Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

flow (IPv6)

構文

階層レベル

形容

分散型サービス拒否攻撃を軽減するために、トラフィックフィルタリングルールの調整を自動化し、IPv6およびIPv6 VPNのトラフィックフロー仕様ルールの伝播を許可するために、IPv6アドレスファミリーのBGPフロー仕様を設定します。フロー仕様は、サービス拒否攻撃からの保護機能を提供し、帯域幅を消費して送信元近くでそれを止めてしまう不良なトラフィックを制限します。

手記:

IPv6フロー仕様ルートをBGPで伝搬するには、ネットワーク内のBGPルーターで[edit protocols bgp family]階層レベルでファミリーinet6 flowまたはinet6-vpn flowを有効にします。

オプション

discard-action-for-unresolved-redir-addr

IPへのリダイレクトアクションを使用して解決されなかったBGPフロー仕様ルートの破棄アクションを設定します。
interface-group group<exclude>

特定のインターフェイスで受信したトラフィックへの flowspec フィルターの適用を除外します。 exclude を使用して、トラフィックを受信したくないインターフェイスグループを指定します。
per-route-accounting

flowspec ルートごとのトラフィック アカウンティングを有効にします。
no-per-route-accounting

flowspec ルートごとのトラフィック アカウンティングを無効にします。
destination ipv6-prefix

IP 宛先アドレス フィールドです。
destination-port destination-port-names

TCP またはユーザ データ プロトコル(UDP)宛先ポート フィールド。同じ条件に portdestination-port の両方の一致条件を指定することはできません。

数値の代わりに、以下のテキスト同義語(ポート番号も記載されています)のいずれかを指定します。 afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113),   imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip  (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513)、 xdmcp (177)、 zephyr-clt (2103)、または zephyr-hm (2104)。

dscp value

差別化されたサービス コード ポイント(DSCP)です。DiffServ プロトコルは、IP ヘッダーでサービス タイプ(ToS) バイトを使用します。この バイトの最上位の 6 ビットが DSCP を形成します。

  • 範囲: DSCPは、0〜63の16進法または10進形式で指定できます。
flow-label numeric-expression

このフィールドの値の範囲は 0 から 1048575 です。

この一致条件は、 enhanced-ip モードに設定されている拡張 MPC を搭載した Junos デバイスでのみサポートされます。

fragment fragment-value

キーワードは、それらが関連するフラグメント タイプによってグループ化されます。

  • first-fragment

  • is-fragment

  • last-fragment

  • not-a-fragment

この一致条件は、 enhanced-ip モードに設定されている拡張 MPC を搭載した Junos デバイスでのみサポートされます。

icmp6-code icmp6-code-value

ICMP6コードフィールド。この値またはキーワードは、icmp6-typeよりも具体的な情報を提供します。値の意味は関連するicmp6-type値によって異なるため、icmp6-codeと共にicmp6-typeを指定する必要があります。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • パラメータ問題: ip-header-bad (0)、 required-option-missing (1)

  • リダイレクト: redirect-for-host (1)、 redirect-for-network (0)、 redirect-for-tos-and-host (3)、 redirect-for-tos-and-net (2)

  • time-exceeded: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • 到達不能: communication-prohibited-by-filtering (13)、 destination-host-prohibited (10)、 destination-host-unknown (7)、 destination-network-prohibited (9)、 destination-network-unknown (6)、 fragmentation-needed (4)、 host-precedence-violation (14)、 host-unreachable (1)、 host-unreachable-for-TOS (12)、 network-unreachable (0)、 network-unreachable-for-TOS (11)、 port-unreachable (3)、 precedence-cutoff-in-effect (15)、 protocol-unreachable (2)、 source-host-isolated (8)、 source-route-failed (5)
icmp6-type icmp6-type-value

ICMP6 パケット タイプ フィールドです。通常、一致ステートメントと合わせてこの一致を protocol 指定して、ポートで使用されているプロトコルを決定します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます(フィールド値も記載されています): echo-reply (0)、 echo-request (8)、 info-reply (16)、 info-request (15)、 mask-request (17)、 mask-reply (18)、 parameter-problem (12)、 redirect (5)、 router-advertisement (9)、 router-solicit (10)、 source-quench (4)、 time-exceeded (11)、 timestamp (13)、 timestamp-reply (14)、 unreachable (3)。
packet-length packet-length

合計 IP パケット長の値は、0 から 65535 の範囲で設定できます。
port port-names

TCP または UDP 送信元または宛先ポート フィールドです。同じ条件に port 一致条件と destination-port または source-port 一致条件の両方を指定することはできません。

数値の代わりに、 destination-portの下に記載されているテキスト同義語の1つを指定します。
prefix-offset number

(オプション)Junos OSがプレフィックスの一致を開始する前にスキップしなければならないビット数を指定します。

この一致条件は、 enhanced-ip モードに設定されている拡張 MPC を搭載した Junos デバイスでのみサポートされます。

protocol number

IPv6の場合、IPプロトコルフィールドは、 enhanced-ip モードに設定されたMPCを搭載したJunosデバイスでのみサポートされます。数値の代わりに、 ah (51)、 egp (8)、 esp (50)、 gre (47)、 icmp (1)、 igmp (2)、 ipip (4)、 ipv6 (41)、 ospf (89)、 pim (103)、 rsvp (46)、 tcp (6)、 udp (17) のいずれかのテキスト シノニム (フィールド値も記載されています) のいずれかを指定できます。
source ipv6-prefix

IP 送信元アドレス フィールドです。
source-port source-port-names

TCP または UDP 送信元ポート フィールドです。同じ条件で port および source-port 一致条件を指定することはできません。

数値フィールドの代わりに、 destination-portの下にリストされているテキスト シノニムの 1 つを指定します。
tcp-flags tcp-flags

TCP ヘッダー フォーマットです。
no-install

受信したルートを転送テーブルにインストールすることを禁止します。
accept

パケットを受け取ります。これがデフォルト値です。
community name

ルート内のコミュニティーを指定したコミュニティーに置き換えます。
discard

インターネット制御メッセージプロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。
mark value

このフローに一致するトラフィックに対して DSCP 値を設定します。0 から 63 までの値を指定します。

このアクションは、 enhanced-ip モードに設定されたMPCを搭載したJunosデバイスでのみサポートされています。

手記:

Junos OSは、拡張BGP community フィルタリングアクションのトラフィックマーキングをサポートします。IPv4 トラフィックについては、Junos OS は、転送する IPv4 パケットの DiffServ コード ポイント(DSCP)ビットを拡張したコミュニティーの対応する値に変更します。IPv6 パケットの場合、Junos OS は転送する IPv6 パケットの traffic class フィールドの最初の 6 ビットを拡張したコミュニティーの対応する値に変更します。
redirect

このフローのトラフィックを指定されたネクストホップアドレスにリダイレクト(トンネル)します。
next-term

評価のための次の一致条件に続きます。
rate-limit rate-limit

フロー ルートの帯域幅を制限します。ビット単位(bps)で制限を表現します。
routing-instance route-target-extended-community

パケットが転送されるルーティング インスタンスを指定します。
sample

フロー ルートのトラフィックをサンプルします。
traceoptions

ルーティング・デバイス内のすべてのルーティング・プロトコル機能を追跡するトレース操作を定義します。

必要な権限レベル

routing—設定でこのステートメントを表示します。

routing-control—設定にこのステートメントを追加します。

リリース情報

Junos OS リリース 16.1 で導入されたステートメント

関連資料