Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

匹配 MPLS 流中的 IPv4 或 IPv6 数据包标头地址或端口字段

要在核心网络中支持基于网络的服务,您可以配置与 MPLS 流量 () 中的互联网协议版本 4 (IPv4) 或版本 6 (IPv6) 数据包头字段匹配的防火墙过滤器。family mpls 防火墙过滤器可以将 IPv4 或 IPv6 数据包匹配为具有单个 MPLS 标签或最多五个堆叠在一起的 MPLS 数据包的内部有效负载。您可以根据标头中的 IPv4 地址和 IPv4 端口号或 IPv6 地址和 IPv6 端口号配置匹配条件。

T320、T640、T1600、TX Matrix 和 TX Matrix Plus 路由器和交换机上的增强型扩展灵活 PIC 集中器 (FPC) 上的接口仅支持基于 MPLS 标记的 IPv4 报头的防火墙过滤器。但是,只有 T4000 核心路由器上的 5 类 FPC 上的接口支持基于 MPLS 标记的 IPv6 标头的防火墙过滤器。路由器或交换机环路接口 ()、路由器或交换机管理接口 ( 或 ) 或 USB 调制解调器接口 () 不支持此功能。lo0fxp0em0umd

要配置与 MPLS 流中数据包的第 4 层标头中的地址或端口字段匹配的防火墙过滤器术语, 请使用匹配条件指定该术语是基于内部 IP 字段匹配数据包:ip-version ipv4

  • 要在 IPv4 标头的源地址或目标地址字段上匹配 MPLS 标记的 IPv4 数据包,请在层次结构级别指定匹配条件 。[edit firewall family mpls filter filter-name term term-name from ip-version ipv4]

  • 要在第 4 层标头的源端口或目标端口字段上匹配 MPLS 标记的 IPv4 数据包,请在层次结构级别指定匹配条件 。[edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)]

要配置与 MPLS 流中数据包的 IPv6 标头中的地址或端口字段匹配的防火墙过滤器术语, 请使用匹配条件指定该术语是基于内部 IP 字段匹配数据包:ip-version ipv6

  • 要在 IPv6 标头的源地址或目标地址字段上匹配 MPLS 标记的 IPv6 数据包,请在层次结构级别指定匹配条件 。[edit firewall family mpls filter filter-name term term-name from ip-version ipv6]

  • 要在第 4 层标头的源端口或目标端口字段上匹配 MPLS 标记的 IPv6 数据包,请在层次结构级别指定匹配条件 。[edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)]

MPLS 流量的 IP 地址匹配条件

介绍了可在层次结构级别配置 的特定于 IP 地址的匹配条件。表 1[edit firewall family mpls filter filter-name term term-name from ip-version ip-version]

表 1: MPLS 流量的 IP 地址特定防火墙过滤器匹配条件

匹配条件

Description

destination-address address

匹配接收数据包的目标节点的地址。

destination-address address except

与接收数据包的目标节点的地址不匹配。

protocol number

匹配 IP 协议类型字段。代替数值,您可以指定以下文本同义词之一(字段值也会列出):(51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、 (2)、(4)、(41)、(89)、(103)、(46)、(132)、(6)、 (17)或(112)。ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

source-address address

匹配发送数据包的源节点的地址。

source-address address except

与发送数据包的源节点的地址不匹配。

MPLS 流量的 IP 端口匹配条件

介绍了可以在层次结构级别配置的特定 IP 端口。表 2match-conditions[edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )]

表 2: MPLS 流量的 IP 端口特定防火墙过滤器匹配条件

匹配条件

Description

destination-port number

在 UDP 或 TCP 目标端口字段上进行匹配。

要代替数值,可以指定以下文本同义词之一(还会列出端口号):(1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)、(25)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、 (513)或(177)。afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

destination-port-except number

在 UDP 或 TCP 目标端口字段上不匹配。

要代替数值,您可以指定与匹配条件一起 列出的文本同义词之一。destination-port

source-port number

在 TCP 或 UDP 源端口字段上进行匹配。

您可以指定 下 列出的文本同义词之一,以代替数值字段。destination-port

source-port-except number

在 TCP 或 UDP 源端口字段上不匹配。

相关主题