Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

防火墙过滤器匹配条件和操作(ACX 系列路由器)

 

在 ACX 系列通用城域网路由器上,您可以配置防火墙过滤器以过滤数据包,并对与过滤器匹配的数据包执行操作。指定用于过滤数据包的匹配条件特定于要过滤的信息流类型。

注意

在 ACX 系列路由器上,出口流量(出局过滤器)的过滤器只能应用于防火墙过滤器的特定于接口的实例。

防火墙过滤器匹配 ACX 系列路由器上的条件和操作概述

表 1介绍了可为其配置标准无状态防火墙过滤器的信息流类型。

表 1: 标准防火墙过滤器按协议系列为 ACX 系列路由器匹配条件

流量类型

指定匹配条件的层次结构级别

协议无关

[edit firewall family any filter filter-name term term-name]

ACX 系列路由器上的此信息流类型不支持匹配条件。

IPv4

[edit firewall family inet filter filter-name term term-name

有关匹配条件的完整列表,请参阅ACX 系列路由器上的 IPv4 流量的防火墙过滤器匹配条件

MPLS

[edit firewall family mpls filter filter-name term term-name]

有关匹配条件的完整列表,请参阅ACX 系列路由器上的 MPLS 流量的防火墙过滤器匹配条件

2 层 CCC

[edit firewall family ccc filter filter-name term term-name]

ACX 系列路由器上的此信息流类型不支持匹配条件。

桥接

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name](仅适用于 ACX5048 和 ACX5096 路由器。)

在 ACX5448 路由器上,可根据外部 tcam 的可用性来扩展以下系列过滤器:

  • 产品ethernet-switching

  • 产品ccc

  • 产品inet

  • 产品inet6

  • 产品mpls

  • 产品vpls

在具有then标准无状态防火墙过滤器术语的语句下,您可以指定要对符合此术语的数据包执行的操作。

表 2汇总了可在标准无状态防火墙过滤器术语中指定的操作类型。

表 2: ACX 系列路由器的标准防火墙过滤器操作类别

操作类型

Description

评论

终止

停止特定数据包对防火墙过滤器的所有评估。路由器执行指定的操作,不会使用其他术语来检查数据包。

您只能在标准防火墙过滤器中指定一个终止操作。但是,您可以在一个术语中为一个或多个nonterminating 操作指定一个终止操作。例如,在一个术语中,您可以使用acceptcount and syslog指定。

请参阅防火墙过滤器正在 ACX 系列路由器上终止操作

Nonterminating

在数据包上执行其他功能(例如 incriminating 计数器、记录有关数据包标头的信息、采样数据包数据或使用系统日志功能将信息发送到远程主机),但任何附加术语都用于检查数据包。

请参阅ACX 系列路由器上的防火墙过滤器 Nonterminating 操作

网桥家族防火墙过滤器(ACX 系列路由器)的匹配条件

在 ACX 系列路由器上桥接家庭防火墙过滤器

桥接家族防火墙过滤器可在 ACX 系列路由器上的采用 PER-IFL 系列级别上配置。桥接系列过滤器可用于根据支持的 L2/Layer3 字段匹配 L2 桥接流并采取防火墙操作。ACX 系列路由器上桥接防火墙过滤器支持的最大术语数量为124。

表 3显示桥接系列过滤器支持的匹配条件。

表 3: 桥接家族防火墙过滤器符合 ACX 系列路由器的条件

匹配条件

Description

apply-groups

设置要从中继承配置数据的组

应用-组-除外

设置哪些组将不广播配置数据

目标-mac 地址

将目标设置 MAC 地址

目标端口

匹配 TCP/UDP 目标端口

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

dscp

匹配差异服务(DiffServ)代码点

ether 类型

匹配以太网类型

icmp-代码

匹配 ICMP 消息代码

icmp 类型

匹配 ICMP 消息类型

接口组

匹配接口组

ip-目标地址

匹配 IP 目标地址

ip 优先级

匹配 IP 优先级值

ip 协议

匹配 IP 协议类型

ip-源地址

匹配 IP 源地址

learn-vlan-1p-priority

匹配学习 802.1 p VLAN 优先级

学习-vlan-dei

匹配用户 VLAN ID DEI 位

学习-vlan id

匹配接受那么优质 VLAN ID

源 mac 地址

设置源 MAC 地址

source-prefix-list

匹配命名列表中的 IP 源前缀。

源端口

匹配 TCP/UDP 源端口

user-vlan-1p-priority

匹配用户 802.1 p VLAN 优先级

用户 vlan id

匹配用户 VLAN ID

vlan-ether 类型

匹配 VLAN 以太网类型

表 4显示了支持的操作字段。

表 4: 桥接族防火墙过滤操作字段,用于 ACX 系列路由器

操作字段

Description

接受

接受数据包

数量

统计命名计数器中的数据包

discard

丢弃数据包

转发类

将数据包分类为转发类

丢失优先级

数据包’的丢失优先级

日志

将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可通过在命令行界面(CLI)发出 show 防火墙 log 命令来访问这些信息。

策略程序

用于速率限制流量的监管器的名称

syslog

将数据包记录到系统日志文件。

三色监管器

使用三 colo-监管器对数据包进行警察

注意

桥接家族防火墙过滤器可作为第2层接口上的输出过滤器应用。当第2层接口位于使用该vlan-id语句配置的网桥域上时,ACX 系列路由器可使用桥接系列防火墙过滤器中指定的用户 vlan id 匹配来匹配数据包的外部 vlan。

符合 CCC 防火墙系列过滤器(ACX 系列路由器)的条件

符合 CCC 系列防火墙过滤器的条件

在 ACX 系列路由器上,您可以为电路交叉连接(CCC)信息流(系列 CCC)的匹配条件配置标准防火墙过滤器。

表 5介绍了可在[edit firewall family ccc filter filter-name term term-name]层次结构级别配置的匹配条件。

表 5: CCC 系列防火墙过滤器符合 ACX 系列路由器的条件

字段

Description

destination-mac-address

目标 MAC 地址

destination-port

匹配 TCP/UDP 目标端口

dscp

匹配差异服务(DiffServ)代码点

icmp-code

匹配 ICMP 消息代码

icmp-type

匹配 ICMP 消息类型

ip-destination-address

匹配目标 IP 地址

ip-precedence

匹配 IP 优先级值

ip-protocol

匹配 IP 协议类型

ip-source-address

匹配源 IP 地址

learn-vlan-1p-priority

匹配学习 802.1 p VLAN 优先级

source-mac-address

源 MAC 地址

source-port

匹配 TCP/UDP 源端口

user-vlan-1p-priority

匹配用户 802.1 p VLAN 优先级

符合 IPv4 流量的条件(ACX 系列路由器)

在 ACX 系列路由器上,您可以使用 IP 版本 4 (IPv4)流量(family inet)的匹配条件来配置标准无状态防火墙过滤器。表 6介绍了可在[edit firewall family inet filter filter-name term term-name from]层次结构级别配置的匹配条件。

表 6: ACX 系列路由器上的 IPv4 流量的防火墙过滤器匹配条件

匹配条件

Description

destination-address address

匹配 IPv4 目标地址字段。

注意: 在 ACX 系列路由器上,只能指定一个目标地址。不支持 IPv4 目标地址列表。

destination-port number

与 UDP 或 TCP 目标端口字段匹配。

如果配置此匹配条件,我们建议您也在同一术语中protocol udp配置protocol tcp或匹配语句,以指定要在端口上使用的协议。

注意: 在 ACX 系列路由器上,只能指定一个目标端口号。不支持端口号列表。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain ( eklogin53),ekshell exec finger ftp ftp-data http https (2105)、(2106)、(512)、(79)、(21)、(20)、(80)、(443)、  identimap kerberos-sec klogin kpasswd krb-prop krbupdate kshell (113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、  ldapldp login mobileip-agent mobilip-mn msdp netbios-dgm netbios-ns (389)、(646)、(513)、(434)、(435)、(639)、(138)、(137)、  netbios-ssnnfsd nntp ntalk ntp pop3 pptp (139)、(2049)、(119)、(518)、(123)、(110)、(1723)、  printerradacct radius rip rkinit smtp snmp (515),(1813),(1812),(520),(2108),(25),(161),  snmptraptacacs sunrpc syslog ssh  (162)、 snpp (444)、 socks(1080)、(22)、(111)、(514)、(49)、  tacacs-dsxdmcp timed who tftp  (65)、 talk (517)、 telnet(23)、(69)、(525)、(513)或(177)。  

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

dscp number

匹配差异服务代码点(DSCP)。DiffServ 协议使用 IP 标头中的服务类型(ToS)字节。此字节的最 高有效6位形成 DSCP。有关详细信息,请参阅了解行为聚合分类器如何区分可信流量

您可以指定一个从0到63的数值。要以十六进制形式指定值,请将0x 用作前缀。要以二进制格式指定值,请将 b 包含为前缀。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

  • RFC 3246, 加速转发 PHB (单跃点行为)定义一个码位:ef (46)。

  • RFC 2597, 确保转发 PHB 组定义了 4 类,每个 类具有三个丢弃优先级,总共 12 个代码点:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

fragment-flags number

(仅入口)匹配 IP 标头中的三位 IP 分段标志字段。

在数字字段值的位置,您可以指定以下关键字之一(也列出了这些字段值):dont-fragment (0x4)、 more-fragments (0x2)或reserved (0x8)。

icmp-code number

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中protocol icmp配置匹配条件。

如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip-header-bad (0), required-option-missing (1)

  • redirect-for-host (1)、 redirect-for-network (0)、 redirect-for-tos-and-host (3)、 redirect-for-tos-and-net (2)

  • 已超过时间:ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • 到达communication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1) host-unreachable-for-TOS ,(12 network-unreachable ),(0)、 network-unreachable-for-TOS (11)、 port-unreachable (3)、 precedence-cutoff-in-effect (15)、 protocol-unreachable (2)、 source-host-isolated (8) source-route-failed 、(5)

icmp-type number

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您同时在同一术语中protocol icmp配置匹配条件。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):echo-reply (0)、 echo-request (8)、 info-reply (16)、 info-request ( mask-request 15)、(17)、 mask-reply (18)、 parameter-problem (12) redirect 、(5) router-advertisement 、(9 router-solicit )、(10)、source-quenchtime-exceeded timestamp timestamp-reply unreachable (4)、(11)、(13)、(14)或(3)。  

ip-options values

将8位 IP 选项字段(如果存在)与指定值匹配。

ACX 系列路由器仅支持ip-options_any match 条件,确保数据包发送到数据包转发引擎进行处理。

注意: 在 ACX 系列路由器上,只能指定一个 IP 选项值。不支持配置多个值。

precedence ip-precedence-field

匹配 IP 优先级字段。

在数字字段值的位置,您可以指定以下文本同义词之一(也列出了这些字段值):critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40) internet-control 、(0xc0)、 net-control (0xe0)、 priority (0x20)或routine (0x00)。您可以在十六进制、二进制或小数形式中指定优先级。

protocol number

匹配 IP 协议类型字段。为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58) igmp ,(2), ipip (4), ipv6 (41), no-next-headerospf (89), pim (103), routingrsvp (46), sctp (132), tcp (6),(17) udp  或(112)。 vrrp 

source-address address

匹配发送数据包的源节点的 IPv4 地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

如果为 IPv4 流量配置此匹配条件,则建议您同时在同一术语中protocol udp配置protocol tcp或匹配语句,以指定要在端口上使用的协议。

为了代替数值,您可以指定与destination-port number match 条件一起列出的其中一个文本同义词。

source-prefix-list

匹配命名列表中的 IP 源前缀。

tcp-flags value

匹配 TCP 标头中8位 TCP 标记字段 中的一个或多个低序位6位。

要指定单个位域,可指定以下文本同义词或十六进制值:

  • fin 0x01

  • syn 0x02

  • rst (0x04)

  • push (0x08)

  • ack 0x10

  • urgent 0x20

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而在初始数据包后发送的所有数据包中设置 ACK 标志。

您可以使用位字段逻辑运算符将多个标志组合在一起。

对于组合的位字段匹配条件,请参阅tcp-initial匹配条件。

如果配置此匹配条件,我们建议您同时在同一术语中protocol tcp配置 match 语句,以指定端口上正在使用 TCP 协议。

tcp-initial

与 TCP 连接的初始数据包匹配。这是的tcp-flags "(!ack & syn)"别名。

此情况不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您同时在同一术语中protocol tcp配置匹配条件。

ttl number

匹配 IPv4 生存时间数字。指定 TTL 值或 TTL 值范围。对于number,您可以指定一个或多个从2到255的值。

符合 IPv6 流量的条件(ACX 系列路由器)

您可以使用互联网协议版本 6 (IPv6)信息流family inet6的匹配条件来配置防火墙过滤器。表 7介绍了可在[edit firewall family inet6 filter filter-name term term-name from]层次结构级别配置的匹配条件。

表 7: IPv6 流量的防火墙过滤器匹配条件

匹配条件

Description

destination-address address

匹配 IPv6 目标地址字段。

destination-port number

与 UDP 或 TCP 目标端口字段匹配。

不能在同一术语portdestination-port同时指定和匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain ( eklogin53),ekshell exec finger ftp ftp-data http https (2105)、(2106)、(512)、(79)、(21)、(20)、(80)、(443)、  identimap kerberos-sec klogin kpasswd krb-prop krbupdate kshell (113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、  ldapldp login mobileip-agent mobilip-mn msdp netbios-dgm netbios-ns (389)、(646)、(513)、(434)、(435)、(639)、(138)、(137)、  netbios-ssnnfsd nntp ntalk ntp pop3 pptp (139)、(2049)、(119)、(518)、(123)、(110)、(1723)、  printerradacct radius rip rkinit smtp snmp (515),(1813),(1812),(520),(2108),(25),(161),  snmptraptacacs sunrpc syslog ssh  (162)、 snpp (444)、 socks(1080)、(22)、(111)、(514)、(49)、  tacacs-dsxdmcp timed who tftp  (65)、 talk (517)、 telnet(23)、(69)、(525)、(513)或(177)。  

destination-prefix-list

匹配命名列表中的 IP 目标前缀。

extension-headers header-type

通过识别下一个标头值来匹配数据包中包含的扩展标头类型。

在数据包的第一个片断中,过滤器在任何扩展标头类型中搜索匹配项。当找到带有片段标头的数据包(后续片段)时,过滤器仅搜索下一个扩展头类型的匹配,因为其他扩展标头的位置不可预测。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ah(51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)或routing (43)。

要匹配扩展标头选项的任何值,请使用文本同义词any

注意: 只能匹配 IPv6 数据包的第一个扩展标头。超过一个 IPv6 扩展标头的 L4 标头将被匹配。

hop-limit hop-limit

将跃点限制匹配到指定的跳跃限制或跳跃限制集。对于hop-limit,指定单个值或从0到255的值范围。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。

如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • 已超过时间:ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • 目标-无法到达:administratively-prohibited (1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query ( membership-report membership-termination130),neighbor-advertisement neighbor-solicit node-information-reply node-information-request packet-too-big parameter-problem (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、(136)、(135)、(140)、(139)、(2)、()、  private-experimentation-100 (100)、 private-experimentation-101 (101)、 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering ( router-solicit 138)、(133)或time-exceeded (3)。

对于private-experimentation-201 (201),您还可以在方括号内指定值的范围。

next-header header-type

匹配数据包中的第一个8位头字段。支持 next-headerJunos OS 版本 13.3 R6 和更高版本中均提供了防火墙匹配条件。

对于 IPv6,建议使用 payload-protocol术语,而不是 next-header配置具有匹配条件的防火墙过滤器时的术语。尽管可以使用两者, payload-protocol提供更可靠的匹配条件,因为它使用实际有效负载协议来查找匹配项,而 next-header只需使用 IPv6 标头后面第一个标头中出现的任何内容,这可能是也可能不是实际协议。此外,如果 next-header与 IPv6 一起使用,则绕过加速的过滤器块查找流程,而改用标准过滤器。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop ( icmp 0),(1), icmp6 (58), icmpv6 (58),igmprouting rsvpospf pim no-next-header mobilityipv6 (2)、 ipip (4)、(41)、(135)、(59)、(89)、(103)、(43)、   (46)、 sctp (132)、 tcp (6)、 udp  (17)或vrrp (112)。

注意: next-header icmp6next-header icmpv6匹配条件执行相同的功能。next-header icmp6是首选选项。next-header icmpv6在 Junos OS CLI 中隐藏。

source-address address

匹配发送数据包的源节点的 IPv6 地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一port术语source-port中指定和匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。

为了代替数值,您可以指定与destination-port number match 条件一起列出的其中一个文本同义词。

source-prefix-list

匹配命名列表中的 IP 源前缀。

tcp-flags flags

匹配 TCP 标头中8位 TCP 标记字段 中的一个或多个低序位6位。

要指定单个位域,可指定以下文本同义词或十六进制值:

  • fin 0x01

  • syn 0x02

  • rst (0x04)

  • push (0x08)

  • ack 0x10

  • urgent 0x20

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而在初始数据包后发送的所有数据包中设置 ACK 标志。

您可以使用位字段逻辑运算符将多个标志组合在一起。

有关组合的tcp-established位字段匹配条件,请参阅和tcp-initial匹配条件。

如果配置此匹配条件,我们建议您同时在同一术语中next-header tcp配置匹配条件,以指定端口上正在使用 TCP 协议。

tcp-initial

与 TCP 连接的初始数据包匹配。这是的tcp-flags "(!ack & syn)"文本同义词。

此情况不会隐式检查协议是否为 TCP。如果配置此匹配条件,我们建议您同时在同一术语中next-header tcp配置匹配条件。

traffic-class number

匹配8位字段,用于指定数据包的服务等级(CoS)优先级。

此字段以前用作 IPv4 中的服务类型(ToS)字段。

您可以从到063中指定一个数字值。要以十六进制形式指定值,请将0x其作为前缀包括在内。要以二进制格式指定值,请将b其包含为前缀。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

  • RFC 3246, 加速转发 PHB (单跃点行为)定义一个码位:ef (46)。

  • RFC 2597, 确保转发 PHB 组定义了 4 类,每个 类具有三个丢弃优先级,总共 12 个代码点:

    • af11 (10), af12 (12), af13 (14)

    • af21 (18), af22 (20), af23 (22)

    • af31 (26), af32 (28), af33 (30)

    • af41 (34), af42 (36), af43 (38)

注意

如果您在匹配条件address(、 destination-addresssource-address匹配条件)中指定 IPv6 地址,请使用 RFC 4291 中所述文本表示的语法IP 版本 6 寻址架构. 有关 IPv6 地址的详细信息,请参阅IPv6 概述受支持的 IPv6 标准

以下是防火墙系列 inet6 配置示例:

MPLS 流量的匹配条件(ACX 系列路由器)

在 ACX 系列路由器上,您可以使用 MPLS 信息流的匹配条件来配置标准无状态防火墙family mpls过滤器()。

注意

所有input-list filter-names接口output-list filter-names都支持mpls协议系列的防火墙过滤器的和语句,但管理接口和内部以太网接口(fxpem0)、回传接口(lo0)和 USB 调制解调器接口(umd)。

表 8介绍了可在[edit firewall family mpls filter filter-name term term-name from]层次结构级别配置的匹配条件。

表 8: ACX 系列路由器上的 MPLS 流量的标准防火墙过滤器匹配条件

匹配条件Description

exp number

实验性(EXP)位编号或 MPLS 标头中的位号范围。对于number,您可以使用十进制、二进制或十六进制格式指定0到7之间的一个或多个值。

Nonterminating 操作(ACX 系列路由器)

标准无状态防火墙过滤器支持每个协议系列的不同 nonterminating 操作集。

注意

ACX 系列路由器不支持该next term操作。

ACX 系列路由器支持系列进出方向的日志和 syslog 操作 inet和家人 bridge.

表 9介绍了可为标准防火墙过滤器术语配置的 nonterminating 操作。

表 9: ACX 系列路由器上的标准防火墙过滤器的 Nonterminating 操作

Nonterminating 操作

Description

协议系列

count counter-name

统计命名计数器中的数据包。

  • family any

  • family inet

  • family mpls

  • family ccc

  • family bridge

  • family vpls

forwarding-class class-name

基于指定的转发类对数据包进行分类:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

注意: 此操作仅在入口上受支持。

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

log

将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面( show firewall log CLI)发出命令来访问这些信息。

注意: 入口和出口支持此操作。族 inet6 不支持对出口的操作。

  • family inet

  • family inet6

  • family bridge

loss-priority (high | medium-high | low)

设置数据包丢失优先级(PLP)级别。

您也不能为three-color-policer相同的防火墙过滤器术语配置 nonterminating 操作。这两个 nonterminating 操作是相互排斥的。

您必须将该tri-color语句包含在[edit class-of-service]层次结构级别,才能提交具有指定四个级别中任意一个的 PLP 配置。如果未tri-color启用该语句,则只能配置highlow级别。这适用于所有协议系列。

有关该tri-color语句的信息,请参阅配置和应用三色标记监管器。有关使用行为聚合(BA)分类器设置所传入数据包的 PLP 级别的信息,请参阅了解转发类如何将类分配给输出队列

注意: 此操作仅在入口上受支持。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

policer policer-name

用于速率限制信息流的监管器的名称。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

port-mirror

端口-根据指定系列镜像数据包。

注意: 此操作仅在入口上受支持。

ACX5048 和 ACX5096 路由器不支持 port-mirror.

family inet

syslog

将数据包记录到系统日志文件。

注意: 入口和出口支持此操作。族 inet6 不支持对出口的操作。

  • family inet

  • family inet6

  • family bridge

three-color-policer (single-rate | two-rate) policer-name

使用指定的单速率或两速率三色监管器对数据包进行警察。

您也不能为loss-priority相同的防火墙过滤器术语配置操作。这两个操作相互排斥。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family ccc

  • family bridge

  • family vpls

traffic-class

设置信息流级代码点

注意: 此操作仅在入口上受支持。

family inet6

终止操作(ACX 系列路由器)

标准无状态防火墙过滤器为每个协议系列支持不同组的终止操作。

注意

ACX 系列路由器不支持该next term操作。

表 10介绍了可在标准防火墙过滤器术语中指定的终止操作。

表 10: 终止 ACX 系列路由器上标准防火墙过滤器的操作

终止操作

Description

协议

accept

接受数据包。

  • family any

  • family inet

  • family mpls

  • family ccc

discard

无需发送互联网控制消息协议(ICMP)消息就能以静默方式丢弃数据包。丢弃的数据包可用于日志记录和取样。

  • family any

  • family inet

  • family mpls

  • family ccc

reject message-type

拒绝数据包并返回 ICMPv4 或 ICMPv6 消息:

  • 如果未指定消息类型,则默认destination-unreachable情况下返回消息。

  • 如果tcp-reset指定为消息类型, tcp-reset则仅当数据包为 TCP 数据包时才会返回。否则,将administratively-prohibited返回值为 13 的消息。

  • 如果指定任何其他消息类型,则返回该消息。

注意:

  • 如果配置samplesyslog操作,可对被拒绝的数据包进行抽样或记录。

  • 此操作仅在入口上受支持。

message-type选项可具有以下值之一:address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachableport-unreachableprecedence-cutoffprecedence-violationtcp-reset、、 source-host-isolated、、、、、 source-route-failed、、、、或。 protocol-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-route

family inet

routing-instance routing-instance-name

将数据包定向到指定的路由实例。

  • family inet