Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2

Solo en enrutadores serie MX y conmutadores serie EX, puede configurar un filtro de firewall sin estado estándar con condiciones coincidentes para el tráfico de puente de capa 2 (family bridge). Tabla 1 describe cómo match-conditions se puede configurar en el nivel de [edit firewall family bridge filter filter-name term term-name from] jerarquía.

Tabla 1: Condiciones de coincidencia del filtro de firewall estándar para puentes de capa 2 (solo enrutadores de la serie MX y conmutadores de la serie EX)
Condición de coincidencia	Description
`destination-mac-address address`	Dirección MAC (control de acceso a medios) de destino de un paquete de capa 2 en un entorno de puente.
`destination-port number`	Campo Puerto de destino TCP o UDP. No puede especificar las condiciones de coincidencia `port` y `destination-port` en el mismo término.
`destination-port-except`	No coincida con el puerto de destino TCP/UDP.
`destination-prefix-list` `named-list`	Haga coincidir los prefijos de destino IP en un `named-list`archivo .
`dscp number`	Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza. Puede especificar un valor numérico desde `0` .`63` Para especificar el valor en formato hexadecimal, inclúyalo `0x` como prefijo. Para especificar el valor en formato binario, inclúyalo `b` como prefijo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: `ef`(46). RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código: `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`dscp-except number`	No coincida con el número DSCP. Para obtener más información, consulte la condición de `dscp-except` coincidencia.
`ether-type value`	Haga coincidir el campo IEEE 802.3 Length/EtherType de 2 octetos con el valor especificado o la lista de valores. Puede especificar valores decimales o hexadecimales de 0 a 65535 (0xFFFF). Un valor del 0 al 1500 (0x05DC) especifica la longitud de una trama Ethernet versión 1. Un valor de 1536 (0x0600) a 65535 especifica el EtherType (naturaleza del protocolo de cliente MAC) de una trama Ethernet versión 2. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores hexadecimales): `aarp`0x80F3), `appletalk` 0x809B), `arp` 0x0806), `ipv4` 0x0800), `ipv6` 0x86DD), `mpls-multicast` 0x8848), `mpls-unicast` 0x8847), `oam` 0x8902), `ppp` 0x880B), `pppoe-discovery` 0x8863), `pppoe-session` 0x8864 `sna` y 0x80D5). Nota: Cuando coincidan en la dirección IP o la dirección IPv6, también se deben especificar los tipos ether IPv4 o IPv6, respectivamente, para limitar las coincidencias solo al tráfico IP.
`ether-type-except value`	No haga coincidir el campo IEEE 802.3 Length/EtherType de 2 octetos con el valor especificado o la lista de valores. Para obtener más información sobre cómo especificar el `values`, consulte la condición de `ether-type` coincidencia.
`flexible-match-mask` `value`	`bit-length`	Longitud de los datos que deben coincidir en bits, no necesaria para la entrada de cadena (0..128)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)
	`byte-offset`	Desplazamiento de bytes después del punto de inicio de la coincidencia
	`flexible-mask-name`	Seleccione una coincidencia flexible del campo de plantilla predefinido
	`mask-in-hex`	Enmascarar bits en los datos del paquete para que coincidan
	`match-start`	Punto de inicio para que coincida en el paquete
	`prefix`	Datos de valor/cadena que deben coincidir

`flexible-match-range` `value`	`bit-length`	Longitud de los datos que deben coincidir en bits (0..32)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)
	`byte-offset`	Desplazamiento de bytes después del punto de inicio de la coincidencia
	`flexible-range-name`	Seleccione una coincidencia flexible del campo de plantilla predefinido
	`match-start`	Punto de inicio para que coincida en el paquete
	`range`	Intervalo de valores que deben coincidir
	`range-except`	No coinciden con este rango de valores

`forwarding class class`	Clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`, o `network-control`.
`forwarding-class-except class`	Campo de tipo Ethernet de un entorno de paquetes de capa 2. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`, o `network-control`.
`icmp-code message-code`	Haga coincidir el campo de código del mensaje ICMP. Si configura esta condición de coincidencia, se recomienda configurar también la condición , o `ip-protocol icmpv6` coincidencia `ip-protocol icmpip-protocol icmp6`en el mismo término. Si configura esta condición de coincidencia, también debe configurar la `icmp-type message-type` condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas: parámetro-problema: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) Tiempo excedido: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) Destino inalcanzable: `address-unreachable`(3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-code` coincidencia.
`icmp-type message-type`	Haga coincidir el campo de tipo de mensaje ICMP. Si configura esta condición de coincidencia, se recomienda configurar también la condición , o `ip-protocol icmpv6` coincidencia `ip-protocol icmpip-protocol icmp6`en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): `destination-unreachable`(1), `echo-reply` (129), `echo-request` (128), `membership-query` (130), `membership-report` (131), `membership-termination` (132), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), `parameter-problem` (4), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) o `time-exceeded` (3).
`icmp-type-except message-type`	No coincida con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-type` coincidencia.
`interface interface-name`	Interfaz en la que se recibió el paquete. Puede configurar una condición de coincidencia que coincida con los paquetes en función de la interfaz en la que se recibieron. Nota: Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.
`interface-group group-number`	Haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para `group-number`, especifique un único valor o un intervalo de valores de `0` a .`255` Para asignar una interfaz lógica a un grupo `group-number`de interfaces , especifique el `group-number` en el nivel de `[interfaces interface-name unit number family family filter group]` jerarquía. Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces.
`interface-group-except number`	No hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para obtener más información, consulte la condición de `interface-group` coincidencia.
`interface-set interface-set-name`	Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado. Para definir un conjunto de interfaces, incluya la `interface-set` instrucción en el nivel de `[edit firewall]` jerarquía. Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.
`ip-address address`	Dirección de 32 bits que admite la sintaxis estándar para direcciones IPv4. Nota: Para limitar las coincidencias solo al tráfico IPv4, el ipv4 de tipo ether también debe especificarse en el mismo término.
`ip-destination-address address`	Dirección de 32 bits que es la dirección del nodo de destino final para el paquete.
`ip-precedence ip-precedence-field`	Campo de prioridad de IP. En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): `critical-ecp`(0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) o `routine` (0x00).
`ip-precedence-except ip-precedence-field`	No coincida en el campo de prioridad de IP.
`ip-protocol number`	Campo de protocolo IP.
`ip-protocol-except`	No coincida con el tipo de protocolo IP.
`ip-source-address address`	Dirección IP del nodo de origen que envía el paquete.
`ipv6-address` `address`	(Solo serie MX) Dirección de 128 bits que admite la sintaxis estándar para direcciones IPv6. Nota: Para limitar las coincidencias solo al tráfico IPv6, también se debe especificar el ipv6 de tipo ether en el mismo término.
`ipv6-destination-address` `address`	(Solo serie MX) Dirección de 128 bits que es la dirección del nodo de destino final para este paquete.
`ipv6-destination-prefix-list` `named-list`	(Solo serie MX) Haga coincidir las direcciones de destino IPv6 en un `named-list`archivo .
`ipv6-next-header` `protocol`	(Solo serie MX) Haga coincidir el siguiente tipo de protocolo de encabezado IPv6. En la lista siguiente se muestran los valores admitidos para `protocol`: `ah`—Encabezado de autenticación de seguridad IP `dstopts`—Opciones de destino IPv6 `egp`—Protocolo de puerta de enlace exterior `esp`—Carga de seguridad de encapsulación IPSec `fragment`—Encabezado de fragmento IPv6 `gre`—Encapsulación de enrutamiento genérico `hop-by-hop`—Opciones IPv6 salto a salto `icmp`—Protocolo de mensajes de control de Internet `icmp6`—Protocolo de mensajes de control de Internet versión 6 `igmp`—Protocolo de administración de grupos de Internet `ipip`—IP en IP `ipv6`—IPv6 en IP `no-next-header`—IPv6 sin encabezado siguiente `ospf`—Abrir primero el camino más corto `pim`—Multidifusión independiente del protocolo `routing`—Encabezado de enrutamiento IPv6 `rsvp`—Protocolo de reserva de recursos `sctp`—Protocolo de transmisión de control de flujo `tcp`—Protocolo de control de transmisión `udp`—Protocolo de datagramas de usuario `vrrp`—Protocolo de redundancia de enrutador virtual
`ipv6-next-header-except` `protocol`	(Solo serie MX) No coincida con el siguiente tipo de protocolo de encabezado IPv6.
`ipv6-payload-protocol` `protocol`	(Solo serie MX) Coincidir con el tipo de protocolo de carga IPv6. En la lista siguiente se muestran los valores admitidos para `protocol`: `ah`—Encabezado de autenticación de seguridad IP `dstopts`—Opciones de destino IPv6 `egp`—Protocolo de puerta de enlace exterior `esp`—Carga de seguridad de encapsulación IPSec `fragment`—Encabezado de fragmento IPv6 `gre`—Encapsulación de enrutamiento genérico `hop-by-hop`—Opciones IPv6 salto a salto `icmp`—Protocolo de mensajes de control de Internet `icmp6`—Protocolo de mensajes de control de Internet versión 6 `igmp`—Protocolo de administración de grupos de Internet `ipip`—IP en IP `ipv6`—IPv6 en IP `no-next-header`—IPv6 sin encabezado siguiente `ospf`—Abrir primero el camino más corto `pim`—Multidifusión independiente del protocolo `routing`—Encabezado de enrutamiento IPv6 `rsvp`—Protocolo de reserva de recursos `sctp`—Protocolo de transmisión de control de flujo `tcp`—Protocolo de control de transmisión `udp`—Protocolo de datagramas de usuario `vrrp`—Protocolo de redundancia de enrutador virtual
`ipv6-payload-protocol-except` `protocol`	(Solo serie MX) No coinciden con el protocolo de carga IPv6.
`ipv6-prefix-list` `named-list`	(Solo serie MX) Haga coincidir la dirección IPv6 en un `named-list`archivo .
`ipv6-source-address` `address`	(Solo serie MX) Dirección de 128 bits que es la dirección del nodo de origen de este paquete.
`ipv6-source-prefix-list` `named-list`	(Solo serie MX) Haga coincidir la dirección de origen IPv6 en un `named-list`archivo .
`ipv6-traffic-class` `number`	(Solo serie MX) Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza. Puede especificar un valor numérico desde `0` .`63` Para especificar el valor en formato hexadecimal, inclúyalo `0x` como prefijo. Para especificar el valor en formato binario, inclúyalo `b` como prefijo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): RFC 3246, Un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: `ef`(46). RFC 2597, Assured Forwarding PHB Group, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código: `af11`(10), `af12` (12), `af13` (14), `af21`(18), `af22` (20), `af23` (22), `af31`(26), `af32` (28), `af33` (30), `af41`(34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `number`	No coincida con el DSCP `number`.
`isid number`	(Compatible con puentes troncales de proveedores [PBB]) Hacer coincidir el identificador del servicio de Internet.
`isid-dei number`	(Soportado con PBB) Hacer coincidir el bit del indicador de elegibilidad de caída del identificador de servicio de Internet (DEI).
`isid-dei-except number`	(Soportado con PBB) No coincida con el bit DEI del identificador de servicio de Internet.
`isid-priority-code-point number`	(Soportado con PBB) Haga coincidir el punto de código de prioridad del identificador de servicio de Internet.
`isid-priority-code-point-except number`	(Soportado con PBB) No coincida con el punto de código de prioridad del identificador de servicio de Internet.
`learn-vlan-1p-priority value`	(Solo enrutadores serie MX y conmutadores serie EX) Coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de doble etiqueta con etiquetas VLAN 802.1Q). Especifique uno o varios valores desde `0` .`7` Comparar con la condición de `user-vlan-1p-priority` coincidencia.
`learn-vlan-1p-priority-except value`	(Solo enrutadores serie MX y conmutadores serie EX) No coincida en los bits de prioridad de VLAN aprendidos IEEE 802.1p. Para obtener más información, consulte la condición de `learn-vlan-1p-priority` coincidencia.
`learn-vlan-dei number`	(Compatible con puentes) Hacer coincidir el bit DEI del identificador de LAN virtual (VLAN) de usuario.
`learn-vlan-dei-except number`	(Compatible con puentes) No coincida con el bit DEI del identificador VLAN del usuario.
`learn-vlan-id number`	Identificador VLAN utilizado para el aprendizaje de MAC.
`learn-vlan-id-except number`	No coincida con el identificador VLAN utilizado para el aprendizaje de MAC.
`loss-priority level`	Nivel de prioridad de pérdida de paquetes (PLP). Especifique uno o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores serie MX y conmutadores serie EX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) II mejorados y conmutadores serie EX, debe incluir la `tri-color` instrucción en el `[edit class-of-service]` nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la `tri-color` instrucción no está habilitada, sólo podrá configurar los `high` niveles y `low` . Esto se aplica a todas las familias de protocolos. Para obtener información acerca de la `tri-color` instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.
`loss-priority-except level`	No coincida en el nivel de prioridad de pérdida de paquetes. Especifique uno o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Para obtener información acerca del uso de clasificadores de agregados de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.
`port number`	Puerto de origen o destino TCP o UDP. No puede especificar tanto la condición de `port` coincidencia como las `destination-port` condiciones de coincidencia en `source-port` el mismo término.
`source-mac-address address`	Dirección MAC de origen de un paquete de capa 2.
`source-port number`	Campo de puerto de origen TCP o UDP. No puede especificar las `port` condiciones y `source-port` coincidir en el mismo término.
`source-port-except`	No coincida con el puerto de origen TCP/UDP.
`tcp-flags flags`	Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP. Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial. Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits. La configuración de la condición de `tcp-flags` coincidencia requiere que configure la condición de `next-header-tcp` coincidencia.
`traffic-type type`	Tipo de tráfico. Especifique `broadcast`, `multicast`, `unknown-unicast`, o `known-unicast`.
`traffic-type-except type`	No coinciden en el tipo de tráfico.
`user-vlan-1p-priority value`	(Solo enrutadores serie MX y conmutadores serie EX) Coincidir en los bits de prioridad de usuario IEEE 802.1p en la etiqueta VLAN del cliente (la etiqueta interna en una trama de etiqueta doble con etiquetas VLAN 802.1Q). Especifique uno o varios valores desde `0` .`7` Comparar con la condición de `learn-vlan-1p-priority` coincidencia.
`user-vlan-1p-priority-except value`	(Solo enrutadores serie MX y conmutadores serie EX) No coincida en los bits de prioridad de usuario IEEE 802.1p. Para obtener más información, consulte la condición de `user-vlan-1p-priority` coincidencia.
`user-vlan-id number`	(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir el primer identificador de VLAN que forme parte de la carga. El rango es 0 - 4095.
`user-vlan-id-except number`	(Solo enrutadores serie MX y conmutadores serie EX) No coincida en el primer identificador de VLAN que forma parte de la carga. El rango es 0 - 4095.
`vlan-ether-type value`	Campo de tipo Ethernet VLAN de un paquete puente de capa 2.
`vlan-ether-type-except value`	No coincida en el campo de tipo Ethernet VLAN de un paquete puente de capa 2.

Nota:

Para las coincidencias flexible-match-mask y flexible-match-range la capa 4 de inicio de coincidencia utilizada para hacer coincidir a través del encabezado IPV6 no funcionará para los filtros de la familia L2 como "puente, CCC, VPLS". En su lugar, utilice la capa 3 con el desplazamiento adecuado para que coincida con los campos de carga IPV6.

Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2

Temas relacionados