MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

匹配 MPLS 流中的 IPv4 或 IPv6 数据包标头地址或端口字段

要在核心网络中支持基于网络的服务，您可以配置与 MPLS 流量 （family mpls） 中的互联网协议版本 4 （IPv4） 或版本 6 （IPv6） 数据包头字段匹配的防火墙过滤器。防火墙过滤器可以将 IPv4 或 IPv6 数据包匹配为具有单个 MPLS 标签或最多五个堆叠在一起的 MPLS 数据包的内部有效负载。您可以根据标头中的 IPv4 地址和 IPv4 端口号或 IPv6 地址和 IPv6 端口号配置匹配条件。

T320、T640、T1600、TX Matrix 和 TX Matrix Plus 路由器和交换机上的增强型扩展灵活 PIC 集中器 （FPC） 上的接口仅支持基于 MPLS 标记的 IPv4 报头的防火墙过滤器。但是，只有 T4000 核心路由器上的 5 类 FPC 上的接口支持基于 MPLS 标记的 IPv6 标头的防火墙过滤器。路由器或交换机环路接口 （）、路由器或交换机管理接口 （lo0fxp0 或 em0） 或 USB 调制解调器接口 （umd） 不支持此功能。

要配置与 MPLS 流中数据包的第 4 层标头中的地址或端口字段匹配的防火墙过滤器术语， ip-version ipv4 请使用匹配条件指定该术语是基于内部 IP 字段匹配数据包：

• 要在 IPv4 标头的源地址或目标地址字段上匹配 MPLS 标记的 IPv4 数据包，请在层次结构级别指定匹配条件 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] 。

• 要在第 4 层标头的源端口或目标端口字段上匹配 MPLS 标记的 IPv4 数据包，请在层次结构级别指定匹配条件 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] 。

要配置与 MPLS 流中数据包的 IPv6 标头中的地址或端口字段匹配的防火墙过滤器术语， ip-version ipv6 请使用匹配条件指定该术语是基于内部 IP 字段匹配数据包：

• 要在 IPv6 标头的源地址或目标地址字段上匹配 MPLS 标记的 IPv6 数据包，请在层次结构级别指定匹配条件 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] 。

• 要在第 4 层标头的源端口或目标端口字段上匹配 MPLS 标记的 IPv6 数据包，请在层次结构级别指定匹配条件 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] 。

MPLS 流量的 IP 地址匹配条件

表 1 介绍了可在层次结构级别配置 [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] 的特定于 IP 地址的匹配条件。

表 1： MPLS 流量的 IP 地址特定防火墙过滤器匹配条件

匹配条件	Description
destination-address address	匹配接收数据包的目标节点的地址。
destination-address address except	与接收数据包的目标节点的地址不匹配。
protocol number	匹配 IP 协议类型字段。代替数值，您可以指定以下文本同义词之一（字段值也会列出）：ah（51）、 dstopts （60）、 egp （8）、 esp （50）、 fragment （44）、 gre （47）、 hop-by-hop （0）、 icmp （1）、 icmp6 （58）、（58）、 igmpicmpv6 （2）、 ipip （4）、 ipv6 （41）、 ospf （89）、 pim （103）、 rsvp （46）、 sctp （132）、 tcp （6）、udp （17）或vrrp（112）。
source-address address	匹配发送数据包的源节点的地址。
source-address address except	与发送数据包的源节点的地址不匹配。

MPLS 流量的 IP 端口匹配条件

表 2介绍了可以在层次结构级别配置[edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )]的特定 match-conditions IP 端口。

表 2： MPLS 流量的 IP 端口特定防火墙过滤器匹配条件

匹配条件	Description
destination-port number	在 UDP 或 TCP 目标端口字段上进行匹配。 要代替数值，可以指定以下文本同义词之一（还会列出端口号）：afs（1483）， bgp （179）， biff （512）， bootpc （68）， bootps （67）， cmd （514）， cvspserver （2401）， dhcp （67）， domain （53）， eklogin （2105）， ekshell （2106）， exec （512）， finger （79）， ftp （21）， ftp-data （20）， http （80）， https （443）， ident （113）， imap （143）， kerberos-sec （88）， klogin （543）， kpasswd （761）， krb-prop （754）， krbupdate （760）， kshell （544）， ldap （389）， ldp （646）， login （513）， mobileip-agent （434）， mobilip-mn （435）， msdp （639）， netbios-dgm （138）， netbios-ns （137）， netbios-ssn （139）， nfsd （2049）， nntp （119）， ntalk （518），ntp （123）， pop3 （110）， pptp （1723）， printer （515）， radacct （1813）， radius （1812）， rip （520）， rkinit （2108）， smtp （25）， snmp （161）， snmptrap （162）， snpp （444）， socks （1080）， ssh （22）， sunrpc （111）， syslog （514）， tacacs （49）， （65）， talk （517）， telnet （23）， tftp （69）， timedtacacs-ds （525）， who （513） 或 xdmcp （177）。
destination-port-except number	在 UDP 或 TCP 目标端口字段上不匹配。 要代替数值，您可以指定与匹配条件一起 destination-port 列出的文本同义词之一。
source-port number	在 TCP 或 UDP 源端口字段上进行匹配。 您可以指定 下 destination-port列出的文本同义词之一，以代替数值字段。
source-port-except number	在 TCP 或 UDP 源端口字段上不匹配。

MPLS 流量的接口匹配条件

表 3介绍了可在层级配置[edit firewall family mpls filter filter-name term term-name]的接口特定match-conditions功能。

表 3： MPLS 流量的接口特定防火墙过滤器匹配条件

匹配条件	Description
interface-group interface-device name | unit-list	匹配接口组。选项有： interface-device name - 接口设备的名称。只允许以太网设备。设备接口名称包括 ge, ae, xe and et. unit-list - 一个或多个逻辑接口单元号。 范围：<0-16385> 或 <0-16385>-<0-16385>范围内的字符串。例如， unit-list[12 23-33 44]