VPLS 流量的防火墙过滤器匹配条件
在 from VPLS 过滤术语的语句中,您可以指定数据包必须与要采取的语句中的 then 操作匹配的条件。语句中的所有 from 条件都必须与要执行的操作匹配。指定匹配条件的顺序并不重要,因为数据包必须匹配一个术语中的所有条件,才能发生匹配。
如果某个术语中未指定匹配条件,则该术语匹配所有数据包。
语句中的 from 单个条件可以包含一个值列表。例如,您可以指定数字范围。您还可以指定多个源地址或目标地址。当某个条件定义值列表时,如果列表中有一个值与数据包匹配,将会出现匹配。
语句中的个别 from 条件可以否定。否定某个条件时,您将定义一个显式不匹配。例如,被否定的 forwarding-class 匹配条件是 forwarding-class-except。如果数据包与否定条件匹配,将立即将其视为与语句不匹配 from ,如果存在,则评估过滤器中的下一个术语。如果没有更多的术语,数据包将被丢弃。
您可以为虚拟专用 LAN 服务 (VPLS) 流量 () 配置匹配条件的防火墙过滤器。family vpls表 1介绍了match-conditions可以在层次结构级别配置的情况[edit firewall family vpls filter filter-name term term-name from]。
并非所有路由平台或交换平台上都支持 VPLS 流量的所有匹配条件。仅在 MX 系列 5G 通用路由平台上支持 VPLS 流量的多种匹配条件。
在 VPLS 文档中,PE 路由器等术语用于指提供路由功能的任何设备。
|
匹配条件 |
说明 |
|
|---|---|---|
|
|
匹配 VPLS 数据包的目标媒体访问控制 (MAC) 地址。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配 UDP 或 TCP 目标端口字段。 您不能在同一 您可以代替数值,指定以下文本同义词之一(同时列出了端口号): |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 目标端口字段不匹配。您不能在同一 |
|
|
|
(仅限 ACX 系列路由器、MX 系列路由器和 EX 系列交换机)匹配指定列表中的目标前缀。指定在 注:
VPLS 前缀列表仅支持 IPv4 地址。VPLS 前缀列表中包括的 IPv6 地址将被丢弃。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)与指定列表中的目标前缀不匹配。有关更多信息,请参阅 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。 您可以指定一个从到 代替数值,您可以指定以下文本同义词之一(字段值也列出):
|
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)在 DSCP 上不匹配。有关详细信息,请参阅 |
|
|
|
将 2 八位组 IEEE 802.3 Length/EtherType 字段与指定的值或值列表匹配。 您可以指定 0 到 65535 (0xFFFF) 的十进制值或十六进制值。值从 0 到 1500 (0x05DC) 用于指定以太网版本 1 帧的长度。从 1536 (0x0600) 到 65535 的值指定以太网版本 2 帧的 EtherType(MAC 客户端协议的性质)。 要代替数值,可以指定以下文本同义词之一(还列出了十六进制值): |
|
|
|
请勿将 2 八位位组长度/EtherType 字段与指定的值或值列表匹配。 有关指定匹配 |
|
|
|
|
从 Junos OS 14.2 开始,防火墙层次结构配置支持灵活的偏移过滤器。 要以位表示的数据长度,字符串输入 (0..128) |
|
|
(匹配开始 + 字节) 偏移 (0.7) 后的位偏移量 |
|
|
|
匹配起点后的字节偏移量 |
|
|
|
从预定义模板字段灵活选择匹配项 |
|
|
|
掩盖要匹配的数据包数据中的位 |
|
|
|
在数据包中匹配的起点 |
|
|
|
值数据/要匹配的字符串 |
|
|
|
|
要以位计的匹配数据长度 (0.32) |
|
|
(匹配开始 + 字节) 偏移 (0.7) 后的位偏移量 |
|
|
|
匹配起点后的字节偏移量 |
|
|
|
从预定义模板字段灵活选择匹配项 |
|
|
|
在数据包中匹配的起点 |
|
|
|
要匹配的值范围 |
|
|
|
不匹配此值范围 |
|
|
|
匹配转发类。指定 |
|
|
|
与转发类不匹配。有关详细信息,请参阅 |
|
|
|
匹配 ICMP 消息代码字段。 如果配置此匹配条件,我们建议您也配置 如果配置此匹配条件,还必须配置 代替数值,可以指定以下文本同义词之一(字段值也会列出)。这些关键词按与之关联的 ICMP 类型进行分组:
|
|
|
|
与 ICMP 消息代码字段不匹配。有关详细信息,请参阅 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机) 匹配 ICMP 消息代码字段。 如果配置此匹配条件,我们建议您也配置 如果配置此匹配条件,还必须配置 代替数值,可以指定以下文本同义词之一(字段值也会列出)。这些关键词按与之关联的 ICMP 类型进行分组:
|
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机) ICMP 代码字段不匹配。有关详细信息,请参阅 |
|
|
|
接收数据包的接口。您可以根据接收数据包的接口配置匹配数据包的匹配条件。 注:
如果使用不存在的接口配置此匹配条件,则术语不会匹配任何数据包。 |
|
|
|
将接收数据包的逻辑接口与指定的接口组或接口组集匹配。对于 要为接口组 有关更多信息,请参阅 过滤在一组接口组上接收的数据包概述。 注:
T4000 5 型 FPC 不支持此匹配条件。 |
|
|
|
不要与接收数据包的逻辑接口匹配到指定的接口组或接口组集。有关详细信息,请参阅 注:
T4000 5 型 FPC 不支持此匹配条件。 |
|
|
|
将接收数据包的接口匹配到指定的接口集。 要定义接口集,请将语句 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)32 位地址,支持 IPv4 地址的标准语法。 请注意,使用此术语时,必须在同一术语上定义匹配条件以太网类型的 IPv4。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)32 位地址,是数据包的最终目标节点地址。 请注意,使用此术语时,必须在同一术语上定义匹配条件以太网类型的 IPv4。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)IP 优先级字段。代替数字字段值,可以指定以下文本同义词之一(字段值也会列出): |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)IP 优先级字段不匹配。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)IP 协议字段。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)IP 协议字段不匹配。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)发送数据包的源节点的 IP 地址。 请注意,使用此术语时,还必须在同一术语上定义匹配条件以太网类型的 IPv4。 |
|
|
|
(仅限 MX 系列)匹配一个 named-list中的 IPv6 源地址。 |
|
|
|
(仅限 MX 系列和 EX9200)128 位地址,支持 IPv6 地址的标准语法。从 Junos OS 14.2 开始,MX 系列和 EX9200 交换机支持防火墙系列桥接 IPv6 匹配标准。 |
|
|
|
(仅限 MX 系列和 EX9200)128 位地址,即此数据包的最终目标节点地址。请注意,使用此术语时,必须在同一术语上定义匹配条件 |
|
|
|
(仅限 MX 系列)匹配一个 named-list中的 IPv6 目标地址。 |
|
|
|
(仅限 MX 系列)匹配 IPv6 下一个报头协议类型。 以下列表显示了支持的以下值 protocol:
|
|
|
|
(仅限 MX 系列)与 IPv6 下一个报头协议类型不匹配。 |
|
|
|
(仅限 MX 系列)匹配 IPv6 有效负载协议类型。 以下列表显示了支持的以下值 protocol:
|
|
|
|
(仅限 MX 系列)与 IPv6 有效负载协议不匹配。 |
|
|
|
(仅限 MX 系列)匹配一个 named-list中的 IPv6 地址。 |
|
|
|
(仅限 MX 系列)128 位地址,即此数据包的始发源节点地址。 |
|
|
|
(仅限 MX 系列)差异服务代码点 (DSCP)。DiffServ 协议在 IP 报头中使用服务类型 (ToS) 字节。此字节中最重要的 6 位构成 DSCP。有关更多信息,请参阅 了解行为聚合分类器如何确定可信流量的优先级。 您可以指定一个从到 代替数值,您可以指定以下文本同义词之一(字段值也列出):
|
|
|
|
与 DSCP |
|
|
|
(仅限 MX 系列路由器、M320 路由器和 EX 系列交换机)匹配 IEEE 802.1p 学习的提供商 VLAN 标记中的 VLAN 优先级位(具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的唯一标记)。指定从到 与 注:
此匹配条件支持 MX 系列路由器和 M320 路由器的控制字存在。 |
|
|
|
(仅限 MX 系列路由器、M320 路由器和 EX 系列交换机)IEEE 802.1p 学习的 VLAN 优先级位不匹配。有关详细信息,请参阅 注:
此匹配条件支持 MX 系列路由器和 M320 路由器的控制字存在。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配用户 VLAN ID 丢弃可匹配性指标 (DEI) 位。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)与用户 VLAN ID DEI 位不匹配。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)用于 MAC 学习的 VLAN 标识符。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)用于 MAC 学习的 VLAN 标识符不匹配。 |
|
|
|
数据包丢失优先级 (PLP) 级别。指定单个级别或多个级别: 支持 M120 和 M320 路由器;配备增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;和 MX 系列路由器。 对于具有增强型 II 灵活 PIC 集中器 (FPC) 和 EX 系列交换机的 M320、MX 系列和 T 系列路由器上的 IP 流量,您必须在 有关 |
|
|
|
数据包丢失优先级级别不匹配。指定单个级别或多个级别: 有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 行为聚合分类器如何确定可信流量的优先级。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 源或目标端口。您不能在同一术语中 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)TCP、UDP 源或目标端口不匹配。您不能在同一术语中 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配指定列表中的目标或源前缀。指定在 注:
VPLS 前缀列表仅支持 IPV4 地址。VPLS 前缀列表中包括的 IPV6 地址将被丢弃。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)与指定列表中的目标或源前缀不匹配。有关更多信息,请参阅 |
|
|
|
VPLS 数据包的源 MAC 地址。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 源端口字段。您不能在同一 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 源端口字段不匹配。您不能在同一 |
|
|
|
(仅限 ACX 系列路由器、MX 系列路由器和 EX 系列交换机)匹配指定前缀列表中源前缀。指定在 注:
VPLS 前缀列表仅支持 IPV4 地址。VPLS 前缀列表中包括的 IPV6 地址将被丢弃。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)与指定前缀列表中源前缀不匹配。有关更多信息,请参阅 |
|
|
|
匹配 TCP 标头中的 8 位 TCP 标志字段中的一个或多个低阶 6 位。 要指定单个位字段,可以指定以下文本同义词或十六进制值:
在 TCP 会话中,仅在发送的初始数据包中设置 SYN 标志,而 ACK 标志在初始数据包之后发送的所有数据包中设置。 您可以使用位字段逻辑运算符将多个标志串在一起。 如果为 IPv6 流量配置此匹配条件,我们建议也配置 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)流量类型。指定 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)流量类型不匹配。指定 |
|
|
|
(仅限 MX 系列路由器、M320 路由器和 EX 系列交换机)匹配客户 VLAN 标记中的 IEEE 802.1p 用户优先级位(具有 802.1Q VLAN 标记的双标记帧中的内部标记)。指定从到 与 注:
此匹配条件支持 MX 系列路由器和 M320 路由器的控制字存在。 |
|
|
|
(仅限 MX 系列路由器、M320 路由器和 EX 系列交换机)IEEE 802.1p 用户优先级位不匹配。有关详细信息,请参阅 注:
此匹配条件支持 MX 系列路由器和 M320 路由器的控制字存在。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)匹配属于有效负载的第一个 VLAN 标识符。 |
|
|
|
(仅限 MX 系列路由器和 EX 系列交换机)作为有效负载一部分的第一个 VLAN 标识符不匹配。 |
|
|
|
VPLS 数据包的 VLAN 以太网类型字段。 |
|
|
|
VPLS 数据包的 VLAN 以太网类型字段不匹配。 |
|
如果 traffic-type known-unicast 或不 traffic-type unknown-unicast 受支持的提交检查会发出错误。