Firewall-Filter stimmen bedingungen für Layer-2-Bridging-Datenverkehr ab

Mac-Adresse (Destination Media Access Control) eines Layer-2-Pakets in einer Bridging-Umgebung.

TCP- oder UDP-Zielport-Feld. Sie können sowohl die Bedingungen als destination-port auch die port Übereinstimmungsbedingungen nicht mit demselben Begriff angeben.

Passen Sie nicht den TCP/UDP-Zielport an.

Passen Sie die IP-Zielpräfixe in einer named-list.

Differenzierter Services-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das Typ-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Verständnis, wie Verhaltensklassifizierer vertrauenswürdigen Datenverkehr priorisieren.

Sie können einen numerischen Wert von bis 063. Um den Wert in hexadezimaler Form anzugeben, schließen Sie 0x als Prefix ein. Um den Wert in binärer Form anzugeben, schließen Sie sie b als Prefix ein.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt):

• RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

• RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Rangfolgen in jeder Klasse für insgesamt 12 Codepunkte:

af11(10), af12 (12), af13 (14),

af21(18), af22 (20), af23 (22),

af31(26), af32 (28), af33 (30),

af41(34), af42 (36), af43 (38)

Nicht auf der DSCP-Nummer abgleichen. Weitere Informationen finden Sie unter der Übereinstimmungsbedingung dscp-except .

Passen Sie das 2-Oktett-IEEE 802.3 Length/EtherType-Feld mit dem angegebenen Wert oder der Angegebenen Liste von Werten ab.

Sie können Dezimal- oder Hexadezimalwerte von 0 bis 65535 (0xFFFF) angeben. Ein Wert von 0 bis 1500 (0x05DC) gibt die Länge eines Ethernet Version 1-Frames an. Ein Wert von 1536 (0x0600) bis 65535 gibt den EtherType (Natur des MAC-Client-Protokolls) eines Ethernet-Frames der Version 2 an.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die hexadezimalen Werte sind auch aufgeführt): aarp(0x80F3), appletalk (0x809B), arp (0x0806), ipv4 (0x0800), ipv6 (0x86DD), mpls-multicast (0x8848), mpls-unicast (0x8847), oam (0x8902), ppp (0x880B), pppoe-discovery (0x8863), pppoe-session (0x8864), sna (0x80D5).

Passen Sie das 2-Oktett-IEEE 802.3 Length/EtherType-Feld nicht mit dem angegebenen Wert oder der Angegebenen Liste von Werten ab.

Weitere Informationen zum Festlegen von , finden valuesSie unter der Übereinstimmungsbedingung ether-type .

Länge der daten, die in Bits abgeglichen werden müssen, nicht erforderlich für String-Eingabe (0..128)

Bit-Offset nach dem Offset (Match-Start + Byte) (0..7)

Byte-Offset nach dem Spielbeginn

Wählen Sie eine flexible Übereinstimmung aus dem vordefinierten Vorlagenfeld aus.

Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen

Startpunkt zum Abgleich in Paket

Wertdaten/Strings, die abgeglichen werden sollen

Länge der abzugleichenden Daten in Bits (0..32)

Bit-Offset nach dem Offset (Match-Start + Byte) (0..7)

Byte-Offset nach dem Spielbeginn

Wählen Sie eine flexible Übereinstimmung aus dem vordefinierten Vorlagenfeld aus.

Startpunkt zum Abgleich in Paket

Bereich von Werten, die abgeglichen werden müssen

Diesen Wertebereich darf nicht übereinstimmen

Forwarding-Klasse. Angebenassured-forwarding, best-effort, oder expedited-forwardingnetwork-control.

Ethernet-Typ-Feld einer Layer-2-Paketumgebung. Angebenassured-forwarding, best-effort, oder expedited-forwardingnetwork-control.

Passen Sie das ICMP-Nachrichtencode-Feld an.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, auch die ip-protocol icmpBedingung , ip-protocol icmp6oder ip-protocol icmpv6 Übereinstimmungsbedingung mit demselben Begriff zu konfigurieren.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die Übereinstimmungsbedingung icmp-type message-type mit demselben Begriff konfigurieren. Ein ICMP-Nachrichtencode liefert spezifischere Informationen als ein ICMP-Nachrichtentyp, aber die Bedeutung eines ICMP-Nachrichtencodes hängt vom zugehörigen ICMP-Nachrichtentyp ab.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte werden auch aufgeführt). Die Keywords werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

• Parameter-Problem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

• Zeit überschritten: ttl-eq-zero-during-reassembly(1, ttl-eq-zero-during-transit 0)

• Ziel nicht erreichbar: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

Stimmen Sie das ICMP-Nachrichtencodefeld nicht ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung icmp-code .

Passen Sie das ICMP-Nachrichtentyp-Feld ab.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, auch die ip-protocol icmpBedingung , ip-protocol icmp6oder ip-protocol icmpv6 Übereinstimmungsbedingung mit demselben Begriff zu konfigurieren.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt): destination-unreachable(1), echo-reply (129), echo-request (128), membership-query (130), membership-report (131), membership-termination (132), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) oder time-exceeded (3).

Stimmen Sie das ICMP-Nachrichtentypfeld nicht ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung icmp-type .

Schnittstelle, auf der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Paketen entspricht, basierend auf der Schnittstelle, über die sie empfangen wurden.

Passen Sie die logische Schnittstelle, über die das Paket empfangen wurde, an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen ab. Für group-numbergeben Sie einen einzelnen Wert oder einen Bereich von Werten von bis 0 .255

Um einer Schnittstellengruppe group-numbereine logische Schnittstelle zuzuweisen, geben Sie die group-number auf [interfaces interface-name unit number family family filter group] Hierarchieebene an.

Weitere Informationen finden Sie unter Filtern von Paketen, die über eine Reihe von Schnittstellengruppen empfangen werden – Übersicht.

Passen Sie nicht die logische Schnittstelle an, über die das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Weitere Informationen finden Sie in der Übereinstimmungsbedingung interface-group .

Passen Sie die Schnittstelle, auf der das Paket empfangen wurde, an den angegebenen Schnittstellensatz ab.

Um einen Schnittstellensatz zu definieren, fügen Sie die interface-set Anweisung auf [edit firewall] Hierarchieebene ein. Weitere Informationen finden Sie unter Filterung von Paketen, die über einen Schnittstellensatz empfangen werden.

32-Bit-Adresse, die die Standardsyntax für IPv4-Adressen unterstützt.

32-Bit-Adresse, die die endgültige Zielknotenadresse für das Paket ist.

IP-Rangfolgefeld. Anstelle des numerischen Feldwerts können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) oder routine (0x00).

Im Feld "IP-Rangfolge" nicht übereinstimmen.

IP-Protokollfeld.

Passen Sie nicht den IP-Protokolltyp an.

IP-Adresse des Quellknotens, der das Paket sendet.

(nur MX-Serie) 128-Bit-Adresse, die die Standardsyntax für IPv6-Adressen unterstützt.

(nur MX-Serie) 128-Bit-Adresse, die die letzte Zielknotenadresse für dieses Paket ist.

(nur MX-Serie) Passen Sie die IPv6-Zieladressen in einer named-list.

(nur MX-Serie) Passen Sie den IPv6-Protokolltyp des nächsten Headers ab.

Die folgende Liste zeigt die unterstützten Werte für protocol:

• ah— IP-Sicherheitsauthentifizierungs-Header

• dstopts— IPv6-Zieloptionen

• egp— Externes Gateway-Protokoll

• esp— IPSec-Kapselung von Sicherheits-Payload

• fragment—IPv6-Fragment-Header

• gre—Generische Routing-Kapselung

• hop-by-hop—IPv6-Hop-für-Hop-Optionen

• icmp—Internet Control Message Protocol

• icmp6—Internet Control Message Protocol Version 6

• igmp—Internet Group Management Protocol

• ipip—IP in IP

• ipv6—IPv6 in IP

• no-next-header—IPv6 ohne Next-Header

• ospf—Open Shortest Path First (Open Shortest Path First)

• pim—Protokollunabhängiger Multicast

• routing—IPv6-Routing-Header

• rsvp— Resource Reservation Protocol

• sctp—Stream Control Transmission Protocol

• tcp—Transmission Control Protocol

• udp—User Datagram Protocol

• vrrp–Virtual Router Redundancy Protocol

(nur MX-Serie) Passen Sie nicht den IPv6-Protokolltyp des nächsten Headers an.

ipv6-payload-protocol protocol

(nur MX-Serie) IPv6-Payload-Protokolltyp übereinstimmen.

Die folgende Liste zeigt die unterstützten Werte für protocol:

• ah— IP-Sicherheitsauthentifizierungs-Header

• dstopts— IPv6-Zieloptionen

• egp— Externes Gateway-Protokoll

• esp— IPSec-Kapselung von Sicherheits-Payload

• fragment—IPv6-Fragment-Header

• gre—Generische Routing-Kapselung

• hop-by-hop—IPv6-Hop-für-Hop-Optionen

• icmp—Internet Control Message Protocol

• icmp6—Internet Control Message Protocol Version 6

• igmp—Internet Group Management Protocol

• ipip—IP in IP

• ipv6—IPv6 in IP

• no-next-header—IPv6 ohne Next-Header

• ospf—Open Shortest Path First (Open Shortest Path First)

• pim—Protokollunabhängiger Multicast

• routing—IPv6-Routing-Header

• rsvp— Resource Reservation Protocol

• sctp—Stream Control Transmission Protocol

• tcp—Transmission Control Protocol

• udp—User Datagram Protocol

• vrrp–Virtual Router Redundancy Protocol

(nur MX-Serie) Passen Sie nicht das IPv6-Payload-Protokoll an.

(nur MX-Serie) Passen Sie die IPv6-Adresse in einer named-list.

(nur MX-Serie) 128-Bit-Adresse, die die Ursprungs-Quellknotenadresse für dieses Paket ist.

(nur MX-Serie) Passen Sie die IPv6-Quelladresse in einer named-list.

(nur MX-Serie) Differenzierter Services-Codepunkt (DSCP). Das DiffServ-Protokoll verwendet das Typ-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Verständnis, wie Verhaltensklassifizierer vertrauenswürdigen Datenverkehr priorisieren.

Sie können einen numerischen Wert von bis 063. Um den Wert in hexadezimaler Form anzugeben, schließen Sie 0x als Prefix ein. Um den Wert in binärer Form anzugeben, schließen Sie sie b als Prefix ein.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben (die Feldwerte sind auch aufgeführt):

• RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

• RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Rangfolgen in jeder Klasse für insgesamt 12 Codepunkte:

af11(10), af12 (12), af13 (14),

af21(18), af22 (20), af23 (22),

af31(26), af32 (28), af33 (30),

af41(34), af42 (36), af43 (38)

Nicht mit DSCP numberübereinstimmen.

(Unterstützt mit Provider Backbone Bridging [PBB]) Internetservice-Kennung abgleichen.

(Unterstützt mit PBB) Passen Sie das Dei-Bit (Internet Service Identifier Drop Eligibility Indicator) an.

(Unterstützt mit PBB) Stimmen Sie nicht das DEI-Bit für die Internetservice-Kennung ab.

(Unterstützt mit PBB) Passen Sie den Prioritätscodepunkt der Internetservice-Kennung an.

(Unterstützt mit PBB) Passen Sie nicht den Prioritätscodepunkt der Internetservice-Kennung an.

(Nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p gelernten VLAN-Prioritätsbits im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von 0 durch 7an.

Vergleichen Sie mit der Übereinstimmungsbedingung user-vlan-1p-priority .

(Nur Router der MX-Serie und Switches der EX-Serie) Passen Sie nicht auf den IEEE 802.1p gelernten VLAN-Prioritätsbits ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung learn-vlan-1p-priority .

(Unterstützt mit Bridging) Match User Virtual LAN (VLAN)-Kennung DEI-Bit.

(Unterstützt mit Bridging) Benutzer-VLAN-Kennung dei Bit nicht abgleichen.

VLAN-Kennung für MAC-Lernen verwendet.

Passen Sie nicht die VLAN-Kennung an, die für DAS MAC-Lernen verwendet wird.

Paketverlustpriorität (PLP)-Ebene. Geben Sie eine einzelne oder mehrere Ebenen an: low, medium-low, oder medium-highhigh.

Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit erweitertem CFEB (CFEB-E); und Routern der MX-Serie und Switches der EX-Serie.

Für IP-Datenverkehr auf Routern der M320, MX- und T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die tri-color Anweisung auf Hierarchieebene [edit class-of-service] angeben, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die Und-Ebenen lowhigh konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur tri-color Anweisung finden Sie unter Konfigurieren und Anwenden von Tricolor Marking Policern. Informationen zur Verwendung von Verhaltensaggregaten (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes dazu, wie Weiterleitungsklassen Klassen Ausgabewarteschlangen zuweisen.

Nicht auf der Prioritätsebene für Paketverlust abgleichen. Geben Sie eine einzelne oder mehrere Ebenen an: low, medium-low, oder medium-highhigh.

Informationen zur Verwendung von Verhaltensaggregaten (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie in Verstehen, wie Verhaltensklassifizierer vertrauenswürdigen Datenverkehr priorisieren.

TCP- oder UDP-Quell- oder Ziel-Port. Sie können nicht sowohl die Übereinstimmungsbedingung port als auch die Bedingungen für source-port die destination-port Übereinstimmung mit demselben Begriff angeben.

Quell-MAC-Adresse eines Layer-2-Pakets.

TCP- oder UDP-Quell-Port-Feld. Sie können die Bedingungen nicht mit demselben port Begriff angeben und source-port die Bedingungen abgleichen.

Passen Sie nicht den TCP/UDP-Quellport an.

Passen Sie ein oder mehrere der 6 Bits in niedriger Reihenfolge im Feld 8-Bit-TCP-Flags im TCP-Header an.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Text-Synonyme oder Hexadezimalwerte angeben:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur in dem ursprünglich gesendeten Paket festgelegt, während das ACK-Flag in allen Paketen festgelegt ist, die nach dem ersten Paket gesendet werden.

Sie können mehrere Flags mit den logischen Bitfeld-Operatoren zeichenfolgen.

Für die Konfiguration der tcp-flags Übereinstimmungsbedingung müssen Sie die Übereinstimmungsbedingung next-header-tcp konfigurieren.

Datenverkehrstyp. Angebenbroadcast, multicast, oder unknown-unicastknown-unicast.

Nicht mit dem Typ des Datenverkehrs übereinstimmen.

(Nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von 0 durch 7an.

Vergleichen Sie mit der Übereinstimmungsbedingung learn-vlan-1p-priority .

(Nur Router der MX-Serie und Switches der EX-Serie) Stimmen Sie nicht auf den IEEE 802.1p-Benutzerprioritätsbits ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung user-vlan-1p-priority .

(Nur Router der MX-Serie und Switches der EX-Serie) Passen Sie den ersten VLAN-Bezeichner an, der Teil der Payload ist.

(Nur Router der MX-Serie und Switches der EX-Serie) Nicht mit der ersten VLAN-Kennung übereinstimmen, die Teil der Payload ist.

VLAN-Ethernet-Typ-Feld eines Layer-2-Bridging-Pakets.

Passen Sie nicht im Feld FÜR VLAN-Ethernet-Typ eines Layer-2-Bridging-Pakets ab.