配置服务过滤器的准则
用于配置服务过滤器的语句层次结构
要配置服务过滤器,请在层次结构级别包含 语句 :service-filter service-filter-name[edit firewall family (inet | inet6)]
[edit] firewall { family (inet|inet6) {service-filterservice-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
本主题将单独介绍该 语句支持的各个语句,并在配置和应用服务筛选器的示例中进行说明。service-filter service-filter-name
服务筛选器协议家族
您可以将服务过滤器配置为仅过滤 IPv4 流量 () 和 IPv6 流量 ()。family inetfamily inet6 服务过滤器不支持其他协议家族。
服务过滤器名称
在 or 语句下,可以包含 用于创建和命名服务筛选器的语句。family inetfamily inet6service-filter service-filter-name 筛选器名称可以包含字母、数字和连字符 (-),长度最多为 64 个字符。要在名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
服务过滤器条款
在 语句下,可以包含 用于创建和命名筛选器术语的语句。service-filter service-filter-nameterm term-name
您必须在 防火墙过滤器中至少配置一个术语。
您必须为防火墙过滤器中的每个术语指定唯一的名称。术语名称可以包含字母、数字和连字符 (-),最长可达 64 个字符。要在名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
在防火墙过滤器配置中指定术语的顺序非常重要。防火墙过滤器术语按其配置顺序进行评估。默认情况下,新术语始终添加到现有筛选器的末尾。您可以使用配置模式命令对 防火墙过滤器的条款重新排序。
insert
服务过滤器匹配条件
服务过滤器术语仅支持标准无状态防火墙过滤器支持的 IPv4 和 IPv6 匹配条件的子集。
如果在匹配条件(、 或匹配条件)中指定 IPv6 地址,请使用 RFC 4291 IP 版本 6 寻址体系结构中所述的文本表示语法。addressdestination-addresssource-address 有关 IPv6 地址的详细信息,请参阅路由设备的 Junos OS 路由协议库中的“IPv6 概述”。https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/index.html
服务过滤器终止操作
配置服务筛选器术语时,必须指定以下筛选器终止操作之一:
serviceskip
这些操作对于服务筛选器是唯一的。
服务过滤器术语仅支持标准无状态防火墙过滤器支持的 IPv4 和 IPv6 非终止操作的子集:
count counter-namelogport-mirrorsample
服务筛选器不支持该 操作。next