Conditions de correspondance des filtres de pare-feu pour le trafic VPLS

Dans l’instruction from du terme de filtre VPLS, vous spécifiez les conditions auxquelles le paquet doit correspondre pour l’action de l’instruction then à entreprendre. Toutes les conditions de l’énoncé from doivent correspondre pour l’action à entreprendre. L’ordre dans lequel vous spécifiez les conditions de correspondance n’a pas d’importance, car un paquet doit correspondre à toutes les conditions d’un terme pour qu’une correspondance se produise.

Si vous spécifiez aucune condition de correspondance dans un terme, ce terme correspond à tous les paquets.

Une condition individuelle dans une from instruction peut contenir une liste de valeurs. Par exemple, vous pouvez spécifier des plages numériques. Vous pouvez également spécifier plusieurs adresses sources ou adresses de destination. Lorsqu’une condition définit une liste de valeurs, une correspondance se produit si l’une des valeurs de la liste correspond au paquet.

Les conditions individuelles d’une from déclaration peuvent être annulées. Lorsque vous annulez une condition, vous définissez une incompatibilité explicite. Par exemple, la condition de correspondance inversée pour forwarding-class est forwarding-class-except. Si un paquet correspond à une condition annulée, il est immédiatement considéré comme ne correspondant pas à l’instruction from et le terme suivant dans le filtre est évalué, s’il y en a un. S’il n’y a plus de termes, le paquet est ignoré.

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic VPLS (Virtual Private LAN Service) (family vpls). Le Tableau 1 décrit les match-conditions paramètres que vous pouvez configurer au niveau de la [edit firewall family vpls filter filter-name term term-name from] hiérarchie.

Remarque :

Les conditions de correspondance du trafic VPLS ne sont pas toutes prises en charge sur toutes les plateformes de routage ou de commutation. .

Dans la documentation VPLS, le mot routeur dans des termes tels que routeur PE est utilisé pour désigner tout périphérique fournissant des fonctions de routage.

Tableau 1 : conditions de correspondance des filtres de pare-feu pour le trafic VPLS
Condition de correspondance	Descriptif
`destination-mac-address address`	Correspond à l’adresse MAC de destination d’un paquet VPLS.
`destination-port number`	Faites correspondre le champ Port de destination UDP ou TCP. Vous ne pouvez pas spécifier à la fois les conditions et les `port` `destination-port` conditions de correspondance dans le même terme. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les numéros de port sont également répertoriés) : `afs` (1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`destination-port-except number`	Ne correspond pas dans le champ Port de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois les conditions et les `port` `destination-port` conditions de correspondance dans le même terme.
`destination-prefix-list name`	Correspond aux préfixes de destination dans la liste spécifiée. Spécifiez le nom d’une liste de préfixes définie au niveau de la `[edit policy-options prefix-list prefix-list-name`hiérarchie ] . Remarque : Les listes de préfixes VPLS prennent uniquement en charge les adresses IPv4. Les adresses IPv6 incluses dans une liste de préfixes VPLS seront ignorées.
`destination-prefix-list name except`	Ne correspond pas aux préfixes de destination dans la liste spécifiée. Pour plus d’informations, consultez la condition de `destination-prefix-list` correspondance.
`dscp number`	Faites correspondre le point de code des services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic approuvé. Vous pouvez spécifier une valeur numérique comprise entre `0` et `63`. Pour spécifier la valeur sous forme hexadécimale, incluez-la `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la `b` comme préfixe. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées) : La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : `ef` (46). La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences de suppression dans chaque classe, pour un total de 12 points de code : `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`dscp-except number`	Ne pas correspondre sur le DSCP. Pour plus de détails, voir la condition de `dscp` correspondance.
`ether-type values`	Faites correspondre le champ 2 octets IEEE 802.3 Length/EtherType à la valeur ou à la liste de valeurs spécifiée. Vous pouvez spécifier des valeurs décimales ou hexadécimales comprises entre 0 et 65535 (0xFFFF). Une valeur comprise entre 0 et 1500 (0x05DC) spécifie la longueur d’une trame Ethernet version 1. Une valeur comprise entre 1536 (0x0600) et 65535 spécifie l’EtherType (nature du protocole client MAC) d’une trame Ethernet version 2. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs hexadécimales sont également répertoriées) : `aarp` (0x80F3), `appletalk` (0x809B), `arp` (0x0806), `ipv4` (0x0800), `ipv6` (0x86DD), `mpls-multicast` (0x8848), `mpls-unicast` (0x8847), `oam` (0x8902), `ppp` (0x880B), `pppoe-discovery` (0x8863), `pppoe-session` (0x8864) ou `sna` (0x80D5).
`ether-type-except values`	Ne faites pas correspondre le champ Length/EtherType de 2 octets à la valeur ou à la liste de valeurs spécifiée. Pour plus de détails sur la spécification de , reportez-vous à la section Condition de `valuesether-type` correspondance.
`flexible-match-mask` `value`	`bit-length`	Les filtres de décalage flexibles sont pris en charge dans les configurations de hiérarchie de pare-feu. Longueur des données à faire correspondre en bits, non nécessaire pour l’entrée de chaîne (0..128)
	`bit-offset`	Décalage de bits après le décalage (match-start + byte) (0..7)
	`byte-offset`	Décalage d’octets après le point de début du match
	`flexible-mask-name`	Sélectionnez une correspondance flexible dans le champ du modèle prédéfini
	`mask-in-hex`	Masquer les bits dans les données des paquets à faire correspondre
	`match-start`	Point de départ à faire correspondre dans le paquet
	`prefix`	Valeur données/chaîne à mettre en correspondance

`flexible-match-range` `value`	`bit-length`	Longueur des données à apparier en bits (0..32)
	`bit-offset`	Décalage de bits après le décalage (match-start + byte) (0..7)
	`byte-offset`	Décalage d’octets après le point de début du match
	`flexible-range-name`	Sélectionnez une correspondance flexible dans le champ du modèle prédéfini
	`match-start`	Point de départ à faire correspondre dans le paquet
	`range`	Plage de valeurs à mettre en correspondance
	`range-except`	Ne correspond pas à cette plage de valeurs

`forwarding-class class`	Correspond à la classe de transfert. Spécifiez `assured-forwarding`, , `best-effortexpedited-forwarding`ou `network-control`.
`forwarding-class-except class`	Ne correspond pas à la classe de transfert. Pour plus de détails, voir la condition de `forwarding-class` correspondance.
`icmp-code message-code`	Faites correspondre le champ de code de message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de correspondance ou `next-header icmp6` dans le `next-header icmp` même terme. Si vous configurez cette condition de `icmp-type message-type` correspondance, vous devez également la configurer dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés par type ICMP auquel ils sont associés : problème-paramètre : `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) Dépassement dans le temps : `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) Destination inaccessible : `address-unreachable` (3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	Ne correspond pas au champ de code de message ICMP. Pour plus de détails, voir la condition de `icmp-code` correspondance.
`icmp-code number`	Faites correspondre le champ de code de message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de correspondance ou `ip-protocol icmp6` dans le `ip-protocol icmp` même terme. Si vous configurez cette condition de `icmp-type message-type` correspondance, vous devez également la configurer dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés par type ICMP auquel ils sont associés : problème-paramètre : `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) Dépassement dans le temps : `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) Destination inaccessible : `address-unreachable` (3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except number`	Ne correspond pas sur le champ de code ICMP. Pour plus de détails, voir la condition de `icmp-code` correspondance.
`interface interface-name`	Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui correspond aux paquets en fonction de l’interface sur laquelle ils ont été reçus. Remarque : Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.
`interface-group group-number`	Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifié. Pour `group-number`, spécifiez une valeur unique ou une plage de valeurs de à .`0` `255` Pour affecter une interface logique à un groupe `group-number`d’interfaces , spécifiez le `group-number` au niveau de la `[interfaces interface-name unit number family family filter group]` hiérarchie. Pour plus d’informations, consultez Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.
`interface-group-except group-name`	Ne font pas correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifié. Pour plus de détails, voir la condition de `interface-group` correspondance.
`interface-set interface-set-name`	Faire correspondre l’interface sur laquelle le paquet a été reçu au jeu d’interfaces spécifié. Pour définir un jeu d’interfaces, incluez l’instruction `interface-set` au niveau de la `[edit firewall]` hiérarchie. Pour plus d’informations, consultez Vue d’ensemble du filtrage des paquets reçus sur un jeu d’interfaces.
`ip-address address`	Adresse 32 bits qui prend en charge la syntaxe standard pour les adresses IPv4. Notez que lors de l’utilisation de ce terme, la condition de correspondance ether-type IPv4 doit être définie sur le même terme.
`ip-destination-address address`	Adresse 32 bits correspondant à l’adresse finale du nœud de destination du paquet. Notez que lors de l’utilisation de ce terme, la condition de correspondance ether-type IPv4 doit être définie sur le même terme.
`ip-precedence ip-precedence-field`	Champ de précédence IP. À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : `critical-ecp` (0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) ou `routine` (0x00).
`ip-precedence-except ip-precedence-field`	Ne correspond pas dans le champ Priorité IP.
`ip-protocol number`	Champ de protocole IP.
`ip-protocol-except number`	Ne correspond pas dans le champ Protocole IP.
`ip-source-address address`	Adresse IP du nœud source qui envoie le paquet. Notez que lors de l’utilisation de ce terme, la condition de correspondance IPv4 de type ether doit également être définie sur le même terme.
`ipv6-source-prefix-list` `named-list`	Faites correspondre l’adresse source IPv6 dans un `named-list`fichier .
`ipv6-address` `address`	Adresse 128 bits qui prend en charge la syntaxe standard pour les adresses IPv6.
`ipv6-destination-address` `address`	Adresse de 128 bits qui correspond à l’adresse finale du nœud de destination de ce paquet. Notez que lors de l’utilisation de ce terme, la condition `ether-type IPv6` de correspondance doit être définie sur le même terme.
`ipv6-destination-prefix-list` `named-list`	Faites correspondre les adresses de destination IPv6 dans un `named-list`fichier .
`ipv6-next-header` `protocol`	Correspond au type de protocole d’en-tête suivant IPv6. La liste suivante présente les valeurs prises en charge pour `protocol`: `ah`: en-tête d’authentification de la sécurité IP `dstopts`: options de destination IPv6 `egp`—Protocole de passerelle extérieure `esp`—Encapsulation IPSec de la charge utile de sécurité `fragment`—En-tête de fragment IPv6 `gre`: encapsulation de routage générique `hop-by-hop`: options IPv6 saut par saut `icmp`—Internet Control Message Protocol `icmp6`—Internet Control Message Protocol version 6 `igmp`—Protocole de gestion de groupe Internet `ipip`—IP dans IP `ipv6`—IPv6 sur IP `no-next-header`—IPv6 sans en-tête suivant `ospf`—Open Shortest Path First `pim`—Multicast indépendant du protocole `routing`: en-tête de routage IPv6 `rsvp`—Protocole de réservation des ressources `sctp`—Protocole de transmission de contrôle de cours d’eau `tcp`—Protocole de contrôle de transmission `udp`—Protocole de datagramme utilisateur `vrrp`—Protocole de redondance de routeur virtuel
`ipv6-next-header-except` `protocol`	Ne correspond pas au type de protocole d’en-tête suivant IPv6.
`ipv6-payload-protocol` `protocol`	Correspond au type de protocole de charge utile IPv6. La liste suivante présente les valeurs prises en charge pour `protocol`: `ah`: en-tête d’authentification de la sécurité IP `dstopts`: options de destination IPv6 `egp`—Protocole de passerelle extérieure `esp`—Encapsulation IPSec de la charge utile de sécurité `fragment`—En-tête de fragment IPv6 `gre`: encapsulation de routage générique `hop-by-hop`: options IPv6 saut par saut `icmp`—Internet Control Message Protocol `icmp6`—Internet Control Message Protocol version 6 `igmp`—Protocole de gestion de groupe Internet `ipip`—IP dans IP `ipv6`—IPv6 sur IP `no-next-header`—IPv6 sans en-tête suivant `ospf`—Open Shortest Path First `pim`—Multicast indépendant du protocole `routing`: en-tête de routage IPv6 `rsvp`—Protocole de réservation des ressources `sctp`—Protocole de transmission de contrôle de cours d’eau `tcp`—Protocole de contrôle de transmission `udp`—Protocole de datagramme utilisateur `vrrp`—Protocole de redondance de routeur virtuel
`ipv6-payload-protocol-except` `protocol`	Ne correspond pas au protocole de charge utile IPv6.
`ipv6-prefix-list` `named-list`	Faites correspondre l’adresse IPv6 dans un `named-list`fichier .
`ipv6-source-address` `address`	Adresse 128 bits qui est l’adresse de nœud source d’origine de ce paquet.
`ipv6-traffic-class` `number`	DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic approuvé. Vous pouvez spécifier une valeur numérique comprise entre `0` et `63`. Pour spécifier la valeur sous forme hexadécimale, incluez-la `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la `b` comme préfixe. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées) : La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : `ef` (46). La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences de suppression dans chaque classe, pour un total de 12 points de code : `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `number`	Ne correspond pas au DSCP `number`.
`learn-vlan-1p-priority number`	Correspondance sur l’IEEE 802.1p Bits de priorité VLAN appris dans la balise VLAN du fournisseur (la seule balise dans une trame à balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à balise double avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à .`0` `7` Comparez avec la condition de `user-vlan-1p-priority` correspondance. Remarque : Cette condition de correspondance prend en charge la présence d’un mot de contrôle
`learn-vlan-1p-priority-except number`	Ne correspond pas sur les bits de priorité VLAN appris par l’IEEE 802.1p. Pour plus de détails, voir la condition de `learn-vlan-1p-priority` correspondance. Remarque : Cette condition de correspondance prend en charge la présence d’un mot de contrôle
`learn-vlan-dei`	Faites correspondre le bit de l’indicateur d’éligibilité à l’abandon (DEI) de l’ID VLAN de l’utilisateur.
`learn-vlan-dei-excep`t	Ne correspond pas au bit DEI de l’ID VLAN de l’utilisateur.
`learn-vlan-id number`	Identifiant VLAN utilisé pour l’apprentissage MAC.
`learn-vlan-id-except number`	Ne correspond pas sur l’identifiant VLAN utilisé pour l’apprentissage MAC.
`loss-priority level`	Niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, `medium-low`, `medium-high`ou `high`. Pour le trafic IP, vous devez inclure l’instruction `tri-color` au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction n’est `tri-color` pas activée, vous pouvez uniquement configurer les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction et sur l’utilisation de classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Présentation de la `tri-color` façon dont les classes de transfert affectent des classes aux files d’attente de sortie.
`loss-priority-except level`	Ne correspond pas au niveau de priorité perte de paquets. Spécifiez un ou plusieurs niveaux : `low`, `medium-low`, `medium-high`ou `high`. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Présentation de la priorité donnée par les classificateurs d’agrégation de comportement au trafic approuvé.
`port number`	Port source ou de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois la condition de `port` correspondance et la condition de `destination-port` correspondance ou `source-port` dans le même terme.
`port-except number`	Ne correspond pas sur le port source ou de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois la condition de `port` correspondance et la condition de `destination-port` correspondance ou `source-port` dans le même terme.
`prefix-list name`	Correspond aux préfixes de destination ou de source dans la liste spécifiée. Spécifiez le nom d’une liste de préfixes définie au niveau de la `[edit policy-options prefix-list prefix-list-name`hiérarchie ] . Remarque : Les listes de préfixes VPLS prennent uniquement en charge les adresses IPV4. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront ignorées.
`prefix-list name except`	Ne correspondent pas aux préfixes de destination ou de source dans la liste spécifiée. Pour plus d’informations, consultez la condition de `destination-prefix-list` correspondance.
`source-mac-address address`	Adresse MAC source d’un paquet VPLS.
`source-port number`	Champ de port source TCP ou UDP. Vous ne pouvez pas spécifier les conditions de `port` correspondance et `source-port` dans le même terme.
`source-port-except number`	Ne correspond pas sur le champ Port source TCP ou UDP. Vous ne pouvez pas spécifier les conditions de `port` correspondance et `source-port` dans le même terme.
`source-prefix-list name`	Faites correspondre les préfixes sources dans la liste de préfixes spécifiée. Spécifiez un nom de liste de préfixes défini au niveau de la `[edit policy-options prefix-list prefix-list-name]` hiérarchie. Remarque : Les listes de préfixes VPLS prennent uniquement en charge les adresses IPV4. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront ignorées.
`source-prefix-list name except`	Ne correspondent pas aux préfixes sources dans la liste de préfixes spécifiée. Pour plus d’informations, consultez la condition de `source-prefix-list` correspondance.
`tcp-flags flags`	Faites correspondre un ou plusieurs des 6 bits de poids faible dans le champ Indicateurs TCP 8 bits de l’en-tête TCP. Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants : `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques de champ de bits. Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer également la `next-header tcp` condition de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.
`traffic-type type-name`	Spécifiez `broadcast`, , `multicastunknown-unicast`ou `known-unicast`.
`traffic-type-except type-name`	Ne correspond pas sur le type de trafic. Spécifiez `broadcast`, , `multicastunknown-unicast`ou `known-unicast`.
`user-vlan-1p-priority number`	Correspondance sur les bits de priorité utilisateur IEEE 802.1p dans la balise VLAN du client (la balise interne dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à .`0` `7` Comparez avec la condition de `learn-vlan-1p-priority` correspondance. Remarque : Cette condition de correspondance prend en charge la présence d’un mot de contrôle.
`user-vlan-1p-priority-except number`	Ne correspond pas sur les bits de priorité utilisateur IEEE 802.1p. Pour plus de détails, voir la condition de `user-vlan-1p-priority` correspondance. Remarque : Cette condition de correspondance prend en charge la présence d’un mot de contrôle.
`user-vlan-id number`	Faites correspondre le premier identifiant VLAN faisant partie de la charge utile.
`user-vlan-id-except number`	Ne correspond pas au premier identifiant VLAN faisant partie de la charge utile.
`vlan-ether-type value`	VLAN Ethernet type d’un paquet VPLS.
`vlan-ether-type-except value`	Ne correspond pas dans le champ VLAN Ethernet type d’un paquet VPLS.

Remarque :

Pour les correspondances flexible-match-mask et flexible-match-range la couche 4 de début de correspondance utilisée pour correspondre sur l’en-tête IPV6, cela ne fonctionnera pas pour les filtres de la famille L2 tels que « pont, CCC, VPLS ». Utilisez plutôt la couche 3 avec un décalage approprié pour correspondre aux champs de charge utile IPV6.

Remarque :

La vérification de validation émet une erreur si traffic-type known-unicast elle traffic-type unknown-unicast n’est pas prise en charge.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération

Descriptif

14.2

À partir de Junos OS 14.2, les filtres de décalage flexibles sont pris en charge dans les configurations de hiérarchie de pare-feu.

14.2

À partir de Junos OS 14.2, les critères de correspondance IPv6 du pont de famille de pare-feu sont pris en charge sur les commutateurs MX Series et EX9200.

Conditions de correspondance des filtres de pare-feu pour le trafic VPLS

Documentation connexe

Tableau de l’historique des modifications