Conditions de correspondance du filtre de pare-feu pour le trafic de pontage de couche 2

Uniquement sur les routeurs MX Series et les commutateurs EX Series, vous pouvez configurer un filtre de pare-feu sans état standard avec des conditions de correspondance pour le trafic de pontage de couche 2 (family bridge). Tableau 1 décrit ce que match-conditions vous pouvez configurer au niveau de la [edit firewall family bridge filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu standard pour le pontage de couche 2 (routeurs MX Series et commutateurs EX Series uniquement)
Condition de correspondance	Description
`destination-mac-address address`	Adresse MAC (Media Access Control) de destination d’un paquet de couche 2 dans un environnement de pontage.
`destination-port number`	Champ de port de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois les conditions de correspondance `port` et `destination-port` dans le même terme.
`destination-port-except`	Ne correspond pas au port de destination TCP/UDP.
`destination-prefix-list` `named-list`	Faites correspondre les préfixes de destination IP dans un `named-list`fichier .
`dscp number`	DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance. Vous pouvez spécifier une valeur numérique à partir de `0` .`63` Pour spécifier la valeur sous forme hexadécimale, incluez-la `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la `b` comme préfixe. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : `ef`(46). La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code : `af11`( 10), (12), (14), `af12af13` `af21`( 18), (20) et `af23` (22), `af22` `af31`( 26), (28) et `af33` (30), `af32` `af41`( 34), `af42` (36) et (38) `af43`
`dscp-except number`	Ne pas correspondre sur le numéro DSCP. Pour plus d’informations, consultez la condition de `dscp-except` correspondance.
`ether-type value`	Faites correspondre le champ IEEE 802.3 Length/EtherType de 2 octets à la valeur ou à la liste de valeurs spécifiée. Vous pouvez spécifier des valeurs décimales ou hexadécimales comprises entre 0 et 65535 (0xFFFF). Une valeur comprise entre 0 et 1500 (0x05DC) spécifie la longueur d’une trame Ethernet version 1. Une valeur comprise entre 1536 (0x0600) et 65535 spécifie le type Ethertype (nature du protocole client MAC) d’une trame Ethernet version 2. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs hexadécimales sont également répertoriées) : `aarp`( 0x80F3), (0x809B), (0x0806), (0x0800), (0x86DD), (0x8848), (0x8847), (0x8902), (0x880B), (0x8863), (0x8864), `snapppoe-discoveryoampppappletalkipv4pppoe-sessionarpipv6mpls-multicastmpls-unicast` (0x80D5). REMARQUE : Lors d’une correspondance sur une adresse ip ou une adresse ipv6, le type ether ipv4 ou ipv6, respectivement, doit également être spécifié afin de limiter les correspondances au trafic ip uniquement.
`ether-type-except value`	Ne faites pas correspondre le champ IEEE 802.3 Length/EtherType de 2 octets à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification de , reportez-vous à la `values`condition de `ether-type` correspondance.
`flexible-match-mask` `value`	`bit-length`	Longueur des données à mettre en correspondance en bits, non nécessaire pour l’entrée de chaîne (0..128)
	`bit-offset`	Décalage binaire après le décalage (match-start + octet) (0..7)
	`byte-offset`	Décalage d’octets après le point de départ de la correspondance
	`flexible-mask-name`	Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini
	`mask-in-hex`	Masquer les bits dans les données de paquet à mettre en correspondance
	`match-start`	Point de départ à faire correspondre dans le paquet
	`prefix`	Données/chaîne de valeur à mettre en correspondance

`flexible-match-range` `value`	`bit-length`	Longueur des données à apparier en bits (0..32)
	`bit-offset`	Décalage binaire après le décalage (match-start + octet) (0..7)
	`byte-offset`	Décalage d’octets après le point de départ de la correspondance
	`flexible-range-name`	Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini
	`match-start`	Point de départ à faire correspondre dans le paquet
	`range`	Plage de valeurs à faire correspondre
	`range-except`	Ne correspond pas à cette plage de valeurs

`forwarding class class`	Classe de transfert. Spécifiez `assured-forwarding`, , `expedited-forwardingbest-effort`, ou `network-control`.
`forwarding-class-except class`	Champ de type Ethernet d’un environnement de paquets de couche 2. Spécifiez `assured-forwarding`, , `expedited-forwardingbest-effort`, ou `network-control`.
`icmp-code message-code`	Faites correspondre le champ Code de message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de correspondance , `ip-protocol icmp6`ou `ip-protocol icmpv6` dans le `ip-protocol icmp`même terme. Si vous configurez cette condition de correspondance, vous devez également configurer la condition de `icmp-type message-type` correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés : problème_paramètre : `ip6-header-bad`( 0), (1), `unrecognized-next-headerunrecognized-option` (2) dépassement de temps : `ttl-eq-zero-during-reassembly`( 1), `ttl-eq-zero-during-transit` (0) destination-inaccessible : `address-unreachable`( 3), (1), (0), `administratively-prohibitedno-route-to-destinationport-unreachable` (4)
`icmp-code-except message-code`	Ne correspond pas au champ Code de message ICMP. Pour plus de détails, voir la condition de `icmp-code` correspondance.
`icmp-type message-type`	Faites correspondre le champ de type de message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de correspondance , `ip-protocol icmp6`ou `ip-protocol icmpv6` dans le `ip-protocol icmp`même terme. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : `destination-unreachable`( 1), `echo-reply` (129), (128), (130), (131), (132), (136), (135), (140), (139), (2), (4), (137), (134), (138), `router-solicitredirectneighbor-advertisementmembership-terminationneighbor-solicitmembership-reportnode-information-replynode-information-requestmembership-queryecho-requestparameter-problemrouter-advertisementpacket-too-bigrouter-renumbering` (133) ou `time-exceeded` (3).
`icmp-type-except message-type`	Ne correspond pas au champ Type de message ICMP. Pour plus de détails, voir la condition de `icmp-type` correspondance.
`interface interface-name`	Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui fait correspondre les paquets en fonction de l’interface sur laquelle ils ont été reçus. REMARQUE : Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.
`interface-group group-number`	Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces spécifié ou à l’ensemble de groupes d’interfaces. Pour `group-number`, spécifiez une valeur unique ou une plage de valeurs comprise entre `0` .`255` Pour affecter une interface logique à un groupe `group-number`d’interfaces, spécifiez le au niveau de `group-number` la `[interfaces interface-name unit number family family filter group]` hiérarchie. Pour plus d’informations, reportez-vous à la section Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.
`interface-group-except number`	Ne faites pas correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, voir la condition de `interface-group` correspondance.
`interface-set interface-set-name`	Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié. Pour définir un jeu d’interfaces , incluez l’instruction `interface-set` au niveau de la `[edit firewall]` hiérarchie. Pour plus d’informations, reportez-vous à la section Vue d’ensemble du filtrage des paquets reçus sur un ensemble d’interfaces.
`ip-address address`	Adresse 32 bits qui prend en charge la syntaxe standard pour les adresses IPv4. REMARQUE : Afin de limiter les correspondances au trafic IPv4 uniquement, le type ether ipv4 doit également être spécifié dans le même terme.
`ip-destination-address address`	Adresse 32 bits qui correspond à l’adresse du nœud de destination finale du paquet.
`ip-precedence ip-precedence-field`	Champ de priorité IP. À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : `critical-ecp`( 0xa0), (0x60), (0x80), (0x40), (0xc0), `flashinternet-controlimmediatenet-controlflash-override` (0xe0), `priority` (0x20) ou `routine` (0x00).
`ip-precedence-except ip-precedence-field`	Ne pas correspondre dans le champ Priorité IP.
`ip-protocol number`	Champ de protocole IP.
`ip-protocol-except`	Ne correspond pas au type de protocole IP.
`ip-source-address address`	Adresse IP du nœud source qui envoie le paquet.
`ipv6-address` `address`	(MX Series uniquement) Adresse 128 bits prenant en charge la syntaxe standard pour les adresses IPv6. REMARQUE : Afin de limiter les correspondances au trafic IPv6 uniquement, le type ether ipv6 doit également être spécifié dans le même terme.
`ipv6-destination-address` `address`	(MX Series uniquement) Adresse 128 bits qui est l’adresse de nœud de destination finale pour ce paquet.
`ipv6-destination-prefix-list` `named-list`	(MX Series uniquement) Faites correspondre les adresses de destination IPv6 dans un `named-list`fichier .
`ipv6-next-header` `protocol`	(MX Series uniquement) Correspond au type de protocole d’en-tête suivant IPv6. La liste suivante indique les valeurs prises en charge pour `protocol`: `ah`—En-tête d’authentification de la sécurité IP `dstopts`—Options de destination IPv6 `egp`—Protocole de passerelle extérieure `esp`—Charge utile de sécurité encapsulée IPSec `fragment`—En-tête de fragment IPv6 `gre`: encapsulation de routage générique `hop-by-hop`—Options IPv6 saut par saut `icmp`—Protocole de message de contrôle Internet `icmp6`—Internet Control Message Protocol version 6 `igmp`—Protocole de gestion de groupe Internet `ipip`—IP dans IP `ipv6`—IPv6 dans IP `no-next-header`—IPv6 sans en-tête suivant `ospf`—Open Shortest Path First `pim`—Multicast indépendant du protocole `routing`—En-tête de routage IPv6 `rsvp`—Protocole de réservation des ressources `sctp`—Protocole de transmission de contrôle de flux `tcp`—Protocole de contrôle de transmission `udp`—Protocole de datagramme utilisateur `vrrp`—Protocole de redondance de routeur virtuel
`ipv6-next-header-except` `protocol`	(MX Series uniquement) Ne correspond pas au type de protocole d’en-tête suivant IPv6.
`ipv6-payload-protocol` `protocol`	(MX Series uniquement) Correspond au type de protocole de charge utile IPv6. La liste suivante indique les valeurs prises en charge pour `protocol`: `ah`—En-tête d’authentification de la sécurité IP `dstopts`—Options de destination IPv6 `egp`—Protocole de passerelle extérieure `esp`—Charge utile de sécurité encapsulée IPSec `fragment`—En-tête de fragment IPv6 `gre`: encapsulation de routage générique `hop-by-hop`—Options IPv6 saut par saut `icmp`—Protocole de message de contrôle Internet `icmp6`—Internet Control Message Protocol version 6 `igmp`—Protocole de gestion de groupe Internet `ipip`—IP dans IP `ipv6`—IPv6 dans IP `no-next-header`—IPv6 sans en-tête suivant `ospf`—Open Shortest Path First `pim`—Multicast indépendant du protocole `routing`—En-tête de routage IPv6 `rsvp`—Protocole de réservation des ressources `sctp`—Protocole de transmission de contrôle de flux `tcp`—Protocole de contrôle de transmission `udp`—Protocole de datagramme utilisateur `vrrp`—Protocole de redondance de routeur virtuel
`ipv6-payload-protocol-except` `protocol`	(MX Series uniquement) Ne correspond pas au protocole de charge utile IPv6.
`ipv6-prefix-list` `named-list`	(MX Series uniquement) Faites correspondre l’adresse IPv6 dans un `named-list`fichier .
`ipv6-source-address` `address`	(MX Series uniquement) Adresse 128 bits correspondant à l’adresse du nœud source d’origine de ce paquet.
`ipv6-source-prefix-list` `named-list`	(MX Series uniquement) Faites correspondre l’adresse source IPv6 dans un `named-list`fichier .
`ipv6-traffic-class` `number`	(MX Series uniquement) DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance. Vous pouvez spécifier une valeur numérique à partir de `0` .`63` Pour spécifier la valeur sous forme hexadécimale, incluez-la `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la `b` comme préfixe. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : `ef`(46). La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code : `af11`( 10), (12), (14), `af12af13` `af21`( 18), (20) et `af23` (22), `af22` `af31`( 26), (28) et `af33` (30), `af32` `af41`( 34), `af42` (36) et (38) `af43`
`ipv6-traffic-class-except` `number`	Ne correspond pas au DSCP `number`.
`isid number`	(Pris en charge avec Provider Backbone Bridging [PBB]) Correspond à l’identificateur de service Internet.
`isid-dei number`	(Pris en charge avec PBB) Faites correspondre le bit de l’indicateur d’éligibilité à la baisse de l’identificateur de service Internet (DEI).
`isid-dei-except number`	(Pris en charge avec PBB) Ne correspond pas au bit DEI de l’identificateur de service Internet.
`isid-priority-code-point number`	(Pris en charge avec PBB) Faites correspondre le point de code de priorité de l’identificateur de service Internet.
`isid-priority-code-point-except number`	(Pris en charge avec PBB) Ne correspond pas au point de code prioritaire de l’identificateur de service Internet.
`learn-vlan-1p-priority value`	(Routeurs MX Series et commutateurs EX Series uniquement) Correspondance sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN fournisseur (la seule balise dans une trame à balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers `0` .`7` Comparer avec la condition de `user-vlan-1p-priority` correspondance.
`learn-vlan-1p-priority-except value`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité VLAN appris IEEE 802.1p. Pour plus de détails, voir la condition de `learn-vlan-1p-priority` correspondance.
`learn-vlan-dei number`	(Pris en charge par pontage) Correspond au bit DEI de l’identifiant VLAN virtuel (VLAN) de l’utilisateur.
`learn-vlan-dei-except number`	(Pris en charge par pontage) Ne correspond pas au bit DEI de l’identifiant VLAN de l’utilisateur.
`learn-vlan-id number`	Identificateur VLAN utilisé pour l’apprentissage MAC.
`learn-vlan-id-except number`	Ne correspond pas à l’identificateur VLAN utilisé pour l’apprentissage MAC.
`loss-priority level`	Niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, , `medium-lowmedium-high`, ou `high`. Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et les routeurs et commutateurs EX Series et MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) Enhanced II et des commutateurs EX Series, vous devez inclure l’instruction au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un `tri-color` des quatre niveaux spécifiés. Si l’instruction n’est `tri-color` pas activée, vous ne pouvez configurer que les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction, reportez-vous à la `tri-color`section Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.
`loss-priority-except level`	Ne correspond pas au niveau de priorité de perte de paquets. Spécifiez un ou plusieurs niveaux : `low`, , `medium-lowmedium-high`, ou `high`. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance.
`port number`	Port source ou de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois la condition de `port` correspondance et les conditions de correspondance ou `source-port` dans le `destination-port` même terme.
`source-mac-address address`	Adresse MAC source d’un paquet de couche 2.
`source-port number`	Champ de port source TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions de correspondance et `source-port` dans le même terme.
`source-port-except`	Ne correspond pas au port source TCP/UDP.
`tcp-flags flags`	Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP. Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants : `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits. La configuration de la condition de correspondance nécessite que vous configuriez la condition de `tcp-flagsnext-header-tcp` correspondance.
`traffic-type type`	Type de trafic. Spécifiez `broadcast`, , `unknown-unicastmulticast`, ou `known-unicast`.
`traffic-type-except type`	Ne pas correspondre sur le type de trafic.
`user-vlan-1p-priority value`	(Routeurs MX Series et commutateurs EX Series uniquement) Correspondance sur les bits de priorité utilisateur IEEE 802.1p dans la balise VLAN client (la balise interne dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers `0` .`7` Comparer avec la condition de `learn-vlan-1p-priority` correspondance.
`user-vlan-1p-priority-except value`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité utilisateur IEEE 802.1p. Pour plus de détails, voir la condition de `user-vlan-1p-priority` correspondance.
`user-vlan-id number`	(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre le premier identifiant VLAN qui fait partie de la charge utile.
`user-vlan-id-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne correspond pas au premier identifiant VLAN faisant partie de la charge utile.
`vlan-ether-type value`	Champ de type VLAN Ethernet d’un paquet de pontage de couche 2.
`vlan-ether-type-except value`	Ne pas correspondre dans le champ Type VLAN Ethernet d’un paquet de pontage de couche 2.

Conditions de correspondance du filtre de pare-feu pour le trafic de pontage de couche 2

Rubriques connexes