Condiciones de coincidencia del filtro de servicio para el tráfico IPv4 o IPv6

address address

Haga coincidir el campo Dirección IP de origen o destino.

address address except

No coincida con el campo Dirección IP de origen o destino.

ah-spi spi-value

(Enrutadores de la serie M, excepto M120 y M320) Coincidir en el valor del índice de parámetros de seguridad (SPI) del encabezado de autenticación (AH) de IPsec.

ah-spi-except spi-value

(Enrutadores de la serie M, excepto M120 y M320) No coincida con el valor de IPsec AH SPI.

destination-address address

Haga coincidir el campo Dirección IP de destino.

No puede especificar las condiciones de coincidencia y en el mismo término.addressdestination-address

destination-address address except

No coincida con el campo Dirección de destino IP.

No puede especificar las condiciones de coincidencia y en el mismo término.addressdestination-address

destination-port number

Haga coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones de coincidencia y en el mismo término.portdestination-port

Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.protocol udpprotocol tcp

Si configura esta condición de coincidencia para el tráfico IPv6, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.next-header udpnext-header tcp

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) o (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-port-except number

No coincida con el campo Puerto de destino UDP o TCP. Para obtener más información, consulte la descripción del partido.destination-port

destination-prefix-list name

Hacer coincidir la lista de prefijos de destino. La lista de prefijos se define en el nivel de jerarquía ].[edit policy-options prefix-list prefix-list-name

esp-spi value

Hacer coincidir el valor SPI de la carga de seguridad encapsuladora (ESP) IPsec. Especifique un único valor o un rango de valores. Puede especificar un en formato hexadecimal, binario o decimal.value Para especificar el valor en formato hexadecimal, inclúyalo como prefijo.0x Para especificar el valor en formato binario, inclúyalo como prefijo.b

esp-spi-except value

No coincida con el valor o intervalo de valores de IPsec ESP SPI. Para obtener más información, consulte la condición de coincidencia.esp-spi

first-fragment

Coincidir si el paquete es el primer fragmento de un paquete fragmentado. No coincida si el paquete es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmentos de .0

Esta condición de coincidencia es un alias para la condición de coincidencia de campo de bits.fragment-offset 0

Para hacer coincidir tanto el primer fragmento como el final, puede utilizar dos términos que especifiquen diferentes condiciones de coincidencia: first-fragment y is-fragment.

forwarding-class

Haga coincidir una o varias de las siguientes clases de reenvío de paquetes especificadas:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.Understanding How Forwarding Classes Assign Classes to Output Queues

forwarding-class-except

No coincida con una o varias de las siguientes clases de reenvío de paquetes especificadas:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(Solo entrada) Haga coincidir el campo de indicadores de fragmentación de IP de tres bits en el encabezado de IP.

En lugar del valor numérico del campo, puede especificar una de las siguientes palabras clave (también se enumeran los valores de campo): (0x4), (0x2) o (0x8).dont-fragmentmore-fragmentsreserved

fragment-offset number

Haga coincidir el campo de desplazamiento del fragmento de 13 bits en el encabezado IP. El valor es el desplazamiento, en unidades de 8 bytes, del mensaje general del datagrama al fragmento de datos. Especifique un valor numérico, un rango de valores o un conjunto de valores. Un valor de desplazamiento de indica el primer fragmento de un paquete fragmentado.0

La condición de coincidencia es un alias para la condición de coincidencia.first-fragmentfragment-offset 0

Para hacer coincidir tanto el primer fragmento como el final, puede utilizar dos términos que especifiquen diferentes condiciones de coincidencia ( y ).first-fragmentis-fragment

fragment-offset-except number

No coincida con el campo de desplazamiento de fragmentos de 13 bits.

interface-group group-number

Hacer coincidir el grupo de interfaces (conjunto de una o más interfaces lógicas) en el que se recibió el paquete. Para , especifique un valor desde hasta .group-number0255

Para obtener información acerca de cómo configurar grupos de interfaces, consulte .Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces

interface-group-except group-number

No coincida con el grupo de interfaz en el que se recibió el paquete. Para obtener más información, consulte la condición de coincidencia.interface-group

ip-options values

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores.

En lugar de un valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de opción): (131), (7), (148), (130), (136), (137) o (68).loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

Para hacer coincidir cualquier valor de la opción IP, utilice el sinónimo de texto .any Para hacer coincidir varios valores, especifique la lista de valores entre corchetes ('' y '').[] Para hacer coincidir un rango de valores, utilice la especificación de valores .[ value1-value2 ]

Por ejemplo, la condición de coincidencia coincide en un campo de opciones IP que contiene los valores , , o cualquier otro valor del 0 al 147.ip-options [ 0-147 ]loose-source-routerecord-routesecurity Sin embargo, esta condición de coincidencia no coincide en un campo de opciones IP que contiene solo el valor (148).router-alert

Para la mayoría de las interfaces, un término de filtro que especifica una coincidencia en uno o más valores de opción IP específicos (un valor distinto de ) hace que los paquetes se envíen al motor de enrutamiento para que el kernel pueda analizar el campo de opción IP en el encabezado del paquete.ip-optionany

• Para un término de filtro de firewall que especifica una coincidencia en uno o más valores de opción IP específicos, no puede especificar las acciones , ni las acciones de no terminación a menos que también especifique la acción de terminación en el mismo término.ip-optioncountlogsyslogdiscard Este comportamiento impide el doble conteo de paquetes para un filtro aplicado a una interfaz de tránsito en el enrutador (o conmutador).

• Los paquetes procesados en el kernel pueden ser descartados en caso de un cuello de botella del sistema. Para asegurarse de que los paquetes coincidentes se envían al motor de reenvío de paquetes (donde el procesamiento de paquetes se implementa en el hardware), utilice la condición de coincidencia.ip-options any

El concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, el MPC de 60 Gigabit Ethernet, el MPC de cola de 60 Gigabit, el MPC de cola mejorada de 60 Gigabit Ethernet en enrutadores de la serie MX y los conmutadores de la serie EX son capaces de analizar el campo de opción IP del encabezado de paquete IPv4. Esta capacidad también se admite en los conmutadores de la serie EX. Para las interfaces configuradas en esas MPC, todos los paquetes que coinciden mediante la condición de coincidencia se envían al motor de reenvío de paquetes para su procesamiento.ip-options

ip-options-except values

No haga coincidir el campo de opción IP con el valor especificado o la lista de valores. Para obtener más información sobre cómo especificar el , consulte la condición de coincidencia.valuesip-options

is-fragment

Coincidir si el paquete es un fragmento final de un paquete fragmentado. No coincida con el primer fragmento de un paquete fragmentado.

Esta condición de coincidencia es un alias para los bits de condición de coincidencia de campo de bits.fragment-offset 0 except

loss-priority

Haga coincidir uno o más de los siguientes niveles especificados de prioridad de pérdida de paquetes (PLP):

• low

• medium-low

• medium-high

• high

Los programadores utilizan el PLP junto con el algoritmo de descarte temprano aleatorio (RED) para controlar el descarte de paquetes durante períodos de congestión. Para obtener información acerca de PLP, consulte Administración de la congestión estableciendo prioridad de pérdida de paquetes para diferentes flujos de tráfico y Descripción general de la asignación de niveles de servicio a paquetes en función de varios campos de encabezado de paquete.Managing Congestion by Setting Packet Loss Priority for Different Traffic FlowsOverview of Assigning Service Levels to Packets Based on Multiple Packet Header Fields

loss-priority-except

No coincida con uno o varios de los siguientes niveles especificados de prioridad de pérdida de paquetes (PLP):

• low

• medium-low

• medium-high

• high

port number

Haga coincidir el campo Puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la condición de coincidencia ni la condición de coincidencia en el mismo término.destination-portsource-port

Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.protocol udpprotoco tcp

Si configura esta condición de coincidencia para el tráfico IPv6, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.next-header udpnext-header tcp

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en .destination-port

port-except number

No coincida con el campo Puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de coincidencia.port

prefix-list prefix-list-name

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada. La lista de prefijos se define en el nivel jerárquico .[edit policy-options prefix-list prefix-list-name]

protocol number

Haga coincidir el campo Tipo de protocolo IP.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) o (112).ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

protocol-except number

No coincida con el campo Tipo de protocolo IP. Para obtener más información, consulte la condición de coincidencia.protocol

source-address address

Haga coincidir la dirección IP de origen.

No puede especificar las condiciones de coincidencia y en el mismo término.addresssource-address

source-address address except

No coincida con la dirección IP de origen.

No puede especificar las condiciones de coincidencia y en el mismo término.addresssource-address

source-port number

Haga coincidir el campo Puerto de origen UDP o TCP.

No puede especificar las condiciones y coincidir en el mismo término.portsource-port

Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.protocol udpprotocol tcp

Si configura esta condición de coincidencia para el tráfico IPv6, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto.next-header udpnext-header tcp

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la condición de coincidencia.destination-port number

source-port-except number

No coincida con el campo Puerto de origen UDP o TCP. Para obtener más información, consulte la condición de coincidencia.source-port

source-prefix-list name

Hacer coincidir los prefijos de origen de la lista especificada. Especifique el nombre de una lista de prefijos definida en el nivel jerárquico ].[edit policy-options prefix-list prefix-list-name

tcp-flags value

Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de coincidencia y .tcp-establishedtcp-initial

Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.protocol tcp

Si configura esta condición de coincidencia para el tráfico IPv6, se recomienda configurar también la condición de coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.next-header tcp