Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

2 层桥接流量的防火墙过滤器匹配条件

只有在 MX 系列路由器和 EX 系列交换机上,您才能配置具有第 2 层桥接流量匹配条件的标准无状态防火墙过滤器。family bridge表 1介绍了match-conditions可以在层级配置[edit firewall family bridge filter filter-name term term-name from]的情况。

表 1: 标准防火墙过滤器匹配第 2 层桥接条件(仅限 MX 系列路由器和 EX 系列交换机)

匹配条件

说明

destination-mac-address address

桥接环境中第 2 层数据包的目标媒体访问控制 (MAC) 地址。

destination-port number

TCP 或 UDP 目标端口字段。您不能在同一 port 术语中同时指定和 destination-port 匹配条件。

destination-port-except

与 TCP/UDP 目标端口不匹配。

destination-prefix-list named-list

匹配中的 IP 目标前缀 named-list

dscp number

差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级

您可以指定一个从到 063数值。要以十六进制形式指定值,请添加 0x 为前缀。要以二进制形式指定值,请添加 b 为前缀。

代替数值,您可以指定以下文本同义词之一(字段值也列出):

  • RFC 3246, 加速转发 PHB(单跳行为)定义了一个代码点:ef(46).

  • RFC 2597, 保证转发 PHB 组,定义 4 个类别,每个类有 3 个丢弃优先级,总共 12 个代码点:

af11(10)、 af12 (12)、 af13 (14)、

af21(18)、 af22 (20)、 af23 (22)、

af31(26)、 af32 (28)、 af33 (30)、

af41(34)、 af42 (36)、 af43 (38)

dscp-except number

DSCP 编号不匹配。有关更多信息,请参阅 dscp-except 匹配条件。

ether-type value

将 2 八位组 IEEE 802.3 Length/EtherType 字段与指定的值或值列表匹配。

您可以指定 0 到 65535 (0xFFFF) 的十进制值或十六进制值。值从 0 到 1500 (0x05DC) 用于指定以太网版本 1 帧的长度。从 1536 (0x0600) 到 65535 的值指定以太网版本 2 帧的 EtherType(MAC 客户端协议的性质)。

要代替数值,可以指定以下文本同义词之一(还列出了十六进制值):aarp(0x80F3)、 appletalk (0x809B)、 arp (0x0806)、 ipv4 (0x0800)、 ipv6 (0x86DD)、 mpls-multicast (0x8848)、 mpls-unicast (0x8847)、 oam (0x8902)、 ppp (0x880B)、 pppoe-discovery (0x8863)、 pppoe-session (0x8864)、 sna (0x80D5)。

注:

在 IP 地址或 ipv6 地址上匹配时,还必须分别指定以太网类型的 ipv4 或 ipv6,以便将匹配限制为仅 IP 流量。

ether-type-except value

请勿将 2 八位位组 IEEE 802.3 Length/EtherType 字段与指定的值或值列表匹配。

有关指定匹配 values条件的详细信息,请参阅 ether-type 匹配条件。

flexible-match-mask value

bit-length

要以位表示的数据长度,字符串输入 (0..128)

bit-offset

(匹配开始 + 字节) 偏移 (0.7) 后的位偏移量

byte-offset

匹配起点后的字节偏移量

flexible-mask-name

从预定义模板字段灵活选择匹配项

mask-in-hex

掩盖要匹配的数据包数据中的位

match-start

在数据包中匹配的起点

prefix

值数据/要匹配的字符串
 

flexible-match-range value

bit-length

要以位计的匹配数据长度 (0.32)

bit-offset

(匹配开始 + 字节) 偏移 (0.7) 后的位偏移量

byte-offset

匹配起点后的字节偏移量

flexible-range-name

从预定义模板字段灵活选择匹配项

match-start

在数据包中匹配的起点

range

要匹配的值范围

range-except

不匹配此值范围
 

forwarding class class

转发类。指定 assured-forwardingbest-effort、 、 expedited-forwardingnetwork-control

forwarding-class-except class

第 2 层数据包环境的以太网类型字段。指定 assured-forwardingbest-effort、 、 expedited-forwardingnetwork-control

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您也配置ip-protocol icmpip-protocol icmp6同一术语中的 、 或ip-protocol icmpv6匹配条件。

如果配置此匹配条件,还必须配置 icmp-type message-type 同一术语中的匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

代替数值,可以指定以下文本同义词之一(字段值也会列出)。这些关键词按与之关联的 ICMP 类型进行分组:

  • 参数问题:ip6-header-bad(0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • 超过时间:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

  • 目标无法访问:address-unreachable(3)、 administratively-prohibited (1)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

与 ICMP 消息代码字段不匹配。有关详细信息,请参阅 icmp-code 匹配条件。

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您也配置ip-protocol icmpip-protocol icmp6同一术语中的 、 或ip-protocol icmpv6匹配条件。

代替数值,您可以指定以下文本同义词之一(字段值也列出):destination-unreachable(1)、 echo-reply (129)、 echo-request (128)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 neighbor-advertisement (136)、 neighbor-solicit (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)或 time-exceeded (3)。

icmp-type-except message-type

与 ICMP 消息类型字段不匹配。有关详细信息,请参阅 icmp-type 匹配条件。

interface interface-name

接收数据包的接口。您可以根据接收数据包的接口配置匹配数据包的匹配条件。

注:

如果使用不存在的接口配置此匹配条件,则术语不会匹配任何数据包。

interface-group group-number

将接收数据包的逻辑接口与指定的接口组或接口组集匹配。对于 group-number,请指定单个值或一个从到0255的值范围。

要为接口组 group-number分配逻辑接口,请 group-number 指定层级的 [interfaces interface-name unit number family family filter group] 逻辑接口。

有关更多详细信息,请参阅在一组接口组上收到的过滤数据包概述

interface-group-except number

不要与接收数据包的逻辑接口匹配到指定的接口组或接口组集。有关详细信息,请参阅 interface-group 匹配条件。

interface-set interface-set-name

将接收数据包的接口匹配到指定的接口集。

要定义接口集,请将语句 interface-set 包含在 [edit firewall] 层次结构级别。有关更多详细信息,请参阅接口集上收到的过滤数据包概述

ip-address address

32 位地址,支持 IPv4 地址的标准语法。

注:

为了将匹配项限制为仅 IPv4 流量,还必须在同一术语中指定以太网类型的 ipv4。

ip-destination-address address

32 位地址,即数据包的最终目标节点地址。

ip-precedence ip-precedence-field

IP 优先级字段。代替数字字段值,可以指定以下文本同义词之一(字段值也会列出):critical-ecp(0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)或 routine (0x00)。

ip-precedence-except ip-precedence-field

IP 优先级字段不匹配。

ip-protocol number

IP 协议字段。

ip-protocol-except

不匹配 IP 协议类型。

ip-source-address address

发送数据包的源节点的 IP 地址。

ipv6-address address

(仅限 MX 系列)128 位地址,支持 IPv6 地址的标准语法。

注:

为了将匹配项限制为仅 IPv6 流量,还必须在同一术语中指定以太网类型的 ipv6。

ipv6-destination-address address

(仅限 MX 系列)128 位地址,即此数据包的最终目标节点地址。

ipv6-destination-prefix-list named-list

(仅限 MX 系列)匹配一个 named-list中的 IPv6 目标地址。

ipv6-next-header protocol

(仅限 MX 系列)匹配 IPv6 下一个报头协议类型。

以下列表显示了支持的以下值 protocol

  • ah— IP 安全认证头

  • dstopts—IPv6 目标选项

  • egp— 外部网关协议

  • esp—IPSec 封装安全有效负载

  • fragment—IPv6 分片标头

  • gre— 通用路由封装

  • hop-by-hop— IPv6 逐跳选项

  • icmp— Internet 控制消息协议

  • icmp6— Internet 控制消息协议版本 6

  • igmp— 互联网组管理协议

  • ipip—IP 中的 IP

  • ipv6—IP 中的 IPv6

  • no-next-header—IPv6 无下一个标头

  • ospf— 开放最短路径优先

  • pim—协议无关组播

  • routing—IPv6 路由标头

  • rsvp—资源预留协议

  • sctp—流控制传输协议

  • tcp— 传输控制协议

  • udp—用户数据报协议

  • vrrp— 虚拟路由器冗余协议

ipv6-next-header-except protocol

(仅限 MX 系列)与 IPv6 下一个报头协议类型不匹配。

ipv6-payload-protocol protocol

(仅限 MX 系列)匹配 IPv6 有效负载协议类型。

以下列表显示了支持的以下值 protocol

  • ah— IP 安全认证头

  • dstopts—IPv6 目标选项

  • egp— 外部网关协议

  • esp—IPSec 封装安全有效负载

  • fragment—IPv6 分片标头

  • gre— 通用路由封装

  • hop-by-hop— IPv6 逐跳选项

  • icmp— Internet 控制消息协议

  • icmp6— Internet 控制消息协议版本 6

  • igmp— 互联网组管理协议

  • ipip—IP 中的 IP

  • ipv6—IP 中的 IPv6

  • no-next-header—IPv6 无下一个标头

  • ospf— 开放最短路径优先

  • pim—协议无关组播

  • routing—IPv6 路由标头

  • rsvp—资源预留协议

  • sctp—流控制传输协议

  • tcp— 传输控制协议

  • udp—用户数据报协议

  • vrrp— 虚拟路由器冗余协议

ipv6-payload-protocol-except protocol

(仅限 MX 系列)与 IPv6 有效负载协议不匹配。

ipv6-prefix-list named-list

(仅限 MX 系列)匹配一个 named-list中的 IPv6 地址。

ipv6-source-address address

(仅限 MX 系列)128 位地址,即此数据包的始发源节点地址。

ipv6-source-prefix-list named-list

(仅限 MX 系列)匹配一个 named-list中的 IPv6 源地址。

ipv6-traffic-class number

(仅限 MX 系列)差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级

您可以指定一个从到 063数值。要以十六进制形式指定值,请添加 0x 为前缀。要以二进制形式指定值,请添加 b 为前缀。

代替数值,您可以指定以下文本同义词之一(字段值也列出):

  • RFC 3246, 加速转发 PHB(单跳行为)定义了一个代码点:ef(46).

  • RFC 2597, 保证转发 PHB 组,定义 4 个类别,每个类有 3 个丢弃优先级,总共 12 个代码点:

af11(10)、 af12 (12)、 af13 (14)、

af21(18)、 af22 (20)、 af23 (22)、

af31(26)、 af32 (28)、 af33 (30)、

af41(34)、 af42 (36)、 af43 (38)

ipv6-traffic-class-except number

与 DSCP number不匹配。

isid number

(由提供商主干网桥接 [PBB]支持))匹配互联网服务标识符。

isid-dei number

(支持 PBB)匹配互联网服务标识符丢弃资格指示符 (DEI) 位。

isid-dei-except number

(支持 PBB)与互联网服务标识符 DEI 位不匹配。

isid-priority-code-point number

(支持 PBB)匹配互联网服务标识符优先级代码点。

isid-priority-code-point-except number

(支持 PBB)与互联网服务标识符优先级代码点不匹配。

learn-vlan-1p-priority value

(仅限 MX 系列路由器和 EX 系列交换机)匹配 IEEE 802.1p 学习的提供商 VLAN 标记中的 VLAN 优先级位(具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的唯一标记)。指定从到07的单个值或多个值。

user-vlan-1p-priority 匹配条件进行比较。

learn-vlan-1p-priority-except value

(仅限 MX 系列路由器和 EX 系列交换机)IEEE 802.1p 学习的 VLAN 优先级位不匹配。有关详细信息,请参阅 learn-vlan-1p-priority 匹配条件。

learn-vlan-dei number

(支持桥接)匹配用户虚拟 LAN (VLAN) 标识符 DEI 位。

learn-vlan-dei-except number

(支持桥接)不匹配用户 VLAN 标识符 DEI 位。

learn-vlan-id number

用于 MAC 学习的 VLAN 标识符。

learn-vlan-id-except number

用于 MAC 学习的 VLAN 标识符不匹配。

loss-priority level

数据包丢失优先级 (PLP) 级别。指定单个级别或多个级别:lowmedium-lowmedium-highhigh

支持 M120 和 M320 路由器;配备增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;和 MX 系列路由器和 EX 系列交换机

对于具有增强型 II 灵活 PIC 集中器 (FPC) 和 EX 系列交换机的 M320、MX 系列和 T 系列路由器上的 IP 流量,您必须在[edit class-of-service]层次结构级别中包含tri-color语句,以便提交具有四个指定级别中的任何一个级别的 PLP 配置。如果未启用语句 tri-color ,则只能配置 highlow 级别。这适用于所有协议家族。

有关 tri-color 语句的信息,请参阅 配置和应用 Tricolor 标记监管器。有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列

loss-priority-except level

数据包丢失优先级级别不匹配。指定单个级别或多个级别:lowmedium-lowmedium-highhigh

有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级

port number

TCP 或 UDP 源或目标端口。您不能在同一术语中 port 同时指定匹配条件和 destination-portsource-port 匹配条件。

source-mac-address address

第 2 层数据包的源 MAC 地址。

source-port number

TCP 或 UDP 源端口字段。您不能在同一 port 术语中指定和 source-port 匹配条件。

source-port-except

不匹配 TCP/UDP 源端口。

tcp-flags flags

匹配 TCP 标头中的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

要指定单个位字段,可以指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,仅在发送的初始数据包中设置 SYN 标志,而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

配置 tcp-flags 匹配条件需要配置 next-header-tcp 匹配条件。

traffic-type type

流量类型。指定 broadcastmulticast、 、 unknown-unicastknown-unicast

traffic-type-except type

流量类型不匹配。

user-vlan-1p-priority value

(仅限 MX 系列路由器和 EX 系列交换机)匹配客户 VLAN 标记中的 IEEE 802.1p 用户优先级位(具有 802.1Q VLAN 标记的双标记帧中的内部标记)。指定从到07的单个值或多个值。

learn-vlan-1p-priority 匹配条件进行比较。

user-vlan-1p-priority-except value

(仅限 MX 系列路由器和 EX 系列交换机)IEEE 802.1p 用户优先级位不匹配。有关详细信息,请参阅 user-vlan-1p-priority 匹配条件。

user-vlan-id number

(仅限 MX 系列路由器和 EX 系列交换机)匹配属于有效负载的第一个 VLAN 标识符。

user-vlan-id-except number

(仅限 MX 系列路由器和 EX 系列交换机)作为有效负载一部分的第一个 VLAN 标识符不匹配。

vlan-ether-type value

第 2 层桥接数据包的 VLAN 以太网类型字段。

vlan-ether-type-except value

第 2 层桥接数据包的 VLAN 以太网类型字段不匹配。

相关主题