address address [ except ]
|
匹配 IPv6 源地址或目标地址字段,除非包含该 except 选项。如果包含该选项,请不要匹配 IPv6 源地址或目标地址字段。 |
destination-address address [ except ]
|
匹配 IPv6 目标地址字段,除非包含该 except 选项。如果包含该选项,请不要匹配 IPv6 目标地址字段。 不能在同一术语中同时指定 和 address destination-address match 条件。 |
destination-port number
|
匹配 UDP 或 TCP 目标端口字段。 不能在同一术语中同时指定 和 port destination-port match 条件。 如果配置此匹配条件,建议同时配置 next-header udp 同一术语中的 或 next-header tcp 匹配条件,以指定端口上使用的协议。 可以指定以下文本同义词之一来代替数值(端口号也会列出): afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、 cmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、 eklogin (2105)、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21 ftp-data )、(20)、 http (80)、 https (443)、 ident (113)、 imap (143)、 kerberos-sec (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、 ldap (389)、 ldp (646)、 login (513)、 mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、 netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、 pop3 (110)、 pptp (1723)、 printer (515)、 radacct (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs (49)、 tacacs-ds (65)、 talk (517)、 telnet (23)、(69)、 tftp timed (525)、 who (513)或 xdmcp(177)。 |
destination-port-except number
|
不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请参阅 destination-port 匹配条件。 |
destination-prefix-list prefix-list-name [ except ]
|
将 IPv6 目标前缀与指定列表匹配,除非包含该 except 选项。如果包含该选项,请不要将 IPv6 目标前缀与指定列表匹配。 前缀列表在 ] 层次结构级别定义 [edit policy-options prefix-list prefix-list-name。 (Junos OS 演化版)您可以在 和 [edit dynamic-profiles name policy-options prefix-list prefix-list-name] 层次结构级别指定[edit policy-options prefix-list prefix-list-name]前缀列表。 |
forwarding-class class
|
匹配数据包的转发类。 指定 assured-forwarding、 best-effort、 expedited-forwarding或 network-control。 有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列。 |
forwarding-class-except class
|
不匹配数据包的转发类。有关详细信息,请参阅 forwarding-class 匹配条件。 |
icmp-code message-code
|
匹配 ICMP 消息代码字段。 如果配置此匹配条件,建议同时配置 next-header icmp 同一术语中的 或 next-header icmp6 匹配条件。 如果配置此匹配条件,则还必须在同一术语中配置匹配 icmp-type message-type 条件。ICMP 消息代码提供比 ICMP 消息类型更具体的信息,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。 可以指定以下文本同义词之一来代替数值(也会列出字段值)。关键字按与之关联的 ICMP 类型进行分组:
参数问题: ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2) 超时: ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0) 目标不可达: administratively-prohibited (1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4) |
icmp-code-except message-code
|
与 ICMP 消息代码字段不匹配。有关详细信息,请参阅 icmp-code 匹配条件。 |
icmp-type message-type
|
匹配 ICMP 消息类型字段。 如果配置此匹配条件,建议同时配置 next-header icmp 同一术语中的 或 next-header icmp6 匹配条件。 可以指定以下文本同义词之一来代替数值(字段值也会列出): certificate-path-advertisement (149)、(148)、 destination-unreachable certificate-path-solicitation (1)、 echo-reply (129)、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、(142)、 inverse-neighbor-discovery-advertisement (141)、 inverse-neighbor-discovery-solicitation membership-query (130)、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、(146)、 mobile-prefix-solicitation neighbor-advertisement (136)、 neighbor-solicit (135)、 node-information-reply (140)、(139)、 packet-too-big node-information-request (2)、 parameter-problem (4)、 private-experimentation-100 (100)、 private-experimentation-101 (101)、 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)或time-exceeded (3)。 对于 private-experimentation-201 (201),还可以在方括号内指定值范围。 |
icmp-type-except message-type
|
与 ICMP 消息类型字段不匹配。有关详细信息,请参阅 icmp-type 匹配条件。 |
loss-priority level
|
匹配丢包优先级 (PLP) 级别。 指定单个级别或多个级别: low、 medium-low、 medium-high或 high。 支持 M120 和 M320 路由器;配备增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。 对于装有增强型 II 灵活 PIC 集中器 (FPC) 的 M320、MX 系列、T Series 路由器和 EX 系列 交换机上的 IP 流量,您必须在层次结构级别包含[edit class-of-service]该tri-color语句,以提交具有指定四个级别中任一级别的 PLP 配置。如果未启用该tri-color语句,则只能配置high和low级别。这适用于所有协议家族。 有关该 tri-color 语句的信息,请参阅 配置和应用三色标记监管器。有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列。 |
loss-priority-except level
|
不匹配 PLP 级别。有关详细信息,请参阅 loss-priority 匹配条件。 |
next-header header-type
|
匹配数据包中的第一个 8 位“下一个报头”字段。Junos OS 13.3R6 及更高版本中提供了对 next-header 防火墙匹配条件的支持。 对于 IPv6,建议您在 payload-protocol 配置具有匹配条件的防火墙过滤器时,使用术语而非 next-header 术语。尽管可以使用其中任何一种, payload-protocol 但提供了更可靠的匹配条件,因为它使用实际的有效负载协议来查找匹配项,而 next-header 只需采用 IPv6 标头后面第一个标头中出现的任何内容,这可能是也可能不是实际协议。此外,如果与 IPv6 配合使用,则 next-header 将绕过加速过滤器块查找过程,改用标准过滤器。 匹配数据包中的第一个 8 位“下一个报头”字段。 可以指定以下文本同义词之一来代替数值(字段值也会列出): ah (51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、(58)、 icmpv6 igmp (2)、 ipip (4)、(41 ipv6 )、 mobility (135)、 no-next-header (59)、(89)、 ospf pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17) 或 vrrp (112)。
注意:
next-header icmp6 和 next-header icmpv6 匹配条件执行相同的功能。 next-header icmp6 是首选选项。 next-header icmpv6 在 Junos OS CLI 中隐藏。
|
next-header-except header-type
|
不要匹配用于标识 IPv6 标头和有效负载之间的标头类型的 8 位“下一个报头”字段。有关详细信息,请参阅 next-header 匹配类型。 |
packet-length bytes
|
匹配收到的数据包长度(以字节为单位)。长度仅指 IP 数据包,包括数据包标头,不包括任何第 2 层封装开销。 |
packet-length-except bytes
|
不匹配接收数据包的长度(以字节为单位)。有关详细信息,请参阅 packet-length 匹配类型。 |
port number
|
匹配 UDP 或 TCP 源或目标端口字段。 如果配置此匹配条件,则不能在同一术语中配置 destination-port 匹配条件或 source-port 匹配条件。 如果配置此匹配条件,建议同时配置 next-header udp 同一术语中的 或 next-header tcp 匹配条件,以指定端口上使用的协议。 可以指定匹配条件下 destination-port 列出的文本同义词之一,以代替数值。 |
port-except number
|
不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息,请参阅 port 匹配条件。 |
prefix-list prefix-list-name [ except ]
|
将源地址或目标地址字段的前缀与指定列表中的前缀匹配,除非包含该 except 选项。如果包含该选项,请不要将源地址或目标地址字段的前缀与指定列表中的前缀匹配。 前缀列表在层次结构级别上 [edit policy-options prefix-list prefix-list-name] 定义。 (Junos OS 演化版)您可以在 和 [edit dynamic-profiles name policy-options prefix-list prefix-list-name] 层次结构级别指定[edit policy-options prefix-list prefix-list-name]前缀列表。 |
service-filter-hit
|
匹配从应用了作的 service-filter-hit 过滤器接收的数据包。 |
source-address address [ except ]
|
匹配发送数据包的源节点的 IPv6 地址,除非包含该 except 选项。如果包含该选项,请不要匹配发送数据包的源节点的 IPv6 地址。 不能在同一术语中同时指定 和 address source-address match 条件。 |
source-class class-names
|
匹配一个或多个指定的源类名称(组合在一起并给定类名称的源前缀集)。有关更多信息,请参阅 基于地址类的防火墙过滤器匹配条件。 |
source-class-except class-names
|
不匹配一个或多个指定的源类名称。有关详细信息,请参阅 source-class 匹配条件。 |
source-port number
|
匹配 UDP 或 TCP 源端口字段。 不能在同一术语中指定 port 和 source-port 匹配条件。 如果配置此匹配条件,建议同时配置 next-header udp 同一术语中的 或 next-header tcp 匹配条件,以指定端口上使用的协议。 可以指定与匹配条件一起 destination-port number 列出的文本同义词之一,以代替数值。 |
source-port-except number
|
不匹配 UDP 或 TCP 源端口字段。有关详细信息,请参阅 source-port 匹配条件。 |
source-prefix-list name [ except ]
|
匹配数据包源字段的 IPv6 地址前缀,除非包含该 except 选项。如果包含该选项,则不匹配数据包源字段的 IPv6 地址前缀。 指定在层级定义的 [edit policy-options prefix-list prefix-list-name] 前缀列表名称。 (Junos OS 演化版)您可以在 和 [edit dynamic-profiles name policy-options prefix-list prefix-list-name] 层次结构级别指定[edit policy-options prefix-list prefix-list-name]前缀列表。可以使用的最大前缀长度为 /64。 |
traffic-class number
|
匹配指定数据包服务等级 (CoS) 优先级的 8 位字段。 此字段以前用作 IPv4 中的服务类型 (ToS) 字段。 您可以通过 指定63数值0。要以十六进制形式指定值,请作为前缀包含在内0x。要以二进制形式指定值,请作为前缀包含在内b。 可以指定以下文本同义词之一来代替数值(也会列出字段值):
|
traffic-class-except number
|
不匹配指定数据包 CoS 优先级的 8 位字段。有关详细信息,请参阅 traffic-class 比赛说明。 |
