Condiciones de coincidencia de filtro de firewall para tráfico IPv6

Coincida con el campo de dirección de origen o destino IPv6 a menos que la except opción esté incluida. Si la opción está incluida, no coincida con el campo de dirección de origen o destino IPv6.

Especifique de qué grupos heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos por orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos subsiguientes.

Especifique de qué grupos no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.

Coincida con el campo de dirección de destino IPv6 a menos que se incluya la except opción. Si la opción está incluida, no coincida con el campo de dirección de destino IPv6.

No puede especificar las address condiciones y destination-address coincidir en el mismo término.

Coincida con uno o más nombres de clase de destino especificados (conjuntos de prefijos de destino agrupados y asignados a un nombre de clase).

Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

No haga coincidir uno o varios nombres de clase de destino especificados. Para obtener más información, consulte la condición de destination-class coincidencia.

Coincida con el campo de puerto de destino UDP o TCP.

No puede especificar las port condiciones y destination-port coincidir en el mismo término.

Si configura esta condición de coincidencia, recomendamos que también configure la next-header udp condición o next-header tcp de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

No coincida con el campo de puerto de destino UDP o TCP. Para obtener más información, consulte la condición de destination-port coincidencia.

Haga coincidir el prefijo de destino IPv6 con la lista especificada a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir el prefijo de destino IPv6 con la lista especificada.

La lista de prefijos se define en el [edit policy-options prefix-list prefix-list-namenivel de jerarquía ].

Hacer coincidir un tipo de encabezado de extensión que esté contenido en el paquete identificando un valor de Encabezado siguiente.

En el primer fragmento de un paquete, el filtro busca una coincidencia en cualquiera de los tipos de encabezado de extensión. Cuando se encuentra un paquete con un encabezado de fragmento (un fragmento posterior), el filtro solo busca una coincidencia del siguiente tipo de encabezado de extensión, ya que la ubicación de otros encabezados de extensión es impredecible.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) o routing (43).

Para que coincida con cualquier valor de la opción encabezado de extensión, utilice el sinónimo anyde texto .

Para los enrutadores serie MX con MPC, inicialice los filtros de firewall nuevos que incluyan esta condición caminando el MIB SNMP correspondiente.

No haga coincidir un tipo de encabezado de extensión contenido en el paquete. Para obtener más información, consulte la condición de extension-headers coincidencia.

Longitud de entrada entera (1,32 bits);

(Opcional) Longitud de la entrada de cadena (1,128 bits)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de byte después del punto de inicio del partido

Seleccione una coincidencia flexible a partir del campo de plantilla predefinido

Enmascarar bits en los datos del paquete para que coincidan

Punto de inicio para coincidir en el paquete

Datos de valor/cadena que se coincidirán

Consulte condiciones de coincidencia flexible del filtro de firewall para obtener más detalles

Longitud de los datos que se coincidirán en bits (0..32)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de byte después del punto de inicio del partido

Seleccione una coincidencia flexible a partir del campo de plantilla predefinido

Punto de inicio para coincidir en el paquete

Rango de valores que se coincidirán

No coincida con este rango de valores

Consulte condiciones de coincidencia flexible del filtro de firewall para obtener más detalles

Coincida con la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwardingo network-control.

Para obtener más información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

No coincida con la clase de reenvío del paquete. Para obtener más información, consulte la condición de forwarding-class coincidencia.

Coincida el límite de salto con el límite de salto especificado o el conjunto de límites de salto. Para hop-limit, especifique un valor único o un rango de valores del 0 al 255.

Solo se admite en interfaces alojadas en MIC o MPC en enrutadores serie MX.

No haga coincidir el límite de salto con el límite de salto especificado o el conjunto de límites de salto. Para obtener más información, consulte la condición de hop-limit coincidencia.

Solo se admite en interfaces alojadas en MIC o MPC en enrutadores serie MX.

Coincida con el campo de código de mensaje ICMP.

Si configura esta condición de coincidencia, recomendamos que también configure la next-header icmp condición o next-header icmp6 de coincidencia en el mismo término.

Si configura esta condición de coincidencia, también debe configurar la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

• parameter-problem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• tiempo superado: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• destino inalcanzable: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

No haga coincidir el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de icmp-code coincidencia.

Coincida con el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, recomendamos que también configure la next-header icmp condición o next-header icmp6 de coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), (146) neighbor-advertisement 136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) o time-exceeded (3).

Para private-experimentation-201 (201), también puede especificar un rango de valores entre corchetes.

No haga coincidir el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de icmp-type coincidencia.

Coincida con la interfaz en la que se recibió el paquete.

Hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo o conjunto de grupos de interfaz especificados. Para group-number, especifique un valor único o un intervalo de valores desde 0 hasta 255.

Para asignar una interfaz lógica a un grupo group-numberde interfaz, especifique el group-number[interfaces interface-name unit number family family filter group] nivel de jerarquía.

Para obtener más información, consulte Descripción general sobre filtrado de paquetes recibidos en un conjunto de grupos de interfaz.

No haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaz especificado o conjunto de grupos de interfaz. Para obtener más información, consulte la condición de interface-group coincidencia.

Coincida la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la interface-set instrucción en el [edit firewall] nivel de jerarquía.

Para obtener más información, consulte Descripción general sobre filtrado de paquetes recibidos en un conjunto de interfaces.

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores.

En lugar de un valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de opción también se enumeran): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) o timestamp (68).

Para hacer coincidir cualquier valor para la opción IP, utilice el sinónimo anyde texto . Para hacer coincidir varios valores, especifique la lista de valores entre corchetes ('[' y '']). Para hacer coincidir un rango de valores, utilice la especificación [ value1-value2 ]de valor .

Por ejemplo, la condición ip-options [ 0-147 ] de coincidencia coincide en un campo de opciones IP que contiene los loose-source-route, record-routeo security valores, o cualquier otro valor del 0 al 147. Sin embargo, esta condición de coincidencia no coincide en un campo de opciones IP que contiene solo el router-alert valor (148).

Para la mayoría de las interfaces, un término de filtro que especifica una ip-option coincidencia en uno o más valores de opción de IP específicos (un valor distinto anya ) hace que los paquetes se envíen al motor de enrutamiento para que el kernel pueda analizar el campo de opción IP en el encabezado del paquete.

• Para un término de filtro de firewall que especifica una ip-option coincidencia en uno o más valores de opción de IP específicos, no puede especificar las countacciones , o syslog no determinativas, loga menos que también especifique la discard acción de finalización en el mismo término. Este comportamiento impide el doble conteo de paquetes para un filtro aplicado a una interfaz de tránsito en el enrutador.

• Es posible que los paquetes procesados en el kernel se caigan en caso de un atasco del sistema. Para asegurarse de que los paquetes coincidentes se envíen al motor de reenvío de paquetes (donde el procesamiento de paquetes se implementa en el hardware), utilice la condición de ip-options any coincidencia.

El concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, el MPC de 100 Gigabit Ethernet, el MPC de 60 Gigabit Ethernet, el MPC de Ethernet de cola de 60 Gigabit y el MPC de cola mejorada de 60 Gigabit Ethernet en enrutadores serie MX son capaces de analizar el campo de opción IP del encabezado del paquete IPv4. En el caso de las interfaces configuradas en esos MPC, todos los paquetes coincidentes mediante la ip-options condición de coincidencia se envían al motor de reenvío de paquetes para su procesamiento.

No haga coincidir el campo de opción IP con el valor especificado o la lista de valores. Para obtener más información acerca de cómo especificar la values, consulte la condición de ip-options coincidencia.

Coincida con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique un solo nivel o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con la CFEB mejorada (CFEB-E); y enrutadores de la serie MX y conmutadores de la serie EX.

Para el tráfico IP en M320, enrutadores serie MX, serie T y conmutadores serie EX con concentradores de PIC flexibles (FPC) enhanced II, debe incluir la instrucción en el tri-color[edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener más información acerca de la tri-color instrucción, consulte Configurar y aplicar policiacos de marcado tricolor. Para obtener más información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

Coincida con el primer campo de encabezado siguiente de 8 bits del paquete. La compatibilidad con la condición de coincidencia del next-header firewall está disponible en junos OS versión 13.3R6 y posteriores.

Para IPv6, recomendamos que utilice el término en lugar del payload-protocolnext-header término cuando configure un filtro de firewall con condiciones de coincidencia. Aunque cualquiera de los dos se puede usar, payload-protocol proporciona la condición de coincidencia más confiable, ya que utiliza el protocolo de carga real para encontrar una coincidencia, mientras next-header que simplemente toma lo que aparece en el primer encabezado después del encabezado IPv6, que puede o no ser el protocolo real. Además, si next-header se utiliza con IPv6, se omite el proceso de búsqueda de bloque de filtro acelerado y se utiliza el filtro estándar en su lugar.

Coincida con el primer campo de encabezado siguiente de 8 bits del paquete.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): ah(51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (4), (4) ipv6 1), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

No haga coincidir el campo Encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más información, consulte el tipo de next-header coincidencia.

Haga coincidir la longitud del paquete recibido en bytes. La longitud se refiere solo al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

No coincida con la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

Coincida con el tipo de protocolo de carga.

En lugar del protocol-type valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): especifique uno o un conjunto de lo siguiente: ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-headerospf , (89), pim (103), routing, rsvp (46), sctp (132), (6), tcpudp (17) o vrrp (112) (dstopts (60), fragmento (44), salto a salto 0) y el enrutamiento no están disponibles en la versión 16.1 y posteriores de Junos OS.

También puede usar la payload-protocol condición para que coincida con un tipo de encabezado de extensión que el firmware de Juniper Networks no pueda interpretar. Puede especificar un rango de valores de encabezado de extensión entre corchetes. Cuando el firmware encuentra el primer tipo de encabezado de extensión que no puede interpretar en un paquete, el payload-protocol valor se establece en ese tipo de encabezado de extensión. El filtro de firewall solo examina el primer tipo de encabezado de extensión que el firmware no puede interpretar en el paquete.

No coincida con el tipo de protocolo de carga. Para obtener más información, consulte el tipo de payload-protocol coincidencia.

Coincida con el campo de puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la destination-port condición de coincidencia o la source-port condición de coincidencia en el mismo término.

Si configura esta condición de coincidencia, recomendamos que también configure la next-header udp condición o next-header tcp de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

No coincida con el campo de puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de port coincidencia.

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se define en el [edit policy-options prefix-list prefix-list-name] nivel de jerarquía.

Hacer coincidir un paquete recibido de un filtro en el que se aplicó una service-filter-hit acción.

Coincida con la dirección IPv6 del nodo de origen que envía el paquete a menos que se incluya la except opción. Si se incluye la opción, no coincida con la dirección IPv6 del nodo de origen que envía el paquete.

No puede especificar las address condiciones y source-address coincidir en el mismo término.

Hacer coincidir uno o varios nombres de clase de origen especificados (conjuntos de prefijos de origen agrupados y asignados a un nombre de clase).

Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

No haga coincidir uno o varios nombres de clase de origen especificados. Para obtener más información, consulte la condición de source-class coincidencia.

Coincida con el campo de puerto de origen UDP o TCP.

No puede especificar las port condiciones y source-port coincidir en el mismo término.

Si configura esta condición de coincidencia, recomendamos que también configure la next-header udp condición o next-header tcp de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

No coincida con el campo de puerto de origen UDP o TCP. Para obtener más información, consulte la condición de source-port coincidencia.

Coincida con el prefijo de dirección IPv6 del campo de origen del paquete a menos que se incluya la except opción. Si se incluye la opción, no coincida con el prefijo de dirección IPv6 del campo de origen del paquete.

Especifique un nombre de lista de prefijo definido en el [edit policy-options prefix-list prefix-list-name] nivel de jerarquía.

Coincida con paquetes TCP distintos del primer paquete de una conexión. Este es un sinónimo de texto para tcp-flags "(ack | rst)" (0x14).

Si configura esta condición de coincidencia, recomendamos que también configure la next-header tcp condición de coincidencia en el mismo término.

Coincida con uno o más de los 6 bits de orden bajo en el campo de indicadores TCP de 8 bits en el encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

En una sesión TCP, la marca SYN solo se establece en el paquete inicial enviado, mientras que la marca ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para las condiciones combinadas de coincidencia de campo de bits, consulte las tcp-established condiciones de coincidencia y tcp-initial de coincidencia.

Si configura esta condición de coincidencia, recomendamos que también configure la next-header tcp condición de coincidencia en el mismo término para especificar que se utiliza el protocolo TCP en el puerto.

Coincida con el paquete inicial de una conexión TCP. Este es un sinónimo de texto de tcp-flags "(!ack & syn)".

Esta condición no comprueba implícitamente que el protocolo sea TCP. Si configura esta condición de coincidencia, recomendamos que también configure la next-header tcp condición de coincidencia en el mismo término.

Coincida con el campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete.

Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4.

Puede especificar un valor numérico de a través 63de 0 . Para especificar el valor en forma hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

• El RFC 3246, un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

• RFC 2597, Grupo PHB de reenvío garantizado, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

No coincida con el campo de 8 bits que especifica la prioridad de CoS del paquete. Para obtener más información, consulte la descripción del traffic-class partido.