Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件

MPLS フローの IPv4 または IPv6 パケット ヘッダー アドレスまたはポート フィールドでの照合

コアネットワークでネットワークベースのサービスをサポートするために、MPLS トラフィック(family mpls)のInternet Protocol version 4( IPv4)またはバージョン6( IPv6)パケットヘッダーフィールドと一致するファイアウォールフィルターを設定できます。ファイアウォール フィルターは、1 つの MPLS ラベルまたは最大 5 つの MPLS ラベルがスタックされた MPLS パケットの内部ペイロードとして、IPv4 または IPv6 パケットを照合できます。ヘッダー内のIPv4アドレスとIPv4ポート番号、またはIPv6アドレスとIPv6ポート番号に基づいて照合条件を設定できます。

MPLSタグ付きIPv4ヘッダーに基づくファイアウォールフィルターは、T320、T640、T1600、TX Matrix、およびTX Matrix Plusルーターとスイッチ上の拡張スケーリングフレキシブルPICコンセントレータ(FPC)のインターフェイスでのみサポートされます。ただし、MPLS タグ付き IPv6 ヘッダーに基づくファイアウォール フィルターは、T4000 コア ルーター上のタイプ 5 FPC 上のインターフェイスでのみサポートされます。この機能は、ルーターまたはスイッチのループバック インターフェイス(lo0)、ルーターまたはスイッチの管理インターフェイス(fxp0 または em0)、USB モデム インターフェイス(umd)ではサポートされていません。

MPLS フローのパケットのレイヤー 4 ヘッダーのアドレスまたはポート フィールドと一致するファイアウォール フィルター条件を設定するには、 ip-version ipv4 一致条件を使用して、内部 IP フィールドに基づいてパケットを照合するように指定します。

  • IPv4ヘッダーの送信元アドレスフィールドまたは宛先アドレスフィールドでMPLSタグ付きIPv4パケットを照合するには、 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] 階層レベルで 一致条件を指定します。

  • レイヤー4ヘッダーの送信元または宛先ポートフィールドでMPLSタグ付きIPv4パケットを照合するには、 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] 階層レベルで 一致条件を指定します。

MPLS フローのパケットの IPv6 ヘッダーのアドレスまたはポート フィールドと一致するファイアウォール フィルター条件を設定するには、 ip-version ipv6 一致条件を使用して、内部 IP フィールドに基づいてパケットを照合するように条件を指定します。

  • IPv6ヘッダーの送信元アドレスフィールドまたは宛先アドレスフィールドでMPLSタグ付きIPv6パケットを照合するには、 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] 階層レベルで 一致条件を指定します。

  • レイヤー4ヘッダーの送信元または宛先ポートフィールドでMPLSタグ付きIPv6パケットを照合するには、 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] 階層レベルで 一致条件を指定します。

MPLS トラフィックの IP アドレス一致条件

表 1 は、 [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] 階層レベルで設定できるIPアドレス固有の一致条件を説明します。

表 1: MPLSトラフィックのIPアドレス固有のファイアウォールフィルター一致条件

一致条件

説明

destination-address address

パケットを受信する宛先ノードのアドレスを照合します。

destination-address address except

パケットを受信する宛先ノードのアドレスが一致しません。

protocol number

IPプロトコルタイプフィールドに一致します。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah( 51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 ospf (89)、 pim (103)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)、または vrrp (112)。

source-address address

パケットを送信する送信元ノードのアドレスに一致します。

source-address address except

パケットを送信する送信元ノードのアドレスに一致しません。

MPLSトラフィックのIPポート一致条件

表 2では、[edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )]階層レベルで設定可能なIPポート固有のmatch-conditionsについて説明します。

表 2: MPLSトラフィックのIPポート固有のファイアウォールフィルター一致条件

一致条件

説明

destination-port number

UDPまたはTCP宛先ポート フィールドで一致します。

数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-port-except number

UDPまたはTCP宛先ポートフィールドで一致しません。

数値の代わりに、 destination-port一致条件で記載されているテキスト同義語の1つを指定します。

source-port number

TCPまたはUDP送信元ポート フィールドで一致します。

数値 フィールドの代わりに、 の下に記載されているテキスト シノニムの 1 つを指定しますdestination-port

source-port-except number

TCPまたはUDP送信元ポートフィールドで一致しません。

MPLS トラフィックのインターフェイス一致条件

表 3では、[edit firewall family mpls filter filter-name term term-name]階層レベルで設定できるインターフェイス固有のmatch-conditionsについて説明します。

表 3: MPLSトラフィックのインターフェイス固有のファイアウォールフィルター一致条件

一致条件

説明

interface-group interface-device name | unit-list

インターフェイスグループに一致します。次のオプションがあります。

  • interface-device name - インターフェイス デバイスの名前。イーサネットデバイスのみが許可されます。デバイスインターフェイス名には、次のものが含まれます ge, ae, xe and et.

  • unit-list - 1つ以上の論理インターフェイスユニット番号。

    • 範囲:<0-16385> または <0-16385>-<0-16385> の範囲の文字列。たとえば、 unit-list[12 23-33 44]

関連項目