Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器匹配条件和操作(ACX 系列路由器)

在 ACX 系列通用城域网路由器上,您可以配置防火墙过滤器以过滤数据包并对与过滤器匹配的数据包执行操作。为过滤数据包而指定的匹配条件特定于要过滤的流量类型。

在 Junos OS 19.1R1 版的 ACX6360-OR 路由器上,具有 IPv6 匹配条件的防火墙过滤器在层次结构级别上不受支持 。firewall family inet6 filter name

注:

在 ACX 系列路由器上,现有流量过滤器(出口过滤器)只能应用于 防火墙过滤器的接口特定实例。

在 ACX 系列路由器上,当您修改应用的防火墙过滤器上的前缀或术语时,会看到 TCAM 错误。要修改防火墙过滤器中的前缀或术语,您需要删除现有防火墙过滤器,然后应用修改后的过滤器。

注:

在 ACX 系列路由器上,您无法在 IRB 接口上的出口方向应用防火墙过滤器。

ACX 系列路由器上的防火墙过滤器匹配条件和操作概述

表 1 介绍了可以为其配置标准无状态防火墙过滤器的流量类型。

表 1: ACX 系列路由器按协议家族划分的标准防火墙过滤器匹配条件

流量类型

指定匹配条件的层次结构级别

与协议无关

[edit firewall family any filter filter-name term term-name]

ACX 系列路由器上不支持此流量类型的匹配条件。

IPv4

[edit firewall family inet filter filter-name term term-name

有关匹配条件的完整列表,请参阅 IPv4 流量(ACX 系列路由器)的匹配条件

MPLS

[edit firewall family mpls filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 MPLS 流量(ACX 系列路由器)的匹配条件。MPLS 流量的匹配条件(ACX 系列路由器)

第 2 层 CCC

[edit firewall family ccc filter filter-name term term-name]

ACX 系列路由器上不支持此流量类型的匹配条件。

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (仅适用于 ACX5048 和 ACX5096 路由器。)

在ACX5448路由器上,可以根据外部 tcam 的可用性扩展以下入口系列过滤器:

  • 家庭 ethernet-switching

  • 家庭 ccc

  • 家庭 inet

  • 家庭 inet6

  • 家庭 mpls

  • 家庭 vpls

在标准无状态防火墙过滤器术语的语句下,您可以指定要对与术语匹配的数据包执行的操作。then

表 2 总结了可以在标准无状态防火墙过滤器术语中指定的操作类型。

表 2: ACX 系列路由器的标准防火墙过滤器操作类别

操作类型

Description

评论

终止

停止对特定数据包的防火墙过滤器的所有评估。路由器执行指定的操作,并且不会使用其他术语来检查数据包。

在标准防火墙过滤器中只能指定一个 终止操作 。但是,您可以在单个术语中指定一个或多个 非终止操作的终止 操作。例如,在术语中,可以使用 和 进行指定。acceptcountsyslog

请参阅终止操作(ACX 系列路由器)。终止操作(ACX 系列路由器)

非终止

对数据包执行其他功能(例如,指控计数器、记录有关数据包标头的信息、对数据包数据进行采样或使用系统日志功能向远程主机发送信息),但任何其他术语都用于检查数据包。

请参阅非终止操作(ACX 系列路由器)。非终止操作(ACX 系列路由器)

网桥系列防火墙过滤器(ACX 系列路由器)的匹配条件

ACX 系列路由器上的网桥系列防火墙过滤器

可以在 ACX 系列路由器上的 IFL 系列级别配置网桥系列防火墙过滤器。网桥系列过滤器用于根据支持的第 2 层/第 3 层字段匹配 L2 网桥流并执行防火墙操作。ACX 系列路由器上的网桥防火墙过滤器支持的最大术语数为 124。

注:

在 ACX5448 和 ACX7000 系列路由器上,您只需在第 2 层交换数据包上应用第 2 层防火墙过滤器,即使桥接域已将 IRB 连接到桥接域也是如此。如果数据包是第 3 层转发的,则必须在 IRB 上应用第 3 层过滤器。

注:

在 ACX 系列路由器上,您无法在 IRB 接口上的出口方向应用防火墙过滤器。

表 3 显示网桥族过滤器支持的匹配条件。

表 3: ACX 系列路由器的网桥系列防火墙过滤器匹配条件

匹配条件

Description

应用组

设置要从中继承配置数据的组

应用组除外

设置哪些组不会广播配置数据

目的地 MAC 地址

设置目标 MAC 地址

目标端口

匹配 TCP/UDP 目标端口

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

DSCP

匹配差异服务 (DiffServ) 代码点

醚型

匹配以太网类型

ICMP 代码

匹配 ICMP 消息代码

ICMP 类型

匹配 ICMP 消息类型

接口组

匹配接口组

IP 目标地址

匹配 IP 目标地址

IP 优先级

匹配 IP 优先级值

IP 协议

匹配 IP 协议类型

IP 源地址

匹配 IP 源地址

学习 VLAN-1P 优先级

匹配获知的 802.1p VLAN 优先级

learn-vlan-dei

匹配用户 VLAN ID DEI 位

学习 VLAN ID

匹配获知的 VLAN ID

源-MAC-地址

设置源 MAC 地址

source-prefix-list

匹配命名列表中的 IP 源前缀。

源端口

匹配 TCP/UDP 源端口

用户 VLAN-1P 优先级

匹配用户 802.1p VLAN 优先级

用户 VLAN ID

匹配用户 VLAN ID

VLAN-醚型

匹配 VLAN 以太网类型

表 4 显示支持的操作字段。

表 4: ACX 系列路由器的网桥系列防火墙过滤器操作字段

操作字段

Description

接受

接受数据包

count

对指定计数器中的数据包进行计数

discard

丢弃数据包

转发类

将数据包分类为转发类

丢失优先级

数据包的丢失优先级

日志

将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面 (CLI) 上发出 show firewall log 命令来访问此信息。

策略程序

用于对流量进行速率限制的监管器的名称

syslog

将数据包记录到系统日志文件中。

三色监管器

使用三联监管器对数据包进行监管

注:

网桥系列防火墙过滤器可用作第 2 层接口上的输出过滤器。当第 2 层接口位于配置了该语句的 网桥域上时,ACX 系列路由器可以使用网桥系列防火墙过滤器中指定的用户 VLAN-id 匹配来匹配数据包的外部 VLAN。vlan-id

CCC 防火墙系列过滤器(ACX 系列路由器)的匹配条件

CCC 系列防火墙过滤器的匹配条件

在 ACX 系列路由器上,您可以配置具有电路交叉连接 (CCC) 流量(系列 ccc)匹配条件的标准防火墙过滤器。

表 5 描述了可以在层次结构级别配置的 匹配条件。[edit firewall family ccc filter filter-name term term-name]

表 5: ACX 系列路由器的 CCC 系列防火墙过滤器匹配条件

领域

Description

destination-mac-address

目标 MAC 地址

destination-port

匹配 TCP/UDP 目标端口

dscp

匹配差异服务 (DiffServ) 代码点

icmp-code

匹配 ICMP 消息代码

icmp-type

匹配 ICMP 消息类型

ip-destination-address

匹配目标 IP 地址

ip-precedence

匹配 IP 优先级值

ip-protocol

匹配 IP 协议类型

ip-source-address

匹配源 IP 地址

learn-vlan-1p-priority

匹配获知的 802.1p VLAN 优先级

source-mac-address

源 MAC 地址

source-port

匹配 TCP/UDP 源端口

user-vlan-1p-priority

匹配用户 802.1p VLAN 优先级

IPv4 流量(ACX 系列路由器)的匹配条件

在 ACX 系列路由器上,您可以配置具有 IP 版本 4 (IPv4) 流量匹配条件的标准无状态防火墙过滤器 ()。 family inet 介绍了可在层次结构级别配置 的匹配条件。表 6[edit firewall family inet filter filter-name term term-name from]

表 6: ACX 系列路由器上 IPv4 流量的防火墙过滤器匹配条件

匹配条件

Description

destination-address address

匹配 IPv4 目标地址字段。

注:

在 ACX 系列路由器上,只能指定一个目标地址。不支持 IPv4 目标地址列表。

destination-port number

匹配 UDP 或 TCP 目标端口字段。

如果配置此匹配条件,我们建议您也在同一术语中配置 or match 语句,以指定端口上使用的协议。protocol udpprotocol tcp

要代替数值,可以指定以下文本同义词之一(还会列出端口号):(1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)、(25)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、 (513)或(177)。afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

dscp number

匹配差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

可以指定 0 到 63 之间的数值。要以十六进制形式指定值,请包含 0x 作为前缀。要以二进制形式指定值,请包含 b 作为前缀。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • RFC 3246 加速 转发 PHB(每跳行为)定义了一个代码点:ef(46).

  • RFC 2597( 保证转发 PHB 组)定义了 4 个类,每个类中有 3 个丢弃优先级,总共 12 个代码点:

    • (10)、(12)、 (14)af11af12af13

    • (18)、(20)、 (22)af21af22af23

    • (26)、(28)、 (30)af31af32af33

    • (34)、(36)、 (38)af41af42af43

fragment-flags number

(仅限入口)匹配 IP 报头中的三位 IP 分段标志字段。

要代替数值字段值,您可以指定以下关键字之一(还会列出字段值):(0x4)、 (0x2) 或 (0x8)。dont-fragmentmore-fragmentsreserved

icmp-code number

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您也在同一术语中配置 匹配条件。protocol icmp

如果配置此匹配条件,则还必须在同一术语中配置 匹配条件。icmp-type message-type ICMP 消息代码提供比 ICMP 消息类型更具体的信息,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数问题:(0)、 (1)ip-header-badrequired-option-missing

  • 重 定向:(1)、(0)、(3)、 (2)redirect-for-hostredirect-for-networkredirect-for-tos-and-hostredirect-for-tos-and-net

  • 超过时间:(1)、 (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

  • 遥 不可 及:(13), (10), (7), (9), (6), (4), (14), (1), (12), (0), (11), (3), (15), (2), (8), (5)communication-prohibited-by-filteringdestination-host-prohibiteddestination-host-unknowndestination-network-prohibiteddestination-network-unknownfragmentation-neededhost-precedence-violationhost-unreachablehost-unreachable-for-TOSnetwork-unreachablenetwork-unreachable-for-TOSport-unreachableprecedence-cutoff-in-effectprotocol-unreachablesource-host-isolatedsource-route-failed

icmp-type number

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您也在同一术语中配置 匹配条件。protocol icmp

代替数值,您可以指定以下文本同义词之一(字段值也会列出):(0)、(8)、(16)、(15)、(17)、(18)、(12)、(5)、(9)、(10)、(4)、(11)、(13)、 (14)或(3)。echo-replyecho-requestinfo-replyinfo-requestmask-requestmask-replyparameter-problemredirectrouter-advertisementrouter-solicitsource-quenchtime-exceededtimestamptimestamp-replyunreachable

ip-options values

将 8 位 IP 选项字段(如果存在)与指定值匹配。

ACX 系列路由器仅 支持匹配条件,这可确保将数据包发送到数据包转发引擎进行处理。ip-options_any

注:

在 ACX 系列路由器上,只能指定一个 IP 选项值。不支持配置多个值。

precedence ip-precedence-field

匹配 IP 优先级字段。

要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值):(0xa0)、 (0x60)、 (0x80)、 (0x40)、 (0xc0)、 (0xe0)、 (0x20)或 (0x00)。critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine 可以十六进制、二进制或十进制形式指定优先级。

protocol number

匹配 IP 协议类型字段。代替数值,您可以指定以下文本同义词之一(字段值也会列出):(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、(2)、(4)、 (41)、(89)、(103)、、(46)、(132)、(6)、 (17) 或 (112)。 dstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudp vrrp

source-address address

匹配发送数据包的源节点的 IPv4 地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

如果为 IPv4 流量配置此匹配条件,我们建议您还在同一术语中配置 or match 语句,以指定端口上使用的协议。protocol udpprotocol tcp

要代替数值,您可以指定与匹配条件一起 列出的文本同义词之一。destination-port number

source-prefix-list

匹配命名列表中的 IP 源前缀。

tcp-flags value

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定单个位字段,可以指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

有关组合位字段匹配条件,请参阅 匹配条件。tcp-initial

如果配置此匹配条件,我们建议您也在同一术语中配置 match 语句,以指定端口上使用 TCP 协议。protocol tcp

tcp-initial

匹配 TCP 连接的初始数据包。这是 的 别名。tcp-flags "(!ack & syn)"

此条件不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您也在同一术语中配置 匹配条件。protocol tcp

ttl number

匹配 IPv4 生存时间编号。指定 TTL 值或 TTL 值范围。对于 ,可以指定一个或多个介于 2 到 255 之间的值。number

IPv6 流量匹配条件(ACX 系列路由器)

您可以使用互联网协议版本 6 (IPv6) 流量匹配条件配置防火墙过滤器 ()。介绍了可在层次结构级别配置的匹配条件。 family inet6表 7[edit firewall family inet6 filter filter-name term term-name from]

表 7: IPv6 流量的防火墙过滤器匹配条件

匹配条件

Description

destination-address address

匹配 IPv6 目标地址字段。

destination-port number

匹配 UDP 或 TCP 目标端口字段。

不能在同一术语中同时 指定 和 匹配条件。portdestination-port

如果配置此匹配条件,我们建议您也在同一术语中配置 或 匹配条件,以指定端口上使用的协议。next-header udpnext-header tcp

要代替数值,可以指定以下文本同义词之一(还会列出端口号):(1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)、(25)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、 (513)或(177)。afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

extension-headers header-type

通过标识“下一个标头”值来匹配数据包中包含的扩展标头类型。

在数据包的第一个片段中,过滤器在任何扩展标头类型中搜索匹配项。当找到具有分片标头的数据包(后续分片)时,过滤器仅搜索下一个扩展标头类型的匹配项,因为其他扩展标头的位置不可预测。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):(51)、(60)、(50)、(44)、(0)、 (135) 或 (43)。ahdestinationespfragmenthop-by-hopmobilityrouting

要匹配扩展标头选项 的任何 值,请使用文本同义词 。any

注:

只能匹配 IPv6 数据包的第一个扩展标头。将匹配超出一个 IPv6 扩展报头的 L4 报头。

hop-limit hop-limit

将跃点限制与指定的跃点限制或一组跃点限制相匹配。对于 ,请指定单个值或 0 到 255 之间的值范围。hop-limit

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您在同一术语中也配置 或 匹配条件。next-header icmpnext-header icmp6

如果配置此匹配条件,则还必须在同一术语中配置 匹配条件。icmp-type message-type ICMP 消息代码提供比 ICMP 消息类型更具体的信息,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数问题:(0)、(1)、 (2)ip6-header-badunrecognized-next-headerunrecognized-option

  • 超过时间:(1)、 (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

  • 无法到达目的地:(1)、(3)、(0)、 (4)administratively-prohibitedaddress-unreachableno-route-to-destinationport-unreachable

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您在同一术语中也配置 或 匹配条件。next-header icmpnext-header icmp6

代替数值,您可以指定以下文本同义词之一(字段值也会列出):(149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133) 或 (3)。certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-requesthome-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

对于 (201),您还可以在方括号内指定值范围。private-experimentation-201

next-header header-type

匹配数据包中的第一个 8 位“下一个标头”字段。Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 。next-header

对于 IPv6,我们建议您 在配置具有匹配条件的防火墙过滤器时使用术语而不是 术语。payload-protocolnext-header 尽管可以使用其中任何一个,但提供了更可靠的匹配条件,因为它使用实际的有效负载协议来查找匹配项,而只是获取 IPv6 标头之后第一个标头中显示的任何内容,这可能是也可能不是实际协议。payload-protocolnext-header 此外,如果与 IPv6 一起使用,则会 绕过加速过滤器块查找过程,改用标准过滤器。next-header

代替数值,您可以指定以下文本同义词之一(字段值也会列出):(51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、(2)、(4)、(41)、(135)、(59)、(89)、(103)、(43)、 (46)、(132)、(6)、 (17)或(112)。ahdstopsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6mobilityno-next-headerospfpimroutingrsvpsctptcpudp vrrp

注:

和匹配条件执行相同的功能。 是首选选项。 隐藏在 Junos OS CLI 中。 next-header icmp6next-header icmpv6next-header icmp6next-header icmpv6

source-address address

匹配发送数据包的源节点的 IPv6 地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一术语中指定 和 匹配条件。portsource-port

如果配置此匹配条件,我们建议您也在同一术语中配置 或 匹配条件,以指定端口上使用的协议。next-header udpnext-header tcp

要代替数值,您可以指定与匹配条件一起 列出的文本同义词之一。destination-port number

source-prefix-list

匹配命名列表中的 IP 源前缀。

tcp-flags flags

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定单个位字段,可以指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

有关组合位字段匹配条件,请参阅 和 匹配条件。tcp-establishedtcp-initial

如果配置此匹配条件,建议您在同一术语中配置 匹配条件,以指定端口上使用TCP协议。next-header tcp

tcp-initial

匹配 TCP 连接的初始数据包。这是 的文本 同义词。tcp-flags "(!ack & syn)"

此条件不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您也在同一术语中配置 匹配条件。next-header tcp

traffic-class number

匹配指定数据包的服务等级 (CoS) 优先级的 8 位字段。

此字段以前用作 IPv4 中的服务类型 (ToS) 字段。

您可以指定 到 的 数值。063 若要以十六进制形式指定值,请包含 为前缀。0x 若要以二进制形式指定值,请包含 为前缀。b

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • RFC 3246 加速 转发 PHB(每跳行为)定义了一个代码点:ef(46).

  • RFC 2597( 保证转发 PHB 组)定义了 4 个类,每个类中有 3 个丢弃优先级,总共 12 个代码点:

    • (10)、(12)、 (14)af11af12af13

    • (18)、(20)、 (22)af21af22af23

    • (26)、(28)、 (30)af31af32af33

    • (34)、(36)、 (38)af41af42af43

注:

如果在匹配条件(、 或匹配条件)中指定 IPv6 地址,请使用 RFC 4291 IP 版本 6 寻址体系结构中所述的文本表示语法。addressdestination-addresssource-address 有关 IPv6 地址的详细信息,请参阅 IPv6 概述和支持的 IPv6 标准。https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html

以下是防火墙系列 inet6 配置的示例:

MPLS 流量的匹配条件(ACX 系列路由器)

在 ACX 系列路由器上,您可以配置具有 MPLS 流量匹配条件的标准无状态防火墙过滤器 ()。family mpls

注:

除管理接口和内部以太网接口 ( 或 )、环路接口 () 和 USB 调制解调器接口 () 外,所有接口都支持协议系列防火墙过滤器的 and 语句。input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd

描述了可以在层次结构级别配置的 匹配条件。表 8[edit firewall family mpls filter filter-name term term-name from]

表 8: ACX 系列路由器上 MPLS 流量的标准防火墙过滤器匹配条件
匹配条件 Description

exp number

MPLS 标头中的实验 (EXP) 位号或位号范围。对于 ,可以以十进制、二进制或十六进制格式指定一个或多个从 0 到 7 的值。number

非终止操作(ACX 系列路由器)

标准无状态防火墙过滤器支持每个协议系列的不同非终止操作集。

注:

ACX 系列路由器不支持该 操作。next term

ACX 系列路由器支持家族和家族入口和出口方向上的日志和系统日志操作。inetbridge

ACX5448,ACX710 和 ACX7100 系列路由器不支持出口方向的 、 、 和。logsyslogrejectforwarding-classloss-priority 在入口和出口方向,路由器仅支持接口特定的语义。

表 9 描述可以为标准防火墙过滤器术语配置的非终止操作。

表 9: ACX 系列路由器上标准防火墙过滤器的非终止操作

非终止操作

Description

协议族

count counter-name

对命名计数器中的数据包进行计数。

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

根据指定的转发类对数据包进行分类:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

注:

此操作仅在入口上受支持。

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面 (CLI) 发出命令来 访问此信息。show firewall log

注:

入口和出口支持此操作。家族 inet6 不支持对出口执行操作。

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

设置丢包优先级 (PLP) 级别。

您也不能为同一防火墙过滤器术语配置 非终止操作。three-color-policer 这两个非终止操作是互斥的。

您必须在层次结构级别包含该语句,才能使用指定的四个级别中的任何一个提交 PLP 配置。tri-color[edit class-of-service] 如果未启用该 语句,则只能配置 和 级别。tri-colorhighlow 这适用于所有协议家族。

有关该 语句的信息,请参阅 配置和应用 Tricolor 标记监管器。tri-colorConfiguring and Applying Tricolor Marking Policers 有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列。Understanding How Forwarding Classes Assign Classes to Output Queues

注:

此操作仅在入口上受支持。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

用于对流量进行速率限制的监管器的名称。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

根据指定的系列对数据包进行端口镜像。

注:

此操作仅在入口上受支持。

ACX5048 和 ACX5096 路由器不支持 。port-mirror

family inet

syslog

将数据包记录到系统日志文件中。

注:

入口和出口支持此操作。家族 inet6 不支持对出口执行操作。

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

使用指定的单速率或双速率三色监管器对数据包进行监管。

您也不能为同一防火墙过滤器术语配置 操作。loss-priority 这两个操作是互斥的。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

设置流量类代码点

注:

此操作仅在入口上受支持。

family inet6

终止操作(ACX 系列路由器)

标准无状态防火墙过滤器支持每个协议系列的不同终止操作集。

注:

ACX 系列路由器不支持该 操作。next term

表 10 描述可以在标准防火墙过滤器术语中指定的终止操作。

表 10: ACX 系列路由器上标准防火墙过滤器的终止操作

终止操作

Description

协议

accept

接受数据包。

  • family any

  • family inet

  • family mpls

  • family ccc

discard

以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。丢弃的数据包可用于日志记录和采样。

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

拒绝数据包并返回 ICMPv4 或 ICMPv6 消息:

  • 如果未指定消息类型,则缺省情况下返回一条 消息。destination-unreachable

  • 如果指定为消息类型,则仅当数据包是 TCP 数据包时才返回。tcp-resettcp-reset 否则, 将返回值为 13 的消息。administratively-prohibited

  • 如果指定了任何其他消息类型,则返回该消息。

注:
  • 如果配置 or 操作,则可以对被拒绝的数据包进行采样或记录。samplesyslog

  • 此操作仅在入口上受支持。

该 选项可以具有以下值之一:message-type 、 、 、 address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

family inet

routing-instance routing-instance-name

将数据包定向到指定的路由实例。

  • family inet