Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 或 IPv6 流量的服务过滤器匹配条件

服务过滤器仅支持 IPv4 和 IPv6 流量的无状态防火墙过滤器匹配条件的子集。 表 1 描述服务过滤器匹配条件。

表 1: IPv4 或 IPv6 流量的服务过滤器匹配条件

匹配条件

Description

协议族

address address

匹配 IP 源或目标地址字段。

  • family inet

  • family inet6

address address except

与 IP 源或目标地址字段不匹配。

  • family inet

  • family inet6

ah-spi spi-value

(M 系列路由器,M120 和 M320 除外)与 IPsec 身份验证标头 (AH) 安全参数索引 (SPI) 值匹配。

  • family inet

ah-spi-except spi-value

(M 系列路由器,M120 和 M320 除外)IPsec AH SPI 值不匹配。

  • family inet

destination-address address

匹配 IP 目标地址字段。

不能在同一术语中同时 指定 和 匹配条件。addressdestination-address

  • family inet

  • family inet6

destination-address address except

与 IP 目标地址字段不匹配。

不能在同一术语中同时 指定 和 匹配条件。addressdestination-address

  • family inet

  • family inet6

destination-port number

匹配 UDP 或 TCP 目标端口字段。

不能在同一术语中同时 指定 和 匹配条件。portdestination-port

如果为 IPv4 流量配置此匹配条件,我们建议您还在同一术语中配置 or match 语句,以指定端口上使用的协议。protocol udpprotocol tcp

如果为 IPv6 流量配置此匹配条件,我们建议您也在同一术语中配置 或 匹配条件,以指定端口上使用的协议。next-header udpnext-header tcp

要代替数值,可以指定以下文本同义词之一(还会列出端口号):(1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)、(25)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、 (513)或(177)。afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

  • family inet

  • family inet6

destination-port-except number

不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请参阅 匹配说明。destination-port

  • family inet

  • family inet6

destination-prefix-list name

匹配目标前缀列表。前缀列表在 ] 层次结构级别定义 。[edit policy-options prefix-list prefix-list-name

  • family inet

  • family inet6

esp-spi value

匹配 IPsec 封装安全有效负载 (ESP) SPI 值。指定单个值或值范围。可以十六进制、二进制或十进制形式指定 。value 若要以十六进制形式指定值,请包含 为前缀。0x 若要以二进制形式指定值,请包含 为前缀。b

  • family inet

  • family inet6

esp-spi-except value

与 IPsec ESP SPI 值或值范围不匹配。有关详细信息,请参阅 匹配条件。esp-spi

  • family inet

  • family inet6

first-fragment

如果数据包是分段数据包的第一个分段,则匹配。如果数据包是分段数据包的尾随片段,则不匹配。分片数据包的第一个分片的分片偏移值为 。0

此匹配条件是位字段匹配条件 匹配条件的别名。fragment-offset 0

要匹配第一个片段和尾随片段,您可以使用两个指定不同匹配条件的术语:first-fragmentis-fragment

  • family inet

forwarding-class

匹配以下一个或多个指定的数据包转发类:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • user-defined-name

有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列。Understanding How Forwarding Classes Assign Classes to Output Queues

  • family inet

  • family inet6

forwarding-class-except

不匹配以下一个或多个指定的数据包转发类:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • user-defined-name

  • family inet

  • family inet6

fragment-flags number

(仅限入口)匹配 IP 报头中的三位 IP 分段标志字段。

要代替数值字段值,您可以指定以下关键字之一(还会列出字段值):(0x4)、 (0x2) 或 (0x8)。dont-fragmentmore-fragmentsreserved

  • family inet

fragment-offset number

匹配 IP 报头中的 13 位片段偏移量字段。该值是发往数据片段的整个数据报消息中的偏移量(以 8 字节为单位)。指定一个数值、一个值范围或一组值。偏移值 为 表示 分片数据包的第一个分片。0

匹配条件是匹配条件的别名。first-fragmentfragment-offset 0

要匹配第一个片段和尾随片段,可以使用两个指定不同匹配条件的术语 ( 和 )。first-fragmentis-fragment

  • family inet

fragment-offset-except number

不匹配 13 位片段偏移量字段。

  • family inet

interface-group group-number

匹配接收数据包的接口组(由一个或多个逻辑接口组成的集合)。对于 ,指定一个从 到 的值 。group-number0255

有关配置接口组的信息,请参见 。过滤一组接口组上收到的数据包概述

  • family inet

  • family inet6

interface-group-except group-number

与接收数据包的接口组不匹配。有关详细信息,请参阅 匹配条件。interface-group

  • family inet

  • family inet6

ip-options values

将 8 位 IP 选项字段(如果存在)与指定的值或值列表匹配。

要代替数值,可以指定以下文本同义词之一(还会列出选项值):(131)、(7)、(148)、(130)、(136)、 (137) 或 (68)。loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

要匹配 IP 选项 的任何 值,请使用文本同义词 。any 要匹配多个值,请在方括号(“”和“”)内指定值列表。[] 要匹配一系列值,请使用值规范 。value1-value2 ]

例如,匹配条件匹配包含 、 或值或 0 到 147 之间的任何其他值的 IP 选项字段。ip-options [ 0-147 ]loose-source-routerecord-routesecurity 但是,此匹配条件在仅 包含值 (148) 的 IP 选项字段上不匹配。router-alert

对于大多数接口,指定 一个或多个 特定 IP 选项值(非 )匹配项的过滤器术语会导致数据包发送到路由引擎,以便内核可以解析数据包标头中的 IP 选项字段。ip-optionany

  • 对于指定一个或多个特定 IP 选项值匹配项的防火墙过滤器术语,除非还在同一术语中指定终止操作,否则不能指定 、 或非终止操作。ip-optioncountlogsyslogdiscard 此行为可防止对应用于路由器(或交换机)上传输接口的过滤器的数据包进行重复计数。

  • 如果出现系统瓶颈,内核上处理的数据包可能会被丢弃。要确保将匹配的数据包发送到数据包转发引擎(其中数据包处理在硬件中实现),请使用 匹配条件。ip-options any

MX 系列路由器和 EX 系列交换机上的 10 千兆以太网模块化端口集中器 (MPC)、60 千兆以太网 MPC、60 千兆队列以太网 MPC、60 千兆以太网增强型队列 MPC 能够解析 IPv4 数据包标头的 IP 选项字段。EX 系列交换机也支持此功能。对于在这些 MPC 上配置的接口,使用匹配条件匹配的所有数据包都将发送到数据包转发引擎进行处理。ip-options

family inet

ip-options-except values

不要将 IP 选项字段与指定的值或值列表匹配。有关指定 的详细信息 ,请参阅 匹配条件。valuesip-options

  • family inet

is-fragment

如果数据包是分段数据包的尾随分段,则匹配。不匹配分段数据包的第一个分段。

此匹配条件是位字段匹配条件 位的别名。fragment-offset 0 except

注:

要匹配第一个片段和尾随片段,可以使用两个指定不同匹配条件的术语 ( 和 )。first-fragmentis-fragment

  • family inet

loss-priority

匹配以下一个或多个指定的丢包优先级 (PLP) 级别:

  • low

  • medium-low

  • medium-high

  • high

计划程序将 PLP 与随机早期丢弃 (RED) 算法结合使用,以控制拥塞期间的数据包丢弃。有关 PLP 的信息,请参阅 通过为不同流量设置数据包丢失优先级来管理拥塞 和 基于多个数据包标头字段为数据包分配服务级别概述。Managing Congestion by Setting Packet Loss Priority for Different Traffic FlowsOverview of Assigning Service Levels to Packets Based on Multiple Packet Header Fields

  • family inet

  • family inet6

loss-priority-except

不匹配以下一个或多个指定的丢包优先级 (PLP) 级别:

  • low

  • medium-low

  • medium-high

  • high

  • family inet

  • family inet6

port number

匹配 UDP 或 TCP 源或目标端口字段。

如果配置此匹配条件,则无法在同一期限内配置 匹配条件或 匹配条件。destination-portsource-port

如果为 IPv4 流量配置此匹配条件,我们建议您还在同一术语中配置 or match 语句,以指定端口上使用的协议。protocol udpprotoco tcp

如果为 IPv6 流量配置此匹配条件,我们建议您也在同一术语中配置 或 匹配条件,以指定端口上使用的协议。next-header udpnext-header tcp

要代替数值,可以指定 下 列出的文本同义词之一。destination-port

  • family inet

  • family inet6

port-except number

不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息,请参阅 匹配条件。port

  • family inet

  • family inet6

prefix-list prefix-list-name

将源地址或目标地址字段的前缀与指定列表中的前缀匹配。前缀列表在 层次结构级别定义。[edit policy-options prefix-list prefix-list-name]

  • family inet

  • family inet6

protocol number

匹配 IP 协议类型字段。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):(51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、 (2)、(4)、(41)、(89)、(103)、(46)、(132)、(6)、 (17)或(112)。ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

  • family inet

protocol-except number

不匹配 IP 协议类型字段。有关详细信息,请参阅 匹配条件。protocol

  • family inet

source-address address

匹配 IP 源地址。

不能在同一术语中同时 指定 和 匹配条件。addresssource-address

  • family inet

  • family inet6

source-address address except

不匹配 IP 源地址。

不能在同一术语中同时 指定 和 匹配条件。addresssource-address

  • family inet

  • family inet6

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一术语中指定 和 匹配条件。portsource-port

如果为 IPv4 流量配置此匹配条件,我们建议您还在同一术语中配置 or match 语句,以指定端口上使用的协议。protocol udpprotocol tcp

如果为 IPv6 流量配置此匹配条件,我们建议您也在同一术语中配置 或 匹配条件,以指定端口上使用的协议。next-header udpnext-header tcp

要代替数值,您可以指定与匹配条件一起 列出的文本同义词之一。destination-port number

  • family inet

  • family inet6

source-port-except number

不匹配 UDP 或 TCP 源端口字段。有关详细信息,请参阅 匹配条件。source-port

  • family inet

  • family inet6

source-prefix-list name

匹配指定列表中的源前缀。指定在 ] 层次结构级别定义的 前缀列表的名称。[edit policy-options prefix-list prefix-list-name

  • family inet

  • family inet6

tcp-flags value

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定单个位字段,可以指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

有关组合位字段匹配条件,请参阅 和 匹配条件。tcp-establishedtcp-initial

如果为 IPv4 流量配置此匹配条件,我们建议您也在同一术语中配置 match 语句,以指定端口上使用 TCP 协议。protocol tcp

如果为 IPv6 流量配置此匹配条件,我们建议您也在同一术语中配置 匹配条件,以指定端口上使用 TCP 协议。next-header tcp

  • family inet

  • family inet6
注:

如果在匹配条件(、 或匹配条件)中指定 IPv6 地址,请使用 RFC 4291 IP 版本 6 寻址体系结构中所述的文本表示语法。addressdestination-addresssource-address 有关 IPv6 地址的详细信息,请参阅路由设备的 Junos OS 路由协议库中的“IPv6 概述”。https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/index.html

相关主题