Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter-Übereinstimmungsbedingungen für Layer-2-Bridging-Datenverkehr

Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie einen standardmäßigen zustandslosen Firewall-Filter mit übereinstimmungen Bedingungen für Layer-2-Bridging-Datenverkehr konfigurieren (family bridge). Beschreibt die match-conditions Konfiguration auf Hierarchieebene [edit firewall family bridge filter filter-name term term-name from]Tabelle 1.

Tabelle 1: Standard-Firewall-Filter-Übereinstimmungsbedingungen für Layer 2 Bridging (nur Router der MX-Serie und Switches der EX-Serie)

Übereinstimmungsbedingung

Beschreibung

destination-mac-address address

Mac-Adresse (Destination Media Access Control) eines Layer-2-Pakets in einer Bridging-Umgebung.

destination-port number

TCP- oder UDP-Zielportfeld. Sie können nicht sowohl die Bedingungen als auch die portdestination-port Übereinstimmungsbedingungen desselben Begriffs angeben.

destination-port-except

Nicht mit dem TCP/UDP-Zielport übereinstimmen.

destination-prefix-list named-list

Stimmen Sie die IP-Ziel-Präfixe in einem ab named-list.

dscp number

Differenzierter Service-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type of Service) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Understanding How Behavior Aggregate Classifiers Priorisieren des vertrauenswürdigen Datenverkehrs.

Sie können einen numerischen Wert von bis 063angeben. Um den Wert in hexadezimaler Form anzugeben, fügen Sie 0x den Wert als Präfix ein. Um den Wert in binärer Form anzugeben, fügen Sie b diesen als Präfix ein.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior) definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

af11(10), af12 (12), af13 (14),

af21(18), af22 (20), af23 (22),

af31(26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

Nicht mit der DSCP-Nummer übereinstimmen. Weitere Informationen finden Sie in der Übereinstimmungsbedingung dscp-except .

ether-type value

Passen Sie das Feld 2-Oktett IEEE 802.3 Länge/EtherType dem angegebenen Wert oder der Werteliste an.

Sie können Dezimal- oder Hexadezimalwerte von 0 bis 65535 (0xFFFF) angeben. Ein Wert von 0 bis 1500 (0x05DC) gibt die Länge eines Ethernet-Version 1-Frames an. Ein Wert von 1536 (0x0600) bis 65535 gibt den EtherType (Natur des MAC-Clientprotokolls) eines Ethernet Version 2-Frames an.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die hexadezimalen Werte werden ebenfalls aufgeführt): aarp(0x80F3), 0x809B, arp 0x0806, ipv4 0x0800, ipv6 0x86DD, mpls-unicastmpls-multicast 0x8848, 0x8847 oam , 0x8902, ppp 0x880B, pppoe-sessionpppoe-discovery 0x8863, 0x8864 sna und 0x80D5. appletalk

Anmerkung:

Beim Abgleichen der IP-Adresse bzw. IPv6-Adresse muss auch der Ether-Typ IPv4 bzw. IPv6 angegeben werden, um übereinstimmungen nur auf den IP-Datenverkehr zu begrenzen.

ether-type-except value

Passen Sie das Feld ieee 802.3 Länge/EtherType nicht mit dem angegebenen Wert oder der Werteliste an.

Weitere Informationen zur Angabe von values, finden Sie in der Übereinstimmungsbedingung ether-type .

flexible-match-mask value

bit-length

Länge der Daten, die in Bits abgegleicht werden müssen, für String-Eingaben nicht erforderlich (0.128)

bit-offset

Bit-Offset nach dem (Match-Start + Byte)-Offset (0,7)

byte-offset

Byte-Offset nach dem Übereinstimmungs-Startpunkt

flexible-mask-name

Flexible Übereinstimmung aus vordefiniertem Vorlagenfeld auswählen

mask-in-hex

Maskieren Sie Bits in den paketzugleichenden Daten

match-start

Startpunkt, der im Paket abgleicht

prefix

Wertdaten/Zeichenfolge, die angepasst werden sollen

 

flexible-match-range value

bit-length

Länge der in Bits übereinstimmenden Daten (0..32)

bit-offset

Bit-Offset nach dem (Match-Start + Byte)-Offset (0,7)

byte-offset

Byte-Offset nach dem Übereinstimmungs-Startpunkt

flexible-range-name

Flexible Übereinstimmung aus vordefiniertem Vorlagenfeld auswählen

match-start

Startpunkt, der im Paket abgleicht

range

Bereich der zu übereinstimmenden Werte

range-except

Nicht mit diesem Wertebereich übereinstimmen

 

forwarding class class

Weiterleitungsklasse. Angeben assured-forwarding, best-effort, expedited-forwardingoder network-control.

forwarding-class-except class

Ethernet-Typfeld einer Layer-2-Paketumgebung. Angeben assured-forwarding, best-effort, expedited-forwardingoder network-control.

icmp-code message-code

Passen Sie das ICMP-Nachrichtencodefeld an.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die ip-protocol icmpBedingung " , ip-protocol icmp6" oder ip-protocol icmpv6 "Match" desselben Ausdrucks konfigurieren.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die Übereinstimmungsbedingung icmp-type message-type desselben Begriffs konfigurieren. Ein ICMP-Nachrichtencode liefert spezifischere Informationen als ein ICMP-Nachrichtentyp, aber die Bedeutung eines ICMP-Nachrichtencodes hängt vom zugehörigen ICMP-Nachrichtentyp ab.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt). Die Keywords werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

  • Parameterproblem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • Zeitüberschreitung: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • Ziel nicht erreichbar: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Stimmen Sie nicht mit dem ICMP-Nachrichtencodefeld überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung icmp-code .

icmp-type message-type

Passen Sie das Feld für den ICMP-Meldungstyp an.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die ip-protocol icmpBedingung " , ip-protocol icmp6" oder ip-protocol icmpv6 "Match" desselben Ausdrucks konfigurieren.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt): destination-unreachable(1), echo-reply (129), echo-request (128), membership-query (130), membership-report (131), membership-termination (132), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), (2), packet-too-bigparameter-problem (4), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) oder time-exceeded (3).

icmp-type-except message-type

Stimmen Sie nicht mit dem Feld mit dem ICMP-Nachrichtentyp überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung icmp-type .

interface interface-name

Schnittstelle, an der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, an der sie empfangen wurden, abgleicht.

Anmerkung:

Wenn Sie diese Übereinstimmungsbedingung mit einer nicht vorhandenen Schnittstelle konfigurieren, entspricht der Begriff nicht jedem Paket.

interface-group group-number

Passen Sie die logische Schnittstelle, an der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder der Gruppe von Schnittstellengruppen an. Geben group-numberSie für einen einzelnen Wert oder Wertebereich von bis 0255.

Um einer Schnittstellengruppe group-numbereine logische Schnittstelle zuzuweisen, geben Sie die group-number auf Hierarchieebene [interfaces interface-name unit number family family filter group] an.

Weitere Informationen finden Sie unter Übersicht über das Filtern von Paketen, die auf einer Reihe von Schnittstellengruppen empfangen wurden.

interface-group-except number

Passen Sie die logische Schnittstelle, an der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder der Gruppe von Schnittstellengruppen an. Weitere Informationen finden Sie in der Übereinstimmungsbedingung interface-group .

interface-set interface-set-name

Stimmen Sie die Schnittstelle, auf der das Paket empfangen wurde, mit dem angegebenen Schnittstellensatz ab.

Um einen Schnittstellensatz zu definieren, fügen Sie die interface-set Anweisung auf Hierarchieebene [edit firewall] ein. Weitere Informationen finden Sie unter Übersicht über das Filtern von Paketen, die auf einem Schnittstellensatz empfangen wurden.

ip-address address

32-Bit-Adresse, die die Standardsyntax für IPv4-Adressen unterstützt.

Anmerkung:

Um die Übereinstimmungen nur auf IPv4-Datenverkehr zu begrenzen, muss auch der Ether-Typ ipv4 mit dem gleichen Begriff angegeben werden.

ip-destination-address address

32-Bit-Adresse, die die endgültige Zielknotenadresse für das Paket ist.

ip-precedence ip-precedence-field

IP-Rangfolgefeld. Anstelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt): critical-ecp(0xa0), flash 0x60, flash-override 0x80, immediate 0x40, internet-control 0xc0, net-control 0xe0, priority 0x20 oder routine 0x00.

ip-precedence-except ip-precedence-field

Nicht mit dem IP-Rangfolgefeld übereinstimmen.

ip-protocol number

IP-Protokollfeld.

ip-protocol-except

Nicht mit dem IP-Protokolltyp übereinstimmen.

ip-source-address address

IP-Adresse des Quellknotens, der das Paket sendet.

ipv6-address address

(nur MX-Serie) 128-Bit-Adresse, die die Standardsyntax für IPv6-Adressen unterstützt.

Anmerkung:

Um die Übereinstimmungen nur auf IPv6-Datenverkehr zu begrenzen, muss auch der Ether-Typ ipv6 mit dem gleichen Begriff angegeben werden.

ipv6-destination-address address

(nur MX-Serie) 128-Bit-Adresse, die die endgültige Zielknotenadresse für dieses Paket ist.

ipv6-destination-prefix-list named-list

(nur MX-Serie) Stimmen Sie die IPv6-Zieladressen in einem ab named-list.

ipv6-next-header protocol

(nur MX-Serie) Passen Sie den nächsten IPv6-Header-Protokolltyp an.

Die folgende Liste zeigt die unterstützten Werte für protocol:

  • ah—IP-Sicherheitsauthentifizierungs-Header

  • dstopts— IPv6-Zieloptionen

  • egp— Exterieur-Gateway-Protokoll

  • esp— IPSec Kapselung der Sicherheitsnutzlast

  • fragment— IPv6-Fragment-Header

  • gre— Generische Routing-Einkapselung

  • hop-by-hop— IPv6 Hop-by-Hop-Optionen

  • icmp— Internet Control Message Protocol

  • icmp6– Internet Control Message Protocol Version 6

  • igmp— Internet Group Management Protocol

  • ipip— IP in IP

  • ipv6— IPv6 in IP

  • no-next-header— IPv6, kein nächster Header

  • ospf— Open Shortest Path First (Kürzester Pfad zuerst öffnen)

  • pim— Protokollunabhängiger Multicast

  • routing— IPv6-Routing-Header

  • rsvp— Ressourcenreservierungsprotokoll

  • sctp– Stream Control Transmission Protocol

  • tcp— Transmission Control Protocol

  • udp— Benutzerdatengrammprotokoll

  • vrrp— Virtual Router Redundancy Protocol

ipv6-next-header-except protocol

(nur MX-Serie) Nicht mit dem IPv6 Next Header Protocol-Typ übereinstimmen.

ipv6-payload-protocol protocol

(nur MX-Serie) IPv6-Payload-Protokolltyp anpassen.

Die folgende Liste zeigt die unterstützten Werte für protocol:

  • ah—IP-Sicherheitsauthentifizierungs-Header

  • dstopts— IPv6-Zieloptionen

  • egp— Exterieur-Gateway-Protokoll

  • esp— IPSec Kapselung der Sicherheitsnutzlast

  • fragment— IPv6-Fragment-Header

  • gre— Generische Routing-Einkapselung

  • hop-by-hop— IPv6 Hop-by-Hop-Optionen

  • icmp— Internet Control Message Protocol

  • icmp6– Internet Control Message Protocol Version 6

  • igmp— Internet Group Management Protocol

  • ipip— IP in IP

  • ipv6— IPv6 in IP

  • no-next-header— IPv6, kein nächster Header

  • ospf— Open Shortest Path First (Kürzester Pfad zuerst öffnen)

  • pim— Protokollunabhängiger Multicast

  • routing— IPv6-Routing-Header

  • rsvp— Ressourcenreservierungsprotokoll

  • sctp– Stream Control Transmission Protocol

  • tcp— Transmission Control Protocol

  • udp— Benutzerdatengrammprotokoll

  • vrrp— Virtual Router Redundancy Protocol

ipv6-payload-protocol-except protocol

(nur MX-Serie) Nicht mit dem IPv6-Nutzdatenprotokoll übereinstimmen.

ipv6-prefix-list named-list

(nur MX-Serie) Stimmen Sie die IPv6-Adresse in einem ab named-list.

ipv6-source-address address

(nur MX-Serie) 128-Bit-Adresse, die die Ursprungsknotenadresse für dieses Paket ist.

ipv6-source-prefix-list named-list

(nur MX-Serie) Stimmen Sie die IPv6-Quelladresse in einer ab named-list.

ipv6-traffic-class number

(nur MX-Serie) Differenzierter Service-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type of Service) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Understanding How Behavior Aggregate Classifiers Priorisieren des vertrauenswürdigen Datenverkehrs.

Sie können einen numerischen Wert von bis 063angeben. Um den Wert in hexadezimaler Form anzugeben, fügen Sie 0x den Wert als Präfix ein. Um den Wert in binärer Form anzugeben, fügen Sie b diesen als Präfix ein.

Anstelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgeführt):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior) definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

af11(10), af12 (12), af13 (14),

af21(18), af22 (20), af23 (22),

af31(26), af32 (28), af33 (30),

af41(34), af42 (36), af43 (38)

ipv6-traffic-class-except number

Nicht mit DSCP numberübereinstimmen.

isid number

(Unterstützt mit Provider Backbone Bridging [PBB]) Internet Service Identifier anpassen.

isid-dei number

(Wird mit PBB unterstützt) Passen Sie das Internet Service Identifier Drop Eligibility Indicator (DEI)-Bit an.

isid-dei-except number

(Wird mit PBB unterstützt) Stimmen Sie nicht mit dem INTERNET SERVICE Identifier DEI-Bit überein.

isid-priority-code-point number

(Wird mit PBB unterstützt) Passen Sie den Codepunkt für die Internet Service Identifier-Priorität an.

isid-priority-code-point-except number

(Wird mit PBB unterstützt) Stimmen Sie nicht mit dem Internet Service Identifier-Prioritätscodepunkt überein.

learn-vlan-1p-priority value

(nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung mit den erlernten VLAN-Prioritätsbits nach IEEE 802.1p im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von bis 7an0.

Vergleichen Sie mit der Übereinstimmungsbedingung user-vlan-1p-priority .

learn-vlan-1p-priority-except value

(nur Router der MX-Serie und Switches der EX-Serie) Stimmen Sie nicht mit den gelernten VLAN-Prioritätsbits nach IEEE 802.1p überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung learn-vlan-1p-priority .

learn-vlan-dei number

(Unterstützt durch Bridging) Match user virtual LAN (VLAN)-Identifier DEI-Bit.

learn-vlan-dei-except number

(Unterstützt durch Bridging) Stimmen Sie nicht mit dem BENUTZER-VLAN-Identifikator DEI-Bit überein.

learn-vlan-id number

VLAN-Kennung, die für mac-Learning verwendet wird.

learn-vlan-id-except number

Stimmen Sie nicht mit dem VLAN-Identifikator überein, der für das MAC-Lernen verwendet wird.

loss-priority level

Paketverlustprioritätsebene (PLP). Geben Sie eine einzelne oder mehrere Ebenen an: low, medium-low, medium-highoder high.

Wird auf M120- und M320-Routern unterstützt; M7i- und M10i-Router mit enhanced CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie.

Für IP-Datenverkehr auf Routern der M320-, MX- und T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die tri-color Anweisung auf Hierarchieebene [edit class-of-service] angeben, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die high Ebenen konfigurieren low . Dies gilt für alle Protokollfamilien.

Informationen zur tri-color Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungs-Policern. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues.

loss-priority-except level

Nicht auf der Prioritätsebene für Paketverluste übereinstimmen. Geben Sie eine einzelne oder mehrere Ebenen an: low, medium-low, medium-highoder high.

Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Behavior Aggregate Classifiers Priorisieren des vertrauenswürdigen Datenverkehrs.

port number

TCP- oder UDP-Quell- oder Zielport. Sie können nicht sowohl die Übereinstimmungsbedingung port als auch die destination-port Oder-Übereinstimmungsbedingungen source-port desselben Begriffs angeben.

source-mac-address address

Quell-MAC-Adresse eines Layer-2-Pakets.

source-port number

TCP- oder UDP-Quellportfeld. Sie können die Bedingungen und portsource-port Übereinstimmungen nicht im selben Begriff angeben.

source-port-except

Nicht mit dem TCP/UDP-Quellport übereinstimmen.

tcp-flags flags

Passen Sie mindestens eins der 6-Bit mit niedriger Reihenfolge im 8-Bit-TCP-Flags-Feld im TCP-Header an.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Text synonyme oder Hexadezimalwerte angeben:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur im ersten gesendeten Paket festgelegt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ersten Paket gesendet werden.

Sie können mehrere Flags mithilfe der logischen Bitfeld-Operatoren aneinanderreihen.

Die Konfiguration der Übereinstimmungsbedingung tcp-flags erfordert die Konfiguration der Übereinstimmungsbedingung next-header-tcp .

traffic-type type

Datenverkehrstyp. Angeben broadcast, multicast, unknown-unicastoder known-unicast.

traffic-type-except type

Nicht mit dem Datenverkehrstyp übereinstimmen.

user-vlan-1p-priority value

(nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von bis 7an0.

Vergleichen Sie mit der Übereinstimmungsbedingung learn-vlan-1p-priority .

user-vlan-1p-priority-except value

(nur Router der MX-Serie und Switches der EX-Serie) Stimmen Sie nicht mit den Ieee 802.1p-Benutzerprioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung user-vlan-1p-priority .

user-vlan-id number

(nur Router der MX-Serie und Switches der EX-Serie) Passen Sie den ersten VLAN-Identifikator an, der Teil des Payloads ist.

user-vlan-id-except number

(nur Router der MX-Serie und Switches der EX-Serie) Stimmen Sie nicht mit dem ersten VLAN-Identifikator überein, der Teil des Payloads ist.

vlan-ether-type value

VLAN-Ethernet-Typfeld eines Layer-2-Bridging-Pakets.

vlan-ether-type-except value

Nicht mit dem VLAN-Ethernet-Typfeld eines Layer-2-Bridging-Pakets übereinstimmen.