Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen für die Übereinstimmung mit Firewall-Filtern für IPv4-Datenverkehr

Sie können einen Firewall-Filter mit den Bedingungen für IPv4-Datenverkehr (Internet Protocol Version 4) family inet konfigurieren.

Anmerkung:

Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Trio-only-Match-Filter in der MIB initialisieren, indem Sie beispielsweise die entsprechende SNMP-MIB show snmp mib walk name ascii gehen. Dies zwingt Junos, die Filterzähler zu erlernen und stellt sicher, dass die Filterstatistiken angezeigt werden (da bei der ersten Abfrage, in der Statistiken gefiltert werden, nicht alle Zähler angezeigt werden). Dieser Leitfaden gilt für alle Firewall-Filter mit erweitertem Modus, Filter mit flexiblen Bedingungen und Filter mit bestimmten Terminierungsaktionen. Weitere Informationen finden Sie unter der entsprechenden Dokumentation.

Tabelle 1 beschreibt die match-conditions Konfiguration auf [edit firewall family inet filter filter-name term term-name from] Hierarchieebene.

Tabelle 1: Bedingungen für die Übereinstimmung mit Firewall-Filtern für IPv4-Datenverkehr

Bedingungen erfüllen

Beschreibung

address address [ except ]

Passen Sie das IPv4-Quell- oder Zieladressenfeld an, es sei except denn, die Option ist enthalten. Wenn die Option enthalten ist, nicht dem IPv4-Quell- oder Zieladressenfeld übereinstimmen.

Der except Änderungser wird auf anderen oder auf EX2300- EX3400 nicht unterstützt.

ah-spi spi-value

(M Series-Router, außer M120 und M320) Passen Sie den Wert des IPsec Authentication Header (AH) Security Parameter Index (SPI) an.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

ah-spi-except spi-value

(M Series-Router, außer M120 und M320) Nicht dem IPsec AH SPI-Wert übereinstimmen.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

apply-groups

Geben Sie an, von welchen Gruppen Konfigurationsdaten übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben. Sie müssen sie in der Reihenfolge der Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben in den nachfolgenden Gruppen Priorität vor den Daten.

apply-groups-except

Geben Sie an, von welchen Gruppen konfigurationsdaten nicht übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben.

destination-address address [ except ]

Passen Sie das IPv4-Zieladressenfeld an, es sei except denn, die Option ist enthalten. Wenn die Option enthalten ist, nicht dem IPv4-Zieladressenfeld übereinstimmen.

Sie können nicht sowohl die address Bedingungen als auch die Bedingungen im gleichen Begriff destination-address angeben.

destination-class class-names

Einen oder mehrere angegebene Zielklassennamen (Sätze von Ziel-Präfixen in Gruppen zusammen und mit einem Klassennamen) übereinstimmen. Weitere Informationen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen basierend auf Adressklassen.

destination-class-except class-names

Nicht mit einem oder mehr angegebenen Zielklassennamen übereinstimmen. Details finden Sie in der destination-class Bedingungen für die Übereinstimmung.

destination-port number

Passen Sie das UDP- oder TCP-Zielportfeld an.

Sie können nicht sowohl die port Bedingungen als auch die Bedingungen im gleichen Begriff destination-port angeben.

Wenn Sie diese Bedingungen für diese Übereinstimmung konfigurieren, empfehlen wir Ihnen, die bzw. Übereinstimmungsauszug im selben Begriff zu konfigurieren, um festzulegen, welches Protokoll für den protocol udpprotocol tcp Port verwendet wird.

Anmerkung:

Für Junos OS Weiterentwickelt werden müssen Sie die protocol Übereinstimmungsauszug im selben Begriff konfigurieren.

Sie können an der Stelle des numerischen Werts eines der folgenden Text Synonyme angeben (die Portnummern sind ebenfalls aufgelistet): afs(1483), bgp (179), biff (512), bootpcbootps (68), (67), cmdcvspserver (514), (2401), dhcp (67), domaineklogin (53), ekshell (2105), (2106) exec (512), fingerftp (21) ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434) mobilip-mnmsdp (435) (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printerradacct (515), (1813) radius (1812) riprkinit (520) (2108) smtp und (2 5), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517) telnettftp (23), (69), timed (525) oder whoxdmcp (177).

destination-port-except number

Nicht dem UDP- oder TCP-Zielportfeld übereinstimmen. Details finden Sie in der destination-port Bedingungen für die Übereinstimmung.

destination-prefix-list name [ except ]

Ziel-Präfixe in der angegebenen Liste übereinstimmen, wenn diese Option nicht enthalten except ist. Wenn die Option enthalten ist, nicht den Ziel-Präfixen in der angegebenen Liste übereinstimmen.

Geben Sie den Namen einer Präfixliste an, die auf der [edit policy-options prefix-list prefix-list-name ] Hierarchieebene definiert ist.

dscp number

Passen Sie den Differentiated Services Code Point (DSCP) an. Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Understanding How Behavior Aggregation Classifiers Prioritize Trusted Traffic (Verstehen des Verhaltens aggregierte Klassifizierer priorisieren vertrauenswürdigen Datenverkehrs).

Es wurde Unterstützung für die Filterung auf differentiated Services Code Point (DSCP) und der Weiterleitungsklasse für Routing-Engine-Quellpakete hinzugefügt, einschließlich IS-IS-Paketen, die in Generic Routing Encapsulation (GRE) eingekapselt sind. Anschließend gelten bei einem Upgrade von einer vorherigen Junos OS-Version, in der sowohl Class-of-Service (CoS) als auch Firewall-Filter enthalten sind, und DSCP- oder Weiterleitungsklassenfilteraktionen enthalten, haben die Kriterien im Firewallfilter automatisch Vorrang vor den CoS-Einstellungen. DasSelbe gilt auch für die Erstellung neuer Konfigurationen. Das heißt, bei den gleichen Einstellungen hat der Firewall-Filter Vorrang vor CoS, unabhängig davon, welche zuerst erstellt wurden.

Sie können einen numerischen Wert von 0 bis 63 angeben. Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

dscp-except number

Nicht an der DSCP-Nummer übereinstimmen. Weitere Informationen finden Sie unter dscp Bedingungen für Übereinstimmungen.

esp-spi spi-value

Passen Sie den SPI-Wert für IPsec-Kapselung der Security Payload (ESP) an. Diesen SPI-Wert übereinstimmen. Sie können den ESP SPI-Wert in Hexadezimal-, Binär- oder Dezimalform angeben.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

esp-spi-except spi-value

Den IPsec ESP-SPI-Wert übereinstimmen. Passen Sie diesen SPI-Wert nicht an.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

first-fragment

Geben Sie an, ob das Paket das erste Fragment eines fragmentierten Pakets ist. Nicht übereinstimmen, wenn es sich um ein Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragment-Ausgleichswert 0 von.

Diese Übereinstimmungsbedingung ist ein Alias für die Bedingungen für die fragment-offset 0 Bit-Feld-Übereinstimmungsbedingung.

Um fragmentierte Zustände zuerst und mit "Trailing" zu spezifizieren, können Sie zwei Begriffe verwenden, die unterschiedliche Bedingungen angeben: first-fragment und is-fragment .

flexible-match-mask value

bit-length

Länge der daten, die in Bits angezeigt werden sollen, die nicht für die String-Eingabe erforderlich sind (0..128)

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-mask-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

mask-in-hex

Maskierung von Bits in den zu abgestimmten Paketdaten

match-start

Startpunkt zur Übereinstimmung mit dem Paket

prefix

Wertdaten/zeichenkette

flexible-match-range value

bit-length

Länge der in Bits (0.32) zu abgestimmten Daten

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-range-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

match-start

Startpunkt zur Übereinstimmung mit dem Paket

range

Bereich von aufeinander abgestimmten Werten

range-except

Diesen Wertebereich nicht übereinstimmen

forwarding-class class

Passen Sie die Weiterleitungsklasse des Pakets an.

assured-forwardingbest-effortexpedited-forwarding Spezifizieren, oder network-control .

Informationen zu Weiterleitungsklassen und internen Router-Output-Warteschlangen finden Sie unter Informationen dazu, wie Weiterleitungsklassen Klassen Ausgangswarteschlangen zuweisen.

forwarding-class-except class

Nicht mit der Weiterleitungsklasse des Pakets übereinstimmen. Details finden Sie in der forwarding-class Bedingungen für die Übereinstimmung.

fragment-flags number

(nur ingress) Passen Sie das Feld mit den Drei-Bit-IP-Fragmentierungs-Flags im IP-Header an.

An Stelle des numerischen Feldwerts können Sie einen der folgenden Keywords angeben (die Feldwerte sind ebenfalls aufgelistet): dont-fragment(0x4), more-fragments (0x2) oder reserved (0x8).

fragment-offset value

Gleichen Sie das 13-Bit-Fragment-Versetztfeld im IP-Header aus. Der Wert ist der Ausgleich in 8-Byte-Einheiten in der Gesamtdatengrammnachricht zum Datenfragment. Geben Sie einen numerischen Wert, einen Bereich von Werten oder eine Reihe von Werten an. Ein Wert des 0 Ausgleichs gibt das erste Fragment eines fragmentierten Pakets an.

Der first-fragment Bedingungen einer Übereinstimmung ist ein Alias für die fragment-offset 0 Übereinstimmungsbedingung.

Zum Abspielen der ersten und der nachfingenden Fragmente können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen first-fragment (und is-fragment ) angeben.

fragment-offset-except number

Gleichen Sie das 13-Bit-Fragment-Versatzfeld nicht aus.

gre-key Bereich

Passen Sie das Gre-Key-Feld an. Das GRE-Schlüsselfeld ist eine vom GRE-Kapseler eingefügte 4 Oktettnummer. Es ist ein optionales Feld zur Verwendung bei der GRE-Einkapselung. Der Bereich kann eine einzelne GRE-Schlüsselnummer oder eine Reihe von Schlüsselnummern sein.

Bei Routern der MX-Serie mit MPCs initialisieren Sie neue Firewall-Filter, die diesen Zustand enthalten, durch Gehen der entsprechenden SNMP-MIB.

icmp-code number

Dem ICMP-Nachrichtencodefeld übereinstimmen.

Anmerkung:

Bei Verwendung dieser Übereinstimmungsbedingung sollten Sie die Bedingungen im selben Begriff (wie unten dargestellt) verwenden, um sicherzustellen, dass Pakete protocol icmpicmp ausgewertet werden.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Sie müssen auch die icmp-type message-type Bedingungen für die Übereinstimmung im selben Begriff konfigurieren. Ein ICMP-Nachrichtencode stellt spezifischere Informationen als ein ICMP-Nachrichtentyp zur Verfügung. Die Bedeutung eines ICMP-Nachrichtencodes hängt jedoch vom zugehörigen ICMP-Nachrichtentyp ab.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • Parameter-Problem: ip-header-bad(0), required-option-missing (1)

  • Umleiten: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • Zeit ist überschritten: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • Unerreichbar: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknownfragmentation-needed (6), (4), host-precedence-violation (14), host-unreachablehost-unreachable-for-TOS (1), (12), network-unreachablenetwork-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8) source-route-failed (5)

icmp-code-except message-code

Dem ICMP-Nachrichtencodefeld nicht übereinstimmen. Details finden Sie in der icmp-code Bedingungen für die Übereinstimmung.

icmp-type number

Dem Feld "ICMP-Nachrichtentyp" übereinstimmen.

Anmerkung:

Bei Verwendung dieser Übereinstimmungsbedingung sollten Sie die Bedingungen im selben Begriff (wie unten dargestellt) verwenden, um sicherzustellen, dass Pakete protocol icmpicmp ausgewertet werden.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Sie müssen auch die icmp-type message-type Bedingungen für die Übereinstimmung im selben Begriff konfigurieren. Ein ICMP-Nachrichtencode stellt spezifischere Informationen als ein ICMP-Nachrichtentyp zur Verfügung. Die Bedeutung eines ICMP-Nachrichtencodes hängt jedoch vom zugehörigen ICMP-Nachrichtentyp ab.

Anmerkung:

Für Junos OS Weiterentwickelt werden müssen Sie die protocol Übereinstimmungsauszug im selben Begriff konfigurieren.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-requestmask-reply (17), (18), parameter-problemredirect (12), (5), router-advertisementrouter-solicit (9), source-quench (10), time-exceeded (4), (11), timestamp (13), timestamp-reply (14) oder unreachable (3).

icmp-type-except message-type

Dem Feld für die ICMP-Nachricht nicht übereinstimmen. Details finden Sie in der icmp-type Bedingungen für die Übereinstimmung.

interface interface-name

Passen Sie die Schnittstelle an, an der das Paket empfangen wurde.

Anmerkung:

Wenn Sie diese Bedingungen mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, ist der Begriff nicht mit einem Paket übereinstimmen.

interface-group group-number

Passen Sie die logische Schnittstelle an, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Geben Sie einen einzelnen Wert oder einen Bereich von Werten group-number von 0 bis 255 an.

Um einer Schnittstellengruppe eine logische Schnittstelle zu group-number zuweisen, geben Sie die group-number in der [interfaces interface-name unit number family family filter group] Hierarchieebene ein.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

Weitere Informationen finden Sie unter Übersicht über die Filterung von Paketen, die über eine Reihe von Schnittstellengruppen empfangen werden.

interface-group-except group-number

Nicht mit der logischen Schnittstelle übereinstimmen, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Details finden Sie in der interface-group Bedingungen für die Übereinstimmung.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

interface-set interface-set-name

Passen Sie die Schnittstelle an, an der das Paket an den angegebenen Schnittstellensatz empfangen wurde, an.

Um eine Schnittstellenschnittstelle zu definieren, fügen Sie die interface-set Anweisung auf der [edit firewall] Hierarchieebene ein.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

Weitere Informationen finden Sie unter Filtern der an einer Schnittstelle empfangenen Pakete.

ip-options values

Passen Sie das 8-Bit-IP-Optionsfeld, wenn vorhanden, dem angegebenen Wert oder einer Liste von Werten an.

Sie können eines der folgenden Text synonym für einen numerischen Wert angeben (die Optionswerte sind ebenfalls aufgelistet): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136) strict-source-route oder timestamp (137) oder (68).

Verwenden Sie das Text-Synonym, um einen beliebigen Wert für die IP-Option zu any erhalten. Um auf mehreren Werten zu abgestimmt zu sein, geben Sie die Liste der Werte in den quadratischen Klammern (' und ' [ ' ] ein. Um einer Reihe von Werten zu entsprechen, verwenden Sie die Wertspezifikation. value1-value2 ]

Die Übereinstimmungsbedingung entspricht z. B. einem IP-Optionsfeld, das den Wert 0 bis 147 oder einen anderen Wert von ip-options [ 0-147 ]loose-source-routerecord-routesecurity 0 bis 147 enthält. Diese Übereinstimmungsbedingung passt jedoch nicht zu einem IP-Optionsfeld, das nur den Wert router-alert (148) enthält.

Bei den meisten Schnittstellen wird ein Filterbegriff, der eine Übereinstimmung für einen oder mehrere spezifische IP-Optionswerte angibt (ein anderer Wert als ) bewirkt, dass Pakete an die Routing-Engine gesendet werden, sodass der Kern das IP-Optionsfeld im Paket-Header analysieren ip-optionany kann.

  • Für einen Firewall-Filtertermin, der eine Übereinstimmung für einen oder mehrere spezifische IP-Optionswerte angibt, können Sie nur dann die bzw. die nicht endenden Aktionen angeben, wenn Sie die Terminierungsaktionen im gleichen Begriff nicht ip-optioncountlogsyslogdiscard angeben. Dieses Verhalten verhindert, dass Pakete für einen Filter, der auf eine Transitschnittstelle auf dem Router angewendet wird, doppelt zählen.

  • Im Fall eines Systemengpässes könnten Pakete, die im Kernel verarbeitet werden, eingestellt werden. Verwenden Sie die Bedingungen, um sicherzustellen, dass die abgestimmten Pakete stattdessen an den Packet Forwarding Engine (wo die Paketverarbeitung in der Hardware ip-options any implementiert wird) gesendet werden.

Der 10-Gigabit Ethernet Modular Port Concentrator (MPC), 100-Gigabit Ethernet MPC, 60-Gigabit Ethernet MPC, 60-Gigabit Queuing Ethernet MPC und 60-Gigabit Ethernet Enhanced Queuing MPC auf Routern der MX-Serie können das IP-Optionsfeld des IPv4-Paket-Headers parieren. An Schnittstellen, die auf diesen MPCs konfiguriert sind, werden alle Pakete, die mit der Bedingungen übereinstimmen, zur Packet Forwarding Engine ip-options gesendet.

Anmerkung:

Bei Routern der M- und T-Serie können Firewall-Filter Pakete nicht pro Optionstyp und ip-options Schnittstelle zählen. Eine begrenzte Arbeit besteht in der Verwendung des show pfe statistics ip options Befehls, um ip-options Statistiken pro PFE zu sehen. Die Beispielausgabe wird unter "show pfe statistics IP" (pfe-statistiken anzeigen) verwendet.

Die Bedingungen werden auf Routern der PTX10003- PTX10008-Serie unterstützt, die mit ip-options any dem Junos Evolved OS Release 20.2R1.

ip-options-except values

Das IP-Optionsfeld muss nicht dem angegebenen Wert oder einer Liste von Werten übereinstimmen. Details zur Angabe der Bedingungen values finden Sie in der ip-options Übereinstimmungsbedingung.

is-fragment

Wenn das Flag "Mehr Fragmente" im IP-Header aktiviert ist oder wenn der Fragment-Offset nicht null ist, wird diese Bedingung verwendet.

Anmerkung:

Zum Abspielen der ersten und der nachfingenden Fragmente können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen first-fragment (und is-fragment ) angeben.

loss-priority level

Passen Sie die Paketverlustprioritätsebene (PLP) an.

Geben Sie eine einzelne oder mehrere Ebenen an: lowoder medium-lowmedium-highhigh

Wird auf Routern M120- M320 unterstützt. M7i- M10i mit Enhanced CFEB (CFEB-E); routern der MX-Serie.

Für den IP-Datenverkehr auf Routern der M320-, MX-Serie und T-Serie-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) muss die Anweisung auf der Hierarchieebene enthalten sein, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen tri-color[edit class-of-service] festzulegen. Wenn die tri-color Aussage nicht aktiviert ist, können Sie nur die Ebenen highlow konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur Aussage finden Sie tri-color unter Konfigurieren und Anwenden von dreifarbigen Markierungs-Policern. Informationen zur Verwendung von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic(So nutzen Sie die Aggregierten Klassifizierungen priorisieren von vertrauenswürdigen Datenverkehr).

loss-priority-except level

Nicht der PLP-Ebene übereinstimmen. Details finden Sie in der loss-priority Bedingungen für die Übereinstimmung.

packet-length bytes

Passen Sie die Länge des empfangenen Pakets in Bytes an. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers und enthält keinen Layer-2-Einkapselungs-Overhead. Sie können auch einen Bereich von Werten angeben, die ihr wertb

packet-length-except bytes

Nicht mit der Länge des empfangenen Pakets übereinstimmen, in Bytes. Details finden Sie unter packet-length Übereinstimmungstyp.

port number

Passen Sie das UDP-, TCP-Quell- oder Zielportfeld an.

Wenn Sie diese Bedingungen für diese Übereinstimmung konfigurieren, können Sie die Bedingungen für die Übereinstimmung und die Bedingungen nicht im destination-portsource-port selben Begriff konfigurieren.

Wenn Sie diese Bedingungen für diese Übereinstimmung konfigurieren, empfehlen wir Ihnen, die bzw. Übereinstimmungsauszug im selben Begriff zu konfigurieren, um festzulegen, welches Protokoll für den protocol udpprotocol tcp Port verwendet wird.

Anmerkung:

Für Junos OS Weiterentwickelt werden müssen Sie die protocol Übereinstimmungsauszug im selben Begriff konfigurieren.

Sie können eines der unter . destination-port

port-except number

Nicht dem UDP- oder TCP-Portfeld des Quell- oder Zielorts übereinstimmen. Details finden Sie in der port Bedingungen für die Übereinstimmung.

precedence ip-precedence-value

Dem IP-Rangfolgefeld übereinstimmen.

An Stelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme spezifizieren (die Feldwerte sind ebenfalls aufgelistet): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0) priority (0x20) oder routine (0x00). Sie können Precedence in Hexadezimal-, Binär- oder Dezimalform angeben.

precedence-except ip-precedence-value

Nicht dem IP-Rangfolgefeld übereinstimmen.

An Stelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme spezifizieren (die Feldwerte sind ebenfalls aufgelistet): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0) priority (0x20) oder routine (0x00). Sie können Precedence in Hexadezimal-, Binär- oder Dezimalform angeben.

prefix-list name [ except ]

Passen Sie die Präfixe der Quell- oder Zieladressenfelder den Präfixen in der angegebenen Liste an, es sei denn, die except Option ist enthalten. Wenn diese Option enthalten ist, geben Sie die Präfixe der Quell- oder Zieladressenfelder nicht den Präfixen in der angegebenen Liste an.

Die Prefix-Liste wird auf der [edit policy-options prefix-list prefix-list-name] Hierarchieebene definiert.

Anmerkung:

Diese Bedingungen werden auf routern nicht PTX1000 unterstützt.

protocol number

Passen Sie das Feld für den IP-Protokolltyp an. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): ah(51), dstopts (60), egp (8), esp (50), fragmentgre (44), (47), hop-by-hop (0), icmp (1), icmp6icmpv6 (58), (58), igmp (2), ipip (4), ipv6ospf (41), pim (89), (103), rsvp (46) sctp (132), tcp (6) oder udpvrrp (112).

protocol-except number

Dem Feld des IP-Protokolltyps nicht übereinstimmen. Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): ah(51), dstopts (60), egp (8), esp (50), fragmentgre (44), (47), hop-by-hop (0), icmp (1), icmp6icmpv6 (58), (58), igmp (2), ipip (4), ipv6ospf (41), pim (89), (103), rsvp (46) sctp (132), tcp (6) oder udp vrrp (112).

rat-type tech-type-value

Passen Sie den im 8-Bit-Feld der Proxy Mobile IPv4 (PMIPv4)-Zugriffstechnologietyp angegebenen Typ an. Der Technologietyp gibt die Zugriffstechnologie an, über die das mobile Gerät mit dem Zugriffsnetzwerk verbunden ist.

Geben Sie einen einzelnen Wert, einen Bereich von Werten oder eine Reihe von Werten an. Sie können einen Technologietyp als numerischen Wert von 0 bis 255 oder als Systemschlüsselwort angeben.

  • Bei den folgenden numerischen Werten handelt es sich um Beispiele bekannter Technologietypen:

    • Numerischer Wert 1 entspricht IEEE 802.3.

    • Numerischer Wert 2 entspricht IEEE 802.11a/b/g.

    • Numerischer Wert 3 entspricht IEEE 802.16e

    • Numerischer Wert 4 entspricht IEEE 802,16 m.

  • Textzeichenfolge eutran entspricht 4G.

  • geranTextzeichenfolgen treffern 2G.

  • utranTextzeichenfolgen treffern 3G.

rat-type-except tech-type-value

Dem RAT-Typ nicht übereinstimmen.

service-filter-hit

Passen Sie ein Paket an, das von einem Filter empfangen wurde, an service-filter-hit dem eine Aktion angewendet wurde.

Anmerkung:

Diese Bedingungen werden auf Routern der PTX-Serie nicht unterstützt.

source-address address [ except ]

Passen Sie die IPv4-Adresse des Quellknotens an, der das Paket sendet, es sei except denn, die Option ist enthalten. Wenn die Option enthalten ist, nicht mit der IPv4-Adresse des Quellknotens übereinstimmen, der das Paket sendet.

Sie können nicht sowohl die address Bedingungen als auch die Bedingungen im gleichen Begriff source-address angeben.

source-class class-names

Einen oder mehrere angegebene Quellklassennamen (Sätze von Quell-Präfixen, gemeinsam und mit einem Klassennamen) übereinstimmen. Weitere Informationen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen basierend auf Adressklassen.

source-class-except class-names

Nicht mit einem oder mehr angegebenen Quellklassennamen übereinstimmen. Details finden Sie in der source-class Bedingungen für die Übereinstimmung.

source-port number

Passen Sie das UDP- oder TCP-Quellportfeld an.

Sie können nicht die port Bedingungen im gleichen Begriff source-port angeben.

Wenn Sie diese Bedingungen für den IPv4-Datenverkehr konfigurieren, empfehlen wir Ihnen, die Oder-Übereinstimmungs-Anweisung im selben Begriff zu konfigurieren, um anzugeben, welches Protokoll für den Port protocol udpprotocol tcp verwendet wird.

Anmerkung:

Für Junos OS Weiterentwickelt werden müssen Sie die protocol Übereinstimmungsauszug im selben Begriff konfigurieren.

Sie können eines der Texts synonym für den numerischen Wert angeben, der mit der destination-port number Übereinstimmungsbedingung aufgelistet ist.

source-port-except number

Dem UDP- oder TCP-Quellportfeld nicht übereinstimmen. Details finden Sie in der source-port Bedingungen für die Übereinstimmung.

source-prefix-list name [ except ]

Quell-Präfixe in der angegebenen Liste abmatchen, sofern die except Option nicht enthalten ist. Wenn die Option enthalten ist, nicht den Quell-Präfixen in der angegebenen Liste übereinstimmen.

Geben Sie den Namen einer Präfixliste an, die auf der [edit policy-options prefix-list prefix-list-name ] Hierarchieebene definiert ist.

tcp-established

Passen Sie die TCP-Pakete einer etablierten TCP-Sitzung an (Pakete, die nicht das erste Paket einer Verbindung enthalten). Dies ist ein Alias tcp-flags "(ack | rst)" für.

Mit dieser Übereinstimmungsbedingung wird nicht implizit geprüft, ob das Protokoll TCP ist. Geben Sie die Bedingungen für die Übereinstimmung an, um protocol tcp dies zu überprüfen.

tcp-flags value

Matchen Sie einen oder mehrere der niedrigeren 6 Bits im 8-Bit-TCP-Flags-Feld im TCP-Header an.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Texts synonyme oder Hexadezimalwerte angeben:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

In einer TCP-Sitzung wird der SYN-Flag nur im ursprünglichen Paket festgelegt, und der ACK-Flag wird in allen Paketen festgelegt, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der bitfeldbasierten logischen Operatoren aneinander anketten.

Kombinierte Bitfeld-Bedingungen finden Sie in den Bedingungen tcp-established und tcp-initial übereinstimmungen.

Wenn Sie diese Bedingungen für diese Übereinstimmung konfigurieren, empfehlen wir Ihnen, die Übereinstimmungserklärung im selben Begriff zu konfigurieren, um anzugeben, dass das TCP-Protokoll am Port protocol tcp verwendet wird.

Nur für IPv4-Datenverkehr wird mit dieser Bedingungen nicht implizit geprüft, ob das Datagramm das erste Fragment eines fragmentierten Pakets enthält. Verwenden Sie die Bedingungen, um diese Bedingung nur für IPv4-Datenverkehr first-fragment zu prüfen.

tcp-initial

Dem ursprünglichen Paket einer TCP-Verbindung übereinstimmen. Dies ist ein Alias tcp-flags "(!ack & syn)" für.

Mit dieser Bedingung wird nicht implizit geprüft, ob TCP das Protokoll ist. Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen für die Übereinstimmung im protocol tcp selben Begriff zu konfigurieren.

ttl number

Passen Sie die IPv4-Time-to-Live-Nummer an. Einen TTL-Wert oder einen Bereich von TTL-Werten angeben. Sie number können einen oder mehrere Werte von bis 0255 angeben. Diese Bedingungen werden nur auf M120- M320, MX-Serie und Routern T-Serie unterstützt.

ttl-except number

Nicht an der IPv4-TTL-Nummer übereinstimmen. Details finden Sie in der ttl Bedingungen für die Übereinstimmung.

Release-Verlaufstabelle
Release
Beschreibung
13.3R7
Es wurde Unterstützung für die Filterung auf differentiated Services Code Point (DSCP) und der Weiterleitungsklasse für Routing-Engine-Quellpakete hinzugefügt, einschließlich IS-IS-Paketen, die in Generic Routing Encapsulation (GRE) eingekapselt sind.