IPv6トラフィックのファイアウォールフィルター一致条件
Internet Protocol version 6(IPv6)トラフィック()の一致条件があるファイアウォールフィルターを設定できます。family inet6
MPCを搭載したMXシリーズルーターでは、例えば、 などの対応するSNMP MIBをウォークすることで、 Trio-only一致フィルターのフィルターカウンターを初期化する必要があります。show snmp mib walk name ascii
これにより、Junosはフィルターカウンターを学習し、フィルター統計が表示されていることを確認します。このガイダンスは、すべての拡張モードファイアウォール フィルター、柔軟な条件を有するフィルター、特定の終了アクションを有するフィルターに適用されます。詳細については、関連ドキュメントの下に記載されているこれらのトピックを参照してください。
は、階層レベルで設定 できる一致条件を説明します。表 1[edit firewall family inet6 filter filter-name term term-name from]
一致条件 |
説明 |
|
---|---|---|
|
|
|
|
設定データを継承するグループを指定します。複数のグループ名を指定できます。継承する優先度順に一覧化する必要があります。最初のグループの設定データは、以降のグループのデータよりも優先されます。 |
|
|
設定データを継承しないグループを指定します。複数のグループ名を指定できます。 |
|
|
同じ条件に |
|
|
1 つ以上の指定された宛先クラス名(まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット)に一致します。 詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。 |
|
|
1つ以上の指定された宛先クラス名に一致しません。詳細については、 |
|
|
UDPまたはTCP宛先ポート フィールドに一致します。 同じ条件に この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で または 一致条件を設定することもお勧めします。 注:
Junos OS Evolvedの場合、同じ条件で 数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。 |
|
|
UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 |
|
|
オプションが含まれていない限り、指定されたリストにIPv6宛先プレフィックスを一致させます。 プレフィックス リストは、 ] 階層レベルで定義されます。 |
|
|
次のヘッダー値を識別することによって、パケットに含まれる拡張ヘッダーの種類に一致します。 注:
この一致条件は、MX シリーズ ルーターの MPC でのみサポートされます。 パケットの最初のフラグメントで、フィルターはいずれかの拡張ヘッダー タイプで一致を検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、他の拡張ヘッダーの位置は予測できないため、フィルターは次の拡張ヘッダー タイプの一致のみを検索します。 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。(51)、 (60)、 (50)、 (44)、 (0)、 (135)、 または (43)。 拡張ヘッダー オプションの 任意の 値に一致するには、テキスト シノニム を使用します。 MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。 |
|
|
パケットが最初のフラグメントである場合に一致します。 |
|
|
パケットに含まれている拡張ヘッダーの種類に一致しません。詳細については、 注:
この一致条件は、MX シリーズ ルーターの MPC でのみサポートされます。 |
|
|
|
整数入力の長さ(1..32ビット); (オプション)文字列入力の長さ (1..128 ビット) |
|
(match-start + バイト)オフセット(0..7)の後のビットオフセット |
|
|
一致開始ポイント後のバイトオフセット |
|
|
定義済みテンプレートフィールドから柔軟な一致を選択します。 |
|
|
一致するパケットデータ内のマスクアウトビット |
|
|
パケットで一致させる開始ポイント |
|
|
一致する値データ/文字列 |
|
詳細については、ファイアウォールフィルターの柔軟な一致条件を参照してください。ファイアウォールフィルターフレキシブル一致条件 |
||
範囲には、次の形式を使用する必要があります。Integer-Integer |
|
一致させるデータの長さ(ビット単位)(0..32) |
|
(match-start + バイト)オフセット(0..7)の後のビットオフセット |
|
|
一致開始ポイント後のバイトオフセット |
|
|
定義済みテンプレートフィールドから柔軟な一致を選択します。 |
|
|
パケットで一致させる開始ポイント |
|
|
一致させる値の範囲 |
|
|
値のこの範囲に一致しません |
|
詳細については、ファイアウォールフィルターの柔軟な一致条件を参照してください。ファイアウォールフィルターフレキシブル一致条件 |
||
|
パケットの転送クラスに一致します。
転送クラスとルーター内出力キューについては、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。 |
|
|
パケットの転送クラスに一致しません。詳細については、 |
|
|
ホップ制限を、指定されたホップ制限またはホップ制限のセットに一致させます。 MXシリーズルーターのMICまたはMPCでホストされているインターフェイスでのみサポートされます。 注:
この一致条件は、 がルーターで設定されている場合、PTXシリーズルーターで サポートされます。 |
|
|
指定されたホップ制限またはホップ制限のセットにホップ制限を一致させません。詳細については、 MXシリーズルーターのMICまたはMPCでホストされているインターフェイスでのみサポートされます。 注:
この一致条件は、 がルーターで設定されている場合、PTXシリーズルーターで サポートされます。 |
|
|
ICMPメッセージコードフィールドに一致します。 この一致条件を設定した場合、同じ条件で または 一致条件も設定することをお勧めします。 この一致条件を設定する場合、同じ条件で 一致条件も設定 する必要があります。 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。
|
|
|
ICMPメッセージコードフィールドに一致しません。詳細については、 |
|
|
ICMPメッセージタイプフィールドに一致します。 この一致条件を設定した場合、同じ条件で または 一致条件も設定することをお勧めします。 注:
Junos OS Evolvedの場合、同じ条件で 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。(149)、 (148)、 (1)、 (129)、 (128)、 (145)、 (144)、 (142)、 (141)、 (130)、 (131)、 (132)、 (147)、 (146)、 (136)、 (135)、 (140)、 (139)、 (2)、 (4)、 (100)、 (101)、 (200)、 (201)、 (137)、 (134)、 (138)、 (133)、 または (3)。 (201) の場合 、角括弧内の値の範囲を指定することもできます。 |
|
|
ICMPメッセージタイプフィールドに一致しません。詳細については、 |
|
|
パケットを受信したインターフェイスに一致します。 注:
存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。 |
|
|
指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。には、単一の値、または から までの値の範囲を指定します。 インターフェイスグループ に論理インターフェイスを割り当てるには 詳細については、インターフェイスグループのセットで受信したパケットのフィルタリングの概要を参照してください。 |
|
|
指定されたインターフェイスグループまたはインターフェイス グループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 |
|
|
指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。 インターフェイスセットを定義するには、 階 詳細については、インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。 |
|
|
指定された値または値のリストに、8ビットIPオプション フィールドを一致させます。 数値の代わりに、以下のテキスト同義語(オプション値も記載されています)のいずれかを指定することができます。 IPオプションの任意の値に一致させるには、テキスト同義語 例えば、一致条件 ほんどのインターフェイスでは、1つ以上の特定の IPオプション値( 以外の値
MXシリーズルーターの10ギガビットイーサネットMPC(モジュラー型ポートコンセントレータ)、100ギガビットイーサネットMPC、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、60ギガビットイーサネット拡張キューイングMPCは、IPv4パケットヘッダーのIPオプションフィールドを解析できます。これらのMPC で設定されたインターフェイスでは、 |
|
|
指定された値または値のリストにIPオプション フィールドに一致しません。 |
|
|
パケットがフラグメントの場合に一致します。 |
|
|
パケットが最後のフラグメントである場合に一致します。 |
|
|
PLP(パケット損失の優先度)レベルに一致します。 単一のレベルまたは複数のレベルを指定します。 M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーターとEXシリーズスイッチ。 拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MXシリーズ、Tシリーズルーター、EXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、 階層レベルに ステートメントを含める必要があります。
|
|
|
PLPレベルに一致しません。詳細については、 |
|
|
パケットの最初の 8 ビットの Next Header フィールドに一致します。ファイアウォール一致条件のサポートは、Junos OS リリース 13.3R6 以降で利用可能です。 注:
MXプラットフォームには、 パケット内の最初のネクストヘッダー(NH)に一致する一致と、 最後のNHに一致する があります。
パケットの最初の 8 ビットの Next Header フィールドに一致します。 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。(51)、 (60)、 (8)、 (50)、 (44)、 (47)、 (0)、 (1)、 (58)、 (58)、 (2)、 (4)、 (41)、 (135)、 (59)、 (89)、 (103)、 (43)、 (46)、 (132)、 (6)、 (17)、 または (112)。 注:
|
|
|
IPv6ヘッダーとペイロード間のヘッダーのタイプを識別する8ビットのNext Headerフィールドに一致しません。詳細については、 |
|
|
受信したパケットの長さに一致します(バイト単位)。長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。 |
|
|
受信したパケットの長さに一致しません(バイト単位)。詳細については、 |
|
|
ペイロードプロトコルタイプに一致します。 数値の代わりに 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 また、 条件を使用して 、ジュニパーネットワークスのファームウェアが解釈できない拡張ヘッダータイプと一致させることもできます。 注:
この一致条件は、MX シリーズ ルーター上の MPC でのみサポートされます。対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。 |
|
|
ペイロードプロトコルタイプに一致しません。詳細については、 注:
この一致条件は、MX シリーズ ルーター上の MPC でのみサポートされます |
|
|
UDPまたはTCP送信元または宛先ポート フィールドに一致します。 この一致条件を設定した場合、同じ条件で この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で または 一致条件を設定することもお勧めします。 注:
Junos OS Evolvedの場合、同じ条件で 数値の代わりに、 |
|
|
UDPまたはTCP送信元または宛先ポートフィールドに一致しません。詳細については、 |
|
|
プレフィックス リストは、 |
|
|
|
|
|
同じ条件に |
|
|
1 つ以上の指定された送信元クラス名(まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット)に一致します。 詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。 |
|
|
1 つ以上の指定された送信元クラス名に一致しません。詳細については、 |
|
|
UDPまたはTCP送信元ポート フィールドに一致します。 同じ項に この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で または 一致条件を設定することもお勧めします。 注:
Junos OS Evolvedの場合、同じ条件で または 一致ステートメントを設定する必要があります。 数値の代わりに、 |
|
|
UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 |
|
|
オプションが含まれていない限り、パケット送信元フィールドのIPv6アドレスプレフィックスに一致します。 階層レベルで定義された プレフィックスリスト名を指定します。 |
|
|
接続の最初のパケット以外の TCP パケットに一致します。これは、()のテキスト同義語です。 注:
この条件は、プロトコルが TCPであることを暗示的に確認しません。これを確認するには、 この一致条件を設定した場合、同じ条件で |
|
|
TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。 個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。
TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。 ビットフィールド論理演算子を使用して複数のフラグを結合できます。 組み合わせたビットフィールド一致条件については、 この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で一致条件を設定する こともお勧めします。 |
|
|
TCP接続の最初のパケットに一致します。これは、 の テキスト同義語です。 この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で |
|
|
パケットのサービスクラス(CoS)優先度を指定する8ビットフィールドに一致します。 このフィールドは、以前は IPv4 の type-of-service(ToS)フィールドとして使用されていました。
数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。
|
|
|
パケットのCoSプライオリティを指定する8ビットフィールドに一致しません。詳細については、試合の説明を参照してください 。 |
一致条件( 、 、 または 一致条件)でIPv6アドレスを指定する場合は、RFC 4291、 IPバージョン6アドレッシングアーキテクチャに記述されたテキスト表現の構文を使用してください。address
destination-address
source-address
IPv6 アドレスの詳細については、「IPv6 の概要 」および 「サポートされている IPv6 標準」を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
next-header