Condições de correspondência de filtro parametrizadas para tráfego IPv6

Você pode configurar um filtro parametrizado com condições de correspondência para o tráfego do Protocolo de Internet versão 6 (IPv6) (family inet6).

Observação:

Para roteadores da Série MX com MPCs, você precisa inicializar certos novos filtros de firewall percorrendo a MIB SNMP correspondente, por exemplo, show snmp mib walk name ascii. Isso força o Junos a aprender os contadores de filtro e garantir que as estatísticas de filtro sejam exibidas. Essa orientação se aplica a todos os filtros de firewall de modo avançado, filtros com condições flexíveis e filtros com determinadas ações de encerramento. Consulte esses tópicos, listados em Documentação relacionada, para obter detalhes.

A Tabela 1 descreve as condições de correspondência que podem ser configuradas no nível da [edit firewall family inet6 filter filter-name term term-name from] hierarquia.

Tabela 1: Condições de correspondência de filtro de firewall para tráfego IPv6
Condição de correspondência	Descrição
`address address [ except ]`	Corresponda ao campo de endereço de origem ou destino IPv6, a menos que a `except` opção esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv6.
`destination-address address [ except ]`	Corresponda ao campo de endereço de destino IPv6, a menos que a `except` opção esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv6. Não é possível especificar as condições de correspondência e `destination-address` no `address` mesmo termo.
`destination-port number`	Combine o campo Porta de destino UDP ou TCP. Não é possível especificar as condições de correspondência e `destination-port` no `port` mesmo termo. Se você configurar essa condição de correspondência, recomendamos que você também configure a `next-header udp` condição de correspondência ou `next-header tcp` no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): `afs` (1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`destination-port-except number`	Não corresponda ao campo de porta de destino UDP ou TCP. Para obter detalhes, consulte a condição de `destination-port` correspondência.
`destination-prefix-list prefix-list-name [ except ]`	Combine o prefixo de destino IPv6 com a lista especificada, a menos que a `except` opção esteja incluída. Se a opção estiver incluída, não corresponda o prefixo de destino IPv6 à lista especificada. A lista de prefixos `[edit policy-options prefix-list prefix-list-name`é definida no nível de hierarquia ]. (Junos OS Evolved) Você pode especificar prefix-list `[edit policy-options prefix-list prefix-list-name]` nos níveis de hierarquia e `[edit dynamic-profiles name policy-options prefix-list prefix-list-name]` .
`forwarding-class class`	Combine a classe de encaminhamento do pacote. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`ou `network-control`. Para obter informações sobre o encaminhamento de classes e filas de saída internas do roteador, consulte Noções básicas sobre como as classes de encaminhamento atribuem classes a filas de saída.
`forwarding-class-except class`	Não corresponda à classe de encaminhamento do pacote. Para obter detalhes, consulte a condição de `forwarding-class` correspondência.
`icmp-code message-code`	Corresponda ao campo de código de mensagem ICMP. Se você configurar essa condição de correspondência, recomendamos que você também configure a `next-header icmp` condição de correspondência ou `next-header icmp6` no mesmo termo. Se você configurar essa condição de correspondência, também deverá configurá-la `icmp-type message-type` no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também são listados). As palavras-chave são agrupadas pelo tipo de ICMP ao qual estão associadas: problema-parâmetro: `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) Tempo excedido: `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) destino inacessível: `administratively-prohibited` (1), `address-unreachable` (3), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	Não corresponda ao campo de código de mensagem ICMP. Para obter detalhes, consulte a condição de `icmp-code` correspondência.
`icmp-type message-type`	Corresponda ao campo de tipo de mensagem ICMP. Se você configurar essa condição de correspondência, recomendamos que você também configure a `next-header icmp` condição de correspondência ou `next-header icmp6` no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `certificate-path-advertisement` (149), `certificate-path-solicitation` (148), `destination-unreachable` (1), `echo-reply` (129), `echo-request` (128), `home-agent-address-discovery-reply` (145), `home-agent-address-discovery-request` (144), `inverse-neighbor-discovery-advertisement` (142), `inverse-neighbor-discovery-solicitation` (141), `membership-query` (130), `membership-report` (131), `membership-termination` (132), `mobile-prefix-advertisement-reply` (147), `mobile-prefix-solicitation` (146), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), `parameter-problem` (4), `private-experimentation-100` (100), `private-experimentation-101` (101), `private-experimentation-200` (200), (201), `redirect` `private-experimentation-201` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) ou `time-exceeded` (3). Para `private-experimentation-201` (201), você também pode especificar um intervalo de valores entre colchetes.
`icmp-type-except message-type`	Não corresponde ao campo de tipo de mensagem ICMP. Para obter detalhes, consulte a condição de `icmp-type` correspondência.
`loss-priority level`	Corresponder ao nível de prioridade de perda de pacotes (PLP). Especifique um único nível ou vários níveis: `low`, `medium-low`, `medium-high`, ou `high`. Suportado em roteadores M120 e M320; Roteadores M7i e M10i com o CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX. Para o tráfego de IP em roteadores M320, Série MX, Série T e switches da Série EX com Concentradores PIC Flexíveis (FPCs) Enhanced II, você deve incluir a `tri-color` declaração no `[edit class-of-service]` nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver habilitada, você só poderá configurar os `high` níveis e `low` . Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração, consulte Configurando e aplicando policiais de marcação tricolor. Para obter informações sobre como usar classificadores de agregação de comportamento (BA) para definir o nível de PLP de pacotes de entrada, consulte Entendendo como as classes de encaminhamento atribuem classes a filas de saída.
`loss-priority-except level`	Não corresponda ao nível PLP. Para obter detalhes, consulte a condição de `loss-priority` correspondência.
`next-header header-type`	Combine o primeiro campo Next Header de 8 bits no pacote. O suporte para a condição de correspondência de `next-header` firewall está disponível no Junos OS versão 13.3R6 e posterior. Para IPv6, recomendamos que você use o `payload-protocol` termo em vez do `next-header` termo ao configurar um filtro de firewall com condições de correspondência. Embora qualquer um possa ser usado, `payload-protocol` fornece a condição de correspondência mais confiável porque usa o protocolo de payload real para encontrar uma correspondência, enquanto `next-header` simplesmente pega o que aparece no primeiro cabeçalho após o cabeçalho IPv6, que pode ou não ser o protocolo real. Além disso, se `next-header` for usado com IPv6, o processo de pesquisa acelerada de bloco de filtro será ignorado e o filtro padrão será usado. Combine o primeiro campo Next Header de 8 bits no pacote. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `ah` (51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), (41 `ipv6` ), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) ou `vrrp` (112). Observação: `next-header icmp6` e `next-header icmpv6` as condições de correspondência executam a mesma função. `next-header icmp6` é a opção preferida. `next-header icmpv6` está oculto na CLI do Junos OS.
`next-header-except header-type`	Não corresponda ao campo Próximo Cabeçalho de 8 bits que identifica o tipo de cabeçalho entre o cabeçalho IPv6 e o payload. Para obter detalhes, consulte o tipo de `next-header` correspondência.
`packet-length bytes`	Combine o comprimento do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.
`packet-length-except bytes`	Não corresponda ao comprimento do pacote recebido, em bytes. Para obter detalhes, consulte o tipo de `packet-length` correspondência.
`port number`	Combine o campo de porta de origem ou destino UDP ou TCP. Se você configurar essa condição de correspondência, não poderá configurar a condição de `destination-port` correspondência ou a `source-port` condição de correspondência no mesmo termo. Se você configurar essa condição de correspondência, recomendamos que você também configure a `next-header udp` condição de correspondência ou `next-header tcp` no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados na `destination-port` condição de correspondência.
`port-except number`	Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter detalhes, consulte a condição de `port` correspondência.
`prefix-list prefix-list-name [ except ]`	Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a `except` opção esteja incluída. Se a opção estiver incluída, não corresponda os prefixos dos campos de endereço de origem ou destino aos prefixos na lista especificada. A lista de prefixos é definida no nível da `[edit policy-options prefix-list prefix-list-name]` hierarquia. (Junos OS Evolved) Você pode especificar prefix-list `[edit policy-options prefix-list prefix-list-name]` nos níveis de hierarquia e `[edit dynamic-profiles name policy-options prefix-list prefix-list-name]` .
`service-filter-hit`	Corresponde a um pacote recebido de um filtro em que uma `service-filter-hit` ação foi aplicada.
`source-address address [ except ]`	Combine o endereço IPv6 do nó de origem que envia o pacote, a menos que a `except` opção esteja incluída. Se a opção estiver incluída, não corresponda ao endereço IPv6 do nó de origem que envia o pacote. Não é possível especificar as condições de correspondência e `source-address` no `address` mesmo termo.
`source-class class-names`	Corresponder a um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e com um nome de classe). Para obter mais informações, consulte Condições de correspondência de filtro de firewall com base em classes de endereço.
`source-class-except class-names`	Não corresponda a um ou mais nomes de classe de origem especificados. Para obter detalhes, consulte a condição de `source-class` correspondência.
`source-port number`	Combine o campo de porta de origem UDP ou TCP. Não é possível especificar as condições e `port` `source-port` corresponder no mesmo termo. Se você configurar essa condição de correspondência, recomendamos que você também configure a `next-header udp` condição de correspondência ou `next-header tcp` no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a `destination-port number` condição de correspondência.
`source-port-except number`	Não corresponda ao campo de porta de origem UDP ou TCP. Para obter detalhes, consulte a condição de `source-port` correspondência.
`source-prefix-list name [ except ]`	Corresponda ao prefixo de endereço IPv6 do campo de origem do pacote, a menos que a `except` opção esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de endereço IPv6 do campo de origem do pacote. Especifique um nome de lista de prefixos definido no nível de `[edit policy-options prefix-list prefix-list-name]` hierarquia. (Junos OS Evolved) Você pode especificar prefix-list `[edit policy-options prefix-list prefix-list-name]` nos níveis de hierarquia e `[edit dynamic-profiles name policy-options prefix-list prefix-list-name]` . O comprimento máximo do prefixo que você pode usar é /64.
`traffic-class number`	Combine o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. Esse campo era usado anteriormente como o campo de tipo de serviço (ToS) no IPv4. Você pode especificar um valor numérico de `0` . `63` Para especificar o valor em formato hexadecimal, inclua `0x` como prefixo. Para especificar o valor em formato binário, inclua `b` como prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): RFC 3246, um PHB de encaminhamento acelerado (comportamento por hop), define um ponto de código: `ef` (46). O RFC 2597, Assured Forwarding PHB Group, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código: `af11`(10), `af12` (12), `af13` (14) `af21`(18), `af22` (20), `af23` (22) `af31`(26), `af32` (28), `af33` (30) `af41`(34), `af42` (36), `af43` (38)
`traffic-class-except number`	Não corresponda ao campo de 8 bits que especifica a prioridade de CoS do pacote. Para obter detalhes, consulte a descrição da `traffic-class` partida.

Observação:

Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições , destination-addressou source-address correspond), use a sintaxe para representações de texto descritas em RFC 4291, Arquitetura de endereçamento IP versão 6. Para obter mais informações sobre endereços IPv6, consulte Visão geral do IPv6 e Padrões IPv6 com suporte.

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento

Descrição

13.3R6

O suporte para a condição de correspondência de next-header firewall está disponível no Junos OS versão 13.3R6 e posterior.