VPLS 트래픽에 대한 방화벽 필터 일치 조건

from VPLS 필터 용어의 문에서 명령문의 작업이 수행되기 위해 패킷이 일치해야 하는 조건을 then 지정합니다. 작업이 수행되려면 문의 모든 조건이 from 일치해야 합니다. 일치 조건을 지정하는 순서는 중요하지 않습니다. 패킷이 용어의 모든 조건과 일치해야 일치가 발생하기 때문입니다.

용어에 일치 조건을 지정하지 않으면 해당 용어는 모든 패킷과 일치합니다.

문의 개별 조건 from 에는 값 목록이 포함될 수 있습니다. 예를 들어, 숫자 범위를 지정할 수 있습니다. 또한 여러 소스 주소 또는 대상 주소를 지정할 수 있습니다. 조건이 값 목록을 정의할 때 목록의 값 중 하나가 패킷과 일치하면 일치가 발생합니다.

문의 개별 조건 from 은 무효화될 수 있습니다. 조건을 무효화하면 명시적 불일치를 정의하게 됩니다. 예를 들어, 에 대한 forwarding-class 부정된 일치 조건은 입니다 forwarding-class-except. 패킷이 부정된 조건과 일치하는 경우, 즉시 명령문과 from 일치하지 않는 것으로 간주되며, 있는 경우 필터의 다음 용어가 평가됩니다. 더 이상 용어가 없는 경우 패킷은 폐기됩니다.

VPLS(Virtual Private LAN Service) 트래픽family vpls()에 대한 일치 조건으로 방화벽 필터를 구성할 수 있습니다. 표 1 은 계층 수준에서 [edit firewall family vpls filter filter-name term term-name from] 구성할 수 있는 것을 match-conditions 설명합니다.

참고:

VPLS 트래픽에 대한 모든 일치 조건이 모든 라우팅 플랫폼 또는 스위칭 플랫폼에서 지원되는 것은 아닙니다. .

VPLS 설명서에서 PE 라우터와 같은 용어의 라우터라는 단어는 라우팅 기능을 제공하는 모든 디바이스를 지칭하는 데 사용됩니다.

표 1: VPLS 트래픽에 대한 방화벽 필터 일치 조건
일치 조건	설명
`destination-mac-address address`	VPLS 패킷의 대상 미디어 액세스 제어(MAC) 주소를 일치시킵니다.
`destination-port number`	UDP 또는 TCP 대상 포트 필드를 일치시킵니다. 동일한 용어에 및 `destination-port` 일치 조건을 `port` 모두 지정할 수는 없습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있음): `afs` (1483), `bgp` (179), `biff` (512), `bootpc` (68), (67), `cmd` `bootps` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), (513) `who` 또는 `xdmcp` (177).
`destination-port-except number`	TCP 또는 UDP 대상 포트 필드에서 일치시키지 마십시오. 동일한 용어에 및 `destination-port` 일치 조건을 `port` 모두 지정할 수는 없습니다.
`destination-prefix-list name`	지정된 목록의 대상 접두사를 일치시킵니다. ] 계층 수준에서 정의된 접두사 목록의 `[edit policy-options prefix-list prefix-list-name`이름을 지정합니다. 참고: VPLS 접두사 목록은 IPv4 주소만 지원합니다. VPLS 접두사 목록에 포함된 IPv6 주소는 폐기됩니다.
`destination-prefix-list name except`	지정된 목록의 대상 접두사를 일치시키지 마십시오. 자세한 내용은 일치 조건을 `destination-prefix-list` 참조하십시오.
`dscp number`	DSCP(Differentiated Services Code Point)를 일치시킵니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. 자세한 내용은 행동 집계 분류자가 신뢰할 수 있는 트래픽의 우선순위를 지정하는 방법 이해하기를 참조하십시오. 에서 에서 `63`숫자 값을 `0` 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 접두사로 포함 `0x` 합니다. 2진수 형식으로 값을 지정하려면 접두사로 포함 `b` 합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). EF(Expedited Forwarding) PHB(Per-Hop Behavior)인 RFC 3246은 하나의 코드 포인트(46)를 `ef` 정의합니다. RFC 2597, Assured Forwarding PHB 그룹은 총 12개의 코드 포인트에 대해 각 클래스에 3개의 드롭 전례가 있는 4개의 클래스를 정의합니다. `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`dscp-except number`	DSCP에서 일치시키지 마십시오. 자세한 내용은 일치 조건을 `dscp` 참조하십시오.
`ether-type values`	2-옥텟 IEEE 802.3 Length/EtherType 필드를 지정된 값 또는 값 목록과 일치시킵니다. 0에서 65535(0xFFFF)까지의 10진수 또는 16진수 값을 지정할 수 있습니다. 0에서 1500(0x05DC) 사이의 값은 이더넷 버전 1 프레임의 길이를 지정합니다. 1536(0x0600)에서 65535까지의 값은 이더넷 버전 2 프레임의 EtherType(MAC 클라이언트 프로토콜의 특성)을 지정합니다. 숫자 값 대신 다음과 같은 텍스트 동의어 중 하나를 지정할 수 있습니다(16진수 값도 나열됨 `aarp` ). (0x80F3 `appletalk` ), (0x809B), `arp` (0x0806), `ipv4` (0x0800 `ipv6` ), (0x86DD), `mpls-multicast` (0x8848), `mpls-unicast` (0x8847), `oam` (0x8902), `ppp` (0x880B), `pppoe-discovery` (0x8863), `pppoe-session` (0x8864) 또는 `sna` (0x80D5).
`ether-type-except values`	2-옥텟 길이/EtherType 필드를 지정된 값 또는 값 목록과 일치시키지 마십시오. 지정 방법에 대한 `values`자세한 내용은 일치 조건을 `ether-type` 참조하십시오.
`flexible-match-mask` `value`	`bit-length`	유연한 오프셋 필터는 방화벽 계층 구성에서 지원됩니다. 비트 단위로 일치할 데이터의 길이, 문자열 입력에 필요하지 않음(0..128)
	`bit-offset`	(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋
	`byte-offset`	일치 시작점 이후의 바이트 오프셋
	`flexible-mask-name`	사전 정의된 템플릿 필드에서 유연한 일치 항목 선택
	`mask-in-hex`	일치할 패킷 데이터에서 비트 마스크 아웃
	`match-start`	패킷 일치 시작점
	`prefix`	일치할 값 데이터/문자열

`flexible-match-range` `value`	`bit-length`	비트 단위로 일치할 데이터의 길이(0..32)
	`bit-offset`	(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋
	`byte-offset`	일치 시작점 이후의 바이트 오프셋
	`flexible-range-name`	사전 정의된 템플릿 필드에서 유연한 일치 항목 선택
	`match-start`	패킷 일치 시작점
	`range`	일치할 값의 범위
	`range-except`	이 값 범위를 일치시키지 마십시오

`forwarding-class class`	포워딩 클래스를 일치시킵니다. `assured-forwarding`, `best-effort`, 또는 `expedited-forwardingnetwork-control`지정합니다.
`forwarding-class-except class`	포워딩 클래스를 일치시키지 마십시오. 자세한 내용은 일치 조건을 `forwarding-class` 참조하십시오.
`icmp-code message-code`	ICMP 메시지 코드 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 `next-header icmp6` 일치 조건을 `next-header icmp` 구성하는 것이 좋습니다. 이 일치 조건을 구성하는 경우 동일한 용어에 일치 조건도 `icmp-type message-type` 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 따라 달라집니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다. 매개변수 문제: `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) 초과 시간: `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) destination-unreachable: `address-unreachable` (3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	ICMP 메시지 코드 필드를 일치시키지 마십시오. 자세한 내용은 일치 조건을 `icmp-code` 참조하십시오.
`icmp-code number`	ICMP 메시지 코드 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 `ip-protocol icmp6` 일치 조건을 `ip-protocol icmp` 구성하는 것이 좋습니다. 이 일치 조건을 구성하는 경우 동일한 용어에 일치 조건도 `icmp-type message-type` 구성해야 합니다. ICMP 메시지 코드는 ICMP 메시지 유형보다 더 구체적인 정보를 제공하지만 ICMP 메시지 코드의 의미는 관련 ICMP 메시지 유형에 따라 달라집니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다. 매개변수 문제: `ip6-header-bad` (0), `unrecognized-next-header` (1), `unrecognized-option` (2) 초과 시간: `ttl-eq-zero-during-reassembly` (1), `ttl-eq-zero-during-transit` (0) destination-unreachable: `address-unreachable` (3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except number`	ICMP 코드 필드에서 일치시키지 마십시오. 자세한 내용은 일치 조건을 `icmp-code` 참조하십시오.
`interface interface-name`	패킷이 수신된 인터페이스입니다. 수신된 인터페이스를 기반으로 패킷과 일치하는 일치 조건을 구성할 수 있습니다. 참고: 존재하지 않는 인터페이스로 이 일치 조건을 구성할 경우, 용어는 패킷과 일치하지 않습니다.
`interface-group group-number`	패킷이 수신된 논리적 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시킵니다. 의 경우 `group-number`단일 값 또는 에서 까지의 `255`값 `0` 범위를 지정합니다. 논리적 인터페이스를 인터페이스 그룹`group-number`에 할당하려면 계층 수준에서 `[interfaces interface-name unit number family family filter group]` 을(를) `group-number` 지정합니다. 자세한 내용은 인터페이스 그룹 집합에서 수신된 패킷 필터링 개요를 참조하십시오.
`interface-group-except group-name`	패킷이 수신된 논리적 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시키지 마십시오. 자세한 내용은 일치 조건을 `interface-group` 참조하십시오.
`interface-set interface-set-name`	패킷이 수신된 인터페이스를 지정된 인터페이스 세트와 일치시킵니다. 인터페이스 집합을 정의하려면 계층 수준에서 `[edit firewall]` 문을 포함 `interface-set` 합니다. 자세한 내용은 인터페이스 집합에서 수신된 패킷 필터링 개요를 참조하십시오.
`ip-address address`	IPv4 주소에 대한 표준 구문을 지원하는 32비트 주소입니다. 이 용어를 사용할 때는 일치 조건 ether-type IPv4가 동일한 용어에 정의되어야 합니다.
`ip-destination-address address`	패킷의 최종 대상 노드 주소인 32비트 주소입니다. 이 용어를 사용할 때는 일치 조건 ether-type IPv4가 동일한 용어에 정의되어야 합니다.
`ip-precedence ip-precedence-field`	IP 우선순위 필드입니다. 숫자 필드 값 대신 (0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40 `internet-control` ), (0xc0), `net-control` (0xe0), `priority` (0x20) 또는 (0x00) 텍스트 `routine` 동의어 `critical-ecp` 중 하나를 지정할 수 있습니다.
`ip-precedence-except ip-precedence-field`	IP 우선순위 필드에서 일치시키지 마십시오.
`ip-protocol number`	IP 프로토콜 필드입니다.
`ip-protocol-except number`	IP 프로토콜 필드에서 일치시키지 마십시오.
`ip-source-address address`	패킷을 전송하는 소스 노드의 IP 주소입니다. 이 용어를 사용할 때, 일치 조건 ether-type IPv4도 동일한 용어에 정의되어야 합니다.
`ipv6-source-prefix-list` `named-list`	에서 IPv6 소스 주소를 일치시킵니다.`named-list`
`ipv6-address` `address`	IPv6 주소에 대한 표준 구문을 지원하는 128비트 주소입니다.
`ipv6-destination-address` `address`	이 패킷의 최종 대상 노드 주소인 128비트 주소입니다. 이 용어를 사용할 때는 일치 조건 `ether-type IPv6` 이 동일한 용어에 정의되어야 합니다.
`ipv6-destination-prefix-list` `named-list`	에서 IPv6 대상 주소를 일치시킵니다 `named-list`.
`ipv6-next-header` `protocol`	IPv6 다음 헤더 프로토콜 유형을 일치시킵니다. 다음 목록은 다음에 대해 지원되는 값을 보여줍니다.`protocol` `ah`- IP 보안 인증 헤더 `dstopts`—IPv6 대상 옵션 `egp`- 외부 게이트웨이 프로토콜 `esp`—IPSec 캡슐화 보안 페이로드 `fragment`—IPv6 단편화 헤더 `gre`- 일반 라우팅 캡슐화 `hop-by-hop`—IPv6 홉 바이 홉 옵션 `icmp`- 인터넷 제어 메시지 프로토콜 `icmp6`—인터넷 제어 메시지 프로토콜 버전 6 `igmp`—인터넷 그룹 관리 프로토콜 `ipip`—IP의 IP `ipv6`—IP의 IPv6 `no-next-header`—IPv6 다음 헤더 없음 `ospf`—최최단 경로 우선 `pim`—프로토콜 독립 멀티캐스트 `routing`—IPv6 라우팅 헤더 `rsvp`—리소스 예약 프로토콜 `sctp`—스트림 제어 전송 프로토콜 `tcp`—전송 제어 프로토콜 `udp`—사용자 데이터그램 프로토콜 `vrrp`- 가상 라우터 이중화 프로토콜
`ipv6-next-header-except` `protocol`	IPv6 다음 헤더 프로토콜 유형을 일치시키지 마십시오.
`ipv6-payload-protocol` `protocol`	IPv6 페이로드 프로토콜 유형을 일치시킵니다. 다음 목록은 다음에 대해 지원되는 값을 보여줍니다.`protocol` `ah`- IP 보안 인증 헤더 `dstopts`—IPv6 대상 옵션 `egp`- 외부 게이트웨이 프로토콜 `esp`—IPSec 캡슐화 보안 페이로드 `fragment`—IPv6 단편화 헤더 `gre`- 일반 라우팅 캡슐화 `hop-by-hop`—IPv6 홉 바이 홉 옵션 `icmp`- 인터넷 제어 메시지 프로토콜 `icmp6`—인터넷 제어 메시지 프로토콜 버전 6 `igmp`—인터넷 그룹 관리 프로토콜 `ipip`—IP의 IP `ipv6`—IP의 IPv6 `no-next-header`—IPv6 다음 헤더 없음 `ospf`—최최단 경로 우선 `pim`—프로토콜 독립 멀티캐스트 `routing`—IPv6 라우팅 헤더 `rsvp`—리소스 예약 프로토콜 `sctp`—스트림 제어 전송 프로토콜 `tcp`—전송 제어 프로토콜 `udp`—사용자 데이터그램 프로토콜 `vrrp`- 가상 라우터 이중화 프로토콜
`ipv6-payload-protocol-except` `protocol`	IPv6 페이로드 프로토콜을 일치시키지 마십시오.
`ipv6-prefix-list` `named-list`	에서 IPv6 주소를 일치시킵니다.`named-list`
`ipv6-source-address` `address`	이 패킷의 원래 소스 노드 주소인 128비트 주소입니다.
`ipv6-traffic-class` `number`	DSCP(Differentiated Services Code Point)입니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. 자세한 내용은 행동 집계 분류자가 신뢰할 수 있는 트래픽의 우선 순위를 지정하는 방법 이해하기를 참조하십시오. 에서 에서 `63`숫자 값을 `0` 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 접두사로 포함 `0x` 합니다. 2진수 형식으로 값을 지정하려면 접두사로 포함 `b` 합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). EF(Expedited Forwarding) PHB(Per-Hop Behavior)인 RFC 3246은 하나의 코드 포인트(46)를 `ef` 정의합니다. RFC 2597, Assured Forwarding PHB 그룹은 총 12개의 코드 포인트에 대해 각 클래스에 3개의 드롭 전례가 있는 4개의 클래스를 정의합니다. `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `number`	DSCP `number`를 일치시키지 마십시오.
`learn-vlan-1p-priority number`	공급자 VLAN 태그(802.1Q VLAN 태그가 있는 단일 태그 프레임의 유일한 태그 또는 802.1Q VLAN 태그가 있는 이중 태그 프레임의 외부 태그)의 IEEE 802.1p 학습된 VLAN 우선 순위 비트를 일치시킵니다. 에서 단일 `7`값 또는 여러 값을 `0` 지정합니다. 일치 조건과 비교합니다.`user-vlan-1p-priority` 참고: 이 일치 조건은 제어 단어의 존재를 지원합니다
`learn-vlan-1p-priority-except number`	IEEE 802.1p 학습된 VLAN 우선 순위 비트를 일치시키지 마십시오. 자세한 내용은 일치 조건을 `learn-vlan-1p-priority` 참조하십시오. 참고: 이 일치 조건은 제어 단어의 존재를 지원합니다
`learn-vlan-dei`	사용자 VLAN ID DEI(Drop Eligability Indicator) 비트를 일치시킵니다.
`learn-vlan-dei-excep`t	사용자 VLAN ID DEI 비트를 일치시키지 마십시오.
`learn-vlan-id number`	MAC 학습에 사용되는 VLAN 식별자입니다.
`learn-vlan-id-except number`	MAC 학습에 사용되는 VLAN 식별자를 일치시키지 마십시오.
`loss-priority level`	패킷 손실 우선순위(PLP) 수준입니다. 단일 수준 또는 여러 수준( , `medium-low`, `medium-high`, 또는 `high`)을 `low`지정합니다. IP 트래픽의 경우, 계층 수준에 `[edit class-of-service]` 문을 포함 `tri-color` 시켜 4개의 수준 중 어느 하나가 지정된 PLP 구성을 커밋해야 합니다. 문이 `tri-color` 활성화되어 있지 않은 경우, 및 `low` 수준만 구성할 `high` 수 있습니다. 이는 모든 프로토콜 제품군에 적용됩니다. 명령문과 `tri-color` 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용에 대한 정보는 포워딩 클래스가 클래스를 출력 대기열에 할당하는 방법 이해하기를 참조하십시오.
`loss-priority-except level`	패킷 손실 우선 순위 수준에서 일치시키지 마십시오. 단일 수준 또는 여러 수준( , `medium-low`, `medium-high`, 또는 `high`)을 `low`지정합니다. 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용에 관한 내용은 행동 집계(BA) 분류 자가 트러스트 트래픽을 우선순위 지정하는 방법 이해하기를 참조하십시오.
`port number`	TCP 또는 UDP 소스 또는 대상 포트입니다. 동일한 용어에서 일치 조건과 `destination-port` 또는 `source-port` 일치 조건을 모두 `port` 지정할 수 없습니다.
`port-except number`	TCP 또는 UDP 소스 또는 대상 포트에서 일치시키지 마십시오. 동일한 용어에서 일치 조건과 `destination-port` 또는 `source-port` 일치 조건을 모두 `port` 지정할 수 없습니다.
`prefix-list name`	지정된 목록에서 대상 또는 소스 접두사를 일치시킵니다. ] 계층 수준에서 정의된 접두사 목록의 `[edit policy-options prefix-list prefix-list-name`이름을 지정합니다. 참고: VPLS 접두사 목록은 IPV4 주소만 지원합니다. VPLS 접두사 목록에 포함된 IPV6 주소는 폐기됩니다.
`prefix-list name except`	지정된 목록의 대상 또는 소스 접두사를 일치시키지 마십시오. 자세한 내용은 일치 조건을 `destination-prefix-list` 참조하십시오.
`source-mac-address address`	VPLS 패킷의 소스 MAC 주소입니다.
`source-port number`	TCP 또는 UDP 소스 포트 필드입니다. 동일한 용어에 및 `source-port` 일치 조건을 지정할 `port` 수 없습니다.
`source-port-except number`	TCP 또는 UDP 소스 포트 필드에서 일치시키지 마십시오. 동일한 용어에 및 `source-port` 일치 조건을 지정할 `port` 수 없습니다.
`source-prefix-list name`	지정된 접두사 목록의 소스 접두사를 일치시킵니다. 계층 수준에서 정의된 접두사 목록 이름을 지정합니다.`[edit policy-options prefix-list prefix-list-name]` 참고: VPLS 접두사 목록은 IPV4 주소만 지원합니다. VPLS 접두사 목록에 포함된 IPV6 주소는 폐기됩니다.
`source-prefix-list name except`	지정된 접두사 목록의 소스 접두사를 일치시키지 마십시오. 자세한 내용은 일치 조건을 `source-prefix-list` 참조하십시오.
`tcp-flags flags`	TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다. 개별 비트 필드를 지정하기 위해 다음 텍스트 동의어 또는 16진수 값을 지정할 수 있습니다. `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) TCP 세션에서 SYN 플래그는 전송된 초기 패킷에만 설정되는 반면, ACK 플래그는 초기 패킷 이후에 전송된 모든 패킷에 설정됩니다. 비트 필드 논리 연산자를 사용하여 여러 플래그를 함께 묶을 수 있습니다. IPv6 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건을 `next-header tcp` 구성하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다.
`traffic-type type-name`	`broadcast`, `multicast`, 또는 `unknown-unicastknown-unicast`지정합니다.
`traffic-type-except type-name`	트래픽 유형을 일치시키지 마십시오. `broadcast`, `multicast`, 또는 `unknown-unicastknown-unicast`지정합니다.
`user-vlan-1p-priority number`	고객 VLAN 태그(802.1Q VLAN 태그가 있는 이중 태그 프레임의 내부 태그)의 IEEE 802.1p 사용자 우선 순위 비트를 일치시킵니다. 에서 단일 `7`값 또는 여러 값을 `0` 지정합니다. 일치 조건과 비교합니다.`learn-vlan-1p-priority` 참고: 이 일치 조건은 제어 단어의 존재를 지원합니다.
`user-vlan-1p-priority-except number`	IEEE 802.1p 사용자 우선 순위 비트를 일치시키지 마십시오. 자세한 내용은 일치 조건을 `user-vlan-1p-priority` 참조하십시오. 참고: 이 일치 조건은 제어 단어의 존재를 지원합니다.
`user-vlan-id number`	페이로드의 일부인 첫 번째 VLAN 식별자를 일치시킵니다.
`user-vlan-id-except number`	페이로드의 일부인 첫 번째 VLAN 식별자를 일치시키지 마십시오.
`vlan-ether-type value`	VPLS 패킷의 VLAN 이더넷 유형 필드입니다.
`vlan-ether-type-except value`	VPLS 패킷의 VLAN 이더넷 유형 필드에서 일치시키지 않습니다.

참고:

IPV6 헤더를 통해 일치시키는 데 사용되는 일치 flexible-match-mask 및 flexible-match-range 일치 시작 레이어 4는 "브리지, CCC, VPLS"와 같은 L2 제품군 필터에 대해 작동하지 않습니다. 대신 적절한 오프셋이 있는 레이어 3을 사용하여 IPV6 페이로드 필드와 일치시킵니다.

참고:

커밋 검사는 또는 traffic-type unknown-unicast 지원되지 않는 경우 traffic-type known-unicast 오류를 발행합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시

설명

14.2

Junos OS 14.2부터는 방화벽 계층 구성에서 유연한 오프셋 필터가 지원됩니다.

14.2

Junos OS 14.2부터 방화벽 제품군 브리지 IPv6 일치 기준은 MX 시리즈 및 EX9200 스위치에서 지원됩니다.

VPLS 트래픽에 대한 방화벽 필터 일치 조건

관련 설명서

변경 내역 표