Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPLSトラフィックのファイアウォールフィルター一致条件

VPLSフィルター条件の from ステートメントでは、 then ステートメントのアクションが実行されるためにパケットが一致する必要がある条件を指定します。 from ステートメントのすべての条件が一致しなければ、実行するアクションが実行されます。一致が発生するためにはパケットが項内のすべての条件に一致する必要があるため、一致条件を指定する順序は重要ではありません。

条件に一致条件を指定しない場合、その条件はすべてのパケットに一致します。

fromステートメント内の個々の条件には、値のリストを含めることができます。例えば、数値範囲を指定できます。複数の送信元アドレスまたは宛先アドレスを指定することもできます。条件で値のリストが定義されるとき、リスト内の値の1つがパケットと一致すると一致が発生します。

fromステートメントの個々の条件は否定できます。条件を否定すると、明示的な不一致を定義します。例えば、forwarding-classの否定された一致条件はforwarding-class-exceptです。パケットが否定された条件に一致すると、そのパケットは直ちにfromステートメントに一致しないと見なされ、フィルター内の次の項がある場合はそれが評価されます。それ以上の条件がない場合、パケットは破棄されます。

仮想プライベートLANサービス(VPLS)トラフィック(family vpls)の一致条件を持つファイアウォールフィルターを設定できます。表1に、[edit firewall family vpls filter filter-name term term-name from]階層レベルで設定できるmatch-conditionsを示します。

注:

VPLSトラフィックのすべての一致条件が、すべてのルーティングプラットフォームまたはスイッチングプラットフォームでサポートされているわけではありません。.

VPLSのドキュメントでは、PEルーターなどの用語のルーターという言葉は、ルーティング機能を提供するデバイスを指すために使用されています。
表1:VPLSトラフィックのファイアウォールフィルター一致条件

一致条件

説明

destination-mac-address address

VPLSパケットの宛先MAC(メディアアクセス制御)アドレスに一致します。

destination-port number

UDPまたはTCP宛先ポートフィールドに一致します。

同じ条件に portdestination-port の両方の一致条件を指定することはできません。

数値の代わりに、次のテキスト同義語(ポート番号も記載されています)のいずれかを指定できます:afs(1483)、bgp(179)、biff(512)、bootpc(68)、bootps(67)、cmd(514)、cvspserver(2401)、dhcp(67)、domain(53)、eklogin(2105)、ekshell(2106)、exec(512)、finger https (79)、ftp (21)、ftp-data (20)、http (80)、 (443)、ident (113)、imap (143)、kerberos-sec (88)、klogin (543)、kpasswd (761)、krb-prop (754)、krbupdate (760)、kshell (544)、ldap (389)、ldp (646)、login (513)、mobileip-agent (434)、mobilip-mn (435)、msdp (639)、netbios-dgm (138)、netbios-ns (137)、netbios-ssn (139)、nfsd (2049)、nntp (119)、ntalk (518)、ntp (123)、pop3 (110)、pptp (1723)、printer (515)、radacct (1813)、radius (1812)、rip (520rkinit)、 (2108)、smtp (25)、snmp (161)、snmptrap (162)、snpp (444)、socks (1080)、ssh (22)、sunrpc (111)、syslog (514)、tacacs (49)、tacacs-ds (65)、talk (517)、telnet (23)、tftp (69)、timed (525)、who (513)、またはxdmcp (177)。

destination-port-except number

TCPまたはUDP宛先ポートフィールドに一致しません。同じ条件に portdestination-port の両方の一致条件を指定することはできません。

destination-prefix-list name

指定されたリストの宛先プレフィックスに一致します。 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリストの名前を指定します。

注:

VPLSプレフィックスリストは、IPv4アドレスのみをサポートします。VPLSプレフィックスリストに含まれているIPv6アドレスは破棄されます。

destination-prefix-list name except

指定されたリストの宛先プレフィックスに一致しません。詳細については、「 destination-prefix-list 一致条件」を参照してください。

dscp number

DSCP(差別化されたサービスコードポイント)に一致します。DiffServプロトコルは、IPヘッダーでサービスタイプ(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、「 動作集約分類子が信頼されるトラフィックに優先順位を付ける方法を理解する」を参照してください。

0から63までの数値を指定できます。値を16進形式で指定するには、プレフィックスとして0xを含めます。値を2進法で指定するには、プレフィックスとしてbを含めます。

数値の代わりに、以下のテキスト同義語(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246、 Expeded Forwarding PHB(Per-Hop Behavior)では、1つのコードポイントを定義します。 ef(46)。

  • RFC 2597、 Assured Forwarding PHB Groupは、合計12個のコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

af11(10)、 af12 (12)、 af13 (14)、

af21(18)、 af22 (20)、 af23 (22)、

af31(26)、 af32(28)、 af33(30)、

af41(34)、 af42 (36)、 af43 (38)

dscp-except number

DSCPでは一致しません。詳細については、「 dscp 一致条件」を参照してください。

ether-type values

2オクテットのIEEE 802.3 Length/EtherTypeフィールドを、指定された値または値のリストに一致させます。

0〜65535(0xFFFF)の10進数または16進数を指定できます。0〜1500(0x05DC)の値は、イーサネットバージョン1フレームの長さを指定します。1536(0x0600)から65535までの値は、イーサネットバージョン2フレームのEtherType(MACクライアントプロトコルの性質)を指定します。

数値の代わりに、 aarp(0x80F3)、 appletalk(0x809B)、 arp(0x0806)、 ipv4(0x0800)、 ipv6(0x86DD)、 mpls-multicast(0x8848)、 mpls-unicast(0x8847)、 oam(0x8902)、 ppp(0x880B)、 pppoe-discovery(0x8863)、 pppoe-session(0x8864)、または sna(0x80D5)のいずれかのテキスト同義語を指定できます。

ether-type-except values

指定された値または値のリストに2オクテットの長さ/EtherTypeフィールドを一致させないでください。

values指定の詳細については、「ether-type一致条件」を参照してください。

flexible-match-mask value

bit-length

フレキシブルオフセットフィルターは、ファイアウォール階層設定でサポートされています。

一致させるデータの長さ(ビット単位)、文字列入力には不要(0..128)

bit-offset

(match-start+バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-mask-name

定義済みテンプレートフィールドから柔軟な一致を選択します

mask-in-hex

一致するパケットデータ内のマスクアウトビット

match-start

パケットで一致させる開始ポイント

prefix

一致する値データ/文字列
 

flexible-match-range value

bit-length

一致させるデータの長さ(ビット単位)(0..32)

bit-offset

(match-start+バイト)オフセット(0..7)の後のビットオフセット

byte-offset

一致開始ポイント後のバイトオフセット

flexible-range-name

定義済みテンプレートフィールドから柔軟な一致を選択します

match-start

パケットで一致させる開始ポイント

range

一致させる値の範囲

range-except

値のこの範囲に一致しません
 

forwarding-class class

転送クラスに一致します。 assured-forwardingbest-effortexpedited-forwarding、または network-controlを指定します。

forwarding-class-except class

転送クラスに一致しません。詳細については、「 forwarding-class 一致条件」を参照してください。

icmp-code message-code

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。

数値の代わりに、以下のテキスト同義語(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • パラメータ問題: ip6-header-bad(0)、 unrecognized-next-header(1)、 unrecognized-option (2)

  • time-exceeded: ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0)

  • destination-unreachable: address-unreachable(3)、 administratively-prohibited(1)、 no-route-to-destination(0)、 port-unreachable(4)

icmp-code-except message-code

ICMPメッセージコードフィールドに一致しません。詳細については、「 icmp-code 一致条件」を参照してください。

icmp-code number

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で ip-protocol icmp または ip-protocol icmp6 一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。

数値の代わりに、以下のテキスト同義語(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • パラメータ問題: ip6-header-bad(0)、 unrecognized-next-header(1)、 unrecognized-option (2)

  • time-exceeded: ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0)

  • destination-unreachable: address-unreachable(3)、 administratively-prohibited(1)、 no-route-to-destination(0)、 port-unreachable(4)

icmp-code-except number

ICMPコードフィールドで一致しません。詳細については、「 icmp-code 一致条件」を参照してください。

interface interface-name

パケットを受信したインターフェイス。受信したインターフェイスに基づいてパケットを一致させる一致条件を設定できます。

注:

存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。

interface-group group-number

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。 group-numberの場合は、単一の値または 0 から 255までの値の範囲を指定します。

インターフェイスグループgroup-numberに論理インターフェイスを割り当てるには、[interfaces interface-name unit number family family filter group]階層レベルでgroup-numberを指定します。

詳細については、「 インターフェイスグループのセットで受信したパケットのフィルタリングの概要」を参照してください。

interface-group-except group-name

指定されたインターフェイスグループまたはインターフェイスグループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、「 interface-group 一致条件」を参照してください。

interface-set interface-set-name

指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。

インターフェイスセットを定義するには、[edit firewall]階層レベルでinterface-setステートメントを含めます。詳細については、「インターフェイスセットで受信したパケットのフィルタリングの概要」を参照してください。

ip-address address

IPv4アドレスの標準構文をサポートする32ビットアドレス。

この用語を使用する場合、一致条件ether-type IPv4は同じ用語で定義されている必要があります。

ip-destination-address address

パケットの最終宛先ノードアドレスである32ビットアドレス。

この用語を使用する場合、一致条件ether-type IPv4は同じ用語で定義されている必要があります。

ip-precedence ip-precedence-field

IP precedence フィールドです。数字フィールド値の代わりに、 critical-ecp(0xa0)、 flash(0x60)、 flash-override(0x80)、 immediate(0x40)、 internet-control(0xc0)、 net-control(0xe0)、 priority(0x20)、または routine(0x00)のいずれかのテキスト同義語を指定できます。

ip-precedence-except ip-precedence-field

IP優先度フィールドに一致しません。

ip-protocol number

IP プロトコル フィールドです。

ip-protocol-except number

IPプロトコルフィールドに一致しません。

ip-source-address address

パケットを送信する送信元ノードのIPアドレス。

この用語を使用する場合、一致条件ether-type IPv4も同じ用語で定義する必要があることに注意してください。

ipv6-source-prefix-list named-list

named-list内のIPv6送信元アドレスに一致します。

ipv6-address address

IPv6アドレスの標準構文をサポートする128ビットアドレス。

ipv6-destination-address address

このパケットの最終宛先ノードアドレスである128ビットアドレス。この用語を使用する場合、一致条件 ether-type IPv6 は同じ用語で定義する必要があることに注意してください。

ipv6-destination-prefix-list named-list

named-list内のIPv6宛先アドレスに一致します。

ipv6-next-header protocol

IPv6ネクストヘッダープロトコルタイプに一致します。

以下のリストは、 protocolでサポートされている値を示しています。

  • ah- IPセキュリティ認証ヘッダー

  • dstopts—IPv6宛先オプション

  • egp- 外部ゲートウェイプロトコル

  • esp—IPSecカプセル化セキュリティペイロード

  • fragment—IPv6フラグメントヘッダー

  • gre—汎用ルーティングカプセル化

  • hop-by-hop—IPv6ホップバイホップオプション

  • icmp- Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol バージョン 6

  • igmp—インターネットグループ管理プロトコル

  • ipip- IP in IP

  • ipv6- IPのIPv6

  • no-next-header—IPv6 ネクストヘッダーなし

  • ospf- Open Shortest Path First

  • pim—プロトコル非依存型マルチキャスト

  • routing—IPv6ルーティングヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—ストリーム制御伝送プロトコル

  • tcp- 伝送制御プロトコル

  • udp—ユーザーデータグラムプロトコル

  • vrrp—仮想ルーター冗長プロトコル

ipv6-next-header-except protocol

IPv6ネクストヘッダープロトコルタイプに一致しません。

ipv6-payload-protocol protocol

IPv6ペイロードプロトコルタイプに一致します。

以下のリストは、 protocolでサポートされている値を示しています。

  • ah- IPセキュリティ認証ヘッダー

  • dstopts—IPv6宛先オプション

  • egp- 外部ゲートウェイプロトコル

  • esp—IPSecカプセル化セキュリティペイロード

  • fragment—IPv6フラグメントヘッダー

  • gre—汎用ルーティングカプセル化

  • hop-by-hop—IPv6ホップバイホップオプション

  • icmp- Internet Control Message Protocol

  • icmp6—Internet Control Message Protocol バージョン 6

  • igmp—インターネットグループ管理プロトコル

  • ipip- IP in IP

  • ipv6- IPのIPv6

  • no-next-header—IPv6 ネクストヘッダーなし

  • ospf- Open Shortest Path First

  • pim—プロトコル非依存型マルチキャスト

  • routing—IPv6ルーティングヘッダー

  • rsvp—リソース予約プロトコル

  • sctp—ストリーム制御伝送プロトコル

  • tcp- 伝送制御プロトコル

  • udp—ユーザーデータグラムプロトコル

  • vrrp—仮想ルーター冗長プロトコル

ipv6-payload-protocol-except protocol

IPv6ペイロードプロトコルに一致しません。

ipv6-prefix-list named-list

named-list内のIPv6アドレスに一致します。

ipv6-source-address address

このパケットの送信元ノードアドレスである128ビットアドレス。

ipv6-traffic-class number

差別化されたサービスコードポイント(DSCP)。DiffServプロトコルは、IPヘッダーでサービスタイプ(ToS)バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、「 動作集約分類子が信頼されたトラフィックに優先順位を付ける方法を理解する」を参照してください。

0から63までの数値を指定できます。値を16進形式で指定するには、プレフィックスとして0xを含めます。値を2進法で指定するには、プレフィックスとしてbを含めます。

数値の代わりに、以下のテキスト同義語(フィールド値も記載されています)のいずれかを指定します。

  • RFC 3246、 Expeded Forwarding PHB(Per-Hop Behavior)では、1つのコードポイント ef(46)が定義されています。

  • RFC 2597、 Assured Forwarding PHB Groupは、合計12個のコードポイントに対し、4つのクラスを定義します(各クラスには3つのドロップ優先順位があります)。

af11(10)、 af12(12)、 af13(14)、

af21(18)、 af22(20)、 af23(22)、

af31(26)、 af32(28)、 af33(30)、

af41(34)、 af42(36)、 af43(38)

ipv6-traffic-class-except number

DSCP numberに一致しません。

learn-vlan-1p-priority number

プロバイダVLANタグ(802.1Q VLANタグを持つシングルタグフレーム内の唯一のタグ、または802.1Q VLANタグを持つデュアルタグフレーム内の外部タグ)のIEEE 802.1p学習VLAN優先度ビットに一致します。 0 から 7までの単一の値または複数の値を指定します。

user-vlan-1p-priority一致条件と比較します。

注:

この一致条件は、制御ワードの存在をサポートします

learn-vlan-1p-priority-except number

IEEE 802.1p で学習された VLAN 優先度ビットでは一致しません。詳細については、「 learn-vlan-1p-priority 一致条件」を参照してください。

注:

この一致条件は、制御ワードの存在をサポートします

learn-vlan-dei

ユーザーVLAN IDドロップ適格性インジケーター(DEI)ビットに一致します。

learn-vlan-dei-except

ユーザー VLAN ID DEI ビットに一致しません。

learn-vlan-id number

MAC学習に使用されるVLAN識別子。

learn-vlan-id-except number

MAC学習に使用されるVLAN識別子では一致しません。

loss-priority level

PLP(パケット損失の優先度)レベル。単一のレベルまたは複数のレベル( lowmedium-lowmedium-high、または high)を指定します。

IPトラフィックの場合、指定された4つのレベルのいずれかでPLP設定をコミットするには、[edit class-of-service]階層レベルに tri-color ステートメントを含める必要があります。tri-colorステートメントが有効になっていない場合、highレベルとlowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

tri-colorステートメント、およびBA(動作集約)分類子を使用して受信パケットのPLPレベルを設定する方法については、「転送クラスが出力キューにクラスを割り当てる方法を理解する」を参照してください。

loss-priority-except level

パケット損失の優先度レベルで一致しません。単一のレベルまたは複数のレベル( lowmedium-lowmedium-high、または high)を指定します。

BA(動作集約)分類子を使用して受信パケットのPLPレベルを設定する方法については、「 動作集約分類子が信頼されるトラフィックに優先順位を付ける方法を理解する」を参照してください。

port number

TCP または UDP 送信元または宛先ポート同じ条件に port 一致条件と destination-port 一致条件または source-port 一致条件の両方を指定することはできません。

port-except number

TCP または UDP の送信元または宛先ポートで一致しません。同じ条件に port 一致条件と destination-port 一致条件または source-port 一致条件の両方を指定することはできません。

prefix-list name

指定されたリストの宛先または送信元プレフィックスに一致します。 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリストの名前を指定します。

注:

VPLSプレフィックスリストは、IPV4アドレスのみをサポートします。VPLSプレフィックスリストに含まれているIPV6アドレスは破棄されます。

prefix-list name except

指定されたリストの宛先プレフィックスまたは送信元プレフィックスに一致しません。詳細については、「 destination-prefix-list 一致条件」を参照してください。

source-mac-address address

VPLSパケットの送信元MACアドレス。

source-port number

TCP または UDP 送信元ポート フィールド。同じ条件に portsource-port 一致条件を指定することはできません。

source-port-except number

TCPまたはUDP送信元ポートフィールドで一致しません。同じ条件に portsource-port 一致条件を指定することはできません。

source-prefix-list name

指定されたプレフィックスリストの送信元プレフィックスに一致します。 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリスト名を指定します。

注:

VPLSプレフィックスリストは、IPV4アドレスのみをサポートします。VPLSプレフィックスリストに含まれているIPV6アドレスは破棄されます。

source-prefix-list name except

指定されたプレフィックスリストの送信元プレフィックスに一致しません。詳細については、「 source-prefix-list 一致条件」を参照してください。

tcp-flags flags

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進値を指定できます。

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみに設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを結合できます。

IPv6トラフィックに対してこの一致条件を設定した場合、ポートでTCPプロトコルが使用されていることを指定するために、同じ条件で next-header tcp 一致条件を設定することもお勧めします。

traffic-type type-name

broadcastmulticastunknown-unicast、またはknown-unicastを指定します。

traffic-type-except type-name

トラフィックタイプでは一致しません。 broadcastmulticastunknown-unicast、または known-unicastを指定します。

user-vlan-1p-priority number

お客様のVLANタグ(802.1Q VLANタグを持つデュアルタグフレーム内の内部タグ)のIEEE 802.1pユーザー優先度ビットに一致します。 0 から 7までの単一の値または複数の値を指定します。

learn-vlan-1p-priority一致条件と比較します。

注:

この一致条件は、制御ワードの存在をサポートします。

user-vlan-1p-priority-except number

IEEE 802.1p ユーザー優先度ビットに一致しません。詳細については、「 user-vlan-1p-priority 一致条件」を参照してください。

注:

この一致条件は、制御ワードの存在をサポートします。

user-vlan-id number

ペイロードの一部である最初のVLAN識別子に一致します。

user-vlan-id-except number

ペイロードの一部である最初のVLAN識別子では一致しません。

vlan-ether-type value

VPLSパケットのVLANイーサネットタイプフィールド。

vlan-ether-type-except value

VPLSパケットのVLANイーサネットタイプフィールドに一致しません。
注:

IPV6ヘッダー上でマッチングするために使用される flexible-match-maskflexible-match-range マッチスタートレイヤー4が、「ブリッジ、CCC、VPLS」などのL2ファミリーフィルターでは機能しません。代わりに、IPV6ペイロードフィールド上でマッチングするために、適切なオフセットを持つレイヤー3を使用します。
注:

コミットチェックは、 traffic-type known-unicast または traffic-type unknown-unicast がサポートされていない場合、エラーを発行します。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
14.2
Junos OS 14.2以降、ファイアウォール階層設定でフレキシブルオフセットフィルターがサポートされるようになりました。
14.2
Junos OS 14.2以降、ファイアウォールファミリーブリッジIPv6一致基準がMXシリーズおよびEX9200スイッチでサポートされています。