Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen für die Übereinstimmung mit Firewall-Filtern für Layer 2-Bridging-Datenverkehr

Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie einen standardmäßigen zustandslosen Firewall-Filter mit Bedingungen für Layer 2-Bridging-Datenverkehr ( ) konfigurieren . Beschreibt, welche Sie auf Hierarchieebene konfigurieren family bridgeTabelle 1match-conditions[edit firewall family bridge filter filter-name term term-name from] können.

Tabelle 1: Standard-Firewall-Filterüberbrückungsbedingungen für Layer 2-Bridging (nur Router der MX-Serie und Switches der EX-Serie)

Bedingungen erfüllen

Beschreibung

destination-mac-address address

MAC MAC adresse (Destination MAC) eines Layer-2-Pakets in einer Bridging-Umgebung.

destination-port number

TCP- oder UDP-Ziel-Portfeld. Sie können nicht sowohl die port Bedingungen als auch die Bedingungen im gleichen Begriff destination-port angeben.

destination-port-except

Den TCP/UDP-Zielport nicht übereinstimmen.

destination-prefix-list Personenliste

Passen Sie die IP-Ziel-Präfixe in einer Personenliste an.

dscp number

Differentiated Services Code Point (DSCP). Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Understanding How Behavior Aggregation Classifiers Prioritize Trusted Traffic (Verstehen des Verhaltens aggregierte Klassifizierer priorisieren vertrauenswürdigen Datenverkehrs).

Sie können einen numerischen Wert von 0 bis 63 angeben. Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

Nicht an der DSCP-Nummer übereinstimmen. Weitere Informationen finden Sie unter dscp-except Bedingungen für Übereinstimmungen.

ether-type value

Passen Sie das 2-Oktett-IEEE 802.3 Length/EtherType-Feld dem angegebenen Wert oder einer Liste von Werten an.

Sie können Dezimal- oder Hexadezimalwerte von 0 bis 65535 (0xFFFF) angeben. Ein Wert von 0 bis 1500 (0x05DC) gibt die Länge eines Frame für Ethernet-Version 1 an. Ein Wert von 1536 (0x0600) bis 65535 gibt den EtherType (Charakter des MAC-Client-Protokolls) eines Ethernet Version 2-Frame an.

An stelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Hexadezimalwerte sind ebenfalls aufgeführt): aarp(0x80F3), appletalk (0x809B), arp (0x0806), ipv4ipv6 (0x0800), (0x86DD), mpls-multicast (0x8848), mpls-unicast (0x8847), oamppp (0x8902), (0x880B), pppoe-discoverypppoe-session (0x8863) (0x8864) sna (0x80D5).

Anmerkung:

Beim Abgleich von IP-Adresse oder IPV6-Adresse muss jeweils der Ether-Typ ipv4 bzw. iV6 angegeben werden, um nur Treffer zum IP-Datenverkehr zu begrenzen.

ether-type-except value

Dem 2-Oktett-Feld IEEE 802.3 Length/EtherType können Sie dem angegebenen Wert oder der Liste von Werten nicht gerecht werden.

Details zur Angabe der Bedingungen values finden Sie in der ether-type Übereinstimmungsbedingung.

flexible-match-mask value

bit-length

Länge der daten, die in Bits angezeigt werden sollen, die nicht für die String-Eingabe erforderlich sind (0..128)

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-mask-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

mask-in-hex

Maskierung von Bits in den zu abgestimmten Paketdaten

match-start

Startpunkt zur Übereinstimmung mit dem Paket

prefix

Wertdaten/zeichenkette

 

flexible-match-range value

bit-length

Länge der in Bits (0.32) zu abgestimmten Daten

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-range-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

match-start

Startpunkt zur Übereinstimmung mit dem Paket

range

Bereich von aufeinander abgestimmten Werten

range-except

Diesen Wertebereich nicht übereinstimmen

 

forwarding class class

Weiterleitungsklasse. assured-forwardingbest-effortexpedited-forwarding Spezifizieren, oder network-control .

forwarding-class-except class

Ethernet-Feld einer Layer-2-Paketumgebung. assured-forwardingbest-effortexpedited-forwarding Spezifizieren, oder network-control .

icmp-code message-code

Dem ICMP-Nachrichtencodefeld übereinstimmen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im ip-protocol icmpip-protocol icmp6 selben Begriff zu ip-protocol icmpv6 konfigurieren.

Wenn Sie diese Bedingungen konfigurieren, müssen Sie auch die Bedingungen für die icmp-type message-type Übereinstimmung im selben Begriff konfigurieren. Ein ICMP-Nachrichtencode stellt spezifischere Informationen als ein ICMP-Nachrichtentyp zur Verfügung. Die Bedeutung eines ICMP-Nachrichtencodes hängt jedoch vom zugehörigen ICMP-Nachrichtentyp ab.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • Parameter-Problem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • Zeit ist überschritten: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • nicht erreichbar: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Dem ICMP-Nachrichtencodefeld nicht übereinstimmen. Details finden Sie in der icmp-code Bedingungen für die Übereinstimmung.

icmp-type message-type

Dem Feld "ICMP-Nachrichtentyp" übereinstimmen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im ip-protocol icmpip-protocol icmp6 selben Begriff zu ip-protocol icmpv6 konfigurieren.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet): destination-unreachable(1), echo-reply (129), echo-request (128), membership-query (130), membership-report (131), membership-termination (132), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-bigparameter-problem (2), redirect (4), (137), router-advertisementrouter-renumbering (134), router-solicit (138) oder time-exceeded (3).

icmp-type-except message-type

Dem Feld für die ICMP-Nachricht nicht übereinstimmen. Details finden Sie in der icmp-type Bedingungen für die Übereinstimmung.

interface interface-name

Schnittstelle, an der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, an der sie empfangen wurden, entspricht.

Anmerkung:

Wenn Sie diese Bedingungen mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, ist der Begriff nicht mit einem Paket übereinstimmen.

interface-group group-number

Passen Sie die logische Schnittstelle an, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Geben group-number Sie einen einzelnen Wert oder einen Bereich von Werten von bis 0255 an.

Um einer Schnittstellengruppe eine logische Schnittstelle zu group-number zuweisen, geben Sie die group-number in der [interfaces interface-name unit number family family filter group] Hierarchieebene ein.

Weitere Informationen finden Sie Filtern von Paketen, die an eine Gruppe von Schnittstellengruppen empfangen werden unter.

interface-group-except number

Nicht mit der logischen Schnittstelle übereinstimmen, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Details finden Sie in der interface-group Bedingungen für die Übereinstimmung.

interface-set interface-set-name

Passen Sie die Schnittstelle an, an der das Paket an den angegebenen Schnittstellensatz empfangen wurde, an.

Um eine Schnittstellenschnittstelle zu definieren, fügen Sie die interface-set Anweisung auf der [edit firewall] Hierarchieebene ein. Weitere Informationen finden Sie Filtern von Paketen, die an einer Schnittstelle empfangen werden, Übersicht unter.

ip-address address

32-Bit-Adresse, die die Standardsyntax für IPv4-Adressen unterstützt.

Anmerkung:

Um nur Übereinstimmungen mit IPv4-Datenverkehr zu begrenzen, muss der Ether-Typ IPV4 für den gleichen Begriff angegeben werden.

ip-destination-address address

32-Bit-Adresse, die die letzte Zielknotenadresse für das Paket ist.

ip-precedence ip-precedence-field

IP-Rangfolgefeld. An Stelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme spezifizieren (die Feldwerte sind ebenfalls aufgelistet): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0) priority (0x20) oder routine (0x00).

ip-precedence-except ip-precedence-field

Nicht dem IP-Rangfolgefeld übereinstimmen.

ip-protocol number

IP-Protokollfeld.

ip-protocol-except

Dem IP-Protokolltyp nicht übereinstimmen.

ip-source-address address

IP-Adresse des Quellknotens, der das Paket sendet.

ipv6-address Adresse

(nur MX-Serie) 128-Bit-Adresse, die die Standardsyntax für IPv6-Adressen unterstützt.

Anmerkung:

Um nur Übereinstimmungen mit IPv6-Datenverkehr zu begrenzen, muss der Ether-Typ IPV6 für den gleichen Begriff angegeben sein.

ipv6-destination-address Adresse

(nur MX-Serie) 128-Bit-Adresse, die die letzte Zielknotenadresse für dieses Paket ist.

ipv6-destination-prefix-list Personenliste

(nur MX-Serie) Die IPv6-Zieladressen in einer Personenliste ab.

ipv6-next-header Protokoll

(nur MX-Serie) Passen Sie IPv6 zum nächsten Headerprotokolltyp an.

Die folgende Liste zeigt die unterstützten Werte für Das Protokoll:

  • ah— IP-Sicherheitsauthentifizierungs-Header

  • dstopts— IPv6-Zieloptionen

  • egp— Den Gateway-Protokollen des Gateways –

  • esp- IPSec-Kapselung der Security Payload

  • fragment— IPv6-Fragment-Header

  • gre— Generische Routing-Einkapselung

  • hop-by-hopIPv6 Hop-by-Hop-Optionen

  • icmpInternet Control Message-Protokoll

  • icmp6Internet Control Message Protocol Version 6

  • igmpInternet Group Management Protocol

  • ipip— IP in IP

  • ipv6— IPv6 in IP

  • no-next-header— IPv6 kein nächster Header

  • ospf— Open Shortest Path First

  • pim— Protokollunabhängiger Multicast

  • routing— IPv6-Routing-Header

  • rsvp— Resource Reservation Protocol (PROTOKOLL für die Ressourcenreservierung)

  • sctp— Stream Control Transmission Protocol

  • tcp– Transmission Control Protocol

  • udp— User Datagram Protocol

  • vrrp— Virtual Router Redundancy Protocol

ipv6-next-header-except Protokoll

(nur MX-Serie) Nicht dem IPv6-Protokolltyp des nächsten Headerprotokolls übereinstimmen.

ipv6-payload-protocol Protokoll

(nur MX-Serie) IPv6-Payload-Protokolltyp übereinstimmen.

Die folgende Liste zeigt die unterstützten Werte für Das Protokoll:

  • ah— IP-Sicherheitsauthentifizierungs-Header

  • dstopts— IPv6-Zieloptionen

  • egp— Den Gateway-Protokollen des Gateways –

  • esp- IPSec-Kapselung der Security Payload

  • fragment— IPv6-Fragment-Header

  • gre— Generische Routing-Einkapselung

  • hop-by-hopIPv6 Hop-by-Hop-Optionen

  • icmpInternet Control Message-Protokoll

  • icmp6Internet Control Message Protocol Version 6

  • igmpInternet Group Management Protocol

  • ipip— IP in IP

  • ipv6— IPv6 in IP

  • no-next-header— IPv6 kein nächster Header

  • ospf— Open Shortest Path First

  • pim— Protokollunabhängiger Multicast

  • routing— IPv6-Routing-Header

  • rsvp— Resource Reservation Protocol (PROTOKOLL für die Ressourcenreservierung)

  • sctp— Stream Control Transmission Protocol

  • tcp– Transmission Control Protocol

  • udp— User Datagram Protocol

  • vrrp— Virtual Router Redundancy Protocol

ipv6-payload-protocol-except Protokoll

(nur MX-Serie) Nicht mit dem IPv6-Payload-Protokoll übereinstimmen.

ipv6-prefix-list Personenliste

(nur MX-Serie) Passen Sie die IPv6-Adresse in einer Personenliste an.

ipv6-source-address Adresse

(nur MX-Serie) 128-Bit-Adresse, die die Ursprungsknotenadresse für dieses Paket ist.

ipv6-source-prefix-list Personenliste

(nur MX-Serie) Passen Sie die IPv6-Quelladresse in einer Personenliste an.

ipv6-traffic-class Anzahl

(nur MX-Serie) Differentiated Services Code Point (DSCP). Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Understanding How Behavior Aggregation Classifiers Prioritize Trusted Traffic (Verstehen des Verhaltens aggregierte Klassifizierer priorisieren vertrauenswürdigen Datenverkehrs).

Sie können einen numerischen Wert von 0 bis 63 angeben. Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except Anzahl

Nicht mit DSCP number übereinstimmen

isid number

(Unterstützt mit Provider Backbone Bridging [PBB]) Internet Service Identifier abmatchen.

isid-dei number

(Unterstützt mit PBB) Passen Sie den INTERNET Service Identifier Drop Eligibility Indicator (DIENSTANBIETER)-Bit an.

isid-dei-except number

(Unterstützt mit PBB) NICHT dem INTERNET Service IdentifierDIENSTANBIETER-Bit übereinstimmen.

isid-priority-code-point number

(Unterstützt mit PBB) Passen Sie den Codepunkt für die Internet Service Identifier-Priorität an.

isid-priority-code-point-except number

(Unterstützt mit PBB) Nicht mit dem Codepunkt der Internet Service Identifier-Priorität übereinstimmen.

learn-vlan-1p-priority value

(nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p gelernten VLAN-Prioritäts-Bits im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder dem äußeren Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Einen einzelnen Wert oder mehrere Werte von 0 bis 7 angeben.

Vergleichen Sie mit user-vlan-1p-priority der Bedingungen.

learn-vlan-1p-priority-except value

(nur Router der MX-Serie und Switches der EX-Serie) Nicht auf die IEEE von 802.1p gelernten VLAN-Prioritätsbits abgestimmt. Details finden Sie in der learn-vlan-1p-priority Bedingungen für die Übereinstimmung.

learn-vlan-dei number

(Unterstützung durch Bridging) Anwender-VIRTUAL LAN (VLAN)-Identifikator VLAN-Bit abmatchen.

learn-vlan-dei-except number

(Unterstützung durch Bridging) NICHT dem VLAN-Identifikator und dem ZU-Bit (USER VLAN Identifier).

learn-vlan-id number

VLAN-Kennung, die für MAC-Learning verwendet wird.

learn-vlan-id-except number

Nicht mit der VLAN-Kennung übereinstimmen, die für das MAC-Lernen verwendet wird.

loss-priority level

Paketverlustprioritätsebene (PLP). Geben Sie eine einzelne oder mehrere Ebenen an: lowoder medium-lowmedium-highhigh

Wird auf Routern M120- M320 unterstützt. M7i- M10i mit Enhanced CFEB (CFEB-E); Router der MX-Serie und Switches der EX-Serie.

Für den IP-Datenverkehr auf M320-, MX-Serie- und T-Serie-Routern mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie muss die Anweisung auf der Hierarchieebene enthalten sein, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen tri-color[edit class-of-service] festzulegen. Wenn die tri-color Aussage nicht aktiviert ist, können Sie nur die Ebenen highlow konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur Aussage finden Sie tri-color unter Konfigurieren und Anwenden von dreifarbigen Markierungs-Policern. Informationen zur Verwendung von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues(Informationen dazu, wie Weiterleitungsklassen Klassen Ausgangswarteschlangen zuweisen).

loss-priority-except level

Nicht auf der Prioritätsstufe des Paketverlustes übereinstimmen. Geben Sie eine einzelne oder mehrere Ebenen an: lowoder medium-lowmedium-highhigh

Informationen zur Verwendung von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic(Verstehen von Verhaltensaggregatorifizierern zur Priorisierung des vertrauenswürdigen Datenverkehrs).

port number

TCP- oder UDP-Quelle bzw. Ziel-Port. Sie können nicht sowohl die port Bedingungen als auch die Bedingungen oder Bedingungen im gleichen Begriff destination-portsource-port angeben.

source-mac-address address

MAC-Quelladresse eines Layer-2-Pakets.

source-port number

TCP- oder UDP-Quell-Portfeld. Sie können nicht die port Bedingungen im gleichen Begriff source-port angeben.

source-port-except

Den TCP/UDP-Quellport nicht übereinstimmen.

tcp-flags flags

Matchen Sie einen oder mehrere der niedrigeren 6 Bits im 8-Bit-TCP-Flags-Feld im TCP-Header an.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Texts synonyme oder Hexadezimalwerte angeben:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

In einer TCP-Sitzung wird der SYN-Flag nur im ursprünglichen Paket festgelegt, und der ACK-Flag wird in allen Paketen festgelegt, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der bitfeldbasierten logischen Operatoren aneinander anketten.

Für die Konfiguration tcp-flags der Übereinstimmungsbedingung müssen Sie die next-header-tcp Bedingungen für die Übereinstimmung konfigurieren.

traffic-type type

Datenverkehrstyp. broadcastmulticastunknown-unicast Spezifizieren, oder known-unicast .

traffic-type-except type

Nicht am Datenverkehrstyp übereinstimmen.

user-vlan-1p-priority value

(nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p Benutzerprioritäts-Bits im VLAN-Tag des Kunden (der innerer Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Einen einzelnen Wert oder mehrere Werte von 0 bis 7 angeben.

Vergleichen Sie mit learn-vlan-1p-priority der Bedingungen.

user-vlan-1p-priority-except value

(nur Router der MX-Serie und Switches der EX-Serie) Nicht auf IEEE den 802.1p-Benutzerprioritätsbits für 802.1p abgestimmt. Details finden Sie in der user-vlan-1p-priority Bedingungen für die Übereinstimmung.

user-vlan-id number

(nur Router der MX-Serie und Switches der EX-Serie) Passen Sie den ersten VLAN-Identifikator an, der Teil der Payload ist.

user-vlan-id-except number

(nur Router der MX-Serie und Switches der EX-Serie) Nicht mit der ersten VLAN-Kennung übereinstimmen, die Teil der Payload ist.

vlan-ether-type value

VLAN-Ethernet-Feld eines Layer 2-Bridging-Pakets.

vlan-ether-type-except value

Passen Sie nicht dem Feld vom VLAN-Ethernet-Typ eines Layer 2-Bridging-Pakets an.