第 2 层桥接流量的防火墙过滤器匹配条件

您可以为第 2 层桥接流量配置具有匹配条件的标准无状态防火墙过滤器（family bridge）。表 1 介绍了可以在层次结构级别上[edit firewall family bridge filter filter-name term term-name from]配置的。match-conditions

表 1：第 2 层桥接的标准防火墙过滤器匹配条件（仅限 MX 系列路由器和 EX 系列交换机）
匹配条件	描述
`destination-mac-address address`	桥接环境中第 2 层数据包的目标介质访问控制（MAC）地址。
`destination-port number`	TCP 或 UDP 目标端口字段。不能在同一术语中同时指定和 `port` `destination-port` match 条件。
`destination-port-except`	与 TCP/UDP 目标端口不匹配。
`destination-prefix-listnamed-list`	匹配中的 IP 目标前缀 `named-list`。
`dscp number`	差异服务代码点（DSCP）。DiffServ 协议在 IP 报头中使用服务类型（ToS）字节。此字节的最有效 6 位构成 DSCP。有关更多信息，请参阅了解行为聚合分类器如何确定可信流量的优先级。您可以通过指定`63`数值`0`。要以十六进制形式指定值，请作为前缀包含在内`0x`。要以二进制形式指定值，请作为前缀包含在内`b`。可以指定以下文本同义词之一来代替数值（也会列出字段值）： RFC 3246，加速转发 PHB（单跃点行为），定义了一个代码点： `ef` （46）。 RFC 2597，保证转发 PHB 组，定义了 4 个类，每个类中有 3 个丢弃优先级，共 12 个代码点： `af11` （10）、 `af12`（12）、 `af13` （14）、 `af21` （18）、 `af22`（20）、 `af23` （22）、 `af31` （26）、 `af32`（28）、 `af33` （30）、 `af41` （34）、 `af42`（36）、 `af43` （38）
`dscp-except number`	DSCP 编号不匹配。有关详细信息，请参阅 `dscp-except` 匹配条件。
`ether-type value`	将 2 字节 IEEE 802.3 长度/EtherType 字段与指定的值或值列表进行匹配。可以指定从 0 到 65535 （0xFFFF）的十进制或十六进制值。从 0 到 1500 （0x05DC）的值指定以太网版本 1 帧的长度。从 1536 （0x0600）到 65535 的值指定以太网版本 2 帧的 EtherType（MAC 客户端协议的性质）。可以指定以下文本同义词之一来代替数值（还列出了十六进制值）： `aarp`（0x80F3）、 `appletalk` （0x809B）、 `arp`（0x0806）、 `ipv4` （0x0800）、 `ipv6`（0x86DD）、 `mpls-multicast` （0x8848）、 `mpls-unicast` （0x8847）、 `oam`（0x8902）、 `ppp`（0x880B）、 `pppoe-discovery` （0x8863）、 `pppoe-session`（0x8864）、 `sna`（0x80D5）。注意：在 ip 地址或 ipv6 地址上匹配时，还必须分别指定以太类型 ipv4 或 ipv6，以便将匹配限制为仅 ip 流量。
`ether-type-except value`	不要将 2 字节 IEEE 802.3 长度/EtherType 字段与指定的值或值列表匹配。有关指定 `values`的详细信息，请参阅 `ether-type` 匹配条件。
`flexible-match-mask` `value`	`bit-length`	要匹配的数据长度（以位为单位），字符串输入不需要（0..128）
	`bit-offset`	（匹配开始 + 字节）偏移（0..7）之后的位偏移
	`byte-offset`	比赛起点后的字节偏移
	`flexible-mask-name`	从预定义的模板字段中选择灵活匹配项
	`mask-in-hex`	屏蔽数据包中要匹配的位数
	`match-start`	数据包中要匹配的起点
	`prefix`	要匹配的值数据/字符串

`flexible-match-range` `value`	`bit-length`	要匹配的数据长度（以位为单位）（0..32）
	`bit-offset`	（匹配开始 + 字节）偏移（0..7）之后的位偏移
	`byte-offset`	比赛起点后的字节偏移
	`flexible-range-name`	从预定义的模板字段中选择灵活匹配项
	`match-start`	数据包中要匹配的起点
	`range`	要匹配的值范围
	`range-except`	不匹配此值范围

`forwarding class class`	转发类。指定 `assured-forwarding`、 `best-effort`、 `expedited-forwarding`或 `network-control`。
`forwarding-class-except class`	第 2 层数据包环境的以太网类型字段。指定 `assured-forwarding`、 `best-effort`、 `expedited-forwarding`或 `network-control`。
`icmp-code message-code`	匹配 ICMP 消息代码字段。如果配置此匹配条件，建议同时配置 `ip-protocol icmp`同一术语中的、 `ip-protocol icmp6`或 `ip-protocol icmpv6` 匹配条件。如果配置此匹配条件，则还必须在同一术语中配置匹配 `icmp-type message-type` 条件。ICMP 消息代码提供比 ICMP 消息类型更具体的信息，但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。可以指定以下文本同义词之一来代替数值（也会列出字段值）。关键字按与之关联的 ICMP 类型进行分组：参数问题： `ip6-header-bad` （0）、 `unrecognized-next-header`（1）、 `unrecognized-option` （2）超时： `ttl-eq-zero-during-reassembly` （1）、 `ttl-eq-zero-during-transit` （0）目标-无法访问： `address-unreachable` （3）、 `administratively-prohibited`（1）、 `no-route-to-destination` （0）、 `port-unreachable` （4）
`icmp-code-except message-code`	与 ICMP 消息代码字段不匹配。有关详细信息，请参阅 `icmp-code` 匹配条件。
`icmp-type message-type`	匹配 ICMP 消息类型字段。如果配置此匹配条件，建议同时配置 `ip-protocol icmp`同一术语中的、 `ip-protocol icmp6`或 `ip-protocol icmpv6` 匹配条件。可以指定以下文本同义词之一来代替数值（字段值也会列出）：`destination-unreachable`（1）、（129）、`echo-reply` `echo-request`（128）、 `membership-query`（130）、`membership-report` （131）、`membership-termination` （132）、`neighbor-advertisement` （136）、`neighbor-solicit` （135）、 `node-information-reply`（140）、`node-information-request` （139）、 `packet-too-big`（2）、 `parameter-problem`（4）、（137）、 `redirectrouter-advertisement`（134）、 `router-renumbering`（138）、`router-solicit` （133）或 `time-exceeded`（3）。
`icmp-type-except message-type`	与 ICMP 消息类型字段不匹配。有关详细信息，请参阅 `icmp-type` 匹配条件。
`interface interface-name`	接收数据包的接口。您可以配置一个匹配条件，根据接收数据包的接口来匹配数据包。注意：如果使用不存在的接口配置此匹配条件，则该术语不会匹配任何数据包。
`interface-group group-number`	将接收数据包的逻辑接口与指定的接口组或接口组集进行匹配。对于 `group-number`，指定单个值或从 `0` 到 `255`的值范围。要将逻辑接口分配给接口组 `group-number`，请在层次结构级别指定。`[interfaces interface-name unit number family family filter group]` `group-number` 有关更多信息，请参阅过滤一组接口组上接收的数据包概述。
`interface-group-except number`	接收数据包的逻辑接口与指定的接口组或接口组集不匹配。有关详细信息，请参阅 `interface-group` 匹配条件。
`interface-set interface-set-name`	将接收数据包的接口与指定的接口集进行匹配。要定义接口集，请在层次结构级别包含`[edit firewall]`该`interface-set`语句。有关更多信息，请参阅过滤接口集上接收的数据包概述。
`ip-address address`	32 位地址，支持 IPv4 地址的标准语法。注意：为了将匹配限制为 IPv4 流量，还必须在同一术语中指定以太币类型 ipv4。
`ip-destination-address address`	32 位地址，即数据包的最终目标节点地址。
`ip-precedence ip-precedence-field`	IP 优先级字段。可以指定以下文本同义词之一来代替数值字段值（字段值也会列出）： `critical-ecp` （0xa0）、 `flash` （0x60）、 `flash-override` （0x80）、 `immediate` （0x40）、 `internet-control` （0xc0）、 `net-control`（0xe0）、 `priority` （0x20）或 `routine` （0x00）。
`ip-precedence-except ip-precedence-field`	不匹配 IP 优先级字段。
`ip-protocol number`	IP 协议字段。
`ip-protocol-except`	不匹配 IP 协议类型。
`ip-source-address address`	发送数据包的源节点的 IP 地址。
`ipv6-address` `address`	128 位地址，支持 IPv6 地址的标准语法。注意：为了将匹配限制为 IPv6 流量，还必须在同一术语中指定以太币类型 IPv6。
`ipv6-destination-address` `address`	128 位地址，即此数据包的最终目标节点地址。
`ipv6-destination-prefix-list` `named-list`	匹配中的 IPv6 目的地址。`named-list`
`ipv6-next-header` `protocol`	匹配 IPv6 下一个报头协议类型。以下列表显示了以下支持的 `protocol`值： `ah`— IP 安全性身份验证标头 `dstopts`—IPv6 目标选项 `egp`—外部网关协议 `esp`— IPSec 封装安全性有效负载 `fragment`— IPv6 分段标头 `gre`— 通用路由封装 `hop-by-hop`—IPv6 逐跳选项 `icmp`— 互联网控制信息协议 `icmp6`— 互联网控制信息协议版本 6 `igmp`— 互联网组管理协议 `ipip`— IP 中的 IP `ipv6`—IP 中的 IPv6 `no-next-header`— IPv6 无下一个报头 `ospf`—开放最短路径优先 `pim`— 协议无关组播 `routing`— IPv6 路由标头 `rsvp`—资源预留协议 `sctp`—流控制传输协议 `tcp`—传输控制协议 `udp`—用户数据报协议 `vrrp`— 虚拟路由器冗余协议
`ipv6-next-header-except` `protocol`	与 IPv6 下一个报头协议类型不匹配。
`ipv6-payload-protocol` `protocol`	匹配 IPv6 有效负载协议类型。以下列表显示了以下支持的 `protocol`值： `ah`— IP 安全性身份验证标头 `dstopts`—IPv6 目标选项 `egp`—外部网关协议 `esp`— IPSec 封装安全性有效负载 `fragment`— IPv6 分段标头 `gre`— 通用路由封装 `hop-by-hop`—IPv6 逐跳选项 `icmp`— 互联网控制信息协议 `icmp6`— 互联网控制信息协议版本 6 `igmp`— 互联网组管理协议 `ipip`— IP 中的 IP `ipv6`—IP 中的 IPv6 `no-next-header`— IPv6 无下一个报头 `ospf`—开放最短路径优先 `pim`— 协议无关组播 `routing`— IPv6 路由标头 `rsvp`—资源预留协议 `sctp`—流控制传输协议 `tcp`—传输控制协议 `udp`—用户数据报协议 `vrrp`— 虚拟路由器冗余协议
`ipv6-payload-protocol-except` `protocol`	不匹配 IPv6 有效负载协议。
`ipv6-prefix-list` `named-list`	匹配中的 IPv6 地址。`named-list`
`ipv6-source-address` `address`	128 位地址，即此数据包的源节点地址。
`ipv6-source-prefix-list` `named-list`	匹配中的 IPv6 源地址。`named-list`
`ipv6-traffic-class` `number`	差异服务代码点（DSCP）。DiffServ 协议在 IP 报头中使用服务类型（ToS）字节。此字节的最有效 6 位构成 DSCP。有关更多信息，请参阅了解行为聚合分类器如何确定可信流量的优先级。您可以通过指定`63`数值`0`。要以十六进制形式指定值，请作为前缀包含在内`0x`。要以二进制形式指定值，请作为前缀包含在内`b`。可以指定以下文本同义词之一来代替数值（也会列出字段值）： RFC 3246，加速转发 PHB（单跃点行为），定义了一个代码点： `ef` （46）。 RFC 2597，保证转发 PHB 组，定义了 4 个类，每个类中有 3 个丢弃优先级，共 12 个代码点： `af11` （10）、 `af12`（12）、 `af13` （14）、 `af21` （18）、 `af22`（20）、 `af23` （22）、 `af31` （26）、 `af32`（28）、 `af33` （30）、 `af41` （34）、 `af42`（36）、 `af43` （38）
`ipv6-traffic-class-except` `number`	与 DSCP `number`不匹配。
`isid number`	（由提供商中枢桥接 [PBB] 提供支持）匹配互联网服务标识符。
`isid-dei number`	（由 PBB 支持）匹配互联网服务标识符丢弃资格指示器（DEI）位。
`isid-dei-except number`	（由 PBB 支持）不匹配互联网服务标识符 DEI 位。
`isid-priority-code-point number`	（由 PBB 支持）匹配互联网服务标识符优先级代码点。
`isid-priority-code-point-except number`	（由 PBB 支持）不匹配因特网服务标识符优先级代码点。
`learn-vlan-1p-priority value`	在提供商 VLAN 标记（具有 802.1Q VLAN 标记的单标记帧或具有 802.1Q VLAN 标记的双标记帧中的外部标记）中 IEEE 802.1p 获知的 VLAN 优先级位上进行匹配。指定单个值或多个值 `0` ，直至 `7`。与匹配条件进行 `user-vlan-1p-priority` 比较。
`learn-vlan-1p-priority-except value`	在 IEEE 802.1p 获知的 VLAN 优先级位上不匹配。有关详细信息，请参阅 `learn-vlan-1p-priority` 匹配条件。
`learn-vlan-dei number`	（支持桥接）匹配用户虚拟 LAN （VLAN）标识符 DEI 位。
`learn-vlan-dei-except number`	（支持桥接）不匹配用户 VLAN 标识符 DEI 位。
`learn-vlan-id number`	用于 MAC 学习的 VLAN 标识符。
`learn-vlan-id-except number`	不匹配用于 MAC 学习的 VLAN 标识符。
`loss-priority level`	丢包优先级（PLP）级别。指定单个级别或多个级别： `low`、 `medium-low`、 `medium-high`或 `high`。对于 IP 流量，您必须在层次结构级别包含`[edit class-of-service]`该`tri-color`语句，以提交具有指定四个级别中任一级别的 PLP 配置。如果未启用该`tri-color`语句，则只能配置`high`和`low`级别。这适用于所有协议家族。有关该 `tri-color` 语句的信息，请参阅配置和应用三色标记监管器。有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解转发类如何将类分配给输出队列。
`loss-priority-except level`	丢包优先级不匹配。指定单个级别或多个级别： `low`、 `medium-low`、 `medium-high`或 `high`。有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解行为聚合分类器如何确定可信流量的优先级。
`port number`	TCP 或 UDP 源或目标端口。您不能在同一术语中同时指定 `port` 匹配条件和或 `destination-port` `source-port` 匹配条件。
`source-mac-address address`	第 2 层数据包的源 MAC 地址。
`source-port number`	TCP 或 UDP 源端口字段。不能在同一术语中指定 `port` 和 `source-port` 匹配条件。
`source-port-except`	不匹配 TCP/UDP 源端口。
`tcp-flags flags`	匹配 TCP 报头中 8 位 TCP 标志字段中的一个或多个低阶 6 位。要指定单个位字段，可以指定以下文本同义词或十六进制值： `fin` （0x01） `syn` （0x02） `rst` （0x04） `push` （0x08） `ack` （0x10） `urgent` （0x20）在 TCP 会话中，SYN 标志仅在发送的初始数据包中设置，而 ACK 标志则在初始数据包之后发送的所有数据包中设置。您可以使用位字段逻辑运算符将多个标志串在一起。配置匹配条件需要 `tcp-flags` 配置 `next-header-tcp` 匹配条件。
`traffic-type type`	流量类型。指定 `broadcast`、 `multicast`、 `unknown-unicast`或 `known-unicast`。
`traffic-type-except type`	不匹配流量类型。
`user-vlan-1p-priority value`	在客户 VLAN 标记（具有 802.1Q VLAN 标记的双标记帧中的内部标记）中的 IEEE 802.1p 用户优先级位上进行匹配。指定单个值或多个值 `0` ，直至 `7`。与匹配条件进行 `learn-vlan-1p-priority` 比较。
`user-vlan-1p-priority-except value`	不匹配 IEEE 802.1p 用户优先级位。有关详细信息，请参阅 `user-vlan-1p-priority` 匹配条件。
`user-vlan-id number`	匹配作为有效负载一部分的第一个 VLAN 标识符。范围为 0 - 4095。
`user-vlan-id-except number`	不匹配作为有效负载一部分的第一个 VLAN 标识符。范围为 0 - 4095。
`vlan-ether-type value`	第 2 层桥接数据包的 VLAN 以太网类型字段。
`vlan-ether-type-except value`	不匹配第 2 层桥接数据包的 VLAN 以太网类型字段。

注意：

对于用于通过 IPV6 进行匹配的匹配 flexible-match-mask 和 flexible-match-range 匹配开始第 4 层报头不适用于 L2 系列过滤器，例如“网桥、CCC、VPLS”。相反，请使用具有适当偏移量的第 3 层来匹配 IPV6 有效负载字段。

第 2 层桥接流量的防火墙过滤器匹配条件

相关文档