia en uno o más valores de opción IP específicos, no puede especificar las acciones , ni las acciones de no terminación a menos que también especifique la acción de terminación en el mismo término.ip-optioncountlogsyslogdiscard Este comportamiento impide la doble cuenta de paquetes para un filtro aplicado a una interfaz de tránsito en el enrutador.

• Los paquetes procesados en el kernel pueden ser descartados en caso de un cuello de botella del sistema. Para asegurarse de que los paquetes coincidentes se envían al motor de reenvío de paquetes (donde el procesamiento de paquetes se implementa en el hardware), utilice la condición de coincidencia.ip-options any

El concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, el MPC de 100 Gigabit Ethernet, el MPC de 60 Gigabit Ethernet, el MPC de cola de 60 Gigabit y el MPC de cola mejorada de 60 Gigabit Ethernet en los enrutadores de la serie MX son capaces de analizar el campo de opción IP del encabezado del paquete IPv4. Para las interfaces configuradas en esas MPC, todos los paquetes que coinciden mediante la condición de coincidencia se envían al motor de reenvío de paquetes para su procesamiento.ip-options

No haga coincidir el campo de opción IP con el valor especificado o la lista de valores. Para obtener más información sobre cómo especificar el , consulte la condición de coincidencia.valuesip-options

Coincidir con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique uno o varios niveles: , , , o .lowmedium-lowmedium-highhigh

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores serie MX y conmutadores serie EX.

Para el tráfico IP en enrutadores M320, serie MX, serie T y conmutadores serie EX con concentradores PIC flexibles (FPC) II mejorados, debe incluir la instrucción en el nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados.tri-color[edit class-of-service] Si la instrucción no está habilitada, sólo podrá configurar los niveles y .tri-colorhighlow Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la instrucción, vea Configurar y aplicar políticas de marcado tricolor.tri-colorConfiguring and Applying Tricolor Marking Policers Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.Understanding How Forwarding Classes Assign Classes to Output Queues

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de coincidencia.loss-priority

Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete. La compatibilidad con la condición de coincidencia de firewall está disponible en Junos OS versión 13.3R6 y posteriores.next-header

Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), (17) o (112).ahdstopsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6mobilityno-next-headerospfpimroutingrsvpsctptcpudp vrrp

No coincida con el campo Encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más información, consulte el tipo de coincidencia.next-header

Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

No coincida con la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de coincidencia.packet-length

Haga coincidir el tipo de protocolo de carga.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):protocol-type Especifique una o una de las siguientes opciones: (51), (60), (8), (50), (44), (47), (0), (1), (58, (2), (4), (41), , (89), (103), , (46), (132), (6), (17) o (112) (dstopts (60), fragmento (44), salto a salto 0) y enrutamiento no están disponibles en Junos OS versión 16.1 y posteriores).ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudpvrrp

También puede usar la condición para que coincida con un tipo de encabezado de extensión que el firmware de Juniper Networks no pueda interpretar.payload-protocol Puede especificar un rango de valores de encabezado de extensión entre corchetes. Cuando el firmware encuentra el primer tipo de encabezado de extensión que no puede interpretar en un paquete, el valor se establece en ese tipo de encabezado de extensión.payload-protocol El filtro de firewall solo examina el primer tipo de encabezado de extensión que el firmware no puede interpretar en el paquete.

No coincida con el tipo de protocolo de carga. Para obtener más información, consulte el tipo de coincidencia.payload-protocol

Haga coincidir el campo Puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la condición de coincidencia ni la condición de coincidencia en el mismo término.destination-portsource-port

Si configura esta condición de coincidencia, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.next-header udpnext-header tcp

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en .destination-port

No coincida con el campo Puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de coincidencia.port

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la opción.except Si se incluye la opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se define en el nivel jerárquico .[edit policy-options prefix-list prefix-list-name]

Hacer coincidir un paquete recibido de un filtro en el que se aplicó una acción.service-filter-hit

Haga coincidir la dirección IPv6 del nodo de origen que envía el paquete, a menos que se incluya la opción.except Si se incluye la opción, no coincida con la dirección IPv6 del nodo de origen que envía el paquete.

No puede especificar las condiciones de coincidencia y en el mismo término.addresssource-address

Hacer coincidir uno o más nombres de clase de origen especificados (conjuntos de prefijos de origen agrupados y con un nombre de clase).

Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.El filtro de firewall coincide con condiciones basadas en clases de dirección

No coincida con uno o más nombres de clase de origen especificados. Para obtener más información, consulte la condición de coincidencia.source-class

Haga coincidir el campo Puerto de origen UDP o TCP.

No puede especificar las condiciones y coincidir en el mismo término.portsource-port

Si configura esta condición de coincidencia, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.next-header udpnext-header tcp

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la condición de coincidencia.destination-port number

No coincida con el campo Puerto de origen UDP o TCP. Para obtener más información, consulte la condición de coincidencia.source-port

Haga coincidir el prefijo de dirección IPv6 del campo de origen del paquete , a menos que se incluya la opción.except Si se incluye la opción, no coincida con el prefijo de dirección IPv6 del campo de origen del paquete.

Especifique un nombre de lista de prefijos definido en el nivel de jerarquía.[edit policy-options prefix-list prefix-list-name]

Hacer coincidir paquetes TCP distintos del primer paquete de una conexión. Este es un sinónimo de texto para ().tcp-flags "(ack | rst)"0x14

Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia en el mismo término.next-header tcp

Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de coincidencia y .tcp-establishedtcp-initial

Si configura esta condición de coincidencia, se recomienda que también configure la condición de coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.next-header tcp

Hacer coincidir el paquete inicial de una conexión TCP. Este es un sinónimo de texto para .tcp-flags "(!ack & syn)"

Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia en el mismo término.next-header tcp

Haga coincidir el campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete.

Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4.

Puede especificar un valor numérico desde .063 Para especificar el valor en formato hexadecimal, inclúyalo como prefijo.0x Para especificar el valor en formato binario, inclúyalo como prefijo.b

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

• RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

  • (10), (12), (14)af11af12af13

  • (18), (20), (22)af21af22af23

  • (26), (28), (30)af31af32af33

  • (34), (36), (38)af41af42af43

No coincida con el campo de 8 bits que especifica la prioridad CoS del paquete. Para obtener más información, consulte la descripción del partido.traffic-class