address address
|
IP 送信元または宛先アドレスフィールドと一致します。
|
|
|
address address except
|
IP 送信元または宛先アドレス フィールドを一致しません。
|
|
|
ah-spi spi-value
|
(M Series ルーター (M120 と M320 を除く)IPsec 認証ヘッダー (AH) security parameter index (SPI) 値に一致します。
|
|
|
ah-spi-except spi-value
|
(M Series ルーター (M120 と M320 を除く)IPsec AH SPI 値と一致しません。
|
|
|
destination-address address
|
IP 宛先アドレスフィールドと一致します。
同じ用語にaddress and destination-address match 条件を指定することはできません。
|
|
|
destination-address address except
|
IP 宛先アドレス フィールドを一致しません。
同じ用語にaddress and destination-address match 条件を指定することはできません。
|
|
|
destination-port number
|
宛先ポートフィールドとして UDP または TCP を入力します。
同じ用語にport and destination-port match 条件を指定することはできません。
IPv4 トラフィックに対してこの照合条件を構成する場合は、このポートでprotocol udp 使用protocol tcp されるプロトコルを指定するために、または同じ用語で match ステートメントも設定することをお勧めします。
IPv6 トラフィックに対してこの照合条件を構成する場合は、同じ用語でnext-header udp 条件next-header tcp を設定して、ポートで使用されるプロトコルを指定することをお勧めします。
数値の代わりに、次のいずれかの同義語を指定できます (ポート番号も表示されています)。afs bgp biff bootpc bootps (1483)、(179)、(512)、(68)、(514)、(2401)、(67)、(53)(2105)、(2106)、(512)、(79)、(20)、(80)、 cmd cvspserver dhcp domain eklogin ekshell exec finger ftp ftp-data http https (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)(389)、(646)、(513)、(434)、(635)、(639)、(639) ident imap kerberos-sec klogin kpasswd krb-prop krbupdate kshell ldap ldp login mobileip-agent mobilip-mn msdp netbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)(110)、(1723)、(515)(1813)、(1812)、(520)、(2108)、(2) netbios-ns netbios-ssn nfsd nntp ntalk ntp pop3 pptp printer radacct radius rip rkinit smtp snmp (161)、(161)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)(69)、(525)、(513)、(177) snmptrap snpp socks ssh sunrpc syslog tacacs tacacs-ds talk telnet tftp timed who xdmcp
|
|
|
destination-port-except number
|
UDP または TCP 宛先ポート フィールドを一致しません。詳細についてはdestination-port 、「対応の説明」を参照してください。
|
|
family inet6
|
destination-prefix-list name
|
宛先プレフィックスのリストと一致します。プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name 階層レベルで定義されています。
|
|
|
esp-spi value
|
IPsec カプセル化セキュリティーペイロード (ESP) SPI 値と一致します。1つの値または値の範囲を指定します。値は、16 進、2 進数、または 10 進数の形式で指定できます。16進形式で値を指定するに0x は、接頭辞として含めます。バイナリ形式で値を指定するにはb 、接頭辞として含めます。
|
|
|
esp-spi-except value
|
IPsec ESP SPI 値または値の範囲を一致しません。詳細についてはesp-spi 、照合条件を参照してください。
|
|
|
first-fragment
|
パケットが断片化されたパケットの最初のフラグメントである場合に照合します。パケットがフラグメント パケットの末尾フラグメントの場合は、一致しません。断片化されたパケットの最初のフラグメントにはフラグメントオフセット0 値があります。
この照合条件は、ビットフィールド照合条件fragment-offset 0 の照合条件のエイリアスです。
最初と最後の両方のフラグメントを照合するには、異なる一致条件を指定する2つの用語を使用できます。first-fragment and is-fragment .
|
|
|
forwarding-class
|
以下の指定したパケット転送クラスの1つ以上を照合します。
assured-forwarding
best-effort
expedited-forwarding
network-control
user-defined-name
転送クラスとルーター内部出力キューの詳細については、「転送クラスが出力キューにクラスを割り当てる方法を理解する」を参照してください。
|
|
|
forwarding-class-except
|
以下の指定されたパケット転送クラスの1つ以上が一致しません。
assured-forwarding
best-effort
expedited-forwarding
network-control
user-defined-name
|
|
|
fragment-flags number
|
(受信のみ)IP ヘッダーの3ビット IP フラグメント化フラグフィールドと一致させます。
数値フィールド値の代わりに、以下のいずれかのキーワードを指定できます (フィールド値も示されています)。dont-fragment more-fragments (0x4)、(0x2)、または reserved (0x8)。
|
|
|
fragment-offset number
|
IP ヘッダーの13ビットフラグメントオフセットフィールドと比較します。この値は、データフラグメントへの総データグラムメッセージにおける8バイト単位のオフセットです。数値、値の範囲、または値セットを指定します。オフセット値は、 0 断片化されたパケットの最初のフラグメントを示します。
first-fragment 照合条件は、 fragment-offset 0 照合条件のエイリアスです。
先頭と末尾の両方のフラグメントを照合するには、異なる一致条件 (first-fragment and is-fragment ) を指定する2つの用語を使用できます。
|
|
|
fragment-offset-except number
|
13 ビット フラグメント オフセット フィールドを一致しません。
|
|
|
interface-group group-number
|
パケットを受信したインターフェイスグループ (1 つ以上の論理インターフェイスのセット) と一致させます。のgroup-number 場合は、から0 値を255 指定します。
インターフェイス グループの設定については、 を参照 インターフェイスグループセットで受信したパケットのフィルタリングの概要 してください。
|
|
|
interface-group-except group-number
|
パケットが受信されたインターフェイスグループと一致しません。詳細についてはinterface-group 、照合条件を参照してください。
|
|
|
ip-options values
|
存在する場合は、8 ビット IP オプション フィールドを、指定された値または値のリストに一致します。
数値の代わりに、次のいずれかのテキストシノニムを指定できます (オプション値も表示されます)。loose-source-route record-route router-alert security (131)、(7)、(148)、(130)、(136)、(137)、または stream-id strict-source-route timestamp (68)。
IPオプション の任意 の値を一致するには、テキスト シノニムを使用 any します。複数の値を 一 致するには、角括弧内の値のリストを指定します(' [ と ' ' ] 。値の範囲に一致させるには、値[ value1-value2 ] の指定を使用します。
たとえば、一致条件は、 、またはの値、または ip-options [ 0-147 ] loose-source-route 0から record-route 147の他の値を含むIPオプション security フィールドで一致します。ただし、この一致条件は、値のみを含む IP オプション フィールド router-alert では一致しません(148)。
ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外の値)で一致を指定するフィルタ条件では、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるよう、パケットが ルーティング エンジン に送信されます。 ip-option any
1 つ以上の特定の IP オプション値で一致を指定するファイアウォール フィルタ条件では、同じ条件で終了アクションを指定しない限り、 を指定することはできません。 ip-option count log syslog discard この動作により、ルーター (またはスイッチ) 上の通過インターフェイスにフィルター用のパケットが二重にカウントされなくなります。
カーネルで処理されるパケットは、システムのボトルネックが生じた場合にドロップすることができます。一致するパケットをパケット転送エンジンに送信する (パケット処理がハードウェアに実装されている) ようにするip-options any には、match 条件を使用します。
10ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC(MX シリーズ ルーター)、EX シリーズ スイッチは、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。この機能は EX シリーズスイッチでもサポートされています。これらの MPCs で構成されているインターフェイスの場合、 ip-options match 条件を使用して照合されたすべてのパケットが、処理のためにパケット転送エンジンに送信されます。
|
family inet
|
|
ip-options-except values
|
IP オプションフィールドを指定した値または値リストと一致させないでください。を指定する方法のvalues 詳細についip-options ては、照合条件を参照してください。
|
|
|
is-fragment
|
パケットが断片化されたパケットの末尾フラグメントである場合に照合します。フラグメント化されたパケットの最初のフラグメントを一致しません。
この照合条件は、ビットフィールドの照合条件fragment-offset 0 except ビットのエイリアスです。
注: 先頭と末尾の両方のフラグメントを照合するには、異なる一致条件 (first-fragment and is-fragment ) を指定する2つの用語を使用できます。
|
|
|
loss-priority
|
次の指定された1つ以上のパケットロス優先度 (PLP) レベルと一致します。
low
medium-low
medium-high
high
PLP は、混雑時にパケット破棄を制御するために、スケジューラとランダムな早期破棄 (RED) アルゴリズムを組み合わせて使用されています。PLP の詳細については、さまざまなトラフィックフローにパケットロスの優先度を設定することにより、輻輳を管理するとともに、複数のパケットヘッダーフィールドに基づいたパケットへのサービスレベルの割り当ての概要を参照してください。
|
|
|
loss-priority-except
|
以下の指定されたパケットロス優先度 (PLP) レベルのいずれかと一致しません。
low
medium-low
medium-high
high
|
|
|
port number
|
UDP または TCP 送信元または宛先ポートフィールドと一致します。
この照合条件を設定した場合、同一destination-port の用語で一致source-port 条件またはマッチ条件を設定することはできません。
IPv4 トラフィックに対してこの照合条件を構成する場合は、このポートでprotocol udp 使用protoco tcp されるプロトコルを指定するために、または同じ用語で match ステートメントも設定することをお勧めします。
IPv6 トラフィックに対してこの照合条件を構成する場合は、同じ用語でnext-header udp 条件next-header tcp を設定して、ポートで使用されるプロトコルを指定することをお勧めします。
数値の代わりに、[] destination-port にリストされているいずれかのテキストシノニムを指定できます。
|
|
|
port-except number
|
UDP または TCP 送信元または宛先ポートフィールドとは一致しません。詳細についてはport 、照合条件を参照してください。
|
|
|
prefix-list prefix-list-name
|
送信元または宛先アドレスフィールドのプレフィックスを指定されたリスト内のプレフィックスと照合します。プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されています。
|
|
|
protocol number
|
IP プロトコルタイプフィールドと一致します。
数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ah dstopts egp esp fragment (51)、(60)、(8)、(50)、(44)、(47)、(1)、(58)、(58)、(2)、(41)、(41)、(89)、(46)、(132)、(17)、(17)、(112) gre hop-by-hop icmp icmp6 icmpv6 igmp ipip ipv6 ospf pim rsvp sctp tcp udp vrrp
|
|
—
|
protocol-except number
|
IP プロトコル タイプ フィールドを一致しません。詳細についてはprotocol 、照合条件を参照してください。
|
|
|
source-address address
|
IP 発信元アドレスと一致します。
同じ用語にaddress and source-address match 条件を指定することはできません。
|
|
|
source-address address except
|
IP 発信元アドレスに一致しません。
同じ用語にaddress and source-address match 条件を指定することはできません。
|
|
|
source-port number
|
UDP または TCP 送信元ポートフィールドと一致させます。
port And source-port match 条件を同じ用語で指定することはできません。
IPv4 トラフィックに対してこの照合条件を構成する場合は、このポートでprotocol udp 使用protocol tcp されるプロトコルを指定するために、または同じ用語で match ステートメントも設定することをお勧めします。
IPv6 トラフィックに対してこの照合条件を構成する場合は、同じ用語でnext-header udp 条件next-header tcp を設定して、ポートで使用されるプロトコルを指定することをお勧めします。
数値の代わりに、 destination-port number 一致条件としてリストされたいずれかのテキストシノニムを指定できます。
|
|
|
source-port-except number
|
UDP または TCP 送信元ポート フィールドを一致しません。詳細についてはsource-port 、照合条件を参照してください。
|
|
|
source-prefix-list name
|
指定したリストのソース接頭辞と一致します。階層レベルで[edit policy-options prefix-list prefix-list-name 定義されたプレフィックスリストの名前を指定します。
|
|
|
tcp-flags value
|
TCP ヘッダーの 8 ビット TCP フラグ フィールドで、低次 6 ビットの 1 つ以上を一致します。
個々のビットフィールドを指定するには、次のようなテキストシノニムまたは16進値を指定できます。
fin (0x01)
syn (0x02)
rst (0x04)
push (0x08)
ack (0x10)
urgent (0x20)
TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは初期パケットの後に送信されるすべてのパケットに設定されます。
ビットフィールド論理演算子を使用して、複数のフラグを連結することができます。
組み合わせビットフィールドの match 条件についてはtcp-established 、 tcp-initial 「and match 条件」を参照してください。
IPv4 トラフィックに対してこの照合条件を構成する場合は、同じ用語でprotocol tcp match ステートメントを設定して、TCP プロトコルがポートで使用されるように指定することをお勧めします。
IPv6 トラフィックに対してこの照合条件を構成する場合は、同じ用語でnext-header tcp 一致条件を設定して、TCP プロトコルがポートで使用されるように指定することをお勧めします。
|
|
|