IPv4またはIPv6トラフィックのサービスフィルター一致条件

address address

IP送信元または宛先アドレスフィールドに一致します。

address address except

IP送信元または宛先アドレスフィールドに一致しません。

ah-spi spi-value

(M120とM320を除くMシリーズルーター)IPsec認証ヘッダー(AH)SPI(セキュリティ パラメーター インデックス)値に一致します。

ah-spi-except spi-value

(M120とM320を除くMシリーズルーター)IPsec AH SPI値では一致しません。

destination-address address

IP宛先アドレスフィールドに一致します。

同じ条件に addressおよびdestination-address 一致条件を両方指定することはできません。

destination-address address except

IP宛先アドレスフィールドに一致しません。

同じ条件に addressおよびdestination-address 一致条件を両方指定することはできません。

destination-port number

UDPまたはTCP宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protocol tcp一致ステートメントを設定することもお勧めします。

IPv6 トラフィックにこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、以下のテキスト （ポート番号も記載されています）のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-port-except number

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port 一致の説明を参照してください。

destination-prefix-list name

宛先プレフィックスのリストに一致します。プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されます。

esp-spi value

IPsec ESP（カプセル化セキュリティペイロード）SPI 値に一致します。単一の値または値の範囲を指定します。valueは、16 進法、2 進法、または 10 進法で指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

esp-spi-except value

IPsec ESP SPI値または値の範囲に一致しません。詳細については、 esp-spi一致条件を参照してください。

first-fragment

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。パケットがフラグメントパケットの追跡フラグメントである場合、一致しません。フラグメントパケットの最初のフラグメントに、値が0のフラグメントオフセットがあります。

この一致条件は、ビットフィールド一致条件 fragment-offset 0 一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます。first-fragment と is-fragment があります。

forwarding-class

以下の指定されたパケット転送クラスの 1 つ以上に一致します。

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

転送クラスとルーター内出力キューについては、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

forwarding-class-except

以下の指定されたパケット転送クラスの 1 つ以上に一致しません。

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

• user-defined-name

fragment-flags number

（イングレスのみ）IPヘッダーの3ビットIPフラグメント化フラグフィールドに一致します。

数字フィールド値の代わりに、以下のキーワード（フィールド値も記載されています）のいずれかを指定します。dont-fragment （0x4）、more-fragments（0x2）、またはreserved （0x8）。

fragment-offset number

IPヘッダーの13ビットフラグメントオフセットフィールドに一致します。値は、データフラグメントに対する全体的なデータグラムメッセージのオフセット（8バイト単位）です。数字値、値の範囲、または値のセットを指定します。0のオフセット値は、フラグメントパケットの最初のフラグメントを示しています。

first-fragment一致条件は、 fragment-offset 0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます（first-fragmentおよびis-fragment）。

fragment-offset-except number

13ビットフラグメントオフセットフィールドに一致しません。

interface-group group-number

パケットを受信したインターフェイスグループ(1つ以上の論理インターフェイスのセット)に一致します。[ group-number] には、 0 から 255 までの値を指定します。

インターフェイスグループの設定については、 一連のインターフェイスグループで受信したパケットのフィルタリングの概要を参照してください。

interface-group-except group-number

パケットを受信したインターフェイス グループに一致しません。詳細については、 interface-group 一致条件を参照してください。

ip-options values

指定された値または値のリストに、8ビットIPオプション フィールドを一致させます。

数値の代わりに、以下のテキスト同義語（オプション値も記載されています）のいずれかを指定することができます。loose-source-route( 131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)、 strict-source-route (137)、または timestamp (68)。

IPオプションの任意の値に一致させるには、テキスト同義語any を使用します。複数の値に一致するには、角括弧内の値（「[」と「]」）のリストを指定します。値の範囲に一致するには、値指定[ value1-value2 ] を指定します。

例えば、一致条件ip-options [ 0-147 ] は 、loose-source-route、record-route または security値、あるいは0～147のその他の値を含むIPオプションフィールドで一致します。ただし、この一致条件は、 router-alert値（148）のみを含むIPオプション フィールドでは一致しません。

ほんどのインターフェイスでは、1つ以上の特定の IPオプション値（ 以外の値any）で 一ip-option致を指定するフィルター条件によって、カーネルがパケットヘッダーのIPオプションフィールドを解析できるように、パケットはルーティングエンジンに送信されます。

• 1つ以上の特定のIPオプション値で 一ip-option致を指定するファイアウォールフィルター条件では、同じ条件で discard終了アクションも指定しない限り、count、log、またはsyslog非終了アクションを指定できません。この動作により、ルーター(またはスイッチ)上のトランジットインターフェイスに適用されるフィルターのパケットの二重カウントが防止されます。

• カーネルで処理されたパケットは、システムボトルネックのケースでは破棄される場合があります。一致したパケットがパケット転送エンジンに送信されるようにするには、 ip-options any一致条件を使用します。

MXシリーズルーターおよびEXシリーズスイッチの10ギガビットイーサネットMPC(モジュラー型ポートコンセントレータ)、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、60ギガビットイーサネット拡張キューイングMPCは、IPv4パケットヘッダーのIPオプションフィールドを解析できます。この機能は、EX シリーズ スイッチでもサポートされています。これらのMPC で設定されたインターフェイスでは、 ip-options一致条件を使用して一致するすべてのパケットが処理のためパケット転送エンジンに送信されます。

ip-options-except values

指定された値または値のリストにIPオプション フィールドに一致しません。values の指定に関する詳細については、 ip-options一致条件を参照してください。

is-fragment

パケットがフラグメント パケットの追跡フラグメントである場合に一致します。フラグメント パケットの最初のフラグメントに一致しません。

この一致条件は、ビット fragment-offset 0 except ビットフィールド一致条件のエイリアスです。

loss-priority

次の指定された PLP(パケット損失の優先度)レベルのうちの 1 つ以上に一致します。

• low

• medium-low

• medium-high

• high

PLPは、輻輳期間中のパケット破棄を制御するために、ランダム早期破棄(RED)アルゴリズムと組み合わせてスケジューラによって使用されます。PLPの詳細については、 異なるトラフィックフローに対するパケット損失優先度の設定による輻輳の管理 および 複数のパケットヘッダーフィールドに基づくパケットへのサービスレベルの割り当ての概要を参照してください。

loss-priority-except

次の指定された PLP(パケット損失の優先度)レベルの 1 つ以上に一致しません。

• low

• medium-low

• medium-high

• high

port number

UDPまたはTCP送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件またはsource-port 一致条件を設定できません。

IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protoco tcp一致ステートメントを設定することもお勧めします。

IPv6 トラフィックにこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、destination-port の下に記載されているテキスト同義語の1つを指定します。

port-except number

UDPまたはTCP送信元または宛先ポートフィールドに一致しません。詳細については、 port一致条件を参照してください。

prefix-list prefix-list-name

送信元または宛先アドレスフィールドのプレフィックスを、指定されたリストのプレフィックスに一致させます。プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されます。

protocol number

IPプロトコルタイプフィールドに一致します。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。ah( 51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 ospf (89)、 pim (103)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)、または vrrp (112)。

protocol-except number

IPプロトコルタイプフィールドに一致しません。詳細については、 protocol一致条件を参照してください。

source-address address

IP 送信元アドレスに一致します。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

source-address address except

IP 送信元アドレスに一致しません。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

source-port number

UDPまたはTCP送信元ポート フィールドに一致します。

同じ項に portおよび source-port一致条件を指定することはできません。

IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udpまたは protocol tcp一致ステートメントを設定することもお勧めします。

IPv6 トラフィックにこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

source-port-except number

UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 source-port一致条件を参照してください。

source-prefix-list name

指定されたリストの送信元プレフィックスに一致します。[edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリストの名前を指定します。

tcp-flags value

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

• fin (0x01)

• syn (0x02)

• rst (0x04)

• push (0x08)

• ack (0x10)

• urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、 tcp-establishedおよび tcp-initial一致条件を参照してください。

IPv4 トラフィックに対してこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で protocol tcp 一致ステートメントを設定することもお勧めします。

IPv6 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header tcp 一致条件を設定することもお勧めします。