address address [ except ] |
except オプションが含まれていない限り、IPv6送信元または宛先アドレスフィールドに一致します。オプションが含まれている場合、IPv6 送信元または宛先アドレス フィールドが一致しません。 |
destination-address address [ except ] |
except オプションが含まれていない限り、IPv6宛先アドレスフィールドに一致します。オプションが含まれている場合、IPv6宛先アドレスフィールドに一致しません。 同じ条件に address 一致条件と destination-address 一致条件を両方指定することはできません。 |
destination-port number |
UDPまたはTCP宛先ポート フィールドに一致します。 同じ条件に port 一致条件と destination-port 一致条件を両方指定することはできません。 この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。 afs (1483)、bgp (179)、biff (512)、bootpc (68)、bootps (67)、cmd (514)、cvspserver (2401)、dhcp (67)、domain (53)、eklogin (2105)、ekshell (2106)、exec (512)、finger のいずれかのテキストを指定できます。 (79)、ftp (21)、ftp-data (20)、http (80)、https (443)、ident (113)、imap (143)、kerberos-sec (88)、klogin (543)、kpasswd (761)、krb-prop (754)、krbupdate (760)、kshell (544)、ldap (389)、ldp (646)、login (513)、mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit ssh (2108)、smtp (25)、snmp (161)、snmptrap (162)、snpp (444)、socks (1080)、(22)、sunrpc (111)、syslog (514)、tacacs (49)、tacacs-ds (65)、talk (517)、telnet (23)、tftp (69)、timed (525)、who (513)、またはxdmcp (177)。 |
destination-port-except number |
UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port 一致条件を参照してください。 |
destination-prefix-list prefix-list-name [ except ] |
except オプションが含まれていない限り、IPv6宛先プレフィックスを指定されたリストに一致させます。オプションが含まれている場合、指定されたリストのIPv6宛先プレフィックスに一致しません。 プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name ] 階層レベルで定義されます。 |
forwarding-class class |
パケットの転送クラスに一致します。 assured-forwarding 、best-effort 、expedited-forwarding 、またはnetwork-control を指定します。 転送クラスとルーター内出力キューについては、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。 |
forwarding-class-except class |
パケットの転送クラスに一致しません。詳細については、 forwarding-class 一致条件を参照してください。 |
icmp-code message-code |
ICMPメッセージコードフィールドに一致します。 この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。 この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。
パラメータ問題: ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)
超過時間: ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0)
宛先到達不能: administratively-prohibited (1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)
|
icmp-code-except message-code |
ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code 一致条件を参照してください。 |
icmp-type message-type |
ICMPメッセージタイプフィールドに一致します。 この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。 certificate-path-advertisement (149)、certificate-path-solicitation (148)、destination-unreachable (1)、echo-reply (129)、echo-request (128)、home-agent-address-discovery-reply (145)、home-agent-address-discovery-request (144)、inverse-neighbor-discovery-advertisement (142)、inverse-neighbor-discovery-solicitation (141)、membership-query (130)、membership-report (131)、membership-termination (132)、mobile-prefix-advertisement-reply (1) のいずれかを指定します。 47)、mobile-prefix-solicitation (146)、neighbor-advertisement (136)、neighbor-solicit (135)、node-information-reply (140)、node-information-request (139)、packet-too-big (2)、parameter-problem (4)、private-experimentation-100 (100)、private-experimentation-101 (101)、private-experimentation-200 (200)、private-experimentation-201 (201)、redirect (137)、router-advertisement (134)、router-renumbering (138)、router-solicit (133)、またはtime-exceeded (3)。 private-experimentation-201 (201) の場合、角括弧内の値の範囲を指定することもできます。 |
icmp-type-except message-type |
ICMPメッセージタイプフィールドに一致しません。詳細については、 icmp-type 一致条件を参照してください。 |
loss-priority level |
PLP(パケット損失の優先度)レベルに一致します。 単一のレベルまたは複数のレベル( low 、 medium-low 、 medium-high 、または high )を指定します。 M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーターとEXシリーズスイッチ。 M320、MXシリーズ、Tシリーズルーター、および拡張II FPC(フレキシブルPICコンセントレータ)を搭載したEXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、[edit class-of-service] 階層レベルにtri-color ステートメントを含める必要があります。tri-color ステートメントが有効になっていない場合は、high レベルとlow レベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。 tri-color ステートメントの詳細については、 トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。 |
loss-priority-except level |
PLPレベルに一致しません。詳細については、 loss-priority 一致条件を参照してください。 |
next-header header-type |
パケットの最初の 8 ビットの Next Header フィールドに一致します。 next-header ファイアウォール一致条件のサポートは、Junos OSリリース13.3R6以降で利用可能です。 IPv6では、一致条件でファイアウォールフィルターを設定する際に、next-header 用語ではなく、payload-protocol 用語を使用することを推奨します。どちらでも使用できますが、payload-protocol は実際のペイロード プロトコルを使用して一致を見つけるのに対し、next-header は IPv6 ヘッダーに続く最初のヘッダーに表示されるものをすべて取得するため、より信頼性の高い一致条件を提供します。さらに、IPv6 で next-header を使用すると、高速フィルター ブロックの検索プロセスはバイパスされ、代わりに標準フィルターが使用されます。 パケットの最初の 8 ビットの Next Header フィールドに一致します。 数値の代わりに、次のテキストシノニム(フィールド値もリストされています)のいずれかを指定できます: ah (51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)、または vrrp (112)。
手記:
next-header icmp6 および next-header icmpv6 一致条件は同じ機能を実行します。 next-header icmp6 が推奨されるオプションです。 next-header icmpv6 はJunos OS CLIで非表示になっています。
|
next-header-except header-type |
IPv6ヘッダーとペイロード間のヘッダーのタイプを識別する8ビットのNext Headerフィールドに一致しません。詳細については、 next-header マッチタイプを参照してください。 |
packet-length bytes |
受信したパケットの長さに一致します(バイト単位)。長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。 |
packet-length-except bytes |
受信したパケットの長さに一致しません(バイト単位)。詳細については、 packet-length マッチタイプを参照してください。 |
port number |
UDPまたはTCP送信元または宛先ポート フィールドに一致します。 この一致条件を設定した場合、同じ条件で destination-port 一致条件または source-port 一致条件を設定できません。 この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。 数値の代わりに、 destination-port 一致条件の下にリストされているテキスト同義語の1つを指定できます。 |
port-except number |
UDPまたはTCP送信元または宛先ポートフィールドに一致しません。詳細については、 port 一致条件を参照してください。 |
prefix-list prefix-list-name [ except ] |
送信元または宛先アドレスフィールドのプレフィックスを、 except オプションが含まれていない限り、指定されたリストのプレフィックスに一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させません。 プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されます。 |
service-filter-hit |
service-filter-hit アクションが適用されたフィルターから受信したパケットに一致します。 |
source-address address [ except ] |
except オプションが含まれていない限り、パケットを送信する送信元ノードのIPv6アドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードのIPv6アドレスに一致しません。 同じ条件に address 一致条件と source-address 一致条件を両方指定することはできません。 |
source-class class-names |
1 つ以上の指定された送信元クラス名(まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット)に一致します。詳細については、 アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。 |
source-class-except class-names |
1 つ以上の指定された送信元クラス名に一致しません。詳細については、 source-class 一致条件を参照してください。 |
source-port number |
UDPまたはTCP送信元ポート フィールドに一致します。 同じ項に port 一致条件と source-port 一致条件を指定することはできません。 この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。 数値の代わりに、 destination-port number 一致条件で記載されているテキスト同義語の1つを指定できます。 |
source-port-except number |
UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 source-port 一致条件を参照してください。 |
source-prefix-list name [ except ] |
except オプションが含まれていない限り、パケット送信元フィールドのIPv6アドレスプレフィックスに一致します。オプションが含まれている場合、パケット送信元フィールドのIPv6アドレスプレフィックスに一致しません。 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリスト名を指定します。 |
traffic-class number |
パケットのサービスクラス(CoS)優先度を指定する8ビットフィールドに一致します。 このフィールドは、以前は IPv4 の type-of-service(ToS)フィールドとして使用されていました。 0 から 63 までの数値を指定できます。値を 16 進形式で指定するには、プレフィックスとして 0x を含めます。値を 2 進形式で指定するには、プレフィックスとして b を含めます。 数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。
RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイント ef (46)を定義します。
RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。
af11 (10)、 af12 (12)、 af13 (14)
af21 (18)、 af22 (20)、 af23 (22)
af31 (26)、 af32 (28)、 af33 (30)
af41 (34)、 af42 (36)、 af43 (38)
|
traffic-class-except number |
パケットのCoSプライオリティを指定する8ビットフィールドに一致しません。詳細については、 traffic-class 一致の説明を参照してください。 |