Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

第 2 层桥接流量的防火墙过滤器匹配条件

只有在 MX 系列路由器和 EX 系列交换机上,您才能配置具有第 2 层桥接流量匹配条件的标准无状态防火墙过滤器 ()。 family bridge 介绍了可在层次结构级别配置的 。表 1match-conditions[edit firewall family bridge filter filter-name term term-name from]

表 1: 第 2 层桥接的标准防火墙过滤器匹配条件(仅限 MX 系列路由器和 EX 系列交换机)

匹配条件

Description

destination-mac-address address

桥接环境中第 2 层数据包的目标媒体访问控制 (MAC) 地址。

destination-port number

TCP 或 UDP 目标端口字段。不能在同一术语中同时 指定 和 匹配条件。portdestination-port

destination-port-except

不匹配 TCP/UDP 目标端口。

destination-prefix-list named-list

匹配 中的 IP 目标前缀。named-list

dscp number

差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

您可以指定 到 的 数值。063 若要以十六进制形式指定值,请包含 为前缀。0x 若要以二进制形式指定值,请包含 为前缀。b

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • RFC 3246 加速 转发 PHB(每跳行为)定义了一个代码点:ef(46).

  • RFC 2597( 保证转发 PHB 组)定义了 4 个类,每个类中有 3 个丢弃优先级,总共 12 个代码点:

(10), (12), (14), af11af12af13

(18), (20), (22), af21af22af23

(26), (28), (30), af31af32af33

(34)、(36)、 (38)af41af42af43

dscp-except number

DSCP 编号不匹配。有关详细信息,请参阅 匹配条件。dscp-except

ether-type value

将 2 字节 IEEE 802.3 长度/以太类型字段与指定的值或值列表匹配。

可以指定从 0 到 65535 (0xFFFF) 的十进制或十六进制值。从 0 到 1500 (0x05DC) 的值指定以太网版本 1 帧的长度。从 1536 (0x0600) 到 65535 的值指定以太网版本 2 帧的 EtherType(MAC 客户端协议的性质)。

代替数值,可以指定以下文本同义词之一(还会列出十六进制值):(0x80F3)、 (0x809B)、 (0x0806)、 (0x0800)、 (0x86DD)、 (0x8848)、 (0x8847)、 (0x8902)、 (0x880B)、 (0x8863)、 (0x8864)、 (0x80D5)。aarpappletalkarpipv4ipv6mpls-multicastmpls-unicastoamppppppoe-discoverypppoe-sessionsna

注:

在 IP 地址或 ipv6 地址上进行匹配时,还必须分别指定以太网类型 ipv4 或 ipv6,以便将匹配限制为仅 ip 流量。

ether-type-except value

不要将 2 字节 IEEE 802.3 长度/以太类型字段与指定的值或值列表匹配。

有关指定 的详细信息 ,请参阅 匹配条件。valuesether-type

flexible-match-mask value

bit-length

要匹配的数据长度(以位为单位),字符串输入不需要 (0..128)

bit-offset

(匹配开始 + 字节)偏移量 (0..7) 之后的位偏移量

byte-offset

比赛起点之后的字节偏移量

flexible-mask-name

从预定义的模板字段中选择灵活匹配

mask-in-hex

屏蔽数据包数据中要匹配的位

match-start

数据包中匹配的起点

prefix

要匹配的值数据/字符串
 

flexible-match-range value

bit-length

要匹配的数据长度(以位为单位) (0..32)

bit-offset

(匹配开始 + 字节)偏移量 (0..7) 之后的位偏移量

byte-offset

比赛起点之后的字节偏移量

flexible-range-name

从预定义的模板字段中选择灵活匹配

match-start

数据包中匹配的起点

range

要匹配的值范围

range-except

不匹配此值范围
 

forwarding class class

转发类。指定 、 、 或 。assured-forwardingbest-effortexpedited-forwardingnetwork-control

forwarding-class-except class

第 2 层数据包环境的以太网类型字段。指定 、 、 或 。assured-forwardingbest-effortexpedited-forwardingnetwork-control

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您在同一术语中同时配置 、 或 匹配条件。ip-protocol icmpip-protocol icmp6ip-protocol icmpv6

如果配置此匹配条件,则还必须在同一术语中配置 匹配条件。icmp-type message-type ICMP 消息代码提供比 ICMP 消息类型更具体的信息,但 ICMP 消息代码的含义取决于关联的 ICMP 消息类型。

要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数问题:(0)、(1)、 (2)ip6-header-badunrecognized-next-headerunrecognized-option

  • 超过时间:(1)、 (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

  • 无法到达目的地:(3)、(1)、(0)、 (4)address-unreachableadministratively-prohibitedno-route-to-destinationport-unreachable

icmp-code-except message-code

不匹配 ICMP 消息代码字段。有关详细信息,请参阅 匹配条件。icmp-code

icmp-type message-type

匹配 ICMP 消息类型字段。

如果配置此匹配条件,我们建议您在同一术语中同时配置 、 或 匹配条件。ip-protocol icmpip-protocol icmp6ip-protocol icmpv6

代替数值,您可以指定以下文本同义词之一(字段值也会列出):(1)、(129)、(128)、(130)、(131)、(132)、(136)、(135)、(140)、(139)、(2)、(4)、(137)、(134)、(138)、 (133)或(3)。destination-unreachableecho-replyecho-requestmembership-querymembership-reportmembership-terminationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemredirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

icmp-type-except message-type

不匹配 ICMP 消息类型字段。有关详细信息,请参阅 匹配条件。icmp-type

interface interface-name

接收数据包的接口。您可以配置匹配条件,根据接收数据包的接口匹配数据包。

注:

如果使用不存在的接口配置此匹配条件,则该术语与任何数据包都不匹配。

interface-group group-number

将接收数据包的逻辑接口与指定的接口组或接口组进行匹配。对于 ,指定单个值或从 到 的值 范围。group-number0255

要将逻辑接口分配给接口组,请在层次结构级别指定 。group-numbergroup-number[interfaces interface-name unit number family family filter group]

有关更多详细信息,请参阅过滤一组接口组上收到的数据包概述

interface-group-except number

不要将接收数据包的逻辑接口与指定的接口组或接口组匹配。有关详细信息,请参阅 匹配条件。interface-group

interface-set interface-set-name

将接收数据包的接口与指定的接口集匹配。

要定义接口集,请在层次结构级别包含 语句 。interface-set[edit firewall] 有关更多详细信息,请参阅过滤接口集上接收的数据包概述

ip-address address

支持 IPv4 地址标准语法的 32 位地址。

注:

为了将匹配限制为仅 IPv4 流量,还必须在同一术语中指定以太网类型 ipv4。

ip-destination-address address

32 位地址,即数据包的最终目标节点地址。

ip-precedence ip-precedence-field

IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值):(0xa0)、 (0x60)、 (0x80)、 (0x40)、 (0xc0)、 (0xe0)、 (0x20)或 (0x00)。critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

ip-precedence-except ip-precedence-field

在 IP 优先级字段上不匹配。

ip-protocol number

IP 协议字段。

ip-protocol-except

与 IP 协议类型不匹配。

ip-source-address address

发送数据包的源节点的 IP 地址。

ipv6-address address

(仅限 MX 系列)支持 IPv6 地址标准语法的 128 位地址。

注:

为了将匹配限制为仅 IPv6 流量,还必须在同一术语中指定以太类型 ipv6。

ipv6-destination-address address

(仅限 MX 系列)128 位地址,是此数据包的最终目标节点地址。

ipv6-destination-prefix-list named-list

(仅限 MX 系列)匹配 中的 IPv6 目标地址。named-list

ipv6-next-header protocol

(仅限 MX 系列)匹配 IPv6 下一个报头协议类型。

以下列表显示了以下各项支持 的值:protocol

  • ah— IP 安全认证标头

  • dstopts—IPv6 目标选项

  • egp—外部网关协议

  • esp—IPSec 封装安全有效负载

  • fragment—IPv6 片段标头

  • gre—通用路由封装

  • hop-by-hop—IPv6 逐跳选项

  • icmp—互联网控制消息协议

  • icmp6—互联网控制消息协议版本 6

  • igmp—互联网组管理协议

  • ipip—IP 中的 IP

  • ipv6—IP 中的 IPv6

  • no-next-header—IPv6 无下一个报头

  • ospf- 开放最短路径优先

  • pim—协议无关组播

  • routing—IPv6 路由标头

  • rsvp—资源预留协议

  • sctp—流控制传输协议

  • tcp—传输控制协议

  • udp—用户数据报协议

  • vrrp—虚拟路由器冗余协议

ipv6-next-header-except protocol

(仅限 MX 系列)与 IPv6 下一个报头协议类型不匹配。

ipv6-payload-protocol protocol

(仅限 MX 系列)匹配 IPv6 有效负载协议类型。

以下列表显示了以下各项支持 的值:protocol

  • ah— IP 安全认证标头

  • dstopts—IPv6 目标选项

  • egp—外部网关协议

  • esp—IPSec 封装安全有效负载

  • fragment—IPv6 片段标头

  • gre—通用路由封装

  • hop-by-hop—IPv6 逐跳选项

  • icmp—互联网控制消息协议

  • icmp6—互联网控制消息协议版本 6

  • igmp—互联网组管理协议

  • ipip—IP 中的 IP

  • ipv6—IP 中的 IPv6

  • no-next-header—IPv6 无下一个报头

  • ospf- 开放最短路径优先

  • pim—协议无关组播

  • routing—IPv6 路由标头

  • rsvp—资源预留协议

  • sctp—流控制传输协议

  • tcp—传输控制协议

  • udp—用户数据报协议

  • vrrp—虚拟路由器冗余协议

ipv6-payload-protocol-except protocol

(仅限 MX 系列)与 IPv6 有效负载协议不匹配。

ipv6-prefix-list named-list

(仅限 MX 系列)匹配 中的 IPv6 地址。named-list

ipv6-source-address address

(仅限 MX 系列)128 位地址,是此数据包的始发源节点地址。

ipv6-source-prefix-list named-list

(仅限 MX 系列)匹配 中的 IPv6 源地址。named-list

ipv6-traffic-class number

(仅限 MX 系列)差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

您可以指定 到 的 数值。063 若要以十六进制形式指定值,请包含 为前缀。0x 若要以二进制形式指定值,请包含 为前缀。b

代替数值,您可以指定以下文本同义词之一(字段值也会列出):

  • RFC 3246 加速 转发 PHB(每跳行为)定义了一个代码点:ef(46).

  • RFC 2597( 保证转发 PHB 组)定义了 4 个类,每个类中有 3 个丢弃优先级,总共 12 个代码点:

(10), (12), (14), af11af12af13

(18), (20), (22), af21af22af23

(26), (28), (30), af31af32af33

(34)、(36)、 (38)af41af42af43

ipv6-traffic-class-except number

不匹配 DSCP 。number

isid number

(受提供商主干桥接 [PBB] 支持)匹配互联网服务标识符。

isid-dei number

(由 PBB 支持)匹配互联网服务标识符丢弃资格指示器 (DEI) 位。

isid-dei-except number

(由 PBB 支持)不匹配互联网服务标识符 DEI 位。

isid-priority-code-point number

(由 PBB 支持)匹配互联网服务标识符优先级代码点。

isid-priority-code-point-except number

(由 PBB 支持)与互联网服务标识符优先级代码点不匹配。

learn-vlan-1p-priority value

(仅限 MX 系列路由器和 EX 系列交换机)匹配提供商 VLAN 标记(具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的外部标记)中的 IEEE 802.1p 获知的 VLAN 优先级位。指定 中的单个值或多个值。07

与 匹配条件进行比较。user-vlan-1p-priority

learn-vlan-1p-priority-except value

(仅限 MX 系列路由器和 EX 系列交换机)在 IEEE 802.1p 获知的 VLAN 优先级位上不匹配。有关详细信息,请参阅 匹配条件。learn-vlan-1p-priority

learn-vlan-dei number

(通过桥接支持)匹配用户虚拟 LAN (VLAN) 标识符 DEI 位。

learn-vlan-dei-except number

(通过桥接支持)不匹配用户 VLAN 标识符 DEI 位。

learn-vlan-id number

用于 MAC 学习的 VLAN 标识符。

learn-vlan-id-except number

与用于 MAC 学习的 VLAN 标识符不匹配。

loss-priority level

数据包丢失优先级 (PLP) 级别。指定单个级别或多个级别:、 、 或 。lowmedium-lowmedium-highhigh

在 M120 和 M320 路由器上受支持;采用增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。

对于配备增强型 II 灵活 PIC 集中器 (FPC) 和 EX 系列交换机的 M320、MX 系列和 T 系列路由器上的 IP 流量,必须在层次结构级别包含语句,才能提交具有指定四个级别中的任何一个的 PLP 配置。tri-color[edit class-of-service] 如果未启用该 语句,则只能配置 和 级别。tri-colorhighlow 这适用于所有协议家族。

有关该 语句的信息,请参阅 配置和应用 Tricolor 标记监管器。tri-colorConfiguring and Applying Tricolor Marking Policers 有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列。Understanding How Forwarding Classes Assign Classes to Output Queues

loss-priority-except level

在丢包优先级上不匹配。指定单个级别或多个级别:、 、 或 。lowmedium-lowmedium-highhigh

有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

port number

TCP 或 UDP 源或目标端口。不能在同一术语中同时 指定匹配条件和 或 匹配条件。portdestination-portsource-port

source-mac-address address

第 2 层数据包的源 MAC 地址。

source-port number

TCP 或 UDP 源端口字段。不能在同一术语中指定 和 匹配条件。portsource-port

source-port-except

不匹配 TCP/UDP 源端口。

tcp-flags flags

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定单个位字段,可以指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

配置匹配条件需要 配置 匹配条件。tcp-flagsnext-header-tcp

traffic-type type

流量类型。指定 、 、 或 。broadcastmulticastunknown-unicastknown-unicast

traffic-type-except type

在流量类型上不匹配。

user-vlan-1p-priority value

(仅限 MX 系列路由器和 EX 系列交换机)匹配客户 VLAN 标记(具有 802.1Q VLAN 标记的双标记帧中的内部标记)中的 IEEE 802.1p 用户优先级位。指定 中的单个值或多个值。07

与 匹配条件进行比较。learn-vlan-1p-priority

user-vlan-1p-priority-except value

(仅限 MX 系列路由器和 EX 系列交换机)在 IEEE 802.1p 用户优先级位上不匹配。有关详细信息,请参阅 匹配条件。user-vlan-1p-priority

user-vlan-id number

(仅限 MX 系列路由器和 EX 系列交换机)匹配属于有效负载一部分的第一个 VLAN 标识符。

user-vlan-id-except number

(仅限 MX 系列路由器和 EX 系列交换机)在作为有效负载一部分的第一个 VLAN 标识符上不匹配。

vlan-ether-type value

第 2 层桥接数据包的 VLAN 以太网类型字段。

vlan-ether-type-except value

在第 2 层桥接数据包的 VLAN 以太网类型字段上不匹配。

相关主题