レイヤー 2 ブリッジングトラフィックのファイアウォールフィルター一致条件

MXシリーズルーターとEXシリーズスイッチでのみ、レイヤー2ブリッジングトラフィック()の一致条件を持つ標準ステートレスファイアウォールフィルターを設定できます(family bridge)は、 [edit firewall family bridge filter filter-name term term-name from] 階層レベルで設定可能なを説明していますmatch-conditions表 1。

表 1: レイヤー2ブリッジングの標準ファイアウォールフィルター一致条件(MXシリーズルーターとEXシリーズスイッチのみ)
一致条件	説明
`destination-mac-address address`	ブリッジング環境におけるレイヤー 2 パケットの宛先 MAC(メディアアクセス制御)アドレス。
`destination-port number`	TCP または UDP 宛先ポートフィールド。同じ条件に `port` および `destination-port` 一致条件の両方を指定することはできません。
`destination-port-except`	TCP/UDP 宛先ポートに一致しません。
`destination-prefix-list` `named-list`	の IP 宛先プレフィックスに `named-list`一致します。
`dscp number`	差別化されたサービスコードポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。詳細については、動作集約分類子が信頼できるトラフィックにどのように優先順位を付けするかを理解するを参照してください。から `063`までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 `0x` めます。値を 2 進形式で指定するには、プレフィックスとしてを含 `b` めます。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。`ef`(46). RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。 `af11`(10)、 `af12` (12)、 `af13` (14) `af21`(18)、 `af22` (20)、 `af23` (22) `af31`(26)、 `af32` (28)、 `af33` (30) `af41`(34)、 `af42` (36)、 `af43` (38)
`dscp-except number`	DSCP 番号で一致しません。詳細については、一致条件を `dscp-except` 参照してください。
`ether-type value`	2 オクテット IEEE 802.3 Length/EtherType フィールドを指定された値または値のリストに一致させます。 0~65535(0xFFFF)の 10 進または 16 進値を指定できます。0~1500(0x05DC)の値は、イーサネットバージョン 1 フレームの長さを指定します。1536(0x0600)~65535の値は、イーサネットバージョン2フレームのイーサタイプ(MACクライアントプロトコルの性質)を指定します。数値の代わりに、以下のテキストシノニム(16 進値も記載されています)のいずれかを指定します。`aarp`(0x80F3)、(0x809B) `appletalkarp` 、(0x0806) `ipv4` 、(0x0800) `ipv6` 、(0x86DD) `mpls-multicast` 、(0x8848) `mpls-unicast` 、(0x8847) `oam` 、(0x8902) `ppp` 、(0x880B) `pppoe-discovery` 、(0x8863) `pppoe-session` 、(0x8864) `sna` (0x80D5)。注: ipアドレスまたはipv6アドレスで一致する場合、ipトラフィックのみに一致を制限するために、それぞれイーサタイプipv4またはipv6も指定する必要があります。
`ether-type-except value`	2 オクテット IEEE 802.3 Length/EtherType フィールドを指定された値または値のリストに一致しません。の指定 `values`の詳細については、一致条件を `ether-type` 参照してください。
`flexible-match-mask` `value`	`bit-length`	一致させるデータの長さ(ビット単位)、文字列入力には不要(0..128)
	`bit-offset`	(match-start + バイト)オフセット(0..7)の後のビットオフセット
	`byte-offset`	一致開始ポイント後のバイトオフセット
	`flexible-mask-name`	定義済みテンプレートフィールドから柔軟に一致するものを選択します。
	`mask-in-hex`	一致させるパケットデータ内のビットをマスクアウトする
	`match-start`	パケットで一致させる開始ポイント
	`prefix`	一致させる値データ/文字列

`flexible-match-range` `value`	`bit-length`	一致させるデータの長さ(ビット単位)(0..32)
	`bit-offset`	(match-start + バイト)オフセット(0..7)の後のビットオフセット
	`byte-offset`	一致開始ポイント後のバイトオフセット
	`flexible-range-name`	定義済みテンプレートフィールドから柔軟に一致するものを選択します。
	`match-start`	パケットで一致させる開始ポイント
	`range`	一致させる値の範囲
	`range-except`	この値の範囲に一致しません

`forwarding class class`	転送クラス。、、 `best-effortexpedited-forwarding`、またはを指定`assured-forwarding`します`network-control`。
`forwarding-class-except class`	レイヤー 2 パケット環境のイーサネットタイプフィールド。、、 `best-effortexpedited-forwarding`、またはを指定`assured-forwarding`します`network-control`。
`icmp-code message-code`	ICMP メッセージコードフィールドに一致します。この一致条件を設定した場合、同じ条件で `ip-protocol icmp`、、 `ip-protocol icmp6`または `ip-protocol icmpv6` 一致条件も設定することをお勧めします。この一致条件を設定した場合、同じ条件で一致条件も設定 `icmp-type message-type` する必要があります。ICMP メッセージコードは ICMP メッセージタイプよりも具体的な情報を提供しますが、ICMP メッセージコードの意味は関連する ICMP メッセージタイプに依存します。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。 parameter-problem:`ip6-header-bad`(0)、 `unrecognized-next-header` (1)、 `unrecognized-option` (2) time-exceeded:`ttl-eq-zero-during-reassembly`(1)、 `ttl-eq-zero-during-transit` (0) 宛先-到達不能:`address-unreachable`(3)、 `administratively-prohibited` (1)、 `no-route-to-destination` (0)、 `port-unreachable` (4)
`icmp-code-except message-code`	ICMP メッセージコードフィールドに一致しません。詳細については、一致条件を `icmp-code` 参照してください。
`icmp-type message-type`	ICMP メッセージタイプフィールドに一致します。この一致条件を設定した場合、同じ条件で `ip-protocol icmp`、、 `ip-protocol icmp6`または `ip-protocol icmpv6` 一致条件も設定することをお勧めします。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。`destination-unreachable`(1)、(129) `echo-reply` 、(128) `echo-request` 、 `membership-query` (130) `membership-report` 、(131) `membership-termination` 、(132)、 `neighbor-advertisement` (136) `neighbor-solicit` 、(135) `node-information-replynode-information-request` 、(139)、(139) `packet-too-big` 、(2)、(4) `parameter-problem` 、(137) `redirect` 、(134) `router-advertisement` 、(138) `router-renumbering` 、(133)、 `router-solicit` または `time-exceeded`(3)。
`icmp-type-except message-type`	ICMP メッセージタイプフィールドに一致しません。詳細については、一致条件を `icmp-type` 参照してください。
`interface interface-name`	パケットを受信したインターフェイス。受信したインターフェイスに基づいて、パケットに一致する一致条件を設定できます。注: 存在しないインターフェイスでこの一致条件を設定した場合、条件はどのパケットにも一致しません。
`interface-group group-number`	指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスに一致します。に対して `group-number`、単一の値またはからまでの `0` 値の範囲を `255`指定します。インターフェイスグループ`group-number`に論理インターフェイスを割り当てるには、階層レベルでを`group-number[interfaces interface-name unit number family family filter group]`指定します。詳細については、を参照してください一連のインターフェイスグループで受信したパケットのフィルタリングの概要。
`interface-group-except number`	指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスに一致しません。詳細については、一致条件を `interface-group` 参照してください。
`interface-set interface-set-name`	指定されたインターフェイスセットにパケットを受信したインターフェイスに一致します。インターフェイスセットを定義するには、階層レベルで `interface-set` ステートメントを `[edit firewall]` 含めます。詳細については、を参照してくださいインターフェイスセットで受信したパケットのフィルタリングの概要。
`ip-address address`	IPv4アドレスの標準構文をサポートする32ビットアドレス。注: IPv4トラフィックのみに一致を制限するために、同じ条件でイーサタイプipv4も指定する必要があります。
`ip-destination-address address`	パケットの最終宛先ノードアドレスである 32 ビットアドレス。
`ip-precedence ip-precedence-field`	IP 優先度フィールド。数値フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。`critical-ecp`(0xa0) `flash` 、(0x60) `flash-override` 、(0x80) `immediate` 、(0x40) `internet-control` 、(0xc0) `net-control` 、(0xe0) `priority` 、(0x20)、または `routine`(0x00)。
`ip-precedence-except ip-precedence-field`	IP 優先度フィールドでは一致しません。
`ip-protocol number`	IPプロトコルフィールド。
`ip-protocol-except`	IP プロトコルタイプに一致しません。
`ip-source-address address`	パケットを送信する送信元ノードの IP アドレス。
`ipv6-address` `address`	(MX シリーズのみ)IPv6 アドレスの標準構文をサポートする 128 ビットアドレス。注: IPv6 トラフィックのみに一致を制限するには、同じ条件でイーサタイプ ipv6 も指定する必要があります。
`ipv6-destination-address` `address`	(MX シリーズのみ)このパケットの最終宛先ノードアドレスである 128 ビットアドレス。
`ipv6-destination-prefix-list` `named-list`	(MXシリーズのみ)の IPv6 宛先アドレスに `named-list`一致します。
`ipv6-next-header` `protocol`	(MXシリーズのみ)IPv6 の次のヘッダープロトコルタイプに一致します。以下のリストは、でサポートされている値を `protocol`示しています。 `ah`—IP セキュリティ認証ヘッダー `dstopts`—IPv6 宛先オプション `egp`—外部ゲートウェイプロトコル `esp`—IPSec カプセル化セキュリティペイロード `fragment`-IPv6 フラグメントヘッダー `gre`—一般的なルーティングのカプセル化 `hop-by-hop`-IPv6 hop by hop オプション `icmp`—Internet Control Message Protocol `icmp6`—Internet Control Message Protocol バージョン 6 `igmp`—Internet Group Management Protocol `ipip`IP の IP `ipv6`IP の IPv6 `no-next-header`—IPv6 次のヘッダーなし `ospf`オープン最短パスファースト `pim`—プロトコル非依存型マルチキャスト `routing`—IPv6ルーティングヘッダー `rsvp`—リソース予約プロトコル `sctp`—Stream Control Transmission Protocol `tcp`—伝送制御プロトコル `udp`ユーザーデータグラムプロトコル `vrrp`— 仮想ルーター冗長プロトコル
`ipv6-next-header-except` `protocol`	(MXシリーズのみ)IPv6 の次のヘッダープロトコルタイプに一致しません。
`ipv6-payload-protocol` `protocol`	(MXシリーズのみ)IPv6 ペイロードプロトコルタイプに一致します。以下のリストは、でサポートされている値を `protocol`示しています。 `ah`—IP セキュリティ認証ヘッダー `dstopts`—IPv6 宛先オプション `egp`—外部ゲートウェイプロトコル `esp`—IPSec カプセル化セキュリティペイロード `fragment`-IPv6 フラグメントヘッダー `gre`—一般的なルーティングのカプセル化 `hop-by-hop`-IPv6 hop by hop オプション `icmp`—Internet Control Message Protocol `icmp6`—Internet Control Message Protocol バージョン 6 `igmp`—Internet Group Management Protocol `ipip`IP の IP `ipv6`IP の IPv6 `no-next-header`—IPv6 次のヘッダーなし `ospf`オープン最短パスファースト `pim`—プロトコル非依存型マルチキャスト `routing`—IPv6ルーティングヘッダー `rsvp`—リソース予約プロトコル `sctp`—Stream Control Transmission Protocol `tcp`—伝送制御プロトコル `udp`ユーザーデータグラムプロトコル `vrrp`— 仮想ルーター冗長プロトコル
`ipv6-payload-protocol-except` `protocol`	(MXシリーズのみ)IPv6 ペイロードプロトコルに一致しません。
`ipv6-prefix-list` `named-list`	(MXシリーズのみ)の IPv6 アドレスに `named-list`一致します。
`ipv6-source-address` `address`	(MX シリーズのみ)このパケットの送信元ノードアドレスである 128 ビットアドレス。
`ipv6-source-prefix-list` `named-list`	(MXシリーズのみ)の IPv6 送信元アドレスに `named-list`一致します。
`ipv6-traffic-class` `number`	(MXシリーズのみ)差別化されたサービスコードポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。詳細については、動作集約分類子が信頼できるトラフィックにどのように優先順位を付けするかを理解するを参照してください。から `063`までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 `0x` めます。値を 2 進形式で指定するには、プレフィックスとしてを含 `b` めます。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。`ef`(46). RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。 `af11`(10)、 `af12` (12)、 `af13` (14) `af21`(18)、 `af22` (20)、 `af23` (22) `af31`(26)、 `af32` (28)、 `af33` (30) `af41`(34)、 `af42` (36)、 `af43` (38)
`ipv6-traffic-class-except` `number`	DSCP `number`に一致しません。
`isid number`	(プロバイダバックボーンブリッジング[PBB]でサポート)インターネットサービス識別子を照合します。
`isid-dei number`	(PBB でサポート)インターネットサービス識別子ドロップ適格性インジケーター(DEI)ビットに一致します。
`isid-dei-except number`	(PBB でサポート)インターネットサービス識別子DEIビットに一致しません。
`isid-priority-code-point number`	(PBB でサポート)インターネットサービス識別子優先度コードポイントに一致します。
`isid-priority-code-point-except number`	(PBB でサポート)インターネットサービス識別子優先度コードポイントに一致しません。
`learn-vlan-1p-priority value`	(MXシリーズルーターとEXシリーズスイッチのみ)プロバイダ VLAN タグ内の IEEE 802.1p 学習済み VLAN 優先度ビット(802.1Q VLAN タグを持つ単一タグフレーム内の唯一のタグ、または 802.1Q VLAN タグを持つデュアルタグフレームの外側タグ)で一致します。からまでの単一の値または複数の値を`07`指定します。一致条件と比較します `user-vlan-1p-priority` 。
`learn-vlan-1p-priority-except value`	(MXシリーズルーターとEXシリーズスイッチのみ)IEEE 802.1p 学習済み VLAN 優先度ビットでは一致しません。詳細については、一致条件を `learn-vlan-1p-priority` 参照してください。
`learn-vlan-dei number`	(ブリッジングでサポート)ユーザー仮想LAN(VLAN)識別子DEIビットを照合します。
`learn-vlan-dei-except number`	(ブリッジングでサポート)ユーザーVLAN識別子DEIビットを一致しません。
`learn-vlan-id number`	MAC 学習に使用される VLAN 識別子。
`learn-vlan-id-except number`	MAC 学習に使用する VLAN 識別子では一致しません。
`loss-priority level`	- PLP(パケット損失の優先度)レベル。1 つのレベルまたは複数のレベルを指定します。`low`、、 `medium-lowmedium-high`、または `high`. M120およびM320ルーターでサポートされています。Enhanced CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。MXシリーズルーターとEXシリーズスイッチです拡張 II FPC(フレキシブル PIC コンセントレータ)、EX シリーズスイッチを搭載した M320、MX シリーズ、T シリーズルーターの IP トラフィックの場合、指定された 4 つのレベルのいずれかに PLP 設定をコミットするには、階層レベルにステートメント`[edit class-of-service]`を含める`tri-color`必要があります。ステートメントが`tri-color`有効でない場合、および `low` レベルのみを設定`high`できます。これは、すべてのプロトコルファミリーに適用されます。ステートメントの詳細 `tri-color` については、トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定する BA(動作集約)分類子の使用については、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。
`loss-priority-except level`	パケット損失の優先度レベルでは一致しません。1 つのレベルまたは複数のレベルを指定します。`low`、、 `medium-lowmedium-high`、または `high`. 受信パケットの PLP レベルを設定するための BA(動作集約)分類子の使用については、「動作集約分類子が信頼されたトラフィックに優先順位を付ける方法の理解」を参照してください。
`port number`	TCP または UDP 送信元または宛先ポート。一致条件と、または `source-port` 一致条件の両方`port`を`destination-port`同じ条件で指定することはできません。
`source-mac-address address`	レイヤー 2 パケットの送信元 MAC アドレス。
`source-port number`	TCPまたはUDP送信元ポートフィールド。同じ条件に `port` および `source-port` 一致条件を指定することはできません。
`source-port-except`	TCP/UDP 送信元ポートに一致しません。
`tcp-flags flags`	TCP ヘッダーの 8 ビット TCP フラグフィールドの下位 6 ビットの 1 つ以上に一致します。個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。 `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。一致条件を `tcp-flags` 設定するには、一致条件を設定する `next-header-tcp` 必要があります。
`traffic-type type`	トラフィックタイプ。、、 `multicastunknown-unicast`、またはを指定`broadcast`します`known-unicast`。
`traffic-type-except type`	トラフィックタイプで一致しません。
`user-vlan-1p-priority value`	(MXシリーズルーターとEXシリーズスイッチのみ)顧客VLANタグ(802.1Q VLANタグを持つデュアルタグフレームの内側タグ)のIEEE 802.1pユーザー優先度ビットで一致します。からまでの単一の値または複数の値を`07`指定します。一致条件と比較します `learn-vlan-1p-priority` 。
`user-vlan-1p-priority-except value`	(MXシリーズルーターとEXシリーズスイッチのみ)IEEE 802.1p ユーザー優先度ビットでは一致しません。詳細については、一致条件を `user-vlan-1p-priority` 参照してください。
`user-vlan-id number`	(MXシリーズルーターとEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子に一致します。
`user-vlan-id-except number`	(MXシリーズルーターとEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子では一致しません。
`vlan-ether-type value`	レイヤー 2 ブリッジングパケットの VLAN イーサネットタイプフィールド。
`vlan-ether-type-except value`	レイヤー 2 ブリッジングパケットの VLAN イーサネットタイプフィールドでは一致しません。

レイヤー 2 ブリッジング トラフィックのファイアウォール フィルター一致条件

関連項目

レイヤー 2 ブリッジングトラフィックのファイアウォールフィルター一致条件