与协议无关的流量的防火墙过滤器匹配条件

您可以为与协议无关的流量（family any）配置匹配条件的防火墙过滤器。

要向逻辑接口应用与协议无关的防火墙过滤器，请在 filter 逻辑单元下配置语句。

注：

在 MX 系列路由器上，通过在逻辑单元下配置filter语句，将与协议无关的防火墙过滤器连接到逻辑接口：

[edit interfaces name unit number filter]
[edit logical-systems name interfaces name unit number filter]

在所有其他受支持的设备上，通过在协议家族（family any）下配置filter语句，将与协议无关的防火墙过滤器连接到逻辑接口：

[edit interfaces name unit number family any filter]
[edit logical-systems name interfaces name unit number family any filter]

表 1 介绍了 match-conditions 可以在层级配置 [edit firewall family any filter filter-name term term-name from] 的问题。

表 1：与协议无关的流量的防火墙过滤器匹配条件
匹配条件	说明
`forwarding-class class`	匹配数据包的转发等级。指定 `assured-forwarding`、 `best-effort`、、 `expedited-forwarding`或 `network-control`。有关转发类和路由器内部输出队列的信息，请参阅了解转发类如何将类分配给输出队列。注：在 T4000 5 类 FPC 上，在第 2 层应用程序点（即逻辑接口级别）连接的过滤器无法与由第 3 层分类器（如 DSCP、DSCP V6 `inet-precedence`和 `mpls-exp`）设置的数据包的转发等级匹配。
`forwarding-class-except class`	转发类不匹配。有关详细信息，请参阅 `forwarding-class` 匹配条件。
`interface interface-name`	匹配接收数据包的接口。注：如果使用不存在的接口配置此匹配条件，则术语不会匹配任何数据包。
`interface-set interface-set-name`	将接收数据包的接口匹配到指定的接口集。要定义接口集，请将语句 `interface-set` 包含在 `[edit firewall]` 层次结构级别。有关更多详细信息，请参阅接口集上收到的过滤数据包概述。
`loss-priority level`	匹配丢包优先级（PLP）级别。指定单个级别或多个级别：`low`、 `medium-low`、 `medium-high`或 `high`。支持 M120 和 M320 路由器;配备增强型 CFEB （CFEB-E）的 M7i 和 M10i 路由器;和 MX 系列路由器。对于具有增强型 II 灵活 PIC 集中器（FPC）的 M320、MX 系列和 T 系列路由器上的 IP 流量，您必须在`[edit class-of-service]`层次结构级别中包含`tri-color`语句，以便提交具有四个指定级别中的任何一个级别的 PLP 配置。如果未启用语句 `tri-color` ，则只能配置 `high` 和 `low` 级别。这适用于所有协议家族。注： PTX 系列数据包传输路由器不支持此匹配条件。有关 `tri-color` 语句的信息，请参阅配置和应用 Tricolor 标记监管器。有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解转发类如何将类分配给输出队列。
`loss-priority-except level`	与 PLP 级别不匹配。有关详细信息，请参阅 `loss-priority` 匹配条件。注： PTX 系列数据包传输路由器不支持此匹配条件。
`packet-length bytes`	匹配接收数据包的长度（以字节为单位）。长度仅指 IP 数据包，包括数据包标头，不包括任何第 2 层封装开销。您还可以指定要匹配的值范围。
`packet-length-except bytes`	收到的数据包长度（以字节为单位）不匹配。有关详细信息，请参阅 `packet-length` 匹配类型。

与协议无关的流量的防火墙过滤器匹配条件

相关主题