Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen für die Übereinstimmung mit Firewall-Filtern für VPLS-Datenverkehr

In der Anweisung im VPLS-Filterauszug geben Sie Bedingungen an, die das Paket der zu ergreifenden Aktion in der Anweisung fromthen erfüllen muss. Alle Bedingungen in from der Erklärung müssen mit der zu ergreifenden Aktion übereinstimmen. Die Reihenfolge, in der Sie die Übereinstimmungsbedingungen angeben, ist nicht wichtig, da ein Paket allen Bedingungen in einem Begriff für eine Übereinstimmung übereinstimmen muss.

Wenn Sie keine Bedingungen in einem Begriff angeben, entspricht dieser Begriff allen Paketen.

Eine einzelne Bedingung in einer from Anweisung kann eine Liste von Werten enthalten. Sie können z. B. numerische Bereiche angeben. Sie können auch mehrere Quell- oder Zieladressen angeben. Wenn eine Bedingung eine Liste von Werten definiert, erfolgt eine Übereinstimmung, wenn einer der Werte in der Liste dem Paket entspricht.

Einzelne Bedingungen in from einer Erklärung können negiert werden. Wenn Sie eine Bedingung negaten, definieren Sie eine Explicit Mismatch. Die Bedingungen für die nicht erfüllte Übereinstimmung sind forwarding-classforwarding-class-except z. B. . Wenn ein Paket mit einer nicht erfüllten Bedingung entspricht, wird sofort davon ausgedacht, dass diese nicht mit der Aussage übereinstimmen wird. Anschließend wird der nächste Begriff im Filter bewertet, falls einer from da ist. Wenn keine neuen Begriffe mehr enthalten sind, wird das Paket verworfen.

Sie können einen Firewall-Filter mit Bedingungen für Virtual Private LAN Service (VPLS) Datenverkehr (VPLS) konfigurieren . Beschreibt, welche Sie family vplsTabelle 1 auf match-conditions[edit firewall family vpls filter filter-name term term-name from] Hierarchieebene konfigurieren können.

Anmerkung:

Nicht alle Bedingungen für den VPLS-Datenverkehr werden auf allen Routingplattformen oder Switching-Plattformen unterstützt. Eine Reihe von Bedingungen für den VPLS-Datenverkehr werden nur auf 5G-Bedingungen der MX-Universelle Routing-Plattformen.

In der VPLS-Dokumentation wird der Wortrouter in Begriffen wie PE-Router verwendet, um auf jedes Gerät zu verweisen, das Routingfunktionen bietet.

Tabelle 1: Bedingungen für die Übereinstimmung mit Firewall-Filtern für VPLS-Datenverkehr

Bedingungen erfüllen

Beschreibung

destination-mac-address address

Passen Sie die MAC (MAC)-Adresse eines VPLS-Pakets an.

destination-port number

(nur Router der MX-Serie und Switches der EX-Serie) Passen Sie das UDP- oder TCP-Zielportfeld an.

Sie können nicht sowohl die port Bedingungen als auch die Bedingungen im gleichen Begriff destination-port angeben.

Sie können an der Stelle des numerischen Werts eines der folgenden Text Synonyme angeben (die Portnummern sind ebenfalls aufgelistet): afs(1483), bgp (179), biff (512), bootpcbootps (68), (67), cmdcvspserver (514), (2401), dhcp (67), domaineklogin (53), ekshell (2105), (2106) exec (512), fingerftp (21) ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434) mobilip-mnmsdp (435) (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printerradacct (515), (1813) radius (1812) riprkinit (520) (2108) smtp und (2 5), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517) telnettftp (23), (69), timed (525) oder whoxdmcp (177).

destination-port-except number

(nur Router der MX-Serie und Switches der EX-Serie) Im TCP- oder UDP-Zielportfeld nicht übereinstimmen. Sie können nicht sowohl die port Bedingungen als auch die Bedingungen im gleichen Begriff destination-port angeben.

destination-prefix-list name

(Router der ACX-Serie, Router der MX-Serie und nur Switches der EX-Serie) Ziel-Präfixe in der angegebenen Liste übereinstimmen. Geben Sie den Namen einer Präfixliste an, die auf der [edit policy-options prefix-list prefix-list-name ] Hierarchieebene definiert ist.

Anmerkung:

VPLS-Präfixlisten unterstützen nur IPv4-Adressen. In einer VPLS-Präfixliste enthaltene IPv6-Adressen werden verworfen.

destination-prefix-list name except

(nur Router der MX-Serie und Switches der EX-Serie) Ziel-Präfixe in der angegebenen Liste nicht übereinstimmen. Weitere Informationen finden Sie unter destination-prefix-list Bedingungen für Übereinstimmungen.

dscp number

(nur Router der MX-Serie und Switches der EX-Serie) Passen Sie den Differentiated Services Code Point (DSCP) an. Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Understanding How Behavior Aggregation Classifiers Prioritize Trusted Traffic (Verstehen des Verhaltens aggregierte Klassifizierer priorisieren vertrauenswürdigen Datenverkehrs).

Sie können einen numerischen Wert von 0 bis 63 angeben. Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

(nur Router der MX-Serie und Switches der EX-Serie) Nicht auf DSCP abgestimmt. Details finden Sie in der dscp Bedingungen für die Übereinstimmung.

ether-type values

Passen Sie das 2-Oktett-IEEE 802.3 Length/EtherType-Feld dem angegebenen Wert oder einer Liste von Werten an.

Sie können Dezimal- oder Hexadezimalwerte von 0 bis 65535 (0xFFFF) angeben. Ein Wert von 0 bis 1500 (0x05DC) gibt die Länge eines Frame für Ethernet-Version 1 an. Ein Wert von 1536 (0x0600) bis 65535 gibt den EtherType (Charakter des MAC-Client-Protokolls) eines Ethernet Version 2-Frame an.

An stelle des numerischen Werts können Sie eines der folgenden Text synonyme angeben (die Hexadezimalwerte sind ebenfalls aufgeführt): aarp(0x80F3), appletalk (0x809B), arp (0x0806), ipv4 (0x0800), ipv6 (0x86DD), mpls-multicast (0x8848), mpls-unicast (0x8847), oamppp (0x8902), pppoe-discovery (0x880B), pppoe-session (0x8863), (0x8864) oder sna (0x80D5).

ether-type-except values

Geben Sie dem Feld "2-Oktett Length/EtherType" nicht den angegebenen Wert oder eine Liste von Werten zu.

Details zur Angabe der Bedingungen values finden Sie in der ether-type Übereinstimmungsbedingung.

flexible-match-mask value

bit-length

Wir unterstützen Junos OS 14.2 flexible Offsetfilter in Firewall-Hierarchiekonfigurationen.

Länge der daten, die in Bits angezeigt werden sollen, die nicht für die String-Eingabe erforderlich sind (0..128)

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-mask-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

mask-in-hex

Maskierung von Bits in den zu abgestimmten Paketdaten

match-start

Startpunkt zur Übereinstimmung mit dem Paket

prefix

Wertdaten/zeichenkette

 

flexible-match-range value

bit-length

Länge der in Bits (0.32) zu abgestimmten Daten

bit-offset

Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7)

byte-offset

Byte-Offset nach Dem Match-Startpunkt

flexible-range-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

match-start

Startpunkt zur Übereinstimmung mit dem Paket

range

Bereich von aufeinander abgestimmten Werten

range-except

Diesen Wertebereich nicht übereinstimmen

 

forwarding-class class

Der Weiterleitungsklasse übereinstimmen. assured-forwardingbest-effortexpedited-forwarding Spezifizieren, oder network-control .

forwarding-class-except class

Nicht mit der Weiterleitungsklasse übereinstimmen. Details finden Sie in der forwarding-class Bedingungen für die Übereinstimmung.

icmp-code message-code

Dem ICMP-Nachrichtencodefeld übereinstimmen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im next-header icmpnext-header icmp6 selben Begriff zu konfigurieren.

Wenn Sie diese Bedingungen konfigurieren, müssen Sie auch die Bedingungen für die icmp-type message-type Übereinstimmung im selben Begriff konfigurieren. Ein ICMP-Nachrichtencode stellt spezifischere Informationen als ein ICMP-Nachrichtentyp zur Verfügung. Die Bedeutung eines ICMP-Nachrichtencodes hängt jedoch vom zugehörigen ICMP-Nachrichtentyp ab.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • Parameter-Problem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • Zeit ist überschritten: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • nicht erreichbar: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Dem ICMP-Nachrichtencodefeld nicht übereinstimmen. Details finden Sie in der icmp-code Bedingungen für die Übereinstimmung.

icmp-code number

(nur Router der MX-Serie und Switches der EX-Serie) Dem ICMP-Nachrichtencodefeld übereinstimmen.

Wenn Sie diese Bedingungen konfigurieren, empfehlen wir Ihnen, die Bedingungen bzw. Bedingungen im ip-protocol icmpip-protocol icmp6 selben Begriff zu konfigurieren.

Wenn Sie diese Bedingungen konfigurieren, müssen Sie auch die Bedingungen für die icmp-type message-type Übereinstimmung im selben Begriff konfigurieren. Ein ICMP-Nachrichtencode stellt spezifischere Informationen als ein ICMP-Nachrichtentyp zur Verfügung. Die Bedeutung eines ICMP-Nachrichtencodes hängt jedoch vom zugehörigen ICMP-Nachrichtentyp ab.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Keywords werden nach dem zugehörigen ICMP-Typ gruppierungen:

  • Parameter-Problem: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • Zeit ist überschritten: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • nicht erreichbar: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except number

(nur Router der MX-Serie und Switches der EX-Serie) Im ICMP-Codefeld nicht übereinstimmen. Details finden Sie in der icmp-code Bedingungen für die Übereinstimmung.

interface interface-name

Schnittstelle, an der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, an der sie empfangen wurden, entspricht.

Anmerkung:

Wenn Sie diese Bedingungen mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, ist der Begriff nicht mit einem Paket übereinstimmen.

interface-group group-number

Passen Sie die logische Schnittstelle an, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Geben group-number Sie einen einzelnen Wert oder einen Bereich von Werten von bis 0255 an.

Um einer Schnittstellengruppe eine logische Schnittstelle zu group-number zuweisen, geben Sie die group-number in der [interfaces interface-name unit number family family filter group] Hierarchieebene ein.

Weitere Informationen finden Sie unter Übersicht über die Filterung von Paketen, die über eine Reihe von Schnittstellengruppen empfangen werden.

Anmerkung:

Diese Übereinstimmungsbedingung wird auf Den Typ 5 FPCs T4000 nicht unterstützt.

interface-group-except group-name

Nicht mit der logischen Schnittstelle übereinstimmen, an der das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Details finden Sie in der interface-group Bedingungen für die Übereinstimmung.

Anmerkung:

Diese Übereinstimmungsbedingung wird auf Den Typ 5 FPCs T4000 nicht unterstützt.

interface-set interface-set-name

Passen Sie die Schnittstelle an, an der das Paket an den angegebenen Schnittstellensatz empfangen wurde, an.

Um eine Schnittstellenschnittstelle zu definieren, fügen Sie die interface-set Anweisung auf der [edit firewall] Hierarchieebene ein. Weitere Informationen finden Sie unter Filtern der an einer Schnittstelle empfangenen Pakete.

ip-address address

(nur Router der MX-Serie und Switches der EX-Serie) 32-Bit-Adresse, die die Standardsyntax für IPv4-Adressen unterstützt.

Beachten Sie, dass bei verwendung dieses Begriffs die Übereinstimmungsbedingung ether-Typ IPv4 für den gleichen Begriff definiert werden muss.

ip-destination-address address

(nur Router der MX-Serie und Switches der EX-Serie) 32-Bit-Adresse, die die letzte Zielknotenadresse für das Paket ist.

Beachten Sie, dass bei verwendung dieses Begriffs die Übereinstimmungsbedingung ether-Typ IPv4 für den gleichen Begriff definiert werden muss.

ip-precedence ip-precedence-field

(nur Router der MX-Serie und Switches der EX-Serie) IP-Rangfolgefeld. An Stelle des numerischen Feldwerts können Sie eines der folgenden Text synonyme spezifizieren (die Feldwerte sind ebenfalls aufgelistet): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0) priority (0x20) oder routine (0x00).

ip-precedence-except ip-precedence-field

(nur Router der MX-Serie und Switches der EX-Serie) Nicht dem IP-Rangfolgefeld übereinstimmen.

ip-protocol number

(nur Router der MX-Serie und Switches der EX-Serie) IP-Protokollfeld.

ip-protocol-except number

(nur Router der MX-Serie und Switches der EX-Serie) Nicht im IP-Protokollfeld übereinstimmen.

ip-source-address address

(nur Router der MX-Serie und Switches der EX-Serie) IP-Adresse des Quellknotens, der das Paket sendet.

Beachten Sie, dass bei verwendung dieses Begriffs die Übereinstimmungsbedingung ether-Typ IPv4 ebenfalls für den gleichen Begriff definiert werden muss.

ipv6-source-prefix-list Personenliste

(nur MX-Serie) Passen Sie die IPv6-Quelladresse in einer Personenliste an.

ipv6-address Adresse

(nur MX-EX9200) 128-Bit-Adresse, die die Standardsyntax für IPv6-Adressen unterstützt. Die Kriterien für Junos OS 14.2, Firewall-Familie Bridge IPv6-Übereinstimmungskriterien werden auf Switches der MX-Serie EX9200 unterstützt.

ipv6-destination-address Adresse

((nur MX-Serie und EX9200) 128-Bit-Adresse, die die letzte Zielknotenadresse für dieses Paket ist. Beachten Sie, dass die Bedingungen für diese Übereinstimmung bei Verwendung dieses Begriffs ether-type IPv6 im selben Begriff definiert werden müssen.

ipv6-destination-prefix-list Personenliste

(nur MX-Serie) Die IPv6-Zieladressen in einer Personenliste ab.

ipv6-next-header Protokoll

(nur MX-Serie) Passen Sie IPv6 zum nächsten Headerprotokolltyp an.

Die folgende Liste zeigt die unterstützten Werte für Das Protokoll:

  • ah— IP-Sicherheitsauthentifizierungs-Header

  • dstopts— IPv6-Zieloptionen

  • egp— Den Gateway-Protokollen des Gateways –

  • esp- IPSec-Kapselung der Security Payload

  • fragment— IPv6-Fragment-Header

  • gre— Generische Routing-Einkapselung

  • hop-by-hopIPv6 Hop-by-Hop-Optionen

  • icmpInternet Control Message-Protokoll

  • icmp6Internet Control Message Protocol Version 6

  • igmpInternet Group Management Protocol

  • ipip— IP in IP

  • ipv6— IPv6 in IP

  • no-next-header— IPv6 kein nächster Header

  • ospf— Open Shortest Path First

  • pim— Protokollunabhängiger Multicast

  • routing— IPv6-Routing-Header

  • rsvp— Resource Reservation Protocol (PROTOKOLL für die Ressourcenreservierung)

  • sctp— Stream Control Transmission Protocol

  • tcp– Transmission Control Protocol

  • udp— User Datagram Protocol

  • vrrp— Virtual Router Redundancy Protocol

ipv6-next-header-except Protokoll

(nur MX-Serie) Nicht dem IPv6-Protokolltyp des nächsten Headerprotokolls übereinstimmen.

ipv6-payload-protocol Protokoll

(nur MX-Serie) IPv6-Payload-Protokolltyp übereinstimmen.

Die folgende Liste zeigt die unterstützten Werte für Das Protokoll:

  • ah— IP-Sicherheitsauthentifizierungs-Header

  • dstopts— IPv6-Zieloptionen

  • egp— Den Gateway-Protokollen des Gateways –

  • esp- IPSec-Kapselung der Security Payload

  • fragment— IPv6-Fragment-Header

  • gre— Generische Routing-Einkapselung

  • hop-by-hopIPv6 Hop-by-Hop-Optionen

  • icmpInternet Control Message-Protokoll

  • icmp6Internet Control Message Protocol Version 6

  • igmpInternet Group Management Protocol

  • ipip— IP in IP

  • ipv6— IPv6 in IP

  • no-next-header— IPv6 kein nächster Header

  • ospf— Open Shortest Path First

  • pim— Protokollunabhängiger Multicast

  • routing— IPv6-Routing-Header

  • rsvp— Resource Reservation Protocol (PROTOKOLL für die Ressourcenreservierung)

  • sctp— Stream Control Transmission Protocol

  • tcp– Transmission Control Protocol

  • udp— User Datagram Protocol

  • vrrp— Virtual Router Redundancy Protocol

ipv6-payload-protocol-except Protokoll

(nur MX-Serie) Nicht mit dem IPv6-Payload-Protokoll übereinstimmen.

ipv6-prefix-list Personenliste

(nur MX-Serie) Passen Sie die IPv6-Adresse in einer Personenliste an.

ipv6-source-address Adresse

(nur MX-Serie) 128-Bit-Adresse, die die Ursprungsknotenadresse für dieses Paket ist.

ipv6-traffic-class Anzahl

(nur MX-Serie) Differentiated Services Code Point (DSCP). Das DiffServ-Protokoll verwendet das Art-of-Service-Byte (ToS) im IP-Header. Die wichtigsten 6 Bits dieses Byte bilden das DSCP. Weitere Informationen finden Sie unter Understanding How Behavior Aggregation Classifiers Prioritize Trusted Traffic (Verstehen des Verhaltens aggregierte Klassifizierer priorisieren vertrauenswürdigen Datenverkehrs).

Sie können einen numerischen Wert von 0 bis 63 angeben. Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben (die Feldwerte sind ebenfalls aufgelistet):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), definiert einen Codepunkt: ef(46).

  • RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Precedences in jeder Klasse für insgesamt 12 Codepunkte:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except Anzahl

Nicht mit DSCP number übereinstimmen

learn-vlan-1p-priority number

(Router der MX-Serie, M320-Router und nur Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p gelernten VLAN-Prioritäts-Bits im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder dem äußeren Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Einen einzelnen Wert oder mehrere Werte von 0 bis 7 angeben.

Vergleichen Sie mit user-vlan-1p-priority der Bedingungen.

Anmerkung:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX-Serie und den M320 Router.

learn-vlan-1p-priority-except number

(Router der MX-Serie, M320-Router und nur Switches der EX-Serie) Nicht auf die IEEE von 802.1p gelernten VLAN-Prioritätsbits abgestimmt. Details finden Sie in der learn-vlan-1p-priority Bedingungen für die Übereinstimmung.

Anmerkung:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX-Serie und den M320 Router.

learn-vlan-dei

(nur Router der MX-Serie und Switches der EX-Serie) Entspricht dem BIT des VLAN ID Drop eligability Indicator (VLADIMIR)-Benutzers.

learn-vlan-dei-except

(nur Router der MX-Serie und Switches der EX-Serie) Nicht dem VLAN-ID-ENDBENUTZER-ID-BIT übereinstimmen.

learn-vlan-id number

(nur Router der MX-Serie und Switches der EX-Serie) VLAN-Kennung, die für MAC-Learning verwendet wird.

learn-vlan-id-except number

(nur Router der MX-Serie und Switches der EX-Serie) Nicht mit der VLAN-Kennung übereinstimmen, die für das MAC-Lernen verwendet wird.

loss-priority level

Paketverlustprioritätsebene (PLP). Geben Sie eine einzelne oder mehrere Ebenen an: lowoder medium-lowmedium-highhigh

Wird auf Routern M120- M320 unterstützt. M7i- M10i mit Enhanced CFEB (CFEB-E); routern der MX-Serie.

Für den IP-Datenverkehr auf M320-, MX-Serie- und T-Serie-Routern mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die Anweisung auf der Hierarchieebene angeben, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen tri-color[edit class-of-service] festzulegen. Wenn die tri-color Aussage nicht aktiviert ist, können Sie nur die Ebenen highlow konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur Anweisung und zur Verwendung von BEHAVIOR Aggregation (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues (So weisen Weiterleitungsklassen Klassen zu tri-color Ausgangswarteschlangen zu.

loss-priority-except level

Nicht auf der Prioritätsstufe des Paketverlustes übereinstimmen. Geben Sie eine einzelne oder mehrere Ebenen an: lowoder medium-lowmedium-highhigh

Informationen zur Verwendung von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic(So nutzen Sie die Aggregierten Klassifizierungen priorisieren von vertrauenswürdigen Datenverkehr).

port number

(nur Router der MX-Serie und Switches der EX-Serie) TCP- oder UDP-Quelle bzw. Ziel-Port. Sie können nicht sowohl die port Bedingungen als auch die Bedingungen für die Übereinstimmung im selben Begriff destination-portsource-port angeben.

port-except number

(nur Router der MX-Serie und Switches der EX-Serie) Nicht am TCP- oder UDP-Quell- bzw. Zielport übereinstimmen. Sie können nicht sowohl die port Bedingungen als auch die Bedingungen für die Übereinstimmung im selben Begriff destination-portsource-port angeben.

prefix-list name

(nur Router der MX-Serie und Switches der EX-Serie) Den Ziel- oder Quell-Präfixen in der angegebenen Liste übereinstimmen. Geben Sie den Namen einer Präfixliste an, die auf der [edit policy-options prefix-list prefix-list-name ] Hierarchieebene definiert ist.

Anmerkung:

VPLS-Präfixlisten unterstützen nur IPV4-Adressen. In einer VPLS-Präfixliste enthaltene IPV6-Adressen werden verworfen.

prefix-list name except

(nur Router der MX-Serie und Switches der EX-Serie) Stellen Sie keine Ziel- oder Quell-Präfixe in der angegebenen Liste zusammen. Weitere Informationen finden Sie unter destination-prefix-list Bedingungen für Übereinstimmungen.

source-mac-address address

MAC-Quelladresse eines VPLS-Pakets.

source-port number

(nur Router der MX-Serie und Switches der EX-Serie) TCP- oder UDP-Quell-Portfeld. Sie können nicht die port Bedingungen im gleichen Begriff source-port angeben.

source-port-except number

(nur Router der MX-Serie und Switches der EX-Serie) Im TCP- oder UDP-Quellportfeld nicht übereinstimmen. Sie können nicht die port Bedingungen im gleichen Begriff source-port angeben.

source-prefix-list name

(Router der ACX-Serie, Router der MX-Serie und nur Switches der EX-Serie) Passen Sie die Quell-Präfixe in der angegebenen Präfixliste an. Geben Sie einen auf der Hierarchieebene definierten Namen einer [edit policy-options prefix-list prefix-list-name] Prefix-Liste an.

Anmerkung:

VPLS-Präfixlisten unterstützen nur IPV4-Adressen. In einer VPLS-Präfixliste enthaltene IPV6-Adressen werden verworfen.

source-prefix-list name except

(nur Router der MX-Serie und Switches der EX-Serie) Den Quell-Präfixen in der angegebenen Präfixliste nicht übereinstimmen. Weitere Informationen finden Sie unter source-prefix-list Bedingungen für Übereinstimmungen.

tcp-flags flags

Matchen Sie einen oder mehrere der niedrigeren 6 Bits im 8-Bit-TCP-Flags-Feld im TCP-Header an.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Texts synonyme oder Hexadezimalwerte angeben:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

In einer TCP-Sitzung wird der SYN-Flag nur im ursprünglichen Paket festgelegt, und der ACK-Flag wird in allen Paketen festgelegt, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der bitfeldbasierten logischen Operatoren aneinander anketten.

Wenn Sie diese Bedingungen für den IPv6-Datenverkehr konfigurieren, empfehlen wir Ihnen, die Übereinstimmungsbedingung im selben Begriff zu konfigurieren, um anzugeben, dass das TCP-Protokoll für den Port next-header tcp verwendet wird.

traffic-type type-name

(nur Router der MX-Serie und Switches der EX-Serie) Datenverkehrstyp. broadcastmulticastunknown-unicast Spezifizieren, oder known-unicast .

traffic-type-except type-name

(nur Router der MX-Serie und Switches der EX-Serie) Nicht am Datenverkehrstyp übereinstimmen. broadcastmulticastunknown-unicast Spezifizieren, oder known-unicast .

user-vlan-1p-priority number

(Router der MX-Serie, M320-Router und nur Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p Benutzerprioritäts-Bits im VLAN-Tag des Kunden (der innerer Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Einen einzelnen Wert oder mehrere Werte von 0 bis 7 angeben.

Vergleichen Sie mit learn-vlan-1p-priority der Bedingungen.

Anmerkung:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX-Serie und den M320 Router.

user-vlan-1p-priority-except number

(Router der MX-Serie, M320 Routing und nur Switches der EX-Serie) Nicht auf IEEE den 802.1p-Benutzerprioritätsbits für 802.1p abgestimmt. Details finden Sie in der user-vlan-1p-priority Bedingungen für die Übereinstimmung.

Anmerkung:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX-Serie und den M320 Router.

user-vlan-id number

(nur Router der MX-Serie und Switches der EX-Serie) Passen Sie den ersten VLAN-Identifikator an, der Teil der Payload ist.

user-vlan-id-except number

(nur Router der MX-Serie und Switches der EX-Serie) Nicht mit der ersten VLAN-Kennung übereinstimmen, die Teil der Payload ist.

vlan-ether-type value

VLAN-Ethernet-Feld eines VPLS-Pakets.

vlan-ether-type-except value

Geben Sie nicht das Feld vom VLAN-Ethernet-Typ eines VPLS-Pakets an.

Release-Verlaufstabelle
Release
Beschreibung
14.2
Wir unterstützen Junos OS 14.2 flexible Offsetfilter in Firewall-Hierarchiekonfigurationen.
14.2
Die Kriterien für Junos OS 14.2, Firewall-Familie Bridge IPv6-Übereinstimmungskriterien werden auf Switches der MX-Serie EX9200 unterstützt.