Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)

限制、注意事项和支持信息

表 1: 限制、注意事项和支持信息

(QFX5100、QFX5110、QFX5200)在 IPv6 接口上使用基于过滤器的转发时,(入口方向)仅支持以下匹配条件:source-addressdestination-addresssource-prefix-listdestination-prefix-listhop-limiticmp-typesource-portdestination-port和 。next-header

(QFX5110)在层次结构下启用egress-to-ingress该选项时,仅accept支持 、 discardcount操作。[edit firewall]

(QFX5100, QFX5110, QFX5120, QFX5130-32CD, QFX5220, QFX5700)在 EVPN-VXLAN 环境中,仅支持以下匹配条件:source-addressdestination-addresssource-portdestination-portttlip-protocol、 和 。user-vlan-id

(QFX5100、QFX5110、QFX5200和QFX5120)您无法在 EVPN-VXLAN IRB 接口上的出口方向应用防火墙过滤器。

(QFX5700)您无法在环路接口上的出口方向应用防火墙过滤器。

(QFX5100、QFX5110)如果使用防火墙过滤器在 EVPN-VXLAN 环境中实施 MAC 过滤,请参阅 EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持 ,了解支持的匹配条件。

(QFX5100、QFX5110)对于应用于 VXLAN 的每个防火墙过滤器,您可以指定过滤第 2 层 (以太网) 数据包,也可以family inet指定family ethernet-switching过滤 IRB 接口。您无法在 IRB 接口上的出口方向应用防火墙过滤器。

(EX4100、EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210)在独立设备上将匹配条件与出口防火墙过滤器一起使用 interface 时,仅使用可用接口。使用不可用的接口将导致意外行为。

在不支持第 2 层功能的交换机上,请仅使用对 IPv4 和 IPv6 接口有效的匹配条件。

(QFX5120,EX4650)从 Junos 版本 21.4R1 开始,QFX5120 和 EX4650 上的 EVPN-VXLAN 环境支持以下匹配条件:gbp-src-tag,和 gbp-dst-tag

从 Junos OS 21.4R1 版开始,层次结构级别下 [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] 支持源端口范围优化和目标端口范围优化条件。这大大减少了TCAM空间的使用。在配置了源-端口-范围-优化和目标-端口-范围-优化匹配条件的QFX5100交换机中,最多可支持 24 个非连续源端口范围和目标-端口范围匹配条件。如果配置的非连续匹配条件超过 24 个,则可能会引发错误。

从 Junos 版本 22.4R1 开始,在受支持的 EX4100、EX4400、EX4650 和 QFX5120 系列交换机上的 EVPN-VXLAN 环境中的 GBP 标记支持以下匹配条件:ip-version ipv4ip-version ipv6mac-addressvlan-id+ interface vlan-id 组合和 interface

从 Junos 版本 23.2R1 开始,EX4100 系列、EX4400 系列、EX4650 系列、QFX5120-32C 和 QFX5120-48Y 交换机的策略实施支持新的 IPV4 和 IPv6 L4 匹配。

从 Junos OS 23.4R1 及更高版本开始, vlan-id vlan list 在受支持的 EX4100、EX4400、EX4650 和 QFX5120 系列交换机上的 EVPN-VXLAN 环境中支持 | vlan-rangeinterface interface-list 匹配条件。EX4100 交换机不支持基于 VLAN 和端口+VLAN 的 GBP。

从 Junos OS 24.4R1 版开始,arp-typearp-sender-addressarp-target-address将为可在层次结构中[edit firewall family ethernet-switching filter <name> term <name>]配置的 EX4100、EX4400、EX4650-48Y、QFX5120-48Y、QFX5120-32C、QFX5120-48T 和 QFX5120-48YM 平台添加了防火墙过滤器匹配条件。匹配条件可以应用于端口或 VLAN 入口防火墙过滤器。出口防火墙过滤器不支持匹配条件。 arp-sender-address EX2300 arp-target-address 、EX3400 和 EX4300-MP 平台不支持和匹配条件。

从 Junos OS 演化版 24.4R1 开始, vlan vlan ID 为 QFX5130-32CD、QFX5130-48C 和 QFX5700 平台添加了操作。要在这些平台上激活此操作配置文件,您必须应用配置 set system packet-forwarding-options firewall profiles actions ethernet-switching profile1 。您可以在端口和 VLAN 防火墙过滤器规则中配置该 vlan vlanID 操作。

防火墙过滤器匹配条件和操作(EX4100、EX4100-F、EX4100-H、EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210)

防火墙过滤器中的每个术语都由 匹配条件 和一个 操作组成。匹配条件是数据包必须包含才能被视为匹配的字段和值。您可以在 匹配语句中定义单个或多个匹配条件。您还可以不包含 match 语句,在这种情况下,术语将匹配所有数据包。

当数据包与过滤器匹配时,交换机将执行术语中指定的操作。此外,您还可以指定操作修饰符来对数据包进行计数、镜像、速率限制和分类。如果未为术语指定匹配条件,则交换机默认接受数据包。

  • 表 2 描述配置防火墙过滤器时可以指定的匹配条件。某些数字范围和位字段匹配条件允许您指定文本同义词。若要查看匹配条件的所有同义词的列表,请在语句中的适当位置键入 ?

  • 表 3 显示可以在术语中指定的操作。

  • 表 4 显示可用于对数据包进行计数、镜像、速率限制和分类的操作修饰符。

对于特定交换机上的匹配条件,以下限制适用:

表 2: 防火墙过滤器支持的匹配条件

匹配条件

Description

方向和接口

arp-type

ARP 请求数据包或 ARP 回复数据包。

出口和入口接口。

ARP 类型

ARP 请求数据包或 ARP 回复数据包。

入口端口和 VLAN

arp-sender-address

ARP 报头发件人 要匹配的 IPv4 地址

入口端口和 VLAN

arp-target-address

ARP 报头目标 要匹配的 IPv4 地址

入口端口和 VLAN

destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

destination-mac-address mac-address

数据包的目标介质访问控制 (MAC) 地址。

入口端口、VLAN 和 IPv4 (inet) 接口。

出口端口和 VLAN。

destination-port value

TCP 或 UDP 目标端口字段。通常,将此匹配项与 protocol match 语句一起指定。对于以下已知端口,可以指定文本同义词(还会列出端口号):

afs (1483)bgp (179)biff (512)bootpc (68)、 、 bootps (67)

cmd (514)cvspserver (2401)

dhcp (67)domain (53)

eklogin (2105)ekshell (2106)exec (512)

finger (79)ftp (21)ftp-data (20)

http (80)https (443)

ident (113)imap (143)

kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)、 、 kshell (544)

ldap (389)login (513)

mobileip-agent (434)mobilip-mn (435)msdp (639)

netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

pop3 (110)pptp (1723)printer (515)

radacct (1813)radius (1812)rip (520), , rkinit (2108)

smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65)talk (517)telnet (23)tftp (69)、 、 timed (525)

who (513)

xdmcp (177)

zephyr-clt (2103), zephyr-hm (2104)

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

destination-port range-optimize range

匹配一系列 TCP 或 UDP 端口范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个目标端口更多的防火墙过滤器。(不支持基于过滤器的转发。

入口端口、VLAN、IPv4 (inet) 接口。

destination-prefix-list prefix-list

IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

dscp value

差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • be- 尽力而为(默认)

  • ef (46)— 如 RFC 3246加速转发 PHB”中所定义。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    这四个类,每个类有三个丢弃优先级,总共 12 个代码点,在 RFC 2597 保证 转发 PHB 中定义。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

ether-type value

数据包的以太网类型字段。EtherType 值指定在以太网帧中传输的协议。代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • aarp (0x80F3)—以太类型值 AARP

  • appletalk (0x809B)—以太类型值AppleTalk

  • arp (0x0806)—以太类型值 ARP

  • fcoe (0x8906)—以太类型值 FCoE

  • fip (0x8914)—以太类型值 FIP

  • ipv4 (0x0800)—以太类型值 IPv4

  • ipv6 (0x08DD)—以太类型值 IPv6

  • mpls-multicast (0x8848)—以太类型值 MPLS 组播

  • mpls-unicast (0x8847)—以太类型值 MPLS 单播

  • oam (0x88A8)—以太类型值 OAM

  • ppp (0x880B)—以太类型值购买力平价

  • pppoe-discovery (0x8863)—以太类型值 PPPoE 发现阶段

  • pppoe-session (0x8864)—以太类型值 PPPoE 会话阶段

  • sna (0x80D5)—以太类型值 SNA

入口端口和 VLAN。

出口端口和 VLAN。

egress-to-ingress

包括此选项可将出口 VLAN 防火墙过滤器术语的数量从 1024 增加到 2048。

出口 VLAN IPv4 (inet) 接口和 IPv6 (inet6) 接口。

exp

在 MPLS EXP 位上进行匹配。

入口 MPLS 接口。

出口 MPLS 接口。

fragment-flags value

IP 分段标志。代替数值,可以指定以下文本同义词之一(还会列出十六进制值):

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

入口端口和 VLAN。

gbp-dst-tag

匹配目标标记,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。

不适用

gbp-src-tag

匹配源标记,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。

不适用

icmp-code value

ICMP 代码字段。因为值的含义取决于关联的 icmp-type,所以必须为 指定 icmp-type 一个值和一个 的值 icmp-code。要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • IPv4: 参数问题—ip-header-bad (0)required-option-missing (1)

  • IPv6: 参数问题—ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4:无法访问 —network-unreachable (0)host-unreachable (1)、 、 fragmentation-needed (4)network-unreachable-for-TOS (11)destination-host-prohibited (10)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)port-unreachable (3)destination-network-unknown (6)host-precedence-violation (14)source-route-failed (5)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)protocol-unreachable (2)precedence-cutoff-in-effect (15)

  • IPv6: 无法访问—address-unreachable (3)administratively-prohibited (1)、、 no-route-to-destination (0)port-unreachable (4)

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

hop-limit value

匹配指定的跃点限制或一组跃点限制。指定单个值或 0 到 255 之间的值范围。

入口和出口 IPv6 (inet6) 接口。

注:

QFX3500交换机、QFX3600交换机、QFX5100交换机、QFX5120交换机、QFX5110交换机、QFX5200交换机和QFX5210交换机上的出口方向不受支持。

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

匹配 IPv4 或 IPv6 源地址或目标地址,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

入口和出口(系统范围)。
ip-version ipv4 destination-port DST_PORT

匹配 TCP/UDP 目标端口,以便与 GBP 策略过滤器 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 source-port SRC_PORT

匹配 TCP/UDP 源端口,以便与 GBP 策略过滤器 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 ip-protocol PROTOCOL

匹配 IP 协议类型,以便与 GBP 策略过滤器 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 is-fragment

如果数据包是分片,则匹配,以便与 GBP 策略过滤器 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 fragment-flag FLAGS

匹配片段标志(符号或十六进制格式),以便与 GBP 策略过滤器 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 ttlValue

IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。用于 GBP 策略过滤器 L4 匹配项,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 tcp-flagsFLAGS

匹配一个或多个 TCP 标志(符号或十六进制格式),以便与 GBP 策略 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 tcp-initial

匹配连接的第一个 TCP 数据包。用于 GBP 策略 L4 匹配项,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv4 tcp-established

匹配已建立的 TCP 连接的数据包,以便与 GBP 策略 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv6 source-port SRC_PORT

匹配 TCP/UDP 源端口,以便与 GBP 策略 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv6 destination-port DST_PORT

匹配 TCP/UDP 目标端口,以便与 GBP 策略过滤器 L4 匹配,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv6 next-header PROTOCOL

匹配下一个报头协议类型,以便与 GBP 策略 L4 匹配配合使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv6 tcp-flagsFLAGS

匹配 TCP 标志,以便与 GBP 策略 L4 匹配一起使用,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv6 tcp-initial

匹配已建立的 TCP 连接的初始数据包,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。
ip-version ipv6 tcp-established

匹配已建立的 TCP 连接的数据包,如中所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段

仅限入口。

icmp-type value

ICMP 消息类型字段。通常,将此匹配项与 protocol match 语句一起指定,以确定端口上使用的协议。代替数值,您可以指定以下文本同义词之一(字段值也会列出):

IPv4: echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

icmp-code variable请参阅。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

interface interface-name | <interface_list>

接收数据包的接口,包括逻辑单元。您可以将通配符 (*) 作为接口名称或逻辑单元的一部分包含在内。

注:

发送数据包的接口不能用作匹配条件。

匹配筛选器中同一术语下的接口列表。用于 VXLAN 上的微分段,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口和 IPv6 (inet6) 接口。

ip-destination-address address

IPv4 地址,即数据包的最终目标节点地址。

入口端口和 VLAN。

ip6-destination-address address

IPv6 地址,即数据包的最终目标节点地址。

入口端口和 VLAN。(您不能同时将具有此匹配标准的过滤器应用于包含该端口的第 2 层端口和 VLAN。)

ip-options

如果在 IP 标头的选项字段中指定了任何内容,则指定 any 以创建匹配项。

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

ip-precedence ip-precedence-field

IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值):critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)或 routine (0x00)。

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

ip-protocol number

IP 协议字段。

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

ip-source-address address

发送数据包的源节点的 IPv4 地址。

入口端口和 VLAN。

ip6-source-address address

发送数据包的源节点的 IPv6 地址。

入口端口和 VLAN。(您不能同时将具有此匹配标准的过滤器应用于包含该端口的第 2 层端口和 VLAN。)

ip-version address

数据包的 IP 版本。使用此条件可匹配到达第 2 层端口或 VLAN 接口的流量中的 IPv4 或 IPv6 标头字段。

入口端口和 VLAN。

is-fragment

如果在 IP 报头中启用了“更多片段”标志或片段偏移量不为零,则使用此条件会导致匹配。

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

l2-encap-type llc-non-snap

在逻辑链路控制 (LLC) 层上匹配非子网访问协议 (SNAP) 以太网封装类型的数据包。

入口端口和 VLAN。

出口端口和 VLAN。

label

在 MPLS 标签位上进行匹配。

入口 MPLS 接口。

出口 MPLS 接口。

learn-vlan-id number

匹配普通 VLAN 的 ID 或外部(服务)VLAN 的 ID(对于 Q-in-Q VLAN)。可接受的值为 1-4095。

注:

在 QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5220、EX4600、 EX4650、EX4400、EX4100 和 EX4300-MP 交换机上不受支持。user-vlan-id使用匹配条件匹配外部 VLAN ID。

入口端口和 VLAN。

出口端口和 VLAN。

mac-address mac-address

匹配源媒体访问控制 (MAC) 地址,以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。

入口和出口(系统范围)

next-header

IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6 (58)sctp (132)

入口端口、VLAN 和 IPv6 (inet6) 接口。

出口 IPv6 (inet6) 接口。

packet-length

数据包长度(以字节为单位)。必须输入一个介于 0 和 65535 之间的值。

入口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

payload-protocol

IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6 (58)sctp (132)

注:

QFX3500、QFX3600、QFX5100、QFX5110、QFX5200 QFX5210 交换机不支持。

入口端口、VLAN 和 IPv6 (inet6) 接口。

出口 IPv6 (inet6) 接口。

Port qualifier

端口限定符将在数据包转发引擎中安装两个条目。一个使用源端口,另一个使用目标端口。

注:

EX4400、EX4300、EX4100、EX4300(多千兆 PoE)、EX2300、EX2300(多千兆 PoE)和 EX3400 平台不支持端口限定符。

入口端口、VLAN、IPv4 (inet) 和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

precedence value

IP 报头中服务类型 (ToS) 字节中的 IP 优先级位。(此字节也可用于 DiffServ DSCP。代替数值,可以指定以下文本同义词之一(还会列出数值):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

protocol type

IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6sctp (132)

入口端口、VLAN 和 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

rat-type tech-type-value

匹配在代理移动 IPv4 (PMIPv4) 接入技术类型扩展的 8 位技术类型字段中指定的无线接入技术 (RAT) 类型。技术类型指定移动设备连接到接入网络的访问技术。指定单个值、一个值范围或一组值。可以将技术类型指定为 0 到 255 之间的数值或系统关键字。

  • 数值 1 与 IEEE 802.3 匹配。

  • 数值 2 与 IEEE 802.11a/b/g 匹配。

  • 数值 3 与 IEEE 802.16e 匹配

  • 数值 4 与 IEEE 802.16m 匹配。

  • 文本字符串 eutran 与 4G 匹配。

  • 文本字符串 geran 与 2G 匹配。

  • 文本字符串 utran 与 3G 匹配。

出口和入口 IPv4 (inet) 接口。

sample

对数据包流量进行采样。仅当已启用流量采样时,才应用此选项。

出口和入口 IPv4 (inet) 接口。

source-address ip-address

IP 源地址字段,即发送数据包的节点的地址。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

source-mac-address mac-address

数据包的源媒体访问控制 (MAC) 地址。

入口端口和 VLAN。

出口端口和 VLAN。

source-port value

TCP 或 UDP 源端口。通常,将此匹配项与 protocol match 语句一起指定。您可以指定 下 destination-port列出的文本同义词之一,以代替数值字段。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

source-port range-optimize range

匹配一系列 TCP 或 UDP 端口范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个源端口更多的防火墙过滤器。(不支持基于过滤器的转发。

入口端口、VLAN、IPv4 (inet) 接口。

source-prefix-list prefix-list

IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

tcp-established

匹配已建立的 TCP 三次握手连接(SYN、SYN-ACK、ACK)的数据包。唯一不匹配的数据包是握手的第一个数据包,因为只设置了 SYN 位。对于此数据包,必须指定 tcp-initial 为匹配条件。

指定 tcp-established时,交换机不会隐式验证协议是否为 TCP。还必须指定 protocol tcp 匹配条件。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

tcp-flags value

一个或多个 TCP 标志:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

tcp-initial

匹配连接的第一个 TCP 数据包。当设置了 TCP 标志 SYN 但未设置 TCP 标志 ACK 时,将发生匹配。

指定 tcp-initial时,交换机不会隐式验证协议是否为 TCP。还必须指定 protocol tcp 匹配条件。

入口端口、VLAN、IPv4 (inet) 接口和 IPv6 (inet6) 接口。

出口 IPv4 (inet) 接口。

traffic-class

8 位字段,用于指定数据包的服务等级 (CoS) 优先级。信息流类字段用于指定 DiffServ 代码点 (DSCP) 值。此字段以前用作 IPv4 中的服务类型 (ToS) 字段,并且此字段的语义(例如 DSCP)与 IPv4 的语义相同。

您可以指定以下文本同义词之一(还会列出字段值):

af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

入口端口、VLAN 和 IPv6 (inet6) 接口。

出口 IPv6 (inet6) 接口。

ttl value

IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。

入口 IPv4 (inet) 接口。

出口 IPv4 (inet) 接口。

user-vlan-1p-priority value

匹配范围内 0-7指定的 802.1p VLAN 优先级。

入口和出口端口及 VLAN。

user-vlan-id number

匹配 Q-in-Q VLAN 的内部(客户)VLAN 的 ID。可接受的值为 1-4095。

注:

对于 QFX3600、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4600、EX4650、EX4400、EX4100 和 EX4300-MP 交换机, user-vlan-id 用于匹配外部 VLAN 的 ID。

对于 QFX5220 系列交换机以及 MX 和 ACX 系列路由器,用于 learn-vlan-id 匹配外部 VLAN 的 ID 和 user-vlan-id 内部 VLAN 的 ID。以前,您可以使用 user-vlan-id 来匹配外部 VLAN ID。

入口和出口端口及 VLAN。

vlan-id <vlan id> | <vlan-range> | <vlan list>

匹配 VLAN 标识符( vlan-range VLAN 组的第一个和最后一个 VLAN ID 号)或 vlan list (编号列表),以便与 VXLAN 上的微分段配合使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。

注:

EX4100 交换机不支持。

入口和出口(系统范围)

使用 then 语句定义当数据包与语句中的所有 from 条件匹配时应执行的操作。 表 3显示可以在术语中指定的操作。(如果未包含 then 语句,系统将接受与过滤器匹配的数据包。

表 3: 防火墙过滤器的操作

操作

Description

accept

接受数据包。这是与术语匹配的数据包的默认操作。

discard

以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。

reject message-type

丢弃数据包并发送“目标无法访问”ICMPv4 消息(类型 3)。要记录被拒绝的数据包,请配置 syslog 操作修改器。

您可以指定以下消息类型之一:administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,tcp-reset

如果指定 tcp-reset,则当数据包是 TCP 数据包时,系统将发送 TCP 重置;否则不发送任何内容。

如果未指定消息类型,那么将发送 ICMP 通知“目标无法访问”,并附带默认消息“已管理性过滤的通信”。

注:

仅在入口接口上支持此操作 reject

routing-instance instance-name

将匹配的数据包转发到虚拟路由实例。

vlan VLAN-name

将匹配的数据包转发到特定 VLAN。

注:

仅在入口接口上支持此操作 vlan
注:

OCX 系列交换机不支持此操作。

您还可以指定 中 表 4 列出的操作修饰符,以对数据包进行计数、镜像、速率限制和分类。

表 4: 防火墙过滤器的操作修改符

动作修改器

Description

analyzer analyzer-name

(非 ELS 平台)将流量(复制数据包)镜像到在层次结构级别配置 [edit ethernet-switching-options analyzer] 的分析器。

您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。

count counter-name

计算与术语匹配的数据包数。

decapsulate [gre | routing-instance]

解封装 GRE 数据包或将解封装的 GRE 数据包转发到指定的路由实例

dscp value

差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • be- 尽力而为(默认)

  • ef (46)— 如 RFC 3246加速转发 PHB”中所定义。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    这四个类,每个类有三个丢弃优先级,总共 12 个代码点,在 RFC 2597 保证 转发 PHB 中定义。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

forwarding-class class

将数据包分类为以下默认转发类之一或用户定义的转发类:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

要配置转发类,还必须配置丢失优先级。

gbp-src-tag

(仅限 QFX5120 和 EX4650)

设置基于组的策略源标记 (0..65535) 以用于 VXLAN 上的微分段,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。

gbp-tag

(EX4100、EX4400、EX4650 和 QFX5120)

设置基于组的策略源标记 (1..65535),以便与 VXLAN 上的微分段一起使用,如下所述:示例:在 VXLAN 中使用基于组策略的微观和宏观分段。

注: 适用于 Junos OS 22.4R1 及更高版本。

interface

将流量切换到指定接口,而不对其执行查找。仅当在入口应用过滤器时,此操作才有效。

log

在路由引擎中记录数据包的标头信息。要查看此信息,请输入 show firewall log 操作模式命令。

注:

log操作修饰符仅在入口接口上受支持。

loss-priority (low | medium-low | medium-high | high)

设置丢包优先级 (PLP)。

注:

loss-priority操作修饰符仅在入口接口上受支持。
注:

loss-priority不支持将动作修饰符与policer动作结合使用。

policer policer-name

将数据包发送到监管器(以便应用速率限制)。

您可以为入口端口、VLAN、IPv4 (inet)、IPv6 (inet6) 和 MPLS 过滤器指定监管器。

注:

policer不支持将动作修饰符与loss-priority动作结合使用。

port-mirror

(ELS 平台)将流量(复制数据包)镜像到在层次结构级别的端口镜像实例 [edit forwarding-options port-mirroring] 中配置的输出接口。

您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。

port-mirror-instance port-mirror-instance-name

(ELS 平台)将流量镜像到在层次结构级别配置 [edit forwarding-options port-mirroring] 的端口镜像实例。

您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。

注:

OCX 系列交换机不支持此操作修饰符。

syslog

记录此数据包的警报。

注:

syslog操作修饰符仅在入口接口上受支持。

three-color-policer three-color-policer-name

将数据包发送到三色监管器(用于应用速率限制)。

您可以为入口和出口端口、VLAN、IPv4 (inet)、IPv6 (inet6) 和 MPLS 过滤器指定三色监管器。

注:

policer不支持将动作修饰符与loss-priority动作结合使用。

另请参阅

防火墙过滤器匹配条件和作(QFX5220、QFX5700 和 QFX5130-32CD)

本主题介绍 QFX5220-CD、QFX5220-128C 和 QFX5130-32CD 交换机支持的 防火墙过滤器匹配条件、操作和操作修改符。

防火墙过滤器中的每个术语都由 匹配条件 和一个 操作组成。匹配条件是数据包必须包含才能被视为匹配的字段和值。您可以在 匹配语句中定义单个或多个匹配条件。您还可以不包含 match 语句,在这种情况下,术语将匹配所有数据包。

当数据包与过滤器匹配时,交换机将执行术语中指定的操作。如果未应用匹配条件,交换机默认接受数据包。

  • 表 5 显示了 IPv4 (inet) 和 IPv6 (inet6) 接口的匹配条件。它还包含端口和 VLAN 的匹配条件 (ethernet-switching)。

  • 表 6 显示可以在术语中指定的操作和操作修饰符。

注:

对于匹配条件,某些数值范围和位字段匹配条件允许您指定文本同义词。若要查看匹配条件的所有同义词的列表,请在语句中的适当位置键入 ?
表 5: 支持的匹配条件(QFX5220、QFX5700 和 QFX5130-32CD 交换机)

匹配条件

Description

方向和接口

arp-type

ARP 请求数据包或 ARP 回复数据包。

入口和出口端口及 VLAN

destination-address ip-address

IP 目标地址字段,即最终目标节点的地址。

入口和出口 IPv4 和 IPv6 接口

入口端口和 VLAN

destination-mac-address mac-address

数据包的目标 MAC 地址。

入口和出口端口及 VLAN

destination-port value

TCP 或 UDP 目标端口字段。您必须使用 IPv4 流量的匹配语句或 next-header IPv6 流量的匹配语句指定protocol此匹配。

对于以下已知端口和端口号,可以指定文本同义词。

afs (1483)bgp (179)biff (512)bootpc (68)、 、 bootps (67)

cmd (514)cvspserver (2401)

dhcp (67)domain (53)

eklogin (2105)ekshell (2106)exec (512)

finger (79)ftp (21)ftp-data (20)

http (80)https (443)

ident (113)imap (143)

kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)、 、 kshell (544)

ldap (389)login (513)

mobileip-agent (434)mobilip-mn (435)msdp (639)

netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)

pop3 (110)pptp (1723)printer (515)

radacct (1813)radius (1812)rip (520), , rkinit (2108)

smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)

tacacs-ds (65)talk (517)telnet (23)tftp (69)、 、 timed (525)

who (513)

xdmcp (177)

zephyr-clt (2103), zephyr-hm (2104)

入口和出口 IPv4 接口

入口 IPv6 接口。

入口端口和 VLAN

destination-port range-optimize range

匹配 TCP 或 UDP 端口范围的范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个目标端口更多的防火墙过滤器。(不支持基于筛选器的转发。

入口 IPv4 接口

destination-prefix-list prefix-list

IP 目标前缀列表字段。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

入口和出口 IPv4 和 IPv6 接口

入口端口和 VLAN。

dscp value

差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。

可以十六进制、二进制或十进制形式指定 DSCP。

要代替数值,您可以指定列出的以下文本同义词和字段之一。

  • be- 尽力而为(默认)

  • ef (46)— 如 RFC 3246加速转发 PHB”中所定义。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    这四个类,每个类有三个丢弃优先级,总共 12 个代码点,在 RFC 2597 保证 转发 PHB 中定义。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

入口和出口 IPv4 接口

入口端口和 VLAN

ether-type value

数据包的以太网类型字段。EtherType 值指定在以太网帧中传输的协议。要代替数值,可以指定以下文本同义词之一。还会列出字段值。

  • aarp (0x80F3)—以太类型值 AARP

  • appletalk (0x809B)—以太类型值AppleTalk

  • arp (0x0806)—以太类型值 ARP

  • fcoe (0x8906)—以太类型值 FCoE

  • fip (0x8914)—以太类型值 FIP

  • ipv4 (0x0800)—以太类型值 IPv4

  • ipv6 (0x08DD)—以太类型值 IPv6

  • mpls-multicast (0x8848)—以太类型值 MPLS 组播

  • mpls-unicast (0x8847)—以太类型值 MPLS 单播

  • oam (0x88A8)—以太类型值 OAM

  • ppp (0x880B)—以太类型值购买力平价

  • pppoe-discovery (0x8863)—以太类型值 PPPoE 发现阶段

  • pppoe-session (0x8864)—以太类型值 PPPoE 会话阶段

  • sna (0x80D5)—以太类型值 SNA

入口和出口端口及 VLAN
第一个片段

如果数据包是分段数据包的第一个分段,则匹配。如果数据包是分段数据包的尾随片段,请避免匹配数据包。分片数据包的第一个分片的分片偏移值为 0。

此匹配条件是位字段匹配条件片段偏移 0 匹配条件的别名。

要匹配第一个片段和尾随片段,可以使用两个指定不同匹配条件的术语: first-fragment is-fragment

入口 IPv4 接口

icmp-code value

ICMP 代码字段。因为值的含义取决于关联的 icmp-type,所以必须为 指定 icmp-type 一个值和一个 的值 icmp-code。要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • IPv4: 参数问题—ip-header-bad (0)required-option-missing (1)

  • IPv6: 参数问题—ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1)redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4:无法访问 —network-unreachable (0)host-unreachable (1)、 、 fragmentation-needed (4)network-unreachable-for-TOS (11)destination-host-prohibited (10)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)port-unreachable (3)destination-network-unknown (6)host-precedence-violation (14)source-route-failed (5)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)protocol-unreachable (2)precedence-cutoff-in-effect (15)

  • IPv6: 无法访问—address-unreachable (3)administratively-prohibited (1)、、 no-route-to-destination (0)port-unreachable (4)

入口和出口 IPv4 接口

入口 IPv6 接口

入口端口和 VLAN

icmp-type value

ICMP 消息类型字段。必须指定此匹配项以及 protocol match 语句。此匹配确定端口上用于 IPv4 流量的协议,或 next-header IPv6 流量的匹配语句。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

IPv4: echo-reply (0)destination unreachable (3)source-quench (4)redirect (5)echo-request (8)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)time-exceeded (11)parameter-problem (12)timestamp (13)timestamp-reply (14)info-request (15)info-reply (16)mask-request (17)mask-reply (18)

IPv6: destination-unreachable (1)packet-too-big (2)time-exceeded (3)parameter-problem (4)echo-request (128)echo-reply (129)membership-query (130)membership-report (131)membership-termination (132)router-solicit (133)router-advertisement (134)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)router-renumbering (138)node-information-request (139)node-information-reply (140)

icmp-code variable请参阅。

入口和出口 IPv4 接口

入口 IPv6 接口

入口端口和 VLAN

interface interface-name

接收数据包的接口,包括逻辑单元。您可以将通配符 (*) 作为接口名称或逻辑单元的一部分包含在内。

注:

发送数据包的接口不能用作匹配条件。

入口端口和 VLAN

ip-destination-address address

IPv4 地址,即数据包的最终目标节点地址。

入口端口和 VLAN

ip-options

如果在 IP 标头的选项字段中指定了任何内容,则指定 any 以创建匹配项。

入口 IPv4 接口

ip-protocol number

IP 协议字段。

入口端口和 VLAN

ip-precedence ip-precedence-field

IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值):critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)或 routine (0x00)。

入口端口和 VLAN

ip-source-address address

发送数据包的源节点的 IPv4 地址。

入口端口和 VLAN

ip-version address

数据包的 IP 版本。使用此条件可匹配到达第 2 层端口或 VLAN 接口的流量中的 IPv4 或 IPv6 标头字段。

入口端口和 VLAN

is-fragment

如果在 IP 报头中启用了“更多片段”标志或片段偏移量不为零,则使用此条件会导致匹配。

入口和出口 IPv4 接口 (QFX5220)

入口 IPv4 接口 (QFX5130)
learn-vlan-id number

用于 MAC 学习的 VLAN 标识符。

入口和出口端口及 VLAN (QFX5220)

入口端口和 VLAN (QFX5130)
learn-vlan-1p-priority value

匹配提供商 VLAN 标记(具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的外部标记)中的 IEEE 802.1p 获知的 VLAN 优先级位。指定 0 到 7 之间的一个或多个值。

入口端口和 VLAN

next-header

IPv4 或 IPv6 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6 (58)sctp (132)

入口和出口 IPv6 接口

packet-length

数据包长度(以字节为单位)。必须输入一个介于 0 和 65535 之间的值。

入口 IPv4 和 IPv6 接口

precedence value

IP 报头中服务类型 (ToS) 字节中的 IP 优先级位。(此字节也可用于 DiffServ DSCP。代替数值,可以指定以下文本同义词之一(还会列出数值):

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

入口和出口 IPv4 接口

protocol type

IP 协议值。代替数值,可以指定以下文本同义词之一(还会列出数值):

hop-by-hop (0)icmp (1) , , igmp (2)ipip (4)dstopts (60)fragment (44)rsvp (46)icmp6 (58)ah (51)no-next-header (59)esp (50)ospf (89)pim (103)tcp (6)udp (17)vrrp (112)egp (8)ipv6 (41)routing (43)gre (47)icmp6sctp (132)tcp (4)

入口和出口 IPv4 接口。

入口 IPv4 接口和 VLAN

source-address ip-address

IP 源地址字段,即发送数据包的节点的地址。

入口和出口 IPv4 接口

入口 IPv6 接口

入口端口和 VLAN

source-mac-address mac-address

数据包的源媒体访问控制 (MAC) 地址。

入口和出口 IPv4 接口和 VLAN

source-port value

TCP 或 UDP 源端口。您必须将此匹配与 IPv4 流量的匹配语句或 next-header IPv6 流量的匹配语句一起protocol指定。

您可以指定 下 destination-port列出的文本同义词之一,以代替数值字段。

入口和出口 IPv4 接口

入口 IPv6 接口

入口端口和 VLAN

source-port range-optimize range

匹配一系列 TCP 或 UDP 端口范围,同时更有效地使用可用内存。使用此条件可以配置比配置单个源端口更多的防火墙过滤器。(不支持基于筛选器的转发。

入口 IPv4 接口

source-prefix-list prefix-list

IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表以供频繁使用。在 [edit policy-options] 层次结构级别定义此列表。

入口和出口 IPv4 接口

入口 IPv6 接口

入口端口和 VLAN
tcp-established

匹配已建立的 TCP 会话的 TCP 数据包(连接的第一个数据包以外的数据包)。这是 的别名 tcp-flags "(ack | rst)".

此匹配条件不会隐式检查协议是否为 TCP。要检查这一点,请指定 protocol tcp 匹配条件。

入口和出口 IPv4 接口 (QFX5220)

入口和出口 IPv4 接口 (QFX5130)

入口 IPv6 接口 (QFX5130)

tcp-flags value

TCP 标志(仅支持一个值):

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

入口和出口 IPv4 接口

入口 IPv6 接口

入口端口和 VLAN
tcp-initial

匹配连接的第一个 TCP 数据包。当设置了 TCP 标志 SYN 但未设置 TCP 标志 ACK 时,将发生匹配。

指定 tcp-initial时,交换机不会隐式验证协议是否为 TCP。还必须指定 protocol tcp 匹配条件。请参阅 protocol type

入口和出口 IPv4 接口 (QFX5220)

入口和出口 IPv4 接口、入口 IPv6 接口 (QFX5130)

traffic-class

8 位字段,用于指定数据包的服务等级 (CoS) 优先级。信息流类字段用于指定 DiffServ 代码点 (DSCP) 值。此字段以前用作 IPv4 中的服务类型 (ToS) 字段,并且此字段的语义(例如 DSCP)与 IPv4 的语义相同。

您可以指定以下文本同义词之一(还会列出字段值):

af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

入口和出口 IPv6 接口

ttl value

IP 生存时间 (TTL) 字段(以十进制表示)。该值可以是 1-255。

入口和出口 IPv4 接口

user-vlan-id number

匹配 Q-in-Q VLAN 的内部(客户)VLAN 的 ID。可接受的值为 1-4095。

入口端口和 VLAN (QFX5130)

user-vlan-1p-priority value

匹配范围内 0-7指定的 802.1p VLAN 优先级。

入口端口和 VLAN (QFX5130)

使用 then 语句定义数据包与语句中的所有 from 条件匹配时应执行的操作。 表 6 显示了可以在术语中指定的操作。(如果未包含 then 语句,系统将接受与过滤器匹配的数据包。

注:

对于出口 IPv4 接口、IPv6 接口和出口端口,只能应用接受、丢弃和计数操作。对于出口 VLAN,只能应用接受操作。

表 6: 动作和动作修改符

操作

Description

accept

接受数据包。这是与术语匹配的数据包的默认操作。

apply-groups-except

指定不从中继承配置数据的组。可以指定多个组名。

count counter-name

计算与术语匹配的数据包数。

discard

以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。

forwarding-class class

将数据包分类为以下默认转发类之一或用户定义的转发类:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

要配置转发类,还必须配置丢失优先级。

log

在路由引擎中记录数据包的标头信息。要查看此信息,请输入 show firewall log 操作模式命令。

loss-priority (low | medium-low | medium-high | high)

设置丢包优先级 (PLP)。

注:

loss-priority操作修饰符仅在入口 IPv4 接口上受支持。
注:

loss-priority不支持将动作修饰符与policer动作结合使用。

policer policer-name

将数据包发送到监管器(以便应用速率限制)。

注:

policer不支持将动作修饰符与loss-priority动作结合使用。

port-mirror

将流量(复制数据包)镜像到在层次结构级别的端口镜像实例 [edit forwarding-options port-mirroring] 中配置的输出接口。

port-mirror-instance port-mirror-instance-name

将流量镜像到在层次结构级别配置 [edit forwarding-options port-mirroring] 的端口镜像实例。

您只能为入口端口、VLAN 和 IPv4 (inet) 防火墙过滤器指定端口镜像。

reject message-type

丢弃数据包并发送“目标无法访问”ICMPv4 消息(类型 3)。要记录被拒绝的数据包,请配置 syslog 操作修改器。

您可以指定以下消息类型之一: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed.

如果未指定消息类型,那么将发送 ICMP 通知“目标无法访问”,并附带默认消息“已管理性过滤的通信”。

注:

reject仅在入口 IPv4 接口上支持此操作。

three-color-policer three-color-policer-name

将数据包发送到三色监管器(用于应用速率限制)。

注:

policer不支持将动作修饰符与loss-priority动作结合使用。
注:

color-aware不支持和color-blind监管器。默认情况量被视为 color-blind.

vlan VLAN-name

将匹配的数据包转发到特定 VLAN。

要在这些平台上激活此操作配置文件,您必须应用配置 set system packet-forwarding-options firewall profiles actions ethernet-switching profile1 。您可以在端口和 VLAN 防火墙过滤器规则中配置该 vlan vlanID 操作。

注:

vlan仅在入口端口和 VLAN 上支持此操作。

另请参阅