Condiciones de coincidencia de filtro parametrizadas para tráfico IPv6

Hacer coincidir el campo de dirección de origen o destino IPv6, a menos que se incluya la except opción. Si se incluye esta opción, no haga coincidir el campo Dirección de origen o destino IPv6.

Hacer coincidir el campo de dirección de destino IPv6 a menos que se incluya la except opción. Si se incluye esta opción, no coincida con el campo Dirección de destino IPv6.

No puede especificar las condiciones y destination-address coincidir address en el mismo término.

Hacer coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones y destination-port coincidir port en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la condición de next-header udp coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), (513) who o xdmcp (177).

No coincidir con el campo Puerto de destino UDP o TCP. Para obtener más información, consulte la condición de destination-port coincidencia.

Hacer coincidir el prefijo de destino IPv6 con la lista especificada, a menos que se incluya la except opción. Si se incluye esta opción, no haga coincidir el prefijo de destino IPv6 con la lista especificada.

La lista de prefijos se define en el nivel de [edit policy-options prefix-list prefix-list-namejerarquía ].

(Junos OS evolucionado) Puede especificar prefix-list en los [edit policy-options prefix-list prefix-list-name] niveles y [edit dynamic-profiles name policy-options prefix-list prefix-list-name] jerarquía.

Hacer coincidir la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwardingo network-control.

Para obtener más información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

No coincidir con la clase de reenvío del paquete. Para obtener más información, consulte la condición de forwarding-class coincidencia.

Hacer coincidir el campo de código de mensaje ICMP.

Si configura esta condición de coincidencia, se recomienda configurar también la condición de next-header icmp coincidencia o next-header icmp6 en el mismo término.

Si configura esta condición de coincidencia, también debe configurar la condición de icmp-type message-type coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP al que están asociadas:

• parámetro-problema: ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

• tiempo excedido: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

• Destino inalcanzable: administratively-prohibited (1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de icmp-code coincidencia.

Hacer coincidir el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, se recomienda configurar también la condición de next-header icmp coincidencia o next-header icmp6 en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), (133) router-solicit o time-exceeded (3).

Para private-experimentation-201 (201), también puede especificar un rango de valores entre corchetes.

No coincide con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de icmp-type coincidencia.

Hacer coincidir el nivel de prioridad de pérdida de paquetes (PLP).

Especifique uno o varios niveles: low, medium-low, medium-higho high.

Compatible con enrutadores M120 y M320; Enrutadores M7i y M10i con CFEB-E mejorado; y enrutadores de la serie MX y conmutadores de la serie EX.

Para el tráfico IP en enrutadores M320, serie MX y serie T y conmutadores de la serie EX con concentradores de PIC flexible II mejorados (FPC), debe incluir la tri-color instrucción en el [edit class-of-service] nivel de jerarquía para confirmar una configuración de PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la tri-color instrucción, consulte Configuración y aplicación de políticas de marcado tricolor. Para obtener información sobre el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel de PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

No coincide con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

Hacer coincidir el primer campo de encabezado siguiente de 8 bits del paquete. La compatibilidad con la condición de coincidencia de next-header firewall está disponible en la versión 13.3R6 y posteriores de Junos OS.

En el next-header caso de IPv6, se recomienda utilizar el payload-protocol término en lugar del término al configurar un filtro de firewall con condiciones de coincidencia. Aunque se puede usar cualquiera de las dos, payload-protocol proporciona la condición de coincidencia más confiable porque usa el protocolo de carga útil real para encontrar una coincidencia, mientras next-header que simplemente toma lo que aparece en el primer encabezado después del encabezado IPv6, que puede o no ser el protocolo real. Además, si next-header se usa con IPv6, se omite el proceso de búsqueda acelerada de bloques de filtro y se utiliza el filtro estándar en su lugar.

Hacer coincidir el primer campo de encabezado siguiente de 8 bits del paquete.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4 ipv6 ), (41), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), (17) udp  o vrrp (112).

No haga coincidir el campo Siguiente encabezado de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más información, consulte el tipo de next-header coincidencia.

Hacer coincidir la longitud del paquete recibido en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

No haga coincidir la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

Hacer coincidir el campo Puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la condición de destination-port coincidencia ni la condición de source-port coincidencia en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la condición de next-header udp coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en la destination-port condición de coincidencia.

No coincidir con el campo Puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de port coincidencia.

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la except opción. Si se incluye esta opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se define en el [edit policy-options prefix-list prefix-list-name] nivel jerárquico.

(Junos OS evolucionado) Puede especificar prefix-list en los [edit policy-options prefix-list prefix-list-name] niveles y [edit dynamic-profiles name policy-options prefix-list prefix-list-name] jerarquía.

Hacer coincidir un paquete recibido de un filtro en el que se aplicó una service-filter-hit acción.

Hacer coincidir la dirección IPv6 del nodo de origen que envía el paquete, a menos que se incluya la except opción. Si se incluye esta opción, no haga coincidir la dirección IPv6 del nodo de origen que envía el paquete.

No puede especificar las condiciones y source-address coincidir address en el mismo término.

Hacer coincidir uno o más nombres de clase de origen especificados (conjuntos de prefijos de origen agrupados y con un nombre de clase). Para obtener más información, consulte Condiciones de coincidencia de filtro de firewall basadas en clases de dirección.

No haga coincidir uno o varios nombres de clase de origen especificados. Para obtener más información, consulte la condición de source-class coincidencia.

Hacer coincidir el campo Puerto de origen UDP o TCP.

No puede especificar las condiciones y source-port coincidir port en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la condición de next-header udp coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

No coincidir con el campo puerto de origen UDP o TCP. Para obtener más información, consulte la condición de source-port coincidencia.

Hacer coincidir el prefijo de dirección IPv6 del campo de origen del paquete, a menos que se incluya la except opción. Si se incluye esta opción, no haga coincidir el prefijo de dirección IPv6 del campo de origen del paquete.

Especifique un nombre de lista de prefijos definido en el [edit policy-options prefix-list prefix-list-name] nivel de jerarquía.

(Junos OS evolucionado) Puede especificar prefix-list en los [edit policy-options prefix-list prefix-list-name] niveles y [edit dynamic-profiles name policy-options prefix-list prefix-list-name] jerarquía. La longitud máxima del prefijo que puede usar es /64.

Hacer coincidir el campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete.

Este campo se utilizaba anteriormente como el campo de tipo de servicio (TDS) en IPv4.

Puede especificar un valor numérico desde 0 hasta . 63 Para especificar el valor en formato hexadecimal, inclúyalo 0x como prefijo. Para especificar el valor en formato binario, inclúyalo b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

• RFC 3246, Un PHB de reenvío acelerado (comportamiento por salto), define un punto de código: ef (46).

• RFC 2597, Grupo PHB de reenvío seguro, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

  • af11(10), af12 (12), af13 (14)

  • af21(18), af22 (20), af23 (22)

  • af31(26), af32 (28), af33 (30)

  • af41(34), af42 (36), af43 (38)

No coincida con el campo de 8 bits que especifica la prioridad CoS del paquete. Para obtener más información, consulte la descripción del traffic-class partido.