Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

MPLS 标记 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

在 MPLS 流中的 IPv4 或 IPv6 数据包头地址或端口字段上匹配

要支持核心网络中基于网络的服务,可以配置与 MPLS 流量 () 中的互联网协议版本 4 (IPv4) 或版本 6 (IPv6) 数据包标头字段匹配的family mpls防火墙过滤器。防火墙过滤器可以将 IPv4 或 IPv6 数据包匹配为具有单个 MPLS 标签或最多 5 个 MPLS 标签堆叠在一起的 MPLS 数据包的内部有效负载。您可以根据 IPv4 地址和 IPv4 端口号或标头中的 IPv6 地址和 IPv6 端口号配置匹配条件。

仅 T320、T640、T1600、TX Matrix 以及 TX Matrix Plus 路由器和交换机上的增强型扩展灵活 PIC 集中器 (FPC) 上的接口,支持基于 MPLS 标记的 IPv4 报头的防火墙过滤器。但是,仅 T4000 核心路由器上的 5 类 FPC 上的接口支持基于 MPLS 标记的 IPv6 报头的防火墙过滤器。路由器或交换机环路接口 ()、路由器或交换机管理fxp0接口 (lo0em0) 或 USB 调制解调器接口 (umd) 不支持此功能。

要配置与 MPLS 流中数据包第 4 层标头中的地址或端口字段匹配的防火墙过滤器术语,请使用 ip-version ipv4 匹配条件将术语指定为基于内部 IP 字段匹配数据包:

  • 要匹配 IPv4 标头的源地址或目标地址字段上的 MPLS 标记的 IPv4 数据包,请在层次结构级别指定匹配条件 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4]

  • 要匹配第 4 层标头中的源或目标端口字段上的 MPLS 标记的 IPv4 数据包,请指定层级的 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] 匹配条件。

要配置与 MPLS 流中数据包 IPv6 标头中的地址或端口字段匹配的防火墙过滤器术语,请使用 ip-version ipv6 匹配条件将术语指定为基于内部 IP 字段匹配数据包:

  • 要匹配 IPv6 报头的源地址或目标地址字段上的 MPLS 标记的 IPv6 数据包,请在层次结构级别指定匹配条件 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6]

  • 要匹配第 4 层标头中的源或目标端口字段上的 MPLS 标记的 IPv6 数据包,请在层次结构级别指定匹配条件 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)]

MPLS 流量的 IP 地址匹配条件

表 1 介绍了可以在层级配置的 [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] IP 地址特定匹配条件。

表 1: 特定于 IP 地址的防火墙过滤器与 MPLS 流量的匹配条件

匹配条件

说明

destination-address address

匹配要接收数据包的目标节点的地址。

destination-address address except

与接收数据包的目标节点的地址不匹配。

protocol number

匹配 IP 协议类型字段。代替数值,您可以指定以下文本同义词之一(字段值也列出):ah(51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 ospf (89)、 pim (103)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)或 vrrp (112)。

source-address address

匹配发送数据包的源节点的地址。

source-address address except

与发送数据包的源节点的地址不匹配。

MPLS 流量的 IP 端口匹配条件

表 2介绍了可以在层级配置[edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )]的特定 match-conditions IP 端口。

表 2: IP 端口特定的防火墙过滤器与 MPLS 流量的匹配条件

匹配条件

说明

destination-port number

UDP 或 TCP 目标端口字段匹配。

您可以代替数值,指定以下文本同义词之一(同时列出了端口号):afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、 cmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、(21) eklogin 05)、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21)、 ftp-data (20)、 http (80)、 https (443)、 ident (113)、 imap (143)、 kerberos-sec (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、 ldap (389)、 ldp (646)、 login (513)、 mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、 netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、 pop3 (110)、 pptp (1723)、 printer (515)、 radacct (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、(44) snpp 4)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs (49)、 tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513) 或 xdmcp (177)。

destination-port-except number

UDP 或 TCP 目标端口字段不匹配。

您可以指定与匹配条件列出的 destination-port 文本同义词之一,以取代数值。

source-port number

匹配 TCP 或 UDP 源端口字段。

您可以代替数字字段,指定下 destination-port列出的文本同义词之一。

source-port-except number

TCP 或 UDP 源端口字段不匹配。

相关主题