Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器匹配条件和操作(ACX 系列路由器)

在 ACX 系列通用城域网路由器上,您可以配置防火墙过滤器以过滤数据包,并对与过滤器匹配的数据包执行操作。指定用于过滤数据包的匹配条件特定于要过滤的信息流类型。

版本为 ACX6360-OR 路由器的层级不支持具有 IPv6 firewall family inet6 filter name 匹配条件的Junos OS 19.1R1。

注:

在 ACX 系列路由器上,出口流量(出局过滤器)的过滤器只能应用于防火墙过滤器的特定于接口的实例。

防火墙过滤器匹配 ACX 系列路由器上的条件和操作概述

表 1介绍了可为其配置标准无状态防火墙过滤器的信息流类型。

表 1: 标准防火墙过滤器按协议系列为 ACX 系列路由器匹配条件

流量类型

指定匹配条件的层次结构级别

协议无关

[edit firewall family any filter filter-name term term-name]

ACX 系列路由器上的此信息流类型不支持匹配条件。

IPv4

[edit firewall family inet filter filter-name term term-name

有关匹配条件的完整列表,请参阅IPv4 流量的匹配条件(ACX 系列路由器)

MPLS

[edit firewall family mpls filter filter-name term term-name]

有关匹配条件的完整列表,请参阅MPLS 流量(ACX 系列路由器)的匹配条件

2 层 CCC

[edit firewall family ccc filter filter-name term term-name]

ACX 系列路由器上的此信息流类型不支持匹配条件。

桥接

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name](仅适用于 ACX5048 和 ACX5096 路由器。)

在 ACX5448 路由器上,可根据外部 tcam 的可用性来扩展以下系列过滤器:

  • 产品ethernet-switching

  • 产品ccc

  • 产品inet

  • 产品inet6

  • 产品mpls

  • 产品vpls

在具有then标准无状态防火墙过滤器术语的语句下,您可以指定要对符合此术语的数据包执行的操作。

表 2汇总了可在标准无状态防火墙过滤器术语中指定的操作类型。

表 2: ACX 系列路由器的标准防火墙过滤器操作类别

操作类型

Description

评论

终止

停止特定数据包对防火墙过滤器的所有评估。路由器执行指定的操作,不会使用其他术语来检查数据包。

您只能在标准防火墙过滤器中指定一个终止操作。但是,您可以在一个术语中为一个或多个nonterminating 操作指定一个终止操作。例如,在一个术语中,您可以使用acceptcount and syslog指定。

请参阅终止操作(ACX 系列路由器)

Nonterminating

在数据包上执行其他功能(例如 incriminating 计数器、记录有关数据包标头的信息、采样数据包数据或使用系统日志功能将信息发送到远程主机),但任何附加术语都用于检查数据包。

请参阅Nonterminating 操作(ACX 系列路由器)

网桥家族防火墙过滤器(ACX 系列路由器)的匹配条件

在 ACX 系列路由器上桥接家庭防火墙过滤器

桥接家族防火墙过滤器可在 ACX 系列路由器上的采用 PER-IFL 系列级别上配置。桥接系列过滤器可用于根据支持的 L2/Layer3 字段匹配 L2 桥接流并采取防火墙操作。ACX 系列路由器上桥接防火墙过滤器支持的最大术语数量为124。

表 3显示桥接系列过滤器支持的匹配条件。

表 3: 桥接家族防火墙过滤器符合 ACX 系列路由器的条件

匹配条件

Description

apply-groups

设置要从中继承配置数据的组

应用-组-除外

设置哪些组将不广播配置数据

目标-mac 地址

将目标设置 MAC 地址

目标端口

匹配 TCP/UDP 目标端口

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

dscp

匹配差异服务(DiffServ)代码点

ether 类型

匹配以太网类型

icmp-代码

匹配 ICMP 消息代码

icmp 类型

匹配 ICMP 消息类型

接口组

匹配接口组

ip-目标地址

匹配 IP 目标地址

ip 优先级

匹配 IP 优先级值

ip 协议

匹配 IP 协议类型

ip-源地址

匹配 IP 源地址

learn-vlan-1p-priority

匹配学习 802.1 p VLAN 优先级

学习-vlan-dei

匹配用户 VLAN ID DEI 位

学习-vlan id

匹配接受那么优质 VLAN ID

源 mac 地址

设置源 MAC 地址

source-prefix-list

匹配命名列表中的 IP 源前缀。

源端口

匹配 TCP/UDP 源端口

user-vlan-1p-priority

匹配用户 802.1 p VLAN 优先级

用户 vlan id

匹配用户 VLAN ID

vlan-ether 类型

匹配 VLAN 以太网类型

表 4显示了支持的操作字段。

表 4: 桥接族防火墙过滤操作字段,用于 ACX 系列路由器

操作字段

Description

接受

接受数据包

数量

统计命名计数器中的数据包

discard

丢弃数据包

转发类

将数据包分类为转发类

丢失优先级

数据包的丢失优先级

日志

将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可通过在命令行界面(CLI)发出 show 防火墙 log 命令来访问这些信息。

策略程序

用于速率限制流量的监管器的名称

syslog

将数据包记录到系统日志文件。

三色监管器

使用三 colo-监管器对数据包进行警察

注:

桥接家族防火墙过滤器可作为第2层接口上的输出过滤器应用。当第2层接口位于使用该vlan-id语句配置的网桥域上时,ACX 系列路由器可使用桥接系列防火墙过滤器中指定的用户 vlan id 匹配来匹配数据包的外部 vlan。

符合 CCC 防火墙系列过滤器(ACX 系列路由器)的条件

符合 CCC 系列防火墙过滤器的条件

在 ACX 系列路由器上,您可以为电路交叉连接(CCC)信息流(系列 CCC)的匹配条件配置标准防火墙过滤器。

表 5介绍了可在[edit firewall family ccc filter filter-name term term-name]层次结构级别配置的匹配条件。

表 5: CCC 系列防火墙过滤器符合 ACX 系列路由器的条件

字段

Description

destination-mac-address

目标 MAC 地址

destination-port

匹配 TCP/UDP 目标端口

dscp

匹配差异服务(DiffServ)代码点

icmp-code

匹配 ICMP 消息代码

icmp-type

匹配 ICMP 消息类型

ip-destination-address

匹配目标 IP 地址

ip-precedence

匹配 IP 优先级值

ip-protocol

匹配 IP 协议类型

ip-source-address

匹配源 IP 地址

learn-vlan-1p-priority

匹配学习 802.1 p VLAN 优先级

source-mac-address

源 MAC 地址

source-port

匹配 TCP/UDP 源端口

user-vlan-1p-priority

匹配用户 802.1 p VLAN 优先级

符合 IPv4 流量的条件(ACX 系列路由器)

在 ACX 系列路由器上,您可以为 IP 版本 4 (IPv4) 信息流 ( ) 配置标准无状态防火墙过滤器,其中介绍了您可以在层次结构级别配置的匹配条件。 family inet表 6[edit firewall family inet filter filter-name term term-name from]

表 6: ACX 系列路由器上的 IPv4 流量的防火墙过滤器匹配条件

匹配条件

Description

destination-address address

匹配 IPv4 目标地址字段。

注:

在 ACX 系列路由器上,只能指定一个目标地址。不支持 IPv4 目标地址列表。

destination-port number

与 UDP 或 TCP 目标端口字段匹配。

如果配置此匹配条件,我们建议您也在同一术语中protocol udp配置protocol tcp或匹配语句,以指定要在端口上使用的协议。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(67)、(514)、(2401)、(67)、(53)、(2105)、(2106)、(512)、(79)、(21)、(20)、(80), cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、(389)、(646)、(513)、(434)、(435)、(639) identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdp (639) netbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)(2108) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtp 5)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、(513)或 snmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp (177)。

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

dscp number

匹配差异服务代码点(DSCP)。DiffServ 协议使用 IP 标头中的服务类型(ToS)字节。此字节最重大的 6 位构成 DSCP。有关详细信息,请参阅了解行为聚合分类器如何区分可信流量

您可以指定一个从0到63的数值。要以十六进制形式指定值,请将0x 用作前缀。要以二进制格式指定值,请将 b 包含为前缀。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

  • RFC 3246, 加速转发 PHB(单跳行为),定义一个代码点:ef(46).

  • RFC 2597,保证转发 PHB组 ,定义了 4 个类,每个类有 3 个丢弃优先级,总共 12 个代码点:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

fragment-flags number

(仅入口)匹配 IP 标头中的三位 IP 分段标志字段。

在数字字段值的位置,您可以指定以下关键字之一(也列出了这些字段值):dont-fragmentmore-fragments(0x4)、(0x2) reserved 或 (0x8)。

icmp-code number

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中protocol icmp配置匹配条件。

如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip-header-badrequired-option-missing(0),(1)

  • redirect-for-hostredirect-for-networkredirect-for-tos-and-host (1)、(0)、(3)、(2) redirect-for-tos-and-net

  • 已超过时间:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • 到达communication-prohibited-by-filteringdestination-host-prohibiteddestination-host-unknowndestination-network-prohibiteddestination-network-unknown (13)、(10)、(7)、(9)、(6)、(4)、(14)、(1)、(12)、(0)、(11)、(3)、(15)、(2)、(8)、5) fragmentation-neededhost-precedence-violationhost-unreachablehost-unreachable-for-TOSnetwork-unreachablenetwork-unreachable-for-TOSport-unreachableprecedence-cutoff-in-effectprotocol-unreachablesource-host-isolatedsource-route-failed

icmp-type number

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您同时在同一术语中protocol icmp配置匹配条件。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):echo-replyecho-requestinfo-replyinfo-requestmask-request (0)、(8)、(16)、(15)、(17)、(18)、(12)、(5)、(9)、(10)、(4)、(11)、(13)、(14) mask-replyparameter-problemredirectrouter-advertisementrouter-solicitsource-quenchtime-exceededtimestamptimestamp-replyunreachable (3)。

ip-options values

将 8 位 IP 选项字段(如果存在)与指定值进行匹配。

ACX 系列路由器仅支持ip-options_any match 条件,确保数据包发送到数据包转发引擎进行处理。

注:

在 ACX 系列路由器上,只能指定一个 IP 选项值。不支持配置多个值。

precedence ip-precedence-field

匹配 IP 优先级字段。

在数字字段值的位置,您可以指定以下文本同义词之一(也列出了这些字段值):critical-ecpflashflash-overrideimmediate (0xa0)、(0x60)、(0x80)、(0x40)、(0xc0)、(0xe0)、(0x20) internet-controlnet-controlpriorityroutine (0x00)。您可以在十六进制、二进制或小数形式中指定优先级。

protocol number

匹配 IP 协议类型字段。为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):dstoptsegpespfragmentgre (60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、(2)、(4)、(41)、(89)、(103)、(46)、(132)、(6)、17)或 hop-by-hopicmpicmp6icmpv6igmpipipipv6no-next-headerospfpimroutingrsvpsctptcpudp vrrp (112)。

source-address address

匹配发送数据包的源节点的 IPv4 地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

如果为 IPv4 流量配置此匹配条件,则建议您同时在同一术语中protocol udp配置protocol tcp或匹配语句,以指定要在端口上使用的协议。

为了代替数值,您可以指定与destination-port number match 条件一起列出的其中一个文本同义词。

source-prefix-list

匹配命名列表中的 IP 源前缀。

tcp-flags value

匹配 TCP 标头的 8 位 TCP 标记字段中的一个或多个低顺序 6 位。

要指定单个位域,可指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而在初始数据包后发送的所有数据包中设置 ACK 标志。

您可以使用位字段逻辑运算符将多个标志组合在一起。

对于组合的位字段匹配条件,请参阅tcp-initial匹配条件。

如果配置此匹配条件,我们建议您同时在同一术语中protocol tcp配置 match 语句,以指定端口上正在使用 TCP 协议。

tcp-initial

与 TCP 连接的初始数据包匹配。这是的tcp-flags "(!ack & syn)"别名。

此情况不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您同时在同一术语中protocol tcp配置匹配条件。

ttl number

匹配 IPv4 生存时间数字。指定 TTL 值或 TTL 值范围。对于number,您可以指定一个或多个从2到255的值。

符合 IPv6 流量的条件(ACX 系列路由器)

您可以为互联网协议版本 6 (IPv6) 流量 ( ) 配置符合匹配条件的防火墙过滤器 。 介绍了您可以在层级配置 family inet6表 7[edit firewall family inet6 filter filter-name term term-name from] 匹配条件。

表 7: IPv6 流量的防火墙过滤器匹配条件

匹配条件

Description

destination-address address

匹配 IPv6 目标地址字段。

destination-port number

与 UDP 或 TCP 目标端口字段匹配。

不能在同一术语portdestination-port同时指定和匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(67)、(514)、(2401)、(67)、(53)、(2105)、(2106)、(512)、(79)、(21)、(20)、(80), cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、(389)、(646)、(513)、(434)、(435)、(639) identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdp (639) netbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)(2108) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtp 5)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、(513)或 snmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp (177)。

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

extension-headers header-type

通过识别下一个标头值来匹配数据包中包含的扩展标头类型。

在数据包的第一个片断中,过滤器在任何扩展标头类型中搜索匹配项。当找到带有片段标头的数据包(后续片段)时,过滤器仅搜索下一个扩展头类型的匹配,因为其他扩展标头的位置不可预测。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ah(51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)或routing (43)。

要匹配扩展标头选项的任何值,请使用文本同义词any

注:

只能匹配 IPv6 数据包的第一个扩展标头。超过一个 IPv6 扩展标头的 L4 标头将被匹配。

hop-limit hop-limit

将跃点限制匹配到指定的跳跃限制或跳跃限制集。对于hop-limit,指定单个值或从0到255的值范围。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。

如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip6-header-badunrecognized-next-header(0)、(1)、(2) unrecognized-option

  • 已超过时间:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • 目标-无法到达:administratively-prohibitedaddress-unreachableno-route-to-destination (1)、(3)、(0)、(4) port-unreachable

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-request (149)、(148)、(1)、(129)、(128)、(145)、(144)、(142)、(141)、(130)、(131)、(132)、(147)、(146) home-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisement (146) 136)、(135)、(140)、(139)、(2)、(4)、(100)、(101)、(200)、(201)、(137)、(134)、(138)、(133) neighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded (3)。

对于private-experimentation-201 (201),您还可以在方括号内指定值的范围。

next-header header-type

匹配数据包中的第一个8位头字段。在版本 next-header 和更高版本中Junos OS防火墙13.3R6条件。

对于 IPv6,在配置具有匹配条件的防火墙过滤器时,建议您使用 搜索词而不是 payload-protocolnext-header 术语。尽管两者都可以使用,但会提供更可靠的匹配条件,因为它使用实际有效负载协议来查找匹配,而只需接受 payload-protocol IPv6 标头之后第一个标头中显示的任何内容,而实际协议可能为,也可能不是实际协议。 next-header 此外,如果与 IPv6 一同使用,则加速过滤器块查找流程将绕过, next-header 并改为使用标准过滤器。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ahdstopsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、(2)、(4)、(4) grehop-by-hopicmpicmp6icmpv6igmpipipipv6 1)、(135)、(59)、(89)、(103)、(43)、(46)、(132)、(6)、(17) mobilityno-next-headerospfpimroutingrsvpsctptcpudp vrrp (112)。

注:

next-header icmp6next-header icmpv6匹配条件执行相同的功能。next-header icmp6是首选选项。next-header icmpv6在 Junos OS CLI 中隐藏。

source-address address

匹配发送数据包的源节点的 IPv6 地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一port术语source-port中指定和匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。

为了代替数值,您可以指定与destination-port number match 条件一起列出的其中一个文本同义词。

source-prefix-list

匹配命名列表中的 IP 源前缀。

tcp-flags flags

匹配 TCP 标头的 8 位 TCP 标记字段中的一个或多个低顺序 6 位。

要指定单个位域,可指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而在初始数据包后发送的所有数据包中设置 ACK 标志。

您可以使用位字段逻辑运算符将多个标志组合在一起。

有关组合的tcp-established位字段匹配条件,请参阅和tcp-initial匹配条件。

如果配置此匹配条件,我们建议您同时在同一术语中next-header tcp配置匹配条件,以指定端口上正在使用 TCP 协议。

tcp-initial

与 TCP 连接的初始数据包匹配。这是的tcp-flags "(!ack & syn)"文本同义词。

此情况不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您同时在同一术语中next-header tcp配置匹配条件。

traffic-class number

匹配8位字段,用于指定数据包的服务等级(CoS)优先级。

此字段以前用作 IPv4 中的服务类型(ToS)字段。

您可以从到063中指定一个数字值。要以十六进制形式指定值,请将0x其作为前缀包括在内。要以二进制格式指定值,请将b其包含为前缀。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

  • RFC 3246, 加速转发 PHB(单跳行为),定义一个代码点:ef(46).

  • RFC 2597,保证转发 PHB组 ,定义了 4 个类,每个类有 3 个丢弃优先级,总共 12 个代码点:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

注:

如果在匹配条件(、 或匹配条件)中指定 IPv6 地址,请使用 addressdestination-addresssource-address RFC 4291"IP 版本 6寻址架构"中介绍的文本表示语法。有关 IPv6 地址的详细信息,请参阅IPv6 概述受支持的 IPv6 标准

以下是防火墙系列 inet6 配置示例:

MPLS 流量的匹配条件(ACX 系列路由器)

在 ACX 系列路由器上,您可以使用 MPLS 信息流的匹配条件来配置标准无状态防火墙family mpls过滤器()。

注:

所有input-list filter-names接口output-list filter-names都支持mpls协议系列的防火墙过滤器的和语句,但管理接口和内部以太网接口(fxpem0)、回传接口(lo0)和 USB 调制解调器接口(umd)。

表 8介绍了可在[edit firewall family mpls filter filter-name term term-name from]层次结构级别配置的匹配条件。

表 8: ACX 系列路由器上的 MPLS 流量的标准防火墙过滤器匹配条件
匹配条件 说明

exp number

实验性(EXP)位编号或 MPLS 标头中的位号范围。对于number,您可以使用十进制、二进制或十六进制格式指定0到7之间的一个或多个值。

Nonterminating 操作(ACX 系列路由器)

标准无状态防火墙过滤器支持每个协议系列的不同 nonterminating 操作集。

注:

ACX 系列路由器不支持该next term操作。

ACX 系列路由器支持系列和家族的入口和出口方向上的日志和 inet 系统日志操作 bridge

ACX5448,ACX710 和 ACX7100 系列路由器不支持 、 、 和 出口 logsyslogrejectforwarding-classloss-priority 方向。在入口和出口方向上,路由器仅支持接口特定语义。

表 9介绍了可为标准防火墙过滤器术语配置的 nonterminating 操作。

表 9: ACX 系列路由器上的标准防火墙过滤器的 Nonterminating 操作

Nonterminating 操作

Description

协议系列

count counter-name

统计命名计数器中的数据包。

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

基于指定的转发类对数据包进行分类:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

注:

此操作仅在入口上受支持。

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面( show firewall log CLI)发出命令来访问这些信息。

注:

入口和出口支持此操作。族 inet6 不支持对出口的操作。

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

设置数据包丢失优先级(PLP)级别。

您也不能为three-color-policer相同的防火墙过滤器术语配置 nonterminating 操作。这两个 nonterminating 操作是相互排斥的。

您必须将该tri-color语句包含在[edit class-of-service]层次结构级别,才能提交具有指定四个级别中任意一个的 PLP 配置。如果未tri-color启用该语句,则只能配置highlow级别。这适用于所有协议系列。

有关该tri-color语句的信息,请参阅配置和应用三色标记监管器。有关使用行为聚合(BA)分类器设置所传入数据包的 PLP 级别的信息,请参阅了解转发类如何将类分配给输出队列

注:

此操作仅在入口上受支持。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

用于速率限制信息流的监管器的名称。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

端口-根据指定系列镜像数据包。

注:

此操作仅在入口上受支持。

ACX5048 和 ACX5096 路由器不支持 port-mirror

family inet

syslog

将数据包记录到系统日志文件。

注:

入口和出口支持此操作。族 inet6 不支持对出口的操作。

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

使用指定的单速率或两速率三色监管器对数据包进行警察。

您也不能为loss-priority相同的防火墙过滤器术语配置操作。这两个操作相互排斥。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

设置信息流级代码点

注:

此操作仅在入口上受支持。

family inet6

终止操作(ACX 系列路由器)

标准无状态防火墙过滤器为每个协议系列支持不同组的终止操作。

注:

ACX 系列路由器不支持该next term操作。

表 10介绍了可在标准防火墙过滤器术语中指定的终止操作。

表 10: 终止 ACX 系列路由器上标准防火墙过滤器的操作

终止操作

Description

协议

accept

接受数据包。

  • family any

  • family inet

  • family mpls

  • family ccc

discard

无需发送互联网控制消息协议(ICMP)消息就能以静默方式丢弃数据包。丢弃的数据包可用于日志记录和取样。

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

拒绝数据包并返回 ICMPv4 或 ICMPv6 消息:

  • 如果未指定消息类型,则默认destination-unreachable情况下返回消息。

  • 如果tcp-reset指定为消息类型, tcp-reset则仅当数据包为 TCP 数据包时才会返回。否则, administratively-prohibited 将返回值为 13 的消息。

  • 如果指定任何其他消息类型,则返回该消息。

注:
  • 如果配置samplesyslog操作,可对被拒绝的数据包进行抽样或记录。

  • 此操作仅在入口上受支持。

message-type选项可具有以下值之一:address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachableport-unreachableprecedence-cutoffprecedence-violationtcp-reset、、 source-host-isolated、、、、、 source-route-failed、、、、或。 protocol-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-route

family inet

routing-instance routing-instance-name

将数据包定向到指定的路由实例。

  • family inet