Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPLSトラフィックのファイアウォールフィルター一致条件

VPLSフィルター条件の ステートメントでは、実行するステートメントのアクションに対してパケットが一致する必要がある条件を指定します。fromthen この from ステートメントの条件は、実行するアクションに一致する必要があります。一致が発生するためにはパケットが項内のすべての条件に一致する必要があるため、一致条件を指定する順序は重要ではありません。

条件に一致条件を指定しない場合、その条件はすべてのパケットに一致します。

ステートメント内の 個々の条件には、値のリストを含めることができます。from たとえば、数値範囲を指定できます。複数の送信元アドレスまたは宛先アドレスを指定することもできます。条件が値のリストを定義する際、リスト内の値のいずれかがパケットに一致すると一致が発生します。

ステートメント内の個々の条件は 否定することができます。from 条件を否定すると、明示的な不一致を定義していることになります。例えば、 の 否定一致条件は です。forwarding-classforwarding-class-except パケットが否定条件に一致すると、すぐにそのステートメントに一致 しないと見なされ、フィルタ内の次の条件があればそれが評価されます。from これ以降条件がない場合、パケットは破棄されます。

仮想プライベートLANサービス(VPLS)トラフィック()の一致条件があるファイアウォールフィルターを設定できます。は、 階層レベルで設定できる を説明します。 family vpls表 1match-conditions[edit firewall family vpls filter filter-name term term-name from]

注:

VPLSトラフィックのすべての一致条件が、すべてのルーティングプラットフォームまたはスイッチングプラットフォームでサポートされているわけではありません。VPLSトラフィックの多くの一致条件は、MXシリーズ5Gユニバーサルルーティングプラットフォームでのみサポートされています。

VPLSのドキュメントでは、PEルーターなどの用語のルーターという言葉は、ルーティング機能を提供するデバイスを指すために使用されます。
表 1: VPLSトラフィックのファイアウォールフィルター一致条件

一致条件

説明

destination-mac-address address

VPLSパケットの宛先MAC(メディアアクセス制御)アドレスに一致します。

destination-port number

(MXシリーズルーターおよびEXシリーズスイッチのみ)UDPまたはTCP宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。afs (1483)、 (bgp179)、 (512)、 (68)、 (67bootps)、 (514)、 (2401)、 (67)、 (53)、 (2domaineklogin105)dhcp、 (2106)、 ekshell(512)、 (79exec)、 (21)、 (20)、 (80)、 (443)、 (113)、 (143)、 (88)、 (543)、 (761)、 (7finger54)、 (760)http、 (5krb-prop44https)、 (389)、 krbupdatekshellldap(646)、 (513)、 (434)、 (435)、 (639)、loginmobileip-agentmobilip-mnmsdpnetbios-dgm (138)、 (137)、 (139)、 (2049)、 (119)、 (518)、 biff(123)、 (110)、 (1nntpntalkntppop3723)、 bootpc(515sunrpcsyslogtacacs)、 (1813)、cmd (1812)、 (520)、 pptp(2108)、 (25)、 (161)、 (162)nfsd、 (444)、radiusriprkinitsmtpsnmpsnmptrapsnppsocksssh (netbios-ssn1080printerradacct)、 (22)、 (111)、 (514)、 (49)、 (65)、 (517)、 (23)、 (69)、 (525)、 (513)、oimapkerberos-seckloginkpasswdr  (177).identtacacs-dstalktelnettftptimedcvspserverwhoxdmcpnetbios-nsftpftp-dataldp

destination-port-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)TCPまたはUDP宛先ポートフィールドで一致しません。同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

destination-prefix-list name

(ACX シリーズ ルーター、MX シリーズ ルーター、EX シリーズ スイッチのみ)指定されたリストで宛先プレフィックスに一致します。[edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリストの名前を指定します。

注:

VPLSプレフィックスリストは、IPv4アドレスのみをサポートします。VPLSプレフィックスリストに含まれるIPv6アドレスは破棄されます。

destination-prefix-list name except

(MXシリーズルーターおよびEXシリーズスイッチのみ)指定されたリストの宛先プレフィックスに一致しません。詳細については、destination-prefix-list 一致条件を参照してください。

dscp number

(MXシリーズルーターおよびEXシリーズスイッチのみ)DSCP(差別化されたサービスコードポイント)に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、 動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/classifier-ba-overview-cos-config-guide.html

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

(10)、(12)、 (14)、 af11af12af13

(18)、(20)、 (22)、 af21af22af23

(26)、(28)、 (30)、 af31af32af33

af41 (34), af42 (36), af43 (38)

dscp-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)DSCP上では一致しません。詳細については、 dscp一致条件を参照してください。

ether-type values

2オクテットのIEEE 802.3長さ/EtherTypeフィールドを、指定された値または値のリストに一致させます。

0 から 65535 (0xFFFF) までの 10 進数または 16 進数値を指定できます。0 から 1500 (0x05DC) の値は、イーサネット バージョン 1 フレームの長さを指定します。1536(0x0600)から65535までの値は、イーサネットバージョン2フレームのEtherType(MACクライアントプロトコルの性質)を指定します。

数値の代わりに、以下のテキスト同義語(16進数値も記載されています)のいずれかを指定することができます。(0x80F3)、 (0x809B)、 (0x0806)、 (0x0800)、 (0x86DD)、 (0x8848)、 (0x8847)、 (0x8902)、 (0x880B)、 (0x8863)、 (0x8864)、または (0x80D5)。aarpappletalkarpipv4ipv6mpls-multicastmpls-unicastoamppppppoe-discoverypppoe-sessionsna

ether-type-except values

指定された値または値のリストに 2 オクテットの長さ/EtherType フィールドに一致しません。

values の指定に関する詳細については、 ether-type一致条件を参照してください。

flexible-match-mask value

bit-length

Junos OS 14.2 以降、ファイアウォール階層構成で柔軟なオフセット フィルターがサポートされています。

一致させるデータの長さ(ビット単位)、文字列入力には不要(0..128)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-mask-name

定義済みテンプレートフィールドから柔軟な一致を選択します。

mask-in-hex

一致するパケットデータ内のマスクアウトビット

match-start

パケットで一致させる開始ポイント

prefix

一致する値データ/文字列
 

flexible-match-range value

bit-length

一致させるデータの長さ(ビット単位)(0..32)

bit-offset

(match-start + バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-range-name

定義済みテンプレートフィールドから柔軟な一致を選択します。

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

値のこの範囲に一致しません
 

forwarding-class class

転送クラスに一致します。assured-forwardingbest-effortexpedited-forwarding、 またはnetwork-control を指定します。

forwarding-class-except class

転送クラスに一致しません。詳細については、 forwarding-class一致条件を参照してください。

icmp-code message-code

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で または 一致条件も設定することをお勧めします。next-header icmpnext-header icmp6

この一致条件を設定する場合、同じ条件で 一致条件も設定 する必要があります。icmp-type message-type ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:(0)、(1)、 (2)ip6-header-badunrecognized-next-headerunrecognized-option

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • 宛先到達不能: (3), (1), (0), (4)address-unreachableadministratively-prohibitedno-route-to-destinationport-unreachable

icmp-code-except message-code

ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

icmp-code number

(MXシリーズルーターおよびEXシリーズスイッチのみ) ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で または 一致条件も設定することをお勧めします。ip-protocol icmpip-protocol icmp6

この一致条件を設定する場合、同じ条件で 一致条件も設定 する必要があります。icmp-type message-type ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:(0)、(1)、 (2)ip6-header-badunrecognized-next-headerunrecognized-option

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • 宛先到達不能: (3), (1), (0), (4)address-unreachableadministratively-prohibitedno-route-to-destinationport-unreachable

icmp-code-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ) ICMPコードフィールドで一致しません。詳細については、 icmp-code一致条件を参照してください。

interface interface-name

パケットを受信したインターフェイス。受信したインターフェイスに基づいて、パケットを照合する一致条件を設定できます。

注:

存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。

interface-group group-number

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。には、単一の値、または から までの値の範囲を指定します。group-number0255

インターフェイスグループ に論理インターフェイスを割り当てるにはgroup-number、 階[interfaces interface-name unit number family family filter group]層レベルgroup-numberで を指定します。

詳細については、インターフェイスグループのセットで受信したパケットのフィルタリングの概要を参照してください。

注:

この一致条件は、T4000タイプ 5 FPCではサポートされていません。

interface-group-except group-name

指定されたインターフェイスグループまたはインターフェイス グループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 interface-group一致条件を参照してください。

注:

この一致条件は、T4000タイプ 5 FPCではサポートされていません。

interface-set interface-set-name

指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。

インターフェイスセットを定義するには、 階[edit firewall]層レベルに ステートinterface-setメントを含めます。詳細については、インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

ip-address address

(MX シリーズ ルーターおよび EX シリーズ スイッチのみ)IPv4 アドレスの標準構文をサポートする 32 ビット アドレス。

なお、この用語を使用する場合、同じ用語で一致条件 ether-type IPv4 を定義する必要があります。

ip-destination-address address

(MX シリーズ ルーターおよび EX シリーズ スイッチのみ)パケットの最終宛先ノード アドレスである 32 ビット アドレス。

なお、この用語を使用する場合、同じ用語で一致条件 ether-type IPv4 を定義する必要があります。

ip-precedence ip-precedence-field

(MXシリーズルーターおよびEXシリーズスイッチのみ)IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp (0xa0)、 (flash0x60)、 (flash-override0x80)、(0x4immediate0)、(0xinternet-controlc0)、(0xe0)net-control、(0x20)、または(0x00)。routinepriority

ip-precedence-except ip-precedence-field

(MXシリーズルーターおよびEXシリーズスイッチのみ)IP優先度フィールドで一致しません。

ip-protocol number

(MXシリーズルーターおよびEXシリーズスイッチのみ)IP プロトコル フィールドです。

ip-protocol-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)IPプロトコルフィールドで一致しません。

ip-source-address address

(MXシリーズルーターおよびEXシリーズスイッチのみ)パケットを送信している送信元ノードのIPアドレス。

なお、この用語を使用する場合、一致条件 ether-type IPv4 も同じ用語で定義する必要があります。

ipv6-source-prefix-list named-list

(MXシリーズのみ)のIPv6送信元アドレス に一致します。named-list

ipv6-address address

(MX シリーズおよび EX9200 のみ)IPv6 アドレスの標準構文をサポートする 128 ビット アドレス。Junos OS 14.2以降、ファイアウォールファミリーブリッジIPv6一致基準がMXシリーズとEX9200スイッチでサポートされます。

ipv6-destination-address address

((MX シリーズおよび EX9200 のみ)このパケットの最終宛先ノード アドレスである 128 ビット アドレス。この項を使用する場合、同じ項に一致条件 を定義する必要があることに注意してください。ether-type IPv6

ipv6-destination-prefix-list named-list

(MXシリーズのみ)内のIPv6宛先アドレス に一致します。named-list

ipv6-next-header protocol

(MXシリーズのみ)IPv6 の次のヘッダー プロトコル タイプに一致します。

次のリストは、 でサポートされている 値を示しています。protocol

  • ah- IP セキュリティ認証ヘッダー

  • dstopts—IPv6 宛先オプション

  • egp—外部ゲートウェイプロトコル

  • esp- IPSec カプセル化セキュリティ ペイロード

  • fragment- IPv6 フラグメント ヘッダー

  • gre—一般的なルーティングカプセル化

  • hop-by-hop—IPv6 ホップバイホップオプション

  • icmp—インターネット制御メッセージ プロトコル

  • icmp6- インターネット制御メッセージ プロトコル バージョン 6

  • igmp—インターネットグループ管理プロトコル

  • ipip- IP in IP

  • ipv6—IPのIPv6

  • no-next-header- IPv6 次のヘッダーなし

  • ospf- 最短パスを最初に開く

  • pim—プロトコル独立マルチキャスト

  • routing- IPv6 ルーティング ヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—ストリーム制御伝送プロトコル

  • tcp—伝送制御プロトコル

  • udp- ユーザ データグラム プロトコル

  • vrrp—仮想ルーター冗長プロトコル

ipv6-next-header-except protocol

(MXシリーズのみ)IPv6 の次のヘッダー プロトコル タイプに一致しません。

ipv6-payload-protocol protocol

(MXシリーズのみ)IPv6ペイロードプロトコルタイプに一致します。

次のリストは、 でサポートされている 値を示しています。protocol

  • ah- IP セキュリティ認証ヘッダー

  • dstopts—IPv6 宛先オプション

  • egp—外部ゲートウェイプロトコル

  • esp- IPSec カプセル化セキュリティ ペイロード

  • fragment- IPv6 フラグメント ヘッダー

  • gre—一般的なルーティングカプセル化

  • hop-by-hop—IPv6 ホップバイホップオプション

  • icmp—インターネット制御メッセージ プロトコル

  • icmp6- インターネット制御メッセージ プロトコル バージョン 6

  • igmp—インターネットグループ管理プロトコル

  • ipip- IP in IP

  • ipv6—IPのIPv6

  • no-next-header- IPv6 次のヘッダーなし

  • ospf- 最短パスを最初に開く

  • pim—プロトコル独立マルチキャスト

  • routing- IPv6 ルーティング ヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—ストリーム制御伝送プロトコル

  • tcp—伝送制御プロトコル

  • udp- ユーザ データグラム プロトコル

  • vrrp—仮想ルーター冗長プロトコル

ipv6-payload-protocol-except protocol

(MXシリーズのみ)IPv6ペイロードプロトコルに一致しません。

ipv6-prefix-list named-list

(MXシリーズのみ)内のIPv6アドレス に一致します。named-list

ipv6-source-address address

(MX シリーズのみ)このパケットの送信元ノード アドレスである 128 ビット アドレス。

ipv6-traffic-class number

(MXシリーズのみ)差別化されたサービス コード ポイント(DSCP)です。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246, An Expeded Forwarding PHB(Per-Hop Behavior)は、1つのコード ポイントを定義します。ef (46)。

  • RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

(10)、(12)、 (14)、 af11af12af13

(18)、(20)、 (22)、 af21af22af23

(26)、(28)、 (30)、 af31af32af33

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except number

DSCP に一致しません。number

learn-vlan-1p-priority number

(MXシリーズルーター、M320ルーター、EXシリーズスイッチのみ)プロバイダVLANタグのIEEE 802.1p学習VLAN優先度ビット(802.1Q VLANタグを持つ単一タグフレーム内の唯一のタグ、または802.1Q VLANタグを持つ二重タグフレーム内の外部タグ)に一致します。から までの単一の値または複数の値を指定します。07

を一致条件と比較します 。user-vlan-1p-priority

注:

この一致条件は、MXシリーズルーターとM320ルーターの制御ワードの存在をサポートします。

learn-vlan-1p-priority-except number

(MXシリーズルーター、M320ルーター、EXシリーズスイッチのみ)IEEE 802.1pで学習されたVLAN優先度ビットでは一致しません。詳細については、 learn-vlan-1p-priority一致条件を参照してください。

注:

この一致条件は、MXシリーズルーターとM320ルーターの制御ワードの存在をサポートします。

learn-vlan-dei

(MXシリーズルーターおよびEXシリーズスイッチのみ)ユーザーVLAN IDドロップ適格性インジケータ(DEI)ビットに一致します。

learn-vlan-dei-except

(MXシリーズルーターおよびEXシリーズスイッチのみ)ユーザー VLAN ID DEI ビットに一致しません。

learn-vlan-id number

(MXシリーズルーターおよびEXシリーズスイッチのみ)MAC 学習に使用される VLAN 識別子。

learn-vlan-id-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)MAC学習に使用されるVLAN識別子では一致しません。

loss-priority level

PLP(パケット損失の優先度)レベル単一のレベルまたは複数のレベルを指定します。lowmedium-lowmedium-high、またはhigh

M120およびM320ルーター、拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター、MXシリーズルーターでサポートされています。

拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MXシリーズ、T Seriesルーター、EXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、 階層レベルに ステートメントを含める必要があります。 tri-color [edit class-of-service]tri-colorステートメントが有効になっていない場合、high および lowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

ステートメントの詳細 、および受信パケットのPLPレベルを設定するためのBA(動作集約)分類子の使用については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。tri-colorhttps://www.juniper.net/documentation/en_US/junos/topics/concept/forwarding-class-overview-cos-config-guide.html

loss-priority-except level

パケット損失の優先度レベルでは一致しません。単一のレベルまたは複数のレベルを指定します。lowmedium-lowmedium-high、またはhigh

受信パケットのPLPレベルを設定するためのBA(動作集約)分類子の使用について、動作集約分類子がどのように信頼されるトラフィックに優先順位を付けるかの理解を参照してください。

port number

(MXシリーズルーターおよびEXシリーズスイッチのみ)TCP または UDP 送信元または宛先ポート。同じ項に 一致条件と または 一致条件を両方指定することはできません。portdestination-portsource-port

port-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)TCP または UDP の送信元または宛先ポートで一致しません。同じ項に 一致条件と または 一致条件を両方指定することはできません。portdestination-portsource-port

prefix-list name

(MXシリーズルーターおよびEXシリーズスイッチのみ)指定されたリストの宛先プレフィックスまたは送信元プレフィックスに一致します。[edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリストの名前を指定します。

注:

VPLS プレフィックス リストは、IPV4 アドレスのみをサポートします。VPLSプレフィックスリストに含まれるIPV6アドレスは破棄されます。

prefix-list name except

(MXシリーズルーターおよびEXシリーズスイッチのみ)指定されたリストの宛先プレフィックスまたは送信元プレフィックスに一致しません。詳細については、destination-prefix-list 一致条件を参照してください。

source-mac-address address

VPLS パケットの送信元 MAC アドレス。

source-port number

(MXシリーズルーターおよびEXシリーズスイッチのみ)TCP または UDP 送信元ポート フィールドです。同じ項に portおよび source-port一致条件を指定することはできません。

source-port-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)TCPまたはUDP送信元ポートフィールドで一致しません。同じ項に portおよび source-port一致条件を指定することはできません。

source-prefix-list name

(ACX シリーズ ルーター、MX シリーズ ルーター、EX シリーズ スイッチのみ)指定されたプレフィックスリスト内の送信元プレフィックスに一致します。階層レベルで定義された プレフィックスリスト名を指定します。[edit policy-options prefix-list prefix-list-name]

注:

VPLS プレフィックス リストは、IPV4 アドレスのみをサポートします。VPLSプレフィックスリストに含まれるIPV6アドレスは破棄されます。

source-prefix-list name except

(MXシリーズルーターおよびEXシリーズスイッチのみ)指定されたプレフィックス リスト内の送信元プレフィックスに一致しません。詳細については、source-prefix-list 一致条件を参照してください。

tcp-flags flags

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

IPv6 トラフィックのこの一致条件を設定した場合、ポートで使用される TCP プロトコルを指定するために、同じ条件で一致条件を設定する こともお勧めします。next-header tcp

traffic-type type-name

(MXシリーズルーターおよびEXシリーズスイッチのみ)トラフィック タイプ。broadcastmulticastunknown-unicast、 またはknown-unicast を指定します。

traffic-type-except type-name

(MXシリーズルーターおよびEXシリーズスイッチのみ)トラフィック タイプで一致しません。broadcastmulticastunknown-unicast、 またはknown-unicast を指定します。

user-vlan-1p-priority number

(MXシリーズルーター、M320ルーター、EXシリーズスイッチのみ)カスタマーVLANタグ(802.1Q VLANタグを持つデュアルタグフレームの内部タグ)のIEEE 802.1pユーザープライオリティビットに一致します。から までの単一の値または複数の値を指定します。07

を一致条件と比較します 。learn-vlan-1p-priority

注:

この一致条件は、MXシリーズルーターとM320ルーターの制御ワードの存在をサポートします。

user-vlan-1p-priority-except number

(MXシリーズのルーター、M320ルアー、EXシリーズのスイッチのみ)IEEE 802.1p ユーザー優先度ビットでは一致しません。詳細については、 user-vlan-1p-priority一致条件を参照してください。

注:

この一致条件は、MXシリーズルーターとM320ルーターの制御ワードの存在をサポートします。

user-vlan-id number

(MXシリーズルーターおよびEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子に一致します。

user-vlan-id-except number

(MXシリーズルーターおよびEXシリーズスイッチのみ)ペイロードの一部である最初の VLAN 識別子では一致しません。

vlan-ether-type value

VPLS パケットの VLAN イーサネット タイプ フィールド。

vlan-ether-type-except value

VPLSパケットのVLANイーサネットタイプフィールドに一致しません。
注:

コミットチェックは、サポートされている場合、またはサポートされていない場合にエラーを発行します。traffic-type known-unicasttraffic-type unknown-unicast

関連項目

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
14.2
Junos OS 14.2 以降、ファイアウォール階層構成で柔軟なオフセット フィルターがサポートされています。
14.2
Junos OS 14.2以降、ファイアウォールファミリーブリッジIPv6一致基準がMXシリーズとEX9200スイッチでサポートされます。