Conditions de correspondance du filtre de pare-feu pour le trafic VPLS

Dans l’instruction from du terme de filtre VPLS, vous spécifiez les conditions auxquelles le paquet doit correspondre pour l’action dans l’instruction then à effectuer. Toutes les conditions de l’instruction from doivent correspondre pour que l’action soit prise. L’ordre dans lequel vous spécifiez des conditions de correspondance n’est pas important, car un paquet doit correspondre à toutes les conditions d’un terme pour qu’une correspondance se produise.

Si vous ne spécifiez aucune condition de correspondance dans un terme, ce terme correspond à tous les paquets.

Une condition individuelle d’une from instruction peut contenir une liste de valeurs. Par exemple, vous pouvez spécifier des plages numériques. Vous pouvez également spécifier plusieurs adresses source ou de destination. Lorsqu’une condition définit une liste de valeurs, une correspondance se produit si l’une des valeurs de la liste correspond au paquet.

Les conditions individuelles d’une from déclaration peuvent être niées. Lorsque vous annulez une condition, vous définissez une incompatibilité explicite. Par exemple, la condition de correspondance nongate pour forwarding-class est forwarding-class-except. Si un paquet correspond à une condition non-valide, il est immédiatement considéré comme ne correspondant pas à l’instruction from , et le terme suivant du filtre est évalué, s’il y en a une. S’il n’y a plus de termes, le paquet est jeté.

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic VPLS (family vplsVirtual Private LAN Service). Le tableau 1 décrit les match-conditions éléments que vous pouvez configurer au niveau de la [edit firewall family vpls filter filter-name term term-name from] hiérarchie.

Note:

Toutes les conditions de correspondance pour le trafic VPLS ne sont pas prises en charge sur toutes les plates-formes de routage ou de commutation. Un certain nombre de conditions de correspondance pour le trafic VPLS ne sont prises en charge que sur les plates-formes de routage universelles 5G MX Series.

Dans la documentation VPLS, le mot routeur en termes tels que routeur PE est utilisé pour désigner tout équipement fournissant des fonctions de routage.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic VPLS
Condition de correspondance	Description
`destination-mac-address address`	Correspond à l’adresse MAC (Destination Media Access Control) d’un paquet VPLS.
`destination-port number`	(routeurs MX Series et commutateurs EX Series uniquement) Correspond au champ de port de destination UDP ou TCP. Vous ne pouvez pas spécifier les `port` conditions et `destination-port` les correspondre dans le même terme. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : `afs` (1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), (512) `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), (143), `imap` `kerberos-sec` (88), (543), `klogin` `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), (119), `nntp` `ntalk` (518), (123), `ntp` (110), `pop3` (1723), `pptp` (515), `printer` `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`destination-port-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au champ de port de destination TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions et `destination-port` les correspondre dans le même terme.
`destination-prefix-list name`	(routeurs ACX Series, routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre les préfixes de destination dans la liste spécifiée. Spécifiez le nom d’une liste de préfixes définie au niveau ] hiérarchique `[edit policy-options prefix-list prefix-list-name`. Note: Les listes de préfixes VPLS ne prennent en charge que les adresses IPv4. Les adresses IPv6 incluses dans une liste de préfixes VPLS seront ignorées.
`destination-prefix-list name except`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas aux préfixes de destination de la liste spécifiée. Pour plus d’informations, consultez la condition de `destination-prefix-list` correspondance.
`dscp number`	(routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre le point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet octet forment le DSCP. Pour plus d’informations, consultez le guide Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic fiable. Vous pouvez spécifier une valeur numérique à partir de `0` `63`. Pour spécifier la valeur sous forme hexadécimale, incluez `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez `b` comme préfixe. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : RFC 3246, Un PHB de transfert accéléré (par comportement par saut) définit un point de code : `ef` (46). RFC 2597, Groupe PHB de transfert assuré, définit 4 classes, avec 3 niveaux de priorité dans chaque classe, pour un total de 12 points de code : `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`dscp-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas sur le DSCP. Pour plus de détails, consultez l’état des `dscp` correspondances.
`ether-type values`	Faites correspondre le champ IEEE 802.3 Length/EtherType de 2 octets à la valeur ou à la liste de valeurs spécifiées. Vous pouvez spécifier des valeurs décimales ou hexadécimales de 0 à 65535 (0xFFFF). Une valeur comprise entre 0 et 1 500 (0x05DC) spécifie la longueur d’une trame Ethernet version 1. Une valeur comprise entre 1536 (0x0600) et 65535 spécifie l’EtherType (nature du protocole client MAC) d’une trame Ethernet version 2. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs hexadécimales sont également répertoriées) : `aarp` (0x80F3), `appletalk` (0x809B), `arp` (0x0806), `ipv4` (0x0800), `ipv6` (0x86DD), `mpls-multicast` (0x8848), `mpls-unicast` (0x8847), `oam` (0x8902), `ppp` (0x880B), `pppoe-discovery` (0x8863), `pppoe-session` (0x8864) ou `sna` (0x80D5).
`ether-type-except values`	Ne faites pas correspondre le champ Longueur/EtherType de 2 octets à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification du `values`, voir la condition de `ether-type` correspondance.
`flexible-match-mask` `value`	`bit-length`	À partir de Junos OS 14.2, les filtres de décalage flexibles sont pris en charge dans les configurations hiérarchiques de pare-feu. Longueur des données à correspondre en bits, non nécessaire pour l’entrée de chaîne (0..128)
	`bit-offset`	Bit offset après le décalage (match-start + octet) offset (0..7)
	`byte-offset`	Décalage d’octet après le point de départ de la correspondance
	`flexible-mask-name`	Sélectionnez une correspondance flexible dans le champ de modèle prédéfini
	`mask-in-hex`	Masquer les bits dans les données de paquets à correspondre
	`match-start`	Point de départ correspondant dans le paquet
	`prefix`	Données de valeur/chaîne à apparier

`flexible-match-range` `value`	`bit-length`	Longueur des données à apparier en bits (0..32)
	`bit-offset`	Bit offset après le décalage (match-start + octet) offset (0..7)
	`byte-offset`	Décalage d’octet après le point de départ de la correspondance
	`flexible-range-name`	Sélectionnez une correspondance flexible dans le champ de modèle prédéfini
	`match-start`	Point de départ correspondant dans le paquet
	`range`	Plage de valeurs à correspondre
	`range-except`	Ne pas correspondre à cette plage de valeurs

`forwarding-class class`	Correspondez à la classe de transfert. Spécifiez `assured-forwarding`, `best-effort`ou `expedited-forwardingnetwork-control`.
`forwarding-class-except class`	Ne correspondez pas à la classe de transfert. Pour plus de détails, consultez l’état des `forwarding-class` correspondances.
`icmp-code message-code`	Correspond au champ de code du message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la ou la `next-header icmp` `next-header icmp6` condition de correspondance dans le même terme. Si vous configurez cette condition de correspondance, vous devez également configurer la condition de `icmp-type message-type` correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées). Les mots clés sont regroupés par type ICMP auquel ils sont associés : problème de paramètres : `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) dépassement de temps : `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) inaccessible à destination : `address-unreachable` (3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	Ne correspondez pas au champ de code du message ICMP. Pour plus de détails, consultez l’état des `icmp-code` correspondances.
`icmp-code number`	(routeurs MX Series et commutateurs EX Series uniquement) Correspond au champ de code du message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la ou la `ip-protocol icmp` `ip-protocol icmp6` condition de correspondance dans le même terme. Si vous configurez cette condition de correspondance, vous devez également configurer la condition de `icmp-type message-type` correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées). Les mots clés sont regroupés par type ICMP auquel ils sont associés : problème de paramètres : `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) dépassement de temps : `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) inaccessible à destination : `address-unreachable` (3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas sur le champ de code ICMP. Pour plus de détails, consultez l’état des `icmp-code` correspondances.
`interface interface-name`	Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui correspond aux paquets en fonction de l’interface sur laquelle ils ont été reçus. Note: Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.
`interface-group group-number`	Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour `group-number`, spécifiez une seule valeur ou une plage de valeurs de `0` jusqu’à `255`. Pour attribuer une interface logique à un groupe `group-number`d’interfaces , spécifiez le `group-number` au niveau de la `[interfaces interface-name unit number family family filter group]` hiérarchie. Pour plus d’informations, consultez la présentation du filtrage des paquets reçus sur un ensemble de groupes d’interface. Note: Cette condition de correspondance n’est pas prise en charge sur les SPC T4000 de type 5.
`interface-group-except group-name`	Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, consultez l’état des `interface-group` correspondances. Note: Cette condition de correspondance n’est pas prise en charge sur les SPC T4000 de type 5.
`interface-set interface-set-name`	Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié. Pour définir un ensemble d’interfaces, incluez l’instruction `interface-set` au niveau de la `[edit firewall]` hiérarchie. Pour plus d’informations, voir Filtrage des paquets reçus sur un ensemble d’interfaces.
`ip-address address`	(routeurs MX Series et commutateurs EX Series uniquement) adresse 32 bits prenant en charge la syntaxe standard des adresses IPv4. Notez que lorsque vous utilisez ce terme, la condition de correspondance de type IPv4 doit être définie sur le même terme.
`ip-destination-address address`	(routeurs MX Series et commutateurs EX Series uniquement) adresse 32 bits qui est l’adresse de nœud de destination finale du paquet. Notez que lorsque vous utilisez ce terme, la condition de correspondance de type IPv4 doit être définie sur le même terme.
`ip-precedence ip-precedence-field`	(routeurs MX Series et commutateurs EX Series uniquement) Champ de priorité IP. Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : `critical-ecp` (0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) ou `routine` (0x00).
`ip-precedence-except ip-precedence-field`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au champ de priorité IP.
`ip-protocol number`	(routeurs MX Series et commutateurs EX Series uniquement) Champ protocole IP.
`ip-protocol-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au champ du protocole IP.
`ip-source-address address`	(routeurs MX Series et commutateurs EX Series uniquement) Adresse IP du nœud source qui envoie le paquet. Notez que lorsque vous utilisez ce terme, la condition de correspondance de type IPv4 doit également être définie sur le même terme.
`ipv6-source-prefix-list` `named-list`	(MX Series uniquement) Correspondez à l’adresse source IPv6 dans un .`named-list`
`ipv6-address` `address`	(MX Series et EX9200 uniquement) adresse 128 bits prenant en charge la syntaxe standard des adresses IPv6. À partir de Junos OS 14.2, les critères de correspondance IPv6 de la famille de pare-feu sont pris en charge sur les commutateurs MX Series et EX9200.
`ipv6-destination-address` `address`	((MX Series et EX9200 uniquement) adresse 128 bits qui est l’adresse de nœud de destination finale de ce paquet. Notez que lorsque vous utilisez ce terme, la condition `ether-type IPv6` de correspondance doit être définie sur le même terme.
`ipv6-destination-prefix-list` `named-list`	(MX Series uniquement) Faites correspondre les adresses de destination IPv6 dans un .`named-list`
`ipv6-next-header` `protocol`	(MX Series uniquement) Correspondez au type de protocole d’en-tête suivant IPv6. La liste suivante présente les valeurs prises en charge pour `protocol`: `ah`— En-tête d’authentification IP Security `dstopts`— Options de destination IPv6 `egp`— Protocole de passerelle extérieure `esp`— Charge utile d’encapsulation de sécurité IPSec `fragment`— En-tête de fragment IPv6 `gre`— Encapsulation de routage générique `hop-by-hop`— Options IPv6 saut par saut `icmp`— Internet Control Message Protocol `icmp6`— Internet Control Message Protocol version 6 `igmp`— Protocole de gestion des groupes Internet `ipip`— IP dans IP `ipv6`— IPv6 dans IP `no-next-header`— IPv6 pas d’en-tête suivant `ospf`— Open Shortest Path First `pim`— Multicast indépendant du protocole `routing`— En-tête de routage IPv6 `rsvp`— Protocole de réservation des ressources `sctp`— Protocole de transmission de contrôle de flux `tcp`— Protocole de contrôle de transmission `udp`— Protocole Datagram utilisateur `vrrp`— Protocole de redondance de routeur virtuel
`ipv6-next-header-except` `protocol`	(MX Series uniquement) Ne correspondez pas au type de protocole d’en-tête suivant IPv6.
`ipv6-payload-protocol` `protocol`	(MX Series uniquement) Correspondance du type de protocole de charge utile IPv6. La liste suivante présente les valeurs prises en charge pour `protocol`: `ah`— En-tête d’authentification IP Security `dstopts`— Options de destination IPv6 `egp`— Protocole de passerelle extérieure `esp`— Charge utile d’encapsulation de sécurité IPSec `fragment`— En-tête de fragment IPv6 `gre`— Encapsulation de routage générique `hop-by-hop`— Options IPv6 saut par saut `icmp`— Internet Control Message Protocol `icmp6`— Internet Control Message Protocol version 6 `igmp`— Protocole de gestion des groupes Internet `ipip`— IP dans IP `ipv6`— IPv6 dans IP `no-next-header`— IPv6 pas d’en-tête suivant `ospf`— Open Shortest Path First `pim`— Multicast indépendant du protocole `routing`— En-tête de routage IPv6 `rsvp`— Protocole de réservation des ressources `sctp`— Protocole de transmission de contrôle de flux `tcp`— Protocole de contrôle de transmission `udp`— Protocole Datagram utilisateur `vrrp`— Protocole de redondance de routeur virtuel
`ipv6-payload-protocol-except` `protocol`	(MX Series uniquement) Ne correspondez pas au protocole de charge utile IPv6.
`ipv6-prefix-list` `named-list`	(MX Series uniquement) Correspondez à l’adresse IPv6 dans un .`named-list`
`ipv6-source-address` `address`	(MX Series uniquement) adresse 128 bits qui est l’adresse de nœud source d’origine de ce paquet.
`ipv6-traffic-class` `number`	(MX Series uniquement) Point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet octet forment le DSCP. Pour plus d’informations, voir Comprendre comment les classificateurs d’agrégation de comportement hiérarchisent le trafic fiable. Vous pouvez spécifier une valeur numérique à partir de `0` `63`. Pour spécifier la valeur sous forme hexadécimale, incluez `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez `b` comme préfixe. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : RFC 3246, Un PHB de transfert accéléré (par comportement par saut) définit un point de code : `ef` (46). RFC 2597, Groupe PHB de transfert assuré, définit 4 classes, avec 3 niveaux de priorité dans chaque classe, pour un total de 12 points de code : `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `number`	Ne correspondez pas au DSCP `number`.
`learn-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondez sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN du fournisseur (la seule balise dans une trame de balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec les balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs à partir de `0` .`7` Comparez avec la condition de `user-vlan-1p-priority` correspondance. Note: Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`learn-vlan-1p-priority-except number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne correspondez pas aux bits de priorité VLAN appris IEEE 802.1p. Pour plus de détails, consultez l’état des `learn-vlan-1p-priority` correspondances. Note: Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`learn-vlan-dei`	(routeurs MX Series et commutateurs EX Series uniquement) Correspond au bit de l’indicateur d’eligabilité (DEI) de l’ID VLAN de l’utilisateur.
`learn-vlan-dei-excep`T	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au bit DEI VLAN ID de l’utilisateur.
`learn-vlan-id number`	(routeurs MX Series et commutateurs EX Series uniquement) Identifiant VLAN utilisé pour l’apprentissage MAC.
`learn-vlan-id-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas à l’identifiant VLAN utilisé pour l’apprentissage MAC.
`loss-priority level`	Niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, `medium-low`, `medium-high`ou `high`. Compatible avec les routeurs M120 et M320 ; M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E) ; et les routeurs MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series équipés de concentrateurs PIC flexibles (SPC) et de commutateurs EX Series II, vous devez inclure l’instruction `tri-color` au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction `tri-color` n’est pas activée, vous pouvez uniquement configurer les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’énoncé et sur l’utilisation `tri-color` de classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, voir Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie.
`loss-priority-except level`	Ne correspondez pas au niveau de priorité de perte de paquets. Spécifiez un ou plusieurs niveaux : `low`, `medium-low`, `medium-high`ou `high`. Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez la section Comprendre comment les classificateurs agrégés de comportement hiérarchisent le trafic fiable.
`port number`	(routeurs MX Series et commutateurs EX Series uniquement) Port source ou de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois la `port` condition de correspondance et la ou `source-port` la `destination-port` condition de correspondance dans le même terme.
`port-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au port source ou de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois la `port` condition de correspondance et la ou `source-port` la `destination-port` condition de correspondance dans le même terme.
`prefix-list name`	(routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre les préfixes de destination ou source dans la liste spécifiée. Spécifiez le nom d’une liste de préfixes définie au niveau ] hiérarchique `[edit policy-options prefix-list prefix-list-name`. Note: Les listes de préfixes VPLS ne prennent en charge que les adresses IPV4. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront ignorées.
`prefix-list name except`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas aux préfixes de destination ou de source de la liste spécifiée. Pour plus d’informations, consultez la condition de `destination-prefix-list` correspondance.
`source-mac-address address`	Adresse MAC source d’un paquet VPLS.
`source-port number`	(routeurs MX Series et commutateurs EX Series uniquement) Champ de port source TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions et `source-port` les assortir dans le même terme.
`source-port-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au champ de port source TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions et `source-port` les assortir dans le même terme.
`source-prefix-list name`	(routeurs ACX Series, routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre les préfixes source dans la liste de préfixes spécifiée. Spécifiez un nom de liste de préfixes défini au niveau de la `[edit policy-options prefix-list prefix-list-name]` hiérarchie. Note: Les listes de préfixes VPLS ne prennent en charge que les adresses IPV4. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront ignorées.
`source-prefix-list name except`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas aux préfixes source de la liste de préfixes spécifiée. Pour plus d’informations, consultez la condition de `source-prefix-list` correspondance.
`tcp-flags flags`	Faites correspondre un ou plusieurs des 6 bits d’ordre bas dans le champ indicateurs TCP 8 bits de l’en-tête TCP. Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte suivants ou des valeurs hexadécimales : `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques de champ bit. Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer également la `next-header tcp` condition de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.
`traffic-type type-name`	(routeurs MX Series et commutateurs EX Series uniquement) Type de trafic. Spécifiez `broadcast`, `multicast`ou `unknown-unicastknown-unicast`.
`traffic-type-except type-name`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au type de trafic. Spécifiez `broadcast`, `multicast`ou `unknown-unicastknown-unicast`.
`user-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité utilisateur IEEE 802.1p dans la balise VLAN du client (balise interne dans une trame à double balise avec balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs à partir de `0` .`7` Comparez avec la condition de `learn-vlan-1p-priority` correspondance. Note: Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`user-vlan-1p-priority-except number`	(routeurs MX Series, M320 rouer et commutateurs EX Series uniquement) Ne correspondez pas aux bits de priorité utilisateur IEEE 802.1p. Pour plus de détails, consultez l’état des `user-vlan-1p-priority` correspondances. Note: Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`user-vlan-id number`	(routeurs MX Series et commutateurs EX Series uniquement) Correspondez au premier identifiant VLAN qui fait partie de la charge utile.
`user-vlan-id-except number`	(routeurs MX Series et commutateurs EX Series uniquement) Ne correspondez pas au premier identifiant VLAN qui fait partie de la charge utile.
`vlan-ether-type value`	Champ de type Ethernet VLAN d’un paquet VPLS.
`vlan-ether-type-except value`	Ne correspondez pas au champ de type Ethernet VLAN d’un paquet VPLS.

Note:

Valider les problèmes de vérification une erreur si traffic-type known-unicast ou traffic-type unknown-unicast n’est pas pris en charge.

Tableau de l’historique des versions

Libération

Description

14.2

À partir de Junos OS 14.2, les filtres de décalage flexibles sont pris en charge dans les configurations hiérarchiques de pare-feu.

14.2

À partir de Junos OS 14.2, les critères de correspondance IPv6 de la famille de pare-feu sont pris en charge sur les commutateurs MX Series et EX9200.

Conditions de correspondance du filtre de pare-feu pour le trafic VPLS

Documentation connexe