Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 トラフィックのファイアウォールフィルタマッチング条件

インターネット プロトコル バージョン 4(IPv4)トラフィック( )の一致条件を使用してファイアウォール フィルタを設定できます family inet

注:

MPC MX シリーズルーターの場合、対応する SNMP MIB を歩いて、MIB 内の Trio 専用マッチ フィルターのフィルタ カウンターを初期化する必要があります。 show snmp mib walk name ascii これにより、Junos カウンターを学習し、フィルタ統計情報が確実に表示されます(これは、統計情報をフィルタするための最初のポーリングですべてのカウンターが表示されない可能性があるためです)。このガイダンスは、すべての拡張モード ファイアウォール フィルター、柔軟な条件のフィルタ、特定の終了アクションを持つフィルタに適用されます。詳細については、関連ドキュメントに記載されているトピックを参照してください。

表 1match-conditions階層レベルで設定できるについて説明し[edit firewall family inet filter filter-name term term-name from]ます。

表 1: IPv4 トラフィックのファイアウォールフィルタマッチング条件

条件の照合

説明

address address [ except ]

exceptオプションが含まれていない場合は、IPv4 送信元または宛先アドレスフィールドと一致します。オプションが含まれている場合は、IPv4の送信元または宛先アドレス フィールドを一致しません。

この except 大支援は、現在のプラットフォームEX2300サポートEX3400されていません。

ah-spi spi-value

(M Series ルーター (M120 と M320 を除く)IPsec 認証ヘッダー (AH) security parameter index (SPI) 値と一致させます。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

ah-spi-except spi-value

(M Series ルーター (M120 と M320 を除く)IPsec AH SPI 値と一致しません。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

apply-groups

構成データを継承するグループを指定します。複数のグループ名を指定できます。継承の優先度の順に列挙する必要があります。最初のグループの設定データは、その後のグループのデータよりも優先されます。

apply-groups-except

構成データを継承しないグループを指定します。複数のグループ名を指定できます。

destination-address address [ except ]

exceptオプションが含まれていない場合は、IPv4 宛先アドレスフィールドと一致します。オプションが含まれている場合は、IPv4宛先アドレス フィールドを一致しません。

同じ用語にaddress and destination-address match 条件を指定することはできません。

destination-class class-names

1つ以上の指定された宛先クラス名 (宛先にグループ化し、クラス名を指定した一連のプレフィックス) と一致します。詳細については、「アドレスクラスに基づいたファイアウォールフィルターの一致条件」を参照してください。

destination-class-except class-names

指定された1つ以上の宛先クラス名と一致しません。詳細についてはdestination-class 、照合条件を参照してください。

destination-port number

宛先ポートフィールドとして UDP または TCP を入力します。

同じ用語にport and destination-port match 条件を指定することはできません。

この照合条件を構成する場合は、ポートで使用されるprotocol udpプロトコルprotocol tcpを指定するために、同じ用語で or match ステートメントを設定することをお勧めします。

注:

Junos OS 進化するには、同じ用語protocolで match ステートメントを設定する必要があります。

数値の代わりに、次のいずれかの同義語を指定できます (ポート番号も表示されています)。afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(514)、(2401)、(67)(53)(2105)、(2106)、(512)、(79)、(20)、(80)、 cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)(389)、(646)、(513)、(434)、(635)、(639)、(639)、 identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)(110)、(1723)、(515)(1813)、(1812)、(520)、(2108)、(2) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmp (161)、(161)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)(69)、(525)、(513)、(177) snmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-port-except number

UDP または TCP 宛先ポートフィールドと一致しません。詳細についてはdestination-port 、照合条件を参照してください。

destination-prefix-list name [ except ]

オプションが含まれていない場合は、指定されたリストの宛先プレフィックスを検索します。 except オプションが含まれている場合は、指定されたリストの宛先プレフィックスと一致しません。

階層レベルで[edit policy-options prefix-list prefix-list-name定義されたプレフィックスリストの名前を指定します。

dscp number

DSCP (差別化サービスコードポイント) と一致させます。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最も重要な 6 ビットが DSCP を形成しています。詳細については、「振る舞い集約分類子が信頼できるトラフィックの優先度を設定する方法の理解」を参照してください

汎用ルーティングカプセル化 (GRE) にカプセル化された IS-IS パケットなど、ルーティングエンジン元のパケットの差別化サービスコードポイント (DSCP) と転送クラスのフィルタリングのためのサポートが追加されました。その後、以前のバージョンの Junos OS からアップグレードする際に、サービスのクラス (CoS) とファイアウォールフィルタの両方があり、その両方に DSCP または転送クラスフィルタアクションが含まれていると、ファイアウォールフィルターの基準が自動的に優先されます。CoS 設定新しい設定を作成する場合は、同じことが当てはまります。つまり、同じ設定が存在する場合、最初に作成されたかどうかに関係なく、ファイアウォールフィルターが CoS よりも優先されます。

From からの0数値を指定でき63ます。16進形式で値を指定するに0xは、接頭辞として含めます。バイナリ形式で値を指定するにはb 、接頭辞として含めます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

  • RFC 3246, An Expedited Forwarding PHB(Per-Hop Behavior)では、1 つのコード ポイントを定義しています。ef(46).

  • RFC 2597, Assured Forwarding PHB Groupでは、4 つのクラスを定義し、各クラスでは 3 つのドロップ precedence を、合計 12 のコード ポイントを定義しています。

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

dscp-except number

DSCP 番号に一致しません。詳細については、 dscp照合条件を参照してください。

esp-spi spi-value

IPsec カプセル化セキュリティーペイロード (ESP) SPI 値と一致します。この特定の SPI 値に対応します。ESP SPI 値は16進数、バイナリ、または10進数の形式で指定できます。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

esp-spi-except spi-value

IPsec ESP SPI 値と一致します。この特定の SPI 値には一致しません。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

first-fragment

パケットが断片化されたパケットの最初のフラグメントである場合に照合します。パケットがフラグメント パケットの末尾フラグメントの場合は、一致しません。断片化されたパケットの最初のフラグメントにはフラグメントオフセット0値があります。

この照合条件は、ビットフィールド照合条件fragment-offset 0の照合条件のエイリアスです。

最初と最後の両方のフラグメントを照合するには、異なる一致条件を指定する2つの用語を使用できます。first-fragmentand is-fragment.

flexible-match-mask value

bit-length

ビット単位で一致するデータの長さ (文字列入力には不要) (0 ~ 128)

bit-offset

(Match-start + byte) オフセットの後のビットオフセット (0.. 7)

byte-offset

対戦開始点の後のバイトオフセット

flexible-mask-name

定義済みのテンプレートフィールドから柔軟に一致するものを選択

mask-in-hex

一致させるパケットデータのビットをマスクする

match-start

パケットで一致させる開始ポイント

prefix

一致させる値データ/文字列

flexible-match-range value

bit-length

ビット単位で一致するデータの長さ (0 ~ 32)

bit-offset

(Match-start + byte) オフセットの後のビットオフセット (0.. 7)

byte-offset

対戦開始点の後のバイトオフセット

flexible-range-name

定義済みのテンプレートフィールドから柔軟に一致するものを選択

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

この範囲の値と一致させない

forwarding-class class

パケットの転送クラスに一致します。

assured-forwardingbest-effort、またはnetwork-controlを指定します。 expedited-forwarding

転送クラスとルーター内部出力キューの詳細については、「転送クラスが出力キューにクラスを割り当てる方法を理解する」を参照してください。

forwarding-class-except class

パケットの転送クラスと一致しません。詳細についてはforwarding-class 、照合条件を参照してください。

fragment-flags number

(受信のみ)IP ヘッダーの3ビット IP フラグメント化フラグフィールドと一致させます。

数値フィールド値の代わりに、以下のいずれかのキーワードを指定できます (フィールド値も示されています)。dont-fragmentmore-fragments(0x4)、(0x2)、または reserved (0x8)。

fragment-offset value

IP ヘッダーの13ビットフラグメントオフセットフィールドと比較します。この値は、データフラグメントへの総データグラムメッセージにおける8バイト単位のオフセットです。数値、値の範囲、または値セットを指定します。オフセット値は、 0断片化されたパケットの最初のフラグメントを示します。

first-fragment照合条件は、 fragment-offset 0照合条件のエイリアスです。

先頭と末尾の両方のフラグメントを照合するには、異なる一致条件 (first-fragment and is-fragment) を指定する2つの用語を使用できます。

fragment-offset-except number

13ビットのフラグメントオフセットフィールドと一致していません。

gre-key 範囲

Gre キーフィールドと一致します。GRE のキーフィールドは、GRE encapsulator によって挿入される4つのオクテット数です。GRE カプセル化で使用するためのオプションフィールドです。範囲 には 、単一のGREキー番号またはキー番号の範囲を指定できます。

MPCs を使用した MX シリーズルーターの場合は、この条件を含む新しいファイアウォールフィルターを、対応する SNMP MIB をたどることで初期化します。

icmp-code number

ICMP メッセージのコードフィールドと一致します。

注:

この一致条件を使用する場合は、同じ条件(以下に示すように)で一致条件を使用して、パケットが評価されている protocol icmpicmp 必要があります。

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

また、同じ用語でicmp-type message-type対戦条件を設定する必要があります。Icmp メッセージコードは、ICMP メッセージタイプよりも具体的な情報を提供しますが、ICMP メッセージコードの意味は、関連付けられている ICMP メッセージタイプによって異なります。

数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。

  • パラメーターの問題:ip-header-badrequired-option-missing(0)、(1)

  • リダイレクトredirect-for-hostredirect-for-networkredirect-for-tos-and-host (1)、(0)、(3)、(2) redirect-for-tos-and-net

  • 時間超過:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • ませcommunication-prohibited-by-filteringdestination-host-prohibiteddestination-host-unknowndestination-network-prohibiteddestination-network-unknown (13)、(10)、(7)、(9)、(4)、(14)、(12)、(12)、(11)、(3)、(15)、(2)、(8)、(5) fragmentation-neededhost-precedence-violationhost-unreachablehost-unreachable-for-TOSnetwork-unreachablenetwork-unreachable-for-TOSport-unreachableprecedence-cutoff-in-effectprotocol-unreachablesource-host-isolatedsource-route-failed

icmp-code-except message-code

ICMP メッセージコードフィールドと一致しません。詳細についてはicmp-code 、照合条件を参照してください。

icmp-type number

ICMP メッセージタイプフィールドと一致します。

注:

この一致条件を使用する場合は、同じ条件(以下に示すように)で一致条件を使用して、パケットが評価されている protocol icmpicmp 必要があります。

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

また、同じ用語でicmp-type message-type対戦条件を設定する必要があります。Icmp メッセージコードは、ICMP メッセージタイプよりも具体的な情報を提供しますが、ICMP メッセージコードの意味は、関連付けられている ICMP メッセージタイプによって異なります。

注:

Junos OS 進化するには、同じ用語protocolで match ステートメントを設定する必要があります。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。echo-replyecho-requestinfo-replyinfo-requestmask-request (0)、(8)、(16)、(15)、(18)、(12)、(5)、(9)、(10)、(4)、(11)、(13)、(14)、(3) mask-replyparameter-problemredirectrouter-advertisementrouter-solicitsource-quenchtime-exceededtimestamptimestamp-replyunreachable

icmp-type-except message-type

ICMP メッセージタイプフィールドと一致しません。詳細についてはicmp-type 、照合条件を参照してください。

interface interface-name

パケットが受信されたインターフェイスと一致します。

注:

存在しないインターフェイスでこの一致条件を設定した場合、条件はパケットと一致しません。

interface-group group-number

パケットを受信した論理インターフェイスと、指定したインターフェイスグループまたは一連のインターフェイスグループに一致させます。[ group-number] には、0 ~ 255 の1つの値または範囲内の値を指定します。

インターフェイスグループgroup-numberに論理インターフェイスを割り当てるにはgroup-number[interfaces interface-name unit number family family filter group]階層レベルでを指定します。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

詳細については、「一連のインターフェイスグループで受信したパケットのフィルタリングの概要」を参照してください。

interface-group-except group-number

パケットを受信した論理インターフェイスと、指定されたインターフェイスグループまたはインターフェイスグループのセットには一致しません。詳細についてはinterface-group 、照合条件を参照してください。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

interface-set interface-set-name

パケットを受信したインターフェイスを指定されたインターフェイス セットに一致します。

インターフェイス セットを定義するには、ステートメント interface-set を階層レベルに [edit firewall] 含てます。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

詳細については、「インターフェイスセットで受信したパケットのフィルタリングの概要」を参照してください。

ip-options values

8 ビット IP オプション フィールド(存在する場合)を、指定された値または値のリストに一致します。

数値の代わりに、次のいずれかのテキストシノニムを指定できます (オプション値も表示されます)。loose-source-routerecord-routerouter-alertsecurity (131)、(7)、(148)、(130)、(136)、(137)、または stream-idstrict-source-routetimestamp (68)。

IPオプション の任意 の値を一致するには、テキスト シノニムを使用 any します。複数の値を 致するには、角括弧内の値のリストを指定します(' [ および ' ] 。値の範囲に一致させるには、値value1-value2 ]の指定を使用します。

たとえば、一致条件は 、またはの値、または0から147の他の値を含むIPオプション ip-options [ 0-147 ]loose-source-route フィールドで record-routesecurity 一致します。ただし、この一致条件は、値のみを含む IP オプション フィールド router-alert では一致しません(148)。

ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外の値)で一致を指定するフィルタ条件では、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるよう、パケットが ルーティング エンジン に送信されます。 ip-optionany

  • 1 つ以上の特定の IP オプション値で一致を指定するファイアウォール フィルタ条件では、同じ条件で終了アクションを指定しない限り、 を指定することはできません。 ip-optioncountlogsyslogdiscard この動作により、ルーター上の通過インターフェイスにフィルターを適用するためのパケット数が二重にカウントされなくなります。

  • カーネルで処理されるパケットは、システムのボトルネックが生じた場合にドロップすることができます。一致するパケットをパケット転送エンジンに送信する (パケット処理がハードウェアに実装されている) ようにするip-options anyには、match 条件を使用します。

MX シリーズ ルーターの 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、100 ギガビット イーサネット MPC、60 ギガビット イーサネット MPC、60 ギガビット イーサネット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。これらの MPCs で構成されているインターフェイスの場合、 ip-options match 条件を使用して照合されたすべてのパケットが、処理のためにパケット転送エンジンに送信されます。

注:

M と T シリーズのルーターでは、ファイアウォールip-optionsフィルターは、1つのオプションタイプとインターフェイスごとにパケットをカウントできません。このshow pfe statistics ip optionsコマンドを使用して、pfe 単位でip-options統計情報を表示することは、制限された回避策です。サンプル出力にpfe 統計 ip を表示するを参照してください。

この ip-options any 一致条件は、Evolved OSリリースリリースPTX10003でPTX10008シリーズ ルーターおよびJunosでサポート20.2R1。

ip-options-except values

IP オプションフィールドを指定した値または値リストと一致させないでください。を指定する方法のvalues詳細についip-optionsては、照合条件を参照してください。

is-fragment

この条件を使用すると、IP ヘッダーで More fragment フラグが有効になっている場合、またはフラグメントオフセットが0でない場合にマッチングが行われます。

注:

先頭と末尾の両方のフラグメントを照合するには、異なる一致条件 (first-fragment and is-fragment) を指定する2つの用語を使用できます。

loss-priority level

パケット損失の優先度 (PLP) レベルと一致します。

1つまたは複数のレベルを指定します。lowmedium-lowmedium-high、またhighはです。

ネットワークルーター M120およびM320サポート。M7i CFEB(CFEB-E M10i使用したルーターのルーティングと設定)ネットワークMX シリーズルーターをサポートします

M320、MX シリーズ、T Series ルーターで拡張 II フレキシブル PIC コンセントレータ(FPC)を使用する場合、階層レベルに ステートメントを含め、4 つのレベルが指定された任意の tri-color PLP 設定をコミットする必要があります。 [edit class-of-service]tri-color明細書が有効になっていない場合は、 highおよびlowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

このtri-color文の詳細については、 Tricolor マーキングポリサーの設定と適用を参照してください。行動集約 (BA) 分類子を使用して受信パケットの PLP レベルを設定する方法については、「振る舞い集約分類子が信頼されるトラフィックの優先度を付ける方法を理解する」を参照してください。

loss-priority-except level

PLP レベルとは一致しません。詳細についてはloss-priority 、照合条件を参照してください。

packet-length bytes

受信パケットの長さをバイト単位で照合します。長さはパケット ヘッダーを含む IP パケットのみを指し、レイヤー 2 のカプセル化オーバーヘッドは含されません。また、一致させる値の範囲を指定することもできます。

packet-length-except bytes

受信パケットの長さがバイト数であるとは限りません。詳細についてはpacket-length 、「マッチングタイプ」を参照してください。

port number

UDP または TCP 送信元または宛先ポートフィールドと一致します。

この照合条件を設定した場合、同一destination-portの用語で一致source-port条件またはマッチ条件を設定することはできません。

この照合条件を構成する場合は、ポートで使用されるprotocol udpプロトコルprotocol tcpを指定するために、同じ用語で or match ステートメントを設定することをお勧めします。

注:

Junos OS 進化するには、同じ用語protocolで match ステートメントを設定する必要があります。

数値の代わりに、[] destination-portにリストされているいずれかのテキストシノニムを指定できます。

port-except number

送信元または宛先 UDP または TCP ポートフィールドのいずれかと一致しません。詳細についてはport 、照合条件を参照してください。

precedence ip-precedence-value

IP 優先度フィールドと一致します。

数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。critical-ecpflashflash-override (0xa0)、(0x60)、(0x80)、(0x40)、(0xc0)、(0xe0)、(0x20)、または immediateinternet-controlnet-controlpriorityroutine (0x00) 優先度は、16進、2進数、10進数のいずれかの形式で指定できます。

precedence-except ip-precedence-value

IP 優先度フィールドと一致しません。

数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。critical-ecpflashflash-override (0xa0)、(0x60)、(0x80)、(0x40)、(0xc0)、(0xe0)、(0x20)、または immediateinternet-controlnet-controlpriorityroutine (0x00) 優先度は、16進、2進数、10進数のいずれかの形式で指定できます。

prefix-list name [ except ]

オプションが含まれていない場合は、送信元または宛先アドレスフィールドのプレフィックスを指定したリスト内のプレフィックスに一致させます。 except オプションを含める場合は、送信元または宛先アドレス フィールドのプレフィックスを、指定されたリストのプレフィックスと一致しません。

プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されています。

注:

この照合条件は PTX1000 ルーターではサポートされていません。

protocol number

IP プロトコルタイプフィールドと一致します。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ahdstoptsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(1)、(58)、(58)、(2)、(41)、(41)、(89)、(46)、(132)、(17)、(17)、(112) grehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudpvrrp

protocol-except number

IP プロトコルタイプフィールドと一致しません。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ahdstoptsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(1)、(58)、(58)、(2)、(41)、(41)、(89)、(46)、(132)、(17)、(17)、(112) grehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

rat-type tech-type-value

Proxy Mobile IPv4 (PMIPv4) アクセス技術タイプ拡張の8ビットの技術タイプフィールドに指定されている無線アクセステクノロジ (RAT) タイプと一致します。技術タイプは、モバイルデバイスをアクセスネットワークに接続する際に使用するアクセス技術を指定します。

1つの値、値の範囲、または値セットを指定します。0 ~ 255 の数値として、またはシステムキーワードとして技術タイプを指定できます。

  • 以下の数値は、よく知られている技術タイプの例です。

    • 数値 1 は 802.3 IEEE一致します。

    • 数値 2 は 802.11a/b/g IEEE一致します。

    • 数値 3 は 802.16e IEEE一致

    • 数値 4 は 802.16m IEEE一致します。

  • テキスト文字列eutranは4g と一致します。

  • テキスト文字列geranは2g と一致します。

  • テキスト文字列utranは3g と一致します。

rat-type-except tech-type-value

RAT タイプと一致しません。

service-filter-hit

service-filter-hit アクションが適用されたフィルターから受信したパケットを照合します。

注:

この照合条件は、PTX シリーズルーターではサポートされていません。

source-address address [ except ]

exceptオプションが含まれていない場合、パケットを送信する送信元ノードの IPv4 アドレスと一致させます。オプションが含まれている場合は、パケットを送信しているソース ノードの IPv4 アドレスを一致しません。

同じ用語にaddress and source-address match 条件を指定することはできません。

source-class class-names

1つ以上の指定されたソースクラス名 (一連の送信元プレフィックスをグループ化し、クラス名を指定) と一致します。詳細については、「アドレスクラスに基づいたファイアウォールフィルターの一致条件」を参照してください。

source-class-except class-names

指定された1つ以上のソースクラス名と一致しません。詳細についてはsource-class 、照合条件を参照してください。

source-port number

UDP または TCP 送信元ポートフィールドと一致させます。

port And source-port match 条件を同じ用語で指定することはできません。

IPv4 トラフィックに対してこの照合条件を構成する場合は、このポートでprotocol udp使用protocol tcpされるプロトコルを指定するために、または同じ用語で match ステートメントも設定することをお勧めします。

注:

Junos OS 進化するには、同じ用語protocolで match ステートメントを設定する必要があります。

数値の代わりに、 destination-port number一致条件としてリストされたいずれかのテキストシノニムを指定できます。

source-port-except number

UDP または TCP 送信元ポート フィールドを一致しません。詳細についてはsource-port 、照合条件を参照してください。

source-prefix-list name [ except ]

オプションが含まれていない場合は、指定されたリストのソース接頭辞と一致します。 except オプションが含まれている場合は、指定されたリストの送信元プレフィックスを一致しません。

階層レベルで[edit policy-options prefix-list prefix-list-name定義されたプレフィックスリストの名前を指定します。

tcp-established

確立された TCP セッションの TCP パケット (接続の最初のパケット以外のパケット) を照合します。これは、のtcp-flags "(ack | rst)"エイリアスです。

この照合条件は、プロトコルが TCP であることを暗黙で確認するものではありません。これを確認するにはprotocol tcp 、照合条件を指定します。

tcp-flags value

TCP ヘッダーの 8 ビット TCP フラグ フィールドで、低次 6 ビットの 1 つ以上を一致します。

個々のビットフィールドを指定するには、次のようなテキストシノニムまたは16進値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは初期パケットの後に送信されるすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを連結することができます。

組み合わせビットフィールドの match 条件についてはtcp-establishedtcp-initial 「and match 条件」を参照してください。

この照合条件を構成する場合は、同じ用語でprotocol tcp match ステートメントを設定して、TCP プロトコルがポートで使用されるように指定することをお勧めします。

IPv4 トラフィックの場合のみ、この一致条件は、データグラムにフラグメント化されたパケットの最初のフラグメントが含まれているかどうかを明示的にチェックしません。IPv4 トラフィックに対してのみこの条件を確認するにfirst-fragmentは、match 条件を使用します。

tcp-initial

TCP 接続の最初のパケットと一致します。これは、のtcp-flags "(!ack & syn)"エイリアスです。

この状況では、プロトコルが TCP であることが暗黙的に確認されるわけではありません。この照合条件を構成する場合は、同じ用語でprotocol tcp照合条件も設定することをお勧めします。

ttl number

IPv4 の time to live 番号に一致します。TTL 値または TTL 値の範囲を指定します。の number 場合、 から の 1 つ以上の値を 0 指定 255 できます。この照合条件は、M120、M320、MX シリーズ、T Series ルーターでのみサポートされています。

ttl-except number

IPv4 の TTL 番号に一致しません。詳細についてはttl 、照合条件を参照してください。

リリース履歴テーブル
リリース
説明
13.3R7
汎用ルーティングカプセル化 (GRE) にカプセル化された IS-IS パケットなど、ルーティングエンジン元のパケットの差別化サービスコードポイント (DSCP) と転送クラスのフィルタリングのためのサポートが追加されました。