Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

防火墙过滤器匹配条件和操作(PTX 系列路由器)

 

防火墙过滤器匹配条件和操作(PTX10003)

防火墙过滤器中的每个术语都包含匹配条件操作。匹配条件是数据包必须包含的字段和值,可视为匹配。您可以在match 语句中定义单个或多个匹配条件。您也可以不包含 match 语句,在这种情况下,术语与所有数据包匹配。

当数据包与过滤器匹配时,路由器将采取术语中指定的操作。此外,您可以指定操作修饰符来计数、镜像、速率限制和对数据包进行分类。如果没有为术语指定匹配条件,则路由器默认接受该数据包。

您可以将多个防火墙过滤器作为单个输入列表或输出列表应用于单个接口(filter input-list and output-list)。通过这种方式,只需在单个防火墙过滤器中管理过滤任务的配置。这为您在使用多个接口配置设备时为大型环境提供了灵活性。

  • 表 1介绍了配置防火墙过滤器时可指定的匹配条件。部分数字范围和位字段匹配条件允许您指定文本同义词。要查看匹配条件的所有同义词的列表,请在语句中?的适当位置键入。

  • 表 2显示了可在术语中指定的操作和操作修饰符。

表 1: 支持的匹配条件(PTX10003)

匹配条件

Description

支持的接口

address address [ except ]

匹配源或目标地址字段,除非包含except该选项。

IPv4 (inet)接口和 IPv6 (inet6)接口。

destination-address address [ except ]

匹配目标地址字段,除非包含except该选项。

不能在同一address术语destination-address中同时指定两者和匹配条件。

IPv4 (inet)接口和 IPv6 (inet6)接口。

destination-port number

与 UDP 或 TCP 目标端口字段匹配。您还必须在同一protocol udp术语protocol tcp中配置或匹配语句,以指定要在端口上使用的协议。

不能在同一术语portdestination-port同时指定和匹配条件。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain ( eklogin53),ekshell exec finger ftp ftp-data http https (2105)、(2106)、(512)、(79)、(21)、(20)、(80)、(443)、  identimap kerberos-sec klogin kpasswd krb-prop krbupdate kshell (113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、  ldapldp login mobileip-agent mobilip-mn msdp netbios-dgm netbios-ns (389)、(646)、(513)、(434)、(435)、(639)、(138)、(137)、  netbios-ssnnfsd nntp ntalk ntp pop3 pptp (139)、(2049)、(119)、(518)、(123)、(110)、(1723)、  printerradacct radius rip rkinit smtp snmp (515),(1813),(1812),(520),(2108),(25),(161),  snmptraptacacs sunrpc syslog ssh  (162)、 snpp (444)、 socks(1080)、(22)、(111)、(514)、(49)、  tacacs-dsxdmcp timed who tftp  (65)、 talk (517)、 telnet(23)、(69)、(525)、(513)或(177)。  

IPv4 (inet)接口和 IPv6 (inet6)接口。

destination-port-except number

不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请destination-port参阅 match 条件。

IPv4 (inet)接口和 IPv6 (inet6)接口。

destination-prefix-list name [ except ]

匹配列表中的目标前缀,除非except包含该选项。您可以在前缀列表别名下定义 IP 地址前缀列表,以便经常使用。在[edit policy-options]层次结构级别定义此列表。

IPv4 (inet)接口和 IPv6 (inet6)接口。

dscp number

匹配差异服务代码点(DSCP)。DiffServ 协议使用 IP 标头中的服务类型(ToS)字节。此字节的最大6位形成 DSCP。

您可以以十六进制、二进制或十进制形式指定 DSCP。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

  • be—最大努力(默认)

  • ef (46)—如RFC 3246中所定义 加速转发 PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    RFC 2597中定义了这四个类,每个类有三个丢弃优先级(共12个代码点), 确保转发 PHB.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

IPv4 (inet)和 IPv6 (inet6)接口。

dscp-except number

在 DSCP 编号上不匹配。有关详细信息,请参阅dscp match 条件。

IPv4 (inet)和 IPv6 (inet6)接口。

first-fragment

如果数据包是分段数据包的第一个分段,则为匹配。如果 数据包是零碎数据包的尾部分段,则不匹配。分段数据包的第一个片段具有分段偏移量值0

此匹配条件是位字段匹配条件fragment-offset 0匹配条件的别名。

要与第一段和尾部分段匹配,您可以使用两个指定不同匹配条件的术语:first-fragmentis-fragment

IPv4 (inet)接口。

forwarding-class class

将数据包分类为以下某个默认转发类或用户定义的转发类中的内容:

  • best-effort

  • fcoe

  • network-control

  • no-loss

IPv4 (inet)、IPv6 (inet6)和 MPLS 接口。

forwarding-class-except class

不匹配数据包的转发类。有关详细信息,请forwarding-class参阅 match 条件。

IPv4 (inet)、IPv6 (inet6)和 MPLS 接口。

fragment-flags number

匹配 IP 标头中的三位 IP 分段标志字段。

在数字字段值的位置,您可以指定以下关键字之一(也列出了这些字段值):dont- (0x4)、 more-s (0x2)或reserved (0x8)。

IPv4 (inet)接口。

fragment-offset value

匹配 IP 标头中的13位分段偏移量字段。该值是整个数据报消息中到数据片段的以8字节为单位的偏移量。指定数值、值的范围或一组值。偏移值0表示分段数据包的第一个分段。

first-fragment匹配条件是fragment-offset 0匹配条件的别名。

要匹配第一段和尾部分段,您可以使用两个指定不同匹配条件的first-fragment术语is-fragment(and)。

IPv4 (inet)接口。

fragment-offset-except number

与13位分段偏移量字段不匹配。

IPv4 (inet)接口。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。

如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip-header-bad (0), required-option-missing (1)

  • redirect-for-host (1)、 redirect-for-network (0)、 redirect-for-tos-and-host (3)、 redirect-for-tos-and-net (2)

  • 已超过时间:ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • 到达communication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1) host-unreachable-for-TOS ,(12 network-unreachable ),(0)、 network-unreachable-for-TOS (11)、 port-unreachable (3)、 precedence-cutoff-in-effect (15)、 protocol-unreachable (2)、 source-host-isolated (8) source-route-failed 、(5)

IPv4 (inet)和 IPv6 (inet6)接口。

icmp-code-except message-code

与 ICMP 消息代码字段不匹配。有关详细信息,请icmp-code参阅 match 条件。

IPv4 (inet)和 IPv6 (inet6)接口。

icmp-type number

匹配 ICMP 消息类型字段。您还必须配置icmp icmpv6 asprotocol 接下来标头 相同术语中的匹配类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):echo-reply (0)、 echo-request (8)、 info-reply (16)、 info-request ( mask-request 15)、(17)、 mask-reply (18)、 parameter-problem (12) redirect 、(5) router-advertisement 、(9 router-solicit )、(10)、source-quenchtime-exceeded timestamp timestamp-reply unreachable (4)、(11)、(13)、(14)或(3)。  

另请icmp-code variable参阅。

IPv4 (inet)和 IPv6 (inet6)接口。

icmp-type-except message-type

不匹配 ICMP 消息类型字段。有关详细信息,请icmp-type参阅 match 条件。

IPv4 (inet)和 IPv6 (inet6)接口。

interface interface-name

对于入口过滤器,匹配接收数据包的接口。

对于出口过滤器,匹配发送数据包的接口。

IPv4 (inet)接口和 IPv6 (inet6)接口。

interface-except number

与接收数据包的逻辑接口不匹配。有关详细信息,请interface参阅 match 条件。

IPv4 (inet)接口和 IPv6 (inet6)接口。

is-fragment

如果数据包是分段数据包的尾部片段,则匹配。  与分段数据包的第一个分段不匹配。

注意: 要匹配第一段和尾部分段,您可以使用两个指定不同匹配条件的first-fragment术语is-fragment(and)。

对于运行 Junos OS 不断演进的 PTX10003 路由器,所有碎片数据包(包括第一个分段数据包片段)将在包含 "是分段" 匹配的任何防火墙过滤器术语上匹配。

IPv4 (inet)接口。

loss-priority level

匹配数据包丢失优先级(PLP)。

指定一个级别或多个级别:lowmedium-lowmedium-highhigh

注意: loss-priority操作修饰符与policer操作组合不受支持。

IPv4 (inet)、IPv6 (inet6)和 MPLS 接口。

loss-priority-except level

不与 PLP 级别匹配。有关详细信息,请loss-priority参阅 match 条件。

IPv4 (inet)、IPv6 (inet6)和 MPLS 接口。

next-header header-type

匹配数据包中的第一个8位头字段。

对于 IPv6,建议使用 payload-protocol术语,而不是 next-header但可以使用两者。T4000 路由器不支持 payload-protocol提供更可靠的匹配条件,因为它使用实际的负载协议来查找匹配项。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop ( icmp 0),(1), icmp6 (58), icmpv6 (58),igmprouting rsvpospf pim no-next-header mobilityipv6 (2)、 ipip (4)、(41)、(135)、(59)、(89)、(103)、(43)、   (46)、 sctp (132)、 tcp (6)、 udp  (17)或vrrp (112)。

IPv6 (inet6)接口。

next-header-except header-type

不匹配标识 IPv6 标头和有效负载之间的标头类型的8位下一标头字段。有关详细信息,请next-header参阅匹配类型。

IPv6 (inet6)接口

packet-length bytes

匹配收到的数据包的长度(以字节为单位)。该长度仅引用 IP 数据包,包括数据包标头,不包括任何第2层 封装开销。您还可以指定要匹配的值范围。

IPv4 (inet)和 IPv6 (inet6)接口。

packet-length-except bytes

不符合收到的数据包的长度(以字节为单位)。有关详细信息,请packet-length参阅匹配类型。

IPv4 (inet)和 IPv6 (inet6)接口。

port number

匹配 UDP 或 TCP 源或目标端口字段。您还必须在同一protocol udp术语protocol tcp中配置或匹配语句,以指定要在端口上使用的协议。

您不能在destination-port同一术语中配置source-port匹配条件或匹配条件。

为替代数值,您可以指定下面destination-port列出的其中一个文本同义词。

IPv4 (inet)和 IPv6 (inet6)接口。

port-except number

不与源或目标 UDP 或 TCP 端口字段匹配。有关详细信息,请port参阅 match 条件。

IPv4 (inet)和 IPv6 (inet6)接口。

precedence ip-precedence-value

匹配 IP 优先级字段。

在数字字段值的位置,您可以指定以下文本同义词之一(也列出了这些字段值):critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40) internet-control 、(0xc0)、 net-control (0xe0)、 priority (0x20)或routine (0x00)。您可以在十六进制、二进制或小数形式中指定优先级。

IPv4 (inet)接口。

precedence-except ip-precedence-value

不匹配 IP 优先级字段。

IPv4 (inet)接口。

protocol number

匹配 IPv4 协议类型字段。为了代替数值,您可以指定以下文本同义词之一(数字值也将列出):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

IPv4 (inet)接口。

protocol-except number

不匹配 IP 协议类型字段。为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ah (51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop ( icmp 0)、(1)、 icmp6 (58) icmpv6 、(58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp ( sctp 46),(132) tcp ,(),(6)、 udp  (17)或vrrp (112)。

IPv4 (inet)接口。

source-address

ip-address

IP 源地址字段,它是发送数据包的节点的地址。

IPv4 (inet)接口和 IPv6 (inet6)接口。

source-address address [ except ]

除非包含该except选项,否则为发送数据包的源节点的 IP 地址。如果包含此选项,则 不匹配发送数据包的源节点的 IP 地址。

不能在同一术语addresssource-address同时指定和匹配条件。

IPv4 (inet)接口和 IPv6 (inet6)接口。

source-port value

匹配 TCP 或 UDP 源端口。您还必须在同一protocol udp术语protocol tcp中配置或匹配语句。

为了代替数值,您可以指定与destination-port number match 条件一起列出的其中一个文本同义词。

IPv4 (inet)接口和 IPv6 (inet6)接口。

source-port-except number

 不 匹配 UDP 或 TCP 源端口字段。有关详细信息,请source-port参阅 match 条件。

IPv4 (inet)接口和 IPv6 (inet6)接口。

source-prefix-list prefix-list

IP 源前缀列表。您可以在前缀列表别名下定义 IP 地址前缀列表,以便经常使用。在[edit policy-options]层次结构级别定义此列表。

IPv4 (inet)接口和 IPv6 (inet6)接口。

tcp-flags value

匹配 TCP 标头中8位 TCP 标记字段 中的一个或多个低序位6位。

要指定单个位域,可指定以下文本同义词或十六进制值:

  • fin 0x01

  • syn 0x02

  • rst (0x04)

  • push (0x08)

  • ack 0x10

  • urgent 0x20

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而在初始数据包后发送的所有数据包中设置 ACK 标志。

您可以使用位字段逻辑运算符将多个标志组合在一起。

如果配置此匹配条件,我们建议您同时在同一术语中protocol tcp配置 match 语句,以指定端口上正在使用 TCP 协议。

仅对于 IPv4 流量,此匹配条件不 会隐式检查数据报是否包含分段数据包的第一个分段。要仅针对 IPv4 流量检查此条件,请使用first-fragment match 条件。

IPv4 (inet)接口和 IPv6 (inet6)接口。

traffic-class value

8位字段,用于指定数据包的服务等级(CoS)优先级。信息流类字段用于指定 DiffServ 代码点(DSCP)值。此字段以前曾用作 IPv4 中的服务类型(ToS)字段,而此字段的语义(例如 DSCP)与 IPv4 相同。

您可以指定以下文本同义词之一(也列出了这些字段值):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

IPv6 (inet6)接口。

traffic-class-except number

与指定数据包 CoS 优先级的8位字段不匹配。有关详细信息,请traffic-class参阅匹配说明。

IPv6 (inet6)接口。

ttl number

匹配 IPv4 或 IPv6 生存时间数字。指定 TTL 值或 TTL 值范围。对于number, 0您可以通过 255指定一个或多个值。

IPv4 (inet)和 IPv6 (inet6)接口。

ttl-except number

不匹配 IPv4 或 IPv6 TTL 编号。有关详细信息,请ttl参阅 match 条件。

IPv4 (inet)和 IPv6 (inet6)接口。

使用then语句定义当数据包与语句中的from所有条件匹配时应发生的操作。表 2显示了您可以在术语中指定的操作。(如果不包含then语句,系统将接受与过滤器匹配的数据包。)

表 2: 操作和操作修饰符(PTX10003)

操作

Description

accept

接受数据包。这是与某一术语相匹配的数据包的默认操作。

discard

无需发送互联网控制消息协议(ICMP)消息就能静默丢弃数据包。

count counter-name

计算与搜索项匹配的数据包数量。

forwarding-class class

将数据包分类为以下某个默认转发类或用户定义的转发类中的内容:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注意: IPv4 forwarding-class 、IPv6 和 MPLS 接口支持此操作。

log

在路由引擎中记录数据包的标头信息。要查看此信息,请输入show firewall log操作模式命令。

注意: 只有log IPv4 和 IPv6 入口接口支持操作修饰符。

loss-priority level

设置数据包丢失优先级(PLP)。

policer policer-name

将数据包发送至监管器(出于应用速率限制的目的)。PTX10003 支持双色、单速率三色(srTCM)和双速率三色标记(trTCM)监管器。

注意: policer操作修饰符与loss-priority操作组合不受支持。

reject message-type

丢弃数据包并发送“目标不可达” ICMPv4 或 ICMPv6 消息(3类)。要记录被拒绝的数据包, syslog请配置 action 修饰符。

您可以指定以下消息类型之一:administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, .

注意: tcp-reset支持该消息类型。

如果不指定消息类型,则无法到达“”的 ICMP 通知目标将与以管理方式筛选的“默认消息通信一起发送。”

syslog

为此数据包记录警报。

routing-instance instance-name

向虚拟路由实例转发匹配的数据包。数据包可转发至默认实例。

支持于virtual-routerforwarding instance-types.

IPv6 防火墙过滤器匹配条件和操作(PTX10001-20C)

本主题介绍 PTX10001-20C 路由器的 IPv6 防火墙过滤器匹配条件、操作和操作修饰符。

防火墙过滤器中的每个术语都包含匹配条件操作。匹配条件是数据包必须包含的字段和值,可视为匹配。您可以在match 语句中定义单个或多个匹配条件。您还可以包括不匹配语句,在这种情况下,术语与所有数据包匹配。

当数据包与过滤器匹配时,路由器将采取术语中指定的操作。您还可以指定操作修饰符来对数据包进行计数、镜像和分类。如果没有为术语指定匹配条件,则路由器默认接受该数据包。

注意

在 PTX10001-20C 路由器上,您只能在入口方向上对 IPv6 接口应用防火墙过滤器。

  • 表 3介绍了支持的匹配条件。

  • 表 4显示了您可以在术语中指定的操作。如果不’包含then语句,系统将接受与过滤器匹配的数据包。

  • 表 5显示可用于对数据包进行计数、镜像、速率和分类的操作修饰符。

表 3: IPv6 支持的匹配条件

匹配条件

Description

address address [ except ]

匹配 IPv6 源或目标地址字段,除非包含except该选项。如果包含此选项,则 不匹配 IPv6 源或目标地址字段。

apply-groups

指定要从中继承配置数据的组。您可以指定一个以上的组名称。您必须按继承优先级顺序列出它们。第一组中的配置数据优先于后续组中的数据。

apply-groups-except

指定不从中继承配置数据的组。您可以指定一个以上的组名称。

destination-address address [ except ]

匹配 IPv6 目标地址字段,除非包含except该选项。如果包含此选项,则 不匹配 IPv6 目标地址字段。

不能在同一术语addressdestination-address同时指定和匹配条件。

destination-port number

与 UDP 或 TCP 目标端口字段匹配。

不能在同一术语portdestination-port同时指定和匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain ( eklogin53),ekshell exec finger ftp ftp-data http https (2105)、(2106)、(512)、(79)、(21)、(20)、(80)、(443)、  identimap kerberos-sec klogin kpasswd krb-prop krbupdate kshell (113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、  ldapldp login mobileip-agent mobilip-mn msdp netbios-dgm netbios-ns (389)、(646)、(513)、(434)、(435)、(639)、(138)、(137)、  netbios-ssnnfsd nntp ntalk ntp pop3 pptp (139)、(2049)、(119)、(518)、(123)、(110)、(1723)、  printerradacct radius rip rkinit smtp snmp (515),(1813),(1812),(520),(2108),(25),(161),  snmptraptacacs sunrpc syslog ssh  (162)、 snpp (444)、 socks(1080)、(22)、(111)、(514)、(49)、  tacacs-dsxdmcp timed who tftp  (65)、 talk (517)、 telnet(23)、(69)、(525)、(513)或(177)。  

destination-port-except number

不匹配 UDP 或 TCP 目标端口字段。有关详细信息,请destination-port参阅 match 条件。

destination-prefix-list prefix-list-name [ except ]

除非包含该except选项,否则将 IPv6 目标前缀与指定列表匹配。如果包含该选项,则 不会将 IPv6 目标前缀与指定列表匹配。

前缀列表在[edit policy-options prefix-list prefix-list-name] 层次结构级别定义。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。

ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • 已超过时间:ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • 目标-无法到达:administratively-prohibited (1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

与 ICMP 消息代码字段不匹配。有关详细信息,请icmp-code参阅 match 条件。

message-type

匹配 ICMP 消息类型字段。

您还必须在icmp同一next-header icmp6术语中配置或匹配条件。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query ( membership-report membership-termination130),neighbor-advertisement neighbor-solicit node-information-reply node-information-request packet-too-big parameter-problem (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、(136)、(135)、(140)、(139)、(2)、()、  private-experimentation-100 (100)、 private-experimentation-101 (101)、 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering ( router-solicit 138)、(133)或time-exceeded (3)。

对于private-experimentation-201 (201),您还可以在方括号内指定值的范围。

icmp-type-except message-type

不匹配 ICMP 消息类型字段。有关详细信息,请icmp-type参阅 match 条件。

next

继续执行过滤器中的下一术语。

next-header header-type

匹配数据包中的第一个8位头字段。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop ( icmp 0),(1), icmp6 (58), icmpv6 (58),igmprouting rsvpospf pim no-next-header mobilityipv6 (2)、 ipip (4)、(41)、(135)、(59)、(89)、(103)、(43)、   (46)、 sctp (132)、 tcp (6)、 udp  (17)或vrrp (112)。

注意: next-header icmp6next-header icmpv6匹配条件执行相同的功能。next-header icmp6是首选选项。next-header icmpv6在 Junos OS CLI 中隐藏。

next-header-except header-type

不匹配标识 IPv6 标头和有效负载之间的标头类型的8位下一标头字段。有关详细信息,请next-header参阅匹配类型。

port number

匹配 UDP 或 TCP 源或目标端口字段。

如果配置此匹配条件,则不能在同一destination-port术语中配置匹配source-port条件或匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。

为替代数值,您可以指定下面destination-port列出的其中一个文本同义词。

port-except number

不匹配 UDP 或 TCP 源或目标端口字段。有关详细信息,请port参阅 match 条件。

port-mirror instance-name

端口-镜像数据包。

port-mirror-instance instance-name

端口镜像实例的数据包。

prefix-list prefix-list-name [ except ]

将来源或目标地址字段的前缀与指定列表中的前缀匹配,除非包含该except选项。如果包含此选项,请 不要将来源或目标地址字段的前缀与指定列表中的前缀匹配。

前缀列表在[edit policy-options prefix-list prefix-list-name]层次结构级别定义。

sample

对数据包进行采样。

source-address address [ except ]

除非包含该except选项,否则为发送数据包的源节点的 IPv6 地址匹配。如果包含此选项,则 不匹配发送数据包的源节点的 IPv6 地址。

不能在同一术语addresssource-address同时指定和匹配条件。

source-port number

匹配 UDP 或 TCP 源端口字段。

不能在同一port术语source-port中指定和匹配条件。

如果配置此匹配条件,我们建议您也在同一术语中next-header udp配置next-header tcp或匹配条件,以指定端口上使用的协议。

注意: 对于不断演进的 Junos OS,您必须next-header udpnext-header tcp同一术语中配置或匹配语句。

为了代替数值,您可以指定与destination-port number match 条件一起列出的其中一个文本同义词。

source-port-except number

 不 匹配 UDP 或 TCP 源端口字段。有关详细信息,请source-port参阅 match 条件。

source-prefix-list name [ except ]

匹配数据包源字段的 IPv6 地址前缀,除非包含该except选项。如果包含此选项,则 不匹配数据包源字段的 IPv6 地址前缀。

指定在[edit policy-options prefix-list prefix-list-name]层次结构级别定义的前缀列表名称。

注意

如果您在匹配条件address(、 destination-addresssource-address匹配条件)中指定 IPv6 地址,请使用 RFC 4291 中所述文本表示的语法IP 版本 6 寻址架构. 有关 IPv6 地址的详细信息,请参阅IPv6 概述受支持的 IPv6 标准

表 4: IPv6 防火墙过滤器的操作

操作

Description

accept

接受数据包。这是与某一术语相匹配的数据包的默认操作。

discard

无需发送互联网控制消息协议(ICMP)消息就能静默丢弃数据包。

表 5: IPv6 防火墙过滤器的操作修饰符

操作修饰符

Description

count counter-name

计算与搜索项匹配的数据包数量。

forwarding-class class

将数据包分类为以下某个默认转发类或用户定义的转发类中的内容:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注意: 要配置转发类,还必须配置丢失优先级。

loss-priority (low | medium-low | medium-high | high)

设置数据包丢失优先级(PLP)。