了解防火墙过滤器如何测试数据包的协议
检查匹配条件时,瞻博网络 EX 系列以太网交换机的瞻博网络 Junos 操作系统 (Junos OS) 仅测试指定的字段。软件不会隐式测试 IP 报头来确定数据包是否为 IP 数据包。因此,在某些情况下,必须将字段匹配条件与其他匹配条件一起指定 ,以确保筛选器执行预期的匹配。protocol
如果指定协议匹配条件或 ICMP 类型或 TCP 标志字段的匹配,则不存在隐含的协议匹配。对于以下匹配条件,您必须在同一术语中明确指定协议匹配条件:
- 指定匹配 项或 。destination-portprotocol tcpprotocol udp
- 指定匹配 项或 。source-portprotocol tcpprotocol udp
如果在使用上述字段时未指定协议,请仔细设计筛选器以确保它们执行预期的匹配。例如,如果指定 的 匹配项,交换机将确定性地匹配双字节字段中值 为比 IP 报头末尾高出两个字节的任何数据包,而无需检查 IP 协议字段。destination-port ssh22