address address [ except ] |
匹配 IPv6 源或目标地址字段,除非包含该 except 选项。如果包含该选项,则与 IPv6 源地址或目标地址字段不匹配。 |
destination-address address [ except ] |
匹配 IPv6 目标地址字段,除非包含该 except 选项。如果包含该选项,则与 IPv6 目标地址字段不匹配。 不能在同一术语中同时 address 指定 和 destination-address 匹配条件。 |
destination-port number |
匹配 UDP 或 TCP 目标端口字段。 不能在同一术语中同时 port 指定 和 destination-port 匹配条件。 如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udp 或 next-header tcp 匹配条件,以指定端口上使用的协议。 代替数值,您可以指定以下文本同义词之一(端口号也会列出): afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、 cmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、 eklogin (2105)、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21)、 ftp-data (20)、 http (80)、 https (443)、 ident (113)、(143)、 kerberos-sec imap (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、 ldap (389)、 ldp (646)、 login (513),mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) 或 xdmcp (177)。 |
destination-port-except number |
不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请参阅 destination-port 匹配条件。 |
destination-prefix-list prefix-list-name [ except ] |
将 IPv6 目标前缀与指定列表匹配,除非包含该 except 选项。如果包含该选项,则不要将 IPv6 目标前缀与指定列表匹配。 前缀列表在 ] 层次结构级别定义 [edit policy-options prefix-list prefix-list-name 。 |
forwarding-class class |
匹配数据包的转发类。 指定 assured-forwarding 、 best-effort expedited-forwarding 、 或 network-control 。 有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列。 |
forwarding-class-except class |
与数据包的转发类不匹配。有关详细信息,请参阅 forwarding-class 匹配条件。 |
icmp-code message-code |
匹配 ICMP 消息代码字段。 如果配置此匹配条件,我们建议您在同一术语中也配置 next-header icmp 或 next-header icmp6 匹配条件。 如果配置此匹配条件,则还必须在同一术语中配置 icmp-type message-type 匹配条件。ICMP 消息代码提供比 ICMP 消息类型更具体的信息,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。 要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:
参数问题: ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)
超时: ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0)
无法 administratively-prohibited 到达的目标:(1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)
|
icmp-code-except message-code |
不匹配 ICMP 消息代码字段。有关详细信息,请参阅 icmp-code 匹配条件。 |
icmp-type message-type |
匹配 ICMP 消息类型字段。 如果配置此匹配条件,我们建议您在同一术语中也配置 next-header icmp 或 next-header icmp6 匹配条件。 代替数值,您可以指定以下文本同义词之一(字段值也会列出): certificate-path-advertisement (149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、(129 echo-reply )、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、 inverse-neighbor-discovery-advertisement (142)、(141)、 membership-query inverse-neighbor-discovery-solicitation (130)、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、(136)、 neighbor-solicit neighbor-advertisement (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 private-experimentation-100 (100)、(101)、 private-experimentation-200 private-experimentation-101 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)或time-exceeded (3). 对于 private-experimentation-201 (201),您还可以在方括号内指定值范围。 |
icmp-type-except message-type |
不匹配 ICMP 消息类型字段。有关详细信息,请参阅 icmp-type 匹配条件。 |
loss-priority level |
匹配数据包丢失优先级 (PLP) 级别。 指定单个级别或多个级别:low 、 medium-low medium-high 、 或 high 。 在 M120 和 M320 路由器上受支持;采用增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。 对于带有增强型 II 灵活 PIC 集中器 (FPC) 的 M320、MX 系列、T 系列路由器和 EX 系列交换机上的 IP 流量,必须在层次结构级别包含[edit class-of-service] 语句tri-color ,才能提交具有指定四个级别中的任何一个的 PLP 配置。如果未启用该tri-color 语句,则只能配置 和 high low 级别。这适用于所有协议家族。 有关该 tri-color 语句的信息,请参阅 配置和应用 Tricolor 标记监管器。有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列。 |
loss-priority-except level |
与 PLP 级别不匹配。有关详细信息,请参阅 loss-priority 匹配条件。 |
next-header header-type |
匹配数据包中的第一个 8 位“下一个标头”字段。Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 next-header 。 对于 IPv6,我们建议您 payload-protocol 在配置具有匹配条件的防火墙过滤器时使用术语而不是 next-header 术语。尽管可以使用其中任何一个, payload-protocol 但提供了更可靠的匹配条件,因为它使用实际的有效负载协议来查找匹配项,而 next-header 只是获取 IPv6 标头之后第一个标头中显示的任何内容,这可能是也可能不是实际协议。此外,如果与 IPv6 一起使用,则会 next-header 绕过加速过滤器块查找过程,改用标准过滤器。 匹配数据包中的第一个 8 位“下一个标头”字段。 要代替数值,可以指定以下文本同义词之一(还会列出字段值): ah (51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、(58)、 icmpv6 igmp (2)、 ipip (4 ipv6 )、(41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17) 或 vrrp (112)。
注意:
next-header icmp6 和 next-header icmpv6 匹配条件执行相同的功能。 next-header icmp6 是首选选项。 next-header icmpv6 隐藏在 Junos OS CLI 中。
|
next-header-except header-type |
与标识 IPv6 报头和有效负载之间的报头类型的 8 位“下一个报头”字段不匹配。有关详情,请参阅 next-header 匹配类型。 |
packet-length bytes |
匹配收到的数据包的长度(以字节为单位)。长度仅指 IP 数据包,包括数据包标头,不包括任何第 2 层封装开销。 |
packet-length-except bytes |
与收到的数据包的长度不匹配(以字节为单位)。有关详情,请参阅 packet-length 匹配类型。 |
port number |
匹配 UDP 或 TCP 源或目标端口字段。 如果配置此匹配条件,则无法在同一期限内配置 destination-port 匹配条件或 source-port 匹配条件。 如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udp 或 next-header tcp 匹配条件,以指定端口上使用的协议。 要代替数值,您可以指定匹配条件下 destination-port 列出的文本同义词之一。 |
port-except number |
不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息,请参阅 port 匹配条件。 |
prefix-list prefix-list-name [ except ] |
将源地址或目标地址字段的前缀与指定列表中的前缀匹配,除非包含该 except 选项。如果包含该选项,请不要将源地址或目标地址字段的前缀与指定列表中的前缀匹配。 前缀列表在 [edit policy-options prefix-list prefix-list-name] 层次结构级别定义。 |
service-filter-hit |
匹配从应用操作的 service-filter-hit 过滤器接收的数据包。 |
source-address address [ except ] |
匹配发送数据包的源节点的 IPv6 地址,除非包含该 except 选项。如果包含该选项,则与发送数据包的源节点的 IPv6 地址不匹配。 不能在同一术语中同时 address 指定 和 source-address 匹配条件。 |
source-class class-names |
匹配一个或多个指定的源类名(组合在一起并给定类名的源前缀集)。有关详细信息,请参阅 基于地址类的防火墙过滤器匹配条件。 |
source-class-except class-names |
不要匹配一个或多个指定的源类名。有关详细信息,请参阅 source-class 匹配条件。 |
source-port number |
匹配 UDP 或 TCP 源端口字段。 不能在同一术语中指定 port 和 source-port 匹配条件。 如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udp 或 next-header tcp 匹配条件,以指定端口上使用的协议。 要代替数值,您可以指定与匹配条件一起 destination-port number 列出的文本同义词之一。 |
source-port-except number |
不匹配 UDP 或 TCP 源端口字段。有关详细信息,请参阅 source-port 匹配条件。 |
source-prefix-list name [ except ] |
匹配数据包源字段的 IPv6 地址前缀,除非包含该 except 选项。如果包含该选项,则不要与数据包源字段的 IPv6 地址前缀匹配。 指定在层次结构级别定义的 [edit policy-options prefix-list prefix-list-name] 前缀列表名称。 |
traffic-class number |
匹配指定数据包的服务等级 (CoS) 优先级的 8 位字段。 此字段以前用作 IPv4 中的服务类型 (ToS) 字段。 您可以指定 到 0 的 63 数值。若要以十六进制形式指定值,请包含 0x 为前缀。若要以二进制形式指定值,请包含 b 为前缀。 代替数值,您可以指定以下文本同义词之一(字段值也会列出):
|
traffic-class-except number |
不匹配指定数据包 CoS 优先级的 8 位字段。有关详细信息,请参阅 traffic-class 匹配说明。 |