Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 流量的防火墙过滤器匹配条件

您可以配置具有互联网协议版本 6 (IPv6) 流量匹配条件的防火墙过滤器 (family inet6)。

注:

对于带有 MPC 的 MX 系列路由器,您需要通过走相应的 SNMP MIB 来初始化仅针对 Trio 匹配过滤器的过滤器计数器, show snmp mib walk name ascii例如。这迫使 Junos 学习过滤器计数器,并确保显示过滤器统计信息。本指南适用于所有增强型模式防火墙过滤器、条件灵活的过滤器以及具有某些终止操作的过滤器。有关详细信息,请参阅相关文档下列出的这些主题。

表 1 介绍了可在层次结构级别上配置的 [edit firewall family inet6 filter filter-name term term-name from] 匹配条件。

表 1: IPv6 流量的防火墙过滤器匹配条件

匹配条件

说明

address address [ except ]

匹配 IPv6 源或目标地址字段, except 除非包含选项。如果包含选项,则与 IPv6 源或目标地址字段不匹配。

apply-groups

指定要从中继承配置数据的组。您可以指定多个组名称。您必须按继承优先级列出它们。第一组中的配置数据优先于后续组中的数据。

apply-groups-except

指定不从中继承配置数据的组。您可以指定多个组名称。

destination-address address [ except ]

匹配 IPv6 目标地址字段, except 除非包含选项。如果包含选项,则与 IPv6 目标地址字段不匹配。

不能在同一 address 术语中同时指定和 destination-address 匹配条件。

destination-class class-names

匹配一个或多个指定的目标类名称(目标前缀集分组在一起,并给出一个类名称)。

有关详细信息,请 参阅基于地址类的防火墙过滤器匹配条件

destination-class-except class-names

请勿匹配一个或多个指定的目标类名称。有关详细信息,请参阅 destination-class 匹配条件。

destination-port number

匹配 UDP 或 TCP 目标端口字段。

不能在同一 port 术语中同时指定和 destination-port 匹配条件。

如果配置了此匹配条件,我们建议您在同一 next-header udp 术语中配置或 next-header tcp 匹配条件,以指定端口上正在使用哪个协议。

注:

对于 Junos OS Evolved,您必须在同一 next-header 术语中配置匹配语句。

代替数字值时,您可以指定以下文本同义词之一(端口号也列出):afs(1483)、 bgp (179)、 biff (512)、(68)、 bootpc (67)、 bootpscmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、 eklogin (21 205)、 ekshell (2106)、 exec (512)、 finger (79)、(21)、 ftp (20)、 httpftp-data (80)、 https (443)、 ident (113)、 imap (143)、 kerberos-sec (88)、 klogin (543)、 kpasswd (761)、(754)、 krb-prop (760)、 krbupdate (544)、 kshellldap (389)、 ldp (646)、 login (513)、 mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、 netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、(518)、ntp (123)、 pop3 (110)、 pptp (1723)、(515)、 radacctprinter (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (44 4)、 socks (1080)、 ssh (22)、(111)、 sunrpc (514)、 syslog (49)、 tacacs (65)、 talktacacs-ds (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513) 或 xdmcp (177)。

destination-port-except number

与 UDP 或 TCP 目标端口字段不匹配。有关详细信息,请参阅 destination-port 匹配条件。

destination-prefix-list prefix-list-name [ except ]

将 IPv6 目标前缀与指定列表 匹配, except 除非包含选项。如果包含选项,则与指定列表的 IPv6 目标前缀不匹配。

前缀列表在 [edit policy-options prefix-list prefix-list-name] 层次结构级别中定义。

extension-headers header-type

通过识别下一个报头值,匹配数据包中包含的扩展标头类型。

注:

此匹配条件仅在 MX 系列路由器中的 MPC 上受支持。

在数据包的第一个分片中,过滤器在任何扩展标头类型中搜索匹配项。当发现带有分片标头的数据包(后续分片)时,过滤器只会搜索下一个扩展标头类型的匹配项,因为其他扩展标头的位置不可预测。

代替数字值时,您可以指定以下文本同义词之一(字段值也列出):ah (51)、 destination (60)、 esp (50)、 fragment (44)、(0)、 hop-by-hopmobility (135) 或 routing (43)。

要匹配扩展标头选项 的任何 值,请使用文本同义词 any

对于带 MPC 的 MX 系列路由器,通过走相应的 SNMP MIB 来初始化包括此情况的新防火墙过滤器。

first-fragment

如果数据包是第一个分片,则匹配。

 

extension-headers-except header-type

与数据包中包含的扩展标头类型不匹配。有关详细信息,请参阅 extension-headers 匹配条件。

注:

此匹配条件仅在 MX 系列路由器中的 MPC 上受支持。

flexible-match-mask value

bit-length

整数输入长度(1.32 位);

(可选)字符串输入长度(1.128 位)

bit-offset

(匹配启动 + 字节)偏移后比特偏移 (0.7)

byte-offset

比赛起点之后的字节偏移

flexible-mask-name

从预定义模板字段中选择灵活匹配项

mask-in-hex

掩蔽要匹配的数据包数据中的位

match-start

在数据包中匹配的起点

prefix

要匹配的价值数据/字符串

有关详细信息,请参阅防火墙过滤器灵活匹配条件

flexible-match-range value

范围应使用以下格式:Integer-Integer

bit-length

要以位匹配的数据长度 (0.32)

bit-offset

(匹配启动 + 字节)偏移后比特偏移 (0.7)

byte-offset

比赛起点之后的字节偏移

flexible-range-name

从预定义模板字段中选择灵活匹配项

match-start

在数据包中匹配的起点

range

要匹配的值范围

range-except

与此值范围不符

有关详细信息,请参阅防火墙过滤器灵活匹配条件

forwarding-class class

匹配数据包的转发类。

指定 assured-forwardingbest-effortexpedited-forwardingnetwork-control

有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列

forwarding-class-except class

与数据包的转发类不匹配。有关详细信息,请参阅 forwarding-class 匹配条件。

hop-limit hop-limit

将跳跃限制与指定的跳跃限制或跳跃限制集匹配。对于 hop-limit,指定单个值或范围值(从 0 到 255)。

仅在 MX 系列路由器中 MIC 或 MPC 上托管的接口上受支持。

注:

在路由器上配置时 enhanced-mode ,PTX 系列路由器上支持此匹配条件。

hop-limit-except hop-limit

与指定的跳跃限制或一组跳跃限制不匹配。有关详细信息,请参阅 hop-limit 匹配条件。

仅在 MX 系列路由器中 MIC 或 MPC 上托管的接口上受支持。

注:

在路由器上配置时 enhanced-mode ,PTX 系列路由器上支持此匹配条件。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置了此匹配条件,我们建议您在同一 next-header icmp 术语中配置或 next-header icmp6 匹配条件。

如果配置了此匹配条件,还必须在同一 icmp-type message-type 术语中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

代替数字值时,您可以指定以下文本同义词之一(也列出了字段值)。关键字按与之关联的 ICMP 类型分组:

  • 参数问题:ip6-header-bad(0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • 超额时间:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

  • 目标不可到达:administratively-prohibited(1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

与 ICMP 消息代码字段不匹配。有关详细信息,请参阅 icmp-code 匹配条件。

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置了此匹配条件,我们建议您在同一 next-header icmp 术语中配置或 next-header icmp6 匹配条件。

注:

对于 Junos OS Evolved,您必须在同一 next-header 术语中配置匹配语句。

代替数字值时,您可以指定以下文本同义词之一(字段值也列出):certificate-path-advertisement(149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、(129)、 echo-reply (128)、 echo-request (145)、 home-agent-address-discovery-reply (144)、 home-agent-address-discovery-requestinverse-neighbor-discovery-advertisement (142)、 inverse-neighbor-discovery-solicitation (141)、(130)、(131)、(132)、(147)、(146)、(146)、 membership-query (131)、 membership-reportmembership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146) neighbor-advertisement 136)、 neighbor-solicit (135)、 node-information-reply (140)、(139)、 node-information-request (2)、 packet-too-big (4)、 parameter-problem (100)、 private-experimentation-100private-experimentation-101 (101)、 private-experimentation-200 (200)、(201)、 redirectprivate-experimentation-201 (137)、 router-advertisement (134)、 router-renumbering (138)、(133) router-solicittime-exceeded (3)。

对于 private-experimentation-201 (201),您还可以指定方形托架内的值范围。

icmp-type-except message-type

与 ICMP 消息类型字段不匹配。有关详细信息,请参阅 icmp-type 匹配条件。

interface interface-name

匹配接收数据包的接口。

注:

如果使用不存在的接口配置此匹配条件,则该术语与任何数据包不匹配。

interface-group group-number

匹配将数据包接收到指定接口组或接口组集的逻辑接口。对于 group-number, 指定单个值或范围从 0255

要将逻辑接口分配给接口组group-number,请在层次结构级别中[interfaces interface-name unit number family family filter group]指定group-number

有关详细信息,请参阅 在 一组接口组上收到的过滤数据包概述

interface-group-except group-number

与接收到指定接口组或接口组集的数据包的逻辑接口不匹配。有关详细信息,请参阅 interface-group 匹配条件。

interface-set interface-set-name

匹配接收到数据包的接口集。

要定义接口集,请在层次结构级别中[edit firewall]包含interface-set语句。

有关详细信息,请参阅 接口集上收到的过滤数据包概述

ip-options values

将 8 位 IP 选项字段(如果有)与指定值或值列表匹配。

代替数字值时,您可以指定以下文本同义词之一(也列出了选项值):loose-source-route(131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)、strict-source-route(137) 或 timestamp (68)。

要匹配 IP 选项 的任何 值,请使用文本同义词 any。要在 多个 值上匹配,请指定方形托架内的值列表 (''[ 和']')。要匹配一 系列 值,请使用值规格 value1-value2 ]

例如,匹配条件 ip-options [ 0-147 ] 在 IP 选项字段上匹配,IP 选项字段包含 loose-source-routerecord-routesecurity 值或任何其他值(从 0 到 147)。但是,此匹配条件在仅包含值 (148) 的 router-alert IP 选项字段上不匹配。

对于大多数接口,一个过滤器术语,用于指定一个 ip-option 或多个 特定 IP 选项值上的匹配项(此值除 any外)会导致数据包发送至路由引擎,以便内核可以解析数据包标头中的 IP 选项字段。

  • 对于在一个或多个特定 IP 选项值上指定匹配项的防火墙过滤器术语,除非您在同一ip-option术语中也指定终止操作,否则不能指定discardcountlogsyslog或非终止操作。此行为可防止对应用于路由器中转接口的过滤器的数据包进行双重计数。

  • 如果出现系统瓶颈,可能会丢弃在内核上处理的数据包。为确保将匹配的数据包发送至数据包转发引擎(在硬件中实施数据包处理),请使用 ip-options any 匹配条件。

MX 系列路由器上的 10 千兆位以太网模块化端口集中器 (MPC)、100 千兆位以太网 MPC、60 千兆位以太网 MPC、60 千兆位排队以太网 MPC 和 60 千兆位以太网增强型排队 MPC 能够解析 IPv4 数据包标头的 IP 选项字段。对于在这些 MPC 上配置的接口,使用ip-options匹配条件匹配的所有数据包将发送至数据包转发引擎进行处理。

ip-options-except values

请勿将 IP 选项字段与指定值或值列表匹配。有关指定的 values详细信息,请参阅 ip-options 匹配条件。

is-fragment

如果数据包是一个分片,则匹配。

 

last-fragment

如果数据包是最后一个分片,则匹配。

 

loss-priority level

匹配数据包丢失优先级 (PLP) 级别。

指定单个级别或多个级别:lowmedium-lowmedium-highhigh.

在 M120 和 M320 路由器上受支持;带有增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机

对于 M320、MX 系列、T 系列路由器和带有增强型 II 灵活 PIC 集中器 (FPC) 的 EX 系列交换机上的 IP 流量,您必须在层次结构级别中[edit class-of-service]包含tri-color语句,以便提交具有指定四个级别中任意一个的 PLP 配置。tri-color如果语句未启用,则只能配置highlow级别。这适用于所有协议家族。

有关该 tri-color 语句的信息,请参阅 配置和应用三色标记监管器。有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列

loss-priority-except level

与 PLP 级别不匹配。有关详细信息,请参阅 loss-priority 匹配条件。

next-header header-type

匹配数据包中的第一个 8 位下一个标头字段。next-header Junos OS 版本 13.3R6 和更高版本支持防火墙匹配条件。

对于 IPv6,建议在 payload-protocol 配置具有匹配条件的防火墙过滤器时使用术语,而不是 next-header 术语。虽然可以使用, payload-protocol 但可以提供更可靠的匹配条件,因为它使用实际的有效负载协议来查找匹配项,而 next-header 只需在 IPv6 标头之后的第一个标头中显示的任何内容,也可能不是实际协议。此外,如果 next-header 与 IPv6 配合使用,则会绕过加速过滤器块查找过程,而标准过滤器则使用该进程。

匹配数据包中的第一个 8 位下一个标头字段。

代替数字值时,您可以指定以下文本同义词之一(字段值也列出):ah(51)、 dstops (60)、 egp (8)、(50)、 espfragment (44)、(47)、 gre (0)、 hop-by-hop (1)、 icmp6icmp (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、(4) ipv6 1)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、(43)、 rsvprouting (46)、 sctp (132)、 tcp (6)、 udp  (17) 或 vrrp (112)。

注:

next-header icmp6 匹配 next-header icmpv6 条件执行相同的功能。 next-header icmp6 是首选选项。 next-header icmpv6 在 Junos OS CLI 中隐藏。

next-header-except header-type

请勿匹配识别 IPv6 标头与有效负载之间标头类型的 8 位下一个标头字段。有关详细信息,请参阅 next-header 匹配类型。

packet-length bytes

匹配接收的数据包长度(以字节为字节)。长度仅指 IP 数据包(包括数据包标头)且不包含任何第 2 层封装开销。

packet-length-except bytes

与接收的数据包长度(以字节为字节)不匹配。有关详细信息,请参阅 packet-length 匹配类型。

payload-protocol protocol-type

匹配有效负载协议类型。

代替 protocol-type 数字值时,您可以指定以下文本同义词之一(字段值也列出):指定以下一个或一组:ah(51)、 dstopts (60)、 egp (8)、 esp (50)、(44)、 fragment (47)、 grehop-by-hop (0)、 icmp (1)、 icmp6 (58、 igmp (2)、 ipip (4)、 ipv6 (41)、 no-next-headerospf (89)、 pim (103)、(46)、 rsvprouting(132)、 sctp (6)、 tcpudp (17) 或 vrrp (112) (dstopt (60)、分片 (44)、逐跳 0 和路由在 Junos OS 版本 16.1 和更高版本中不可提供。

您也可使用此 payload-protocol 条件匹配瞻博网络固件无法解释的扩展标头类型。您可以在方形托架内指定扩展标头值的范围。当固件发现其无法在数据包中解释的第一个扩展标头类型时, payload-protocol 该值将设置为该扩展标头类型。防火墙过滤器仅检查固件无法在数据包中解释的第一个扩展标头类型。

注:

此匹配条件仅在 MX 系列路由器上的 MPC 上受支持。通过走相应的 SNMP MIB,初始化包含此情况的新防火墙过滤器。

payload-protocol-except protocol-type

与有效负载协议类型不匹配。有关详细信息,请参阅 payload-protocol 匹配类型。

注:

此匹配条件仅在 MX 系列路由器上的 MPC 上受支持

port number

匹配 UDP 或 TCP 源或目标端口字段。

如果配置此匹配条件,则不能在同一 destination-port 术语中配置匹配条件或 source-port 匹配条件。

如果配置了此匹配条件,我们建议您在同一 next-header udp 术语中配置或 next-header tcp 匹配条件,以指定端口上正在使用哪个协议。

注:

对于 Junos OS Evolved,您必须在同一 next-header 术语中配置匹配语句。

代替数字值时,您可以指定下 destination-port列的一个文本同义词。

port-except number

与 UDP、TCP 源或目标端口字段不匹配。有关详细信息,请参阅 port 匹配条件。

prefix-list prefix-list-name [ except ]

将源或目标地址字段的前缀与指定列表 中的前缀匹配,除非 except 包含选项。如果包含选项,请勿将源或目标地址字段的前缀与指定列表中的前缀匹配。

前缀列表在层次结构级别中 [edit policy-options prefix-list prefix-list-name] 定义。

service-filter-hit

匹配从应用操作的过滤器 service-filter-hit 收到的数据包。

source-address address [ except ]

匹配发送数据包的源节点的 IPv6 地址, except 除非包含选项。如果包含选项,则与发送数据包的源节点的 IPv6 地址不匹配。

不能在同一 address 术语中同时指定和 source-address 匹配条件。

source-class class-names

匹配一个或多个指定的源类名称(将源前缀集分组在一起,并给出一个类名称)。

有关详细信息,请 参阅基于地址类的防火墙过滤器匹配条件

source-class-except class-names

请勿匹配一个或多个指定的源类名称。有关详细信息,请参阅 source-class 匹配条件。

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一 port 术语中指定和 source-port 匹配条件。

如果配置了此匹配条件,我们建议您在同一 next-header udp 术语中配置或 next-header tcp 匹配条件,以指定端口上正在使用哪个协议。

注:

对于 Junos OS Evolved,您必须在同一 next-header 术语中配置或 next-header tcp 匹配语句。

代替数字值时,您可以指定具有 destination-port number 匹配条件的其中一个文本同义词。

source-port-except number

与 UDP 或 TCP 源端口字段不匹配。有关详细信息,请参阅 source-port 匹配条件。

source-prefix-list name [ except ]

匹配数据包源字段 的 IPv6 地址前缀, except 除非包含选项。如果包含选项,则与数据包源字段的 IPv6 地址前缀不匹配。

指定在层次结构级别中 [edit policy-options prefix-list prefix-list-name] 定义的前缀列表名称。

tcp-established

匹配连接第一个数据包以外的 TCP 数据包。这是 () 的tcp-flags "(ack | rst)"0x14文本同义词。

注:

此条件不会暗示检查协议是否为 TCP。要检查此,请指定 protocol tcp 匹配条件。

如果配置了此匹配条件,我们建议您在同一 next-header tcp 术语中也配置匹配条件。

tcp-flags flags

在 TCP 标头的 8 位 TCP 标志字段中匹配一个或多个低阶 6 位。

要指定单个比特字段,您可以指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在已发送的初始数据包中设置,而 ACK 标记设置在初始数据包之后发送的所有数据包中。

您可以使用比特字段逻辑操作员将多个标志串在一起。

有关组合比特现场匹配条件,请参阅 tcp-establishedtcp-initial 匹配条件。

如果配置了此匹配条件,我们建议您在同一 next-header tcp 术语中配置匹配条件,以指定端口上正在使用 TCP 协议。

tcp-initial

匹配 TCP 连接的初始数据包。这是文本的同 tcp-flags "(!ack & syn)"义词。

此条件不会暗示检查协议是否为 TCP。如果配置了此匹配条件,我们建议您在同一 next-header tcp 术语中也配置匹配条件。

traffic-class number

匹配指定数据包的服务等级 (CoS) 优先级的 8 位字段。

此字段以前曾被用作 IPv4 中的服务类型 (ToS) 字段。

您可以从 0 一直 63指定数字值。要以十六进制形式指定值,请作为前缀进行包括 0x 。要以二进制格式指定值,请将前缀作为前缀包括 b 在内。

代替数字值时,您可以指定以下文本同义词之一(字段值也列出):

  • RFC 3246 是 加速转发 PHB(单跃点行为),定义了一个代码点:ef(46).

  • RFC 2597( 保证转发 PHB 组)定义了 4 个类,每个类的优先级为 3 个,总共 12 个代码点:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

traffic-class-except number

与指定数据包 CoS 优先级的 8 位字段不匹配。有关详细信息,请参阅 traffic-class 匹配说明。

注:

如果在匹配条件( addressdestination-address匹配条件)中指定 IPv6 地址, source-address 请使用语法表示 RFC 4291 、IP 版本 6 寻址架构中所述的文本表示。有关 IPv6 地址的详细信息,请参阅 IPv6 概述 和支持 的 IPv6 标准

发布历史记录表
版本
说明
13.3R6
next-header Junos OS 版本 13.3R6 和更高版本支持防火墙匹配条件。