Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conditions de correspondance des filtres de pare-feu pour le trafic VPLS

Dans l’énoncé du terme du filtre VPLS, vous spécifiez les conditions que le paquet doit correspondre à l’action dans fromthen l’instruction à prendre. Toutes les conditions de from la déclaration doivent correspondre pour que l’action soit prise. L’ordre dans lequel vous spécifiez les conditions de correspondance n’est pas important, car un paquet doit correspondre à toutes les conditions à durée d’une correspondance.

Si vous spécifiez aucune condition de correspondance dans un terme, ce terme correspond à tous les paquets.

Une condition individuelle dans une from instruction peut contenir une liste de valeurs. Par exemple, vous pouvez spécifier des plages numériques. Vous pouvez également spécifier plusieurs adresses source ou adresses de destination. Lorsqu’une condition définit une liste de valeurs, une correspondance est entreprise si l’une des valeurs de la liste correspond au paquet.

Il est possible de ne pas utiliser les conditions from individuelles dans une déclaration. Lorsque vous redéfinissez une condition, vous définissez une insmatérialisation explicite. Par exemple, la condition de correspondance pour est forwarding-classforwarding-class-except . Si un paquet est assorti d’une condition nantée, il est immédiatement considéré comme ne pas correspondre à l’énoncé et le terme suivant est évalué dans le filtre, s’il en existe from une. S’il n’y a plus de termes, le paquet est éliminé.

Vous pouvez configurer un filtre de pare-feu avec les conditions de correspondance du trafic VPLS (Virtual Private LAN Service, service de réseau local privé virtuel ou VPLS) ( ) décrit celui que vous pouvez configurer au niveau family vplsTableau 1 de la match-conditions[edit firewall family vpls filter filter-name term term-name from] hiérarchie.

Remarque :

Toutes les conditions de trafic VPLS ne sont pas toutes prise en charge sur toutes les plates-formes de routage ou plates-formes de commutation. Un certain nombre de conditions de correspondance du trafic VPLS sont uniquement MX Series prise en charge Plates-formes de routage universelles 5G.

Dans la documentation VPLS, le mot routeur en termes tels que routeur PE est utilisé pour désigner n’importe quel équipement qui fournit des fonctions de routage.

Tableau 1 : Conditions de correspondance des filtres de pare-feu pour le trafic VPLS

Condition de correspondance

Description

destination-mac-address address

Correspondance avec l’adresse MAC de destination (MAC) d’un paquet VPLS.

destination-port number

(MX Series routeurs et EX Series commutateurs uniquement) Faire correspondre le champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions et les portdestination-port assortir dans un même terme.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les numéros de port sont également répertoriés): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftpftp-data (21), http (20), (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-propkrbupdate (754), (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntppop3 (123), (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnettftp (23), (69), timed (525), who (513) ou xdmcp (177).

destination-port-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre sur le champ de port de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois les conditions et les portdestination-port assortir dans un même terme.

destination-prefix-list name

(ACX Series routeurs, routeurs MX Series et commutateurs d’EX Series uniquement) Assortir les préfixes de destination dans la liste spécifiée. Indiquez le nom d’une liste de préfixes définie au [edit policy-options prefix-list prefix-list-name niveau de la hiérarchie.

Remarque :

Seules les adresses IPv4 sont prise en charge par les listes de préfixes VPLS. Les adresses IPv6 incluses dans une liste de préfixes VPLS seront éliminées.

destination-prefix-list name except

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre les préfixes de destination dans la liste spécifiée. Pour plus d’informations, consultez la destination-prefix-list condition de correspondance.

dscp number

(MX Series routeurs et EX Series commutateurs uniquement) Correspondre au point de code differentiated services (DSCP). Le protocole DiffServ utilise le type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet investissement constituent le DSCP. Pour plus d’informations, consultez le site Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

Vous pouvez spécifier une valeur numérique de 0 par 63 . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure 0x comme préfixe. Pour spécifier la valeur dans un format binaire, inclure b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code: ef(46).

  • RFC 2597, groupe PHB (Assured Forwarding PHB Group),définit 4 classes, avec 3 préséances d’abandon pour un total de 12 points de code:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre sur le DSCP. Pour plus d’informations, consultez la dscp condition de correspondance.

ether-type values

Faire correspondre le champ 2 octet IEEE longueur/EtherType 802.3 à la valeur ou liste de valeurs spécifiées.

Vous pouvez spécifier des valeurs décimales ou hexadécimaux de 0 à 65535 (0xFFFF). Une valeur de 0 à 1 500 (0x05DC) spécifie la longueur d’une trame Ethernet version 1. Une valeur de 1 536 (0x0600) à 65535 spécifie l’EtherType (nature du protocole client MAC) d’une trame Ethernet version 2.

En lieu et place de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs hexadécimale sont également répertoriées): aarp(0x80F3), appletalk (0x809B), arp (0x0806), ipv4 (0x0800), ipv6mpls-multicast (0x86DD), mpls-unicast (0x8848), oam (0x8847), (0x8902), ppp (0x880B), pppoe-discoverypppoe-session (0x8863), (0x8864) ou sna (0x80D5).

ether-type-except values

Ne faites pas correspondre le champ Longueur/EtherType de 2 octet à la valeur ou à la liste de valeurs spécifiées.

Pour plus d’informations sur la spécification de values l', consultez la ether-type condition de correspondance.

flexible-match-mask value

bit-length

À partir Junos OS 14.2, les filtres de compensation flexibles sont pris en charge dans les configurations hiérarchiques de pare-feu.

Longueur des données à assortir en bits, non requise pour l’entrée de chaîne (0.128)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-mask-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

mask-in-hex

Masquer les bits dans les données de paquet pour les faire correspondre

match-start

Point de départ pour correspondance dans le paquet

prefix

Valeur de données/chaîne à correspondre

 

flexible-match-range value

bit-length

Longueur des données à correspondre en bits (0.32)

bit-offset

Bits compenser après le décalage (0,7)

byte-offset

Compensation des bytes après le point de début de la correspondance

flexible-range-name

Sélectionnez une correspondance flexible dans un champ de modèle prédéfiny

match-start

Point de départ pour correspondance dans le paquet

range

Plage de valeurs à correspondre

range-except

Ne correspond pas à cette gamme de valeurs

 

forwarding-class class

Correspondent à la classe de forwarding. Spécifier assured-forwardingbest-effort , ou expedited-forwardingnetwork-control .

forwarding-class-except class

Ne correspondent pas à la classe de forwarding. Pour plus d’informations, consultez la forwarding-class condition de correspondance.

icmp-code message-code

Correspondre au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer cette condition ou de la assortir next-header icmpnext-header icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés selon le type d’ICMP auquel ils sont associés:

  • paramètre du problème: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • dépassé dans le temps: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • la destination n’est pas mise en cache: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Ne correspondez pas au champ de code de message ICMP. Pour plus d’informations, consultez la icmp-code condition de correspondance.

icmp-code number

(MX Series routeurs et EX Series commutateurs uniquement) Correspondre au champ de code de message ICMP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer cette condition ou de la assortir ip-protocol icmpip-protocol icmp6 dans le même terme.

Si vous configurez cette condition de correspondance, vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées). Les mots-clés sont regroupés selon le type d’ICMP auquel ils sont associés:

  • paramètre du problème: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • dépassé dans le temps: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • la destination n’est pas mise en cache: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne pas correspondre au champ de code ICMP. Pour plus d’informations, consultez la icmp-code condition de correspondance.

interface interface-name

Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui correspond aux paquets en fonction de l’interface sur laquelle ils ont été reçus.

Remarque :

Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.

interface-group group-number

Faire correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interface ou ensemble de groupes d’interfaces spécifiés. Pour group-number , spécifier une valeur unique ou une plage de valeurs de 0 l’à 255 la .

Pour attribuer une interface logique à un groupe group-number d’interfaces, spécifiez le group-number niveau [interfaces interface-name unit number family family filter group] hiérarchique.

Pour plus d’informations, consultez la présentation des paquets de filtrage reçus dans un ensemble de groupes d’interfaces.

Remarque :

Cette condition de correspondance n’est pas prise en charge T4000 FPC de type 5.

interface-group-except group-name

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu vers le groupe ou ensemble d’interfaces spécifié. Pour plus d’informations, consultez la interface-group condition de correspondance.

Remarque :

Cette condition de correspondance n’est pas prise en charge T4000 FPC de type 5.

interface-set interface-set-name

Assortir l’interface sur laquelle le paquet a été reçu sur l’ensemble d’interface spécifié.

Pour définir un ensemble d’interfaces, inclure interface-set l’instruction au niveau [edit firewall] de la hiérarchie. Pour plus d’informations, consultez la présentation du filtrage des paquets reçus dans un ensemble d’interfaces.

ip-address address

(MX Series routeurs et EX Series uniquement) adresse 32 bits qui prend en charge la syntaxe standard pour les adresses IPv4.

Notez que lorsque vous utilisez ce terme, la condition de correspondance IPv4 de type IPv4 doit être définie sur le même terme.

ip-destination-address address

(MX Series routeurs et EX Series commutateurs uniquement) Adresse 32 bits qui est l’adresse de destination finale du paquet.

Notez que lorsque vous utilisez ce terme, la condition de correspondance IPv4 de type IPv4 doit être définie sur le même terme.

ip-precedence ip-precedence-field

(MX Series routeurs et EX Series commutateurs uniquement) Domaine de préséance IP. Au lieu de la valeur numérique du champ, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs de champ sont également répertoriées): critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), (0x40), internet-controlnet-control (0xc0), priority (0xe0), (0x20) ou routine (0x00).

ip-precedence-except ip-precedence-field

(MX Series routeurs et EX Series commutateurs uniquement) Ne correspondent pas sur le champ de préséance IP.

ip-protocol number

(MX Series routeurs et EX Series commutateurs uniquement) Champ des protocoles IP.

ip-protocol-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne correspondent pas sur le champ de protocole IP.

ip-source-address address

(MX Series routeurs et EX Series commutateurs uniquement) Adresse IP du nœud source qui envoie le paquet.

Notez que lorsque vous utilisez ce terme, la condition de correspondance IPv4 de type IPv4 doit également être définie sur le même terme.

ipv6-source-prefix-list liste nommée

(MX Series uniquement) Correspondre à l’adresse source IPv6 dans une liste nommée.

ipv6-address adresse

(MX Series et EX9200 uniquement) adresse 128 bits qui prend en charge la syntaxe standard pour les adresses IPv6. À partir Junos OS 14.2, les critères de correspondance IPv6 de la famille de pare-feu sont pris en charge MX Series et EX9200 commutateurs.

ipv6-destination-address adresse

(MX Series et EX9200 uniquement) adresse 128 bits qui constitue l’adresse de destination finale de ce paquet. Notez que lorsque vous utilisez ce terme, la condition de correspondance ether-type IPv6 doit être définie sur le même terme.

ipv6-destination-prefix-list liste nommée

(MX Series uniquement) Correspondez aux adresses de destination IPv6 dans une liste nommée.

ipv6-next-header Protocole

(MX Series uniquement) Assortir le type de protocole d’en-tête suivant IPv6.

La liste suivante indique les valeurs prise en charge pour le protocole:

  • ah—En-tête de l’authentification de la sécurité IP

  • dstopts— Options de destination IPv6

  • egp—Protocole de passerelle d’insérieur

  • esp—Encapsulation de la charge utile de sécurité IPSec

  • fragment—En-tête du fragment IPv6

  • gre—Encapsulation de routage générique

  • hop-by-hop—Options de saut par saut IPv6

  • icmp—Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol version 6

  • igmp—Internet Group Management Protocol

  • ipip—IP dans IP

  • ipv6—IPv6 dans IP

  • no-next-header—IPv6: pas d’en-tête suivant

  • ospf—Open Shortest Path First

  • pim— Multicast indépendant du protocole

  • routing—En-tête de routage IPv6

  • rsvp— Protocole de réservation de ressources

  • sctp— Protocole de transmission de contrôle de flux

  • tcp— Protocole de contrôle des transmissions

  • udp— Protocole Datagram utilisateur

  • vrrp—Protocole de redondance des routeurs virtuels

ipv6-next-header-except Protocole

(MX Series uniquement) Ne correspondent pas au type de protocole iPv6 suivant d’en-tête.

ipv6-payload-protocol Protocole

(MX Series uniquement) Correspondent au type de charge utile IPv6.

La liste suivante indique les valeurs prise en charge pour le protocole:

  • ah—En-tête de l’authentification de la sécurité IP

  • dstopts— Options de destination IPv6

  • egp—Protocole de passerelle d’insérieur

  • esp—Encapsulation de la charge utile de sécurité IPSec

  • fragment—En-tête du fragment IPv6

  • gre—Encapsulation de routage générique

  • hop-by-hop—Options de saut par saut IPv6

  • icmp—Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol version 6

  • igmp—Internet Group Management Protocol

  • ipip—IP dans IP

  • ipv6—IPv6 dans IP

  • no-next-header—IPv6: pas d’en-tête suivant

  • ospf—Open Shortest Path First

  • pim— Multicast indépendant du protocole

  • routing—En-tête de routage IPv6

  • rsvp— Protocole de réservation de ressources

  • sctp— Protocole de transmission de contrôle de flux

  • tcp— Protocole de contrôle des transmissions

  • udp— Protocole Datagram utilisateur

  • vrrp—Protocole de redondance des routeurs virtuels

ipv6-payload-protocol-except Protocole

(MX Series uniquement) Ne correspondent pas au protocole de charge utile IPv6.

ipv6-prefix-list liste nommée

(MX Series uniquement) Correspondez à l’adresse IPv6 dans une liste nommée.

ipv6-source-address adresse

(MX Series uniquement) adresse 128 bits qui est l’adresse source d’origine de ce paquet.

ipv6-traffic-class Nombre

(MX Series uniquement) Point de code de services différenciés (DSCP). Le protocole DiffServ utilise le type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet investissement constituent le DSCP. Pour plus d’informations, consultez le site Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

Vous pouvez spécifier une valeur numérique de 0 par 63 . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure 0x comme préfixe. Pour spécifier la valeur dans un format binaire, inclure b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes (les valeurs du champ sont également répertoriées):

  • RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code: ef(46).

  • RFC 2597, groupe PHB (Assured Forwarding PHB Group),définit 4 classes, avec 3 préséances d’abandon pour un total de 12 points de code:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except Nombre

Ne pas correspondre au DSCP number .

learn-vlan-1p-priority number

(MX Series routeurs, routeurs M320 et commutateurs EX Series uniquement) Correspondance sur le IEEE 802.1p a appris des bits de priorité VLAN dans la balise VLAN du fournisseur (la seule balise sur une trame à balise unique avec les balises VLAN 802.1Q ou la balise extérieure dans une trame à double balise avec des balises VLAN 802.1Q). Spécifier une valeur unique ou plusieurs valeurs de 0 l’intermédiaire 7 .

Comparer avec la user-vlan-1p-priority condition de correspondance.

Remarque :

Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320 de contrôle.

learn-vlan-1p-priority-except number

(MX Series routeurs, routeurs M320 et commutateurs EX Series uniquement) Do not match on the IEEE 802.1p learned VLAN priority bits. Pour plus d’informations, consultez la learn-vlan-1p-priority condition de correspondance.

Remarque :

Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320 de contrôle.

learn-vlan-dei

(MX Series routeurs et EX Series commutateurs uniquement) Correspondre à l’indicateur de d’eligabilité de l’ID VLAN utilisateur (DEI).

learn-vlan-dei-except

(MX Series routeurs et EX Series commutateurs uniquement) Ne pas correspondre à l’ID VLAN utilisateur bit DEI.

learn-vlan-id number

(MX Series routeurs et EX Series commutateurs uniquement) Identifiant VLAN utilisé pour l’apprentissage MAC.

learn-vlan-id-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre à l’identifiant VLAN utilisé pour l’apprentissage MAC.

loss-priority level

Niveau de priorité des pertes de paquets (PLP). Indiquez un niveau ou plusieurs niveaux: low, medium-low ou medium-highhigh .

Pris en charge sur M120 et M320 routeurs d’M120, M7i et M10i de liaisons avec le CFEB amélioré (CFEB-E) ; et MX Series routeurs.

Pour le trafic IP sur les routeurs M320, MX Series et T Series avec les concentrateurs PIC flexibles (FPPC) et les commutateurs EX Series, vous devez inclure l’instruction au niveau de la hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux tri-color[edit class-of-service] spécifiés. Si tri-color l’instruction n’est pas activée, vous pouvez uniquement configurer les high niveaux et les low Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’énoncé et l’utilisation de classificateurs BA (Behavior Aggregate) pour définir le niveau de PLP des tri-color paquets entrants, consultez understanding how Forwarding Classes Assign Classes to Output Queues.

loss-priority-except level

Ne correspondent pas au niveau de priorité de perte de paquet. Indiquez un niveau ou plusieurs niveaux: low, medium-low ou medium-highhigh .

Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportements (BA) pour définir le niveau de PLP des paquets entrants, consultez la partie Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.

port number

(MX Series routeurs et EX Series commutateurs uniquement) TCP ou UDP source ou port de destination. Vous ne pouvez pas spécifier à la fois la condition de correspondance et l’une ou l’autre de ces port conditions dans le même destination-portsource-port terme.

port-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre sur le port TCP ou UDP source ou de destination. Vous ne pouvez pas spécifier à la fois la condition de correspondance et l’une ou l’autre de ces port conditions dans le même destination-portsource-port terme.

prefix-list name

(MX Series routeurs et EX Series commutateurs uniquement) Correspondez à la destination ou aux préfixes source dans la liste spécifiée. Indiquez le nom d’une liste de préfixes définie au [edit policy-options prefix-list prefix-list-name niveau de la hiérarchie.

Remarque :

Seules les adresses IPV4 sont prise en charge par les listes de préfixes VPLS. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront éliminées.

prefix-list name except

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre la destination ou les préfixes source dans la liste spécifiée. Pour plus d’informations, consultez la destination-prefix-list condition de correspondance.

source-mac-address address

Adresse MAC source d’un paquet VPLS.

source-port number

(MX Series routeurs et EX Series commutateurs uniquement) Champ source TCP ou UDP. Vous ne pouvez pas port spécifier et source-port assortir les conditions dans le même terme.

source-port-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre sur le champ de port source TCP ou UDP. Vous ne pouvez pas port spécifier et source-port assortir les conditions dans le même terme.

source-prefix-list name

(ACX Series routeurs, routeurs MX Series et commutateurs d’EX Series uniquement) Assortissez les préfixes source dans la liste de préfixes spécifiée. Indiquez un nom de liste de préfixe défini au niveau [edit policy-options prefix-list prefix-list-name] de la hiérarchie.

Remarque :

Seules les adresses IPV4 sont prise en charge par les listes de préfixes VPLS. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront éliminées.

source-prefix-list name except

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre les préfixes source dans la liste de préfixes spécifiée. Pour plus d’informations, consultez la source-prefix-list condition de correspondance.

tcp-flags flags

Faire correspondre un ou plusieurs des 6 bits de faible commande dans le champ des indicateurs TCP 8 bits dans l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimale suivantes:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques sur le champ bit.

Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer cette condition de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur next-header tcp le port.

traffic-type type-name

(MX Series routeurs et EX Series commutateurs uniquement) Type de trafic. Spécifier broadcastmulticast , ou unknown-unicastknown-unicast .

traffic-type-except type-name

(MX Series routeurs et EX Series commutateurs uniquement) Ne correspondent pas au type de trafic. Spécifier broadcastmulticast , ou unknown-unicastknown-unicast .

user-vlan-1p-priority number

(MX Series routeurs, routeurs M320 et commutateurs EX Series uniquement) Match sur la IEEE priorité utilisateur 802.1p de la balise VLAN du client (la balise interne dans une trame à double balise et balises VLAN 802.1Q). Spécifier une valeur unique ou plusieurs valeurs de 0 l’intermédiaire 7 .

Comparer avec la learn-vlan-1p-priority condition de correspondance.

Remarque :

Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320 de contrôle.

user-vlan-1p-priority-except number

(MX Series routeurs, routeurs M320 et commutateurs EX Series routeurs uniquement) Ne faites pas correspondre aux bits IEEE priorité des utilisateurs 802.1p. Pour plus d’informations, consultez la user-vlan-1p-priority condition de correspondance.

Remarque :

Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320 de contrôle.

user-vlan-id number

(MX Series routeurs et EX Series commutateurs uniquement) Faire correspondre le premier identifiant VLAN qui fait partie de la charge utile.

user-vlan-id-except number

(MX Series routeurs et EX Series commutateurs uniquement) Ne faites pas correspondre au premier identifiant VLAN qui fait partie de la charge utile.

vlan-ether-type value

Champ De type VLAN Ethernet d’un paquet VPLS.

vlan-ether-type-except value

Ne faites pas correspondre sur le champ de type VLAN Ethernet d’un paquet VPLS.

Tableau de l'historique des versions
Version
Description
14.2
À partir Junos OS 14.2, les filtres de compensation flexibles sont pris en charge dans les configurations hiérarchiques de pare-feu.
14.2
À partir Junos OS 14.2, les critères de correspondance IPv6 de la famille de pare-feu sont pris en charge MX Series et EX9200 commutateurs.