Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu pour le trafic de pontage de couche 2

Seuls sur les routeurs MX Series et les commutateurs EX Series, vous pouvez configurer un filtre de pare-feu sans état standard avec les conditions de correspondance du trafic de pontage de couche 2 ( ). décrit les configurations que vous pouvez configurer au niveau de la family bridgeTableau 1match-conditions[edit firewall family bridge filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance des filtres de pare-feu standard pour le pontage de couche 2 (MX Series et commutateurs EX Series couche 2 uniquement)

Condition de correspondance

Description

destination-mac-address address

Adresse adresse MAC de destination (MAC) d’un paquet de couche 2 dans un environnement de pontage.

destination-port number

Champ de port de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois les conditions et les portdestination-port assortir dans un même terme.

destination-port-except

Ne pas correspondre au port de destination TCP/UDP.

destination-prefix-list liste nommée

Correspondez aux préfixes de destination IP dans une liste nommée.

dscp number

Point de code de services différenciés (DSCP). Le protocole DiffServ utilise le type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet investissement constituent le DSCP. Pour plus d’informations, consultez le site Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

Vous pouvez spécifier une valeur numérique de 0 par 63 . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure 0x comme préfixe. Pour spécifier la valeur dans un format binaire, inclure b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code: ef(46).

  • RFC 2597, groupe PHB (Assured Forwarding PHB Group),définit 4 classes, avec 3 préséances d’abandon pour un total de 12 points de code:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

Ne faites pas correspondre au numéro DSCP. Pour plus d’informations, consultez la dscp-except condition de correspondance.

ether-type value

Faire correspondre le champ 2 octet IEEE longueur/EtherType 802.3 à la valeur ou liste de valeurs spécifiées.

Vous pouvez spécifier des valeurs décimales ou hexadécimaux de 0 à 65535 (0xFFFF). Une valeur de 0 à 1 500 (0x05DC) spécifie la longueur d’une trame Ethernet version 1. Une valeur de 1 536 (0x0600) à 65535 spécifie l’EtherType (nature du protocole client MAC) d’une trame Ethernet version 2.

En lieu et place de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs hexadécimale sont également répertoriées): aarp(0x80F3), appletalk (0x809B), arp (0x0806), ipv4 (0x0800), ipv6mpls-multicast (0x86DD), mpls-unicast (0x8848), oam (0x8847), ppp (0x8902), (0x880B), pppoe-discoverypppoe-session (0x8863), (0x8864), sna (0x80D5).

Remarque :

L’appariement à l’adresse IP ou à l’adresse ipv6, respectivement de type Ether, ipv4 ou ipv6, doit également être spécifié afin de limiter les correspondances au trafic IP uniquement.

ether-type-except value

Ne faites pas correspondre le champ 2 octet IEEE longueur/EtherType 802.3 à la valeur ou à la liste de valeurs spécifiées.

Pour plus d’informations sur la spécification de values l', consultez la ether-type condition de correspondance.

flexible-match-mask value

bit-length

Longueur des données à assortir en bits, non requise pour l’entrée de chaîne (0.128)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-mask-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

mask-in-hex

Masquer les bits dans les données de paquet pour les faire correspondre

match-start

Point de départ pour correspondance dans le paquet

prefix

Valeur de données/chaîne à correspondre

 

flexible-match-range value

bit-length

Longueur des données à correspondre en bits (0.32)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-range-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

match-start

Point de départ pour correspondance dans le paquet

range

Plage de valeurs à correspondre

range-except

Ne correspond pas à cette gamme de valeurs

 

forwarding class class

Classe de forwarding. Spécifier assured-forwardingbest-effort , ou expedited-forwardingnetwork-control .

forwarding-class-except class

Champ de type Ethernet d’un environnement de paquets de couche 2. Spécifier assured-forwardingbest-effort , ou expedited-forwardingnetwork-control .

icmp-code message-code

Correspondre au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition , ou de la assortir dans ip-protocol icmpip-protocol icmp6 le même ip-protocol icmpv6 terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés selon le type d’ICMP auquel ils sont associés:

  • paramètre du problème: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • dépassé dans le temps: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • la destination n’est pas mise en cache: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Ne correspondez pas au champ de code de message ICMP. Pour plus d’informations, consultez la icmp-code condition de correspondance.

icmp-type message-type

Correspondre au champ de type de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons également de configurer la condition , ou de la assortir dans ip-protocol icmpip-protocol icmp6 le même ip-protocol icmpv6 terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées): destination-unreachableecho-reply(1), (129), echo-request (128), membership-query (130), membership-reportmembership-termination (131), (132), neighbor-advertisementneighbor-solicit (136), node-information-reply (135), (140), node-information-request (139), packet-too-bigparameter-problem (2), redirect (4), (137), router-advertisement (134), router-renumbering (138), router-solicit (133) ou time-exceeded (3).

icmp-type-except message-type

Ne correspondent pas au champ de type de message ICMP. Pour plus d’informations, consultez la icmp-type condition de correspondance.

interface interface-name

Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui correspond aux paquets en fonction de l’interface sur laquelle ils ont été reçus.

Remarque :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-group group-number

Faire correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interface ou ensemble de groupes d’interfaces spécifiés. Pour group-number , spécifier une valeur unique ou une plage de valeurs de 0 l’à 255 la .

Pour attribuer une interface logique à un groupe group-number d’interfaces, spécifiez le group-number niveau [interfaces interface-name unit number family family filter group] hiérarchique.

Pour plus d’informations, consultez Présentation du filtrage des paquets reçus sur un ensemble de groupes d’interfaces le site .

interface-group-except number

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu vers le groupe ou ensemble d’interfaces spécifié. Pour plus d’informations, consultez la interface-group condition de correspondance.

interface-set interface-set-name

Assortir l’interface sur laquelle le paquet a été reçu sur l’ensemble d’interface spécifié.

Pour définir un ensemble d’interfaces, inclure interface-set l’instruction au niveau [edit firewall] de la hiérarchie. Pour plus d’informations, consultez Présentation du filtrage des paquets reçus sur un ensemble d’interfaces le site .

ip-address address

Adresse à 32 bits qui prend en charge la syntaxe standard pour les adresses IPv4.

Remarque :

Pour limiter uniquement les correspondances avec le trafic IPv4, l’iPv4 de type Ether doit également être spécifié dans le même terme.

ip-destination-address address

Adresse 32 bits qui est l’adresse de nœud de destination finale du paquet.

ip-precedence ip-precedence-field

Domaine de préséance IP. Au lieu de la valeur numérique du champ, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs de champ sont également répertoriées): critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-controlnet-control (0xc0), priority (0xe0), (0x20) ou routine (0x00).

ip-precedence-except ip-precedence-field

Ne correspondent pas sur le champ de préséance IP.

ip-protocol number

Champ des protocoles IP.

ip-protocol-except

Ne correspondent pas au type de protocole IP.

ip-source-address address

Adresse IP du nœud source qui envoie le paquet.

ipv6-address adresse

(MX Series uniquement) adresse 128 bits qui prend en charge la syntaxe standard pour les adresses IPv6.

Remarque :

Pour limiter uniquement les correspondances avec le trafic IPv6, l’iPv6 de type Ether doit également être spécifié dans le même terme.

ipv6-destination-address adresse

(MX Series uniquement) adresse 128 bits qui constitue l’adresse de destination finale de ce paquet.

ipv6-destination-prefix-list liste nommée

(MX Series uniquement) Correspondez aux adresses de destination IPv6 dans une liste nommée.

ipv6-next-header Protocole

(MX Series uniquement) Assortir le type de protocole d’en-tête suivant IPv6.

La liste suivante indique les valeurs prise en charge pour le protocole:

  • ah—En-tête de l’authentification de la sécurité IP

  • dstopts— Options de destination IPv6

  • egp—Protocole de passerelle d’insérieur

  • esp—Encapsulation de la charge utile de sécurité IPSec

  • fragment—En-tête du fragment IPv6

  • gre—Encapsulation de routage générique

  • hop-by-hop—Options de saut par saut IPv6

  • icmp—Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol version 6

  • igmp—Internet Group Management Protocol

  • ipip—IP dans IP

  • ipv6—IPv6 dans IP

  • no-next-header—IPv6: pas d’en-tête suivant

  • ospf—Open Shortest Path First

  • pim— Multicast indépendant du protocole

  • routing—En-tête de routage IPv6

  • rsvp— Protocole de réservation de ressources

  • sctp— Protocole de transmission de contrôle de flux

  • tcp— Protocole de contrôle des transmissions

  • udp— Protocole Datagram utilisateur

  • vrrp—Protocole de redondance des routeurs virtuels

ipv6-next-header-except Protocole

(MX Series uniquement) Ne correspondent pas au type de protocole iPv6 suivant d’en-tête.

ipv6-payload-protocol Protocole

(MX Series uniquement) Correspondent au type de charge utile IPv6.

La liste suivante indique les valeurs prise en charge pour le protocole:

  • ah—En-tête de l’authentification de la sécurité IP

  • dstopts— Options de destination IPv6

  • egp—Protocole de passerelle d’insérieur

  • esp—Encapsulation de la charge utile de sécurité IPSec

  • fragment—En-tête du fragment IPv6

  • gre—Encapsulation de routage générique

  • hop-by-hop—Options de saut par saut IPv6

  • icmp—Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol version 6

  • igmp—Internet Group Management Protocol

  • ipip—IP dans IP

  • ipv6—IPv6 dans IP

  • no-next-header—IPv6: pas d’en-tête suivant

  • ospf—Open Shortest Path First

  • pim— Multicast indépendant du protocole

  • routing—En-tête de routage IPv6

  • rsvp— Protocole de réservation de ressources

  • sctp— Protocole de transmission de contrôle de flux

  • tcp— Protocole de contrôle des transmissions

  • udp— Protocole Datagram utilisateur

  • vrrp—Protocole de redondance des routeurs virtuels

ipv6-payload-protocol-except Protocole

(MX Series uniquement) Ne correspondent pas au protocole de charge utile IPv6.

ipv6-prefix-list liste nommée

(MX Series uniquement) Correspondez à l’adresse IPv6 dans une liste nommée.

ipv6-source-address adresse

(MX Series uniquement) adresse 128 bits qui est l’adresse source d’origine de ce paquet.

ipv6-source-prefix-list liste nommée

(MX Series uniquement) Correspondre à l’adresse source IPv6 dans une liste nommée.

ipv6-traffic-class Nombre

(MX Series uniquement) Point de code de services différenciés (DSCP). Le protocole DiffServ utilise le type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet investissement constituent le DSCP. Pour plus d’informations, consultez le site Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

Vous pouvez spécifier une valeur numérique de 0 par 63 . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure 0x comme préfixe. Pour spécifier la valeur dans un format binaire, inclure b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code: ef(46).

  • RFC 2597, groupe PHB (Assured Forwarding PHB Group),définit 4 classes, avec 3 préséances d’abandon pour un total de 12 points de code:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except Nombre

Ne pas correspondre au DSCP number .

isid number

(pris en charge par le provider backbone bridging [PBB]) Identifiez l’identifiant de service Internet.

isid-dei number

(pris en charge par PBB) Correspondre au bit DEI (Internet Service Identifier, indicateur d’éligibilité aux abandons) de service Internet.

isid-dei-except number

(pris en charge par PBB) Ne correspondez pas à l’identifiant de service Internet BIT DEI.

isid-priority-code-point number

(pris en charge par PBB) Correspondre au point de code de priorité de l’identifiant de service Internet.

isid-priority-code-point-except number

(pris en charge par PBB) Ne correspondez pas au point de code de priorité de l’identifiant de service Internet.

learn-vlan-1p-priority value

(MX Series routeurs et EX Series commutateurs uniquement) Correspondance sur le IEEE 802.1p a appris des bits de priorité VLAN dans la balise VLAN du fournisseur (la seule balise sur une trame à balise unique avec les balises VLAN 802.1Q ou la balise extérieure dans une trame à double balise avec des balises VLAN 802.1Q). Spécifier une valeur unique ou plusieurs valeurs de 0 l’intermédiaire 7 .

Comparer avec la user-vlan-1p-priority condition de correspondance.

learn-vlan-1p-priority-except value

(MX Series routeurs et EX Series commutateurs uniquement) Do not match on the IEEE 802.1p learned VLAN priority bits. Pour plus d’informations, consultez la learn-vlan-1p-priority condition de correspondance.

learn-vlan-dei number

(pris en charge par le pontage) Identifier deI bit DEI de l’utilisateur virtuel (VLAN).

learn-vlan-dei-except number

(pris en charge par le pontage) Ne pas correspondre à l’identifiant VLAN utilisateur BIT DEI.

learn-vlan-id number

Identifiant VLAN utilisé pour l’apprentissage MAC.

learn-vlan-id-except number

Ne faites pas correspondre à l’identifiant VLAN utilisé pour l’apprentissage MAC.

loss-priority level

Niveau de priorité des pertes de paquets (PLP). Indiquez un niveau ou plusieurs niveaux: low, medium-low ou medium-highhigh .

Pris en charge sur M120 et M320 routeurs d’M120, M7i et M10i de liaisons avec le CFEB amélioré (CFEB-E) ; et MX Series routeurs et EX Series commutateurs.

Pour le trafic IP sur les routeurs M320, MX Series et T Series avec concentrateurs PIC flexibles (FPCS) et les commutateurs EX Series, vous devez inclure l’instruction au niveau de la hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux tri-color[edit class-of-service] spécifiés. Si tri-color l’instruction n’est pas activée, vous pouvez uniquement configurer les high niveaux et les low Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur tri-color l’énoncé, consultez le site Configuring and Applying Tricolor Marking Policers(Configurer et appliquer les policeurs de marquage tricolore). Pour plus d’informations sur l’utilisation de classificateurs BA (Behavior Aggregate) pour définir le niveau PLP des paquets entrants, consultez understanding how Forwarding Classes Assign classes to Output Queues.

loss-priority-except level

Ne correspondent pas au niveau de priorité de perte de paquet. Indiquez un niveau ou plusieurs niveaux: low, medium-low ou medium-highhigh .

Pour plus d’informations sur l’utilisation des classificateurs BA (Behavior Aggregate) pour définir le niveau de PLP des paquets entrants, consultez le rapport Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

port number

TCP ou UDP source ou port de destination. Vous ne pouvez pas spécifier à la fois la condition de correspondance et les conditions de correspondance port ou dans le même destination-portsource-port terme.

source-mac-address address

Adresse MAC source d’un paquet de couche 2.

source-port number

Champ source TCP ou UDP. Vous ne pouvez pas port spécifier et source-port assortir les conditions dans le même terme.

source-port-except

Ne pas correspondre au port source TCP/UDP.

tcp-flags flags

Faire correspondre un ou plusieurs des 6 bits de faible commande dans le champ des indicateurs TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimale suivantes:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques sur le champ bit.

La configuration de tcp-flags la condition de correspondance nécessite de configurer la condition de next-header-tcp correspondance.

traffic-type type

Type de trafic. Spécifier broadcastmulticast , ou unknown-unicastknown-unicast .

traffic-type-except type

Ne correspondent pas au type de trafic.

user-vlan-1p-priority value

(MX Series routeurs et EX Series commutateurs uniquement) Match sur la IEEE priorité utilisateur 802.1p de la balise VLAN du client (la balise interne dans une trame à double balise et balises VLAN 802.1Q). Spécifier une valeur unique ou plusieurs valeurs de 0 l’intermédiaire 7 .

Comparer avec la learn-vlan-1p-priority condition de correspondance.

user-vlan-1p-priority-except value

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre aux bits IEEE priorité des utilisateurs 802.1p. Pour plus d’informations, consultez la user-vlan-1p-priority condition de correspondance.

user-vlan-id number

(MX Series routeurs et EX Series commutateurs uniquement) Faire correspondre le premier identifiant VLAN qui fait partie de la charge utile.

user-vlan-id-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre au premier identifiant VLAN qui fait partie de la charge utile.

vlan-ether-type value

Champ de type VLAN Ethernet d’un paquet de pontage de couche 2.

vlan-ether-type-except value

Ne faites pas correspondre sur le champ de type VLAN Ethernet d’un paquet de pontage de couche 2.