Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4トラフィックのファイアウォールフィルター一致条件

Internet Protocol version 4(IPv4)トラフィック(family inet)の一致条件があるファイアウォールフィルターを設定できます。

注:

MPCを搭載したMXシリーズルーターでは、例えば、show snmp mib walk name ascii などの対応するSNMP MIBをウォークすることでMIBのTrio-only一致フィルターのフィルターカウンターを初期化する必要があります。これにより、Junos はフィルター カウンターを学習し、フィルター統計が表示されようにします(これは、統計をフィルターする最初のポールがすべてのカウンターを表示しない場合があるためです)。このガイダンスは、すべての拡張モード ファイアウォール フィルター、柔軟な条件を有するフィルター、特定の終了アクションを有するフィルターに適用されます。詳細については、関連ドキュメントの下に記載されているこれらのトピックを参照してください。

表 1 は、[edit firewall family inet filter filter-name term term-name from] 階層レベルで設定できる match-conditionsを説明します。

表 1: IPv4トラフィックのファイアウォールフィルター一致条件

一致条件

説明

address address [ except ]

exceptオプションが含まれていない限り、IPv4送信元または宛先アドレスフィールドが一致します。オプションが含まれている場合、IPv4 送信元または宛先アドレス フィールドが一致しません。

except 修飾子は、EX2300 および EX3400 プラットフォームではサポートされていません。

ah-spi spi-value

(M120 と M320 を除く M シリーズ ルーター)IPsec 認証ヘッダー(AH)SPI(セキュリティ パラメーター インデックス)値に一致します。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

ah-spi-except spi-value

(M120 と M320 を除く M シリーズ ルーター)IPsec AH SPI 値に一致しません。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

apply-groups

設定データを継承するグループを指定します。複数のグループ名を指定できます。継承する優先度順に一覧化する必要があります。最初のグループの設定データは、以降のグループのデータよりも優先されます。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

destination-address address [ except ]

exceptオプションが含まれていない限り、IPv4 宛先アドレス フィールドに一致します。オプションが含まれている場合、IPv4 宛先アドレス フィールドに一致しません。

同じ条件に addressおよびdestination-address 一致条件を両方指定することはできません。

destination-class class-names

1 つ以上の指定された宛先クラス名(まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット)に一致します。詳細については、アドレス クラスに基づくファイアウォール フィルター一致条件を参照してください。

destination-class-except class-names

1つ以上の指定された宛先クラス名に一致しません。詳細については、 destination-class一致条件を参照してください。

destination-port number

UDP または TCP 宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protocol tcp一致ステートメントを設定することもお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で protocol 一致ステートメントを設定する必要があります。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afsekloginekshellfingerftpftp-datahttpimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnfsdnntpntalkntppop3printerradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedxdmcp (1483)、 (bgp179)、 (512)、 (68)、 (67bootps)、 (514)、 (2401)、 (67)、 (53)、 (2domain105)dhcp、 (2106)、 (512)、 (79exec)、 (21)、 (20)、 (80)、 (443)、 (113)、 (143)、 (88)、 (543)、 (761)、 (754)、 (760)、 (544https)、 (389)、 (646)、 (513)、 (434)、 (435)、 (639)、login (138)、 (137)、 (139)、 (2049)、 (119)、 (518)、 biff(123)、 (110)、 (1723)、 bootpc(515)、 (1813)、cmd (1812)、 (520)、 pptp(2108)、 (25)、 (161)、 (162)、 (444)、 (netbios-ssn1080)、 (22)、 (111)、 (514)、 (49)、 (65)、 (517)、 (23)、 (69)、 (525)、 (513)、or  (177).identcvspserverwholdp

destination-port-except number

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port一致条件を参照してください。

destination-prefix-list name [ except ]

exceptオプションが含まれていない限り、指定されたリスト で宛先プレフィックスに一致します。オプションが含まれている場合、指定されたリストの宛先プレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックス リストの名前を指定します。

dscp number

DSCP(差別化されたサービス コード ポイント)に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位の 6 ビットが DSCP を形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。

DSCP(差別化されたサービスコードポイント)上でのフィルタリングと、GRE(一般ルーティングのカプセル化)でカプセル化されたIS-ISパケットを含めた、ルーティングエンジンからのパケット用クラスの転送に対するサポートが追加されました。その後、CoS(サービス クラス)とファイアウォール フィルター両方がある Junos OS の以前のバージョンからアップグレードし、両方に DSCP または転送クラス フィルター アクションの両方が含まれている場合、ファイアウォール フィルターの基準が CoS 設定よりも自動的に優先されます。新しい設定を作成する場合も同じです。つまり、同じ設定が存在する場合、最初に作成されたものに関係なく、ファイアウォール フィルターが CoS よりも優先されます。

0から 63までの数値を指定できます。値を 16 進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1 つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計 12 子の 3 つのコード ポイントに対し、4 つのクラスを定義します(各クラスには 3 つのドロップ優先順位があります)。

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

dscp-except number

DSCP 数上では一致しません。詳細については、dscp 一致条件を参照してください。

esp-spi spi-value

IPsec ESP(カプセル化セキュリティ ペイロード)SPI 値に一致します。この特定のSPI値に一致します。16進法、2進法、または1進法でESP SPI値を指定できます。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

esp-spi-except spi-value

IPsec ESP SPI値に一致します。この特定の SPI 値では一致しません。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

first-fragment

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。パケットがフラグメント パケットの追跡フラグメントである場合、一致しません。フラグメントパケットの最初のフラグメントに、値が0のフラグメントオフセットがあります。

この一致条件は、ビットフィールド一致条件 fragment-offset 0 一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます。first-fragmentis-fragment があります。

flexible-match-mask

bit-length

一致させるデータの長さ(ビット単位)、文字列入力には不要(0..128)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビット オフセット

byte-offset

一致開始ポイント後のバイト オフセット

flexible-mask-name

定義済み テンプレート フィールドから柔軟な一致を選択します。

mask-in-hex

一致するパケット データ内のマスク アウト ビット

match-start

パケットで一致させる開始ポイント

prefix

一致する値データ/文字列

flexible-match-range

bit-length

一致させるデータの長さ(ビット単位)(0..32)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビット オフセット

byte-offset

一致開始ポイント後のバイト オフセット

flexible-range-name

定義済み テンプレート フィールドから柔軟な一致を選択します。

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

値のこの範囲に一致しません

forwarding-class class

パケットの転送クラスに一致します。

assured-forwardingbest-effortexpedited-forwarding、 またはnetwork-control を指定します。

転送クラスとルーター内出力キューについては、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

forwarding-class-except class

パケットの転送クラスに一致しません。詳細については、 forwarding-class一致条件を参照してください。

fragment-flags number

イングレスのみ)IP ヘッダーの 3 ビット IP フラグメント化フラグ フィールドに一致します。

数字フィールド値の代わりに、以下のキーワード(フィールド値も記載されています)のいずれかを指定します。dont-fragment (0x4)、more-fragments(0x2)、またはreserved (0x8)。

fragment-offset value

IP ヘッダーの 13 ビット フラグメント オフセット フィールドに一致します。値は、データフラグメントに対する全体的なデータグラムメッセージのオフセット(8バイト単位)です。数字値、値の範囲、または値のセットを指定します。0のオフセット値は、フラグメント パケットの最初のフラグメントを示しています。

first-fragment一致条件は、 fragment-offset 0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます(first-fragmentおよびis-fragment)。

fragment-offset-except number

13 ビット フラグメント オフセット フィールドに一致しません。

gre-key 範囲

gre-key フィールドに一致します。GRE 鍵フィールドは、GRE エンカプスレーターが挿入された 4 オクテット数です。GRE カプセル化で使用するオプション フィールドです。範囲は、単一GRE鍵番号または鍵数の範囲です。

MPC を搭載した MX シリーズ ルーターでは、対応する SNMP MIB をウォークすることで、この条件を含む新しいファイアウォール フィルターを初期化します。

icmp-code number

ICMP メッセージ コード フィールドに一致します。

注:

この一致条件を使用する場合、 icmpパケットが評価されるようにするために、(以下の通り)同じ条件のprotocol icmp 一致条件を使用します。.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMP メッセージ コードは、ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は、関連する ICMP メッセージ タイプに依存します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連する ICMP タイプによってグループ化されます。

  • parameter-problem:ip-header-bad (0)、required-option-missing (1)

  • redirect:redirect-for-host (1)、 redirect-for-network(0)、 redirect-for-tos-and-host(3)、 redirect-for-tos-and-net(2)

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • unreachable:communication-prohibited-by-filtering (13)、 destination-host-prohibited(10)、destination-host-unknown (7)、 destination-network-prohibited(9)、destination-network-unknown (6)、 fragmentation-needed(4)、host-precedence-violation (14)、 host-unreachable(1)、host-unreachable-for-TOS (12)、 network-unreachable(0)、network-unreachable-for-TOS (11)、 port-unreachable(3)、precedence-cutoff-in-effect (15)、 protocol-unreachable(2)、 source-host-isolated(8)、source-route-failed (5)

icmp-code-except message-code

ICMP メッセージ コード フィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

icmp-type number

ICMP メッセージ タイプ フィールドに一致します。

注:

この一致条件を使用する場合、 icmpパケットが評価されるようにするために、(以下の通り)同じ条件のprotocol icmp 一致条件を使用します。.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMP メッセージ コードは、ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は、関連する ICMP メッセージ タイプに依存します。

注:

Junos OS Evolvedの場合、同じ条件で protocol 一致ステートメントを設定する必要があります。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。echo-reply(0)、 info-reply(8)、 timestamp(16)、unreachable (15)、 echo-request(17)、info-request (18)、 mask-request(12)、mask-reply (5)、  parameter-problem(9)、redirect (10)、router-advertisement (4)、router-solicit (11)、source-quench (13)、time-exceeded (14)、または timestamp-reply(3)。

icmp-type-except message-type

ICMP メッセージ タイプ フィールドに一致しません。詳細については、 icmp-type一致条件を参照してください。

interface interface-name

パケットを受信したインターフェイスに一致します。

注:

存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。

interface-group group-number

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。group-numberの場合、0~255 の単一の値または値の範囲を指定します。

インターフェイスグループ group-number に論理インターフェイスを割り当てるには、 [interfaces interface-name unit number family family filter group]階層レベルで group-number を指定します。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

詳細については、インターフェイスグループのセットで受信したパケットのフィルタリングの概要を参照してください。

interface-group-except group-number

指定されたインターフェイス グループまたはインターフェイス グループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 interface-group一致条件を参照してください。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

interface-set interface-set-name

指定されたインターフェイス セットにパケットを受信したインターフェイスを一致させます。

インターフェイス セットを定義するには、 [edit firewall]階層レベルに interface-setステートメントを含めます。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

詳細については、インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

ip-options values

指定された値または値のリストに、8 ビット IP オプション フィールドを一致させます。

数値の代わりに、以下のテキスト同義語(オプション値も記載されています)のいずれかを指定することができます。loose-source-route (131)、record-route (7)、router-alert (148)、security (130)、stream-id (136)、strict-source-route (137)、またはtimestamp (68).

IPオプションの任意の値に一致させるには、テキスト同義語any を使用します。複数の値に一致するには、角括弧内の値(「[」と「]」)のリストを指定します。値の範囲に一致するには、値指定value1-value2 ] を指定します。

例えば、一致条件ip-options [ 0-147 ] は 、loose-source-routerecord-route または security値、あるいは 0~147のその他の値を含むIPオプションフィールドで一致します。ただし、この一致条件は、 router-alert値(148)のみを含む IP オプション フィールドでは一致しません。

ほんどのインターフェイスでは、1つ以上の特定の IPオプション値(any 以外の値)で ip-option一致を指定するフィルター条件によって、カーネルがパケットヘッダーのIPオプションフィールドを解析できるように、パケットはルーティングエンジンに送信されます。

  • 1つ以上の特定のIPオプション値で ip-option一致を指定するファイアウォールフィルター条件では、同じ条件で discard終了アクションも指定しない限りcountlog、またはsyslog非終了アクションを指定できません。この動作では、ルーター上のトランジット インターフェイスに適用されるフィルターのパケットの二重カウントを防ぐことができます。

  • カーネルで処理されたパケットは、システム ボトルネックのケースでは破棄される場合があります。一致したパケットがパケット転送エンジンに送信されるようにするには、 ip-options any一致条件を使用します。

MX シリーズ ルーターの 10 ギガビット イーサネット MPC(モジュラー型ポート コンセントレータ)、100 ギガビット イーサネット MPC、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。これらの MPC で設定されたインターフェイスでは、 ip-options一致条件を使用して一致するすべてのパケットが処理のためパケット転送エンジンに送信されます。

ip-options any一致条件は、Junos Evolved OSリリース20.2R1で始まるPTX10003およびPTX10008 ルーターでサポートされています。

注:
  • MXシリーズルーターでは、ip-options を使用するフィルター一致は、エグレス(出力)フィルターで使用できません。
  • M および T Series ルーターでは、ファイアウォール フィルターはオプション タイプとインターフェイス単位で ip-optionsパケットをカウントできません。限界はあるものの、 show pfe statistics ip optionsコマンドを使用して PEE 単位で ip-options統計を確認することは可能です。サンプル出力については、show pfe statistics ip を参照してください。

ip-options-except values

指定された値または値のリストに IP オプション フィールドに一致しません。values の指定に関する詳細については、 ip-options一致条件を参照してください。

is-fragment

この条件を使用すると、IP ヘッダーで More Fragments フラグが有効になっている場合、またはフラグメント オフセットがゼロではない場合に一致します。

注:

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます(first-fragmentおよびis-fragment)。

loss-priority level

PLP(パケット損失の優先度)レベルに一致します。

単一のレベルまたは複数のレベルを指定します。lowmedium-lowmedium-high、またはhigh

M120 および M320 ルーター、拡張 CFEB(CFEB-E)を搭載した M7i および M10i ルーター、MX シリーズ ルーターでサポートされています。

拡張 II FPC(フレキシブル PIC コンセントレータ)を搭載した M320、MX シリーズ、および T Series ルーターの IP トラフィックについては、指定された 4 つのレベルのいずれかで PLP 設定をコミットするには、 [edit class-of-service]階層レベルに tri-colorステートメントを含める必要があります。tri-colorステートメントが有効になっていない場合、high および lowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

tri-colorステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定するための BA(動作集約)分類子の使用について、動作集約分類子がどのように信頼されるトラフィックに優先順位を付けるかの理解を参照してください。

loss-priority-except level

PLP レベルに一致しません。詳細については、 loss-priority一致条件を参照してください。

packet-length bytes

受信したパケットの長さに一致します(バイト単位)。長さは、パケット ヘッダーを含む IP パケットのみを指し、レイヤー 2 カプセル化オーバーヘッドを含みません。一致させる値の範囲を指定することもできます。

packet-length-except bytes

受信したパケットの長さに一致しません(バイト単位)。詳細については、 packet-length一致タイプを参照してください。

port number

UDP または TCP 送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件またはsource-port 一致条件を設定できません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protocol tcp一致ステートメントを設定することもお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で protocol 一致ステートメントを設定する必要があります。

数値の代わりに、destination-port の下に記載されているテキスト同義語の1つを指定します。

port-except number

送信元または宛先UDPまたはTCPポートフィールドに一致しません。詳細については、 port一致条件を参照してください。

precedence ip-precedence-value

IP優先度フィールドに一致します。

数字フィールド値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecpinternet-controlnet-control (0xa0)、 (flash0x60)、 (flash-override0x80)、(0x4immediate0)、(0xc0)、(0xe0)、(0x20)、または(0x00)。routinepriority 16進法、2進法、または10進法で優先度を指定できます。

precedence-except ip-precedence-value

IP 優先度フィールドに一致しません。

数字フィールド値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecpinternet-controlnet-control (0xa0)、 (flash0x60)、 (flash-override0x80)、(0x4immediate0)、(0xc0)、(0xe0)、(0x20)、または(0x00)。routinepriority 16進法、2進法、または10進法で優先度を指定できます。

prefix-list name [ except ]

exceptオプションが含まれていない限り、指定されたリスト のプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させません。

プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されます。

注:

この一致条件は、PTX1000 ルーターでサポートされていません。

protocol number

IP プロトコル タイプ フィールドに一致します。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 dstopts(60)、 egp(8)、esp(50)、fragment (44)、 gre(47)、 hop-by-hop(0)、 icmp(1)、 icmp6(58)、 icmpv6(58)、igmp (2)、 ipip(4)、 ipv6(41)、 ospf(89)、 pim(103)、 rsvp(46)、sctp (132)、 tcp(6)、 udp(17)、またvrrp (112)。

protocol-except number

IPプロトコルタイプフィールドに一致しません。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 dstopts(60)、 egp(8)、esp(50)、fragment (44)、 gre(47)、 hop-by-hop(0)、 icmp(1)、 icmp6(58)、 icmpv6(58)、igmp (2)、 ipip(4)、 ipv6(41)、 ospf(89)、 pim(103)、 rsvp(46)、sctp (132)、 tcp(6)、 udp (17)、またvrrp (112)。

rat-type tech-type-value

PMIPv4(プロキシモバイルIPv4)アクセス技術タイプ拡張の8ビットTech-Typeフィールドで指定されたRAT(無線アクセス技術)タイプに一致します。テクノロジー タイプは、モバイル デバイスがアクセス ネットワークに接続されたアクセス技術を指定します。

単一の値、値の範囲、または値のセットを指定します。0~255 の数値、またはシステム キーワードとして技術タイプを指定できます。

  • 以下の数値は、よく知られている技術タイプの例です。

    • 数値 1 は、IEEE 802.3 に一致します。

    • 数値 2 は、IEEE 802.11a/b/g に一致します。

    • 数値 3 は、IEEE 802.16e に一致します

    • 数値 4 は、IEEE 802.16m に一致します。

  • テキスト文字列 eutran は 4G に一致します。

  • テキスト文字列 geran は2Gに一致します。

  • テキスト文字列 utranは3Gに一致します。

rat-type-except tech-type-value

RAT タイプに一致しません。

service-filter-hit

service-filter-hit アクションが適用されたフィルターから受信したパケットに一致します。

注:

この一致条件は、PTXシリーズルーターではサポートされていません。

source-address address [ except ]

exceptオプションが含まれていない限り、パケットを送信する送信元ノードの IPv4 アドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードの IPv4 アドレスに一致しません。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

source-class class-names

1 つ以上の指定された送信元クラス名(まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット)に一致します。詳細については、アドレス クラスに基づくファイアウォール フィルター一致条件を参照してください。

source-class-except class-names

1 つ以上の指定された送信元クラス名に一致しません。詳細については、 source-class一致条件を参照してください。

source-port number

UDP または TCP 送信元ポート フィールドに一致します。

同じ項に portおよび source-port一致条件を指定することはできません。

IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protocol tcp一致ステートメントを設定することもお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で protocol 一致ステートメントを設定する必要があります。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

source-port-except number

UDP または TCP 送信元ポート フィールドに一致しません。詳細については、 source-port一致条件を参照してください。

source-prefix-list name [ except ]

exceptオプションが含まれていない限り、指定されたリスト の送信元プレフィックスに一致します。オプションが含まれている場合、指定されたリストの送信元プレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックス リストの名前を指定します。

tcp-established

確立された TCP セッションの TCP パケット(接続のパケットの最初のパケット以外のパケット)に一致します。これは、 tcp-flags "(ack | rst)"のエイリアスです。

この一致条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、 protocol tcp一致条件を指定します。

tcp-flags value

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、 tcp-establishedおよび tcp-initial一致条件を参照してください。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 一protocol tcp致ステートメントを設定することもお勧めします。

IPv4トラフィックについてのみ、この一致条件は、データグラムにフラグメントパケットの最初のフラグメントが含まれているかどうかを暗示的に確認しません。IPv4トラフィックについてのみこの条件を確認するには、first-fragment 一致条件を使用します。

tcp-initial

TCP 接続の最初のパケットに一致します。これは、 tcp-flags "(!ack & syn)"のエイリアスです。

この条件は、プロトコルが TCP であることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で protocol tcp一致条件も設定することをお勧めします。

ttl number

IPv4 生存時間値に一致します。TTL 値または TTL 値の範囲を指定します。numberについては、0 から 255までの1つ以上の値を指定できます。この一致条件は、M120、M320、MX シリーズ、および T Series ルーターでのみサポートされます。

ttl-except number

IPv4 TTL 値に一致しません。詳細については、 ttl一致条件を参照してください。

リリース履歴テーブル
リリース
説明
13.3R7
DSCP(差別化されたサービスコードポイント)上でのフィルタリングと、GRE(一般ルーティングのカプセル化)でカプセル化されたIS-ISパケットを含めた、ルーティングエンジンからのパケット用クラスの転送に対するサポートが追加されました。