Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォール フィルター一致条件

MPLS フローの IPv4 または IPv6 パケット ヘッダー アドレスまたはポート フィールドの照会

コア ネットワークでネットワークベースのサービスをサポートするために、MPLS トラフィックfamily mpls()の Internet Protocol version 4(IPv4)またはバージョン 6(IPv6)パケット ヘッダー フィールドに一致するファイアウォール フィルターを設定できます。ファイアウォールフィルターは、単一のMPLSラベルまたは最大5つのMPLSラベルが積み重なるMPLSパケットの内部ペイロードとして、IPv4またはIPv6パケットを一致させることができます。ヘッダーでは、IPv4アドレス、IPv4ポート番号、またはIPv6アドレスとIPv6ポート番号に基づいて一致条件を設定できます。

MPLS タグ付き IPv4 ヘッダーに基づくファイアウォール フィルターは、T320、T640、T1600、TX Matrix、TX Matrix Plus ルーターおよびスイッチ上の拡張スケーリングフレキシブル PIC コンセントレータ(FPC)のインターフェイスでのみサポートされています。ただし、MPLS タグ付き IPv6 ヘッダーに基づくファイアウォール フィルターは、T4000 コア ルーター上のタイプ 5 FPC 上のインターフェイスでのみサポートされています。この機能は、ルーターまたはスイッチループバックインターフェイス(lo0)、ルーターまたはスイッチ管理インターフェイス(fxp0 または em0)、またはUSBモデムインターフェイス(umd)ではサポートされていません。

MPLS フロー内のパケットのレイヤー 4 ヘッダーのアドレスまたはポート フィールドに一致するファイアウォール フィルター条件を設定するには、 一致条件を使用 ip-version ipv4 して、内部 IP フィールドに基づいて条件がパケットを照合することを指定します。

  • IPv4 ヘッダーの送信元または宛先アドレス フィールドで MPLS タグ付き IPv4 パケットを照会するには、 階層レベルで 一致条件を [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] 指定します。

  • レイヤー 4 ヘッダーの送信元または宛先ポート フィールドで MPLS タグ付き IPv4 パケットを一致させるには、 階層レベルで 一致条件を [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] 指定します。

MPLSフロー内のパケットのIPv6ヘッダーのアドレスまたはポートフィールドに一致するファイアウォールフィルター条件を設定するには、 一致条件を使用 ip-version ipv6 して、内部IPフィールドに基づいて条件がパケットを一致するよう指定します。

  • IPv6 ヘッダーの送信元または宛先アドレス フィールドで MPLS タグ付き IPv6 パケットを照会するには、 階層レベルで 一致条件を [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] 指定します。

  • レイヤー 4 ヘッダーの送信元または宛先ポート フィールドで MPLS タグ付き IPv6 パケットを一致させるには、 階層レベルで 一致条件を [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] 指定します。

MPLS トラフィックの IP アドレス一致条件

表 1 は、 階層レベルで設定できるIPアドレス固有の [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] 一致条件について説明します。

表 1: MPLS トラフィックの IP アドレス固有のファイアウォール フィルター一致条件

一致条件

説明

destination-address address

パケットを受信する宛先ノードのアドレスに一致します。

destination-address address except

パケットを受信する宛先ノードのアドレスに一致しません。

protocol number

IP プロトコル タイプ フィールドに一致します。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah(51)、(60) dstopts 、(8) egpesp (50)、 fragment (44) gre 、(47) hop-by-hop 、(0) icmpicmp6 、(58) icmpv6 、(58)、 igmp (2) ipip 、(4) ipv6 、(41)、 ospf (89)、 pim (103) rsvp 、(46)、(132) sctptcp (6)、(17) udp 、または vrrp(112)。

source-address address

パケットを送信する送信元ノードのアドレスに一致します。

source-address address except

パケットを送信する送信元ノードのアドレスに一致しません。

MPLS トラフィックの IP ポート一致条件

表 2 は、 階層レベルで設定できるIPポート固有 match-conditions の説明です [edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )]

表 2: MPLS トラフィックの IP ポート固有のファイアウォール フィルター一致条件

一致条件

説明

destination-port number

UDP または TCP 宛先ポート フィールドで一致します。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67) cmd 、(514) cvspserver 、(2401) dhcp 、(67)、 domain (53)、 eklogin (21 05、 ekshell (2106)、 exec (512)、 finger (79) ftp 、(21)、 ftp-data (20)、 http (80) https 、(443) ident 、(113)、 imap (143) kerberos-sec (88)、(543) kpasswdklogin 、(761)、 krb-prop (754)、 krbupdate (760) kshell 、(544) ldap 、(389) ldp 、(646) login 、(513) mobileip-agent 、(434) mobilip-mn 、(435) msdp 、(639) netbios-dgm 、(138) netbios-ns 、(137)、(139) netbios-ssn 、(2049) nfsdnntp 、(119)、(58) ntalkntp (123)、 pop3 (110)、 pptp (1723)、 printer (515) radacct 、(1813) radius 、(1812) rip 、(520) rkinit 、(2108) smtp 、(25)、(161) snmp 、(162) snmptrapsnpp 、(44 4)、 socks (1080) ssh 、(22)、 sunrpc (111) syslog 、(514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) tftptimed (525)、(513) who 、またはxdmcp(177)。

destination-port-except number

UDP または TCP 宛先ポート フィールドで一致しません。

数値の代わりに、 一致条件で記載されているテキスト同義語の1つを destination-port 指定できます。

source-port number

TCP または UDP 送信元ポート フィールドで一致します。

数値フィールドの代わりに、 の下 destination-portに記載されているテキスト同義語の1つを指定できます。

source-port-except number

TCP または UDP 送信元ポート フィールドで一致しません。