Condições parametrizadas de correspondência de filtro para tráfego IPv6

Você pode configurar um filtro parametrizado com condições de correspondência para tráfegofamily inet6 de protocolo de Internet versão 6 (IPv6).

Nota:

Para roteadores da Série MX com MPCs, você precisa inicializar certos novos filtros de firewall andando pelo SNMP MIB correspondente, por exemplo. show snmp mib walk name ascii Isso força o Junos a aprender os contadores de filtro e garantir que as estatísticas do filtro sejam exibidas. Essa orientação se aplica a todos os filtros de firewall de modo aprimorado, filtros com condições flexíveis e filtros com certas ações terminais. Veja esses tópicos, listados em Documentação relacionada, para obter mais detalhes.

A Tabela 1 descreve as condições de correspondência que você pode configurar no nível de [edit firewall family inet6 filter filter-name term term-name from] hierarquia.

Tabela 1: Condições de correspondência do filtro de firewall para tráfego IPv6
Condição da partida	Descrição
`address address [ except ]`	Combine com o campo de endereço de origem ou destino IPv6, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv6.
`destination-address address [ except ]`	Combine com o campo de endereço de destino IPv6, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv6. Você não pode especificar as `address` condições e `destination-address` as condições compatíveis no mesmo termo.
`destination-port number`	Combine com o campo de porta de destino UDP ou TCP. Você não pode especificar as `port` condições e `destination-port` as condições compatíveis no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header tcp` a `next-header udp` condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): `afs` (1483), `bgp` (179), `biff` (512), `bootpc`(68), `bootps`(67), `cmd` (514), (2401)`cvspserver` ), `dhcp`(67), `domain` (53), `eklogin` (2105), `ekshell`(2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data`(20), `http`(80), `https`(443), `ident` (113), (143), `kerberos-sec` (88), `klogin`(543), `kpasswd` (761), `krb-prop` (754), `krbupdate`(760), `kshell`(544), `ldap` (389), `ldp`(646), (513), (434), (435), (646), `login` (513), `mobileip-agent` (434), `mobilip-mn`(435), `msdp`(639), `netbios-dgm` (138), `netbios-ns`(137), `netbios-ssn` (139), `nfsd` (2049), `nntp`(119), `ntalk`(518), `ntp`(123), `pop3` (110), `pptp`(1723), `printer`(515), `radacct` (1813), (1813), ( `radiusimap` 1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp`(161), `snmptrap`(162), `snpp`(444), `socks` (1080), `ssh` (22), (22)`sunrpc` 111), `syslog` (514), `tacacs`(49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp`(69), `timed`(525), `who`(513) ou `xdmcp` (177).
`destination-port-except number`	Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da `destination-port` partida.
`destination-prefix-list prefix-list-name [ except ]`	Combine o prefixo de destino IPv6 com a lista especificada, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de destino IPv6 à lista especificada. A lista de prefixo é definida no `[edit policy-options prefix-list prefix-list-name`nível ] hierarquia.
`forwarding-class class`	Combine com a classe de encaminhamento do pacote. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`. Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.
`forwarding-class-except class`	Não corresponda à classe de encaminhamento do pacote. Para obter mais informações, veja a condição da `forwarding-class` partida.
`icmp-code message-code`	Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header icmp6` a `next-header icmp` condição de correspondência no mesmo termo. Se você configurar essa condição de correspondência, você também deve configurar a condição de `icmp-type message-type` correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas: problema de parâmetros: `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) tempo excedido: `ttl-eq-zero-during-reassembly` (1) `ttl-eq-zero-during-transit` (0) destino inalcançável: `administratively-prohibited` (1), `address-unreachable` (3), `no-route-to-destination`(0), `port-unreachable` (4)
`icmp-code-except message-code`	Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-code` partida.
`icmp-type message-type`	Combine com o campo do tipo de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header icmp6` a `next-header icmp` condição de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `certificate-path-advertisement` (149), `certificate-path-solicitation` (148), (1), `destination-unreachable`(129 `echo-reply` ), `echo-request` (128), `home-agent-address-discovery-reply` (145), (144), `inverse-neighbor-discovery-advertisement` `home-agent-address-discovery-request` (142), `inverse-neighbor-discovery-solicitation` (141), (141) (141)`membership-query` 30), `membership-report`(131), `membership-termination`(132), `mobile-prefix-advertisement-reply` (147), `mobile-prefix-solicitation` (146), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply`(140), `node-information-request` (139), `packet-too-big` (2), `parameter-problem` (4), `private-experimentation-100` (100), `private-experimentation-101` (101), `private-experimentation-200` (200), `private-experimentation-201` (201), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit`(133) ou `time-exceeded` (3). Para `private-experimentation-201` (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados.
`icmp-type-except message-type`	Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-type` partida.
`loss-priority level`	Corresponda ao nível de prioridade de perda de pacote (PLP). Especifique um único nível ou vários níveis:`low`, `medium-low`ou`medium-highhigh`. Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX. Para tráfego IP em M320, Série MX , roteadores da Série T e switches da Série EX com concentradores PIC flexíveis (FPCs) Aprimorados II, você deve incluir a `tri-color` declaração no nível de `[edit class-of-service]` hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver habilitada, você só poderá configurar os níveis e `low` os `high` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.
`loss-priority-except level`	Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da `loss-priority` partida.
`next-header header-type`	Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do `next-header` firewall está disponível no Junos OS Release 13.3R6 e posterior. Para O IPv6, recomendamos que você use o `payload-protocol` termo em vez do `next-header` termo ao configurar um filtro de firewall com condições de correspondência. Embora possa ser usado, oferece a condição de correspondência mais confiável porque `payload-protocol` usa o protocolo de carga real para encontrar uma correspondência, enquanto `next-header` simplesmente leva o que aparecer no primeiro cabeçalho após o cabeçalho IPv6, que pode ou não ser o protocolo real. Além disso, se `next-header` for usado com o IPv6, o processo acelerado de pesquisa de blocos de filtro é ignorado e o filtro padrão usado em vez disso. Combine com o primeiro campo next header de 8 bits no pacote. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `ah` (51), `dstops`(60), `egp` (8), `esp`(50), `fragment` (44), `gre` (47), `hop-by-hop`(0), (0) `icmp`1), `icmp6` (58), `icmpv6`(58), `igmp`(2), `ipip`(4), `ipv6` (41), (135), `mobility` `no-next-header` (59), `ospf`(89), `pim`(103), `routing`(43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) ou `vrrp` (112). Nota: `next-header icmp6` e `next-header icmpv6` as condições de correspondência executam a mesma função. `next-header icmp6` é a opção preferida. `next-header icmpv6` está oculta no Junos OS CLI.
`next-header-except header-type`	Não combine com o campo Next Header de 8 bits que identifica o tipo de cabeçalho entre o cabeçalho IPv6 e a carga útil. Para obter mais informações, veja o tipo de `next-header` correspondência.
`packet-length bytes`	Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2.
`packet-length-except bytes`	Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de `packet-length` correspondência.
`port number`	Combine com o campo de porta de origem ou destino UDP ou TCP. Se você configurar esta condição de correspondência, não poderá configurar a condição da `destination-port` correspondência ou a condição da `source-port` correspondência no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header tcp` a `next-header udp` condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados sob a condição de `destination-port` correspondência.
`port-except number`	Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter mais informações, veja a condição da `port` partida.
`prefix-list prefix-list-name [ except ]`	Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada. A lista de prefixo é definida no nível de `[edit policy-options prefix-list prefix-list-name]` hierarquia.
`service-filter-hit`	Combine com um pacote recebido de um filtro onde uma `service-filter-hit` ação foi aplicada.
`source-address address [ except ]`	Combine com o endereço IPv6 do nó de origem que envia o pacote a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao endereço IPv6 do nó de origem que envia o pacote. Você não pode especificar as `address` condições e `source-address` as condições compatíveis no mesmo termo.
`source-class class-names`	Combine com um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e dado um nome de classe). Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.
`source-class-except class-names`	Não combine com um ou mais nomes de classe de origem especificados. Para obter mais informações, veja a condição da `source-class` partida.
`source-port number`	Combine com o campo de porta de origem UDP ou TCP. Você não pode especificar as `port` condições e `source-port` combinar no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header tcp` a `next-header udp` condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de `destination-port number` correspondência.
`source-port-except number`	Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da `source-port` partida.
`source-prefix-list name [ except ]`	Combine com o prefixo de endereço IPv6 do campo de origem do pacote, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de endereço IPv6 do campo de origem do pacote. Especifique um nome de lista de prefixo definido no nível de `[edit policy-options prefix-list prefix-list-name]` hierarquia.
`traffic-class number`	Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4. Você pode especificar um valor numérico de `0` até `63`. Para especificar o valor na forma hexadadecimal, inclua `0x` como prefixo. Para especificar o valor em forma binária, inclua `b` como prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: `ef` (46). RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código: `af11` (10), `af12` (12), `af13` (14) `af21` (18), `af22` (20), `af23` (22) `af31` (26), `af32` (28), `af33` (30) `af41` (34), `af42` (36), `af43` (38)
`traffic-class-except number`	Não corresponda ao campo de 8 bits que especifica a prioridade cos do pacote. Para obter mais informações, veja a descrição da `traffic-class` correspondência.

Nota:

Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições, destination-addressou source-address condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.

Tabela de histórico de lançamentos

Lançamento

Descrição

13.3R6

O suporte para a condição de correspondência do next-header firewall está disponível no Junos OS Release 13.3R6 e posterior.