Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPLS 流量的防火墙过滤器匹配条件

在 VPLS from过滤器术语的语句中,为要执行的then语句中的操作指定数据包必须匹配的条件。from语句中的所有条件都必须匹配才能执行该操作。您指定匹配条件的顺序并不重要,因为数据包必须与术语中的所有条件匹配才能发生匹配。

如果在术语中未指定任何匹配条件,则此术语将匹配所有数据包。

from语句中的单个条件可以包含值列表。例如,您可以指定数字范围。您还可以指定多个源地址或目标地址。当条件定义值列表时,如果列表中的某个值与数据包匹配,则会发生匹配。

语句中的from个别条件可以取反。如果您对条件求反,则定义的是显式不匹配。例如,的求反匹配条件forwarding-class为。 forwarding-class-except 如果数据包符合求反条件,则会立即被视为不匹配from语句,并且将评估过滤器中的下一术语(如果存在)。如果没有其他术语,数据包将被丢弃。

您可以使用虚拟专用 LAN 服务(VPLS)流量family vpls的匹配条件来配置防火墙过滤器。表 1介绍了match-conditions可在[edit firewall family vpls filter filter-name term term-name from]层次结构级别配置的。

注:

并非所有路由平台或交换平台上都支持 VPLS 流量的所有匹配条件。VPLS 流量的多个匹配条件仅在 MX 系列5G 通用路由平台上受支持。

在 VPLS 文档中, PE 路由器等术语中的 word路由器用于指提供路由功能的任何设备。

表 1: VPLS 流量的防火墙过滤器匹配条件

匹配条件

Description

destination-mac-address address

匹配 VPLS 数据包的目标媒体访问控制(地址)(MAC)地址。

destination-port number

(仅适用于 MX 系列路由器和 EX 系列交换机)与 UDP 或 TCP 目标端口字段匹配。

不能在同一术语portdestination-port同时指定和匹配条件。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(67)、(514)、(2401)、(67)、(53)、(2105)、(2106)、(512)、(79)、(21)、(20)、(80), cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、(389)、(646)、(513)、(434)、(435)、(639) identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdp (639) netbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)(2108) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtp 5)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、(513)或 snmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp (177)。

destination-port-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)在 TCP 或 UDP 目标端口字段上不匹配。不能在同一术语portdestination-port同时指定和匹配条件。

destination-prefix-list name

(仅 ACX 系列路由器、MX 系列路由器和 EX 系列交换机)匹配指定列表中的目标前缀。指定在[edit policy-options prefix-list prefix-list-name] 层次结构级别定义的前缀列表的名称。

注:

VPLS 前缀列表仅支持 IPv4 地址。包含在 VPLS 前缀列表中的 IPv6 地址将被丢弃。

destination-prefix-list name except

(仅适用于 MX 系列路由器和 EX 系列交换机)与指定列表中的目标前缀不匹配。有关详细信息,请参阅destination-prefix-list match 条件。

dscp number

(仅适用于 MX 系列路由器和 EX 系列交换机)匹配差异服务代码点(DSCP)。DiffServ 协议使用 IP 标头中的服务类型(ToS)字节。此字节最重大的 6 位构成 DSCP。有关详细信息,请参阅了解行为聚合分类器如何区分可信流量

您可以从到063中指定一个数字值。要以十六进制形式指定值,请将0x其作为前缀包括在内。要以二进制格式指定值,请将b其包含为前缀。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

  • RFC 3246, 加速转发 PHB(单跳行为),定义一个代码点:ef(46).

  • RFC 2597,保证转发 PHB组 ,定义了 4 个类,每个类有 3 个丢弃优先级,总共 12 个代码点:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)在 DSCP 上不匹配。有关详细信息,请dscp参阅 match 条件。

ether-type values

将2个八进制数 IEEE 802.3 长度/EtherType 字段匹配到指定值或值列表。

您可以指定从0到65535(0xFFFF)的十进制或十六进制值。从 0 到 1500 (0x05DC) 的值指定以太网版本 1 帧的长度。从 1536 (0x0600) 到 65535 的值指定以太网版本 2 帧的 EtherType(MAC 客户端协议性质)。

为了代替数值,您可以指定以下文本同义词之一(十六进制值也会列出):aarpappletalkarpipv4ipv6 (0x80F3)、(0x809B)、(0x0806)、(0x0800)、(0x86DD)、(0x8848)、(0x8847)、(0x8902)、(0x880B)、(0x8863)、(0x8864) mpls-multicastmpls-unicastoamppppppoe-discoverypppoe-sessionsna (0x80D5)。

ether-type-except values

不要将2个八进制长度/EtherType 字段与指定值或值列表匹配。

有关指定的values详细信息,请参阅ether-type match 条件。

flexible-match-mask value

bit-length

从 Junos OS 14.2 开始,防火墙层次结构配置中支持灵活的偏移过滤器。

要匹配的数据长度(以位为单位),对于字符串输入,不需要它(0. 128)

bit-offset

(匹配-start + 字节)偏移量(0到7)之后的位偏移

byte-offset

匹配起始点之后的字节偏移量

flexible-mask-name

从预定义模板字段中选择一个灵活匹配

mask-in-hex

屏蔽要匹配的数据包数据中的位

match-start

数据包中要匹配的起始点

prefix

要匹配的值数据/字符串

 

flexible-match-range value

bit-length

要以位(0. 32)匹配的数据长度

bit-offset

(匹配-start + 字节)偏移量(0到7)之后的位偏移

byte-offset

匹配起始点之后的字节偏移量

flexible-range-name

从预定义模板字段中选择一个灵活匹配

match-start

数据包中要匹配的起始点

range

要匹配的值范围

range-except

与此范围的值不匹配

 

forwarding-class class

匹配转发类。指定assured-forwardingbest-effortexpedited-forwarding、或network-control

forwarding-class-except class

不匹配转发类。有关详细信息,请forwarding-class参阅 match 条件。

icmp-code message-code

匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中next-header icmp配置next-header icmp6或匹配条件。

如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip6-header-badunrecognized-next-header(0)、(1)、(2) unrecognized-option

  • 已超过时间:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • 目标-无法到达:address-unreachableadministratively-prohibitedno-route-to-destination (3)、(1)、(0)、(4) port-unreachable

icmp-code-except message-code

与 ICMP 消息代码字段不匹配。有关详细信息,请icmp-code参阅 match 条件。

icmp-code number

(仅适用于 MX 系列路由器和 EX 系列交换机)匹配 ICMP 消息代码字段。

如果配置此匹配条件,我们建议您同时在同一术语中ip-protocol icmp配置ip-protocol icmp6或匹配条件。

如果配置此匹配条件,则还必须在同一术语icmp-type message-type中配置匹配条件。ICMP 消息代码提供的信息比 ICMP 消息类型更具体,但 ICMP 消息代码的含义依赖于关联的 ICMP 消息类型。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值)。关键字按与其关联的 ICMP 类型分组:

  • 参数-问题:ip6-header-badunrecognized-next-header(0)、(1)、(2) unrecognized-option

  • 已超过时间:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • 目标-无法到达:address-unreachableadministratively-prohibitedno-route-to-destination (3)、(1)、(0)、(4) port-unreachable

icmp-code-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)不在 ICMP 代码字段中匹配。有关详细信息,请icmp-code参阅 match 条件。

interface interface-name

接收数据包的接口。您可以根据接收的接口,配置匹配数据包的匹配条件。

注:

如果您使用不存在的接口配置此匹配条件,则术语不匹配任何数据包。

interface-group group-number

将接收数据包的逻辑接口与指定接口组或一组接口组相匹配。对于group-number,请从一个值或中的一系列值0255指定。

要将逻辑接口分配给接口组group-number,请group-number[interfaces interface-name unit number family family filter group]层次结构级别指定。

有关详细信息,请参阅过滤在一组接口组上接收的数据包概述

注:

T4000 类型 5 Fpc 上不支持此匹配条件。

interface-group-except group-name

与将数据包接收到指定接口组或接口组集的逻辑接口不匹配。有关详细信息,请interface-group参阅 match 条件。

注:

T4000 类型 5 Fpc 上不支持此匹配条件。

interface-set interface-set-name

匹配数据包接收到指定接口集的接口。

要定义接口集,请包含 interface-set 层级的 [edit firewall] 语句。有关详细信息,请参阅过滤接口集上接收的数据包概述

ip-address address

(仅 MX 系列路由器和 EX 系列交换机)32位地址,支持 IPv4 地址的标准语法。

请注意,使用此术语时,必须在同一术语上定义匹配条件 ether IPv4 类型。

ip-destination-address address

(仅 MX 系列路由器和 EX 系列交换机)32位地址,是数据包的最终目标节点地址。

请注意,使用此术语时,必须在同一术语上定义匹配条件 ether IPv4 类型。

ip-precedence ip-precedence-field

(仅适用于 MX 系列路由器和 EX 系列交换机)IP 优先级字段。在数字字段值的位置,您可以指定以下文本同义词之一(也列出了这些字段值):critical-ecpflashflash-overrideimmediate (0xa0)、(0x60)、(0x80)、(0x40)、(0xc0)、(0xe0)、(0x20) internet-controlnet-controlpriorityroutine (0x00)。

ip-precedence-except ip-precedence-field

(仅适用于 MX 系列路由器和 EX 系列交换机)不在 IP 优先级字段上匹配。

ip-protocol number

(仅适用于 MX 系列路由器和 EX 系列交换机)IP 协议字段。

ip-protocol-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)不在 IP 协议字段上匹配。

ip-source-address address

(仅适用于 MX 系列路由器和 EX 系列交换机)发送数据包的源节点的 IP 地址。

请注意,使用此术语时,必须同时在同一术语上定义 match 条件 ether-IPv4 类型。

ipv6-source-prefix-list 命名列表

(仅 MX 系列)匹配已命名列表中的 IPv6 源地址

ipv6-address address

(仅 MX 系列和 EX9200)128位地址,支持 IPv6 地址的标准语法。从 Junos OS 14.2 开始,在 MX 系列和 EX9200 交换机上支持防火墙系列网桥 IPv6 匹配标准。

ipv6-destination-address address

(仅限 MX 系列和 EX9200)128位地址,是此数据包的最终目标节点地址。请注意,使用此术语时,必须在ether-type IPv6同一术语上定义匹配条件。

ipv6-destination-prefix-list 命名列表

(仅 MX 系列)匹配已命名列表中的 IPv6 目标地址

ipv6-next-header 协议

仅限 MX 系列)匹配 IPv6 下一个标头协议类型。

以下列表显示协议支持的

  • ah—IP 安全认证头

  • dstopts—IPv6 目标选项

  • egp—外部网关协议

  • esp—IPSec 封装安全有效负载

  • fragment—IPv6 分片标头

  • gre—通用路由封装

  • hop-by-hop—IPv6 逐跳选项

  • icmp—互联网控制信息协议

  • icmp6—互联网控制消息协议版本 6

  • igmp—互联网组管理协议

  • ipip—IP 中 IP

  • ipv6— IP 中的 IPv6

  • no-next-header—IPv6 无下一个标头

  • ospf—开放最短路径优先

  • pim—协议无关组播

  • routing—IPv6 路由标头

  • rsvp—资源预留协议

  • sctp—流控制传输协议

  • tcp—传输控制协议

  • udp— 用户数据报协议

  • vrrp—虚拟路由器冗余协议

ipv6-next-header-except 协议

仅限 MX 系列)不匹配 IPv6 下一标头协议类型。

ipv6-payload-protocol 协议

仅限 MX 系列)匹配 IPv6 有效负载协议类型。

以下列表显示协议支持的

  • ah—IP 安全认证头

  • dstopts—IPv6 目标选项

  • egp—外部网关协议

  • esp—IPSec 封装安全有效负载

  • fragment—IPv6 分片标头

  • gre—通用路由封装

  • hop-by-hop—IPv6 逐跳选项

  • icmp—互联网控制信息协议

  • icmp6—互联网控制消息协议版本 6

  • igmp—互联网组管理协议

  • ipip—IP 中 IP

  • ipv6— IP 中的 IPv6

  • no-next-header—IPv6 无下一个标头

  • ospf—开放最短路径优先

  • pim—协议无关组播

  • routing—IPv6 路由标头

  • rsvp—资源预留协议

  • sctp—流控制传输协议

  • tcp—传输控制协议

  • udp— 用户数据报协议

  • vrrp—虚拟路由器冗余协议

ipv6-payload-protocol-except 协议

仅限 MX 系列)不匹配 IPv6 有效负载协议。

ipv6-prefix-list 命名列表

(仅 MX 系列)匹配已命名列表中的 IPv6 地址

ipv6-source-address address

(仅 MX 系列)128位地址,是此数据包的原始源节点地址。

ipv6-traffic-class 编号

仅限 MX 系列)差异化服务代码点(DSCP)。DiffServ 协议使用 IP 标头中的服务类型(ToS)字节。此字节最重大的 6 位构成 DSCP。有关详细信息,请参阅了解行为聚合分类器如何区分可信流量

您可以从到063中指定一个数字值。要以十六进制形式指定值,请将0x其作为前缀包括在内。要以二进制格式指定值,请将b其包含为前缀。

为了代替数值,您可以指定以下文本同义词之一(也列出了这些字段值):

  • RFC 3246, 加速转发 PHB(单跳行为),定义一个代码点:ef(46).

  • RFC 2597,保证转发 PHB组 ,定义了 4 个类,每个类有 3 个丢弃优先级,总共 12 个代码点:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except 编号

不匹配 DSCP number

learn-vlan-1p-priority number

(仅 MX 系列路由器、M320路由器和 EX 系列交换机)在 IEEE 802.1p 上匹配在提供商 VLAN 标记中学习 VLAN 优先级位(具有 802.1Q VLAN 标记的单标记帧中的唯一标记,或包含 802.1Q VLAN 标记的双标记帧中的外部标记)。0通过7指定一个或多个值。

user-vlan-1p-priority match 条件进行比较。

注:

此匹配条件支持 MX 系列路由器和 M320 路由器的控制词的存在。

learn-vlan-1p-priority-except number

(仅 MX 系列路由器、M320路由器和 EX 系列交换机)在 802.1p 学习IEEE位时,不相符。有关详细信息,请learn-vlan-1p-priority参阅 match 条件。

注:

此匹配条件支持 MX 系列路由器和 M320 路由器的控制词的存在。

learn-vlan-dei

(仅适用于 MX 系列路由器和 EX 系列交换机)匹配用户 VLAN ID 丢弃 eligability 指示符(DEI)位。

learn-vlan-dei-excep\t

(仅适用于 MX 系列路由器和 EX 系列交换机)不匹配用户 VLAN ID DEI 位。

learn-vlan-id number

(仅适用于 MX 系列路由器和 EX 系列交换机)用于 MAC 学习的 VLAN 标识符。

learn-vlan-id-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)不匹配用于 MAC 学习的 VLAN 标识符。

loss-priority level

数据包丢失优先级(PLP)级别。指定一个级别或多个级别:lowmedium-lowmedium-highhigh

在路由器M120路由器M320;M7i CFEB (CFEB-E) M10i路由器的路由器连接;和 MX 系列路由器。

对于带增强型 II 灵活 PIC 集中器 (FPC) 和 EX 系列交换机的 M320、MX 系列和 T Series 路由器上的 IP 流量,您必须在 层次结构级别包含 语句,以提交采用四个级别中任何一个级别的 tri-color PLP 配置。 [edit class-of-service] 如果未tri-color启用该语句,则只能配置highlow级别。这适用于所有协议系列。

有关该tri-color语句的信息以及如何使用行为聚合(BA)分类器设置已传入数据包的 PLP 级别,请参阅了解转发类如何将类分配给输出队列

loss-priority-except level

在数据包丢失优先级级别上不匹配。指定一个级别或多个级别:lowmedium-lowmedium-highhigh

有关使用行为聚合(BA)分类器设置所传入数据包的 PLP 级别的信息,请参阅了解行为聚合分类器如何区分可信流量

port number

(仅适用于 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 源或目标端口。不能在同一术语port中同时指定 match 条件destination-portsource-port or match 条件。

port-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)在 TCP 或 UDP 源或目标端口上不匹配。不能在同一术语port中同时指定 match 条件destination-portsource-port or match 条件。

prefix-list name

(仅适用于 MX 系列路由器和 EX 系列交换机)与指定列表中的目标或源前缀匹配。指定在[edit policy-options prefix-list prefix-list-name] 层次结构级别定义的前缀列表的名称。

注:

VPLS 前缀列表仅支持 IPV4 地址。包含在 VPLS 前缀列表中的 IPV6 地址将被丢弃。

prefix-list name except

(仅适用于 MX 系列路由器和 EX 系列交换机)与指定列表中的目标或源前缀不匹配。有关详细信息,请参阅destination-prefix-list match 条件。

source-mac-address address

VPLS 数据包的源 MAC 地址。

source-port number

(仅适用于 MX 系列路由器和 EX 系列交换机)TCP 或 UDP 源端口字段。不能在同一port术语source-port中指定和匹配条件。

source-port-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)在 TCP 或 UDP 源端口字段上不匹配。不能在同一port术语source-port中指定和匹配条件。

source-prefix-list name

(仅 ACX 系列路由器、MX 系列路由器和 EX 系列交换机)匹配指定前缀列表中的源前缀。指定在[edit policy-options prefix-list prefix-list-name]层次结构级别定义的前缀列表名称。

注:

VPLS 前缀列表仅支持 IPV4 地址。包含在 VPLS 前缀列表中的 IPV6 地址将被丢弃。

source-prefix-list name except

(仅适用于 MX 系列路由器和 EX 系列交换机)与指定前缀列表中的源前缀不匹配。有关详细信息,请参阅source-prefix-list match 条件。

tcp-flags flags

匹配 TCP 标头的 8 位 TCP 标记字段中的一个或多个低顺序 6 位。

要指定单个位域,可指定以下文本同义词或十六进制值:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

在 TCP 会话中,SYN 标志仅在发送的初始数据包中设置,而在初始数据包后发送的所有数据包中设置 ACK 标志。

您可以使用位字段逻辑运算符将多个标志组合在一起。

如果为 IPv6 流量配置此匹配条件,则建议您同时在同一术语中next-header tcp配置匹配条件,以指定端口上正在使用 TCP 协议。

traffic-type type-name

(仅适用于 MX 系列路由器和 EX 系列交换机)信息流类型。指定broadcastmulticastunknown-unicast、或known-unicast

traffic-type-except type-name

(仅适用于 MX 系列路由器和 EX 系列交换机)不与流量类型匹配。指定broadcastmulticastunknown-unicast、或known-unicast

user-vlan-1p-priority number

(仅 MX 系列路由器、M320 路由器和 EX 系列交换机)匹配客户 VLAN 标记中的 IEEE 802.1 p 用户优先级位(带有 802.1 Q VLAN 标记的双标记帧内的内部标记)。0通过7指定一个或多个值。

learn-vlan-1p-priority match 条件进行比较。

注:

此匹配条件支持 MX 系列路由器和 M320 路由器的控制词的存在。

user-vlan-1p-priority-except number

(仅 MX 系列路由器、M320 rouer 和 EX 系列交换机)在 IEEE 802.1 p 用户优先级位上不匹配。有关详细信息,请user-vlan-1p-priority参阅 match 条件。

注:

此匹配条件支持 MX 系列路由器和 M320 路由器的控制词的存在。

user-vlan-id number

(仅适用于 MX 系列路由器和 EX 系列交换机)匹配作为有效负载一部分的第一个 VLAN 标识符。

user-vlan-id-except number

(仅适用于 MX 系列路由器和 EX 系列交换机)不匹配作为有效载荷一部分的第一个 VLAN 标识符。

vlan-ether-type value

VPLS 数据包的 VLAN 以太网类型字段。

vlan-ether-type-except value

不匹配 VPLS 数据包的 VLAN 以太网类型字段。

发布历史记录表
版本
说明
14.2
从 Junos OS 14.2 开始,防火墙层次结构配置中支持灵活的偏移过滤器。
14.2
从 Junos OS 14.2 开始,在 MX 系列和 EX9200 交换机上支持防火墙系列网桥 IPv6 匹配标准。