レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件

MX シリーズルーターと EX シリーズスイッチでのみ、レイヤー 2 ブリッジングトラフィック()の一致条件を持つ標準のステートレスファイアウォールフィルターを設定できます。は、階層レベルで設定できるを説明します。 family bridge表 1match-conditions[edit firewall family bridge filter filter-name term term-name from]

表 1: レイヤー2ブリッジングの標準ファイアウォールフィルター一致条件(MXシリーズルーターとEXシリーズスイッチのみ)
一致条件	説明
`destination-mac-address address`	ブリッジング環境におけるレイヤー 2 パケットの宛先MAC(メディアアクセス制御)アドレス。
`destination-port number`	TCPまたはUDP宛先ポートフィールド。同じ条件に `port`および`destination-port` 一致条件を両方指定することはできません。
`destination-port-except`	TCP/UDP 宛先ポートに一致しません。
`destination-prefix-list` `named-list`	の IP 宛先プレフィックスに一致します。`named-list`
`dscp number`	差別化されたサービスコードポイント（DSCP）です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。 `0`から `63`までの数値を指定できます。値を16進形式で指定するには、`0x` をプレフィックスに含めます。値を2進法で指定するには、 `b`をプレフィックスとして含めます。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 RFC 3246, An Expeded Forwarding PHB（Per-Hop Behavior）は、1つのコードポイントを定義します。`ef` (46)。 RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します（各クラスには3つのドロップ優先順位があります）。 (10)、(12)、 (14)、 `af11af12af13` (18)、(20)、 (22)、 `af21af22af23` (26)、(28)、 (30)、 `af31af32af33` `af41` (34), `af42` (36), `af43` (38)
`dscp-except number`	DSCP数上では一致しません。詳細については、`dscp-except` 一致条件を参照してください。
`ether-type value`	2オクテットのIEEE 802.3長さ/EtherTypeフィールドを、指定された値または値のリストに一致させます。 0 から 65535 (0xFFFF) までの 10 進数または 16 進数値を指定できます。0 から 1500 (0x05DC) の値は、イーサネットバージョン 1 フレームの長さを指定します。1536(0x0600)から65535までの値は、イーサネットバージョン2フレームのEtherType(MACクライアントプロトコルの性質)を指定します。数値の代わりに、以下のテキスト同義語(16進数値も記載されています)のいずれかを指定することができます。(0x80F3)、 (0x809B)、 (0x0806)、 (0x0800)、 (0x86DD)、 (0x8848)、 (0x8847)、 (0x8902)、 (0x880B)、 (0x8863)、 (0x8864)、 (0x80D5)。`aarpappletalkarpipv4ipv6mpls-multicastmpls-unicastoamppppppoe-discoverypppoe-sessionsna` 注: ip-addressまたはipv6-addressでマッチングする場合、IPトラフィックのみにマッチを限定するために、ether-type ipv4またはipv6もそれぞれ指定する必要があります。
`ether-type-except value`	指定された値または値のリストに 2 オクテットの IEEE 802.3 長さ/EtherType フィールドに一致しません。 `values` の指定に関する詳細については、 `ether-type`一致条件を参照してください。
`flexible-match-mask` `value`	`bit-length`	一致させるデータの長さ（ビット単位）、文字列入力には不要（0..128）
	`bit-offset`	（match-start + バイト）オフセット（0..7）の後のビットオフセット
	`byte-offset`	一致開始ポイント後のバイトオフセット
	`flexible-mask-name`	定義済みテンプレートフィールドから柔軟な一致を選択します。
	`mask-in-hex`	一致するパケットデータ内のマスクアウトビット
	`match-start`	パケットで一致させる開始ポイント
	`prefix`	一致する値データ/文字列

`flexible-match-range` `value`	`bit-length`	一致させるデータの長さ（ビット単位）（0..32）
	`bit-offset`	（match-start + バイト）オフセット（0..7）の後のビットオフセット
	`byte-offset`	一致開始ポイント後のバイトオフセット
	`flexible-range-name`	定義済みテンプレートフィールドから柔軟な一致を選択します。
	`match-start`	パケットで一致させる開始ポイント
	`range`	一致させる値の範囲
	`range-except`	値のこの範囲に一致しません

`forwarding class class`	転送クラス。`assured-forwarding`、`best-effort`、`expedited-forwarding`、または`network-control` を指定します。
`forwarding-class-except class`	レイヤー 2 パケット環境のイーサネットタイプフィールド。`assured-forwarding`、`best-effort`、`expedited-forwarding`、または`network-control` を指定します。
`icmp-code message-code`	ICMPメッセージコードフィールドに一致します。この一致条件を設定した場合、同じ条件で、、または一致条件も設定することをお勧めします。`ip-protocol icmpip-protocol icmp6ip-protocol icmpv6` この一致条件を設定する場合、同じ条件で一致条件も設定する必要があります。`icmp-type message-type` ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。 parameter-problem：(0)、(1)、 (2)`ip6-header-badunrecognized-next-headerunrecognized-option` time-exceeded：`ttl-eq-zero-during-reassembly` (1)、 `ttl-eq-zero-during-transit`(0) 宛先到達不能: (3), (1), (0), (4)`address-unreachableadministratively-prohibitedno-route-to-destinationport-unreachable`
`icmp-code-except message-code`	ICMPメッセージコードフィールドに一致しません。詳細については、 `icmp-code`一致条件を参照してください。
`icmp-type message-type`	ICMPメッセージタイプフィールドに一致します。この一致条件を設定した場合、同じ条件で、、または一致条件も設定することをお勧めします。`ip-protocol icmpip-protocol icmp6ip-protocol icmpv6` 数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。(1)、 (129)、 (128)、 (130)、 (131)、 (132)、 (136)、 (135)、 (140)、 (139)、 (2)、 (4)、 (137)、 (134)、 (138)、 (133)、または (3)。 `destination-unreachableecho-replyecho-requestmembership-querymembership-reportmembership-terminationneighbor-advertisementneighbor-solicitnode-information-replynode-information-requestpacket-too-bigparameter-problemredirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded`
`icmp-type-except message-type`	ICMPメッセージタイプフィールドに一致しません。詳細については、 `icmp-type`一致条件を参照してください。
`interface interface-name`	パケットを受信したインターフェイス。受信したインターフェイスに基づいて、パケットを照合する一致条件を設定できます。注: 存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。
`interface-group group-number`	指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。には、単一の値、またはからまでの値の範囲を指定します。`group-number0255` インターフェイスグループに論理インターフェイスを割り当てるには`group-number`、階`[interfaces interface-name unit number family family filter group]`層レベル`group-number`でを指定します。詳細については、一連のインターフェイスグループで受信したパケットのフィルタリングの概要を参照してください。
`interface-group-except number`	指定されたインターフェイスグループまたはインターフェイスグループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 `interface-group`一致条件を参照してください。
`interface-set interface-set-name`	指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。インターフェイスセットを定義するには、階`[edit firewall]`層レベルにステート`interface-set`メントを含めます。詳細については、インターフェイスセットで受信したパケットのフィルタリングの概要を参照してください。
`ip-address address`	IPv4 アドレスの標準構文をサポートする 32 ビットアドレス。注: IPv4トラフィックのみに一致を限定するには、同じ条件でイーサタイプのipv4も指定する必要があります。
`ip-destination-address address`	パケットの最終宛先ノードアドレスである 32 ビットアドレス。
`ip-precedence ip-precedence-field`	IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。`critical-ecp` （0xa0）、（`flash`0x60）、（`flash-override`0x80）、（0x4`immediate`0）、（0x`internet-control`c0）、（0xe0）`net-control`、（0x20）、または（0x00）。`routinepriority`
`ip-precedence-except ip-precedence-field`	IP優先度フィールドで一致しません。
`ip-protocol number`	IP プロトコルフィールドです。
`ip-protocol-except`	IPプロトコルタイプに一致しません。
`ip-source-address address`	パケットを送信している送信元ノードのIPアドレス。
`ipv6-address` `address`	(MX シリーズのみ)IPv6 アドレスの標準構文をサポートする 128 ビットアドレス。注: IPv6トラフィックのみに一致を限定するには、同じ条件でイーサタイプのipv6も指定する必要があります。
`ipv6-destination-address` `address`	(MX シリーズのみ)このパケットの最終宛先ノードアドレスである 128 ビットアドレス。
`ipv6-destination-prefix-list` `named-list`	(MXシリーズのみ)内のIPv6宛先アドレスに一致します。`named-list`
`ipv6-next-header` `protocol`	(MXシリーズのみ)IPv6 の次のヘッダープロトコルタイプに一致します。次のリストは、でサポートされている値を示しています。`protocol` `ah`- IP セキュリティ認証ヘッダー `dstopts`—IPv6 宛先オプション `egp`—外部ゲートウェイプロトコル `esp`- IPSec カプセル化セキュリティペイロード `fragment`- IPv6 フラグメントヘッダー `gre`—一般的なルーティングカプセル化 `hop-by-hop`—IPv6 ホップバイホップオプション `icmp`—インターネット制御メッセージプロトコル `icmp6`- インターネット制御メッセージプロトコルバージョン 6 `igmp`—インターネットグループ管理プロトコル `ipip`- IP in IP `ipv6`—IPのIPv6 `no-next-header`- IPv6 次のヘッダーなし `ospf`- 最短パスを最初に開く `pim`—プロトコル独立マルチキャスト `routing`- IPv6 ルーティングヘッダー `rsvp`—リソース予約プロトコル `sctp`—ストリーム制御伝送プロトコル `tcp`—伝送制御プロトコル `udp`- ユーザデータグラムプロトコル `vrrp`—仮想ルーター冗長プロトコル
`ipv6-next-header-except` `protocol`	(MXシリーズのみ)IPv6 の次のヘッダープロトコルタイプに一致しません。
`ipv6-payload-protocol` `protocol`	(MXシリーズのみ)IPv6ペイロードプロトコルタイプに一致します。次のリストは、でサポートされている値を示しています。`protocol` `ah`- IP セキュリティ認証ヘッダー `dstopts`—IPv6 宛先オプション `egp`—外部ゲートウェイプロトコル `esp`- IPSec カプセル化セキュリティペイロード `fragment`- IPv6 フラグメントヘッダー `gre`—一般的なルーティングカプセル化 `hop-by-hop`—IPv6 ホップバイホップオプション `icmp`—インターネット制御メッセージプロトコル `icmp6`- インターネット制御メッセージプロトコルバージョン 6 `igmp`—インターネットグループ管理プロトコル `ipip`- IP in IP `ipv6`—IPのIPv6 `no-next-header`- IPv6 次のヘッダーなし `ospf`- 最短パスを最初に開く `pim`—プロトコル独立マルチキャスト `routing`- IPv6 ルーティングヘッダー `rsvp`—リソース予約プロトコル `sctp`—ストリーム制御伝送プロトコル `tcp`—伝送制御プロトコル `udp`- ユーザデータグラムプロトコル `vrrp`—仮想ルーター冗長プロトコル
`ipv6-payload-protocol-except` `protocol`	(MXシリーズのみ)IPv6ペイロードプロトコルに一致しません。
`ipv6-prefix-list` `named-list`	(MXシリーズのみ)内のIPv6アドレスに一致します。`named-list`
`ipv6-source-address` `address`	(MX シリーズのみ)このパケットの送信元ノードアドレスである 128 ビットアドレス。
`ipv6-source-prefix-list` `named-list`	(MXシリーズのみ)のIPv6送信元アドレスに一致します。`named-list`
`ipv6-traffic-class` `number`	(MXシリーズのみ)差別化されたサービスコードポイント(DSCP)です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。 `0`から `63`までの数値を指定できます。値を16進形式で指定するには、`0x` をプレフィックスに含めます。値を2進法で指定するには、 `b`をプレフィックスとして含めます。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。 RFC 3246, An Expeded Forwarding PHB（Per-Hop Behavior）は、1つのコードポイントを定義します。`ef` (46)。 RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します（各クラスには3つのドロップ優先順位があります）。 (10)、(12)、 (14)、 `af11af12af13` (18)、(20)、 (22)、 `af21af22af23` (26)、(28)、 (30)、 `af31af32af33` `af41` (34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `number`	DSCP に一致しません。`number`
`isid number`	(プロバイダバックボーンブリッジング [PBB] でサポート)インターネットサービス識別子に一致します。
`isid-dei number`	(PBB でサポート)インターネットサービス識別子ドロップ適格性インジケータ(DEI)ビットに一致します。
`isid-dei-except number`	(PBB でサポート)インターネットサービス識別子の DEI ビットに一致しません。
`isid-priority-code-point number`	(PBB でサポート)インターネットサービス識別子の優先順位コードポイントに一致します。
`isid-priority-code-point-except number`	(PBB でサポート)インターネット・サービス識別コード・ポイントに一致しません。
`learn-vlan-1p-priority value`	(MXシリーズルーターおよびEXシリーズスイッチのみ)プロバイダVLANタグのIEEE 802.1p学習VLAN優先度ビット(802.1Q VLANタグを持つ単一タグフレーム内の唯一のタグ、または802.1Q VLANタグを持つ二重タグフレーム内の外部タグ)に一致します。からまでの単一の値または複数の値を指定します。`07` を一致条件と比較します。`user-vlan-1p-priority`
`learn-vlan-1p-priority-except value`	(MXシリーズルーターおよびEXシリーズスイッチのみ)IEEE 802.1pで学習されたVLAN優先度ビットでは一致しません。詳細については、 `learn-vlan-1p-priority`一致条件を参照してください。
`learn-vlan-dei number`	(ブリッジングでサポート)ユーザー仮想 LAN(VLAN)識別子の DEI ビットに一致します。
`learn-vlan-dei-except number`	(ブリッジングでサポート)ユーザー VLAN ID DEI ビットに一致しません。
`learn-vlan-id number`	MAC 学習に使用される VLAN 識別子。
`learn-vlan-id-except number`	MAC学習に使用されるVLAN識別子では一致しません。
`loss-priority level`	PLP(パケット損失の優先度)レベル単一のレベルまたは複数のレベルを指定します。`low`、`medium-low`、`medium-high`、または`high`。 M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーターとEXシリーズスイッチ。拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MXシリーズ、Tシリーズルーター、EXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、階層レベルにステートメントを含める必要があります。`tri-color[edit class-of-service]tri-color`ステートメントが有効になっていない場合、`high` および `low`レベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。 `tri-color`ステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。Understanding How Forwarding Classes Assign Classes to Output Queues
`loss-priority-except level`	パケット損失の優先度レベルでは一致しません。単一のレベルまたは複数のレベルを指定します。`low`、`medium-low`、`medium-high`、または`high`。受信パケットのPLPレベルを設定するためのBA(動作集約)分類子の使用については、動作集約分類子がどのように信頼されるトラフィックに優先順位を付けるかの理解を参照してください。Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic
`port number`	TCP または UDP 送信元または宛先ポート。同じ項に一致条件とまたは一致条件の両方を指定することはできません。`portdestination-portsource-port`
`source-mac-address address`	レイヤー 2 パケットの送信元 MAC アドレス。
`source-port number`	TCP または UDP 送信元ポートフィールドです。同じ項に `port`および `source-port`一致条件を指定することはできません。
`source-port-except`	TCP/UDP 送信元ポートに一致しません。
`tcp-flags flags`	TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。 `fin` (0x01) `syn` (0x02) `rst` (0x04) `push` (0x08) `ack` (0x10) `urgent` (0x20) TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。ビットフィールド論理演算子を使用して複数のフラグを結合できます。一致条件を設定するには、一致条件を設定する必要があります。`tcp-flagsnext-header-tcp`
`traffic-type type`	トラフィックタイプ。`broadcast`、`multicast`、`unknown-unicast`、または`known-unicast` を指定します。
`traffic-type-except type`	トラフィックタイプで一致しません。
`user-vlan-1p-priority value`	(MXシリーズルーターおよびEXシリーズスイッチのみ)カスタマーVLANタグ(802.1Q VLANタグを持つデュアルタグフレームの内部タグ)のIEEE 802.1pユーザープライオリティビットに一致します。からまでの単一の値または複数の値を指定します。`07` を一致条件と比較します。`learn-vlan-1p-priority`
`user-vlan-1p-priority-except value`	(MXシリーズルーターおよびEXシリーズスイッチのみ)IEEE 802.1p ユーザー優先度ビットでは一致しません。詳細については、 `user-vlan-1p-priority`一致条件を参照してください。
`user-vlan-id number`	(MXシリーズルーターおよびEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子に一致します。
`user-vlan-id-except number`	(MXシリーズルーターおよびEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子では一致しません。
`vlan-ether-type value`	レイヤー 2 ブリッジングパケットの VLAN イーサネットタイプフィールド。
`vlan-ether-type-except value`	レイヤー 2 ブリッジングパケットの VLAN イーサネットタイプフィールドでは一致しません。

レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件

関連項目