Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 流量的参数化过滤器匹配条件

您可以使用互联网协议版本 6 (IPv6) 流量匹配条件配置参数化过滤器 (family inet6)。

注意:

对于带有 MPC 的 MX 系列路由器,您需要通过执行相应的 SNMP MIB 来初始化某些新的防火墙过滤器,例如 show snmp mib walk name ascii。这将强制 Junos 学习过滤器计数器并确保显示过滤器统计信息。本指南适用于所有增强模式防火墙筛选器、具有灵活条件的筛选器以及具有某些终止操作的筛选器。有关详细信息,请参阅“相关文档”下列出的这些主题。

表 1 介绍了可以在层次结构级别配置的 [edit firewall family inet6 filter filter-name term term-name from] 匹配条件。

表 1:IPv6 流量的防火墙过滤器匹配条件

匹配条件

描述

address address [ except ]

匹配 IPv6 源或目标地址字段,除非包含该 except 选项。如果包含该选项,则与 IPv6 源地址或目标地址字段不匹配。

destination-address address [ except ]

匹配 IPv6 目标地址字段,除非包含该 except 选项。如果包含该选项,则与 IPv6 目标地址字段不匹配。

不能在同一术语中同时 address 指定 和 destination-address 匹配条件。

destination-port number

匹配 UDP 或 TCP 目标端口字段。

不能在同一术语中同时 port 指定 和 destination-port 匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udpnext-header tcp 匹配条件,以指定端口上使用的协议。

代替数值,您可以指定以下文本同义词之一(端口号也会列出): afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、 cmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、 eklogin (2105)、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21)、 ftp-data (20)、 http (80)、 https (443)、 ident (113)、(143)、 kerberos-sec imap (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、 ldap (389)、 ldp (646)、 login (513),mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) 或 xdmcp (177)。

destination-port-except number

不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请参阅 destination-port 匹配条件。

destination-prefix-list prefix-list-name [ except ]

将 IPv6 目标前缀与指定列表匹配,除非包含该 except 选项。如果包含该选项,则不要将 IPv6 目标前缀与指定列表匹配。

前缀列表在 ] 层次结构级别定义 [edit policy-options prefix-list prefix-list-name

forwarding-class class

匹配数据包的转发类。

指定 assured-forwardingbest-effortexpedited-forwarding、 或 network-control

有关转发类和路由器内部输出队列的信息,请参阅 了解转发类如何将类分配给输出队列

forwarding-class-except class

与数据包的转发类不匹配。有关详细信息,请参阅 forwarding-class 匹配条件。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您在同一术语中也配置 next-header icmpnext-header icmp6 匹配条件。

如果配置此匹配条件,则还必须在同一术语中配置 icmp-type message-type 匹配条件。ICMP 消息代码提供比 ICMP 消息类型更具体的信息,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数问题: ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

  • 超时: ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0)

  • 无法 administratively-prohibited 到达的目标:(1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

不匹配 ICMP 消息代码字段。有关详细信息,请参阅 icmp-code 匹配条件。

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您在同一术语中也配置 next-header icmpnext-header icmp6 匹配条件。

代替数值,您可以指定以下文本同义词之一(字段值也会列出): certificate-path-advertisement (149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、(129 echo-reply )、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、 inverse-neighbor-discovery-advertisement (142)、(141)、 membership-query inverse-neighbor-discovery-solicitation (130)、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、(136)、 neighbor-solicit neighbor-advertisement (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 private-experimentation-100 (100)、(101)、 private-experimentation-200 private-experimentation-101 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)或time-exceeded (3).

对于 private-experimentation-201 (201),您还可以在方括号内指定值范围。

icmp-type-except message-type

不匹配 ICMP 消息类型字段。有关详细信息,请参阅 icmp-type 匹配条件。

loss-priority level

匹配数据包丢失优先级 (PLP) 级别。

指定单个级别或多个级别:lowmedium-lowmedium-high、 或 high

在 M120 和 M320 路由器上受支持;采用增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。

对于带有增强型 II 灵活 PIC 集中器 (FPC) 的 M320、MX 系列、T 系列路由器和 EX 系列交换机上的 IP 流量,必须在层次结构级别包含[edit class-of-service]语句tri-color,才能提交具有指定四个级别中的任何一个的 PLP 配置。如果未启用该tri-color语句,则只能配置 和 high low 级别。这适用于所有协议家族。

有关该 tri-color 语句的信息,请参阅 配置和应用 Tricolor 标记监管器。有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列

loss-priority-except level

与 PLP 级别不匹配。有关详细信息,请参阅 loss-priority 匹配条件。

next-header header-type

匹配数据包中的第一个 8 位“下一个标头”字段。Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 next-header

对于 IPv6,我们建议您 payload-protocol 在配置具有匹配条件的防火墙过滤器时使用术语而不是 next-header 术语。尽管可以使用其中任何一个, payload-protocol 但提供了更可靠的匹配条件,因为它使用实际的有效负载协议来查找匹配项,而 next-header 只是获取 IPv6 标头之后第一个标头中显示的任何内容,这可能是也可能不是实际协议。此外,如果与 IPv6 一起使用,则会 next-header 绕过加速过滤器块查找过程,改用标准过滤器。

匹配数据包中的第一个 8 位“下一个标头”字段。

要代替数值,可以指定以下文本同义词之一(还会列出字段值): ah (51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、(58)、 icmpv6 igmp (2)、 ipip (4 ipv6 )、(41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp  (17) 或 vrrp (112)。

注意:

next-header icmp6next-header icmpv6 匹配条件执行相同的功能。 next-header icmp6 是首选选项。 next-header icmpv6 隐藏在 Junos OS CLI 中。

next-header-except header-type

与标识 IPv6 报头和有效负载之间的报头类型的 8 位“下一个报头”字段不匹配。有关详情,请参阅 next-header 匹配类型。

packet-length bytes

匹配收到的数据包的长度(以字节为单位)。长度仅指 IP 数据包,包括数据包标头,不包括任何第 2 层封装开销。

packet-length-except bytes

与收到的数据包的长度不匹配(以字节为单位)。有关详情,请参阅 packet-length 匹配类型。

port number

匹配 UDP 或 TCP 源或目标端口字段。

如果配置此匹配条件,则无法在同一期限内配置 destination-port 匹配条件或 source-port 匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udpnext-header tcp 匹配条件,以指定端口上使用的协议。

要代替数值,您可以指定匹配条件下 destination-port 列出的文本同义词之一。

port-except number

不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息,请参阅 port 匹配条件。

prefix-list prefix-list-name [ except ]

将源地址或目标地址字段的前缀与指定列表中的前缀匹配,除非包含该 except 选项。如果包含该选项,请不要将源地址或目标地址字段的前缀与指定列表中的前缀匹配。

前缀列表在 [edit policy-options prefix-list prefix-list-name] 层次结构级别定义。

service-filter-hit

匹配从应用操作的 service-filter-hit 过滤器接收的数据包。

source-address address [ except ]

匹配发送数据包的源节点的 IPv6 地址,除非包含该 except 选项。如果包含该选项,则与发送数据包的源节点的 IPv6 地址不匹配。

不能在同一术语中同时 address 指定 和 source-address 匹配条件。

source-class class-names

匹配一个或多个指定的源类名(组合在一起并给定类名的源前缀集)。有关详细信息,请参阅 基于地址类的防火墙过滤器匹配条件

source-class-except class-names

不要匹配一个或多个指定的源类名。有关详细信息,请参阅 source-class 匹配条件。

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一术语中指定 portsource-port 匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中配置 next-header udpnext-header tcp 匹配条件,以指定端口上使用的协议。

要代替数值,您可以指定与匹配条件一起 destination-port number 列出的文本同义词之一。

source-port-except number

不匹配 UDP 或 TCP 源端口字段。有关详细信息,请参阅 source-port 匹配条件。

source-prefix-list name [ except ]

匹配数据包源字段的 IPv6 地址前缀,除非包含该 except 选项。如果包含该选项,则不要与数据包源字段的 IPv6 地址前缀匹配。

指定在层次结构级别定义的 [edit policy-options prefix-list prefix-list-name] 前缀列表名称。

traffic-class number

匹配指定数据包的服务等级 (CoS) 优先级的 8 位字段。

此字段以前用作 IPv4 中的服务类型 (ToS) 字段。

您可以指定 到 063数值。若要以十六进制形式指定值,请包含 0x 为前缀。若要以二进制形式指定值,请包含 b 为前缀。

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • RFC 3246, 加速转发PHB(每跳行为)定义了一个代码点: ef (46)。

  • RFC 2597( 保证转发 PHB 组)定义了 4 个类,每个类中有 3 个丢弃优先级,总共 12 个代码点:

    • af11(10)、 af12 (12)、 af13 (14)

    • af21(18)、 af22 (20)、 af23 (22)

    • af31(26)、 af32 (28)、 af33 (30)

    • af41(34)、 af42 (36)、 af43 (38)

traffic-class-except number

不匹配指定数据包 CoS 优先级的 8 位字段。有关详细信息,请参阅 traffic-class 匹配说明。

注意:

如果在匹配条件(、 addressdestination-addresssource-address匹配条件)中指定 IPv6 地址,请使用 RFC 4291 IP 版本 6 寻址体系结构中所述的文本表示语法。有关 IPv6 地址的详细信息,请参阅 IPv6 概述和支持的 IPv6 标准

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
13.3R6
Junos OS 版本 13.3R6 及更高版本中提供了对防火墙匹配条件的支持 next-header