Условия совпадения фильтра межсетевых экранов для трафика VPLS

Со соответствовать MAC-адрес (MAC) адреса назначения пакета VPLS.

(серия MX только маршрутизаторы и коммутаторы серии EX) Со соответствовать полю UDP или TCP-порта назначения.

Нельзя указать одно и то port же время и условия destination-port совпадения.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также указаны номера портов): afsbgp(1483), (179), biff (512), bootpcbootps (68), cmd (67), (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2106), exec (512), fingerftp (79), ftp-data (21), (20), http (80) httpsidentimap (443), (113), (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldapldp (646), login (513), mobileip-agentmobilip-mn (434), (435), msdp (639) (639) netbios-dgmnetbios-nsnetbios-ssn 138), (137), (139), nfsdnntp (2049), (119), ntalk (518), ntppop3 (123), (110), pptp (1723), printerradacct (1813), radiusrip (1812), (520), rkinit (2108), smtp (2 snmp 5), snmptrap (161), (162), snpp (444), socks (1080), ssh (22), sunrpcsyslog (111), (514), tacacs (49), tacacs-ds (65), talktelnet (23), tftp (69), timedwho (525), (513) или xdmcp (177).

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадайте в поле TCP или UDP-порта назначения. Нельзя указать одно и то port же время и условия destination-port совпадения.

(серия ACX, только серия MX, маршрутизаторы и коммутаторы серии EX) Совпадение префиксов назначения в указанном списке. Укажите имя списка префиксов, определенного на [edit policy-options prefix-list prefix-list-name уровне иерархии ]

(серия MX только маршрутизаторы и коммутаторы серии EX) Префиксы назначения в указанном списке не совпадают. Дополнительные сведения см. в destination-prefix-list условии совпадения.

(серия MX только маршрутизаторы и коммутаторы серии EX) Соответствует коду дифференцированного обслуживания (DSCP). Протокол DiffServ использует тип обслуживания (ToS) в IP-загоне. Наиболее значимые 6 битов этого byte формируют DSCP. Дополнительные сведения см. в "Понимание поведения Агрегированных классификаторов по приоритету надежного трафика".

Цифровое значение можно указать с 0 помощью 63 through. Чтобы указать значение в hexademal форме, 0x включим в качестве префикса. Чтобы указать значение в двоичной форме, b включим в качестве префикса.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей):

• RFC 3246. PhB срочной пересылки (поведениепри переходе) определяет одну кодовую точку: ef(46).

• RFC 2597, гарантированная группа PHBпереадности, определяет 4 класса с 3 приоритетами сброса в каждом классе, для общего числа кодовых пунктов:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадать в DSCP. Подробные сведения см. в dscp условии совпадения.

Сообразуем поле 2-октета IEEE 802.3 Length/EtherType с указанным значением или списком значений.

Можно указать десятичной или шест из десятичных значений от 0 до 65535 (0xFFFF). Значение от 0 до 1500 (0x05DC) определяет длину кадра Ethernet версии 1. Значение от 1536 (0x0600) до 65535 определяет EtherType (тип протокола клиента MAC) кадра Ethernet версии 2.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены hexadecimal значения): aarpappletalkarp (0x80F3), (0x809B), (0x0806), ipv4 (0x0800 0x86DD), ipv6mpls-multicast (0x8848), mpls-unicastoam (0x8847), (0x8902), ppppppoe-discovery (0x880B), pppoe-session (0x8863), (0x8864) или sna (0x80D5).

Поле "2-octet Length/EtherType" не соответствует указанному значению или списку значений.

Подробные сведения о указании values команд см. в ether-type условии совпадения.

Начиная с Junos OS.14.2, в конфигурациях иерархии межсетевых экранов поддерживаются гибкие фильтры смещения.

Длина данных, которые должны быть совме в битах, не требуется для строки ввода (0.128)

Смещение битов после смещения (match-start + byte) (0.7)

Смещение byte после точки начала совпадения

Выберите гибкое совпадение в предварительно заранее задаированном поле шаблона.

Замаскировать биты в данных пакетов, которые должны быть совме-

Точка начала, чтобы найти совпадение в пакете

Значения данных/строк, которые необходимо использовать

Длина данных, совпадает в битах (0.32)

Смещение битов после смещения (match-start + byte) (0.7)

Смещение byte после точки начала совпадения

Выберите гибкое совпадение в предварительно заранее задаированном поле шаблона.

Точка начала, чтобы найти совпадение в пакете

Диапазон значений, которые необходимо найти

Не соответствует данному диапазону значений

Со соответствовать классу переадваровки. assured-forwardingbest-effort Укажите, expedited-forwardingnetwork-control или.

Не соответствует классу переадварки. Подробные сведения см. в forwarding-class условии совпадения.

Со соответствовать полю кода сообщения ICMP.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения или условия в next-header icmp одном и том же next-header icmp6 термине.

При настройке условий совпадения необходимо также настроить условия icmp-type message-type совпадения в том же термине. Код сообщения ICMP предоставляет более конкретные сведения, чем тип сообщения ICMP, но значение кода сообщения ICMP зависит от связанного типа сообщения ICMP.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей). Ключевые слова группируются по типу ICMP, с которыми они связаны:

• проблема с параметром: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• превышение времени: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

• пункт назначения недостижим: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

Не соответствует поле кода сообщения ICMP. Подробные сведения см. в icmp-code условии совпадения.

(серия MX только маршрутизаторы и коммутаторы серии EX) Со соответствовать полю кода сообщения ICMP.

При настройке этого условия совпадения рекомендуется также настроить условия совпадения или условия в ip-protocol icmp одном и том же ip-protocol icmp6 термине.

При настройке условий совпадения необходимо также настроить условия icmp-type message-type совпадения в том же термине. Код сообщения ICMP предоставляет более конкретные сведения, чем тип сообщения ICMP, но значение кода сообщения ICMP зависит от связанного типа сообщения ICMP.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей). Ключевые слова группируются по типу ICMP, с которыми они связаны:

• проблема с параметром: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• превышение времени: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

• пункт назначения недостижим: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадать в поле кода ICMP. Подробные сведения см. в icmp-code условии совпадения.

Интерфейс, на котором был получен пакет. Можно настроить условие совпадения, которое соответствует пакетам в зависимости от интерфейса, на котором они были получены.

Со соответствовать логическому интерфейсу, на котором был получен пакет, указанной в группе интерфейсов или группе интерфейсов. For group-number , укажите одно значение или диапазон значений от 0 до 255 конца.

Чтобы назначить логический интерфейс группе group-number интерфейсов, укажите group-number[interfaces interface-name unit number family family filter group] иерархическую уровневую структуру.

Дополнительные сведения см. в обзоре "Фильтрация пакетов, полученных по набору групп интерфейсов".

Не соответствует логическому интерфейсу, на котором пакет был получен указанной группой интерфейсов или набором интерфейсных групп. Подробные сведения см. в interface-group условии совпадения.

Со соответствовать интерфейсу, на котором был получен пакет, с указанным набором интерфейсов.

Чтобы определить набор интерфейсов, включим interface-set в себя утверждение на уровне [edit firewall] иерархии. Дополнительные сведения см. в обзоре фильтрации пакетов, полученных по набору интерфейсов.

(серия MX маршрутизаторами и коммутаторами серии EX) 32-битный адрес, который поддерживает стандартный синтаксис для адресов IPv4.

Обратите внимание, что при использовании этого термина соответствие условию ether-type IPv4 должно быть определено на одном и том же термине.

(серия MX маршрутизаторами и коммутаторами серии EX) 32-битный адрес узла назначения для пакета.

Обратите внимание, что при использовании этого термина соответствие условию ether-type IPv4 должно быть определено на одном и том же термине.

(серия MX только маршрутизаторы и коммутаторы серии EX) Поле приоритета IP-адреса. В качестве цифрового значения поля можно указать одно из следующих текстовых синонимов (также перечислены значения полей): critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), internet-control (0x40), net-control (0xc0), (0xe0), priority (0x20) или routine (0x00).

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадать в поле IP precedence.

(серия MX только маршрутизаторы и коммутаторы серии EX) Поле протокола IP.

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадают в поле IP-протокола.

ip-source-address address

(серия MX только маршрутизаторы и коммутаторы серии EX) IP-адрес узла-источника, отправляя пакет.

Обратите внимание, что при использовании этого термина условие совпадения ether-type IPv4 также должно быть определено на том же термине.

(только серия MX) Со соответствием адреса источника IPv6 в именовом списке.

(серия MX только EX9200) 128-битный адрес, который поддерживает стандартный синтаксис для адресов IPv6. Начиная с Junos OS.14.2 критерии соответствия межсетевму мосту IPv6 поддерживаются на серия MX и EX9200 коммутаторах.

((серия MX только EX9200) 128-битный адрес узла назначения для этого пакета. Обратите внимание, что при использовании этого термина условие совпадения ether-type IPv6 должно быть определено на одном и том же термине.

(только серия MX) Со соответствием адресам назначения IPv6 в именовом списке.

(только серия MX) Соотведите тип протокола следующего заглавного протокола IPv6.

В следующем списке показаны поддерживаемые значения для протокола:

• ah— Заглавный замер аутентификации ip Security

• dstopts-Параметры назначения IPv6

• egp— Протокол внешнего шлюза

• esp- Инкапсулирующий безопасность IPSec полезная нагрузка

• fragment- Задек фрагмента IPv6

• gre— Общая инкапсуляция маршрутизации

• hop-by-hop- параметры перехода IPv6 за переходом

• icmp— Интернет-протокол управления сообщениями

• icmp6—Internet Control Message Protocol версии 6

• igmp— Протокол управления группой Интернет

• ipip— IP в IP

• ipv6-IPv6 в IP

• no-next-header-IPv6 нет следующего загона

• ospf—Open Shortest Path First

• pim— Многоавтомная трансляция протокола независимо

• routing-Задек маршрутов IPv6

• rsvp— Протокол резервирования ресурсов

• sctp— Протокол передачи управления потоком

• tcp— Протокол управления передачей

• udp— Протокол датаграмм пользователя

• vrrp— Протокол избыточности виртуального маршрутизатора

(только серия MX) Не соответствует типу протокола следующего заглавного протокола IPv6.

ipv6-payload-protocol Протокол

(только серия MX) Соответствует типу протокола полезной нагрузки IPv6.

В следующем списке показаны поддерживаемые значения для протокола:

• ah— Заглавный замер аутентификации ip Security

• dstopts-Параметры назначения IPv6

• egp— Протокол внешнего шлюза

• esp- Инкапсулирующий безопасность IPSec полезная нагрузка

• fragment- Задек фрагмента IPv6

• gre— Общая инкапсуляция маршрутизации

• hop-by-hop- параметры перехода IPv6 за переходом

• icmp— Интернет-протокол управления сообщениями

• icmp6—Internet Control Message Protocol версии 6

• igmp— Протокол управления группой Интернет

• ipip— IP в IP

• ipv6-IPv6 в IP

• no-next-header-IPv6 нет следующего загона

• ospf—Open Shortest Path First

• pim— Многоавтомная трансляция протокола независимо

• routing-Задек маршрутов IPv6

• rsvp— Протокол резервирования ресурсов

• sctp— Протокол передачи управления потоком

• tcp— Протокол управления передачей

• udp— Протокол датаграмм пользователя

• vrrp— Протокол избыточности виртуального маршрутизатора

(только серия MX) Не соответствует протоколу полезной нагрузки IPv6.

(только серия MX) Соответствует адресу IPv6 в именовом списке.

(серия MX) 128-битный адрес, который является исходным адресом узла источника для этого пакета.

(только серия MX) Код DSCP. Протокол DiffServ использует тип обслуживания (ToS) в IP-загоне. Наиболее значимые 6 битов этого byte формируют DSCP. Дополнительные сведения см. в "Понимание того, как агрегированные классификаторы поведения приоритетизируют доверенный трафик".

Цифровое значение можно указать с 0 помощью 63 through. Чтобы указать значение в hexademal форме, 0x включим в качестве префикса. Чтобы указать значение в двоичной форме, b включим в качестве префикса.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей):

• RFC 3246. PhB срочной пересылки (поведениепри переходе) определяет одну кодовую точку: ef(46).

• RFC 2597, гарантированная группа PHBпереадности, определяет 4 класса с 3 приоритетами сброса в каждом классе, для общего числа кодовых пунктов:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

Не соответствует number DSCP.

(серия MX, только маршрутизаторы, M320 и коммутаторы серии EX) Match on the IEEE 802.1p learned VLAN priority bits in the provider VLAN tag (единственная метка в кадре с меткой 802.1Q VLAN или внешняя метка в кадре с двойной меткой с тегами VLAN 802.1Q). Укажите одно или несколько значений для 0 сквозного. 7

Сравните с user-vlan-1p-priority условием совпадения.

(серия MX, только маршрутизаторы, M320 и коммутаторы серии EX) Не совпадать на битах приоритета IEEE 802.1p. Подробные сведения см. в learn-vlan-1p-priority условии совпадения.

(серия MX только маршрутизаторы и коммутаторы серии EX) Со соответствием биту eligability indicator (DEI) сброса VLAN ID пользователя.

(серия MX только маршрутизаторы и коммутаторы серии EX) Не соответствует биту пользовательского VLAN ID DEI.

(серия MX только маршрутизаторы и коммутаторы серии EX) Идентификатор VLAN, используемый для mac-обучения.

(серия MX только маршрутизаторы и коммутаторы серии EX) Идентификатор VLAN, используемый для mac-обучения, не соответствует.

уровень приоритета потери пакетов (PLP). Укажите один или несколько уровней: low, medium-lowmedium-high , или high .

Поддерживается M120 и M320 маршрутизаторах; M7i и M10i с расширенным CFEB (CFEB-E); и серия MX маршрутизаторов.

Для IP-трафика M320, серия MX и серия T с расширенными гибкими концентраторами PIC II (FFP) и коммутаторами серии EX необходимо включить утверждение на уровне иерархии, чтобы сфиксировать конфигурацию PLP с любым из четырех указанных tri-color[edit class-of-service] уровней. Если утверждение tri-color не включено, можно настроить только уровни high и low уровни. Это относится ко всем семействам протоколов.

Для получения сведений о утверждениях и об использовании классификаторов поведения (BA) для того, чтобы задать уровень PLP входящих пакетов, см. "Понимание того, как классы переадностики присваивают классы выходным tri-color очередям." https://www.juniper.net/documentation/en_US/junos/topics/concept/forwarding-class-overview-cos-config-guide.html

Не совпадать на уровне приоритета потери пакетов. Укажите один или несколько уровней: low, medium-lowmedium-high , или high .

Сведения об использовании классификаторов поведения (BA) для набора уровня PLP входящих пакетов см. в "Как поведение агрегированных классификаторов по приоритету надежного трафика".

(серия MX только маршрутизаторы и коммутаторы серии EX) TCP или UDP-порт источника или назначения. Нельзя указать и условие port совпадения, и условие destination-port совпадения в одном и source-port том же термине.

(серия MX только маршрутизаторы и коммутаторы серии EX) Не на порте источника или назначения TCP или UDP не совпадайте. Нельзя указать и условие port совпадения, и условие destination-port совпадения в одном и source-port том же термине.

(серия MX только маршрутизаторы и коммутаторы серии EX) Со соответствовать назначению или префиксам источника в указанном списке. Укажите имя списка префиксов, определенного на [edit policy-options prefix-list prefix-list-name уровне иерархии ]

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадают адреса назначения или префиксы источника в указанном списке. Дополнительные сведения см. в destination-prefix-list условии совпадения.

Исходный MAC-адрес пакета VPLS.

(серия MX только маршрутизаторы и коммутаторы серии EX) Поле порта источника TCP или UDP. Нельзя указать условия portsource-port совпадения в одном и том же термине.

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадайте в поле TCP или UDP-порта источника. Нельзя указать условия portsource-port совпадения в одном и том же термине.

(серия ACX, только серия MX, маршрутизаторы и коммутаторы серии EX) Со соответствием исходным префиксам в указанном списке префиксов. Укажите имя списка префиксов, определенное на [edit policy-options prefix-list prefix-list-name] уровне иерархии.

(серия MX только маршрутизаторы и коммутаторы серии EX) Префиксы источника в указанном списке префиксов не совпадают. Дополнительные сведения см. в source-prefix-list условии совпадения.

Соберет один или несколько битов низкого порядка 6 в 8-битных полях флагов TCP в поле TCP-загона.

Чтобы указать отдельные поля битов, можно указать следующие текстовые синонимы или hexadecimal значения:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

В сеансе TCP флаг SYN устанавливается только в исходном отправленном пакете, в то время как флаг ACK установлен во всех пакетах, отправленных после начального пакета.

Можно с помощью логических операторов бита совметь несколько флагов.

Если настроить это условие совпадения для трафика IPv6, рекомендуется также настроить условия совпадения в том же термине, чтобы указать, что протокол TCP используется next-header tcp на порте.

(серия MX только маршрутизаторы и коммутаторы серии EX) Тип трафика. broadcastmulticast Укажите, unknown-unicastknown-unicast или.

(серия MX только маршрутизаторы и коммутаторы серии EX) Не соответствует типу трафика. broadcastmulticast Укажите, unknown-unicastknown-unicast или.

(серия MX, только маршрутизаторы, M320 и коммутаторы серии EX) Сопоставить по IEEE битах приоритета пользователя 802.1p в теге сети VLAN клиента (внутренняя метка в кадре с двумя тегами с тегами VLAN 802.1Q). Укажите одно или несколько значений для 0 сквозного. 7

Сравните с learn-vlan-1p-priority условием совпадения.

(серия MX только маршрутизаторы, M320 маршрутизаторы и коммутаторы серии EX) Не совпадать на IEEE битах приоритета пользователя 802.1p. Подробные сведения см. в user-vlan-1p-priority условии совпадения.

(серия MX только маршрутизаторы и коммутаторы серии EX) Со соответствием первому идентификатору VLAN, который является частью полезной нагрузки.

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадать в идентификаторе первой сети VLAN, которая является частью полезной нагрузки.

Поле типа VLAN Ethernet пакета VPLS.

Не совпадают в поле типа VLAN Ethernet пакета VPLS.