Condiciones de coincidencia del filtro de firewall para el tráfico VPLS

Hacer coincidir la dirección MAC (control de acceso a medios de destino) de un paquete VPLS.

(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones de coincidencia y en el mismo término.portdestination-port

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) o (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el campo Puerto de destino TCP o UDP. No puede especificar las condiciones de coincidencia y en el mismo término.portdestination-port

(Solo enrutadores serie ACX, enrutadores serie MX y conmutadores serie EX) Hacer coincidir los prefijos de destino de la lista especificada. Especifique el nombre de una lista de prefijos definida en el nivel jerárquico ].[edit policy-options prefix-list prefix-list-name

(Solo enrutadores serie MX y conmutadores serie EX) No hacer coincidir los prefijos de destino de la lista especificada. Para obtener más información, consulte la condición de coincidencia.destination-prefix-list

(Solo enrutadores serie MX y conmutadores serie EX) Hacer coincidir el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.https://www.juniper.net/documentation/en_US/junos/topics/concept/classifier-ba-overview-cos-config-guide.html

Puede especificar un valor numérico desde .063 Para especificar el valor en formato hexadecimal, inclúyalo como prefijo.0x Para especificar el valor en formato binario, inclúyalo como prefijo.b

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

• RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

(10), (12), (14), af11af12af13

(18), (20), (22), af21af22af23

(26), (28), (30), af31af32af33

(34), (36), (38)af41af42af43

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el DSCP. Para obtener más información, consulte la condición de coincidencia.dscp

Haga coincidir el campo IEEE 802.3 Length/EtherType de 2 octetos con el valor especificado o la lista de valores.

Puede especificar valores decimales o hexadecimales de 0 a 65535 (0xFFFF). Un valor del 0 al 1500 (0x05DC) especifica la longitud de una trama Ethernet versión 1. Un valor de 1536 (0x0600) a 65535 especifica el EtherType (naturaleza del protocolo de cliente MAC) de una trama Ethernet versión 2.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores hexadecimales): (0x80F3), (0x809B), (0x0806), (0x0800), (0x86DD), (0x8848), (0x8847), (0x8902), (0x880B), (0x8863), (0x8864) o (0x80D5).aarpappletalkarpipv4ipv6mpls-multicastmpls-unicastoamppppppoe-discoverypppoe-sessionsna

No haga coincidir el campo Length/EtherType de 2 octetos con el valor especificado o la lista de valores.

Para obtener más información sobre cómo especificar el , consulte la condición de coincidencia.valuesether-type

A partir de Junos OS 14.2, se admiten filtros de desplazamiento flexibles en las configuraciones de jerarquía de firewall.

Longitud de los datos que deben coincidir en bits, no necesaria para la entrada de cadena (0..128)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de bytes después del punto de inicio de la coincidencia

Seleccione una coincidencia flexible del campo de plantilla predefinido

Enmascarar bits en los datos del paquete para que coincidan

Punto de inicio para que coincida en el paquete

Datos de valor/cadena que deben coincidir

Longitud de los datos que deben coincidir en bits (0..32)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de bytes después del punto de inicio de la coincidencia

Seleccione una coincidencia flexible del campo de plantilla predefinido

Punto de inicio para que coincida en el paquete

Intervalo de valores que deben coincidir

No coinciden con este rango de valores

Haga coincidir la clase de reenvío. Especifique , , , o .assured-forwardingbest-effortexpedited-forwardingnetwork-control

No coincida con la clase de reenvío. Para obtener más información, consulte la condición de coincidencia.forwarding-class

Haga coincidir el campo de código del mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia o en el mismo término.next-header icmpnext-header icmp6

Si configura esta condición de coincidencia, también debe configurar la condición de coincidencia en el mismo término.icmp-type message-type Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

• parámetro-problema: (0), (1), (2)ip6-header-badunrecognized-next-headerunrecognized-option

• Tiempo excedido: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

• Destino inalcanzable: (3), (1), (0), (4)address-unreachableadministratively-prohibitedno-route-to-destinationport-unreachable

No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de coincidencia.icmp-code

(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir el campo de código del mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia o en el mismo término.ip-protocol icmpip-protocol icmp6

Si configura esta condición de coincidencia, también debe configurar la condición de coincidencia en el mismo término.icmp-type message-type Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

• parámetro-problema: (0), (1), (2)ip6-header-badunrecognized-next-headerunrecognized-option

• Tiempo excedido: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

• Destino inalcanzable: (3), (1), (0), (4)address-unreachableadministratively-prohibitedno-route-to-destinationport-unreachable

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el campo de código ICMP. Para obtener más información, consulte la condición de coincidencia.icmp-code

Interfaz en la que se recibió el paquete. Puede configurar una condición de coincidencia que coincida con los paquetes en función de la interfaz en la que se recibieron.

Haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para , especifique un único valor o un intervalo de valores de a .group-number0255

Para asignar una interfaz lógica a un grupo de interfaces , especifique el en el nivel de jerarquía.group-numbergroup-number[interfaces interface-name unit number family family filter group]

Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces.https://www.juniper.net/documentation/en_US/junos/topics/concept/firewall-filter-option-received-on-interface-group-overview.html

No hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para obtener más información, consulte la condición de coincidencia.interface-group

Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la instrucción en el nivel de jerarquía.interface-set[edit firewall] Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.https://www.juniper.net/documentation/en_US/junos/topics/concept/firewall-filter-option-received-on-interface-set-overview.html

(Solo enrutadores serie MX y conmutadores serie EX) Dirección de 32 bits que admite la sintaxis estándar para direcciones IPv4.

Tenga en cuenta que cuando se utiliza este término, la condición de coincidencia de tipo ether IPv4 debe definirse en el mismo término.

(Solo enrutadores serie MX y conmutadores serie EX) Dirección de 32 bits que es la dirección del nodo de destino final del paquete.

Tenga en cuenta que cuando se utiliza este término, la condición de coincidencia de tipo ether IPv4 debe definirse en el mismo término.

(Solo enrutadores serie MX y conmutadores serie EX) Campo de prioridad de IP. En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) o (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el campo de prioridad de IP.

(Solo enrutadores serie MX y conmutadores serie EX) Campo de protocolo IP.

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el campo de protocolo IP.

ip-source-address address

(Solo enrutadores serie MX y conmutadores serie EX) Dirección IP del nodo de origen que envía el paquete.

Tenga en cuenta que cuando se utiliza este término, la condición de coincidencia de tipo ether IPv4 también debe definirse en el mismo término.

(Solo serie MX) Haga coincidir la dirección de origen IPv6 en un archivo .named-list

(Solo serie MX y EX9200) Dirección de 128 bits que admite la sintaxis estándar para direcciones IPv6. A partir de Junos OS 14.2, los criterios de coincidencia IPv6 del puente de la familia de firewalls son compatibles con los conmutadores serie MX y EX9200.

((Solo serie MX y EX9200) Dirección de 128 bits que es la dirección del nodo de destino final para este paquete. Tenga en cuenta que al utilizar este término, la condición de coincidencia debe definirse en el mismo término.ether-type IPv6

(Solo serie MX) Haga coincidir las direcciones de destino IPv6 en un archivo .named-list

(Solo serie MX) Haga coincidir el siguiente tipo de protocolo de encabezado IPv6.

En la lista siguiente se muestran los valores admitidos para :protocol

• ah—Encabezado de autenticación de seguridad IP

• dstopts—Opciones de destino IPv6

• egp—Protocolo de puerta de enlace exterior

• esp—Carga de seguridad de encapsulación IPSec

• fragment—Encabezado de fragmento IPv6

• gre—Encapsulación de enrutamiento genérico

• hop-by-hop—Opciones IPv6 salto a salto

• icmp—Protocolo de mensajes de control de Internet

• icmp6—Protocolo de mensajes de control de Internet versión 6

• igmp—Protocolo de administración de grupos de Internet

• ipip—IP en IP

• ipv6—IPv6 en IP

• no-next-header—IPv6 sin encabezado siguiente

• ospf—Abrir primero el camino más corto

• pim—Multidifusión independiente del protocolo

• routing—Encabezado de enrutamiento IPv6

• rsvp—Protocolo de reserva de recursos

• sctp—Protocolo de transmisión de control de flujo

• tcp—Protocolo de control de transmisión

• udp—Protocolo de datagramas de usuario

• vrrp—Protocolo de redundancia de enrutador virtual

(Solo serie MX) No coincida con el siguiente tipo de protocolo de encabezado IPv6.

ipv6-payload-protocol protocol

(Solo serie MX) Coincidir con el tipo de protocolo de carga IPv6.

En la lista siguiente se muestran los valores admitidos para :protocol

• ah—Encabezado de autenticación de seguridad IP

• dstopts—Opciones de destino IPv6

• egp—Protocolo de puerta de enlace exterior

• esp—Carga de seguridad de encapsulación IPSec

• fragment—Encabezado de fragmento IPv6

• gre—Encapsulación de enrutamiento genérico

• hop-by-hop—Opciones IPv6 salto a salto

• icmp—Protocolo de mensajes de control de Internet

• icmp6—Protocolo de mensajes de control de Internet versión 6

• igmp—Protocolo de administración de grupos de Internet

• ipip—IP en IP

• ipv6—IPv6 en IP

• no-next-header—IPv6 sin encabezado siguiente

• ospf—Abrir primero el camino más corto

• pim—Multidifusión independiente del protocolo

• routing—Encabezado de enrutamiento IPv6

• rsvp—Protocolo de reserva de recursos

• sctp—Protocolo de transmisión de control de flujo

• tcp—Protocolo de control de transmisión

• udp—Protocolo de datagramas de usuario

• vrrp—Protocolo de redundancia de enrutador virtual

(Solo serie MX) No coinciden con el protocolo de carga IPv6.

(Solo serie MX) Haga coincidir la dirección IPv6 en un archivo .named-list

(Solo serie MX) Dirección de 128 bits que es la dirección del nodo de origen de este paquete.

(Solo serie MX) Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.https://www.juniper.net/documentation/en_US/junos/topics/concept/classifier-ba-overview-cos-config-guide.html

Puede especificar un valor numérico desde .063 Para especificar el valor en formato hexadecimal, inclúyalo como prefijo.0x Para especificar el valor en formato binario, inclúyalo como prefijo.b

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

• RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

(10), (12), (14), af11af12af13

(18), (20), (22), af21af22af23

(26), (28), (30), af31af32af33

(34), (36), (38)af41af42af43

No coincida con el DSCP .number

(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) Coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de doble etiqueta con etiquetas VLAN 802.1Q). Especifique uno o varios valores desde .07

Comparar con la condición de coincidencia.user-vlan-1p-priority

(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) No coincida en los bits de prioridad de VLAN aprendidos IEEE 802.1p. Para obtener más información, consulte la condición de coincidencia.learn-vlan-1p-priority

(Solo enrutadores serie MX y conmutadores serie EX) Hacer coincidir el bit del indicador de elegibilidad de caída del ID de VLAN (DEI) del usuario.

(Solo enrutadores serie MX y conmutadores serie EX) No coincida con el bit DEI del ID de VLAN del usuario.

(Solo enrutadores serie MX y conmutadores serie EX) Identificador VLAN utilizado para el aprendizaje de MAC.

(Solo enrutadores serie MX y conmutadores serie EX) No coincida con el identificador VLAN utilizado para el aprendizaje de MAC.

Nivel de prioridad de pérdida de paquetes (PLP). Especifique uno o varios niveles: , , , o .lowmedium-lowmedium-highhigh

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores de la serie MX.

Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) II mejorados y conmutadores serie EX, debe incluir la instrucción en el nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. tri-color [edit class-of-service] Si la instrucción no está habilitada, sólo podrá configurar los niveles y .tri-colorhighlow Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la instrucción y sobre el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, vea Descripción de cómo las clases de reenvío asignan clases a las colas de salida.tri-colorhttps://www.juniper.net/documentation/en_US/junos/topics/concept/forwarding-class-overview-cos-config-guide.html

No coincida en el nivel de prioridad de pérdida de paquetes. Especifique uno o varios niveles: , , , o .lowmedium-lowmedium-highhigh

Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza.https://www.juniper.net/documentation/en_US/junos/topics/concept/classifier-ba-overview-cos-config-guide.html

(Solo enrutadores serie MX y conmutadores serie EX) Puerto de origen o destino TCP o UDP. No puede especificar tanto la condición de coincidencia como la condición de coincidencia o en el mismo término.portdestination-portsource-port

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el puerto de origen o destino TCP o UDP. No puede especificar tanto la condición de coincidencia como la condición de coincidencia o en el mismo término.portdestination-portsource-port

(Solo enrutadores serie MX y conmutadores serie EX) Hacer coincidir los prefijos de origen o destino de la lista especificada. Especifique el nombre de una lista de prefijos definida en el nivel jerárquico ].[edit policy-options prefix-list prefix-list-name

(Solo enrutadores serie MX y conmutadores serie EX) No coincida con los prefijos de origen o destino de la lista especificada. Para obtener más información, consulte la condición de coincidencia.destination-prefix-list

Dirección MAC de origen de un paquete VPLS.

(Solo enrutadores serie MX y conmutadores serie EX) Campo de puerto de origen TCP o UDP. No puede especificar las condiciones y coincidir en el mismo término.portsource-port

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el campo Puerto de origen TCP o UDP. No puede especificar las condiciones y coincidir en el mismo término.portsource-port

(Solo enrutadores serie ACX, enrutadores serie MX y conmutadores serie EX) Hacer coincidir los prefijos de origen de la lista de prefijos especificada. Especifique un nombre de lista de prefijos definido en el nivel de jerarquía.[edit policy-options prefix-list prefix-list-name]

(Solo enrutadores serie MX y conmutadores serie EX) No coincida con los prefijos de origen de la lista de prefijos especificada. Para obtener más información, consulte la condición de coincidencia.source-prefix-list

Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Si configura esta condición de coincidencia para el tráfico IPv6, se recomienda configurar también la condición de coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.next-header tcp

(Solo enrutadores serie MX y conmutadores serie EX) Tipo de tráfico. Especifique , , , o .broadcastmulticastunknown-unicastknown-unicast

(Solo enrutadores serie MX y conmutadores serie EX) No coinciden en el tipo de tráfico. Especifique , , , o .broadcastmulticastunknown-unicastknown-unicast

(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) Coincidir en los bits de prioridad de usuario IEEE 802.1p en la etiqueta VLAN del cliente (la etiqueta interna en una trama de etiqueta doble con etiquetas VLAN 802.1Q). Especifique uno o varios valores desde .07

Comparar con la condición de coincidencia.learn-vlan-1p-priority

(Solo enrutadores serie MX, conmutadores M320 rouer y EX) No coincida en los bits de prioridad de usuario IEEE 802.1p. Para obtener más información, consulte la condición de coincidencia.user-vlan-1p-priority

(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir el primer identificador de VLAN que forme parte de la carga.

(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el primer identificador de VLAN que forma parte de la carga.

Campo de tipo Ethernet VLAN de un paquete VPLS.

No coincida en el campo de tipo Ethernet VLAN de un paquete VPLS.