Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

レイヤー 2 ブリッジング トラフィックのファイアウォール フィルター一致条件

MXシリーズルーターとEXシリーズスイッチでのみ、レイヤー2ブリッジングトラフィック()の一致条件を持つ標準ステートレスファイアウォールフィルターを設定できます(family bridge)は、 [edit firewall family bridge filter filter-name term term-name from] 階層レベルで設定可能なを説明していますmatch-conditions表 1

表 1: レイヤー2ブリッジングの標準ファイアウォールフィルター一致条件(MXシリーズルーターとEXシリーズスイッチのみ)

一致条件

説明

destination-mac-address address

ブリッジング環境におけるレイヤー 2 パケットの宛先 MAC(メディア アクセス制御)アドレス。

destination-port number

TCP または UDP 宛先ポート フィールド。同じ条件に port および destination-port 一致条件の両方を指定することはできません。

destination-port-except

TCP/UDP 宛先ポートに一致しません。

destination-prefix-list named-list

の IP 宛先プレフィックスに named-list一致します。

dscp number

差別化されたサービス コード ポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。詳細については、 動作集約分類子が信頼できるトラフィックにどのように優先順位を付けするかを理解するを参照してください。

から 063までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 0x めます。値を 2 進形式で指定するには、プレフィックスとして を含 b めます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。ef(46).

  • RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。

af11(10)、 af12 (12)、 af13 (14)

af21(18)、 af22 (20)、 af23 (22)

af31(26)、 af32 (28)、 af33 (30)

af41(34)、 af42 (36)、 af43 (38)

dscp-except number

DSCP 番号で一致しません。詳細については、 一致条件を dscp-except 参照してください。

ether-type value

2 オクテット IEEE 802.3 Length/EtherType フィールドを指定された値または値のリストに一致させます。

0~65535(0xFFFF)の 10 進または 16 進値を指定できます。0~1500(0x05DC)の値は、イーサネット バージョン 1 フレームの長さを指定します。1536(0x0600)~65535の値は、イーサネットバージョン2フレームのイーサタイプ(MACクライアントプロトコルの性質)を指定します。

数値の代わりに、以下のテキスト シノニム(16 進値も記載されています)のいずれかを指定します。aarp(0x80F3)、(0x809B) appletalkarp 、(0x0806) ipv4 、(0x0800) ipv6 、(0x86DD) mpls-multicast 、(0x8848) mpls-unicast 、(0x8847) oam 、(0x8902) ppp 、(0x880B) pppoe-discovery 、(0x8863) pppoe-session 、(0x8864) sna (0x80D5)。

注:

ipアドレスまたはipv6アドレスで一致する場合、ipトラフィックのみに一致を制限するために、それぞれイーサタイプipv4またはipv6も指定する必要があります。

ether-type-except value

2 オクテット IEEE 802.3 Length/EtherType フィールドを指定された値または値のリストに一致しません。

の指定 valuesの詳細については、 一致条件を ether-type 参照してください。

flexible-match-mask value

bit-length

一致させるデータの長さ(ビット単位)、文字列入力には不要(0..128)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビット オフセット

byte-offset

一致開始ポイント後のバイト オフセット

flexible-mask-name

定義済みテンプレート フィールドから柔軟に一致するものを選択します。

mask-in-hex

一致させるパケット データ内のビットをマスクアウトする

match-start

パケットで一致させる開始ポイント

prefix

一致させる値データ/文字列

 

flexible-match-range value

bit-length

一致させるデータの長さ(ビット単位)(0..32)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビット オフセット

byte-offset

一致開始ポイント後のバイト オフセット

flexible-range-name

定義済みテンプレート フィールドから柔軟に一致するものを選択します。

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

この値の範囲に一致しません

 

forwarding class class

転送クラス。、 、 best-effortexpedited-forwarding、 または を指定assured-forwardingしますnetwork-control

forwarding-class-except class

レイヤー 2 パケット環境のイーサネット タイプ フィールド。、 、 best-effortexpedited-forwarding、 または を指定assured-forwardingしますnetwork-control

icmp-code message-code

ICMP メッセージ コード フィールドに一致します。

この一致条件を設定した場合、同じ条件で ip-protocol icmp、 、 ip-protocol icmp6または ip-protocol icmpv6 一致条件も設定することをお勧めします。

この一致条件を設定した場合、同じ条件で 一致条件も設定 icmp-type message-type する必要があります。ICMP メッセージ コードは ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は関連する ICMP メッセージ タイプに依存します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

  • parameter-problem:ip6-header-bad(0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • time-exceeded:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

  • 宛先-到達不能:address-unreachable(3)、 administratively-prohibited (1)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

ICMP メッセージ コード フィールドに一致しません。詳細については、 一致条件を icmp-code 参照してください。

icmp-type message-type

ICMP メッセージ タイプ フィールドに一致します。

この一致条件を設定した場合、同じ条件で ip-protocol icmp、 、 ip-protocol icmp6または ip-protocol icmpv6 一致条件も設定することをお勧めします。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。destination-unreachable(1)、(129) echo-reply 、(128) echo-requestmembership-query (130) membership-report 、(131) membership-termination 、(132)、 neighbor-advertisement (136) neighbor-solicit 、(135) node-information-replynode-information-request 、(139)、(139) packet-too-big 、(2)、(4) parameter-problem 、(137) redirect 、(134) router-advertisement 、(138) router-renumbering 、(133)、 router-solicit または time-exceeded(3)。

icmp-type-except message-type

ICMP メッセージ タイプ フィールドに一致しません。詳細については、 一致条件を icmp-type 参照してください。

interface interface-name

パケットを受信したインターフェイス。受信したインターフェイスに基づいて、パケットに一致する一致条件を設定できます。

注:

存在しないインターフェイスでこの一致条件を設定した場合、条件はどのパケットにも一致しません。

interface-group group-number

指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致します。に対して group-number、単一の値または から までの 0 値の範囲を 255指定します。

インターフェイスグループgroup-numberに論理インターフェイスを割り当てるには、 階層レベルで をgroup-number[interfaces interface-name unit number family family filter group]指定します。

詳細については、 を参照してください 一連のインターフェイス グループで受信したパケットのフィルタリングの概要

interface-group-except number

指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致しません。詳細については、 一致条件を interface-group 参照してください。

interface-set interface-set-name

指定されたインターフェイス セットにパケットを受信したインターフェイスに一致します。

インターフェイス セットを定義するには、 階層レベルで interface-set ステートメントを [edit firewall] 含めます。詳細については、 を参照してください インターフェイス セットで受信したパケットのフィルタリングの概要

ip-address address

IPv4アドレスの標準構文をサポートする32ビットアドレス。

注:

IPv4トラフィックのみに一致を制限するために、同じ条件でイーサタイプipv4も指定する必要があります。

ip-destination-address address

パケットの最終宛先ノード アドレスである 32 ビット アドレス。

ip-precedence ip-precedence-field

IP 優先度フィールド。数値フィールド値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp(0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine(0x00)。

ip-precedence-except ip-precedence-field

IP 優先度フィールドでは一致しません。

ip-protocol number

IPプロトコルフィールド。

ip-protocol-except

IP プロトコル タイプに一致しません。

ip-source-address address

パケットを送信する送信元ノードの IP アドレス。

ipv6-address address

(MX シリーズのみ)IPv6 アドレスの標準構文をサポートする 128 ビット アドレス。

注:

IPv6 トラフィックのみに一致を制限するには、同じ条件でイーサタイプ ipv6 も指定する必要があります。

ipv6-destination-address address

(MX シリーズのみ)このパケットの最終宛先ノード アドレスである 128 ビット アドレス。

ipv6-destination-prefix-list named-list

(MXシリーズのみ)の IPv6 宛先アドレスに named-list一致します。

ipv6-next-header protocol

(MXシリーズのみ)IPv6 の次のヘッダー プロトコル タイプに一致します。

以下のリストは、 でサポートされている値を protocol示しています。

  • ah—IP セキュリティ認証ヘッダー

  • dstopts—IPv6 宛先オプション

  • egp—外部ゲートウェイプロトコル

  • esp—IPSec カプセル化セキュリティ ペイロード

  • fragment-IPv6 フラグメント ヘッダー

  • gre—一般的なルーティングのカプセル化

  • hop-by-hop-IPv6 hop by hop オプション

  • icmp—Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol バージョン 6

  • igmp—Internet Group Management Protocol

  • ipipIP の IP

  • ipv6IP の IPv6

  • no-next-header—IPv6 次のヘッダーなし

  • ospfオープン最短パス ファースト

  • pim—プロトコル非依存型マルチキャスト

  • routing—IPv6ルーティングヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—Stream Control Transmission Protocol

  • tcp—伝送制御プロトコル

  • udpユーザーデータグラムプロトコル

  • vrrp— 仮想ルーター冗長プロトコル

ipv6-next-header-except protocol

(MXシリーズのみ)IPv6 の次のヘッダー プロトコル タイプに一致しません。

ipv6-payload-protocol protocol

(MXシリーズのみ)IPv6 ペイロード プロトコル タイプに一致します。

以下のリストは、 でサポートされている値を protocol示しています。

  • ah—IP セキュリティ認証ヘッダー

  • dstopts—IPv6 宛先オプション

  • egp—外部ゲートウェイプロトコル

  • esp—IPSec カプセル化セキュリティ ペイロード

  • fragment-IPv6 フラグメント ヘッダー

  • gre—一般的なルーティングのカプセル化

  • hop-by-hop-IPv6 hop by hop オプション

  • icmp—Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol バージョン 6

  • igmp—Internet Group Management Protocol

  • ipipIP の IP

  • ipv6IP の IPv6

  • no-next-header—IPv6 次のヘッダーなし

  • ospfオープン最短パス ファースト

  • pim—プロトコル非依存型マルチキャスト

  • routing—IPv6ルーティングヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—Stream Control Transmission Protocol

  • tcp—伝送制御プロトコル

  • udpユーザーデータグラムプロトコル

  • vrrp— 仮想ルーター冗長プロトコル

ipv6-payload-protocol-except protocol

(MXシリーズのみ)IPv6 ペイロード プロトコルに一致しません。

ipv6-prefix-list named-list

(MXシリーズのみ)の IPv6 アドレスに named-list一致します。

ipv6-source-address address

(MX シリーズのみ)このパケットの送信元ノード アドレスである 128 ビット アドレス。

ipv6-source-prefix-list named-list

(MXシリーズのみ)の IPv6 送信元アドレスに named-list一致します。

ipv6-traffic-class number

(MXシリーズのみ)差別化されたサービス コード ポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。詳細については、 動作集約分類子が信頼できるトラフィックにどのように優先順位を付けするかを理解するを参照してください。

から 063までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 0x めます。値を 2 進形式で指定するには、プレフィックスとして を含 b めます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。ef(46).

  • RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。

af11(10)、 af12 (12)、 af13 (14)

af21(18)、 af22 (20)、 af23 (22)

af31(26)、 af32 (28)、 af33 (30)

af41(34)、 af42 (36)、 af43 (38)

ipv6-traffic-class-except number

DSCP numberに一致しません。

isid number

(プロバイダ バックボーン ブリッジング[PBB]でサポート)インターネット サービス識別子を照合します。

isid-dei number

(PBB でサポート)インターネット サービス識別子ドロップ適格性インジケーター(DEI)ビットに一致します。

isid-dei-except number

(PBB でサポート)インターネットサービス識別子DEIビットに一致しません。

isid-priority-code-point number

(PBB でサポート)インターネット サービス識別子優先度コード ポイントに一致します。

isid-priority-code-point-except number

(PBB でサポート)インターネット サービス識別子優先度コード ポイントに一致しません。

learn-vlan-1p-priority value

(MXシリーズルーターとEXシリーズスイッチのみ)プロバイダ VLAN タグ内の IEEE 802.1p 学習済み VLAN 優先度ビット(802.1Q VLAN タグを持つ単一タグ フレーム内の唯一のタグ、または 802.1Q VLAN タグを持つデュアルタグ フレームの外側タグ)で一致します。から までの単一の値または複数の値を07指定します。

一致条件と比較します user-vlan-1p-priority

learn-vlan-1p-priority-except value

(MXシリーズルーターとEXシリーズスイッチのみ)IEEE 802.1p 学習済み VLAN 優先度ビットでは一致しません。詳細については、 一致条件を learn-vlan-1p-priority 参照してください。

learn-vlan-dei number

(ブリッジングでサポート)ユーザー仮想LAN(VLAN)識別子DEIビットを照合します。

learn-vlan-dei-except number

(ブリッジングでサポート)ユーザーVLAN識別子DEIビットを一致しません。

learn-vlan-id number

MAC 学習に使用される VLAN 識別子。

learn-vlan-id-except number

MAC 学習に使用する VLAN 識別子では一致しません。

loss-priority level

- PLP(パケット損失の優先度)レベル。1 つのレベルまたは複数のレベルを指定します。low、 、 medium-lowmedium-high、または high.

M120およびM320ルーターでサポートされています。Enhanced CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。MXシリーズルーターとEXシリーズスイッチです

拡張 II FPC(フレキシブル PIC コンセントレータ)、EX シリーズ スイッチを搭載した M320、MX シリーズ、T シリーズ ルーターの IP トラフィックの場合、指定された 4 つのレベルのいずれかに PLP 設定をコミットするには、 階層レベルに ステートメント[edit class-of-service]を含めるtri-color必要があります。ステートメントがtri-color有効でない場合、 および low レベルのみを設定highできます。これは、すべてのプロトコルファミリーに適用されます。

ステートメントの詳細 tri-color については、 トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定する BA(動作集約)分類子の使用については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

loss-priority-except level

パケット損失の優先度レベルでは一致しません。1 つのレベルまたは複数のレベルを指定します。low、 、 medium-lowmedium-high、または high.

受信パケットの PLP レベルを設定するための BA(動作集約)分類子の使用については、「 動作集約分類子が信頼されたトラフィックに優先順位を付ける方法の理解」を参照してください。

port number

TCP または UDP 送信元または宛先ポート。一致条件と、 または source-port 一致条件の両方portdestination-port同じ条件で指定することはできません。

source-mac-address address

レイヤー 2 パケットの送信元 MAC アドレス。

source-port number

TCPまたはUDP送信元ポートフィールド。同じ条件に port および source-port 一致条件を指定することはできません。

source-port-except

TCP/UDP 送信元ポートに一致しません。

tcp-flags flags

TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上に一致します。

個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。

一致条件を tcp-flags 設定するには、 一致条件を設定する next-header-tcp 必要があります。

traffic-type type

トラフィック タイプ。、 、 multicastunknown-unicast、 または を指定broadcastしますknown-unicast

traffic-type-except type

トラフィック タイプで一致しません。

user-vlan-1p-priority value

(MXシリーズルーターとEXシリーズスイッチのみ)顧客VLANタグ(802.1Q VLANタグを持つデュアルタグフレームの内側タグ)のIEEE 802.1pユーザー優先度ビットで一致します。から までの単一の値または複数の値を07指定します。

一致条件と比較します learn-vlan-1p-priority

user-vlan-1p-priority-except value

(MXシリーズルーターとEXシリーズスイッチのみ)IEEE 802.1p ユーザー優先度ビットでは一致しません。詳細については、 一致条件を user-vlan-1p-priority 参照してください。

user-vlan-id number

(MXシリーズルーターとEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子に一致します。

user-vlan-id-except number

(MXシリーズルーターとEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子では一致しません。

vlan-ether-type value

レイヤー 2 ブリッジング パケットの VLAN イーサネット タイプ フィールド。

vlan-ether-type-except value

レイヤー 2 ブリッジング パケットの VLAN イーサネット タイプ フィールドでは一致しません。