Übereinstimmungsbedingungen für Firewall-Filter für Layer-2-Bridging-Datenverkehr

MAC-Adresse (Media Access Control) des Ziels eines Layer-2-Pakets in einer Bridging-Umgebung.

TCP- oder UDP-Zielportfeld. Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingung im selben Begriff anzugeben.portdestination-port

Stimmen Sie nicht mit dem TCP/UDP-Zielport überein.

Übereinstimmung der IP-Zielpräfixe in einer .named-list

Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bits dieses Bytes bilden den DSCP. Weitere Informationen finden Sie unter Grundlegendes dazu, wie Verhaltensaggregatklassifizierer vertrauenswürdigen Datenverkehr priorisieren.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

Sie können einen numerischen Wert von bis angeben.063 Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein .0x Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein.b

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

• RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte:

(10), (12), (14), af11af12af13

(18), (20), (22), af21af22af23

(26), (28), (30), af31af32af33

(34), (36), (38)af41af42af43

Stimmen Sie nicht mit der DSCP-Nummer überein. Weitere Informationen finden Sie unter Übereinstimmungsbedingung .dscp-except

Ordnen Sie das 2-Oktett-Feld IEEE 802.3 Length/EtherType dem angegebenen Wert oder der Liste von Werten zu.

Sie können Dezimal- oder Hexadezimalwerte zwischen 0 und 65535 (0xFFFF) angeben. Ein Wert zwischen 0 und 1500 (0x05DC gibt die Länge eines Frames der Ethernet-Version 1 an. Ein Wert zwischen 1536 (0x0600) und 65535 gibt den EtherType (Art des MAC-Client-Protokolls) eines Ethernet-Frames der Version 2 an.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Hexadezimalwerte werden ebenfalls aufgelistet): (0x80F3), (0x809B), (0x0806), (0x0800), (0x86DD), (0x8848), (0x8847), (0x8902), (0x880B), (0x8863), (0x8864), (0x80D5).aarpappletalkarpipv4ipv6mpls-multicastmpls-unicastoamppppppoe-discoverypppoe-sessionsna

Gleichen Sie das 2-Oktett-Feld IEEE 802.3 Length/EtherType nicht mit dem angegebenen Wert oder der Liste von Werten ab.

Weitere Informationen zum Angeben von , finden Sie in der Übereinstimmungsbedingung.valuesether-type

Länge der abzugleichenden Daten in Bits, nicht benötigt für String-Eingabe (0..128)

Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)

Byte-Offset nach dem Startpunkt des Spiels

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen

Startpunkt für den Abgleich im Paket

Abzugleichende Wertdaten/Zeichenfolge

Länge der abzugleichenden Daten in Bit (0..32)

Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)

Byte-Offset nach dem Startpunkt des Spiels

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

Startpunkt für den Abgleich im Paket

Wertebereich, der abgeglichen werden soll

Übereinstimmung mit diesem Wertebereich nicht

Weiterleitungsklasse. Geben Sie , , oder .assured-forwardingbest-effortexpedited-forwardingnetwork-control

Ethernet-Typfeld einer Layer-2-Paketumgebung. Geben Sie , , oder .assured-forwardingbest-effortexpedited-forwardingnetwork-control

Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, auch die Übereinstimmungsbedingung , oder im selben Begriff zu konfigurieren.ip-protocol icmpip-protocol icmp6ip-protocol icmpv6

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die Übereinstimmungsbedingung im selben Begriff konfigurieren.icmp-type message-type Ein ICMP-Meldungscode liefert spezifischere Informationen als ein ICMP-Meldungstyp, die Bedeutung eines ICMP-Meldungscodes hängt jedoch vom zugeordneten ICMP-Meldungstyp ab.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

• Parameter-Problem: (0), (1), (2)ip6-header-badunrecognized-next-headerunrecognized-option

• Zeitüberschreitung: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

• destination-unreachable: (3), (1), (0), (4)address-unreachableadministratively-prohibitedno-route-to-destinationport-unreachable

Stimmen Sie nicht mit dem ICMP-Meldungscodefeld überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .icmp-code

Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, auch die Übereinstimmungsbedingung , oder im selben Begriff zu konfigurieren.ip-protocol icmpip-protocol icmp6ip-protocol icmpv6

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (1), (129), (128), (130), (131), (132), (136), (135), (140), (139), (2), (4), (137), (134), (138), (133) oder (3).destination-unreachableecho-replyecho-requestmembership-querymembership-reportmembership-terminationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemredirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded

Stimmen Sie nicht mit dem Feld ICMP-Nachrichtentyp überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .icmp-type

Schnittstelle, auf der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, auf der sie empfangen wurden, abgleicht.

Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Geben Sie für einen einzelnen Wert oder einen Wertebereich von bis an .group-number0255

Um einer Schnittstellengruppe eine logische Schnittstelle zuzuordnen, geben Sie die auf Hierarchieebene an.group-numbergroup-number[interfaces interface-name unit number family family filter group]

Weitere Informationen finden Sie unter .Filtern von Paketen, die auf einer Gruppe von Schnittstellengruppen empfangen wurden Übersicht

Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .interface-group

Ordnen Sie die Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe zu.

Um eine Schnittstellenmenge zu definieren, fügen Sie die Anweisung auf Hierarchieebene ein.interface-set[edit firewall] Weitere Informationen finden Sie unter .Filtern von Paketen, die auf einer Schnittstelle empfangen wurden Satzübersicht

32-Bit-Adresse, die die Standardsyntax für IPv4-Adressen unterstützt.

32-Bit-Adresse, bei der es sich um die endgültige Zielknotenadresse für das Paket handelt.

Feld für die IP-Rangfolge. Anstelle des numerischen Feldwerts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) oder (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine

Stimmen Sie im Feld "IP-Rangfolge" nicht überein.

IP-Protokoll-Feld.

Sie stimmen nicht mit dem IP-Protokolltyp überein.

IP-Adresse des Quellknotens, der das Paket sendet.

(Nur MX-Serie) 128-Bit-Adresse, die die Standardsyntax für IPv6-Adressen unterstützt.

(Nur MX-Serie) 128-Bit-Adresse, bei der es sich um die endgültige Zielknotenadresse für dieses Paket handelt.

(Nur MX-Serie) Übereinstimmung der IPv6-Zieladressen in einer .named-list

(Nur MX-Serie) Übereinstimmung mit IPv6 nächster Header-Protokolltyp.

Die folgende Liste zeigt die unterstützten Werte für :protocol

• ah—IP-Sicherheits-Authentifizierungs-Header

• dstopts—IPv6-Zieloptionen

• egp—Externes Gateway-Protokoll

• esp—IPSec-Sicherheitsnutzlast zur Kapselung

• fragment—IPv6-Fragment-Header

• gre—Generische Routing-Kapselung

• hop-by-hop—IPv6-Hop-by-Hop-Optionen

• icmp—Internet Control Message Protocol (Protokoll für Internetkontrollnachrichten)

• icmp6—Internet Control Message Protocol, Version 6

• igmp—Internet Group Management Protocol (Protokoll für die Verwaltung von Internetgruppen)

• ipip—IP in IP

• ipv6—IPv6 in IP

• no-next-header—IPv6 kein nächster Header

• ospf—Öffnen Sie zuerst den kürzesten Pfad

• pim—Protokollunabhängiges Multicast

• routing—IPv6-Routing-Header

• rsvp—Protokoll für die Ressourcenreservierung

• sctp—Stream Control Transmission Protocol (Protokoll zur Übertragung von Stromsteuerung)

• tcp—Transmission Control Protocol (Übertragungssteuerungsprotokoll)

• udp—User Datagram Protocol (Benutzer-Datagramm-Protokoll)

• vrrp—Virtual Router Redundancy Protocol (Protokoll für virtuelle Router-Redundanz)

(Nur MX-Serie) Stimmt nicht mit dem IPv6-Protokolltyp für den nächsten Header überein.

ipv6-payload-protocol protocol

(Nur MX-Serie) Übereinstimmung mit dem IPv6-Nutzlastprotokolltyp.

Die folgende Liste zeigt die unterstützten Werte für :protocol

• ah—IP-Sicherheits-Authentifizierungs-Header

• dstopts—IPv6-Zieloptionen

• egp—Externes Gateway-Protokoll

• esp—IPSec-Sicherheitsnutzlast zur Kapselung

• fragment—IPv6-Fragment-Header

• gre—Generische Routing-Kapselung

• hop-by-hop—IPv6-Hop-by-Hop-Optionen

• icmp—Internet Control Message Protocol (Protokoll für Internetkontrollnachrichten)

• icmp6—Internet Control Message Protocol, Version 6

• igmp—Internet Group Management Protocol (Protokoll für die Verwaltung von Internetgruppen)

• ipip—IP in IP

• ipv6—IPv6 in IP

• no-next-header—IPv6 kein nächster Header

• ospf—Öffnen Sie zuerst den kürzesten Pfad

• pim—Protokollunabhängiges Multicast

• routing—IPv6-Routing-Header

• rsvp—Protokoll für die Ressourcenreservierung

• sctp—Stream Control Transmission Protocol (Protokoll zur Übertragung von Stromsteuerung)

• tcp—Transmission Control Protocol (Übertragungssteuerungsprotokoll)

• udp—User Datagram Protocol (Benutzer-Datagramm-Protokoll)

• vrrp—Virtual Router Redundancy Protocol (Protokoll für virtuelle Router-Redundanz)

(Nur MX-Serie) Sie stimmen nicht mit dem IPv6-Nutzlastprotokoll überein.

(Nur MX-Serie) Übereinstimmung mit der IPv6-Adresse in einer .named-list

(Nur MX-Serie) 128-Bit-Adresse, bei der es sich um die ursprüngliche Quellknotenadresse für dieses Paket handelt.

(Nur MX-Serie) Übereinstimmung mit der IPv6-Quelladresse in einer .named-list

(Nur MX-Serie) Codepunkt für differenzierte Dienste (DSCP). Das DiffServ-Protokoll verwendet das ToS-Byte (Type-of-Service) im IP-Header. Die höchstwertigen 6 Bits dieses Bytes bilden den DSCP. Weitere Informationen finden Sie unter Grundlegendes dazu, wie Verhaltensaggregatklassifizierer vertrauenswürdigen Datenverkehr priorisieren.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

Sie können einen numerischen Wert von bis angeben.063 Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein .0x Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein.b

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

• RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte:

(10), (12), (14), af11af12af13

(18), (20), (22), af21af22af23

(26), (28), (30), af31af32af33

(34), (36), (38)af41af42af43

Stimmen Sie nicht mit dem DSCP überein.number

(Unterstützt mit Provider Backbone Bridging [PBB]) Übereinstimmung mit Internetdienst-ID.

(Unterstützt mit PBB) Übereinstimmung mit dem DEI-Bit (Internet Service Identifier Drop Eligibility Indicator).

(Unterstützt mit PBB) Übereinstimmung nicht mit dem DEI-Bit des Internetdienstbezeichners.

(Unterstützt mit PBB) Stimmt mit dem Prioritätscodepunkt der Internetdienst-ID überein.

(Unterstützt mit PBB) Stimmt nicht mit dem Prioritätscodepunkt der Internetdienst-ID überein.

(Nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von bis an.07

Vergleichen Sie mit der Übereinstimmungsbedingung .user-vlan-1p-priority

(Nur Router der MX-Serie und Switches der EX-Serie) Stimmen Sie nicht mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .learn-vlan-1p-priority

(Unterstützt durch Bridging) Übereinstimmung mit dem DEI-Bit der Kennung des virtuellen virtuellen LAN (VLAN) des Benutzers.

(Unterstützt durch Bridging) Übereinstimmung mit dem DEI-Bit der Benutzer-VLAN-Kennung nicht.

VLAN-Kennung, die für MAC-Lernen verwendet wird.

Stimmen Sie nicht mit der VLAN-Kennung überein, die für das MAC-Lernen verwendet wird.

Paketverlust-Prioritätsstufe (PLP). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: , , oder .lowmedium-lowmedium-highhigh

Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie.

Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die Anweisung auf Hierarchieebene einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen.tri-color[edit class-of-service] Wenn die Anweisung nicht aktiviert ist, können Sie nur die Ebenen und konfigurieren.tri-colorhighlow Dies gilt für alle Protokollfamilien.

Weitere Informationen zu dieser Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien.tri-colorConfiguring and Applying Tricolor Marking Policers Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.Understanding How Forwarding Classes Assign Classes to Output Queues

Nicht übereinstimmen mit der Prioritätsstufe Paketverlust. Geben Sie eine einzelne Ebene oder mehrere Ebenen an: , , oder .lowmedium-lowmedium-highhigh

Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes dazu, wie verhaltensaggregierte Klassifizierer vertrauenswürdigen Datenverkehr priorisieren.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

TCP- oder UDP-Quell- oder Zielport. Sie können nicht sowohl die Übereinstimmungsbedingung als auch die Übereinstimmungsbedingungen oder im selben Begriff angeben.portdestination-portsource-port

Quell-MAC-Adresse eines Layer-2-Pakets.

TCP- oder UDP-Quellportfeld. Sie können die Bedingungen und übereinstimmen nicht im selben Begriff angeben.portsource-port

Stimmt nicht mit dem TCP/UDP-Quellport überein.

Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen.

Um die Übereinstimmungsbedingung zu konfigurieren, müssen Sie die Übereinstimmungsbedingung konfigurieren.tcp-flagsnext-header-tcp

Art des Datenverkehrs. Geben Sie , , oder .broadcastmulticastunknown-unicastknown-unicast

Nicht übereinstimmend mit dem Datenverkehrstyp.

(Nur Router der MX-Serie und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von bis an.07

Vergleichen Sie mit der Übereinstimmungsbedingung .learn-vlan-1p-priority

(Nur Router der MX-Serie und Switches der EX-Serie) Stimmen nicht mit den IEEE 802.1p-Benutzerprioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .user-vlan-1p-priority

(Nur Router der MX-Serie und Switches der EX-Serie) Stimmt mit der ersten VLAN-Kennung überein, die Teil der Nutzlast ist.

(Nur Router der MX-Serie und Switches der EX-Serie) Stimmt nicht mit der ersten VLAN-Kennung überein, die Teil der Nutzlast ist.

VLAN-Ethernet-Typfeld eines Layer-2-Bridging-Pakets.

Nicht übereinstimmend im Feld VLAN-Ethernet-Typ eines Layer-2-Bridging-Pakets.