Bedingungen und Aktionen für Firewall-Filterübereinstimmung (Router der PTX-Serie)

Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungendefinieren. Sie können auch no match-Anweisung einschließen, in diesem Fall stimmt der Begriff mit allen Paketen überein.

Wenn ein Paket mit einem Filter übereinstimmt, führt der Router die im Begriff angegebene Aktion aus. Darüber hinaus können Sie Aktionsmodifikatoren zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen angeben. Wenn für den Begriff keine Übereinstimmungsbedingungen angegeben sind, akzeptiert der Router das Paket standardmäßig.

Auf der PTX10003 können Sie mehrere Firewall-Filter auf eine einzelne Schnittstelle als einzelne Eingabe- oder Ausgabeliste anwenden (filter input-list and output-list). Auf diese Weise verwalten Sie die Konfiguration für eine Filteraufgabe nur in einem einzigen Firewall-Filter. Dies gibt Ihnen Flexibilität in großen Umgebungen, wenn Sie ein Gerät mit vielen Schnittstellen konfiguriert haben. Sie können dasselbe auf der PTX10008 tun, aber der Router unterstützt nur das Anwenden mehrerer Firewall-Filter auf eine einzelne Eingabeliste.

Tabelle 1 Beschreibt die Übereinstimmungsbedingungen, die Sie beim Konfigurieren eines Firewallfilters angeben können. Bei einigen der Übereinstimmungsbedingungen für numerische Bereiche und Bitfelder können Sie ein Textsynonym angeben. Um eine Liste aller Synonyme für eine Übereinstimmungsbedingung anzuzeigen, geben Sie an der entsprechenden Stelle in einer Anweisung ein ? .
Tabelle 2 Zeigt die Aktionen und Aktionsmodifikatoren an, die Sie in einem Begriff angeben können.

Tabelle 1: Unterstützte Spielbedingungen
Übereinstimmungsbedingung	Beschreibung	Unterstützte Schnittstellen
`address address [ except ]`	Stimmt mit dem Quell- oder Zieladressfeld überein, es sei denn, die `except` Option ist enthalten.	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`destination-address address [ except ]`	Stimmt mit dem Zieladressfeld überein, es sei denn, die `except` Option ist enthalten. Es ist nicht möglich, sowohl Bedingungen als auch `addressdestination-address` Übereinstimmungsbedingungen im selben Begriff anzugeben.	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`destination-port number`	Stimmt mit dem Feld UDP- oder TCP-Zielport überein. Sie müssen auch die `protocol udp` or `protocol tcp` match-Anweisung im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als `destination-port` auch die `port`Übereinstimmungsbedingung im selben Begriff anzugeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): `afs` ( 1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` ((49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) oder `xdmcp` (177).	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`destination-port-except number`	Stimmen Sie nicht mit dem Feld UDP- oder TCP-Zielport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `destination-port` .	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`destination-prefix-list name [ except ]`	Zielpräfixe in einer Liste abgleichen, es sei denn, die `except` Option ist enthalten. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene `[edit policy-options]` .	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`dscp number`	Übereinstimmung mit dem Codepunkt für differenzierte Dienste (Differentiated Services, DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bit dieses Bytes bilden den DSCP. Sie können DSCP in hexadezimaler, binärer oder dezimaler Form angeben. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `be`—Best Effort (Standard) `ef (46)`– wie in RFC 3246, An Expedited Forwarding PHB, definiert. `af11 (10)`, `af12 (12)`, `af13 (14)`; `af21 (18)`, `af22 (20)`, `af23 (22)`; `af31 (26)`, `af32 (28)`, `af33 (30)`; `af41 (34)`, `af42 (36)`, `af43 (38)` Diese vier Klassen mit drei Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte sind in RFC 2597, Assured Forwarding PHB, definiert. `cs0`, `cs1`, , `cs2`, `cs4cs3`, , `cs5`, , `cs6`, `cs7`, , `cs5`	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`dscp-except number`	Stimmen Sie nicht mit der DSCP-Nummer überein. Weitere Informationen finden Sie unter Übereinstimmungsbedingung `dscp` .	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`first-fragment`	Übereinstimmung, wenn es sich bei dem Paket um das erste Fragment eines fragmentierten Pakets handelt. Nicht übereinstimmen, wenn es sich bei dem Paket um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Das erste Fragment eines fragmentierten Pakets hat einen Fragment-Offset-Wert von `0`. Diese Übereinstimmungsbedingung ist ein Alias für die Übereinstimmungsbedingung für die Bitfeld-Übereinstimmungsbedingung `fragment-offset 0` . Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben: `first-fragment` und `is-fragment`.	IPv4 (inet)-Schnittstellen.
`forwarding-class class`	Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse: `best-effort` `fcoe` `network-control` `no-loss`	IPv4 (inet), IPv6 (inet6) und MPLS-Schnittstellen.
`forwarding-class-except class`	Sie stimmt nicht mit der Weiterleitungsklasse des Pakets überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `forwarding-class` .	IPv4 (inet), IPv6 (inet6) und MPLS-Schnittstellen.
`fragment-flags number`	Übereinstimmung mit dem Feld für die Drei-Bit-IP-Fragmentierungsflags im IP-Header. Anstelle des numerischen Feldwerts können Sie eines der folgenden Schlüsselwörter angeben (die Feldwerte werden ebenfalls aufgelistet): `dont-` ( 0x4), `more-s` (0x2) oder `reserved` (0x8).	IPv4 (inet)-Schnittstellen.
`fragment-offset value`	Übereinstimmung mit dem 13-Bit-Fragment-Offset-Feld im IP-Header. Der Wert ist der Offset in 8-Byte-Einheiten in der gesamten Datagrammnachricht zum Datenfragment. Geben Sie einen numerischen Wert, einen Wertebereich oder eine Gruppe von Werten an. Ein Offset-Wert von `0` gibt das erste Fragment eines fragmentierten Pakets an. Die `first-fragment` Übereinstimmungsbedingung ist ein Alias für die `fragment-offset 0` Übereinstimmungsbedingung. Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben (`first-fragment` und `is-fragment`).	IPv4 (inet)-Schnittstellen.
`fragment-offset-except number`	Stimmen Sie nicht mit dem 13-Bit-Fragment-Offset-Feld überein.	IPv4 (inet)-Schnittstellen.
`icmp-code message-code`	Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die `next-header icmp` Übereinstimmungsbedingung oder `next-header icmp6` im selben Begriff konfigurieren. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die `icmp-type message-type` Übereinstimmungsbedingung im selben Begriff konfigurieren. Ein ICMP-Meldungscode liefert spezifischere Informationen als ein ICMP-Meldungstyp, die Bedeutung eines ICMP-Meldungscodes hängt jedoch vom zugeordneten ICMP-Meldungstyp ab. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind: Parameter-Problem: `ip-header-bad` ( 0), `required-option-missing` (1) umleiten: `redirect-for-host` ( 1), `redirect-for-network` (0), `redirect-for-tos-and-host` (3), `redirect-for-tos-and-net` (2) Zeitüberschreitung: `ttl-eq-zero-during-reassembly` ( 1), `ttl-eq-zero-during-transit` (0) unerreichbar: `communication-prohibited-by-filtering` ( 13), `destination-host-prohibited` (10), `destination-host-unknown` (7), `destination-network-prohibited` (9), `destination-network-unknown` (6), `fragmentation-needed` (4), `host-precedence-violation` (14), `host-unreachable` (1), (1), `host-unreachable-for-TOS` (12), `network-unreachable` (0), `network-unreachable-for-TOS` (11), `port-unreachable` (3), `precedence-cutoff-in-effect` (15), `protocol-unreachable` (2), `source-host-isolated` (8), `source-route-failed` (5)	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`icmp-code-except message-code`	Stimmen Sie nicht mit dem ICMP-Meldungscodefeld überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `icmp-code` .	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`icmp-type number`	Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein. Sie müssen auch oder `icmpv6` als `protocol` `next-header` Übereinstimmungstyp im selben Begriff konfigurieren`icmp` . Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `echo-reply` ( 0), `echo-request` (8), `info-reply` (16), `info-request` (15), `mask-request` (17), `mask-reply` (18), `parameter-problem` (12), `redirect` (5), `router-advertisement` (9), `router-solicit` (10), `source-quench` (4), `time-exceeded` (11), `timestamp` (13), `timestamp-reply` (14) oder `unreachable` (3). Siehe auch `icmp-code variable`.	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`icmp-type-except message-type`	Stimmen Sie nicht mit dem Feld ICMP-Nachrichtentyp überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `icmp-type` .	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`interface interface-name`	Passen Sie für Eingangsfilter die Schnittstelle an, auf der das Paket empfangen wurde. Gleichen Sie für Ausgangsfilter mit der Schnittstelle überein, an die das Paket gesendet wurde. HINWEIS: Router der PTX5000-Serie unterstützen nicht das Anhängen der `em0.0` Schnittstelle (der internen Verbindung zwischen den Routing- und Paketweiterleitungs-Engines) an `lo0` (die Loopback-Schnittstelle), z. B. zum Filtern von selbstursprünglichem Datenverkehr wie Telnet und SSH, indem ein Firewall-Filter auf lo0 erstellt wird, um dem Datenverkehr auf em0.0 zu entsprechen. Der folgende Codeausschnitt enthält Kontext: firewall filter core-protect { term Telnet { from { protocol tcp; destination-port telnet; interface em0.0; } then accept; } } }	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`interface-except number`	Sie stimmen nicht mit der logischen Schnittstelle überein, auf der das Paket empfangen wurde. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `interface` .	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`is-fragment`	Übereinstimmung, wenn es sich bei dem Paket um ein nachgestelltes Fragment eines fragmentierten Pakets handelt. Stimmt nicht mit dem ersten Fragment eines fragmentierten Pakets überein. HINWEIS: Um sowohl das erste als auch das nachfolgende Fragment abzugleichen, können Sie zwei Begriffe verwenden, die unterschiedliche Übereinstimmungsbedingungen angeben (`first-fragment` und `is-fragment`). Bei PTX10003 Routern, auf denen Junos OS Evolved ausgeführt wird, stimmen alle fragmentierten Pakete, einschließlich des ersten Fragments fragmentierter Pakete, mit jedem Firewall-Filterbegriff überein, der eine "is-fragment"-Übereinstimmung enthält.	IPv4 (inet)-Schnittstellen.
`loss-priority level`	Entspricht der Paketverlustpriorität (PLP). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: `low`, `medium-low`, `medium-high`oder `high`. HINWEIS: Der `loss-priority` Aktionsmodifikator wird in Kombination mit der `policer` Aktion nicht unterstützt.	IPv4 (inet), IPv6 (inet6) und MPLS-Schnittstellen.
`loss-priority-except level`	Nicht mit dem PLP-Wert übereinstimmen. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `loss-priority` .	IPv4 (inet), IPv6 (inet6) und MPLS-Schnittstellen.
`next-header header-type`	Stimmt mit dem ersten 8-Bit-Feld des nächsten Headers im Paket überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `ah` ( 51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), (58), `igmp` `icmpv6` (2), `ipip` (4), (41 `ipv6` ), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) oder `vrrp` (112).	IPv6 (inet6)-Schnittstellen.
`next-header-except header-type`	Stimmen Sie nicht mit dem 8-Bit-Feld "Next Header" überein, das den Typ des Headers zwischen dem IPv6-Header und der Nutzlast angibt. Weitere Informationen finden Sie unter Übereinstimmungstyp `next-header` .	IPv6 (inet6)-Schnittstellen
`packet-length bytes`	Entspricht der Länge des empfangenen Pakets in Bytes. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead. Sie können auch einen Wertebereich angeben, der abgeglichen werden soll.	IPv4- (inet) und IPv6-Schnittstellen (inet6).
`packet-length-except bytes`	Stimmt nicht mit der Länge des empfangenen Pakets in Byte überein. Weitere Informationen finden Sie unter Übereinstimmungstyp `packet-length` .	IPv4- (inet) und IPv6-Schnittstellen (inet6).
`port number`	Stimmen Sie mit dem Feld UDP- oder TCP-Quell- oder Zielport überein. Sie müssen auch die `protocol udp` or `protocol tcp` match-Anweisung im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Es ist nicht möglich, die `destination-port` Übereinstimmungsbedingung oder die `source-port` Übereinstimmungsbedingung im selben Begriff zu konfigurieren. Anstelle des numerischen Werts können Sie eines der unter `destination-port`aufgeführten Textsynonyme angeben.	IPv4- (inet) und IPv6-Schnittstellen (inet6).
`port-except number`	Stimmen Sie weder mit dem Feld für den Quell- noch für den Ziel-UDP oder den TCP-Port überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `port` .	IPv4- (inet) und IPv6-Schnittstellen (inet6).
`precedence ip-precedence-value`	Stimmt mit dem Feld für die IP-Rangfolge überein. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `critical-ecp` ( 0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) oder `routine` (0x00). Sie können die Rangfolge in hexadezimaler, binärer oder dezimaler Form angeben.	IPv4 (inet)-Schnittstellen.
`precedence-except ip-precedence-value`	Stimmen Sie nicht mit dem Feld für die IP-Rangfolge überein.	IPv4 (inet)-Schnittstellen.
`protocol number`	Übereinstimmung mit dem Feld IPv4-Protokolltyp. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die numerischen Werte werden ebenfalls aufgelistet): `hop-by-hop (0)`,`icmp (1)`, `icmp6`, `igmp (2)`, `ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)`	IPv4 (inet)-Schnittstellen.
`protocol-except number`	Stimmen Sie nicht mit dem Feld IP-Protokolltyp überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `ah` ( 51), `dstopts` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), (58), `igmp` `icmpv6` (2), `ipip` (4), (41 `ipv6` ), `ospf` (89), `pim` (103), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) oder `vrrp` (112).	IPv4 (inet)-Schnittstellen.
`source-address ip-address`	IP-Quelladressfeld, bei dem es sich um die Adresse des Knotens handelt, der das Paket gesendet hat.	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`source-address address [ except ]`	Stimmt mit der IP-Adresse des Quellknotens überein, der das Paket sendet, es sei denn, die `except` Option ist enthalten. Wenn die Option enthalten ist, stimmt sie nicht mit der IP-Adresse des Quellknotens überein, der das Paket sendet. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als `source-address` auch die `address`Übereinstimmungsbedingung im selben Begriff anzugeben.	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`source-port value`	Stimmt mit dem TCP- oder UDP-Quellport überein. Sie müssen auch die `protocol udp` or `protocol tcp` match-Anweisung im selben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der `destination-port number` Übereinstimmungsbedingung aufgeführt sind.	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`source-port-except number`	Stimmen Sie nicht mit dem Feld für den UDP- oder TCP-Quellport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `source-port` .	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`source-prefix-list prefix-list`	Liste der IP-Quellpräfixe. Sie können eine Liste von IP-Adresspräfixen unter einem Präfixlistenalias für die häufige Verwendung definieren. Definieren Sie diese Liste auf Hierarchieebene `[edit policy-options]` .	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`tcp-flags value`	Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header. Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden. Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die Übereinstimmungsanweisung `protocol tcp` im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird. Nur bei IPv4-Datenverkehr wird mit dieser Übereinstimmungsbedingung nicht implizit überprüft, ob das Datagramm das erste Fragment eines fragmentierten Pakets enthält. Um diese Bedingung nur für IPv4-Datenverkehr zu überprüfen, verwenden Sie die Übereinstimmungsbedingung `first-fragment` .	IPv4-Schnittstellen (inet) und IPv6-Schnittstellen (inet6).
`traffic-class value`	8-Bit-Feld, das die Class-of-Service (CoS)-Priorität des Pakets angibt. Das Feld traffic-class wird verwendet, um einen DiffServ-Codepunkt (DSCP)-Wert anzugeben. Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet, und die Semantik dieses Felds (z. B. DSCP) ist identisch mit der von IPv4. Sie können eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `af11 (10)`, `af12 (12)`, `af13 (14)`, `af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)`	IPv6 (inet6)-Schnittstellen.
`traffic-class-except number`	Stimmen Sie nicht mit dem 8-Bit-Feld überein, das die CoS-Priorität des Pakets angibt. Weitere Informationen finden Sie in der Beschreibung des `traffic-class` Spiels.	IPv6 (inet6)-Schnittstellen.
`ttl number`	Entspricht der IPv4- oder IPv6-Gültigkeitsdauer. Geben Sie einen TTL-Wert oder einen Bereich von TTL-Werten an. Für `number`können Sie einen oder mehrere Werte von `0` bis `255`angeben.	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`ttl-except number`	Stimmen Sie nicht mit der IPv4- oder IPv6-TTL-Nummer überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `ttl` .	IPv4 (inet) und IPv6 (inet6) Schnittstellen.
`vxlan`	Geben Sie einen numerischen Wert oder einen Bereich numerischer Werte für den VNI an. Wenden Sie den Filter auf die Eingangsschnittstellean. `vni vni-value`– Passen Sie den VNI an. `vni-except vni-value`– Nicht mit dem VNI übereinstimmen. HINWEIS: Ab Junos OS Evolved Version 23.4R2 können Sie sowohl auf Eingangs- als `vni-except` auch auf Ausgangsschnittstellen numerische Werte nach einer `vxlan` Übereinstimmungsbedingung filtern`vni`.	IPv4 (inet)-Schnittstellen.

Use-Anweisungen then , um Aktionen zu definieren, die ausgeführt werden sollen, wenn ein Paket alle Bedingungen in einer from Anweisung erfüllt. Tabelle 2 Zeigt die Aktionen an, die Sie in einem Begriff angeben können. (Wenn Sie keine then Anweisung angeben, akzeptiert das System Pakete, die dem Filter entsprechen.)

Tabelle 2: Aktionen und Aktionsmodifikatoren
Action!	Beschreibung
`accept`	Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen.
`discard`	Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.
`count counter-name`	Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.
`forwarding-class class`	Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse: `best-effort` `fcoe` `mcast` `network-control` `no-loss` HINWEIS: Die `forwarding-class` Aktion wird auf IPv4-, IPv6- und MPLS-Schnittstellen unterstützt.
`log`	Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine. Um diese Informationen anzuzeigen, geben Sie den `show firewall log` Befehl Betriebsmodus ein. HINWEIS: Der `log` Aktionsmodifizierer wird nur auf IPv4- und IPv6-Eingangsschnittstellen unterstützt.
`loss-priority level`	Legen Sie die Paketverlustpriorität (PLP) fest.
`policer policer-name`	Senden von Paketen an einen Policer (zum Zweck der Anwendung der Ratenbegrenzung). Die PTX10003 unterstützt zweifarbige, einstufige, dreifarbige (srTCM) und zweistufige, dreifarbige (trTCM) Policer. HINWEIS: Der `policer` Aktionsmodifikator wird in Kombination mit der `loss-priority` Aktion nicht unterstützt.
`redirect instance-name`	(Wird nur auf PTX10004-, PTX10008- und PTX10016-Geräten unterstützt, auf denen Junos Evolved OS Version 22.1R1 ausgeführt wird.) Senden von Paketen an den P4-Controller, wie in der Instanz angegeben, die auf der `[services inline-monitoring instance instance-name` controller `p4]` Ebene der Junos-Hierarchie definiert ist.
`reject message-type`	Verwerfen Sie ein Paket, und senden Sie die ICMPv4- oder ICMPv6-Meldung "Ziel nicht erreichbar" (Typ 3). Um abgelehnte Pakete zu protokollieren, konfigurieren Sie den `syslog` Aktionsmodifizierer. Sie können einen der folgenden Nachrichtentypen angeben: `administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,` . HINWEIS: Der `tcp-reset` Nachrichtentyp wird nicht unterstützt. Wenn Sie keinen Nachrichtentyp angeben, wird die ICMP-Benachrichtigung "Ziel nicht erreichbar" mit der Standardnachricht "Kommunikation administrativ gefiltert" gesendet.
`syslog`	Protokollieren Sie eine Warnung für dieses Paket.
`routing-instance instance-name`	Leiten Sie übereinstimmende Pakete an eine virtuelle Routing-Instanz weiter. Pakete können an die Standardinstanz weitergeleitet werden. Unterstützt auf `virtual-router` und `forwarding instance-types.`

Übereinstimmungsbedingungen und -aktionen für IPv6-Firewallfilter (PTX10001-20C)

In diesem Thema werden die Übereinstimmungsbedingungen, Aktionen und Aktionsmodifizierer für IPv6-Firewallfilter für PTX10001-20C-Router beschrieben.

Jeder Begriff in einem Firewallfilter besteht aus Übereinstimmungsbedingungen und einer Aktion. Übereinstimmungsbedingungen sind die Felder und Werte, die ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Sie können einzelne oder mehrere Übereinstimmungsbedingungen in Übereinstimmungsanweisungendefinieren. Sie können auch die no match-Anweisungeinschließen, in diesem Fall stimmt der Begriff mit allen Paketen überein.

Wenn ein Paket mit einem Filter übereinstimmt, führt der Router die im Begriff angegebene Aktion aus. Sie können auch Aktionsmodifikatoren zum Zählen, Spiegeln und Klassifizieren von Paketen angeben. Wenn für den Begriff keine Übereinstimmungsbedingungen angegeben sind, akzeptiert der Router das Paket standardmäßig.

HINWEIS:

Auf PTX10001-20C-Routern können Sie einen Firewallfilter nur auf IPv6-Schnittstellen in Eingangsrichtung anwenden.

Tabelle 3 Beschreibt die unterstützten Übereinstimmungsbedingungen.
Tabelle 4 Zeigt die Aktionen an, die Sie in einem Begriff angeben können. Wenn Sie keine then Anweisung angeben, akzeptiert das System Pakete, die dem Filter entsprechen.
Tabelle 5 Zeigt die Aktionsmodifikatoren an, die Sie zum Zählen, Spiegeln, Ratenbegrenzung und Klassifizieren von Paketen verwenden können.

Tabelle 3: Von IPv6 unterstützte Übereinstimmungsbedingungen
Übereinstimmungsbedingung	Beschreibung
`address address [ except ]`	Stimmt mit dem Feld für die IPv6-Quell- oder Zieladresse überein, es sei denn, die `except` Option ist enthalten. Wenn die Option enthalten ist, stimmen Sie nicht mit dem Feld für die IPv6-Quell- oder Zieladresse überein.
`apply-groups`	Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen.
`apply-groups-except`	Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben.
`destination-address address [ except ]`	Übereinstimmung mit dem IPv6-Zieladressfeld, sofern die `except` Option nicht enthalten ist. Wenn die Option enthalten ist, stimmen Sie nicht mit dem IPv6-Zieladressfeld überein. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als `destination-address` auch die `address`Übereinstimmungsbedingung im selben Begriff anzugeben.
`destination-port number`	Stimmt mit dem Feld UDP- oder TCP-Zielport überein. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als `destination-port` auch die `port`Übereinstimmungsbedingung im selben Begriff anzugeben. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die `next-header udp` Übereinstimmungsbedingung oder `next-header tcp` im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): `afs` ( 1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` ((49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) oder `xdmcp` (177).
`destination-port-except number`	Stimmen Sie nicht mit dem Feld UDP- oder TCP-Zielport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `destination-port` .
`destination-prefix-list prefix-list-name [ except ]`	Ordnen Sie das IPv6-Zielpräfix der angegebenen Liste zu, es sei denn, die `except` Option ist enthalten. Wenn die Option enthalten ist, wird das IPv6-Zielpräfix nicht mit der angegebenen Liste abgeglichen. Die Präfixliste wird auf der `[edit policy-options prefix-list prefix-list-name`Hierarchieebene ] definiert.
`icmp-code message-code`	Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die `next-header icmp` Übereinstimmungsbedingung oder `next-header icmp6` im selben Begriff konfigurieren. Ein ICMP-Meldungscode liefert spezifischere Informationen als ein ICMP-Meldungstyp, die Bedeutung eines ICMP-Meldungscodes hängt jedoch vom zugeordneten ICMP-Meldungstyp ab. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind: Parameter-Problem: `ip6-header-bad` ( 0), `unrecognized-next-header` (1), `unrecognized-option` (2) Zeitüberschreitung: `ttl-eq-zero-during-reassembly` ( 1), `ttl-eq-zero-during-transit` (0) destination-unreachable: `administratively-prohibited` ( 1), `address-unreachable` (3), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	Stimmen Sie nicht mit dem ICMP-Meldungscodefeld überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `icmp-code` .
`message-type`	Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein. Sie müssen auch die Bedingung im selben Begriff konfigurieren `icmp` oder `next-header icmp6` abgleichen. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `certificate-path-advertisement` (149), `certificate-path-solicitation` (148), `destination-unreachable` (1), `echo-reply` (129), `echo-request` (128), `home-agent-address-discovery-reply` (145), `home-agent-address-discovery-request` (144), `inverse-neighbor-discovery-advertisement` (142), `inverse-neighbor-discovery-solicitation` (141), `membership-query` (130), `membership-report` (131), `membership-termination` (132), `mobile-prefix-advertisement-reply` (147), `mobile-prefix-solicitation` (146), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), `parameter-problem` (4), `private-experimentation-100` (100), `private-experimentation-101` (101), `private-experimentation-200` (200), `private-experimentation-201` (201), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) oder `time-exceeded` (3). Für `private-experimentation-201` (201) können Sie auch einen Wertebereich in eckigen Klammern angeben.
`icmp-type-except message-type`	Stimmen Sie nicht mit dem Feld ICMP-Nachrichtentyp überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `icmp-type` .
`next`	Fahren Sie in einem Filter mit dem nächsten Begriff fort.
`next-header header-type`	Stimmt mit dem ersten 8-Bit-Feld für den nächsten Header im Paket überein. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): `ah` ( 51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), (58), `igmp` `icmpv6` (2), `ipip` (4), (41 `ipv6` ), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) oder `vrrp` (112). HINWEIS: `next-header icmp6` und `next-header icmpv6` Übereinstimmungsbedingungen führen die gleiche Funktion aus. `next-header icmp6` ist die bevorzugte Option. `next-header icmpv6` ist in der Junos OS CLI ausgeblendet.
`next-header-except header-type`	Stimmen Sie nicht mit dem 8-Bit-Feld "Next Header" überein, das den Typ des Headers zwischen dem IPv6-Header und der Nutzlast angibt. Weitere Informationen finden Sie unter Übereinstimmungstyp `next-header` .
`port number`	Stimmen Sie mit dem Feld UDP- oder TCP-Quell- oder Zielport überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, können Sie die `destination-port` Übereinstimmungsbedingung oder die `source-port` Übereinstimmungsbedingung nicht im selben Begriff konfigurieren. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die `next-header udp` Übereinstimmungsbedingung oder `next-header tcp` im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie eines der unter `destination-port`aufgeführten Textsynonyme angeben.
`port-except number`	Stimmen Sie nicht mit dem Feld UDP- oder TCP-Quell- oder Zielport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `port` .
`port-mirror instance-name`	Port-Mirror des Pakets.
`port-mirror-instance instance-name`	Port-Spiegelung eines Pakets für eine Instanz.
`prefix-list prefix-list-name [ except ]`	Ordnen Sie die Präfixe der Quell- oder Zieladressfelder den Präfixen in der angegebenen Liste zu, es sei denn, die `except` Option ist enthalten. Wenn die Option enthalten ist, werden die Präfixe der Quell- oder Zieladressfelder nicht mit den Präfixen in der angegebenen Liste abgeglichen. Die Präfixliste wird auf Hierarchieebene `[edit policy-options prefix-list prefix-list-name]` definiert.
`sample`	Probieren Sie die Packung.
`source-address address [ except ]`	Stimmt mit der IPv6-Adresse des Quellknotens überein, der das Paket sendet, es sei denn, die `except` Option ist enthalten. Wenn die Option enthalten ist, stimmt sie nicht mit der IPv6-Adresse des Quellknotens überein, der das Paket sendet. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als `source-address` auch die `address`Übereinstimmungsbedingung im selben Begriff anzugeben.
`source-port number`	Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein. Sie können die `port` Bedingungen und `source-port` übereinstimmen nicht im selben Begriff angeben. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die `next-header udp` Übereinstimmungsbedingung oder `next-header tcp` im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. HINWEIS: Für Junos OS Evolved müssen Sie die `next-header udp` or `next-header tcp` match-Anweisung mit demselben Begriff konfigurieren. Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der `destination-port number` Übereinstimmungsbedingung aufgeführt sind.
`source-port-except number`	Stimmen Sie nicht mit dem Feld für den UDP- oder TCP-Quellport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `source-port` .
`source-prefix-list name [ except ]`	Stimmt mit dem IPv6-Adresspräfix des Paketquellenfelds überein, es sei denn, die `except` Option ist enthalten. Wenn die Option enthalten ist, stimmen Sie nicht mit dem IPv6-Adresspräfix des Paketquellenfelds überein. Geben Sie einen Präfixlistennamen an, der auf Hierarchieebene `[edit policy-options prefix-list prefix-list-name]` definiert ist.

HINWEIS:

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung angeben (die addressdestination-address, oder source-address Übereinstimmungsbedingungen), verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, IP Version 6 Addressing Architecture, beschrieben ist. Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6 – Übersicht und Unterstützte IPv6-Standards.

Tabelle 4: Aktionen für IPv6-Firewallfilter
Action!	Beschreibung
`accept`	Akzeptieren Sie ein Paket. Dies ist die Standardaktion für Pakete, die mit einem Begriff übereinstimmen.
`discard`	Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.
`redirect instance-name`	(Wird nur auf PTX10004-, PTX10008- und PTX10016-Geräten unterstützt, auf denen Junos Evolved OS Version 22.1R1 ausgeführt wird.) Senden von Paketen an den P4-Controller, wie in der Instanz angegeben, die auf `[services inline-monitoring instance instance-name` Controllerebene `p4]` der Junos-Hierarchie definiert ist.

Tabelle 5: Aktionsmodifizierer für IPv6-Firewallfilter
Modifikator "Aktion"	Beschreibung
`count counter-name`	Zählen Sie die Anzahl der Pakete, die mit dem Begriff übereinstimmen.
`forwarding-class class`	Klassifizieren Sie das Paket in eine der folgenden Standardweiterleitungsklassen oder in eine benutzerdefinierte Weiterleitungsklasse: `best-effort` `fcoe` `mcast` `network-control` `no-loss` HINWEIS: Um eine Weiterleitungsklasse zu konfigurieren, müssen Sie auch die Verlustpriorität konfigurieren.
`loss-priority (low \| medium-low \| medium-high \| high)`	Legen Sie die Paketverlustpriorität (PLP) fest.

Auf dieser Seite

Bedingungen und Aktionen für Firewall-Filterübereinstimmung (Router der PTX-Serie)

Bedingungen und Aktionen für Firewall-Filterübereinstimmung (Router der PTX-Serie)

Übereinstimmungsbedingungen und -aktionen für IPv6-Firewallfilter (PTX10001-20C)

Verwandte Themen