Condiciones de coincidencia de filtro de servicio para tráfico IPv4 o IPv6

address address

Coincida con el campo de dirección IP de origen o destino.

address address except

No coincida con el campo de dirección IP de origen o destino.

ah-spi spi-value

(Enrutadores serie M, excepto M120 y M320) Coincida en el valor del índice de parámetros de seguridad (SPI) de encabezado de autenticación IPsec (AH).

ah-spi-except spi-value

(Enrutadores serie M, excepto M120 y M320) No coincida en el valor SPI IPsec AH.

destination-address address

Coincida con el campo de dirección IP de destino.

No puede especificar las address condiciones y destination-address coincidir en el mismo término.

destination-address address except

No coincida con el campo de dirección IP de destino.

No puede especificar las address condiciones y destination-address coincidir en el mismo término.

destination-port number

Coincida con el campo de puerto de destino UDP o TCP.

No puede especificar las port condiciones y destination-port coincidir en el mismo término.

Si configura esta condición de coincidencia para el tráfico IPv4, recomendamos que también configure la protocol udp instrucción o protocol tcp match en el mismo término para especificar qué protocolo se utiliza en el puerto.

Si configura esta condición de coincidencia para el tráfico IPv6, recomendamos que también configure la next-header udp condición o next-header tcp de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-port-except number

No coincida con el campo de puerto de destino UDP o TCP. Para obtener más información, consulte la descripción del destination-port partido.

destination-prefix-list name

Haga coincidir la lista de prefijos de destino. La lista de prefijos se define en el [edit policy-options prefix-list prefix-list-namenivel de jerarquía ].

esp-spi value

Coincida con el valor SPI de la carga de seguridad de encapsulación (ESP) de IPsec. Especifique un valor único o un rango de valores. Puede especificar una value en forma hexadecimal, binario o decimal. Para especificar el valor en forma hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

esp-spi-except value

No coincida con el valor SPI ESP IPsec ni con el rango de valores. Para obtener más información, consulte la condición de esp-spi coincidencia.

first-fragment

Coincida si el paquete es el primer fragmento de un paquete fragmentado. No haga coincidir si el paquete es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmento de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia de campo fragment-offset 0 de bits.

Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes: first-fragment y is-fragment.

forwarding-class

Coincida con una o más de las siguientes clases especificadas de reenvío de paquetes:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

Para obtener más información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

forwarding-class-except

No coincida con una o más de las siguientes clases especificadas de reenvío de paquetes:

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(Solo entrada) Coincida con el campo de indicadores de fragmentación DE IP de tres bits en el encabezado ip.

En lugar del valor del campo numérico, puede especificar una de las siguientes palabras clave (los valores de campo también se enumeran): dont-fragment(0x4), more-fragments (0x2) o reserved (0x8).

fragment-offset number

Coincida con el campo de desplazamiento de fragmento de 13 bits en el encabezado IP. El valor es el desplazamiento, en unidades de 8 bytes, en el mensaje de datagrama general al fragmento de datos. Especifique un valor numérico, un rango de valores o un conjunto de valores. Un valor de desplazamiento de 0 indica el primer fragmento de un paquete fragmentado.

La first-fragment condición de coincidencia es un alias para la fragment-offset 0 condición de coincidencia.

Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes (first-fragment y is-fragment).

fragment-offset-except number

No haga coincidir el campo de desplazamiento de fragmento de 13 bits.

interface-group group-number

Coincida con el grupo de interfaz (conjunto de una o varias interfaces lógicas) en el que se recibió el paquete. Para group-number, especifique un valor desde 0 el 255.

Para obtener más información acerca de cómo configurar grupos de interfaz, consulte Descripción general del filtrado de paquetes recibidos en un conjunto de grupos de interfaz.

interface-group-except group-number

No coincida con el grupo de interfaz en el que se recibió el paquete. para obtener más información, consulte la condición de interface-group coincidencia.

ip-options values

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores.

En lugar de un valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de opción también se enumeran): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136), strict-source-route (137) o timestamp (68).

Para hacer coincidir cualquier valor para la opción IP, utilice el sinónimo anyde texto . Para hacer coincidir varios valores, especifique la lista de valores entre corchetes ('[' y '']). Para hacer coincidir un rango de valores, utilice la especificación [ value1-value2 ]de valor .

Por ejemplo, la condición ip-options [ 0-147 ] de coincidencia coincide en un campo de opciones IP que contiene los loose-source-route, record-routeo security valores, o cualquier otro valor del 0 al 147. Sin embargo, esta condición de coincidencia no coincide en un campo de opciones IP que contiene solo el router-alert valor (148).

Para la mayoría de las interfaces, un término de filtro que especifica una ip-option coincidencia en uno o más valores de opción de IP específicos (un valor distinto anya ) hace que los paquetes se envíen al motor de enrutamiento para que el kernel pueda analizar el campo de opción IP en el encabezado del paquete.

• Para un término de filtro de firewall que especifica una ip-option coincidencia en uno o más valores de opción de IP específicos, no puede especificar las countacciones , o syslog no determinativas, loga menos que también especifique la discard acción de finalización en el mismo término. Este comportamiento impide el doble conteo de paquetes para un filtro aplicado a una interfaz de tránsito en el enrutador (o conmutador).

• Es posible que los paquetes procesados en el kernel se caigan en caso de un atasco del sistema. Para asegurarse de que los paquetes coincidentes se envíen al motor de reenvío de paquetes (donde el procesamiento de paquetes se implementa en el hardware), utilice la condición de ip-options any coincidencia.

El concentrador de puertos modulares (MPC) de 10 Gigabit Ethernet, el MPC de 60 Gigabit Ethernet, el MPC de Ethernet cola de 60 Gigabit, el MPC de cola mejorada de 60 Gigabit Ethernet en enrutadores serie MX y los conmutadores serie EX son capaces de analizar el campo de opción IP del encabezado del paquete IPv4. Esta capacidad también se admite en conmutadores de la serie EX. En el caso de las interfaces configuradas en esos MPC, todos los paquetes coincidentes mediante la ip-options condición de coincidencia se envían al motor de reenvío de paquetes para su procesamiento.

ip-options-except values

No haga coincidir el campo de opción IP con el valor especificado o la lista de valores. Para obtener más información acerca de cómo especificar la values, consulte la condición de ip-options coincidencia.

is-fragment

Coincida si el paquete es un fragmento final de un paquete fragmentado. No haga coincidir el primer fragmento de un paquete fragmentado.

Esta condición de coincidencia es un alias para los bits de condición de coincidencia fragment-offset 0 except de campo de bits.

loss-priority

Coincida con uno o más de los siguientes niveles especificados de prioridad de pérdida de paquetes (PLP):

• low

• medium-low

• medium-high

• high

Los programadores utilizan el PLP junto con el algoritmo de descarte temprano aleatorio (RED) para controlar el descarte de paquetes durante los períodos de congestión. Para obtener más información acerca de PLP, consulte Administración de la congestión estableciendo la prioridad de pérdida de paquetes para diferentes flujos de tráfico y descripción general de la asignación de niveles de servicio a paquetes basados en varios campos de encabezado de paquete.

loss-priority-except

No coincida con uno o más de los siguientes niveles especificados de prioridad de pérdida de paquetes (PLP):

• low

• medium-low

• medium-high

• high

port number

Coincida con el campo de puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la destination-port condición de coincidencia o la source-port condición de coincidencia en el mismo término.

Si configura esta condición de coincidencia para el tráfico IPv4, recomendamos que también configure la protocol udp instrucción o protoco tcp match en el mismo término para especificar qué protocolo se utiliza en el puerto.

Si configura esta condición de coincidencia para el tráfico IPv6, recomendamos que también configure la next-header udp condición o next-header tcp de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

port-except number

No coincida con el campo de puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de port coincidencia.

prefix-list prefix-list-name

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada. La lista de prefijos se define en el [edit policy-options prefix-list prefix-list-name] nivel de jerarquía.

protocol number

Coincida con el campo de tipo de protocolo IP.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) o vrrp (112).

protocol-except number

No coincida con el campo de tipo de protocolo IP. Para obtener más información, consulte la condición de protocol coincidencia.

source-address address

Coincida con la dirección IP de origen.

No puede especificar las address condiciones y source-address coincidir en el mismo término.

source-address address except

No coincida con la dirección IP de origen.

No puede especificar las address condiciones y source-address coincidir en el mismo término.

source-port number

Coincida con el campo de puerto de origen UDP o TCP.

No puede especificar las port condiciones y source-port coincidir en el mismo término.

Si configura esta condición de coincidencia para el tráfico IPv4, recomendamos que también configure la protocol udp instrucción o protocol tcp match en el mismo término para especificar qué protocolo se utiliza en el puerto.

Si configura esta condición de coincidencia para el tráfico IPv6, recomendamos que también configure la next-header udp condición o next-header tcp de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

source-port-except number

No coincida con el campo de puerto de origen UDP o TCP. Para obtener más información, consulte la condición de source-port coincidencia.

source-prefix-list name

Haga coincidir los prefijos de origen de la lista especificada. Especifique el nombre de una lista de prefijos definida en el [edit policy-options prefix-list prefix-list-namenivel de jerarquía ].

tcp-flags value

Coincida con uno o más de los 6 bits de orden bajo en el campo de indicadores TCP de 8 bits en el encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

En una sesión TCP, la marca SYN solo se establece en el paquete inicial enviado, mientras que la marca ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para las condiciones combinadas de coincidencia de campo de bits, consulte las tcp-established condiciones de coincidencia y tcp-initial de coincidencia.

Si configura esta condición de coincidencia para el tráfico IPv4, recomendamos que también configure la protocol tcp instrucción match en el mismo término para especificar que se utiliza el protocolo TCP en el puerto.

Si configura esta condición de coincidencia para el tráfico IPv6, recomendamos que también configure la next-header tcp condición de coincidencia en el mismo término para especificar que se utiliza el protocolo TCP en el puerto.