Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件

MX シリーズ ルーターと EX シリーズ スイッチでのみ、レイヤー 2 ブリッジング トラフィック(family bridge)の一致条件を持つ標準のステートレス ファイアウォール フィルターを設定できます。 表 1[edit firewall family bridge filter filter-name term term-name from]階層レベルで設定できるmatch-conditionsについて説明します。

表 1: レイヤー2ブリッジングの標準ファイアウォールフィルター一致条件(MXシリーズルーターとEXシリーズスイッチのみ)

一致条件

説明

destination-mac-address address

ブリッジング環境におけるレイヤー 2 パケットの宛先MAC(メディア アクセス制御)アドレス。

destination-port number

TCPまたはUDP宛先ポートフィールド。同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

destination-port-except

TCP/UDP 宛先ポートに一致しません。

destination-prefix-list named-list

named-list内の IP 宛先プレフィックスに一致します。

dscp number

差別化されたサービス コード ポイント(DSCP)です。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

af11( 10)、 af12 (12)、 af13 (14)、

af21( 18)、 af22 (20)、 af23 (22)、

af31( 26)、 af32 (28)、 af33 (30)、

af41 (34), af42 (36), af43 (38)

dscp-except number

DSCP数上では一致しません。詳細については、dscp-except 一致条件を参照してください。

ether-type value

2オクテットのIEEE 802.3長さ/EtherTypeフィールドを、指定された値または値のリストに一致させます。

0 から 65535 (0xFFFF) までの 10 進数または 16 進数値を指定できます。0 から 1500 (0x05DC) の値は、イーサネット バージョン 1 フレームの長さを指定します。1536(0x0600)から65535までの値は、イーサネットバージョン2フレームのEtherType(MACクライアントプロトコルの性質)を指定します。

数値の代わりに、以下のテキスト同義語(16進数値も記載されています)のいずれかを指定することができます。aarp( 0x80F3)、 appletalk (0x809B)、 arp (0x0806)、 ipv4 (0x0800)、 ipv6 (0x86DD)、 mpls-multicast (0x8848)、 mpls-unicast (0x8847)、 oam (0x8902)、 ppp (0x880B)、 pppoe-discovery (0x8863)、 pppoe-session (0x8864)、 sna (0x80D5)。

注:

ip-addressまたはipv6-addressでマッチングする場合、IPトラフィックのみにマッチを限定するために、ether-type ipv4またはipv6もそれぞれ指定する必要があります。

ether-type-except value

指定された値または値のリストに 2 オクテットの IEEE 802.3 長さ/EtherType フィールドに一致しません。

values の指定に関する詳細については、 ether-type一致条件を参照してください。

flexible-match-mask value

bit-length

一致させるデータの長さ(ビット単位)、文字列入力には不要(0..128)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-mask-name

定義済みテンプレートフィールドから柔軟な一致を選択します。

mask-in-hex

一致するパケットデータ内のマスクアウトビット

match-start

パケットで一致させる開始ポイント

prefix

一致する値データ/文字列

 

flexible-match-range value

bit-length

一致させるデータの長さ(ビット単位)(0..32)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-range-name

定義済みテンプレートフィールドから柔軟な一致を選択します。

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

値のこの範囲に一致しません

 

forwarding class class

転送クラス。assured-forwardingbest-effortexpedited-forwarding、 またはnetwork-control を指定します。

forwarding-class-except class

レイヤー 2 パケット環境のイーサネット タイプ フィールド。assured-forwardingbest-effortexpedited-forwarding、 またはnetwork-control を指定します。

icmp-code message-code

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で ip-protocol icmpip-protocol icmp6、または ip-protocol icmpv6 一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:ip6-header-bad( 0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • 宛先到達不能:address-unreachable( 3)、 administratively-prohibited (1)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

icmp-type message-type

ICMPメッセージタイプフィールドに一致します。

この一致条件を設定した場合、同じ条件で ip-protocol icmpip-protocol icmp6、または ip-protocol icmpv6 一致条件も設定することをお勧めします。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。destination-unreachable( 1)、 echo-reply (129)、 echo-request (128)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 neighbor-advertisement (136)、 neighbor-solicit (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)、または time-exceeded (3)。

icmp-type-except message-type

ICMPメッセージタイプフィールドに一致しません。詳細については、 icmp-type一致条件を参照してください。

interface interface-name

パケットを受信したインターフェイス。受信したインターフェイスに基づいて、パケットを照合する一致条件を設定できます。

注:

存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。

interface-group group-number

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。[ group-number] には、単一の値、または 0 から 255 の値の範囲を指定します。

インターフェイスグループ に論理インターフェイスを割り当てるにはgroup-number、 階[interfaces interface-name unit number family family filter group]層レベルgroup-numberで を指定します。

詳細については、一連のインターフェイスグループで受信したパケットのフィルタリングの概要を参照してください。

interface-group-except number

指定されたインターフェイスグループまたはインターフェイス グループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 interface-group一致条件を参照してください。

interface-set interface-set-name

指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。

インターフェイスセットを定義するには、 階[edit firewall]層レベルに ステートinterface-setメントを含めます。詳細については、インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

ip-address address

IPv4 アドレスの標準構文をサポートする 32 ビット アドレス。

注:

IPv4トラフィックのみに一致を限定するには、同じ条件でイーサタイプのipv4も指定する必要があります。

ip-destination-address address

パケットの最終宛先ノード アドレスである 32 ビット アドレス。

ip-precedence ip-precedence-field

IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp (0xa0)、 (flash0x60)、 (flash-override0x80)、(0x4immediate0)、(0xinternet-controlc0)、(0xe0)net-control、(0x20)、または(0x00)。routinepriority

ip-precedence-except ip-precedence-field

IP優先度フィールドで一致しません。

ip-protocol number

IP プロトコル フィールドです。

ip-protocol-except

IPプロトコルタイプに一致しません。

ip-source-address address

パケットを送信している送信元ノードのIPアドレス。

ipv6-address address

(MX シリーズのみ)IPv6 アドレスの標準構文をサポートする 128 ビット アドレス。

注:

IPv6トラフィックのみに一致を限定するには、同じ条件でイーサタイプのipv6も指定する必要があります。

ipv6-destination-address address

(MX シリーズのみ)このパケットの最終宛先ノード アドレスである 128 ビット アドレス。

ipv6-destination-prefix-list named-list

(MXシリーズのみ) named-list内のIPv6宛先アドレスに一致します。

ipv6-next-header protocol

(MXシリーズのみ)IPv6 の次のヘッダー プロトコル タイプに一致します。

次の一覧は、 protocolでサポートされている値を示しています。

  • ah- IP セキュリティ認証ヘッダー

  • dstopts—IPv6 宛先オプション

  • egp—外部ゲートウェイプロトコル

  • esp- IPSec カプセル化セキュリティ ペイロード

  • fragment- IPv6 フラグメント ヘッダー

  • gre—一般的なルーティングカプセル化

  • hop-by-hop—IPv6 ホップバイホップオプション

  • icmp—インターネット制御メッセージ プロトコル

  • icmp6- インターネット制御メッセージ プロトコル バージョン 6

  • igmp—インターネットグループ管理プロトコル

  • ipip- IP in IP

  • ipv6—IPのIPv6

  • no-next-header- IPv6 次のヘッダーなし

  • ospf- 最短パスを最初に開く

  • pim—プロトコル独立マルチキャスト

  • routing- IPv6 ルーティング ヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—ストリーム制御伝送プロトコル

  • tcp—伝送制御プロトコル

  • udp- ユーザ データグラム プロトコル

  • vrrp—仮想ルーター冗長プロトコル

ipv6-next-header-except protocol

(MXシリーズのみ)IPv6 の次のヘッダー プロトコル タイプに一致しません。

ipv6-payload-protocol protocol

(MXシリーズのみ)IPv6ペイロードプロトコルタイプに一致します。

次の一覧は、 protocolでサポートされている値を示しています。

  • ah- IP セキュリティ認証ヘッダー

  • dstopts—IPv6 宛先オプション

  • egp—外部ゲートウェイプロトコル

  • esp- IPSec カプセル化セキュリティ ペイロード

  • fragment- IPv6 フラグメント ヘッダー

  • gre—一般的なルーティングカプセル化

  • hop-by-hop—IPv6 ホップバイホップオプション

  • icmp—インターネット制御メッセージ プロトコル

  • icmp6- インターネット制御メッセージ プロトコル バージョン 6

  • igmp—インターネットグループ管理プロトコル

  • ipip- IP in IP

  • ipv6—IPのIPv6

  • no-next-header- IPv6 次のヘッダーなし

  • ospf- 最短パスを最初に開く

  • pim—プロトコル独立マルチキャスト

  • routing- IPv6 ルーティング ヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—ストリーム制御伝送プロトコル

  • tcp—伝送制御プロトコル

  • udp- ユーザ データグラム プロトコル

  • vrrp—仮想ルーター冗長プロトコル

ipv6-payload-protocol-except protocol

(MXシリーズのみ)IPv6ペイロードプロトコルに一致しません。

ipv6-prefix-list named-list

(MXシリーズのみ) named-list内のIPv6アドレスに一致します。

ipv6-source-address address

(MX シリーズのみ)このパケットの送信元ノード アドレスである 128 ビット アドレス。

ipv6-source-prefix-list named-list

(MXシリーズのみ) named-list内のIPv6送信元アドレスに一致します。

ipv6-traffic-class number

(MXシリーズのみ)差別化されたサービス コード ポイント(DSCP)です。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

af11( 10)、 af12 (12)、 af13 (14)、

af21( 18)、 af22 (20)、 af23 (22)、

af31( 26)、 af32 (28)、 af33 (30)、

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except number

DSCP numberに一致しません。

isid number

(プロバイダ バックボーン ブリッジング [PBB] でサポート)インターネット サービス識別子に一致します。

isid-dei number

(PBB でサポート)インターネットサービス識別子ドロップ適格性インジケータ(DEI)ビットに一致します。

isid-dei-except number

(PBB でサポート)インターネット サービス識別子の DEI ビットに一致しません。

isid-priority-code-point number

(PBB でサポート)インターネットサービス識別子の優先順位コードポイントに一致します。

isid-priority-code-point-except number

(PBB でサポート)インターネット・サービス識別コード・ポイントに一致しません。

learn-vlan-1p-priority value

(MXシリーズルーターおよびEXシリーズスイッチのみ)プロバイダVLANタグのIEEE 802.1p学習VLAN優先度ビット(802.1Q VLANタグを持つ単一タグフレーム内の唯一のタグ、または802.1Q VLANタグを持つ二重タグフレーム内の外部タグ)に一致します。単一の値、または 0 から 7 までの複数の値を指定します。

user-vlan-1p-priority一致条件と比較します。

learn-vlan-1p-priority-except value

(MXシリーズルーターおよびEXシリーズスイッチのみ)IEEE 802.1pで学習されたVLAN優先度ビットでは一致しません。詳細については、 learn-vlan-1p-priority一致条件を参照してください。

learn-vlan-dei number

(ブリッジングでサポート)ユーザー仮想 LAN(VLAN)識別子の DEI ビットに一致します。

learn-vlan-dei-except number

(ブリッジングでサポート)ユーザー VLAN ID DEI ビットに一致しません。

learn-vlan-id number

MAC 学習に使用される VLAN 識別子。

learn-vlan-id-except number

MAC学習に使用されるVLAN識別子では一致しません。

loss-priority level

PLP(パケット損失の優先度)レベル単一のレベルまたは複数のレベルを指定します。lowmedium-lowmedium-high、またはhigh

M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーターとEXシリーズスイッチ。

拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MX シリーズ、T Seriesルーター、EXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、[edit class-of-service]階層レベルに tri-color ステートメントを含める必要があります。tri-colorステートメントが有効になっていない場合、highおよび lowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

tri-colorステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

loss-priority-except level

パケット損失の優先度レベルでは一致しません。単一のレベルまたは複数のレベルを指定します。lowmedium-lowmedium-high、またはhigh

受信パケットのPLPレベルを設定するためのBA(動作集約)分類子の使用については、 動作集約分類子がどのように信頼されるトラフィックに優先順位を付けるかの理解を参照してください。

port number

TCP または UDP 送信元または宛先ポート。同じ項に port 一致条件と、 destination-port または source-port 一致条件を両方指定することはできません。

source-mac-address address

レイヤー 2 パケットの送信元 MAC アドレス。

source-port number

TCP または UDP 送信元ポート フィールドです。同じ項に portおよび source-port一致条件を指定することはできません。

source-port-except

TCP/UDP 送信元ポートに一致しません。

tcp-flags flags

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

tcp-flags一致条件を設定するには、next-header-tcp一致条件を設定する必要があります。

traffic-type type

トラフィック タイプ。broadcastmulticastunknown-unicast、 またはknown-unicast を指定します。

traffic-type-except type

トラフィック タイプで一致しません。

user-vlan-1p-priority value

(MXシリーズルーターおよびEXシリーズスイッチのみ)カスタマーVLANタグ(802.1Q VLANタグを持つデュアルタグフレームの内部タグ)のIEEE 802.1pユーザープライオリティビットに一致します。単一の値、または 0 から 7 までの複数の値を指定します。

learn-vlan-1p-priority一致条件と比較します。

user-vlan-1p-priority-except value

(MXシリーズルーターおよびEXシリーズスイッチのみ)IEEE 802.1p ユーザー優先度ビットでは一致しません。詳細については、 user-vlan-1p-priority一致条件を参照してください。

user-vlan-id number

(MXシリーズルーターおよびEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子に一致します。

user-vlan-id-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子では一致しません。

vlan-ether-type value

レイヤー 2 ブリッジング パケットの VLAN イーサネット タイプ フィールド。

vlan-ether-type-except value

レイヤー 2 ブリッジング パケットの VLAN イーサネット タイプ フィールドでは一致しません。

注:

IPV6ヘッダーを介したマッチに使用されるマッチ flexible-match-maskflexible-match-range マッチ開始レイヤー4は、「ブリッジ、CCC、VPLS」などのL2ファミリーフィルターでは機能しません。代わりに、レイヤー 3 と適切なオフセットを使用して、IPV6 ペイロード フィールドに一致させます。