address address [ except ]
|
匹配 IPv6 源或目标地址字段,除非包含except该选项。如果包括 选项,则与 IPv6 源或目标地址字段不匹配。
|
apply-groups
|
指定要从中继承配置数据的组。您可以指定一个以上的组名称。您必须按继承优先级顺序列出它们。第一组中的配置数据优先于后续组中的数据。
|
apply-groups-except
|
指定不从中继承配置数据的组。您可以指定一个以上的组名称。
|
destination-address address [ except ]
|
匹配 IPv6 目标地址字段,除非包含except该选项。如果包括 选项,则与 IPv6 目标地址字段不匹配。
不能在同一术语address中destination-address同时指定和匹配条件。
|
destination-class class-names
|
匹配一个或多个指定目标类名称(分组在一起并具有类名的目标前缀集)。
有关详细信息,请参阅基于地址类别的防火墙过滤器匹配条件。
|
destination-class-except class-names
|
不匹配一个或多个指定的目标类名称。有关详细信息,请destination-class参阅 match 条件。
|
destination-port number
|
与 UDP 或 TCP 目标端口字段匹配。
不能在同一术语port中destination-port同时指定和匹配条件。
如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。
注: 对于不断演进的 Junos OS,您必须next-header在同一术语中配置 match 语句。
为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(67)、(514)、(2401)、(67)、(53)、(2105)、(2106)、(512)、(79)、(21)、(20)、(80), cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、(389)、(646)、(513)、(434)、(435)、(639) identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdp (639) netbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)(2108) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtp 5)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、(513)或 snmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp (177)。
|
destination-port-except number
|
不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请destination-port参阅 match 条件。
|
destination-prefix-list prefix-list-name [ except ]
|
除非包含该选项,否则将 IPv6 目标except前缀与指定列表匹配。如果包括 选项,则不要将 IPv6 目标前缀与指定列表匹配。
前缀列表在[edit policy-options prefix-list prefix-list-name] 层次结构级别定义。
|
extension-headers header-type
|
通过识别下一个标头值来匹配数据包中包含的扩展标头类型。
注: 此匹配条件仅在 MX 系列路由器中的 Mpc 上受支持。
在数据包的第一个片断中,过滤器在任何扩展标头类型中搜索匹配项。当找到带有片段标头的数据包(后续片段)时,过滤器仅搜索下一个扩展头类型的匹配,因为其他扩展标头的位置不可预测。
为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ah(51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)或routing (43)。
要匹配扩展标头选项的任何值,请使用文本同义词any。
对于带 Mpc 的 MX 系列路由器,通过遍历相应的 SNMP MIB 来初始化包含此条件的新防火墙过滤器。
|
first-fragment
|
如果数据包是第一个分段,则为匹配。
|
|
extension-headers-except header-type
|
与数据包中包含的扩展标头类型不匹配。有关详细信息,请extension-headers参阅 match 条件。
注: 此匹配条件仅在 MX 系列路由器中的 Mpc 上受支持。
|
flexible-match-mask value
|
bit-length
|
整数输入长度(1. 32 位);
必字符串输入长度(1. 128 位)
|
bit-offset
|
(匹配-start + 字节)偏移量(0到7)之后的位偏移
|
byte-offset
|
匹配起始点之后的字节偏移量
|
flexible-mask-name
|
从预定义模板字段中选择一个灵活匹配
|
mask-in-hex
|
屏蔽要匹配的数据包数据中的位
|
match-start
|
数据包中要匹配的起始点
|
prefix
|
要匹配的值数据/字符串
|
有关详细信息,请参阅防火墙过滤器灵活匹配条件
|
flexible-match-range value
范围应使用以下格式:整数-整数
|
bit-length
|
要以位(0. 32)匹配的数据长度
|
bit-offset
|
(匹配-start + 字节)偏移量(0到7)之后的位偏移
|
byte-offset
|
匹配起始点之后的字节偏移量
|
flexible-range-name
|
从预定义模板字段中选择一个灵活匹配
|
match-start
|
数据包中要匹配的起始点
|
range
|
要匹配的值范围
|
range-except
|
与此范围的值不匹配
|
有关详细信息,请参阅防火墙过滤器灵活匹配条件
|
forwarding-class class
|
匹配数据包的转发类。
指定assured-forwarding、 best-effortexpedited-forwarding、或network-control。
有关转发类和路由器内部输出队列的信息,请参阅了解转发类如何将类分配给输出队列。
|
forwarding-class-except class
|
不匹配数据包的转发类。有关详细信息,请forwarding-class参阅 match 条件。
|
hop-limit hop-limit
|
将跃点限制匹配到指定的跳跃限制或跳跃限制集。对于hop-limit,指定单个值或从0到255的值范围。
仅在 MX 系列路由器中的 Mic 或 Mpc 上托管的接口上受支持。
|
hop-limit-except hop-limit
|
不能将跃点限制与指定的跳跃极限或跳跃限制集匹配。有关详细信息,请hop-limit参阅 match 条件。
仅在 MX 系列路由器中的 Mic 或 Mpc 上托管的接口上受支持。
|
icmp-code message-code
|
匹配 ICMP 消息代码字段。
如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。
如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。
为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:
参数-问题:ip6-header-badunrecognized-next-header(0)、(1)、(2) unrecognized-option
已超过时间:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)
目标-无法到达:administratively-prohibitedaddress-unreachableno-route-to-destination (1)、(3)、(0)、(4) port-unreachable
|
icmp-code-except message-code
|
与 ICMP 消息代码字段不匹配。有关详细信息,请icmp-code参阅 match 条件。
|
icmp-type message-type
|
匹配 ICMP 消息类型字段。
如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。
注: 对于不断演进的 Junos OS,您必须next-header在同一术语中配置 match 语句。
为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-request (149)、(148)、(1)、(129)、(128)、(145)、(144)、(142)、(141)、(130)、(131)、(132)、(147)、(146) home-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisement (146) 136)、(135)、(140)、(139)、(2)、(4)、(100)、(101)、(200)、(201)、(137)、(134)、(138)、(133) neighbor-solicitnode-information-replynode-information-requestpacket-too-big 或 parameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded (3)。
对于private-experimentation-201 (201),您还可以在方括号内指定值的范围。
|
icmp-type-except message-type
|
不匹配 ICMP 消息类型字段。有关详细信息,请icmp-type参阅 match 条件。
|
interface interface-name
|
与接收数据包的接口匹配。
注: 如果您使用不存在的接口配置此匹配条件,则术语不匹配任何数据包。
|
interface-group group-number
|
将接收数据包的逻辑接口与指定接口组或一组接口组相匹配。对于group-number,请从一个值或中的一系列值0中255指定。
要将逻辑接口分配给接口组group-number,请group-number在[interfaces interface-name unit number family family filter group]层次结构级别指定。
有关详细信息,请参阅过滤在一组接口组上接收的数据包概述。
|
interface-group-except group-number
|
与将数据包接收到指定接口组或接口组集的逻辑接口不匹配。有关详细信息,请interface-group参阅 match 条件。
|
interface-set interface-set-name
|
匹配数据包接收到指定接口集的接口。
要定义接口集,请包含 interface-set 层级的 [edit firewall] 语句。
有关详细信息,请参阅过滤接口集上接收的数据包概述。
|
ip-options values
|
将 8 位 IP 选项字段(如果存在)与指定值或值列表匹配。
为了代替数值,您可以指定以下文本同义词之一(选项值也将列出):loose-source-routerecord-routerouter-alertsecurity (131)、(7)、(148)、(130)、(136)、(137) stream-idstrict-source-routetimestamp 或 (68)。
要 匹配 IP 选项的任何值,请使用 文本联合词 any 。要在多个 值上 匹配,请指定方括号 (' [ 和 ') 中的 ] 值列表。要匹配某个范围的值,请使用值规格[ value1-value2 ]。
例如,匹配条件匹配 IP 选项字段,其中包含 、 或 值,或者来自 0 到 ip-options [ 0-147 ]loose-source-routerecord-routesecurity 147 的其他任何值。但是,如果 IP 选项字段仅包含值 router-alert (148),则此匹配条件不匹配。
对于大多数接口,指定一个或多个特定 IP 选项值(值而不是值)的过滤器术语会导致将数据包发送至 路由引擎,以便内核可以解析数据包标头中的 ip-option IP选项字段。 any
对于指定一个或多个特定 IP 选项值匹配的防火墙过滤器术语,您无法指定 、或不终止操作,除非还在同一术语中指定终止 ip-optioncountlogsyslogdiscard 操作。此行为可防止将过滤器应用到路由器上的传输接口的数据包的双重计数。
在发生系统瓶颈时,可能会丢弃在内核上处理的数据包。要确保匹配的数据包改为发送至数据包转发引擎(在硬件中实施数据包处理),请使用ip-options any match 条件。
10 千兆位以太网模块化端口集中器 (MPC)、100 千兆位以太网 MPC、60 千兆位以太网 MPC、60 千兆位排队以太网 MPC 和 MX 系列路由器上的 60 千兆位以太网增强型排队 MPC 能够解析 IPv4 数据包标头的 IP 选项字段。对于在这些 Mpc 上配置的接口,使用ip-options match 条件进行匹配的所有数据包都将发送至数据包转发引擎进行处理。
|
ip-options-except values
|
不能将 IP 选项字段与指定值或值列表相匹配。有关指定的values详细信息,请参阅ip-options match 条件。
|
is-fragment
|
如果数据包是分段,则匹配。
|
|
last-fragment
|
如果数据包是最后一个分段,则匹配。
|
|
loss-priority level
|
匹配数据包丢失优先级(PLP)级别。
指定一个级别或多个级别:low、 medium-low、 medium-high或high。
在路由器M120路由器M320;M7i CFEB (CFEB-E) M10i路由器的路由器连接;和 MX 系列路由器和 EX 系列交换机。
对于 M320、MX 系列、T Series 路由器和具有增强型 II 灵活 PIC 集中器 (FPC) 的 EX 系列交换机上的 IP 流量,您必须在 层次结构级别包含 语句,以提交 PLP 配置以及指定的四个级别中的任意一个。 tri-color[edit class-of-service] 如果未tri-color启用该语句,则只能配置high和low级别。这适用于所有协议系列。
有关该tri-color语句的信息,请参阅配置和应用三色标记监管器。有关使用行为聚合(BA)分类器设置所传入数据包的 PLP 级别的信息,请参阅了解转发类如何将类分配给输出队列。
|
loss-priority-except level
|
不与 PLP 级别匹配。有关详细信息,请loss-priority参阅 match 条件。
|
next-header header-type
|
匹配数据包中的第一个8位头字段。在版本 next-header 和更高版本中Junos OS防火墙13.3R6条件。
对于 IPv6,在配置具有匹配条件的防火墙过滤器时,建议您使用 搜索词而不是 payload-protocolnext-header 术语。尽管两者都可以使用,但会提供更可靠的匹配条件,因为它使用实际有效负载协议来查找匹配,而只需接受 payload-protocol IPv6 标头之后第一个标头中显示的任何内容,而实际协议可能为,也可能不是实际协议。 next-header 此外,如果与 IPv6 一同使用,则加速过滤器块查找流程将绕过, next-header 并改为使用标准过滤器。
匹配数据包中的第一个8位头字段。
为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ahdstopsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、(2)、(4)、(4) grehop-by-hopicmpicmp6icmpv6igmpipipipv6 1)、(135)、(59)、(89)、(103)、(43)、(46)、(132)、(6)、(17) mobilityno-next-header 或 ospfpimroutingrsvpsctptcpudp vrrp (112)。
注: next-header icmp6和next-header icmpv6匹配条件执行相同的功能。next-header icmp6是首选选项。next-header icmpv6在 Junos OS CLI 中隐藏。
|
next-header-except header-type
|
不匹配标识 IPv6 标头和有效负载之间的标头类型的8位下一标头字段。有关详细信息,请next-header参阅匹配类型。
|
packet-length bytes
|
匹配收到的数据包的长度(以字节为单位)。长度仅指 IP 数据包,包括数据包标头,不包含任何第 2 层封装开销。
|
packet-length-except bytes
|
不符合收到的数据包的长度(以字节为单位)。有关详细信息,请packet-length参阅匹配类型。
|
payload-protocol protocol-type
|
匹配有效负载协议类型。
为了代替protocol-type数值,您可以指定以下文本同义词之一(也列出了这些字段值):指定以下一项或一组:ahdstoptsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58、 grehop-by-hopicmpicmp6igmp (2)、(4)、(41)、(89)、(103)、(46)、(132)、(6)、(17)或 ipipipv6no-next-headerospfpimroutingrsvpsctptcpudpvrrp (112)(dstopt (60)、分片 (44)、逐跳 0)和路由在 Junos OS 版本 16.1 和更高版本中不可用。
您还可以使用此payload-protocol条件匹配瞻博网络固件无法解释的扩展标头类型。您可以在方括号内指定扩展标头值的范围。当固件发现其无法在数据包中解释的第一个扩展头类型时, payload-protocol该值将设置为该扩展头类型。防火墙过滤器仅检查固件无法在数据包中解释的第一个扩展标头类型。
注: 此匹配条件仅在 MX 系列路由器上的 Mpc 上受支持。通过遍历相应的 SNMP MIB,初始化包含此条件的新防火墙过滤器。
|
payload-protocol-except protocol-type
|
不符合有效负载协议类型。有关详细信息,请payload-protocol参阅匹配类型。
注: 此匹配条件仅在 MX 系列路由器上的 Mpc 上受支持
|
port number
|
匹配 UDP 或 TCP 源或目标端口字段。
如果配置此匹配条件,则不能在同一destination-port术语中配置匹配source-port条件或匹配条件。
如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。
注: 对于不断演进的 Junos OS,您必须next-header在同一术语中配置 match 语句。
为替代数值,您可以指定下面destination-port列出的其中一个文本同义词。
|
port-except number
|
不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息,请port参阅 match 条件。
|
prefix-list prefix-list-name [ except ]
|
将来源或目标地址字段的前缀与指定列表中的前缀匹配,除非包含该except选项。如果包括 选项,则不要将源地址或目标地址字段的前缀与指定列表中的前缀匹配。
前缀列表在[edit policy-options prefix-list prefix-list-name]层次结构级别定义。
|
service-filter-hit
|
匹配从应用了service-filter-hit 操作的过滤器接收的数据包。
|
source-address address [ except ]
|
除非包含该except选项,否则为发送数据包的源节点的 IPv6 地址匹配。如果包括 选项,则与发送数据包的源节点的 IPv6 地址不匹配。
不能在同一术语address中source-address同时指定和匹配条件。
|
source-class class-names
|
匹配一个或多个指定的源类名称(分组在一起并具有类名的一组源前缀)。
有关详细信息,请参阅基于地址类别的防火墙过滤器匹配条件。
|
source-class-except class-names
|
不匹配一个或多个指定的源类名称。有关详细信息,请source-class参阅 match 条件。
|
source-port number
|
匹配 UDP 或 TCP 源端口字段。
不能在同一port术语source-port中指定和匹配条件。
如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。
注: 对于不断演进的 Junos OS,您必须next-header在next-header tcp同一术语中配置或匹配语句。
为了代替数值,您可以指定与destination-port number match 条件一起列出的其中一个文本同义词。
|
source-port-except number
|
与 UDP 或 TCP 源端口字段不匹配。有关详细信息,请source-port参阅 match 条件。
|
source-prefix-list name [ except ]
|
匹配数据包源字段的 IPv6 地址前缀,除非包含该except选项。如果包括 选项,则不要与数据包源字段的 IPv6 地址前缀匹配。
指定在[edit policy-options prefix-list prefix-list-name]层次结构级别定义的前缀列表名称。
|
tcp-established
|
匹配第一个连接数据包以外的 TCP 数据包。这是tcp-flags "(ack | rst)" (0x14)的文本同义词。
注: 此情况不会隐式检查协议是否为 TCP。要检查这一点,请protocol tcp指定匹配条件。
如果配置此匹配条件,我们建议您同时在同一术语中next-header tcp配置匹配条件。
|
tcp-flags flags
|
匹配 TCP 标头的 8 位 TCP 标记字段中的一个或多个低顺序 6 位。
要指定单个位域,可指定以下文本同义词或十六进制值:
fin(0x01)
syn(0x02)
rst(0x04)
push(0x08)
ack(0x10)
urgent(0x20)
在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而在初始数据包后发送的所有数据包中设置 ACK 标志。
您可以使用位字段逻辑运算符将多个标志组合在一起。
有关组合的tcp-established位字段匹配条件,请参阅和tcp-initial匹配条件。
如果配置此匹配条件,我们建议您同时在同一术语中next-header tcp配置匹配条件,以指定端口上正在使用 TCP 协议。
|
tcp-initial
|
与 TCP 连接的初始数据包匹配。这是的tcp-flags "(!ack & syn)"文本同义词。
此情况不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您同时在同一术语中next-header tcp配置匹配条件。
|
traffic-class number
|
匹配8位字段,用于指定数据包的服务等级(CoS)优先级。
此字段以前用作 IPv4 中的服务类型(ToS)字段。
您可以从到063中指定一个数字值。要以十六进制形式指定值,请将0x其作为前缀包括在内。要以二进制格式指定值,请将b其包含为前缀。
为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):
|
traffic-class-except number
|
与指定数据包 CoS 优先级的8位字段不匹配。有关详细信息,请traffic-class参阅匹配说明。
|
