Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia de filtros parametrizados para tráfico IPv6

Puede configurar un filtro parametrizado con condiciones de coincidencia para el tráfico del Protocolo de Internet versión 6 (IPv6) (family inet6).

Nota:

En el caso de los enrutadores de la serie MX con MPC, debe inicializar ciertos filtros de firewall nuevos caminando la MIB SNMP correspondiente, por ejemplo, show snmp mib walk name ascii. Esto obliga a Junos a aprender los contadores de filtros y asegurarse de que se muestran las estadísticas de filtro. Esta guía se aplica a todos los filtros de firewall de modo mejorado, filtros con condiciones flexibles y filtros con ciertas acciones de terminación. Consulte esos temas, enumerados en Documentación relacionada, para obtener más información.

En la tabla 1 se describen las condiciones de coincidencia que se pueden configurar en el nivel jerárquico [edit firewall family inet6 filter filter-name term term-name from] .

Tabla 1: Condiciones de coincidencia del filtro de firewall para el tráfico IPv6

Condición de coincidencia

Descripción

address address [ except ]

Haga coincidir el campo Dirección de origen o destino IPv6, a menos que se incluya la except opción. Si se incluye la opción, no coincida con el campo Dirección de origen o destino IPv6.

destination-address address [ except ]

Haga coincidir el campo Dirección de destino IPv6 a menos que se incluya la except opción. Si se incluye la opción, no coincida con el campo Dirección de destino IPv6.

No puede especificar las condiciones de coincidencia address y destination-address en el mismo término.

destination-port number

Haga coincidir el campo Puerto de destino UDP o TCP.

No puede especificar las condiciones de coincidencia port y destination-port en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

destination-port-except number

No coincida con el campo Puerto de destino UDP o TCP. Para obtener más información, consulte la condición de destination-port coincidencia.

destination-prefix-list prefix-list-name [ except ]

Haga coincidir el prefijo de destino IPv6 con la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir el prefijo de destino IPv6 con la lista especificada.

La lista de prefijos se define en el nivel de [edit policy-options prefix-list prefix-list-namejerarquía ].

forwarding-class class

Hacer coincidir la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwarding, o network-control.

Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

forwarding-class-except class

No coincida con la clase de reenvío del paquete. Para obtener más información, consulte la condición de forwarding-class coincidencia.

icmp-code message-code

Haga coincidir el campo de código del mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la next-header icmp condición de coincidencia o next-header icmp6 en el mismo término.

Si configura esta condición de coincidencia, también debe configurar la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

  • Tiempo excedido: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • Destino inalcanzable: administratively-prohibited (1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de icmp-code coincidencia.

icmp-type message-type

Haga coincidir el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, le recomendamos que también configure la next-header icmp condición de coincidencia o next-header icmp6 en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133), o time-exceeded (3).

Para private-experimentation-201 (201), también puede especificar un rango de valores entre corchetes.

icmp-type-except message-type

No coincida con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de icmp-type coincidencia.

loss-priority level

Coincidir con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique uno o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores serie MX y conmutadores serie EX.

Para el tráfico IP en enrutadores M320, serie MX, serie T y conmutadores serie EX con concentradores PIC flexibles (FPC) II mejorados, debe incluir la tri-color instrucción en el [edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, sólo podrá configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la tri-color instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

loss-priority-except level

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

next-header header-type

Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete. La compatibilidad con la condición de coincidencia de next-header firewall está disponible en Junos OS versión 13.3R6 y posteriores.

Para IPv6, se recomienda utilizar el payload-protocol término en lugar del término al configurar un filtro de firewall con condiciones coincidentes next-header . Aunque cualquiera de los dos se puede usar, payload-protocol proporciona la condición de coincidencia más confiable porque usa el protocolo de carga útil real para encontrar una coincidencia, mientras next-header que simplemente toma lo que aparece en el primer encabezado después del encabezado IPv6, que puede o no ser el protocolo real. Además, si next-header se utiliza con IPv6, se omite el proceso de búsqueda acelerada de bloques de filtro y se utiliza en su lugar el filtro estándar.

Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), icmpv6 igmp (2), ipip (4), (41 ipv6 ), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

Nota:

next-header icmp6 y next-header icmpv6 las condiciones de coincidencia realizan la misma función. next-header icmp6 es la opción preferida. next-header icmpv6 está oculto en la CLI de Junos OS.

next-header-except header-type

No coincida con el campo Encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más información, consulte el tipo de next-header coincidencia.

packet-length bytes

Haga coincidir la longitud del paquete recibido, en bytes. La longitud se refiere únicamente al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2.

packet-length-except bytes

No coincida con la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

port number

Haga coincidir el campo Puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la condición de destination-port coincidencia ni la condición de source-port coincidencia en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en la destination-port condición de coincidencia.

port-except number

No coincida con el campo Puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de port coincidencia.

prefix-list prefix-list-name [ except ]

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se define en el nivel jerárquico [edit policy-options prefix-list prefix-list-name] .

service-filter-hit

Hacer coincidir un paquete recibido de un filtro en el que se aplicó una service-filter-hit acción.

source-address address [ except ]

Haga coincidir la dirección IPv6 del nodo de origen que envía el paquete, a menos que se incluya la except opción. Si se incluye la opción, no coincida con la dirección IPv6 del nodo de origen que envía el paquete.

No puede especificar las condiciones de coincidencia address y source-address en el mismo término.

source-class class-names

Hacer coincidir uno o más nombres de clase de origen especificados (conjuntos de prefijos de origen agrupados y con un nombre de clase). Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

source-class-except class-names

No coincida con uno o más nombres de clase de origen especificados. Para obtener más información, consulte la condición de source-class coincidencia.

source-port number

Haga coincidir el campo Puerto de origen UDP o TCP.

No puede especificar las port condiciones y source-port coincidir en el mismo término.

Si configura esta condición de coincidencia, se recomienda configurar también la next-header udp condición de coincidencia o next-header tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

source-port-except number

No coincida con el campo Puerto de origen UDP o TCP. Para obtener más información, consulte la condición de source-port coincidencia.

source-prefix-list name [ except ]

Haga coincidir el prefijo de dirección IPv6 del campo de origen del paquete, a menos que se incluya la except opción. Si se incluye la opción, no coincida con el prefijo de dirección IPv6 del campo de origen del paquete.

Especifique un nombre de lista de prefijos definido en el nivel de [edit policy-options prefix-list prefix-list-name] jerarquía.

traffic-class number

Haga coincidir el campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete.

Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4.

Puede especificar un valor numérico desde 0 . 63 Para especificar el valor en formato hexadecimal, inclúyalo 0x como prefijo. Para especificar el valor en formato binario, inclúyalo b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef (46).

  • RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

    • af11(10), af12 (12), af13 (14)

    • af21(18), af22 (20), af23 (22)

    • af31(26), af32 (28), af33 (30)

    • af41(34), af42 (36), af43 (38)

traffic-class-except number

No coincida con el campo de 8 bits que especifica la prioridad CoS del paquete. Para obtener más información, consulte la descripción del traffic-class partido.

Nota:

Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o source-address de coincidenciaaddressdestination-address), use la sintaxis para las representaciones de texto descritas en RFC 4291, Arquitectura de direccionamiento IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y Estándares IPv6 compatibles.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
13.3R6
La compatibilidad con la condición de coincidencia de next-header firewall está disponible en Junos OS versión 13.3R6 y posteriores.