Condições de correspondência do filtro de firewall para tráfego de ponte de camada 2

Somente em roteadores da Série MX e switches da Série EX, você pode configurar um filtro de firewall sem estado padrão com condições de correspondência para o tráfego de ponte de Camada 2 (family bridge). descreve o match-conditions que você pode configurar no nível hierárquico [edit firewall family bridge filter filter-name term term-name from]Tabela 1.

Tabela 1: Condições padrão de correspondência do filtro de firewall para pontes de camada 2 (roteadores da Série MX e apenas switches da Série EX)
Condição da partida	Descrição
`destination-mac-address address`	Endereço de controle de acesso de mídia de destino (MAC) de um pacote de Camada 2 em um ambiente de ponte.
`destination-port number`	Campo de porta de destino TCP ou UDP. Você não pode especificar as `port` condições e `destination-port` as condições compatíveis no mesmo termo.
`destination-port-except`	Não corresponda à porta de destino TCP/UDP.
`destination-prefix-list` `named-list`	Combine com os prefixos de destino IP em um `named-list`.
`dscp number`	Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável. Você pode especificar um valor numérico de `0` até `63`. Para especificar o valor na forma hexadadecimal, inclua `0x` como prefixo. Para especificar o valor em forma binária, inclua `b` como prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: `ef`(46). RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código: `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`dscp-except number`	Não corresponda ao número de DSCP. Para obter mais informações, veja a condição da `dscp-except` partida.
`ether-type value`	Combine o campo IEEE 802.3 de comprimento/etherPono de 2 octets com o valor ou lista de valores especificados. Você pode especificar valores decimais ou hexadecimal de 0 a 65535 (0xFFFF). Um valor de 0 a 1500 (0x05DC) especifica o comprimento de um quadro Ethernet Versão 1. Um valor de 1536 (0x0600) a 65535 especifica o EtherType (natureza do protocolo cliente MAC) de um quadro Ethernet Versão 2. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores hexadecimal também estão listados): `aarp`(0x80F3), `appletalk` (0x809B), `arp` (0x0806), `ipv4` (0x0800), `ipv6` (0x86DD), `mpls-multicast` (0x8848), `mpls-unicast` (0x8847), `oam` (0x8902), `ppp` (0x880B), `pppoe-discovery` (0x8863) `pppoe-session` (0x8864) `sna` (0x80D5). Nota: Ao combinar em endereço ip ou endereço ipv6, o ipv4 ou ipv6 do tipo ether, respectivamente, também deve ser especificado para limitar as correspondências apenas ao tráfego ip.
`ether-type-except value`	Não combine o campo IEEE 802.3 de comprimento/EtherOtipado de 2 octets com o valor ou lista de valores especificados. Para obter mais informações sobre a especificação, `values`veja a condição da `ether-type` partida.
`flexible-match-mask` `value`	`bit-length`	Comprimento dos dados a serem combinados em bits, não necessário para entrada de string (0.128)
	`bit-offset`	Compensação de bits após a compensação (match-start + byte) (0,7)
	`byte-offset`	Byte offset após o ponto de partida da partida
	`flexible-mask-name`	Selecione uma combinação flexível no campo de modelo predefinido
	`mask-in-hex`	Mascarar bits nos dados do pacote a serem combinados
	`match-start`	Ponto de partida para combinar em pacote
	`prefix`	Valorize dados/string a serem combinados

`flexible-match-range` `value`	`bit-length`	Comprimento dos dados a serem combinados em bits (0,32)
	`bit-offset`	Compensação de bits após a compensação (match-start + byte) (0,7)
	`byte-offset`	Byte offset após o ponto de partida da partida
	`flexible-range-name`	Selecione uma combinação flexível no campo de modelo predefinido
	`match-start`	Ponto de partida para combinar em pacote
	`range`	Gama de valores a serem combinados
	`range-except`	Não corresponda a essa gama de valores

`forwarding class class`	Aula de encaminhamento. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`.
`forwarding-class-except class`	Campo do tipo ethernet de um ambiente de pacotes de Camada 2. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`.
`icmp-code message-code`	Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a `ip-protocol icmp`condição ou `ip-protocol icmp6ip-protocol icmpv6` a condição de correspondência no mesmo termo. Se você configurar essa condição de correspondência, você também deve configurar a condição de `icmp-type message-type` correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas: problema de parâmetros: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) tempo excedido: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) destino inalcançável: `address-unreachable`(3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-code` partida.
`icmp-type message-type`	Combine com o campo do tipo de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a `ip-protocol icmp`condição ou `ip-protocol icmp6ip-protocol icmpv6` a condição de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `destination-unreachable`(1), `echo-reply` (129), `echo-request` (128), `membership-query` (130), `membership-report` (131), `membership-termination` (132), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), (2), `packet-too-big` (4), `redirectparameter-problem` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) ou `time-exceeded` (3).
`icmp-type-except message-type`	Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-type` partida.
`interface interface-name`	Interface na qual o pacote foi recebido. Você pode configurar uma condição de correspondência que corresponda aos pacotes com base na interface na qual eles foram recebidos. Nota: Se você configurar essa condição de correspondência com uma interface que não existe, o termo não corresponde a nenhum pacote.
`interface-group group-number`	Combine com a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para `group-number`, especifique um único valor ou uma variedade de valores de `0` até `255`. Para atribuir uma interface lógica a um grupo `group-number`de interface, especifique o nível de `group-number[interfaces interface-name unit number family family filter group]` hierarquia. Para obter mais informações, veja Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral.
`interface-group-except number`	Não corresponda à interface lógica na qual o pacote foi recebido ao grupo de interface especificado ou ao conjunto de grupos de interface. Para obter mais informações, veja a condição da `interface-group` partida.
`interface-set interface-set-name`	Combine com a interface na qual o pacote foi recebido no conjunto de interface especificado. Para definir um conjunto de interface, inclua a `interface-set` declaração no nível de `[edit firewall]` hierarquia. Para obter mais informações, veja Filtragem de pacotes recebidos em uma visão geral do conjunto de interface.
`ip-address address`	Endereço de 32 bits que oferece suporte à sintaxe padrão para endereços IPv4. Nota: Para limitar apenas as partidas ao tráfego IPv4, o ipv4 do tipo ether também deve ser especificado no mesmo termo.
`ip-destination-address address`	Endereço de 32 bits que é o endereço de nó de destino final para o pacote.
`ip-precedence ip-precedence-field`	Campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `critical-ecp`(0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) ou `routine` (0x00).
`ip-precedence-except ip-precedence-field`	Não corresponda no campo de precedência de IP.
`ip-protocol number`	Campo de protocolo IP.
`ip-protocol-except`	Não corresponda ao tipo de protocolo IP.
`ip-source-address address`	Endereço IP do nó de origem que envia o pacote.
`ipv6-address` `address`	Endereço de 128 bits (apenas da Série MX) que oferece suporte à sintaxe padrão para endereços IPv6. Nota: Para limitar apenas as partidas ao tráfego IPv6, o ipv6 do tipo ether também deve ser especificado no mesmo termo.
`ipv6-destination-address` `address`	(somente na Série MX) endereço de 128 bits que é o endereço de nó de destino final para este pacote.
`ipv6-destination-prefix-list` `named-list`	(somente na Série MX) Combine com os endereços de destino IPv6 em um `named-list`.
`ipv6-next-header` `protocol`	(somente na Série MX) Tipo de protocolo de cabeçalho próximo do IPv6. A lista a seguir mostra os valores suportados para `protocol`: `ah`— cabeçalho de autenticação de segurança IP `dstopts`— opções de destino IPv6 `egp`— Protocolo de gateway exterior `esp`— IPSec encapsulando a carga de segurança `fragment`— cabeçalho de fragmento IPv6 `gre`— Encapsulamento de roteamento genérico `hop-by-hop`— opções de salto por salto IPv6 `icmp`— Protocolo de mensagem de controle de Internet `icmp6`— Protocolo de mensagem de controle de Internet versão 6 `igmp`— Protocolo de gerenciamento de grupos da Internet `ipip`— IP em IP `ipv6`— IPv6 em IP `no-next-header`— IPv6 sem cabeçalho próximo `ospf`— Abra o caminho mais curto primeiro `pim`— Protocol Independent Multicast `routing`— cabeçalho de roteamento IPv6 `rsvp`— Protocolo de reserva de recursos `sctp`— Protocolo de transmissão de controle de fluxo `tcp`— Protocolo de controle de transmissão `udp`— Protocolo de datagram do usuário `vrrp`— Protocolo de redundância de roteador virtual
`ipv6-next-header-except` `protocol`	(somente na Série MX) Não corresponda ao próximo tipo de protocolo de cabeçalho IPv6.
`ipv6-payload-protocol` `protocol`	(somente na Série MX) Tipo de protocolo de carga de IPv6 compatível. A lista a seguir mostra os valores suportados para `protocol`: `ah`— cabeçalho de autenticação de segurança IP `dstopts`— opções de destino IPv6 `egp`— Protocolo de gateway exterior `esp`— IPSec encapsulando a carga de segurança `fragment`— cabeçalho de fragmento IPv6 `gre`— Encapsulamento de roteamento genérico `hop-by-hop`— opções de salto por salto IPv6 `icmp`— Protocolo de mensagem de controle de Internet `icmp6`— Protocolo de mensagem de controle de Internet versão 6 `igmp`— Protocolo de gerenciamento de grupos da Internet `ipip`— IP em IP `ipv6`— IPv6 em IP `no-next-header`— IPv6 sem cabeçalho próximo `ospf`— Abra o caminho mais curto primeiro `pim`— Protocol Independent Multicast `routing`— cabeçalho de roteamento IPv6 `rsvp`— Protocolo de reserva de recursos `sctp`— Protocolo de transmissão de controle de fluxo `tcp`— Protocolo de controle de transmissão `udp`— Protocolo de datagram do usuário `vrrp`— Protocolo de redundância de roteador virtual
`ipv6-payload-protocol-except` `protocol`	(somente na Série MX) Não corresponda ao protocolo de carga IPv6.
`ipv6-prefix-list` `named-list`	(somente na Série MX) Combine o endereço IPv6 em um `named-list`.
`ipv6-source-address` `address`	(somente na Série MX) endereço de 128 bits que é o endereço de nó de origem originado para este pacote.
`ipv6-source-prefix-list` `named-list`	(somente na Série MX) Combine o endereço de origem IPv6 em um `named-list`.
`ipv6-traffic-class` `number`	(somente na Série MX) Ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável. Você pode especificar um valor numérico de `0` até `63`. Para especificar o valor na forma hexadadecimal, inclua `0x` como prefixo. Para especificar o valor em forma binária, inclua `b` como prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: `ef`(46). RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código: `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `number`	Não corresponda ao DSCP `number`.
`isid number`	(Com suporte para pontes de backbone do provedor [PBB]) Identificador de serviços de internet compatível.
`isid-dei number`	(Com suporte ao PBB) Combine com o bit de elegibilidade para quedas de identificador de serviços de Internet (DEI).
`isid-dei-except number`	(Com suporte ao PBB) Não corresponda ao identificador de serviços de Internet DEI bit.
`isid-priority-code-point number`	(Com suporte ao PBB) Combine com o ponto de código de prioridade do identificador de serviços de Internet.
`isid-priority-code-point-except number`	(Com suporte ao PBB) Não corresponda ao ponto de código de prioridade do identificador de serviços de Internet.
`learn-vlan-1p-priority value`	(Apenas roteadores da Série MX e switches da Série EX) Combine com os bits de prioridade de VLAN aprendidos do IEEE 802.1p na tag VLAN do provedor (a única tag em um quadro de tag única com tags VLAN de 802.1Q ou a tag externa em um quadro de tag dupla com tags VLAN 802.1Q). Especifique um único valor ou vários valores de `0` até `7`. Compare com a condição do `user-vlan-1p-priority` jogo.
`learn-vlan-1p-priority-except value`	(Apenas roteadores da Série MX e switches da Série EX) Não corresponda aos bits de prioridade VLAN aprendidos do IEEE 802.1p. Para obter mais informações, veja a condição da `learn-vlan-1p-priority` partida.
`learn-vlan-dei number`	(Com suporte para pontes) Identificador de LAN virtual (VLAN) de usuário compatível.
`learn-vlan-dei-except number`	(Com suporte para pontes) Não combine com o identificador VLAN do usuário, o DEI bit.
`learn-vlan-id number`	Identificador de VLAN usado para aprendizado MAC.
`learn-vlan-id-except number`	Não combine com o identificador VLAN usado para o aprendizado MAC.
`loss-priority level`	Nível de prioridade de perda de pacotes (PLP). Especifique um único nível ou vários níveis: `low`ou`medium-lowmedium-highhigh`... Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX. Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) Aprimorados II e switches da Série EX, você deve incluir a `tri-color` declaração no `[edit class-of-service]` nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver habilitada, você só poderá configurar os níveis e `low` os `high` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.
`loss-priority-except level`	Não corresponda ao nível de prioridade de perda de pacotes. Especifique um único nível ou vários níveis: `low`ou`medium-lowmedium-highhigh`... Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja como os classificadores agregados de comportamento priorizam o tráfego confiável.
`port number`	Porta de origem ou destino de TCP ou UDP. Você não pode especificar tanto a condição da `port` correspondência quanto as `destination-port` condições ou `source-port` condições de correspondência no mesmo termo.
`source-mac-address address`	Endereço MAC de origem de um pacote de Camada 2.
`source-port number`	Campo de porta de origem TCP ou UDP. Você não pode especificar as `port` condições e `source-port` combinar no mesmo termo.
`source-port-except`	Não corresponda à porta de origem do TCP/UDP.
`tcp-flags flags`	Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP. Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial. Você pode reunir várias bandeiras usando os operadores lógicos de campo bit. A configuração da `tcp-flags` condição da correspondência requer que você configure a condição da `next-header-tcp` correspondência.
`traffic-type type`	Tipo de tráfego. Especifique`broadcast`, `multicastunknown-unicast`ou `known-unicast`.
`traffic-type-except type`	Não corresponda ao tipo de tráfego.
`user-vlan-1p-priority value`	(Apenas roteadores da Série MX e switches da Série EX) Combine com os bits de prioridade do usuário IEEE 802.1p na tag VLAN do cliente (a tag interna em um quadro de tag dupla com tags VLAN de 802.1Q). Especifique um único valor ou vários valores de `0` até `7`. Compare com a condição do `learn-vlan-1p-priority` jogo.
`user-vlan-1p-priority-except value`	(Apenas roteadores da Série MX e switches da Série EX) Não corresponda aos bits de prioridade do usuário IEEE 802.1p. Para obter mais informações, veja a condição da `user-vlan-1p-priority` partida.
`user-vlan-id number`	(Apenas roteadores da Série MX e switches da Série EX) Combine com o primeiro identificador de VLAN que faz parte da carga. O intervalo é de 0 a 4095.
`user-vlan-id-except number`	(Apenas roteadores da Série MX e switches da Série EX) Não corresponda ao primeiro identificador de VLAN que faz parte da carga. O intervalo é de 0 a 4095.
`vlan-ether-type value`	Campo do tipo Ethernet VLAN de um pacote de ponte de Camada 2.
`vlan-ether-type-except value`	Não combine no campo do tipo Ethernet VLAN de um pacote de ponte de Camada 2.

Nota:

Para partidas flexible-match-mask e flexible-match-range match-start da camada 4 usada para combinar com o cabeçalho IPV6 não funcionará para filtros da família L2, como "bridge, CCC, VPLS". Em vez disso, use a camada 3 com compensação apropriada para combinar com os campos de carga IPV6.

Condições de correspondência do filtro de firewall para tráfego de ponte de camada 2

Tópicos relacionados