Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

参数化过滤器非终止和终止作及修饰符

参数化过滤器的非终止和终止作及修饰符是静态防火墙过滤器可用的作和修饰符的子集。

注意：

您不能将非终止作配置next term为同一过滤器术语中的终止作。但是，您可以使用同一过滤器术语中的另一个非终止作来配置该next term作。

非终止 作带有隐式接受作。在这种情况下， 非终止意味着 其他作可以跟随这些作，而没有其他作可以跟随终止作。

表 1 介绍了可为参数化过滤器术语配置的非终止作和修饰符。

表 1：参数化过滤器的非终止作
非终止作	描述	协议族
`count counter-name`	计算指定计数器中的数据包。	`family any` `family inet` `family inet6`
`dscp value`	设置 IPv4 差异服务代码点（DSCP）位。可以从 `0` `63`中指定数值。要以十六进制形式指定值，请作为前缀包含在内 `0x` 。要以二进制形式指定值，请作为前缀包含在内 `b` 。默认 DSCP 值为尽力而为，即 `be` `0`或。您还可以指定以下文本同义词之一： `af11`—确保转发等级 1，低丢弃优先级 `af12`— 确保转发等级 1，中等丢弃优先级 `af13`— 确保转发等级 1，高丢弃优先级 `af21`—确保转发等级 2，低丢弃优先级 `af22`—确保转发等级 2，中等丢弃优先级 `af23`— 确保转发等级 2，高丢弃优先级 `af31`—确保转发等级 3，低丢弃优先级 `af32`—确保转发等级 3，中等丢弃优先级 `af33`—确保转发等级 3，高丢弃优先级 `af41`—确保转发等级 4，低丢弃优先级 `af42`—确保转发等级 4，中等丢弃优先级 `af43`— 确保转发等级 4，高丢弃优先级 `be`—尽力而为。 `cs0`—类选择器 0 `cs1`—等级选择器 1 `cs2`—等级选择器 2 `cs3`—类选择器 3 `cs4`—类选择器 4 `cs5`—等级选择器 5 `cs6`—等级选择器 6 `cs7`—等级选择器 7 `ef`—加速转发	`family inet`
`forwarding-class class-name`	将数据包分类为指定的转发类： `assured-forwarding` `best-effort` `expedited-forwarding` `network-control`	`family any` `family inet` `family inet6`
`hierarchical-policer`	使用指定的分层监管器对数据包进行监管。	`family any` `family inet` `family inet6`
`log`	将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在 CLI 上发出 `show firewall log` 命令来访问此信息。注意：第 2 层（L2）系列日志作仅适用于具有 MPC 的MX 系列路由器（如果路由器只有 MPC，则为 MPC 模式;如果具有 MPC 和 DCP，则为混合模式）。对于具有 DPC 的 MX 系列路由器，如果已配置 L2 系列，则会忽略日志作。	`family inet` `family inet6`
`loss-priority (high \| medium-high \| medium-low \| low)`	设置数据包丢弃优先级（PLP）级别。您也不能为同一防火墙过滤器术语配置 `three-color-policer` 非终止作。这两个非终止作是互斥的。对于配备增强型 II 灵活 PIC 集中器（FPC）的 MX 系列路由器上的 IP 流量，您必须在层次结构级别包含`[edit class-of-service]`该`tri-color`语句，以提交具有指定四个级别中任一级别的 PLP 配置。如果未启用该`tri-color`语句，则只能配置`high`和`low`级别。这适用于所有协议家族。有关该 `tri-color` 语句以及如何使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解行为聚合分类器如何确定可信流量的优先级。	`family any` `family inet` `family inet6`
`next`	继续下一个过滤器术语。	`family any` `family inet` `family inet6`
`next-ip ip-address <routing-instance routing-instance>`	（MX 系列）将数据包定向到指定的目标 IPv4 地址。您可以随意为地址指定路由实例。在以下示例中，变量 $IP-address 和 $RT-name 将在中定义 `[edit dynamic-profiles service-profile-name variables]`： [edit dynamic-profiles `service-profile-name` firewall family inet filter $nextip] user@host# set term t1 then next-ip $IP-address routing-instance $RT-name 从 Junos OS 18.2R1 版开始受支持。	`family inet`
`next-ip6 ipv6-address <routing-instance routing-instance>`	（MX 系列）将数据包定向到指定的目标 IPv6 地址。您可以随意为地址指定路由实例。在以下示例中，变量 $IPv 6-address 和 $RT-name 将在 `[edit dynamic-profiles service-profile-name variables]` [edit dynamic-profiles `service-profile-name` firewall family inet filter $nextip6] user@host# set term t1 then next-ip6 $IPv6-address routing-instance $RT-name 从 Junos OS 18.2R1 版开始受支持。	`family inet6`
`policer policer-name`	用于对流量进行速率限制的监管器名称。	`family any` `family inet` `family inet6`
`port-mirror instance-name`	根据指定的家族对数据包进行端口镜像。建议不要同时在同一防火墙过滤器中使用和 `next-hop-group` `port-mirror` 作。	`family any` `family inet` `family inet6`
`port-mirror-instance instance-name`	端口镜像实例的数据包。仅 MX 系列路由器支持此作。建议不要同时在同一防火墙过滤器中使用和 `next-hop-group` `port-mirror-instance` 作。	`family any` `family inet` `family inet6`
`routing-instance routing-instance-name`	将数据包定向到指定的路由实例。	`family inet` `family inet6`
`sample`	对数据包进行采样。注意： Junos OS 不会对来自路由器的数据包进行采样。如果配置过滤器并将其应用于接口的输出端，则仅对通过该接口的中转数据包进行采样。不对从路由引擎发送到数据包转发引擎的数据包进行采样。	`family inet` `family inet6`
`service-accounting`	捕获用户每项服务的统计信息时，请使用内联计数机制。对数据包进行计数以进行服务计费。该计数应用于 RADIUS 可以获取的特定命名计数器（`__junos-dyn-service-counter`）。和`service-accountingservice-accounting-deferred`关键字是互斥的，无论是按字词还是按筛选器。	`family any` `family inet` `family inet6`
`service-accounting- deferred`	在捕获用户每项服务的统计信息时，请使用延迟计数机制。该计数应用于 RADIUS 可以获取的特定命名计数器（`__junos-dyn-service-counter`）。和`service-accountingservice-accounting-deferred`关键字是互斥的，无论是按字词还是按筛选器。	`family any` `family inet` `family inet6`
`service-filter-hit`	（仅当标志由 `service-filter-hit` 当前类型的链接过滤器中的上一个过滤器标记时）将数据包定向到下一种类型的过滤器。向链中的后续过滤器指示数据包已经过处理。此作与 `service-filter-hit` 接收过滤器中的匹配条件相结合，有助于简化过滤器处理。	`family any` `family inet` `family inet6`
`three-color-policer (single-rate \| two-rate) policer-name`	使用指定的单速率或双速率三色监管器对数据包进行监管。注意：您不能同时为同一防火墙过滤器术语配置 `loss-priority` 作。这两个作是互斥的。	`family any` `family inet` `family inet6`
`traffic-class value`	指定流量类代码点。可以从 `0` `63`中指定数值。要以十六进制形式指定值，请作为前缀包含在内 `0x` 。要以二进制形式指定值，请作为前缀包含在内 `b` 。默认的流量类值是尽力而为，即或 `be` `0`。可以指定以下文本同义词之一来代替数值： `af11`—确保转发等级 1，低丢弃优先级 `af12`— 确保转发等级 1，中等丢弃优先级 `af13`— 确保转发等级 1，高丢弃优先级 `af21`—确保转发等级 2，低丢弃优先级 `af22`—确保转发等级 2，中等丢弃优先级 `af23`— 确保转发等级 2，高丢弃优先级 `af31`—确保转发等级 3，低丢弃优先级 `af32`—确保转发等级 3，中等丢弃优先级 `af33`—确保转发等级 3，高丢弃优先级 `af41`—确保转发等级 4，低丢弃优先级 `af42`—确保转发等级 4，中等丢弃优先级 `af43`— 确保转发等级 4，高丢弃优先级 `be`—尽力而为。 `cs0`—类选择器 0 `cs1`—等级选择器 1 `cs2`—等级选择器 2 `cs3`—类选择器 3 `cs4`—类选择器 4 `cs5`—等级选择器 5 `cs6`—等级选择器 6 `cs7`—等级选择器 7 `ef`—加速转发	`family inet6`

表 2 介绍了可以为参数化过滤器术语配置的终止作和修饰符。

表 2：参数化过滤器的终止作
终止作	描述	协议族
`accept`	接受数据包。	`family any` `family inet` `family inet6`
`discard`	以静默方式丢弃数据包，而不发送互联网控制信息协议（ICMP）消息。丢弃的数据包可用于记录和采样。	`family any` `family inet` `family inet6`
`reject message-type`	拒绝数据包并返回 ICMPv4 或 ICMPv6 消息：如果指定 no `message-type` ，则默认返回一条 `destination unreachable` 消息。如果指定为 `message-type`，`tcp-reset`仅`tcp-reset`当数据包是 TCP 数据包时才返回。否则，`administratively-prohibited`将返回值为 13 的消息。如果指定了任何其他消息 `message-type` ，则返回该消息。注意：如果配置 `sample` 了 or `syslog` 作，则可以对被拒绝的数据包进行采样或记录。可以`message-type`是以下值之一： `address-unreachable`、、 `protocol-unreachablenetwork-prohibitedhost-unreachablehost-unknownnetwork-unknownprecedence-cutoffport-unreachableprecedence-violationno-routesource-host-isolatedsource-route-failedbad-host-tosbeyond-scopetcp-resetbad-network-tosfragmentation-neededhost-prohibitednetwork-unreachableadministratively-prohibited`	`family inet` `family inet6`