VPLS 流量的防火墙过滤器匹配条件
在 VPLS 筛选条件的语句中 ,您可以指定数据包必须匹配的条件才能执行语句中的 操作。fromthen 语句中的所有 条件必须与要执行的操作匹配。from 指定匹配条件的顺序并不重要,因为数据包必须与术语中的所有条件匹配才能进行匹配。
如果在术语中未指定匹配条件,则该术语将匹配所有数据包。
语句中的 单个条件可以包含值列表。from 例如,可以指定数值范围。您还可以指定多个源地址或目标地址。当条件定义值列表时,如果列表中的某个值与数据包匹配,则会发生匹配。
语句中的 个别条件可以否定。from 如果对条件进行否定,则在定义显式不匹配。例如,的 否定匹配条件为 。forwarding-classforwarding-class-except 如果数据包与否定条件匹配,则会立即将其视为与语句不匹配 ,并评估过滤器中的下一个术语(如果有)。from 如果没有更多术语,则丢弃数据包。
您可以使用虚拟专用 LAN 服务 (VPLS) 流量匹配条件配置防火墙过滤器 ()。介绍了可以在层次结构级别配置的 。 family vpls表 1match-conditions[edit firewall family vpls filter filter-name term term-name from]
并非所有路由平台或交换平台都支持 VPLS 流量的所有匹配条件。VPLS 流量的许多匹配条件仅在 MX 系列 5G 通用路由平台上受支持。
在 VPLS 文档中, PE 路由器等术语中的 路由器 一词用于指代提供路由功能的任何设备。
|
匹配条件 |
Description |
|
|---|---|---|
|
|
匹配 VPLS 数据包的目标媒体访问控制 (MAC) 地址。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配 UDP 或 TCP 目标端口字段。 不能在同一术语中同时 指定 和 匹配条件。 要代替数值,可以指定以下文本同义词之一(还会列出端口号):(1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)、(25)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、 (513)或(177)。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在 TCP 或 UDP 目标端口字段上不匹配。不能在同一术语中同时 指定 和 匹配条件。 |
|
|
|
(仅限 ACX 系列路由器、MX 系列路由器和 EX 系列交换机)匹配指定列表中的目标前缀。指定在 ] 层次结构级别定义的 前缀列表的名称。 注:
VPLS 前缀列表仅支持 IPv4 地址。VPLS 前缀列表中包含的 IPv6 地址将被丢弃。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)不匹配指定列表中的目标前缀。有关详细信息,请参阅 匹配条件。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。https://www.juniper.net/documentation/en_US/junos/topics/concept/classifier-ba-overview-cos-config-guide.html 您可以指定 到 的 数值。 代替数值,您可以指定以下文本同义词之一(字段值也会列出):
(10), (12), (14), (18), (20), (22), (26), (28), (30), (34)、(36)、 (38) |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在 DSCP 上不匹配。有关详细信息,请参阅 匹配条件。 |
|
|
|
将 2 字节 IEEE 802.3 长度/以太类型字段与指定的值或值列表匹配。 可以指定从 0 到 65535 (0xFFFF) 的十进制或十六进制值。从 0 到 1500 (0x05DC) 的值指定以太网版本 1 帧的长度。从 1536 (0x0600) 到 65535 的值指定以太网版本 2 帧的 EtherType(MAC 客户端协议的性质)。 代替数值,可以指定以下文本同义词之一(还会列出十六进制值):(0x80F3)、 (0x809B)、 (0x0806)、 (0x0800)、 (0x86DD)、 (0x8848)、 (0x8847)、 (0x8902)、 (0x880B)、 (0x8863)、 (0x8864)或 (0x80D5)。 |
|
|
|
不要将 2 个八位字节长度/以太类型字段与指定的值或值列表匹配。 有关指定 的详细信息 ,请参阅 匹配条件。 |
|
|
|
|
从 Junos OS 14.2 开始,防火墙层次结构配置支持灵活的偏移过滤器。 要匹配的数据长度(以位为单位),字符串输入不需要 (0..128) |
|
|
(匹配开始 + 字节)偏移量 (0..7) 之后的位偏移量 |
|
|
|
比赛起点之后的字节偏移量 |
|
|
|
从预定义的模板字段中选择灵活匹配 |
|
|
|
屏蔽数据包数据中要匹配的位 |
|
|
|
数据包中匹配的起点 |
|
|
|
要匹配的值数据/字符串 |
|
|
|
|
要匹配的数据长度(以位为单位) (0..32) |
|
|
(匹配开始 + 字节)偏移量 (0..7) 之后的位偏移量 |
|
|
|
比赛起点之后的字节偏移量 |
|
|
|
从预定义的模板字段中选择灵活匹配 |
|
|
|
数据包中匹配的起点 |
|
|
|
要匹配的值范围 |
|
|
|
不匹配此值范围 |
|
|
|
匹配转发类。指定 、 、 或 。 |
|
|
|
与转发类不匹配。有关详细信息,请参阅 匹配条件。 |
|
|
|
匹配 ICMP 消息代码字段。 如果配置此匹配条件,我们建议您在同一术语中也配置 或 匹配条件。 如果配置此匹配条件,则还必须在同一术语中配置 匹配条件。 要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:
|
|
|
|
不匹配 ICMP 消息代码字段。有关详细信息,请参阅 匹配条件。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机) 匹配 ICMP 消息代码字段。 如果配置此匹配条件,我们建议您在同一术语中也配置 或 匹配条件。 如果配置此匹配条件,则还必须在同一术语中配置 匹配条件。 要代替数值,您可以指定以下文本同义词之一(还会列出字段值)。关键字按与其关联的 ICMP 类型分组:
|
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机) 在 ICMP 代码字段上不匹配。有关详细信息,请参阅 匹配条件。 |
|
|
|
接收数据包的接口。您可以配置匹配条件,根据接收数据包的接口匹配数据包。 注:
如果使用不存在的接口配置此匹配条件,则该术语与任何数据包都不匹配。 |
|
|
|
将接收数据包的逻辑接口与指定的接口组或接口组进行匹配。对于 ,指定单个值或从 到 的值 范围。 要将逻辑接口分配给接口组,请在层次结构级别指定 。 有关更多信息,请参阅 过滤一组接口组上收到的数据包概述。https://www.juniper.net/documentation/en_US/junos/topics/concept/firewall-filter-option-received-on-interface-group-overview.html 注:
T4000 5 类 FPC 不支持此匹配条件。 |
|
|
|
不要将接收数据包的逻辑接口与指定的接口组或接口组匹配。有关详细信息,请参阅 匹配条件。 注:
T4000 5 类 FPC 不支持此匹配条件。 |
|
|
|
将接收数据包的接口与指定的接口集匹配。 要定义接口集,请在层次结构级别包含 语句 。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)支持 IPv4 地址标准语法的 32 位地址。 请注意,使用此术语时,必须在同一术语上定义匹配条件以太类型 IPv4。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)32 位地址,即数据包的最终目标节点地址。 请注意,使用此术语时,必须在同一术语上定义匹配条件以太类型 IPv4。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)IP 优先级字段。要代替数值字段值,您可以指定以下文本同义词之一(还会列出字段值):(0xa0)、 (0x60)、 (0x80)、 (0x40)、 (0xc0)、 (0xe0)、 (0x20)或 (0x00)。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在 IP 优先级字段上不匹配。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)IP 协议字段。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在 IP 协议字段上不匹配。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)发送数据包的源节点的 IP 地址。 请注意,使用此术语时,还必须在同一术语上定义匹配条件以太型IPv4。 |
|
|
|
(仅限 MX 系列)匹配 中的 IPv6 源地址。named-list |
|
|
|
(仅限 MX 系列和 EX9200)支持 IPv6 地址标准语法的 128 位地址。从 Junos OS 14.2 开始,MX 系列和 EX9200 交换机支持防火墙家族网桥 IPv6 匹配标准。 |
|
|
|
((仅限 MX 系列和 EX9200)128 位地址,是此数据包的最终目标节点地址。请注意,使用此术语时,必须在同一术语上定义匹配条件 。 |
|
|
|
(仅限 MX 系列)匹配 中的 IPv6 目标地址。named-list |
|
|
|
(仅限 MX 系列)匹配 IPv6 下一个报头协议类型。 以下列表显示了以下各项支持 的值:protocol
|
|
|
|
(仅限 MX 系列)与 IPv6 下一个报头协议类型不匹配。 |
|
|
|
(仅限 MX 系列)匹配 IPv6 有效负载协议类型。 以下列表显示了以下各项支持 的值:protocol
|
|
|
|
(仅限 MX 系列)与 IPv6 有效负载协议不匹配。 |
|
|
|
(仅限 MX 系列)匹配 中的 IPv6 地址。named-list |
|
|
|
(仅限 MX 系列)128 位地址,是此数据包的始发源节点地址。 |
|
|
|
(仅限 MX 系列)差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。https://www.juniper.net/documentation/en_US/junos/topics/concept/classifier-ba-overview-cos-config-guide.html 您可以指定 到 的 数值。 代替数值,您可以指定以下文本同义词之一(字段值也会列出):
(10), (12), (14), (18), (20), (22), (26), (28), (30), (34)、(36)、 (38) |
|
|
|
不匹配 DSCP 。 |
|
|
|
(仅限 MX 系列路由器、M320 路由器和 EX 系列交换机)匹配提供商 VLAN 标记(具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的外部标记)中的 IEEE 802.1p 获知的 VLAN 优先级位。指定 中的单个值或多个值。 与 匹配条件进行比较。 注:
此匹配条件支持 MX 系列路由器和 M320 路由器存在控制字。 |
|
|
|
(仅限 MX 系列路由器、M320 路由器和 EX 系列交换机)在 IEEE 802.1p 获知的 VLAN 优先级位上不匹配。有关详细信息,请参阅 匹配条件。 注:
此匹配条件支持 MX 系列路由器和 M320 路由器存在控制字。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配用户 VLAN ID 丢弃资格指示器 (DEI) 位。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)不匹配用户 VLAN ID DEI 位。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)用于 MAC 学习的 VLAN 标识符。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)与用于 MAC 学习的 VLAN 标识符不匹配。 |
|
|
|
数据包丢失优先级 (PLP) 级别。指定单个级别或多个级别:、 、 或 。 在 M120 和 M320 路由器上受支持;采用增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;和 MX 系列路由器。 对于配备增强型 II 灵活 PIC 集中器 (FPC) 和 EX 系列交换机的 M320、MX 系列和 T 系列路由器上的 IP 流量,必须在层次结构级别包含该 语句 ,才能提交具有指定四个级别中的任何一个的 PLP 配置。 有关语句以及使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息 ,请参阅 了解转发类如何将类分配给输出队列。 |
|
|
|
在丢包优先级上不匹配。指定单个级别或多个级别:、 、 或 。 有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。https://www.juniper.net/documentation/en_US/junos/topics/concept/classifier-ba-overview-cos-config-guide.html |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 源或目标端口。不能在同一术语中同时 指定匹配条件和 或 匹配条件。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在 TCP 或 UDP 源或目标端口上不匹配。不能在同一术语中同时 指定匹配条件和 或 匹配条件。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配指定列表中的目标或源前缀。指定在 ] 层次结构级别定义的 前缀列表的名称。 注:
VPLS 前缀列表仅支持 IPV4 地址。VPLS 前缀列表中包含的 IPV6 地址将被丢弃。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)与指定列表中的目标或源前缀不匹配。有关详细信息,请参阅 匹配条件。 |
|
|
|
VPLS 数据包的源 MAC 地址。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 源端口字段。不能在同一术语中指定 和 匹配条件。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在 TCP 或 UDP 源端口字段上不匹配。不能在同一术语中指定 和 匹配条件。 |
|
|
|
(仅限 ACX 系列路由器、MX 系列路由器和 EX 系列交换机)匹配指定前缀列表中的源前缀。指定在层次结构级别定义的 前缀列表名称。 注:
VPLS 前缀列表仅支持 IPV4 地址。VPLS 前缀列表中包含的 IPV6 地址将被丢弃。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)与指定前缀列表中的源前缀不匹配。有关详细信息,请参阅 匹配条件。 |
|
|
|
匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。 若要指定单个位字段,可以指定以下文本同义词或十六进制值:
在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而 ACK 标志在初始数据包之后发送的所有数据包中设置。 您可以使用位字段逻辑运算符将多个标志串在一起。 如果为 IPv6 流量配置此匹配条件,我们建议您也在同一术语中配置 匹配条件,以指定端口上使用 TCP 协议。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)流量类型。指定 、 、 或 。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在流量类型上不匹配。指定 、 、 或 。 |
|
|
|
(仅限 MX 系列路由器、M320 路由器和 EX 系列交换机)匹配客户 VLAN 标记(具有 802.1Q VLAN 标记的双标记帧中的内部标记)中的 IEEE 802.1p 用户优先级位。指定 中的单个值或多个值。 与 匹配条件进行比较。 注:
此匹配条件支持 MX 系列路由器和 M320 路由器存在控制字。 |
|
|
|
(仅限 MX 系列路由器、M320 路由和 EX 系列交换机)在 IEEE 802.1p 用户优先级位上不匹配。有关详细信息,请参阅 匹配条件。 注:
此匹配条件支持 MX 系列路由器和 M320 路由器存在控制字。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配属于有效负载一部分的第一个 VLAN 标识符。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在作为有效负载一部分的第一个 VLAN 标识符上不匹配。 |
|
|
|
VPLS 数据包的 VLAN 以太网类型字段。 |
|
|
|
在 VPLS 数据包的 VLAN 以太网类型字段上不匹配。 |
|
如果不支持,则提交检查会发出错误。traffic-type known-unicasttraffic-type unknown-unicast
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。