Condiciones de coincidencia de filtro de firewall para tráfico de puente de capa 2

Solo en enrutadores serie MX y conmutadores de la serie EX, puede configurar un filtro de firewall sin estado estándar con condiciones de coincidencia para el tráfico de puente de capa 2 (family bridge). Describe el match-conditions nivel de jerarquía que puede configurar [edit firewall family bridge filter filter-name term term-name from]Tabla 1.

Tabla 1: Condiciones estándar de coincidencia de filtros de firewall para puentes de capa 2 (solo enrutadores serie MX y conmutadores de la serie EX)
Condición de coincidencia	Descripción
`destination-mac-address address`	Dirección de control de acceso de medios de destino (MAC) de un paquete de capa 2 en un entorno de puente.
`destination-port number`	Campo de puerto de destino TCP o UDP. No puede especificar las condiciones de coincidencia y `destination-port` de `port` coincidencia en el mismo término.
`destination-port-except`	No coincida con el puerto de destino TCP/UDP.
`destination-prefix-list` `lista de nombres`	Haga coincidir los prefijos de destino IP en una `lista con nombre`.
`dscp number`	Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza. Puede especificar un valor numérico desde `0` hasta `63`. Para especificar el valor en formato hexadecimal, incluya `0x` como prefijo. Para especificar el valor en formato binario, incluya `b` como prefijo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): RFC 3246, un PHB de reenvío acelerado (comportamiento por salto), define un punto de código: `ef`(46). RFC 2597, Grupo PHB de reenvío garantizado, define 4 clases, con 3 prioridades de caída en cada clase, para un total de 12 puntos de código: `af11` (10), `af12` (12), `af13` (14), `af21` (18), `af22` (20), `af23` (22), `af31` (26), `af32` (28), `af33` (30), `af41` (34), `af42` (36), `af43` (38)
`dscp-except number`	No haga coincidir el número DSCP. Para obtener más información, consulte la condición de `dscp-except` coincidencia.
`ether-type value`	Haga coincidir el campo IEEE 802.3 Length/EtherType de 2 octetos con el valor especificado o la lista de valores. Puede especificar valores decimales o hexadecimales del 0 al 65535 (0xFFFF). Un valor del 0 al 1500 (0x05DC) especifica la longitud de una trama Ethernet versión 1. Un valor de 1536 (0x0600) a 65535 especifica el EtherType (naturaleza del protocolo de cliente MAC) de una trama Ethernet versión 2. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores hexadecimales): `aarp`(0x80F3), `appletalk` (0x809B), `arp` (0x0806), `ipv4` (0x0800), `ipv6` (0x86DD), `mpls-multicast` (0x8848), `mpls-unicast` (0x8847), `oam` (0x8902), `ppp` (0x880B), `pppoe-discovery` (0x8863), `pppoe-session` (0x8864) `sna` (0x80D5). Nota: Cuando se hace coincidir en la dirección IP o la dirección ipv6, el ipv4 o ipv6 de tipo ether, respectivamente, también se debe especificar para limitar las coincidencias solo al tráfico IP.
`ether-type-except value`	No haga coincidir el campo IEEE 802.3 Length/EtherType de 2 octetos con el valor o la lista de valores especificados. Para obtener más información acerca de cómo especificar el `values`, consulte la condición de `ether-type` coincidencia.
`flexible-match-mask` `Valor`	`bit-length`	Longitud de los datos que se deben hacer coincidir en bits, no es necesario para la entrada de cadena (0..128)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)
	`byte-offset`	Desfase de bytes después del punto de inicio de la coincidencia
	`flexible-mask-name`	Seleccione una coincidencia flexible en el campo de plantilla predefinido
	`mask-in-hex`	Enmascarar bits en los datos del paquete para que coincidan
	`match-start`	Punto de inicio para coincidir en paquete
	`prefix`	Datos/cadena de valor que se deben hacer coincidir

`flexible-match-range` `Valor`	`bit-length`	Longitud de los datos que se van a coincidir en bits (0..32)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)
	`byte-offset`	Desfase de bytes después del punto de inicio de la coincidencia
	`flexible-range-name`	Seleccione una coincidencia flexible en el campo de plantilla predefinido
	`match-start`	Punto de inicio para coincidir en paquete
	`range`	Rango de valores que se deben hacer coincidir
	`range-except`	No coincida con este rango de valores

`forwarding class class`	Clase de reenvío. Especifique `assured-forwarding`, `best-effort`, , `expedited-forwarding`o `network-control`.
`forwarding-class-except class`	Campo de tipo Ethernet de un entorno de paquete de capa 2. Especifique `assured-forwarding`, `best-effort`, , `expedited-forwarding`o `network-control`.
`icmp-code message-code`	Haga coincidir el campo de código de mensaje ICMP. Si configura esta condición de coincidencia, recomendamos que también configure la `ip-protocol icmp`condición , `ip-protocol icmp6`o `ip-protocol icmpv6` la condición de coincidencia en el mismo término. Si configura esta condición de coincidencia, también debe configurar la condición de `icmp-type message-type` coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas: problema de parámetros: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) tiempo superado: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) destino inalcanzable: `address-unreachable`(3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-code` coincidencia.
`icmp-type message-type`	Haga coincidir el campo de tipo de mensaje ICMP. Si configura esta condición de coincidencia, recomendamos que también configure la `ip-protocol icmp`condición , `ip-protocol icmp6`o `ip-protocol icmpv6` la condición de coincidencia en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): `destination-unreachable`(1), `echo-reply` (129), `echo-request` (128), `membership-query` (130), `membership-report` (131), `membership-termination` (132), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), `parameter-problem` (4), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) o `time-exceeded` (3).
`icmp-type-except message-type`	No coincida con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-type` coincidencia.
`interface interface-name`	Interfaz en la que se recibió el paquete. Puede configurar una condición de coincidencia que coincida con paquetes según la interfaz en la que se recibieron. Nota: Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.
`interface-group group-number`	Haga coincidir la interfaz lógica en la que se recibió el paquete al grupo de interfaces especificado o al conjunto de grupos de interfaces. Para `group-number`, especifique un valor único o un intervalo de valores desde `0` hasta `255`. Para asignar una interfaz lógica a un grupo de interfaces `group-number`, especifique la `group-number` en el `[interfaces interface-name unit number family family filter group]` nivel jerárquico. Para obtener más información, consulte Filtrado de paquetes recibidos en un conjunto de descripción general de grupos de interfaces.
`interface-group-except number`	No coincida con la interfaz lógica en la que se recibió el paquete al grupo de interfaces especificado o al conjunto de grupos de interfaces. Para obtener más información, consulte la condición de `interface-group` coincidencia.
`interface-set interface-set-name`	Haga coincidir la interfaz en la que se recibió el paquete al conjunto de interfaces especificado. Para definir un conjunto de interfaces, incluya la `interface-set` instrucción en el `[edit firewall]` nivel de jerarquía. Para obtener más información, consulte Descripción general de paquetes de filtrado recibidos en un conjunto de interfaces.
`ip-address address`	Dirección de 32 bits que admite la sintaxis estándar para direcciones IPv4. Nota: Para limitar las coincidencias solo al tráfico IPv4, el ipv4 de tipo ether también se debe especificar en el mismo término.
`ip-destination-address address`	Dirección de 32 bits que es la dirección del nodo de destino final del paquete.
`ip-precedence ip-precedence-field`	Campo de prioridad IP. En lugar del valor numérico del campo, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): `critical-ecp`(0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) o `routine` (0x00).
`ip-precedence-except ip-precedence-field`	No haga coincidir en el campo de prioridad IP.
`ip-protocol number`	Campo de protocolo IP.
`ip-protocol-except`	No coincida con el tipo de protocolo IP.
`ip-source-address address`	Dirección IP del nodo de origen que envía el paquete.
`ipv6-address` `Dirección`	(Solo la serie MX) Dirección de 128 bits que admite la sintaxis estándar para direcciones IPv6. Nota: Para limitar las coincidencias solo al tráfico IPv6, el ipv6 tipo ether también se debe especificar en el mismo término.
`ipv6-destination-address` `Dirección`	(Solo serie MX) Dirección de 128 bits que es la dirección del nodo de destino final para este paquete.
`ipv6-destination-prefix-list` `lista de nombres`	(solo serie MX) Haga coincidir las direcciones de destino IPv6 en una `lista con nombre`.
`ipv6-next-header` `Protocolo`	(solo serie MX) Haga coincidir el siguiente tipo de protocolo de encabezado IPv6. En la siguiente lista se muestran los valores admitidos para el `protocolo`: `ah`— Encabezado de autenticación de seguridad IP `dstopts`— Opciones de destino IPv6 `egp`—Protocolo de puerta de enlace exterior `esp`—Carga de seguridad de encapsulación IPSec `fragment`— Encabezado de fragmento de IPv6 `gre`— Encapsulación de enrutamiento genérico `hop-by-hop`— Opciones de salto a salto IPv6 `icmp`—Protocolo de mensaje de control de Internet `icmp6`— Protocolo de mensaje de control de Internet versión 6 `igmp`—Protocolo de administración de grupos de Internet `ipip`—IP en IP `ipv6`— IPv6 en IP `no-next-header`— IPv6 no es el siguiente encabezado `ospf`— Abrir la ruta más corta primero `pim`— Multidifusión independiente de protocolo `routing`— Encabezado de enrutamiento IPv6 `rsvp`—Protocolo de reserva de recursos `sctp`—Protocolo de transmisión de control de secuencia `tcp`—Protocolo de control de transmisión `udp`— Protocolo de datagrama del usuario `vrrp`— Protocolo de redundancia de enrutador virtual
`ipv6-next-header-except` `Protocolo`	(solo serie MX) No coincida con el tipo de protocolo de encabezado siguiente IPv6.
`ipv6-payload-protocol` `Protocolo`	(solo serie MX) Haga coincidir el tipo de protocolo de carga IPv6. En la siguiente lista se muestran los valores admitidos para el `protocolo`: `ah`— Encabezado de autenticación de seguridad IP `dstopts`— Opciones de destino IPv6 `egp`—Protocolo de puerta de enlace exterior `esp`—Carga de seguridad de encapsulación IPSec `fragment`— Encabezado de fragmento de IPv6 `gre`— Encapsulación de enrutamiento genérico `hop-by-hop`— Opciones de salto a salto IPv6 `icmp`—Protocolo de mensaje de control de Internet `icmp6`— Protocolo de mensaje de control de Internet versión 6 `igmp`—Protocolo de administración de grupos de Internet `ipip`—IP en IP `ipv6`— IPv6 en IP `no-next-header`— IPv6 no es el siguiente encabezado `ospf`— Abrir la ruta más corta primero `pim`— Multidifusión independiente de protocolo `routing`— Encabezado de enrutamiento IPv6 `rsvp`—Protocolo de reserva de recursos `sctp`—Protocolo de transmisión de control de secuencia `tcp`—Protocolo de control de transmisión `udp`— Protocolo de datagrama del usuario `vrrp`— Protocolo de redundancia de enrutador virtual
`ipv6-payload-protocol-except` `Protocolo`	(solo serie MX) No coincida con el protocolo de carga IPv6.
`ipv6-prefix-list` `lista de nombres`	(solo serie MX) Haga coincidir la dirección IPv6 en una `lista con nombre`.
`ipv6-source-address` `Dirección`	(Solo serie MX) Dirección de 128 bits que es la dirección del nodo de origen de origen para este paquete.
`ipv6-source-prefix-list` `lista de nombres`	(solo serie MX) Haga coincidir la dirección de origen IPv6 en una `lista con nombre`.
`ipv6-traffic-class` `Número`	(solo serie MX) Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza. Puede especificar un valor numérico desde `0` hasta `63`. Para especificar el valor en formato hexadecimal, incluya `0x` como prefijo. Para especificar el valor en formato binario, incluya `b` como prefijo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): RFC 3246, un PHB de reenvío acelerado (comportamiento por salto), define un punto de código: `ef`(46). RFC 2597, Grupo PHB de reenvío garantizado, define 4 clases, con 3 prioridades de caída en cada clase, para un total de 12 puntos de código: `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `Número`	No haga coincidir el DSCP `number`.
`isid number`	(Compatible con puente troncal del proveedor [PBB]) Haga coincidir el identificador de servicio de Internet.
`isid-dei number`	(Compatible con PBB) Haga coincidir el bit del indicador de elegibilidad de caída del identificador de servicio de Internet (DEI).
`isid-dei-except number`	(Compatible con PBB) No coincida con el bit DEI del identificador de servicio de Internet.
`isid-priority-code-point number`	(Compatible con PBB) Haga coincidir el punto de código de prioridad del identificador de servicio de Internet.
`isid-priority-code-point-except number`	(Compatible con PBB) No coincida con el punto de código de prioridad del identificador de servicio de Internet.
`learn-vlan-1p-priority value`	(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir en los bits de prioridad vlan aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de etiqueta doble con etiquetas VLAN 802.1Q). Especifique un valor único o varios valores desde `0` hasta `7`. Compare con la condición de `user-vlan-1p-priority` coincidencia.
`learn-vlan-1p-priority-except value`	(Solo enrutadores serie MX y conmutadores serie EX) No haga coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p. Para obtener más información, consulte la condición de `learn-vlan-1p-priority` coincidencia.
`learn-vlan-dei number`	(Compatible con puentes) Haga coincidir el bit DEI del identificador DEN virtual (VLAN) del usuario.
`learn-vlan-dei-except number`	(Compatible con puentes) No coincida con el bit DEI del identificador de VLAN del usuario.
`learn-vlan-id number`	Identificador de VLAN utilizado para el aprendizaje MAC.
`learn-vlan-id-except number`	No haga coincidir en el identificador de VLAN utilizado para el aprendizaje MAC.
`loss-priority level`	Nivel de prioridad de pérdida de paquetes (PLP). Especifique un solo nivel o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con cfeb mejorado (CFEB-E); y enrutadores serie MX y conmutadores de la serie EX. Para el tráfico IP en enrutadores de las series M320, MX y T con concentradores de PIC flexibles (FPC) mejorados II y conmutadores serie EX, debe incluir la `tri-color` instrucción en el `[edit class-of-service]` nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la `tri-color` instrucción no está habilitada, solo puede configurar los `high` niveles y `low` . Esto se aplica a todas las familias de protocolos. Para obtener información acerca de la `tri-color` instrucción, consulte Configurar y aplicar policías de marcado tricolor. Para obtener información sobre el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.
`loss-priority-except level`	No coincida en el nivel de prioridad de pérdida de paquetes. Especifique un solo nivel o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Para obtener información sobre el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.
`port number`	Puerto de origen o destino TCP o UDP. No puede especificar tanto la condición de `port` coincidencia como las `destination-port` condiciones de coincidencia en `source-port` el mismo término.
`source-mac-address address`	Dirección MAC de origen de un paquete de capa 2.
`source-port number`	Campo de puerto de origen TCP o UDP. No puede especificar las `port` condiciones de coincidencia y `source-port` en el mismo término.
`source-port-except`	No coincida con el puerto de origen TCP/UDP.
`tcp-flags flags`	Haga coincidir uno o más de los 6 bits de orden bajo en el campo de indicadores TCP de 8 bits en el encabezado TCP. Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) En una sesión TCP, la marca SYN solo se establece en el paquete inicial enviado, mientras que la marca ACK se establece en todos los paquetes enviados después del paquete inicial. Puede unir varias marcas mediante los operadores lógicos de campo de bits. Configurar la `tcp-flags` condición de coincidencia requiere que configure la condición de `next-header-tcp` coincidencia.
`traffic-type type`	Tipo de tráfico. Especifique `broadcast`, `multicast`, , `unknown-unicast`o `known-unicast`.
`traffic-type-except type`	No coincida con el tipo de tráfico.
`user-vlan-1p-priority value`	(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir los bits de prioridad del usuario IEEE 802.1p en la etiqueta VLAN del cliente (la etiqueta interna en una trama de etiqueta dual con etiquetas VLAN 802.1Q). Especifique un valor único o varios valores desde `0` hasta `7`. Compare con la condición de `learn-vlan-1p-priority` coincidencia.
`user-vlan-1p-priority-except value`	(Solo enrutadores serie MX y conmutadores serie EX) No haga coincidir en los bits de prioridad del usuario IEEE 802.1p. Para obtener más información, consulte la condición de `user-vlan-1p-priority` coincidencia.
`user-vlan-id number`	(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir el primer identificador de VLAN que forma parte de la carga.
`user-vlan-id-except number`	(Solo enrutadores serie MX y conmutadores serie EX) No haga coincidir en el primer identificador de VLAN que forma parte de la carga.
`vlan-ether-type value`	Campo de tipo Ethernet vlan de un paquete de puente de capa 2.
`vlan-ether-type-except value`	No haga coincidir en el campo de tipo Ethernet de VLAN de un paquete de puente de capa 2.

Condiciones de coincidencia de filtro de firewall para tráfico de puente de capa 2

Temas relacionados