Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 流量的防火墙过滤器匹配条件

您可以使用互联网协议版本 6 (IPv6) 流量匹配条件配置防火墙过滤器 (family inet6)。

注:

对于带有 MPC 的 MX 系列路由器,您需要通过遍历相应的 SNMP MIB 来初始化仅三重奏匹配过滤器的过滤器计数器,例如 show snmp mib walk name ascii。这将强制 Junos 学习过滤器计数器并确保显示过滤器统计信息。本指南适用于所有增强模式防火墙筛选器、具有灵活条件的筛选器以及具有特定终止操作的筛选器。有关详细信息,请参阅“相关文档”下列出的这些主题。

表 1 描述了可以在层次结构级别配置的 [edit firewall family inet6 filter filter-name term term-name from] 匹配条件。

表 1: IPv6 流量的防火墙过滤器匹配条件

匹配条件

Description

address address [ except ]

匹配 IPv6 源或目标地址字段,除非包含该 except 选项。如果包含该选项,则与 IPv6 源地址或目标地址字段不匹配。

apply-groups

指定要从中继承配置数据的组。可以指定多个组名。必须按继承优先级顺序列出它们。第一组中的配置数据优先于后续组中的数据。

apply-groups-except

指定不从中继承配置数据的组。可以指定多个组名。

destination-address address [ except ]

匹配 IPv6 目标地址字段,除非包含该 except 选项。如果包含该选项,则与 IPv6 目标地址字段不匹配。

不能在同一术语中同时 address 指定 和 destination-address 匹配条件。

destination-class class-names

匹配一个或多个指定的目标类名(组合在一起并给定类名的目标前缀集)。

有关详细信息,请参阅 基于地址类的防火墙过滤器匹配条件

destination-class-except class-names

不要与一个或多个指定的目标类名匹配。有关详细信息,请参阅 destination-class 匹配条件。

destination-port number

匹配 UDP 或 TCP 目标端口字段。

不能在同一术语中同时 port 指定 和 destination-port 匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udpnext-header tcp 匹配条件,以指定端口上使用的协议。

注:

对于 Junos OS 演化版,您必须在同一术语中配置 next-header match 语句。

要代替数值,可以指定以下文本同义词之一(还会列出端口号):afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518),ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), (65), talk (517), telnet (23), tftp (69), timedtacacs-ds (525), who (513) 或 xdmcp (177)。

destination-port-except number

不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请参阅 destination-port 匹配条件。

destination-prefix-list prefix-list-name [ except ]

将 IPv6 目标前缀与指定列表 匹配,除非包含该 except 选项。如果包含该选项,则不要将 IPv6 目标前缀与指定列表匹配。

前缀列表在 ] 层次结构级别定义 [edit policy-options prefix-list prefix-list-name

extension-headers header-type

通过标识“下一个标头”值来匹配数据包中包含的扩展标头类型。

注:

此匹配条件仅在 MX 系列路由器中的 MPC 上受支持。

在数据包的第一个片段中,过滤器在任何扩展标头类型中搜索匹配项。当找到具有分片标头的数据包(后续分片)时,过滤器仅搜索下一个扩展标头类型的匹配项,因为其他扩展标头的位置不可预测。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135) 或 routing (43)。

要匹配扩展标头选项 的任何 值,请使用文本同义词 any

对于带有 MPC 的 MX 系列路由器,请遍历相应的 SNMP MIB,初始化包含此条件的新防火墙过滤器。

first-fragment

如果数据包是第一个分片,则匹配。

 

流标签 flow label value

匹配 IPv6 数据包标头中的 20 位流标签字段。值范围从 0x1 到 0xFFFFF。

流标签下一个标头 匹配条件不能共存。一次只能应用其中一个匹配条件。要启用 流标签 并禁用 下一个标头 ,请应用以下配置:set firewall v6-flowlabel-enable

下表汇总了 流标签 匹配条件与 下一个标头 条件的行为。

场景

配置

过滤器配置有

操作

1

无配置

流标签

不允许流标签匹配。

2

无配置

下一个标题

不允许下一个标头与第一个扩展标头匹配。默认匹配有效负载协议。

3

无下一个标头到有效负载协议映射

流标签

不允许流标签匹配。

4

无下一个标头到有效负载协议映射

下一个标题

允许下一个标头与第一个扩展标头匹配。

5

启用 v6 流标签

流标签

允许流标签匹配

6

启用 v6 流标签

下一个标题

不允许下一个标头与第一个扩展标头匹配。默认匹配有效负载协议。

注:

v6-flowlabel-enable flow-label PTX10001-36MR、PTX10003、PTX10004、PTX10008 和 PTX10016 上的 Junos EVO 支持和匹配条件。

流标签 flow label value 掩码 mask value

除了常规 流标签 值外,您还可以在配置匹配时使用掩码值;掩码值与给定 流标签 值的特定位匹配。

注:

flow-label 流标签值 mask 掩码值匹配条件仅在 PTX10001-36MR、PTX10003、PTX10004、PTX10008 和PTX10016上的 Junos EVO 上受支持。

extension-headers-except header-type

与数据包中包含的扩展标头类型不匹配。有关详细信息,请参阅 extension-headers 匹配条件。

注:

此匹配条件仅在 MX 系列路由器中的 MPC 上受支持。

flexible-match-mask value

bit-length

整数输入长度(1..32位);

(可选)字符串输入长度(1..128 位)

bit-offset

(匹配开始 + 字节)偏移量 (0..7) 之后的位偏移量

byte-offset

比赛起点之后的字节偏移量

flexible-mask-name

从预定义的模板字段中选择灵活匹配

mask-in-hex

屏蔽数据包数据中要匹配的位

match-start

数据包中匹配的起点

prefix

要匹配的值数据/字符串

有关详细信息,请参阅防火墙过滤器灵活匹配条件

flexible-match-range value

范围应使用以下格式:Integer-Integer

bit-length

要匹配的数据长度(以位为单位) (0..32)

bit-offset

(匹配开始 + 字节)偏移量 (0..7) 之后的位偏移量

byte-offset

比赛起点之后的字节偏移量

flexible-range-name

从预定义的模板字段中选择灵活匹配

match-start

数据包中匹配的起点

range

要匹配的值范围

range-except

不匹配此值范围

有关详细信息,请参阅防火墙过滤器灵活匹配条件

forwarding-class class

匹配数据包的转发类。

指定 assured-forwardingbest-effortexpedited-forwarding、 或 network-control

有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列

forwarding-class-except class

与数据包的转发类不匹配。有关详细信息,请参阅 forwarding-class 匹配条件。

hop-limit hop-limit

将跃点限制与指定的跃点限制或一组跃点限制相匹配。对于 hop-limit,请指定单个值或 0 到 255 之间的值范围。

仅在 MX 系列路由器的 MIC 或 MPC 上托管的接口上受支持。

注:

在路由器上配置此匹配条件时 enhanced-mode ,PTX 系列路由器支持此匹配条件。

hop-limit-except hop-limit

不要将跃点限制与指定的跃点限制或一组跃点限制匹配。有关详细信息,请参阅 hop-limit 匹配条件。

仅在 MX 系列路由器的 MIC 或 MPC 上托管的接口上受支持。

注:

在路由器上配置此匹配条件时 enhanced-mode ,PTX 系列路由器支持此匹配条件。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您在同一术语中也配置 next-header icmpnext-header icmp6 匹配条件。

如果配置此匹配条件,则还必须在同一术语中配置 icmp-type message-type 匹配条件。ICMP 消息代码提供比 ICMP 消息类型更具体的信息,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数问题:ip6-header-bad(0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • 超过时间:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

  • 无法到达目的地:administratively-prohibited(1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

不匹配 ICMP 消息代码字段。有关详细信息,请参阅 icmp-code 匹配条件。

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您在同一术语中也配置 next-header icmpnext-header icmp6 匹配条件。

注:

对于 Junos OS 演化版,您必须在同一术语中配置 next-header match 语句。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), (141), membership-queryinverse-neighbor-discovery-solicitation (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), (136), neighbor-solicitneighbor-advertisement (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), (101), private-experimentation-200private-experimentation-101 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) 或 time-exceeded (3)。

对于 private-experimentation-201 (201),您还可以在方括号内指定值范围。

icmp-type-except message-type

不匹配 ICMP 消息类型字段。有关详细信息,请参阅 icmp-type 匹配条件。

interface interface-name

匹配接收数据包的接口。

注:

如果使用不存在的接口配置此匹配条件,则该术语与任何数据包都不匹配。

interface-group group-number

将接收数据包的逻辑接口与指定的接口组或接口组进行匹配。对于 group-number,指定单个值或从 0 到 的值 255范围。

要将逻辑接口分配给接口组group-number,请在层次结构级别指定 。group-number[interfaces interface-name unit number family family filter group]

有关更多信息,请参阅 过滤一组接口组上收到的数据包概述

interface-group-except group-number

不要将接收数据包的逻辑接口与指定的接口组或接口组匹配。有关详细信息,请参阅 interface-group 匹配条件。

interface-set interface-set-name

将接收数据包的接口与指定的接口集匹配。

要定义接口集,请在层次结构级别包含 interface-set 语句 [edit firewall]

有关更多信息,请参阅 过滤接口集上收到的数据包概述

ip-options values

将 8 位 IP 选项字段(如果存在)与指定的值或值列表匹配。

要代替数值,可以指定以下文本同义词之一(还会列出选项值):loose-source-route(131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)、strict-source-route(137) 或 timestamp (68)。

要匹配 IP 选项 的任何 值,请使用文本同义词 any。要匹配多个值,请在方括号(“”和“[]”)内指定值列表。要匹配一系列值,请使用值规范 value1-value2 ]

例如,匹配条件ip-options [ 0-147 ]匹配包含 、 record-routesecurity值或 0 到 147 之间的任何其他值的 loose-source-routeIP 选项字段。但是,此匹配条件在仅 router-alert 包含值 (148) 的 IP 选项字段上不匹配。

对于大多数接口,指定 ip-option 一个或多个 特定 IP 选项值(非 any)匹配项的过滤器术语会导致数据包发送到路由引擎,以便内核可以解析数据包标头中的 IP 选项字段。

  • 对于指定ip-option一个或多个特定 IP 选项值匹配项的防火墙过滤器术语,除非还在同一术语中指定discard终止操作,否则不能指定 countlogsyslog非终止操作。此行为可防止对应用于路由器上中转接口的过滤器的数据包进行重复计数。

  • 如果出现系统瓶颈,内核上处理的数据包可能会被丢弃。要确保将匹配的数据包发送到数据包转发引擎(其中数据包处理在硬件中实现),请使用 ip-options any 匹配条件。

MX 系列路由器上的 10 千兆以太网模块化端口集中器 (MPC)、100 千兆以太网 MPC、60 千兆以太网 MPC、60 千兆队列以太网 MPC 和 60 千兆以太网增强型队列 MPC 能够解析 IPv4 数据包标头的 IP 选项字段。对于在这些 MPC 上配置的接口,使用匹配条件匹配ip-options的所有数据包都将发送到数据包转发引擎进行处理。

ip-options-except values

不要将 IP 选项字段与指定的值或值列表匹配。有关指定 的详细信息 values,请参阅 ip-options 匹配条件。

is-fragment

如果数据包是分片,则匹配。

 

last-fragment

如果数据包是最后一个分片,则匹配。

 

loss-priority level

匹配数据包丢失优先级 (PLP) 级别。

指定单个级别或多个级别:lowmedium-lowmedium-highhigh

在 M120 和 M320 路由器上受支持;采用增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。

对于带有增强型 II 灵活 PIC 集中器 (FPC) 的 M320、MX 系列、T 系列路由器和 EX 系列交换机上的 IP 流量,必须在层次结构级别包含[edit class-of-service]语句tri-color,才能提交具有指定四个级别中的任何一个的 PLP 配置。如果未启用该 tri-color 语句,则只能配置 和 highlow 级别。这适用于所有协议家族。

有关该 tri-color 语句的信息,请参阅 配置和应用 Tricolor 标记监管器。有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列

loss-priority-except level

与 PLP 级别不匹配。有关详细信息,请参阅 loss-priority 匹配条件。

next-header header-type

匹配数据包中的第一个 8 位“下一个标头”字段。Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 next-header

注:

MX 平台的 next-header 匹配项与数据包中的第一个下一个标头 (NH) 匹配,而 payload-protocol 匹配的匹配项与最后一个 NH 匹配。而EVO-PTX平台支持 next-header 最后一个NH上的比赛,但不支持第一个NH。最常见的用例是匹配最后一个 NH,这是 PTX 平台原生的。现在匹配 next-header 第一个 NH,匹配 payload-protocol 最后一个 NH,行为方式与 MX 平台上相同。如果在 WAN 接口的防火墙上使用 IPv6 过滤器 next-header 子句,则需要查看并修改防火墙以匹配新行为。此更改已引入 Junos OS 演化版:

  • 21.4R2-S1-EVO、21.4R2-S2-EVO、21.4R3-S1-EVO 及更高版本

  • 排除 21.4R3-EVO

  • 22.2R2-EVO

  • 22.3R1-EVO

匹配数据包中的第一个 8 位“下一个标头”字段。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):ah(51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、(58)、 igmpicmpv6 (2)、 ipip (4)、 ipv6 (41)、 mobility (135)、 no-next-header (59)、(89)、 pimospf (103)、(43)、 rsvprouting (46)、 sctp (132)、 tcp (6)、 udp  (17)或vrrp(112)。

注:
  • next-header icmp6next-header icmpv6 匹配条件执行相同的功能。 next-header icmp6 是首选选项。 next-header icmpv6 隐藏在 Junos OS CLI 中。

  • 在运行 Junos OS 演化版的 QFX5000 系列设备上, next-header ERACLv6 不支持匹配,相反,您必须配置 payload-protocol 匹配。

next-header-except header-type

与标识 IPv6 报头和有效负载之间的报头类型的 8 位“下一个报头”字段不匹配。有关详情,请参阅 next-header 匹配类型。

packet-length bytes

匹配收到的数据包的长度(以字节为单位)。长度仅指 IP 数据包,包括数据包标头,不包括任何第 2 层封装开销。

packet-length-except bytes

与收到的数据包的长度不匹配(以字节为单位)。有关详情,请参阅 packet-length 匹配类型。

payload-protocol protocol-type

匹配有效负载协议类型。

protocol-type代替数值,您可以指定以下文本同义词之一(字段值也会列出):指定以下一项或一组:ah(51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58、 igmp (2)、 ipip (4)、 ipv6 (41)、 no-next-headerospf 、(89)、 pim (103)、 routingrsvp 、(46)、 sctp (132)、 tcp (6)、 udp (17) 或 vrrp (112)(dstopts (60)、片段 (44)、逐跳 0)和路由在 Junos OS 16.1 版及更高版本中不可用)。

您还可以使用该 payload-protocol 条件匹配瞻博网络固件无法解释的扩展标头类型。可以在方括号内指定扩展标头值的范围。当固件在数据包中找到无法解释的第一个扩展标头类型时,该 payload-protocol 值将设置为该扩展标头类型。防火墙过滤器仅检查固件无法在数据包中解释的第一个扩展标头类型。

注:

此匹配条件仅在 MX 系列路由器上的 MPC 上受支持。通过执行相应的 SNMP MIB 来初始化包含此条件的新防火墙过滤器。

payload-protocol-except protocol-type

与有效负载协议类型不匹配。有关详情,请参阅 payload-protocol 匹配类型。

注:

此匹配条件仅在 MX 系列路由器上的 MPC 上受支持

port number

匹配 UDP 或 TCP 源或目标端口字段。

如果配置此匹配条件,则无法在同一期限内配置 destination-port 匹配条件或 source-port 匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udpnext-header tcp 匹配条件,以指定端口上使用的协议。

注:

对于 Junos OS 演化版,您必须在同一术语中配置 next-header match 语句。

要代替数值,可以指定 下 destination-port列出的文本同义词之一。

port-except number

不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息,请参阅 port 匹配条件。

prefix-list prefix-list-name [ except ]

将源地址或目标地址字段的前缀与指定列表中的 前缀匹配,除非包含该 except 选项。如果包含该选项,请不要将源地址或目标地址字段的前缀与指定列表中的前缀匹配。

前缀列表在 [edit policy-options prefix-list prefix-list-name] 层次结构级别定义。

service-filter-hit

匹配从应用操作的 service-filter-hit 过滤器接收的数据包。

source-address address [ except ]

匹配发送数据包的源节点的 IPv6 地址,除非包含该 except 选项。如果包含该选项,则与发送数据包的源节点的 IPv6 地址不匹配。

不能在同一术语中同时 address 指定 和 source-address 匹配条件。

source-class class-names

匹配一个或多个指定的源类名(组合在一起并给定类名的源前缀集)。

有关详细信息,请参阅 基于地址类的防火墙过滤器匹配条件

source-class-except class-names

不要匹配一个或多个指定的源类名。有关详细信息,请参阅 source-class 匹配条件。

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一术语中指定 portsource-port 匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udpnext-header tcp 匹配条件,以指定端口上使用的协议。

注:

对于 Junos OS 演化版,您必须在同一术语中配置 next-header or next-header tcp match 语句。

要代替数值,您可以指定与匹配条件一起 destination-port number 列出的文本同义词之一。

source-port-except number

不匹配 UDP 或 TCP 源端口字段。有关详细信息,请参阅 source-port 匹配条件。

source-prefix-list name [ except ]

匹配数据包源字段 的 IPv6 地址前缀,除非包含该 except 选项。如果包含该选项,则不要与数据包源字段的 IPv6 地址前缀匹配。

指定在层次结构级别定义的 [edit policy-options prefix-list prefix-list-name] 前缀列表名称。

tcp-established

匹配连接的第一个数据包以外的 TCP 数据包。这是 (0x14) 的文本tcp-flags "(ack | rst)"同义词。

注:

此条件不会隐式检查协议是否为 TCP。要检查这一点,请指定 protocol tcp 匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中配置 next-header tcp 匹配条件。

tcp-flags flags

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定单个位字段,可以指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

有关组合位字段匹配条件,请参阅 tcp-establishedtcp-initial 匹配条件。

如果配置此匹配条件,建议您在同一术语中配置 next-header tcp 匹配条件,以指定端口上使用TCP协议。

tcp-initial

匹配 TCP 连接的初始数据包。这是 的文本 tcp-flags "(!ack & syn)"同义词。

此条件不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您也在同一术语中配置 next-header tcp 匹配条件。

traffic-class number

匹配指定数据包的服务等级 (CoS) 优先级的 8 位字段。

此字段以前用作 IPv4 中的服务类型 (ToS) 字段。

您可以指定 到 063数值。若要以十六进制形式指定值,请包含 0x 为前缀。若要以二进制形式指定值,请包含 b 为前缀。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • RFC 3246 加速 转发 PHB(每跳行为)定义了一个代码点:ef(46).

  • RFC 2597( 保证转发 PHB 组)定义了 4 个类,每个类中有 3 个丢弃优先级,总共 12 个代码点:

    • af11(10)、 af12 (12)、 af13 (14)

    • af21(18)、 af22 (20)、 af23 (22)

    • af31(26)、 af32 (28)、 af33 (30)

    • af41(34)、 af42 (36)、 af43 (38)

traffic-class-except number

不匹配指定数据包 CoS 优先级的 8 位字段。有关详细信息,请参阅 traffic-class 匹配说明。

注:

source-port-range-optimizedestination-port-range-optimize 支持层次结构级别入口方向 [edit firewall family inet6 filter <filter-name> term <term-name> from] 上的 IPv6 防火墙过滤器。

可用于对过滤器条目进行编程的 TCAM 空间有限。尝试在大量源或目标端口范围内进行匹配时,TCAM 空间可能会耗尽。为了解决此问题, source-port-range-optimizedestination-port-range-optimize 可以从 CLI 进行配置,这将显著减少在防火墙过滤器匹配条件中配置源或目标端口范围时使用的 TCAM 条目数。

配置示例如下所示。

注:

如果在匹配条件(、 addressdestination-addresssource-address匹配条件)中指定 IPv6 地址,请使用 RFC 4291 IP 版本 6 寻址体系结构中所述的文本表示语法。有关 IPv6 地址的详细信息,请参阅 IPv6 概述 和支持的 IPv6 标准

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
13.3R6
Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 next-header