防火墙过滤器匹配条件和操作（PTX 系列路由器）

address address [ except ]

匹配源地址或目标地址字段，除非包含该 except 选项。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

destination-address address [ except ]

匹配目标地址字段，除非包含该 except 选项。

不能在同一术语中同时指定两者 address 和 destination-address 匹配条件。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

destination-port number

匹配 UDP 或 TCP 目标端口字段。您还必须在同一术语中配置 protocol udp or protocol tcp match 语句，以指定端口上使用的协议。

不能在同一术语中同时 port 指定 和 destination-port 匹配条件。

要代替数值，可以指定以下文本同义词之一（还会列出端口号）：afs（1483）， bgp （179）， biff （512）， bootpc （68）， bootps （67）， cmd （514）， cvspserver （2401）， dhcp （67）， domain （53）， eklogin （2105）， ekshell （2106）， exec （512）， finger （79）， ftp （21）， ftp-data （20）， http （80）， https （443）， ident （113）， imap （143）， kerberos-sec （88）， klogin （543）， kpasswd （761）， krb-prop （754）， krbupdate （760）， kshell （544）， ldap （389）， ldp （646）， login （513）， mobileip-agent （434）， mobilip-mn （435）， msdp （639）， netbios-dgm （138）， netbios-ns （137）， netbios-ssn （139）， nfsd （2049）， nntp （119）， ntalk （518），ntp （123）， pop3 （110）， pptp （1723）， printer （515）， radacct （1813）， radius （1812）， rip （520）， rkinit （2108）， smtp （25）， snmp （161）， snmptrap （162）， snpp （444）， socks （1080）， ssh （22）， sunrpc （111）， syslog （514）， tacacs （49）， （65）， talk （517）， telnet （23）， tftp （69）， timedtacacs-ds （525）， who （513） 或 xdmcp （177）。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

destination-port-except number

不匹配 UDP 或 TCP 目标端口字段。有关详细信息，请参阅 destination-port 匹配条件。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

destination-prefix-list name [ except ]

匹配列表中的目标前缀，除非包含该 except 选项。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

dscp number

匹配差异服务代码点 （DSCP）。DiffServ 协议在 IP 报头中使用服务类型 （ToS） 字节。此字节中最重要的 6 位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

代替数值，您可以指定以下文本同义词之一（字段值也会列出）：

• be- 尽力而为（默认）

• ef (46)— 如 RFC 3246“ 加速转发 PHB”中所定义。

• af11 (10)、 af12 (12)、 af13 (14);

  af21 (18)、 af22 (20)、 af23 (22);

  af31 (26)、 af32 (28)、 af33 (30);

  af41 (34)、 af42 (36)、 af43 (38)

  这四个类，每个类有三个丢弃优先级，总共 12 个代码点，在 RFC 2597 保证 转发 PHB 中定义。

• cs0、 cs1、 cs2、 cs3cs4cs5cs6cs7cs5

IPv4 （inet） 和 IPv6 （inet6） 接口。

dscp-except number

DSCP 编号不匹配。有关详细信息，请参阅 dscp 匹配条件。

IPv4 （inet） 和 IPv6 （inet6） 接口。

first-fragment

如果数据包是分段数据包的第一个分段，则匹配。如果数据包是分段数据包的尾随片段，则不匹配。分片数据包的第一个分片的分片偏移值为 0。

此匹配条件是位字段匹配条件 fragment-offset 0 匹配条件的别名。

要匹配第一个片段和尾随片段，您可以使用两个指定不同匹配条件的术语：first-fragment 和 is-fragment。

IPv4 （inet） 接口。

forwarding-class class

将数据包分类为以下默认转发类之一或用户定义的转发类：

• best-effort

• fcoe

• network-control

• no-loss

IPv4 （inet）、IPv6 （inet6） 和 MPLS 接口。

forwarding-class-except class

与数据包的转发类不匹配。有关详细信息，请参阅 forwarding-class 匹配条件。

IPv4 （inet）、IPv6 （inet6） 和 MPLS 接口。

fragment-flags number

匹配 IP 报头中的三位 IP 分段标志字段。

要代替数值字段值，您可以指定以下关键字之一（还会列出字段值）：dont-（0x4）、 more-s （0x2） 或 reserved （0x8）。

IPv4 （inet） 接口。

fragment-offset value

匹配 IP 报头中的 13 位片段偏移量字段。该值是发往数据片段的整个数据报消息中的偏移量（以 8 字节为单位）。指定一个数值、一个值范围或一组值。偏移值 为 表示 0 分片数据包的第一个分片。

first-fragment匹配条件是匹配条件的fragment-offset 0别名。

要匹配第一个片段和尾随片段，可以使用两个指定不同匹配条件的术语 （first-fragment 和 is-fragment）。

IPv4 （inet） 接口。

fragment-offset-except number

不匹配 13 位片段偏移量字段。

IPv4 （inet） 接口。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件，我们建议您在同一术语中也配置 next-header icmp 或 next-header icmp6 匹配条件。

如果配置此匹配条件，则还必须在同一术语中配置 icmp-type message-type 匹配条件。ICMP 消息代码提供比 ICMP 消息类型更具体的信息，但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

要代替数值，您可以指定以下文本同义词之一（还会列出字段值）。关键字按与其关联的 ICMP 类型分组：

• 参数问题：ip-header-bad（0）、 required-option-missing （1）

• 重定向：redirect-for-host（1）、 redirect-for-network （0）、 redirect-for-tos-and-host （3）、 redirect-for-tos-and-net （2）

• 超过时间：ttl-eq-zero-during-reassembly（1）、 ttl-eq-zero-during-transit （0）

• 遥 不可 及：communication-prohibited-by-filtering（13）， destination-host-prohibited （10）， destination-host-unknown （7）， destination-network-prohibited （9）， destination-network-unknown （6）， fragmentation-needed （4）， host-precedence-violation （14）， host-unreachable （1）， host-unreachable-for-TOS （12）， network-unreachable （0）， network-unreachable-for-TOS （11）， port-unreachable （3）， precedence-cutoff-in-effect （15）， protocol-unreachable （2）， source-host-isolated （8）， source-route-failed （5）

IPv4 （inet） 和 IPv6 （inet6） 接口。

icmp-code-except message-code

不匹配 ICMP 消息代码字段。有关详细信息，请参阅 icmp-code 匹配条件。

IPv4 （inet） 和 IPv6 （inet6） 接口。

icmp-type number

匹配 ICMP 消息类型字段。您还必须在同一术语中将 或 配置为 icmp icmpv6 protocol next-header 匹配类型。

代替数值，您可以指定以下文本同义词之一（字段值也会列出）：echo-reply（0）、 echo-request （8）、 info-reply （16）、 info-request （15）、 mask-request （17）、 mask-reply （18）、 parameter-problem （12）、 redirect （5）、 router-advertisement （9）、 router-solicit （10）、 source-quench （4）、 time-exceeded （11）、 timestamp （13）、 timestamp-reply （14）或 unreachable（3）。

另 icmp-code variable请参阅。

IPv4 （inet） 和 IPv6 （inet6） 接口。

icmp-type-except message-type

不匹配 ICMP 消息类型字段。有关详细信息，请参阅 icmp-type 匹配条件。

IPv4 （inet） 和 IPv6 （inet6） 接口。

interface interface-name

对于入口过滤器，请匹配接收数据包的接口。

对于出口过滤器，请匹配发送数据包的接口。

firewall
  filter core-protect {
            term Telnet {
                from {
                    protocol tcp;
                    destination-port telnet;
                    interface em0.0;
                }
                then accept;
            }
  }
}

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

interface-except number

与接收数据包的逻辑接口不匹配。有关详细信息，请参阅 interface 匹配条件。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

is-fragment

如果数据包是分段数据包的尾随分段，则匹配。不匹配分段数据包的第一个分段。

对于运行 Junos OS 演化版的PTX10003路由器，所有分段数据包（包括分段数据包的第一个分段）都将在包含“is-fragment”匹配的任何防火墙过滤器术语上进行匹配。

IPv4 （inet） 接口。

loss-priority level

匹配丢包优先级 （PLP）。

指定单个级别或多个级别：low、 medium-low、 medium-high或 high。

IPv4 （inet）、IPv6 （inet6） 和 MPLS 接口。

loss-priority-except level

与 PLP 级别不匹配。有关详细信息，请参阅 loss-priority 匹配条件。

IPv4 （inet）、IPv6 （inet6） 和 MPLS 接口。

next-header header-type

匹配数据包中的第一个 8 位下一个标头字段。

代替数值，您可以指定以下文本同义词之一（字段值也会列出）：ah（51）、 dstops （60）、 egp （8）、 esp （50）、 fragment （44）、 gre （47）、 hop-by-hop （0）、 icmp （1）、 icmp6 （58）、（58）、 igmpicmpv6 （2）、 ipip （4）、 ipv6 （41）、 mobility （135）、 no-next-header （59）、（89）、 pimospf （103）、（43）、 rsvprouting （46）、 sctp （132）、 tcp （6）、 udp  （17）或vrrp（112）。

IPv6 （inet6） 接口。

next-header-except header-type

与标识 IPv6 报头和有效负载之间的报头类型的 8 位“下一个报头”字段不匹配。有关详情，请参阅 next-header 匹配类型。

IPv6 （inet6） 接口

packet-length bytes

匹配收到的数据包的长度（以字节为单位）。长度仅指 IP 数据包，包括数据包标头，不包括任何第 2 层封装开销。您还可以指定要匹配的值范围。

IPv4 （inet） 和 IPv6 （inet6） 接口。

packet-length-except bytes

与收到的数据包的长度不匹配（以字节为单位）。有关详情，请参阅 packet-length 匹配类型。

IPv4 （inet） 和 IPv6 （inet6） 接口。

port number

匹配 UDP 或 TCP 源或目标端口字段。您还必须在同一术语中配置 protocol udp or protocol tcp match 语句，以指定端口上使用的协议。

不能在同一期限内配置 destination-port 匹配条件或 source-port 匹配条件。

要代替数值，可以指定 下 destination-port列出的文本同义词之一。

IPv4 （inet） 和 IPv6 （inet6） 接口。

port-except number

与源或目标 UDP 或 TCP 端口字段不匹配。有关详细信息，请参阅 port 匹配条件。

IPv4 （inet） 和 IPv6 （inet6） 接口。

precedence ip-precedence-value

匹配 IP 优先级字段。

要代替数值字段值，您可以指定以下文本同义词之一（还会列出字段值）：critical-ecp（0xa0）、 flash （0x60）、 flash-override （0x80）、 immediate （0x40）、 internet-control （0xc0）、 net-control （0xe0）、 priority （0x20）或 routine（0x00）。可以十六进制、二进制或十进制形式指定优先级。

IPv4 （inet） 接口。

precedence-except ip-precedence-value

与 IP 优先级字段不匹配。

IPv4 （inet） 接口。

protocol number

匹配 IPv4 协议类型字段。代替数值，可以指定以下文本同义词之一（还会列出数值）：

hop-by-hop (0)，icmp (1) ， ， igmp (2)， ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6sctp (132)

IPv4 （inet） 接口。

protocol-except number

不匹配 IP 协议类型字段。代替数值，您可以指定以下文本同义词之一（字段值也会列出）：ah（51）、 dstopts （60）、 egp （8）、 esp （50）、 fragment （44）、 gre （47）、 hop-by-hop （0）、 icmp （1）、 icmp6 （58）、（58）、 igmpicmpv6 （2）、 ipip （4）、 ipv6 （41）、 ospf （89）、 pim （103）、 rsvp （46）、 sctp （132）、 tcp （6）、 udp  （17）或vrrp（112）。

IPv4 （inet） 接口。

source-address ip-address

IP 源地址字段，即发送数据包的节点的地址。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

source-address address [ except ]

匹配发送数据包的源节点的 IP 地址，除非包含该 except 选项。如果包含该选项，则不要与发送数据包的源节点的 IP 地址匹配。

不能在同一术语中同时 address 指定 和 source-address 匹配条件。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

source-port value

匹配 TCP 或 UDP 源端口。您还必须在同一术语中配置 protocol udp or protocol tcp match 语句。

要代替数值，您可以指定与匹配条件一起 destination-port number 列出的文本同义词之一。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

source-port-except number

不匹配 UDP 或 TCP 源端口字段。有关详细信息，请参阅 source-port 匹配条件。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

source-prefix-list prefix-list

IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

tcp-flags value

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定单个位字段，可以指定以下文本同义词或十六进制值：

• fin（0x01）

• syn（0x02）

• rst（0x04）

• push（0x08）

• ack（0x10）

• urgent（0x20）

在 TCP 会话中，SYN 标志仅在发送的初始数据包中设置，而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

如果配置此匹配条件，我们建议您也在同一术语中配置 protocol tcp match 语句，以指定端口上使用 TCP 协议。

仅对于 IPv4 流量，此匹配条件不会隐式检查数据报是否包含分段数据包的第一个分段。要仅为 IPv4 流量检查此条件，请使用 first-fragment 匹配条件。

IPv4 （inet） 接口和 IPv6 （inet6） 接口。

traffic-class value

8 位字段，用于指定数据包的服务等级 （CoS） 优先级。信息流类字段用于指定 DiffServ 代码点 （DSCP） 值。此字段以前用作 IPv4 中的服务类型 （ToS） 字段，并且此字段的语义（例如 DSCP）与 IPv4 的语义相同。

您可以指定以下文本同义词之一（还会列出字段值）：

af11 (10)， af12 (12)， af13 (14)， af21 (18)， af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

IPv6 （inet6） 接口。

traffic-class-except number

不匹配指定数据包 CoS 优先级的 8 位字段。有关详细信息，请参阅 traffic-class 匹配说明。

IPv6 （inet6） 接口。

ttl number

匹配 IPv4 或 IPv6 生存时间编号。指定 TTL 值或 TTL 值范围。对于 number，可以从 中255指定一个或多个值0。

IPv4 （inet） 和 IPv6 （inet6） 接口。

ttl-except number

在 IPv4 或 IPv6 TTL 号码上不匹配。有关详细信息，请参阅 ttl 匹配条件。

IPv4 （inet） 和 IPv6 （inet6） 接口。

vxlan

为 VNI 指定数值或数值范围。在入口接口上应用过滤器。

• vni vni-value- 匹配 VNI。

• vni-except vni-value- 不匹配 VNI。

IPv4 （inet） 接口。

accept

接受数据包。这是与术语匹配的数据包的默认操作。

discard

以静默方式丢弃数据包，而不发送互联网控制消息协议 （ICMP） 消息。

count counter-name

计算与术语匹配的数据包数。

forwarding-class class

将数据包分类为以下默认转发类之一或用户定义的转发类：

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

在路由引擎中记录数据包的标头信息。要查看此信息，请输入 show firewall log 操作模式命令。

loss-priority level

设置丢包优先级 （PLP）。

policer policer-name

将数据包发送到监管器（以便应用速率限制）。该PTX10003支持双色、单速率三色 （srTCM） 和双速率三色标记 （trTCM） 监管器。

redirect instance-name

（仅在运行 Junos Evolved OS 22.1R1 版的 PTX10004、PTX10008 和 PTX10016 设备上受支持。）

将数据包发送到 P4 控制器，如在 Junos 层次结构级别定义的 [services inline-monitoring instance instance-name controller p4] 实例中指定的那样。

reject message-type

丢弃数据包并发送“目标无法访问”ICMPv4 或 ICMPv6 消息（类型 3）。要记录被拒绝的数据包，请配置 syslog 操作修改器。

您可以指定以下消息类型之一：administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, .

如果未指定消息类型，那么将发送 ICMP 通知“目标无法访问”，并附带默认消息“已管理性过滤的通信”。

syslog

记录此数据包的警报。

routing-instance instance-name

将匹配的数据包转发到虚拟路由实例。数据包可以转发到默认实例。

在和 上 virtual-router 受支持 forwarding instance-types.

address address [ except ]

apply-groups

apply-groups-except

destination-address address [ except ]

destination-port number

destination-port-except number

destination-prefix-list prefix-list-name [ except ]

icmp-code message-code

icmp-code-except message-code

message-type

icmp-type-except message-type

next

next-header header-type

next-header-except header-type

port number

port-except number

port-mirror instance-name

port-mirror-instance instance-name

prefix-list prefix-list-name [ except ]

sample

source-address address [ except ]

source-port number

source-port-except number

source-prefix-list name [ except ]

accept

接受数据包。这是与术语匹配的数据包的默认操作。

discard

以静默方式丢弃数据包，而不发送互联网控制消息协议 （ICMP） 消息。

redirect instance-name

（仅在运行 Junos Evolved OS 22.1R1 版的 PTX10004、PTX10008 和 PTX10016 设备上受支持。）

将数据包发送到 P4 控制器，如在 Junos 层次结构的 [services inline-monitoring instance instance-name 控制器 p4] 级别定义的实例中指定的那样。

count counter-name

计算与术语匹配的数据包数。

forwarding-class class

将数据包分类为以下默认转发类之一或用户定义的转发类：

• best-effort

• fcoe

• mcast

• network-control

• no-loss

loss-priority (low | medium-low | medium-high | high)

设置丢包优先级 （PLP）。