IPv4またはIPv6トラフィックのサービスフィルター一致条件

address address

IP 送信元または宛先アドレス フィールドに一致します。

address address except

IP 送信元または宛先アドレス フィールドに一致しません。

ah-spi spi-value

(M120 および M320 を除く M シリーズ ルーター)IPsec認証ヘッダー(AH)SPI(セキュリティパラメーターインデックス)値に一致します。

ah-spi-except spi-value

(M120 および M320 を除く M シリーズ ルーター)IPsec AH SPI 値では一致しません。

destination-address address

IP 宛先アドレス フィールドに一致します。

同じ条件に address および destination-address 一致条件の両方を指定することはできません。

destination-address address except

IP 宛先アドレス フィールドに一致しません。

同じ条件に address および destination-address 一致条件の両方を指定することはできません。

destination-port number

UDP または TCP 宛先ポート フィールドに一致します。

同じ条件に port および destination-port 一致条件の両方を指定することはできません。

IPv4トラフィックに対してこの一致条件を設定する場合、ポートで使用されるプロトコルを指定するために、同じ条件で または protocol tcp 一致ステートメントを設定protocol udpすることもお勧めします。

IPv6トラフィックに対してこの一致条件を設定する場合、同じ条件で または next-header tcp 一致条件を設定next-header udpして、ポートで使用するプロトコルを指定することもお勧めします。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67) cmd 、(514) cvspserver 、(2401) dhcp 、(67)、 domain (53)、 eklogin (21 05、 ekshell (2106)、 exec (512)、 finger (79) ftp 、(21)、 ftp-data (20)、 http (80) https 、(443) ident 、(113)、 imap (143) kerberos-sec (88)、(543) kpasswdklogin 、(761)、 krb-prop (754)、 krbupdate (760) kshell 、(544) ldap 、(389) ldp 、(646) login 、(513) mobileip-agent 、(434) mobilip-mn 、(435) msdp 、(639) netbios-dgm 、(138) netbios-ns 、(137)、(139) netbios-ssn 、(2049) nfsdnntp 、(119)、(58) ntalkntp (123)、 pop3 (110)、 pptp (1723)、 printer (515) radacct 、(1813) radius 、(1812) rip 、(520) rkinit 、(2108) smtp 、(25)、(161) snmp 、(162) snmptrapsnpp 、(44 4)、 socks (1080) ssh 、(22)、 sunrpc (111) syslog 、(514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) tftp 、 timed (525)、(513) who 、またはxdmcp(177)。

destination-port-except number

UDP または TCP 宛先ポート フィールドに一致しません。詳細については、 一致の説明を destination-port 参照してください。

destination-prefix-list name

宛先プレフィックスのリストに一致します。プレフィックスリストは、 ] 階層レベルで [edit policy-options prefix-list prefix-list-name定義されます。

esp-spi value

IPsec ESP(カプセル化セキュリティ ペイロード)SPI 値に一致します。単一の値または値の範囲を指定します。16 進数、2 進、または 10 進形式で を指定 value できます。16進法で値を指定するには、プレフィックスとしてを含 0x めます。値を 2 進形式で指定するには、プレフィックスとして を含 b めます。

esp-spi-except value

IPsec ESP SPI 値または値の範囲に一致しません。詳細については、 一致条件を esp-spi 参照してください。

first-fragment

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。パケットがフラグメント パケットの最後のフラグメントである場合、一致しません。フラグメント パケットの最初のフラグメントには、 の 0フラグメント オフセット値があります。

この一致条件は、ビットフィールド一致条件 fragment-offset 0 一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を照合するには、異なる一致条件を指定する2つの条件を使用できます。first-fragment と is-fragment.

forwarding-class

以下の指定されたパケット転送クラスのうち、1 つ以上に一致します。

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

転送クラスとルーター内部出力キューについては、 転送クラスが出力キューに クラスを割り当てる方法についてを参照してください。

forwarding-class-except

以下の指定されたパケット転送クラスの 1 つ以上に一致しません。

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

(イングレスのみ)IP ヘッダーの 3 ビット IP フラグメント化フラグ フィールドに一致します。

数値フィールド値の代わりに、以下のキーワード(フィールド値も記載されています)のいずれかを指定します。dont-fragment(0x4)、 more-fragments (0x2)、または reserved(0x8)。

fragment-offset number

IP ヘッダーの 13 ビット フラグメント オフセット フィールドに一致します。値は、データ フラグメントに対する全体的なデータグラム メッセージ内のオフセット(8 バイト単位)です。数値、値の範囲、または値のセットを指定します。の 0 オフセット値は、フラグメント パケットの最初のフラグメントを示します。

first-fragment一致条件は、 一致条件のfragment-offset 0エイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるためには、異なる一致条件(first-fragment と is-fragment)を指定する2つの条件を使用できます。

fragment-offset-except number

13 ビット フラグメント オフセット フィールドに一致しません。

interface-group group-number

パケットを受信したインターフェイス グループ(1 つ以上の論理インターフェイスのセット)に一致します。では group-number、 から 0255までの値を指定します。

インターフェイスグループの設定については、 を参照してください 一連のインターフェイス グループで受信したパケットのフィルタリングの概要。

interface-group-except group-number

パケットを受信したインターフェイス グループに一致しません。詳細については、 一致条件を interface-group 参照してください。

ip-options values

8 ビット IP オプション フィールドが存在する場合は、指定された値または値のリストに一致します。

数値の代わりに、以下のテキスト シノニム(オプション値も記載されています)のいずれかを指定します。loose-source-route(131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)、 strict-source-route (137)、または timestamp(68)。

IP オプション の任意 の値に一致するには、テキスト 同義語 anyを使用します。複数の値に一致するには、角括弧内の値のリストを指定します('[' と ']')。値の 範囲 に一致するには、値指定を使用します [ value1-value2 ]。

例えば、一致条件ip-options [ 0-147 ]は、 、 、record-routeまたは security の値、または 0~147 のその他の値を含む loose-source-routeIP オプション フィールドで一致します。ただし、この一致条件は、値(148)のみを router-alert 含む IP オプション フィールドでは一致しません。

ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外anyの値)で一致を指定ip-optionするフィルター条件により、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるように、パケットがルーティング エンジンに送信されます。

• 1 つ以上の特定の IP オプション値で一致をip-option指定するファイアウォール フィルター条件では、同じ条件で終了アクションも指定しない限り、 、 log、または syslog 非終了アクションを指定countdiscardできません。この動作により、ルーター(またはスイッチ)上のトランジット インターフェイスに適用されるフィルターのパケットの二重カウントが防止されます。

• カーネルで処理されたパケットは、システムボトルネックが発生した場合に破棄されることがあります。一致したパケットがパケット転送エンジンに送信されるようにするには、 一致条件を ip-options any 使用します。

MX シリーズ ルーターおよび EX シリーズ スイッチの 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。この機能は、EXシリーズスイッチでもサポートされています。これらのMPCに設定されたインターフェイスでは、 一致条件を使用してip-options一致したすべてのパケットが処理のためにパケット転送エンジンに送信されます。

ip-options-except values

指定された値または値のリストに IP オプション フィールドに一致しません。の指定 valuesの詳細については、 一致条件を ip-options 参照してください。

is-fragment

パケットがフラグメント パケットの最後のフラグメントである場合に一致します。フラグメント パケットの最初のフラグメントに一致しません。

この一致条件は、ビットフィールド一致条件 fragment-offset 0 except ビットのエイリアスです。

loss-priority

以下の指定された PLP(パケット損失優先度)レベルの 1 つ以上に一致します。

• low

• medium-low

• medium-high

• high

PLPは、輻輳時のパケット破棄を制御するために、スケジューラーがランダム早期破棄(RED)アルゴリズムと組み合わせて使用します。PLPについては、 異なるトラフィックフローに対してパケット損失の優先度を設定して輻輳を管理 するおよび 複数のパケットヘッダーフィールドに基づいてサービスレベルをパケットに割り当てるの概要を参照してください。

loss-priority-except

以下の指定された PLP(パケット損失優先度)レベルの 1 つ以上に一致しません。

• low

• medium-low

• medium-high

• high

port number

UDP または TCP 送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件または source-port 一致条件を設定することはできません。

IPv4トラフィックに対してこの一致条件を設定する場合、ポートで使用されるプロトコルを指定するために、同じ条件で または protoco tcp 一致ステートメントを設定protocol udpすることもお勧めします。

IPv6トラフィックに対してこの一致条件を設定する場合、同じ条件で または next-header tcp 一致条件を設定next-header udpして、ポートで使用するプロトコルを指定することもお勧めします。

数値の代わりに、 の下 destination-portに記載されているテキスト同義語の1つを指定します。

port-except number

UDP または TCP 送信元または宛先ポート フィールドに一致しません。詳細については、 一致条件を port 参照してください。

prefix-list prefix-list-name

指定されたリストのプレフィックスに送信元または宛先アドレス フィールドのプレフィックスを一致します。プレフィックスリストは、 階層レベルで [edit policy-options prefix-list prefix-list-name] 定義されます。

protocol number

IP プロトコル タイプ フィールドに一致します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah(51)、(60) dstopts 、(8) egp 、 esp (50)、 fragment (44) gre 、(47) hop-by-hop 、(0) icmpicmp6 、(58) icmpv6 、(58)、 igmp (2) ipip 、(4) ipv6 、(41)、 ospf (89)、 pim (103) rsvp 、(46)、(132) sctp 、 tcp (6)、(17) udp 、または vrrp(112)。

protocol-except number

IP プロトコル タイプ フィールドに一致しません。詳細については、 一致条件を protocol 参照してください。

source-address address

IP 送信元アドレスに一致します。

同じ条件に address および source-address 一致条件の両方を指定することはできません。

source-address address except

IP 送信元アドレスに一致しません。

同じ条件に address および source-address 一致条件の両方を指定することはできません。

source-port number

UDP または TCP 送信元ポート フィールドに一致します。

同じ条件に port および source-port 一致条件を指定することはできません。

IPv4トラフィックに対してこの一致条件を設定する場合、ポートで使用されるプロトコルを指定するために、同じ条件で または protocol tcp 一致ステートメントを設定protocol udpすることもお勧めします。

IPv6トラフィックに対してこの一致条件を設定する場合、同じ条件で または next-header tcp 一致条件を設定next-header udpして、ポートで使用するプロトコルを指定することもお勧めします。

数値の代わりに、 一致条件で記載されているテキスト同義語の1つを destination-port number 指定できます。

source-port-except number

UDP または TCP 送信元ポート フィールドに一致しません。詳細については、 一致条件を source-port 参照してください。

source-prefix-list name

指定されたリストの送信元プレフィックスを照合します。] 階層レベルで定義されたプレフィックス リストの名前を [edit policy-options prefix-list prefix-list-name指定します。

tcp-flags value

TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上に一致します。

個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。

組み合わせたビットフィールド一致条件については、 および tcp-initial 一致条件をtcp-established参照してください。

IPv4トラフィックに対してこの一致条件を設定する場合、TCPプロトコルがポートで使用されていることを指定するために、同じ条件で一致ステートメントを設定 protocol tcp することもお勧めします。

IPv6トラフィックに対してこの一致条件を設定する場合、ポートでTCPプロトコルが使用されていることを指定するために、同じ条件で 一致条件を設定 next-header tcp することもお勧めします。