IPv6 流量的防火墙过滤器匹配条件

匹配 IPv6 源或目标地址字段，除非包含该 except 选项。如果包含该选项，则与 IPv6 源地址或目标地址字段不匹配。

指定要从中继承配置数据的组。可以指定多个组名。必须按继承优先级顺序列出它们。第一组中的配置数据优先于后续组中的数据。

指定不从中继承配置数据的组。可以指定多个组名。

匹配 IPv6 目标地址字段，除非包含该 except 选项。如果包含该选项，则与 IPv6 目标地址字段不匹配。

不能在同一术语中同时 address 指定 和 destination-address 匹配条件。

匹配一个或多个指定的目标类名（组合在一起并给定类名的目标前缀集）。

有关详细信息，请参阅 基于地址类的防火墙过滤器匹配条件。

不要与一个或多个指定的目标类名匹配。有关详细信息，请参阅 destination-class 匹配条件。

匹配 UDP 或 TCP 目标端口字段。

不能在同一术语中同时 port 指定 和 destination-port 匹配条件。

如果配置此匹配条件，我们建议您也在同一术语中配置 next-header udp 或 next-header tcp 匹配条件，以指定端口上使用的协议。

要代替数值，可以指定以下文本同义词之一（还会列出端口号）：afs（1483）， bgp （179）， biff （512）， bootpc （68）， bootps （67）， cmd （514）， cvspserver （2401）， dhcp （67）， domain （53）， eklogin （2105）， ekshell （2106）， exec （512）， finger （79）， ftp （21）， ftp-data （20）， http （80）， https （443）， ident （113）， imap （143）， kerberos-sec （88）， klogin （543）， kpasswd （761）， krb-prop （754）， krbupdate （760）， kshell （544）， ldap （389）， ldp （646）， login （513）， mobileip-agent （434）， mobilip-mn （435）， msdp （639）， netbios-dgm （138）， netbios-ns （137）， netbios-ssn （139）， nfsd （2049）， nntp （119）， ntalk （518），ntp （123）， pop3 （110）， pptp （1723）， printer （515）， radacct （1813）， radius （1812）， rip （520）， rkinit （2108）， smtp （25）， snmp （161）， snmptrap （162）， snpp （444）， socks （1080）， ssh （22）， sunrpc （111）， syslog （514）， tacacs （49）， （65）， talk （517）， telnet （23）， tftp （69）， timedtacacs-ds （525）， who （513） 或 xdmcp （177）。

不匹配 UDP 或 TCP 目标端口字段。有关详细信息，请参阅 destination-port 匹配条件。

将 IPv6 目标前缀与指定列表 匹配，除非包含该 except 选项。如果包含该选项，则不要将 IPv6 目标前缀与指定列表匹配。

前缀列表在 ] 层次结构级别定义 [edit policy-options prefix-list prefix-list-name。

通过标识“下一个标头”值来匹配数据包中包含的扩展标头类型。

在数据包的第一个片段中，过滤器在任何扩展标头类型中搜索匹配项。当找到具有分片标头的数据包（后续分片）时，过滤器仅搜索下一个扩展标头类型的匹配项，因为其他扩展标头的位置不可预测。

代替数值，您可以指定以下文本同义词之一（字段值也会列出）：ah （51）、 destination （60）、 esp （50）、 fragment （44）、 hop-by-hop （0）、 mobility （135） 或 routing （43）。

要匹配扩展标头选项 的任何 值，请使用文本同义词 any。

对于带有 MPC 的 MX 系列路由器，请遍历相应的 SNMP MIB，初始化包含此条件的新防火墙过滤器。

匹配 IPv6 数据包标头中的 20 位流标签字段。值范围从 0x1 到 0xFFFFF。

流标签 和 下一个标头 匹配条件不能共存。一次只能应用其中一个匹配条件。要启用 流标签 并禁用 下一个标头 ，请应用以下配置：set firewall v6-flowlabel-enable。

下表汇总了 流标签 匹配条件与 下一个标头 条件的行为。

除了常规 流标签 值外，您还可以在配置匹配时使用掩码值;掩码值与给定 流标签 值的特定位匹配。

与数据包中包含的扩展标头类型不匹配。有关详细信息，请参阅 extension-headers 匹配条件。

整数输入长度（1..32位）;

（可选）字符串输入长度（1..128 位）

（匹配开始 + 字节）偏移量 （0..7） 之后的位偏移量

比赛起点之后的字节偏移量

从预定义的模板字段中选择灵活匹配

屏蔽数据包数据中要匹配的位

数据包中匹配的起点

要匹配的值数据/字符串

有关详细信息，请参阅防火墙过滤器灵活匹配条件

要匹配的数据长度（以位为单位） （0..32）

（匹配开始 + 字节）偏移量 （0..7） 之后的位偏移量

比赛起点之后的字节偏移量

从预定义的模板字段中选择灵活匹配

数据包中匹配的起点

要匹配的值范围

不匹配此值范围

有关详细信息，请参阅防火墙过滤器灵活匹配条件

匹配数据包的转发类。

指定 assured-forwarding、 best-effortexpedited-forwarding、 或 network-control。

有关转发类和路由器内部输出队列的信息，请参阅 了解转发类如何将类分配给输出队列。

与数据包的转发类不匹配。有关详细信息，请参阅 forwarding-class 匹配条件。

将跃点限制与指定的跃点限制或一组跃点限制相匹配。对于 hop-limit，请指定单个值或 0 到 255 之间的值范围。

仅在 MX 系列路由器的 MIC 或 MPC 上托管的接口上受支持。

不要将跃点限制与指定的跃点限制或一组跃点限制匹配。有关详细信息，请参阅 hop-limit 匹配条件。

仅在 MX 系列路由器的 MIC 或 MPC 上托管的接口上受支持。

匹配 ICMP 消息代码字段。

如果配置此匹配条件，我们建议您在同一术语中也配置 next-header icmp 或 next-header icmp6 匹配条件。

如果配置此匹配条件，则还必须在同一术语中配置 icmp-type message-type 匹配条件。ICMP 消息代码提供比 ICMP 消息类型更具体的信息，但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

要代替数值，您可以指定以下文本同义词之一（还会列出字段值）。关键字按与其关联的 ICMP 类型分组：

• 参数问题：ip6-header-bad（0）、 unrecognized-next-header （1）、 unrecognized-option （2）

• 超过时间：ttl-eq-zero-during-reassembly（1）、 ttl-eq-zero-during-transit （0）

• 无法到达目的地：administratively-prohibited（1）、 address-unreachable （3）、 no-route-to-destination （0）、 port-unreachable （4）

不匹配 ICMP 消息代码字段。有关详细信息，请参阅 icmp-code 匹配条件。

匹配 ICMP 消息类型字段。

如果配置此匹配条件，我们建议您在同一术语中也配置 next-header icmp 或 next-header icmp6 匹配条件。

代替数值，您可以指定以下文本同义词之一（字段值也会列出）：certificate-path-advertisement（149）， certificate-path-solicitation （148）， destination-unreachable （1）， echo-reply （129）， echo-request （128）， home-agent-address-discovery-reply （145）， home-agent-address-discovery-request （144）， inverse-neighbor-discovery-advertisement （142）， （141）， membership-queryinverse-neighbor-discovery-solicitation （130）， membership-report （131）， membership-termination （132）， mobile-prefix-advertisement-reply （147）， mobile-prefix-solicitation （146）， （136）， neighbor-solicitneighbor-advertisement （135）， node-information-reply （140）， node-information-request （139）， packet-too-big （2）， parameter-problem （4）， private-experimentation-100 （100）， （101）， private-experimentation-200private-experimentation-101 （200）， private-experimentation-201 （201）， redirect （137）， router-advertisement （134）， router-renumbering （138）， router-solicit （133） 或 time-exceeded （3）。

对于 private-experimentation-201 （201），您还可以在方括号内指定值范围。

不匹配 ICMP 消息类型字段。有关详细信息，请参阅 icmp-type 匹配条件。

匹配接收数据包的接口。

将接收数据包的逻辑接口与指定的接口组或接口组进行匹配。对于 group-number，指定单个值或从 0 到 的值 255范围。

要将逻辑接口分配给接口组group-number，请在层次结构级别指定 。group-number[interfaces interface-name unit number family family filter group]

有关更多信息，请参阅 过滤一组接口组上收到的数据包概述。

不要将接收数据包的逻辑接口与指定的接口组或接口组匹配。有关详细信息，请参阅 interface-group 匹配条件。

将接收数据包的接口与指定的接口集匹配。

要定义接口集，请在层次结构级别包含 interface-set 语句 [edit firewall] 。

有关更多信息，请参阅 过滤接口集上收到的数据包概述。

将 8 位 IP 选项字段（如果存在）与指定的值或值列表匹配。

要代替数值，可以指定以下文本同义词之一（还会列出选项值）：loose-source-route（131）、 record-route （7）、 router-alert （148）、 security （130）、 stream-id （136）、strict-source-route（137） 或 timestamp （68）。

要匹配 IP 选项 的任何 值，请使用文本同义词 any。要匹配多个值，请在方括号（“”和“[]”）内指定值列表。要匹配一系列值，请使用值规范 [ value1-value2 ]。

例如，匹配条件ip-options [ 0-147 ]匹配包含 、 record-route或security值或 0 到 147 之间的任何其他值的 loose-source-routeIP 选项字段。但是，此匹配条件在仅 router-alert 包含值 （148） 的 IP 选项字段上不匹配。

对于大多数接口，指定 ip-option 一个或多个 特定 IP 选项值（非 any）匹配项的过滤器术语会导致数据包发送到路由引擎，以便内核可以解析数据包标头中的 IP 选项字段。

• 对于指定ip-option一个或多个特定 IP 选项值匹配项的防火墙过滤器术语，除非还在同一术语中指定discard终止操作，否则不能指定 count、 log或syslog非终止操作。此行为可防止对应用于路由器上中转接口的过滤器的数据包进行重复计数。

• 如果出现系统瓶颈，内核上处理的数据包可能会被丢弃。要确保将匹配的数据包发送到数据包转发引擎（其中数据包处理在硬件中实现），请使用 ip-options any 匹配条件。

MX 系列路由器上的 10 千兆以太网模块化端口集中器 （MPC）、100 千兆以太网 MPC、60 千兆以太网 MPC、60 千兆队列以太网 MPC 和 60 千兆以太网增强型队列 MPC 能够解析 IPv4 数据包标头的 IP 选项字段。对于在这些 MPC 上配置的接口，使用匹配条件匹配ip-options的所有数据包都将发送到数据包转发引擎进行处理。

不要将 IP 选项字段与指定的值或值列表匹配。有关指定 的详细信息 values，请参阅 ip-options 匹配条件。

匹配数据包丢失优先级 （PLP） 级别。

指定单个级别或多个级别：low、 medium-low、 medium-high或 high。

在 M120 和 M320 路由器上受支持;采用增强型 CFEB （CFEB-E） 的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。

对于带有增强型 II 灵活 PIC 集中器 （FPC） 的 M320、MX 系列、T 系列路由器和 EX 系列交换机上的 IP 流量，必须在层次结构级别包含[edit class-of-service]语句tri-color，才能提交具有指定四个级别中的任何一个的 PLP 配置。如果未启用该 tri-color 语句，则只能配置 和 highlow 级别。这适用于所有协议家族。

有关该 tri-color 语句的信息，请参阅 配置和应用 Tricolor 标记监管器。有关使用行为聚合 （BA） 分类器设置传入数据包的 PLP 级别的信息，请参阅 了解转发类如何将类分配给输出队列。

与 PLP 级别不匹配。有关详细信息，请参阅 loss-priority 匹配条件。

匹配数据包中的第一个 8 位“下一个标头”字段。Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 next-header 。

匹配数据包中的第一个 8 位“下一个标头”字段。

代替数值，您可以指定以下文本同义词之一（字段值也会列出）：ah（51）、 dstops （60）、 egp （8）、 esp （50）、 fragment （44）、 gre （47）、 hop-by-hop （0）、 icmp （1）、 icmp6 （58）、（58）、 igmpicmpv6 （2）、 ipip （4）、 ipv6 （41）、 mobility （135）、 no-next-header （59）、（89）、 pimospf （103）、（43）、 rsvprouting （46）、 sctp （132）、 tcp （6）、 udp  （17）或vrrp（112）。

与标识 IPv6 报头和有效负载之间的报头类型的 8 位“下一个报头”字段不匹配。有关详情，请参阅 next-header 匹配类型。

匹配收到的数据包的长度（以字节为单位）。长度仅指 IP 数据包，包括数据包标头，不包括任何第 2 层封装开销。

与收到的数据包的长度不匹配（以字节为单位）。有关详情，请参阅 packet-length 匹配类型。

匹配有效负载协议类型。

protocol-type代替数值，您可以指定以下文本同义词之一（字段值也会列出）：指定以下一项或一组：ah（51）、 dstopts （60）、 egp （8）、 esp （50）、 fragment （44）、 gre （47）、 hop-by-hop （0）、 icmp （1）、 icmp6 （58、 igmp （2）、 ipip （4）、 ipv6 （41）、 no-next-headerospf 、（89）、 pim （103）、 routingrsvp 、（46）、 sctp （132）、 tcp （6）、 udp （17） 或 vrrp （112）（dstopts （60）、片段 （44）、逐跳 0）和路由在 Junos OS 16.1 版及更高版本中不可用）。

您还可以使用该 payload-protocol 条件匹配瞻博网络固件无法解释的扩展标头类型。可以在方括号内指定扩展标头值的范围。当固件在数据包中找到无法解释的第一个扩展标头类型时，该 payload-protocol 值将设置为该扩展标头类型。防火墙过滤器仅检查固件无法在数据包中解释的第一个扩展标头类型。

与有效负载协议类型不匹配。有关详情，请参阅 payload-protocol 匹配类型。

匹配 UDP 或 TCP 源或目标端口字段。

如果配置此匹配条件，则无法在同一期限内配置 destination-port 匹配条件或 source-port 匹配条件。

如果配置此匹配条件，我们建议您也在同一术语中配置 next-header udp 或 next-header tcp 匹配条件，以指定端口上使用的协议。

要代替数值，可以指定 下 destination-port列出的文本同义词之一。

不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息，请参阅 port 匹配条件。

将源地址或目标地址字段的前缀与指定列表中的 前缀匹配，除非包含该 except 选项。如果包含该选项，请不要将源地址或目标地址字段的前缀与指定列表中的前缀匹配。

前缀列表在 [edit policy-options prefix-list prefix-list-name] 层次结构级别定义。

匹配从应用操作的 service-filter-hit 过滤器接收的数据包。

匹配发送数据包的源节点的 IPv6 地址，除非包含该 except 选项。如果包含该选项，则与发送数据包的源节点的 IPv6 地址不匹配。

不能在同一术语中同时 address 指定 和 source-address 匹配条件。

匹配一个或多个指定的源类名（组合在一起并给定类名的源前缀集）。

有关详细信息，请参阅 基于地址类的防火墙过滤器匹配条件。

不要匹配一个或多个指定的源类名。有关详细信息，请参阅 source-class 匹配条件。

匹配 UDP 或 TCP 源端口字段。

不能在同一术语中指定 port 和 source-port 匹配条件。

如果配置此匹配条件，我们建议您也在同一术语中配置 next-header udp 或 next-header tcp 匹配条件，以指定端口上使用的协议。

要代替数值，您可以指定与匹配条件一起 destination-port number 列出的文本同义词之一。

不匹配 UDP 或 TCP 源端口字段。有关详细信息，请参阅 source-port 匹配条件。

匹配数据包源字段 的 IPv6 地址前缀，除非包含该 except 选项。如果包含该选项，则不要与数据包源字段的 IPv6 地址前缀匹配。

指定在层次结构级别定义的 [edit policy-options prefix-list prefix-list-name] 前缀列表名称。

匹配连接的第一个数据包以外的 TCP 数据包。这是 （0x14） 的文本tcp-flags "(ack | rst)"同义词。

如果配置此匹配条件，我们建议您也在同一术语中配置 next-header tcp 匹配条件。

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定单个位字段，可以指定以下文本同义词或十六进制值：

• fin（0x01）

• syn（0x02）

• rst（0x04）

• push（0x08）

• ack（0x10）

• urgent（0x20）

在 TCP 会话中，SYN 标志仅在发送的初始数据包中设置，而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

有关组合位字段匹配条件，请参阅 tcp-established 和 tcp-initial 匹配条件。

如果配置此匹配条件，建议您在同一术语中配置 next-header tcp 匹配条件，以指定端口上使用TCP协议。

匹配 TCP 连接的初始数据包。这是 的文本 tcp-flags "(!ack & syn)"同义词。

此条件不会隐式检查协议是否为 TCP。如果配置此匹配条件，我们建议您也在同一术语中配置 next-header tcp 匹配条件。

匹配指定数据包的服务等级 （CoS） 优先级的 8 位字段。

此字段以前用作 IPv4 中的服务类型 （ToS） 字段。

您可以指定 到 0 的 63数值。若要以十六进制形式指定值，请包含 0x 为前缀。若要以二进制形式指定值，请包含 b 为前缀。

代替数值，您可以指定以下文本同义词之一（字段值也会列出）：

• RFC 3246 加速 转发 PHB（每跳行为）定义了一个代码点：ef(46).

• RFC 2597（ 保证转发 PHB 组）定义了 4 个类，每个类中有 3 个丢弃优先级，总共 12 个代码点：

  • af11（10）、 af12 （12）、 af13 （14）

  • af21（18）、 af22 （20）、 af23 （22）

  • af31（26）、 af32 （28）、 af33 （30）

  • af41（34）、 af42 （36）、 af43 （38）

不匹配指定数据包 CoS 优先级的 8 位字段。有关详细信息，请参阅 traffic-class 匹配说明。