Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Условия совпадения фильтра межсетевых экранов для трафика IPv6

Можно настроить фильтр межсетевых экранов с условиями совпадения для трафика Интернет-протокола версии 6 (IPv6). family inet6

Прим.:

Для серия MX маршрутизаторов с MPC необходимо инициализировать счетчик фильтров только для фильтров, соответствующих Trio, путем прохода соответствующего SNMP-MIB, например, show snmp mib walk name ascii . Это Junos для того, чтобы узнать счетчики фильтров и убедиться, что статистика фильтра отображается. Это руководство применимо ко всем фильтрам межсетевых экранов улучшенного режима, фильтрам с гибкими условиями и фильтрам с определенными орвами. См. эти темы, перечисленные в документе "Документация" для более подробной информации.

Табл. 1 описывает условия совпадения, которые можно настроить на [edit firewall family inet6 filter filter-name term term-name from] уровне иерархии.

Табл. 1: Условия совпадения фильтра межсетевых экранов для трафика IPv6

Условие совпадения

Описание

address address [ except ]

Со соответствовать полю адреса источника или адреса назначения IPv6, если except не включен параметр. Если этот параметр включен, не совпадать с полем адреса источника или адреса назначения IPv6.

apply-groups

Укажите группы, из которых можно наследовать данные конфигурации. Можно указать несколько имен групп. Их необходимо перечислить в порядке приоритета наследование. Данные конфигурации в первой группе отнимает приоритет над данными в последующих группах.

apply-groups-except

Укажите, какие группы не должны наследовать данные конфигурации. Можно указать несколько имен групп.

destination-address address [ except ]

Со соответствовать полю адреса назначения IPv6, если except не включен параметр. Если этот параметр включен, не совпадать с полем адреса назначения IPv6.

Нельзя указать одно и то address же время и условия destination-address совпадения.

destination-class class-names

Соответствует одному или более заданным именам классов (наборы префиксов назначения, сгрупп ему и заданы имена классов).

Дополнительные сведения см. в "Условия совпадения фильтра межсетевых экранов на основе классов адресов".

destination-class-except class-names

Не нужно совпадать с одним или более заданными именами классов назначения. Подробные сведения см. в destination-class условии совпадения.

destination-port number

Со соответствовать полю UDP или TCP-порта назначения.

Нельзя указать одно и то port же время и условия destination-port совпадения.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения или условия совпадать в одном и том же термине, чтобы указать протокол, используемый next-header udpnext-header tcp на порте.

Прим.:

Для Junos OS Evolved необходимо настроить утверждение next-header match в том же термине.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также указаны номера портов): afsbgp(1483), (179), biff (512), bootpcbootps (68), cmd (67), (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2106), exec (512), fingerftp (79), ftp-data (21), (20), http (80) httpsidentimap (443), (113), (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldapldp (646), login (513), mobileip-agentmobilip-mn (434), (435), msdp (639) (639) netbios-dgmnetbios-nsnetbios-ssn 138), (137), (139), nfsdnntp (2049), (119), ntalk (518), ntppop3 (123), (110), pptp (1723), printerradacct (1813), radiusrip (1812), (520), rkinit (2108), smtp (2 snmp 5), snmptrap (161), (162), snpp (444), socks (1080), ssh (22), sunrpcsyslog (111), (514), tacacs (49), tacacs-ds (65), talktelnet (23), tftp (69), timedwho (525), (513) или xdmcp (177).

destination-port-except number

Не совпадайте с полем порта назначения UDP или TCP. Подробные сведения см. в destination-port условии совпадения.

destination-prefix-list prefix-list-name [ except ]

Со соответствием префикса назначения IPv6 указанному списку, если этот параметр не except включен. Если этот параметр включен, то префикс назначения IPv6 не совпадает с указанным списком.

Список префиксов определяется на [edit policy-options prefix-list prefix-list-name уровне иерархии ]

extension-headers header-type

Соберет тип загона расширения, содержащийся в пакете, путем определения значения next header.

Прим.:

Это условие совпадения поддерживается только на MPC серия MX маршрутизаторах.

В первом фрагменте пакета фильтр ищет совпадение в любом из типов заголочек расширения. При обнаружении пакета с загоном фрагмента (последующего фрагмента), фильтр ищет совпадение только для следующего типа загона расширения, поскольку расположение других заглавныхдеров является непредсказуемым.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей): ah (51), destination (60), esp (50), fragment (44), hop-by-hopmobility (0), (135) или routing (43).

Для совпадения с любым значением параметра расширения загона используйте текстовый any синоним.

Для серия MX маршрутизаторов с MPC инициализируют новые фильтры межсетевых экранов, которые включают это состояние, проходя соответствующие SNMP-MIB.

first-fragment

Совпадает, является ли пакет первым фрагментом.

 

extension-headers-except header-type

Не совпадать с типом загона расширения, который содержится в пакете. Подробные сведения см. в extension-headers условии совпадения.

Прим.:

Это условие совпадения поддерживается только на MPC серия MX маршрутизаторах.

flexible-match-mask значение

bit-length

Длина всего вводимого данных (1,32 бита);

(Необязательно) Длина вводимого строки (1,128 бит)

bit-offset

Смещение битов после смещения (match-start + byte) (0.7)

byte-offset

Смещение byte после точки начала совпадения

flexible-mask-name

Выберите гибкое совпадение в предварительно заранее задаированном поле шаблона.

mask-in-hex

Замаскировать биты в данных пакетов, которые должны быть совме-

match-start

Точка начала, чтобы найти совпадение в пакете

prefix

Значения данных/строк, которые необходимо использовать

Подробные сведения см. в "Условия гибкого совпадения фильтра межсетевых экранов"

flexible-match-range значение

Диапазоны должны использовать следующий формат: Вносяв умного раз большее

bit-length

Длина данных, совпадает в битах (0.32)

bit-offset

Смещение битов после смещения (match-start + byte) (0.7)

byte-offset

Смещение byte после точки начала совпадения

flexible-range-name

Выберите гибкое совпадение в предварительно заранее задаированном поле шаблона.

match-start

Точка начала, чтобы найти совпадение в пакете

range

Диапазон значений, которые необходимо найти

range-except

Не соответствует данному диапазону значений

Подробные сведения см. в "Условия гибкого совпадения фильтра межсетевых экранов"

forwarding-class class

Соответствует классу переадварки пакета.

assured-forwardingbest-effort Укажите, expedited-forwardingnetwork-control или.

Для получения информации о классах переад назначения и внутренних выходных очередях маршрутизатора см. "Понимание того, как классы переад пути назначения классов выходным очередям".

forwarding-class-except class

Не соответствует классу переадварки пакета. Подробные сведения см. в forwarding-class условии совпадения.

hop-limit hop-limit

Со соответствием пределу перехода заданного или установленного предела перехода. Для hop-limit в качестве значения укажите одно или диапазон значений от 0 до 255.

Поддерживается только на интерфейсах, которые поддерживаются на MCS или MMPC серия MX маршрутизаторах.

Прим.:

Это условие совпадения поддерживается на маршрутизаторах серии PTX при enhanced-mode настройке на маршрутизаторе.

hop-limit-except hop-limit

Не подговарить предел перехода к указанному или установленного пределов перехода. Подробные сведения см. в hop-limit условии совпадения.

Поддерживается только на интерфейсах, которые поддерживаются на MCS или MMPC серия MX маршрутизаторах.

Прим.:

Это условие совпадения поддерживается на маршрутизаторах серии PTX при enhanced-mode настройке на маршрутизаторе.

icmp-code message-code

Со соответствовать полю кода сообщения ICMP.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения или условия в next-header icmp одном и том же next-header icmp6 термине.

При настройке условий совпадения необходимо также настроить условия icmp-type message-type совпадения в том же термине. Код сообщения ICMP предоставляет более конкретные сведения, чем тип сообщения ICMP, но значение кода сообщения ICMP зависит от связанного типа сообщения ICMP.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей). Ключевые слова группируются по типу ICMP, с которыми они связаны:

  • проблема с параметром: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • превышение времени: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • пункт назначения недостижим: administratively-prohibited(1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Не соответствует поле кода сообщения ICMP. Подробные сведения см. в icmp-code условии совпадения.

icmp-type message-type

Соответствует полю типа сообщения ICMP.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения или условия в next-header icmp одном и том же next-header icmp6 термине.

Прим.:

Для Junos OS Evolved необходимо настроить утверждение next-header match в том же термине.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей): certificate-path-advertisementcertificate-path-solicitation(149), (148), destination-unreachableecho-reply (129), echo-request (128), home-agent-address-discovery-replyhome-agent-address-discovery-request (145), inverse-neighbor-discovery-advertisement (144), (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-reportmembership-termination (132), mobile-prefix-advertisement-replymobile-prefix-solicitation (147), (146) (146) neighbor-advertisementneighbor-solicit 136), (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100private-experimentation-101 (100), private-experimentation-200 (101), private-experimentation-201 (201), redirect (137), router-advertisementrouter-renumbering (134), router-solicit (138), (133) или time-exceeded (3).

Для (201) можно также указать диапазон значений в квадратных private-experimentation-201 скобках.

icmp-type-except message-type

Не соответствует поле типа сообщения ICMP. Подробные сведения см. в icmp-type условии совпадения.

interface interface-name

Со соответствовать интерфейсу, на котором был получен пакет.

Прим.:

Если это условие совпадения настроено для не существует интерфейса, то термин не соответствует любому пакету.

interface-group group-number

Со соответствовать логическому интерфейсу, на котором был получен пакет, указанной в группе интерфейсов или группе интерфейсов. For group-number , укажите одно значение или диапазон значений от 0 до 255 конца.

Чтобы назначить логический интерфейс группе group-number интерфейсов, укажите group-number[interfaces interface-name unit number family family filter group] иерархическую уровневую структуру.

Дополнительные сведения см. в обзоре "Фильтрация пакетов, полученных по набору групп интерфейсов".

interface-group-except group-number

Не соответствует логическому интерфейсу, на котором пакет был получен указанной группой интерфейсов или набором интерфейсных групп. Подробные сведения см. в interface-group условии совпадения.

interface-set interface-set-name

Со соответствовать интерфейсу, на котором был получен пакет, с указанным набором интерфейсов.

Чтобы определить набор интерфейсов, включим interface-set в себя утверждение на уровне [edit firewall] иерархии.

Дополнительные сведения см. в обзоре фильтрации пакетов, полученных по набору интерфейсов.

ip-options values

При наимявом поле 8-битного параметра IP со совмещеется с указанным значением или списком значений.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения опций): loose-source-route(131), record-route (7), router-alert (148), securitystream-id (130), strict-source-route (136), (137) или timestamp (68).

Чтобы найти совпадение с любым значением параметра IP, используйте текстовый синоним any . Для совпадения с несколькими значениями укажите список значений в квадратных скобках (' [ и' ] Для совпадения с диапазоном значений используйте спецификацию значений. value1-value2 ]

Например, условие совпадения совпадает с полем параметров IP, которое содержит либо значения, либо любое другое значение в значениях ip-options [ 0-147 ]loose-source-route от record-routesecurity 0 до 147. Однако это условие совпадения не совпадает в поле параметров IP, которое содержит router-alert только значение (148).

Для большинства интерфейсов термин фильтра, который определяет совпадение для одного или более определенных значений IP-параметра (другое значение), приводит к отосланию пакетов на модуль маршрутизации, чтобы ядро может процесировать поле параметра IP в загоне ip-optionany пакета.

  • Для термина фильтра брандмауэра, определяющего совпадение для одного или более определенных значений IP-параметра, нельзя указать действия , или неудавающее действие, если не указать действие по прекращению в том же ip-optioncountlogsyslogdiscard термине. Такое поведение предотвращает двойной подсчет пакетов для фильтра, примененного к транзитном интерфейсу маршрутизатора.

  • Пакеты, обработанные в ядре, могут быть отброшены в случае системного узких места. Чтобы убедиться в том, что совпадающие пакеты отправляются вместо этого на модуль передачи пакетов (где обработка пакетов реализуется аппаратно), используйте ip-options any условие совпадения.

10-гигабитный концентратор модульного порта Ethernet (MPC), 100-Гигабитный Ethernet MPC, 60-Гигабитный Ethernet MPC, 60-Гигабитная очередная ЦП Ethernet MPC и 60-Gigabit Ethernet Enhanced Queuing MPC на серия MX маршрутизаторах могут быть способны анализировать поле параметра IP для ethernet задателя пакетов IPv4. Для интерфейсов, настроенных на этих MPC, все пакеты, совпадающие с состоянием совпадения, отправляются на модуль передачи пакетов ip-options обработку.

ip-options-except values

Поле параметра IP не соответствует указанному значению или списку значений. Подробные сведения о указании values команд см. в ip-options условии совпадения.

is-fragment

Совпадает, является ли пакет фрагментом.

 

last-fragment

Соответствует, является ли пакет последним фрагментом.

 

loss-priority level

Со соответствовать уровню приоритета потери пакетов (PLP).

Укажите один или несколько уровней: low, medium-lowmedium-high , или high .

Поддерживается M120 и M320 маршрутизаторах; M7i и M10i с расширенным CFEB (CFEB-E); и серия MX маршрутизаторов и коммутаторов серии EX.

Для ТРАФИКА IP на M320, серия MX, серия T и коммутаторах серии EX с расширенными гибкими концентраторами PIC II (FPCs), необходимо включить утверждение на уровне иерархии, чтобы сфиксировать конфигурацию PLP с любым из четырех указанных tri-color[edit class-of-service] уровней. Если утверждение tri-color не включено, можно настроить только уровни high и low уровни. Это относится ко всем семействам протоколов.

Для получения сведений об tri-color этом сообщении см. "Настройка и применение трехсторонней маркировки policers". Сведения об использовании классификаторов поведения (BA) для назначения уровня PLP входящих пакетов см. в "Сведениях о назначении классов переадностики выходным очередям".

loss-priority-except level

Не соответствует уровню PLP. Подробные сведения см. в loss-priority условии совпадения.

next-header header-type

Соберет первое 8-битное поле следующего загона в пакете. Поддержка условий next-header совпадения межсетевых экранов доступна в Junos OS версии 13.3R6 и более поздних версиях.

Для IPv6 рекомендуется использовать термин, а не термин при настройке фильтра межсетевых экранов с условиями payload-protocolnext-header совпадения. Хотя можно использовать любой из них, обеспечивает более надежное условие совпадения, поскольку для поиска совпадения используется фактический протокол полезной нагрузки, в то время как в первом заголовке, который может быть или не быть фактическим протоколом, используется просто то, что отображается в первом заголовке после payload-protocolnext-header IPv6. Кроме того, в случае использования с IPv6 процесс ускоренного фильтрации блока пропускается, а вместо этого используется next-header стандартный фильтр.

Соберет первое 8-битное поле следующего загона в пакете.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей): ah(51), dstops (60), egp (8), esp (50), fragmentgre (44), hop-by-hop (47), (0), icmpicmp6 (1), icmpv6 (58), igmp (2), ipip (4) ipv6 (4) mobility 1), (135), no-next-headerospf (59), (89), pimrouting (103), rsvp (43), sctp (46), (132), tcp (6), udp  (17) или vrrp (112).

Прим.:

next-header icmp6 и next-header icmpv6 условия совпадения выполняют ту же функцию. Это предпочтительный параметр. Скрывается в next-header icmp6next-header icmpv6 Junos OS интерфейс командной строки.

next-header-except header-type

Не совпадают с 8-битным полем Next Header, которое определяет тип загона между загомером IPv6 и полезной нагрузкой. Подробные сведения см. в next-header типе совпадения.

packet-length bytes

Со соответствовать длине полученного пакета в bytes. Длина относится только к IP-пакету, включая заголовок пакета, и не включает в себя слою инкапсуляции уровня 2.

packet-length-except bytes

Длина полученного пакета в bytes не совпадает. Подробные сведения см. в packet-length типе совпадения.

payload-protocol protocol-type

Соответствует типу протокола полезной нагрузки.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены protocol-type значения полей): указать один из следующих наборов: ah(51), dstopts (60), egp (8), esp (50), fragmentgre (44), hop-by-hop (47), (0), icmpicmp6 (1), (58, igmpipipipv6 (2), (4), (41), no-next-headerospf (89), pim (103), routingrsvpsctp (46), (132), tcp (6), udp (17) или vrrp (112) (dstopts (60), фрагмент (44), переход за переходом 0) и маршруты недоступны в Junos OS выпуске 16.1 и более поздних).

Это условие также можно использовать payload-protocol для совпадения с типом заголовки расширения, который невозможно интерпретировать Juniper Networks микропрограммой. Можно указать диапазон значений загона расширения в квадратных скобках. Когда микропрограмма находит тип первого заглавного набора, который не может быть интерпретируется в пакете, значение устанавливается на этот payload-protocol тип загона расширения. Фильтр межсетевых экранов проверяет только тип первого заглавного расширения, который не может интерпретировать микропрограмма в пакете.

Прим.:

Это условие совпадения поддерживается только на MPC серия MX маршрутизаторах. Инициализировать новые фильтры межсетевых экранов, которые содержат это условие путем прохода соответствующего SNMP-MIB.

payload-protocol-except protocol-type

Не соответствует типу протокола полезной нагрузки. Подробные сведения см. в payload-protocol типе совпадения.

Прим.:

Это условие совпадения поддерживается только на MPC серия MX маршрутизаторах

port number

Со соответствовать полю UDP или TCP-источника или порта назначения.

При настройке этого условия совпадения нельзя настроить условия совпадения или условия destination-portsource-port совпадения в одном и том же сроке.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения или условия совпадать в одном и том же термине, чтобы указать протокол, используемый next-header udpnext-header tcp на порте.

Прим.:

Для Junos OS Evolved необходимо настроить утверждение next-header match в том же термине.

В качестве цифрового значения можно указать один из указанных в списке текстовых destination-port синонимов.

port-except number

Не совпадайте с полем UDP или TCP-источника или порта назначения. Подробные сведения см. в port условии совпадения.

prefix-list prefix-list-name [ except ]

Со соответствием префиксам полей адреса источника или назначения к префиксам в указанном списке, если не except включен параметр. Если этот параметр включен, не нужно софиксовать префиксы из полей адреса источника или места назначения к префиксам в указанном списке.

Список префиксов определяется на уровне [edit policy-options prefix-list prefix-list-name] иерархии.

service-filter-hit

Со соответствием пакету, полученному от service-filter-hit фильтра, в котором применено действие.

source-address address [ except ]

Со соответствовать ip-адресу IPv6 узла-источника, отправляя пакет, если не except включен параметр. Если этот параметр включен, то адрес IPv6 отправляемого пакета не совпадает с адресом IPv6 узла-источника.

Нельзя указать одно и то address же время и условия source-address совпадения.

source-class class-names

Соответствует одному или более заданным именам классов источников (наборы префиксов источника, сгрупп ему и заданы имена классов).

Дополнительные сведения см. в "Условия совпадения фильтра межсетевых экранов на основе классов адресов".

source-class-except class-names

Не нужно совпадать с одним или более заданными именами классов источников. Подробные сведения см. в source-class условии совпадения.

source-port number

Со соответствовать полю порта источника UDP или TCP.

Нельзя указать условия portsource-port совпадения в одном и том же термине.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения или условия совпадать в одном и том же термине, чтобы указать протокол, используемый next-header udpnext-header tcp на порте.

Прим.:

Для Junos OS Evolved необходимо настроить утверждение match в одном и том next-headernext-header tcp же термине.

В качестве цифрового значения можно указать одно из текстовых синонимов, указанных в списке с условием destination-port number совпадения.

source-port-except number

Не совпадайте с полем порта источника UDP или TCP. Подробные сведения см. в source-port условии совпадения.

source-prefix-list name [ except ]

Со соответствовать префиксу адреса IPv6 поля источника пакета, если не except включен параметр. Если этот параметр включен, не совпадать с префиксом адреса IPv6 в поле источника пакета.

Укажите имя списка префиксов, определенное на [edit policy-options prefix-list prefix-list-name] уровне иерархии.

tcp-established

Со соответствием TCP-пакетам, кроме первого пакета соединения. Это текстовый синоним ( tcp-flags "(ack | rst)"0x14 ).

Прим.:

Это условие не проверяется в неявной форме, что протоколом является TCP. Для проверки укажите protocol tcp условие совпадения.

При настройке условий совпадения рекомендуется также настроить условия next-header tcp совпадения в одном и том же термине.

tcp-flags flags

Соберет один или несколько битов низкого порядка 6 в 8-битных полях флагов TCP в поле TCP-загона.

Чтобы указать отдельные поля битов, можно указать следующие текстовые синонимы или hexadecimal значения:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

В сеансе TCP флаг SYN устанавливается только в исходном отправленном пакете, в то время как флаг ACK установлен во всех пакетах, отправленных после начального пакета.

Можно с помощью логических операторов бита совметь несколько флагов.

Для условий совмещения бит-поля см. условия tcp-establishedtcp-initial совпадения и совпадения.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения в том же термине, чтобы указать, что протокол TCP используется next-header tcp на порту.

tcp-initial

Со соответствием исходному пакету TCP-соединения. Это текстовый синоним . tcp-flags "(!ack & syn)"

Это условие не проверяется в неявной форме, что протоколом является TCP. При настройке условий совпадения рекомендуется также настроить условия next-header tcp совпадения в одном и том же термине.

traffic-class number

Со соответствовать 8-битовом полю, которое указывает приоритет пакета класса обслуживания (CoS) пакета.

Это поле ранее использовалось в качестве поля типа обслуживания (ToS) в IPv4.

Цифровое значение можно указать с 0 помощью 63 through. Чтобы указать значение в hexademal форме, 0x включим в качестве префикса. Чтобы указать значение в двоичной форме, b включим в качестве префикса.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей):

  • RFC 3246. PhB срочной пересылки (поведениепри переходе) определяет одну кодовую точку: ef(46).

  • RFC 2597, гарантированная группа PHBпереадности, определяет 4 класса с 3 приоритетами сброса в каждом классе, для общего числа кодовых пунктов:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

traffic-class-except number

Не совпадать с 8-битным полем, в CoS приоритетом пакета. Подробные сведения см. в traffic-class описании совпадения.

Прим.:

Если адрес IPv6 указан в состоянии совпадения (условия совпадения), используйте синтаксис для текстовых представлений, описанных в addressdestination-addresssource-address RFC 4291, IP-архитектуре версии 6. Дополнительные сведения об адресах IPv6 см. в обзоре IPv6 и поддерживаемых стандартах IPv6.

Таблица истории выпусков
Версия
Описание
13.3R6
Поддержка условий next-header совпадения межсетевых экранов доступна в Junos OS версии 13.3R6 и более поздних версиях.