Condiciones de coincidencia de filtro de Firewall para tráfico de puente de capa 2

Solo en enrutadores de la serie MX y conmutadores de la serie EX, puede configurar un filtro de firewall sin estado estándar con condiciones de coincidencia para el tráfico de puente de capa 2 ( ). describe lo que puede configurar en el nivel jerárquico. family bridgeTabla 1match-conditions[edit firewall family bridge filter filter-name term term-name from]

Tabla 1: Condiciones estándar de coincidencia de filtros de firewall para puentes de capa 2 (solo enrutadores serie MX y conmutadores de la serie EX)
Condición coincidir	Descripción
`destination-mac-address address`	Dirección DIRECCIÓN MAC de destino (MAC) de un paquete de capa 2 en un entorno de puente.
`destination-port number`	Campo de puerto de destino TCP o UDP. No puede especificar las `port` condiciones de `destination-port` coincidencia con el mismo término.
`destination-port-except`	No coincide con el puerto de destino TCP/UDP.
`destination-prefix-list` `lista nombrada`	Haga coincidir los prefijos de destino IP en una `lista denominada.`
`dscp number`	Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte comprender cómo el comportamiento agregan clasificadores priorizan el tráfico de confianza. Puede especificar un valor numérico de `0` a. `63` Para especificar el valor en formato hexadecimal, incluir `0x` como prefijo. Para especificar el valor en formato binario, `b` incluya un prefijo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): RFC 3246, Un PHBde reenvío acelerado (comportamiento por salto) , define un punto de código: `ef`(46). RFC 2597, Reenvío asegurado grupo PHB, define 4 clases, con 3 prioridades de colocación en cada clase, para un total de 12 puntos de código: `af11` (10), `af12` (12), `af13` (14), `af21` (18), `af22` (20), `af23` (22), `af31` (26), `af32` (28), `af33` (30), `af41` (34), `af42` (36), `af43` (38)
`dscp-except number`	No coincide con el número de DSCP. Para obtener más información, consulte `dscp-except` la condición coincidir.
`ether-type value`	Hacer coincidir el IEEE de 2 octetos 802,3 EtherType campo con el valor o la lista de valores especificados. Puede especificar valores decimales o hexadecimales entre 0 y 65535 (0xFFFF). Un valor del 0 al 1500 (0x05DC) especifica la longitud de una trama Ethernet versión 1. Un valor del 1536 (0x0600) al 65535 especifica el EtherType (naturaleza del protocolo de cliente MAC) de una trama Ethernet versión 2. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores hexadecimales): `aarp`(0x80F3), `appletalk` (0x809B), `arp` (0x0806), `ipv4` (0x0800), `ipv6` (0x86DD), `mpls-multicast` (0x8848), `mpls-unicast` (0x8847), `oamppp` (0x8902), (0x880B), `pppoe-discovery` (0x8863), `pppoe-session` (0x8864), `sna` (0x80D5). Nota: En el momento de hacer matching en dirección IP o dirección IPv6, también debe especificarse el tipo ether IPv4 o IPv6, respectivamente, para limitar las coincidencias al tráfico IP únicamente.
`ether-type-except value`	No concuerda con el IEEE de 2 octetos 802,3 EtherType campo longitud/tamaño con el valor o lista de valores especificado. Para obtener más detalles sobre cómo `values`especificar el, `ether-type` vea la condición coincidir.
`flexible-match-mask` `valor`	`bit-length`	Longitud de los datos que deben coincidir en bits, no son necesarios para la entrada de cadenas (0.. 128)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (coincidir-Inicio + byte) (0.. 7)
	`byte-offset`	Desplazamiento de bytes después del punto de inicio de la coincidencia
	`flexible-mask-name`	Seleccione una coincidencia flexible del campo de plantilla predefinido
	`mask-in-hex`	Enmascarar los bits de salida en los datos del paquete para hacer coincidir
	`match-start`	Punto inicial para hacer coincidir el paquete
	`prefix`	Datos de valor/cadena a los que se va a hacer coincidir

`flexible-match-range` `valor`	`bit-length`	Longitud de los datos que deben coincidir en bits (0.. 32)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (coincidir-Inicio + byte) (0.. 7)
	`byte-offset`	Desplazamiento de bytes después del punto de inicio de la coincidencia
	`flexible-range-name`	Seleccione una coincidencia flexible del campo de plantilla predefinido
	`match-start`	Punto inicial para hacer coincidir el paquete
	`range`	Rango de valores con los que se va a hacer coincidir
	`range-except`	No coinciden con este rango de valores

`forwarding class class`	Clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`o `network-control`.
`forwarding-class-except class`	Campo de tipo Ethernet de un entorno de paquetes de capa 2. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`o `network-control`.
`icmp-code message-code`	Hacer coincidir el campo de código de mensaje ICMP. Si configura esta condición de coincidencia, es recomendable que también configure la `ip-protocol icmp`condición `ip-protocol icmp6`, o `ip-protocol icmpv6` coincida con el mismo término. Si configura esta condición de coincidencia, debe configurar también la `icmp-type message-type` condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas: parámetro-problema: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) tiempo transcedido: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) destino: inaccesible: `address-unreachable`(3), `administratively-prohibited` (1), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	No deben coincidir con el campo Código de mensaje ICMP. Para obtener más detalles, `icmp-code` vea la condición coincidir.
`icmp-type message-type`	Hacer coincidir el campo tipo de mensaje ICMP. Si configura esta condición de coincidencia, es recomendable que también configure la `ip-protocol icmp`condición `ip-protocol icmp6`, o `ip-protocol icmpv6` coincida con el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): `destination-unreachable`(1), `echo-reply` (129), `echo-request` (128), `membership-query` (130), `membership-report` (131), `membership-termination` (132), `neighbor-advertisement` (136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), `parameter-problemredirect` (4), (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) `time-exceeded` o (3).
`icmp-type-except message-type`	No deben coincidir con el campo tipo de mensaje ICMP. Para obtener más detalles, `icmp-type` vea la condición coincidir.
`interface interface-name`	Interfaz en la que se recibió el paquete. Puede configurar una condición de coincidencia que coincida con los paquetes en función de la interfaz en la que se recibieron. Nota: Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.
`interface-group group-number`	Hacer coincidir con la interfaz lógica en la que se recibió el paquete al grupo de interfaces o al conjunto de grupos de interfaces especificado. Para `group-number`, especifique un único valor o un rango de valores de `0` a `255`. Para asignar una interfaz lógica a un grupo `group-number`de interfaz, especifique `group-number` el en `[interfaces interface-name unit number family family filter group]` el nivel de jerarquía. Para obtener más información, Introducción a los filtros de paquetes recibidos en un conjunto de grupos de interfacesconsulte.
`interface-group-except number`	No concuerda con la interfaz lógica en la que se recibió el paquete al grupo de interfaces o al conjunto de grupos de interfaces especificado. Para obtener más detalles, `interface-group` vea la condición coincidir.
`interface-set interface-set-name`	Hacer coincidir la interfaz en la que se recibió el paquete al conjunto de interfaces especificado. Para definir un conjunto de interfaces, incluya la `interface-set` instrucción en el nivel de `[edit firewall]` jerarquía. Para obtener más información, Filtrar paquetes recibidos en una descripción general del conjunto de interfacesconsulte.
`ip-address address`	32 dirección de bits que admite la sintaxis estándar para direcciones IPv4. Nota: Para limitar las coincidencias al tráfico IPv4 únicamente, también debe especificarse en el mismo término la IPv4 ether-Type.
`ip-destination-address address`	32 dirección de bits que constituye la dirección de nodo de destino final del paquete.
`ip-precedence ip-precedence-field`	Campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también aparecen en la lista): `critical-ecp`(0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) o `routine` (0x00).
`ip-precedence-except ip-precedence-field`	No coinciden en el campo precedencia IP.
`ip-protocol number`	Campo protocolo IP.
`ip-protocol-except`	No coincide con el tipo de protocolo IP.
`ip-source-address address`	Dirección IP del nodo de origen que envía el paquete.
`ipv6-address` `domicilio`	(Sólo serie MX) 128 de bits de dirección que admite la sintaxis estándar para direcciones IPv6. Nota: A fin de limitar las coincidencias al tráfico IPv6 únicamente, también debe especificarse el tipo ether IPv6 en el mismo término.
`ipv6-destination-address` `domicilio`	(Sólo serie MX) 128 dirección de bit de bits que es la dirección de nodo de destino final para este paquete.
`ipv6-destination-prefix-list` `lista nombrada`	(Solo serie MX) Haga coincidir las direcciones de destino IPv6 en una `lista denominada.`
`ipv6-next-header` `Protocolo`	(Sólo serie MX) Coincide con el tipo de protocolo del encabezado Next IPv6. En la siguiente lista se muestran los valores admitidos para el `protocolo:` `ah`: encabezado de autenticación de seguridad IP `dstopts`— Opciones de destino de IPv6 `egp`— Protocolo de puerta de enlace exterior `esp`— Carga de seguridad de encapsulación IPSec `fragment`— encabezado del fragmento IPv6 `gre`— Encapsulación de enrutamiento genérico `hop-by-hop`— Opciones de salto por salto IPv6 `icmp`— Protocolo de mensajes de control de Internet `icmp6`— Protocolo de mensajes de control de Internet versión 6 `igmp`— Protocolo de administración de grupos de Internet `ipip`— IP en IP `ipv6`— IPv6 en IP `no-next-header`— IPv6 sin encabezado siguiente `ospf`— Primera trayectoria abierta más corta (Open Shortest Path First) `pim`: Multidifusión independiente del Protocolo `routing`: encabezado de enrutamiento IPv6 `rsvp`— Protocolo de reserva de recursos `sctp`— Protocolo de transmisión de control de transmisión `tcp`— Protocolo de control de transmisión `udp`— Protocolo de datagrama de usuario `vrrp`— Protocolo de redundancia de enrutador virtual
`ipv6-next-header-except` `Protocolo`	(Sólo serie MX) No coincida con el tipo de protocolo Next header de IPv6.
`ipv6-payload-protocol` `Protocolo`	(Sólo serie MX) Tipo de protocolo de coincidencia de carga IPv6. En la siguiente lista se muestran los valores admitidos para el `protocolo:` `ah`: encabezado de autenticación de seguridad IP `dstopts`— Opciones de destino de IPv6 `egp`— Protocolo de puerta de enlace exterior `esp`— Carga de seguridad de encapsulación IPSec `fragment`— encabezado del fragmento IPv6 `gre`— Encapsulación de enrutamiento genérico `hop-by-hop`— Opciones de salto por salto IPv6 `icmp`— Protocolo de mensajes de control de Internet `icmp6`— Protocolo de mensajes de control de Internet versión 6 `igmp`— Protocolo de administración de grupos de Internet `ipip`— IP en IP `ipv6`— IPv6 en IP `no-next-header`— IPv6 sin encabezado siguiente `ospf`— Primera trayectoria abierta más corta (Open Shortest Path First) `pim`: Multidifusión independiente del Protocolo `routing`: encabezado de enrutamiento IPv6 `rsvp`— Protocolo de reserva de recursos `sctp`— Protocolo de transmisión de control de transmisión `tcp`— Protocolo de control de transmisión `udp`— Protocolo de datagrama de usuario `vrrp`— Protocolo de redundancia de enrutador virtual
`ipv6-payload-protocol-except` `Protocolo`	(Sólo serie MX) No concuerda con el protocolo de carga IPv6.
`ipv6-prefix-list` `lista nombrada`	(Solo serie MX) Haga coincidir la dirección IPv6 en una `lista denominada.`
`ipv6-source-address` `domicilio`	(Sólo serie MX) 128 dirección de bit de bits que es la dirección del nodo de origen de este paquete.
`ipv6-source-prefix-list` `lista nombrada`	(Solo serie MX) Haga coincidir la dirección de origen IPv6 en una `lista denominada.`
`ipv6-traffic-class` `valor`	(Sólo serie MX) Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte comprender cómo el comportamiento agregan clasificadores priorizan el tráfico de confianza. Puede especificar un valor numérico de `0` a. `63` Para especificar el valor en formato hexadecimal, incluir `0x` como prefijo. Para especificar el valor en formato binario, `b` incluya un prefijo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): RFC 3246, Un PHBde reenvío acelerado (comportamiento por salto) , define un punto de código: `ef`(46). RFC 2597, Reenvío asegurado grupo PHB, define 4 clases, con 3 prioridades de colocación en cada clase, para un total de 12 puntos de código: `af11` (10), `af12` (12), `af13` (14), `af21` (18), `af22` (20), `af23` (22), `af31` (26), `af32` (28), `af33` (30), `af41` (34), `af42` (36), `af43` (38)
`ipv6-traffic-class-except` `valor`	No coincide con el DSCP `number`.
`isid number`	(Compatible con puente de red troncal de proveedor [PBB]) Identificador de servicio Internet coincidente.
`isid-dei number`	(Compatible con PBB) Hacer coincidir el bit del indicador de idoneidad (DEI) del identificador de servicio Internet.
`isid-dei-except number`	(Compatible con PBB) No coinciden con el identificador de DEI de servicio de Internet.
`isid-priority-code-point number`	(Compatible con PBB) Hacer coincidir el punto de código de prioridad del identificador de servicios Internet.
`isid-priority-code-point-except number`	(Compatible con PBB) No coincida con el punto de código de prioridad del identificador de servicios Internet.
`learn-vlan-1p-priority value`	(Solo enrutadores serie MX y conmutadores de la serie EX) Hacer coincidir en los bits de prioridad vlan aprendidas de IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de etiqueta dual con etiquetas VLAN 802.1Q). Especifique un único valor o varios valores de `0` hasta `7`. Compárese con `user-vlan-1p-priority` la condición de coincidencia.
`learn-vlan-1p-priority-except value`	(Solo enrutadores serie MX y conmutadores de la serie EX) No coincida en los bits de prioridad IEEE VLAN aprendida 802.1p. Para obtener más detalles, `learn-vlan-1p-priority` vea la condición coincidir.
`learn-vlan-dei number`	(Compatible con puente) Hacer coincidir LAN virtual de usuario (VLAN) identificador DEI bit.
`learn-vlan-dei-except number`	(Compatible con puente) No hacer coincidir DEI bit identificador de VLAN de usuario.
`learn-vlan-id number`	Identificador de VLAN que se utiliza para el aprendizaje de MAC.
`learn-vlan-id-except number`	No coincide con el identificador VLAN usado para el aprendizaje de MAC.
`loss-priority level`	Nivel de prioridad de pérdida de paquetes (PLP). Especifique un único nivel o varios niveles: `lowmedium-high`, `medium-low`, o `high`. Compatible con M120 y M320 routers; M7i y M10i con enhanced CFEB (CFEB-E); y enrutadores serie MX y conmutadores de la serie EX. Para el tráfico IP en enrutadores M320, serie MX y serie T con concentradores de PIC flexibles (FPC) Enhanced II y conmutadores de la serie EX, debe incluir la instrucción en el nivel de jerarquía para confirmar una configuración de PLP con cualquiera de los cuatro niveles `tri-color[edit class-of-service]` especificados. Si la `tri-color` instrucción no está habilitada, solo puede configurar los `high` niveles `low` y. Esto se aplica a todas las familias de protocolos. Para obtener más información `tri-color` sobre la instrucción, consulte configuración y aplicación de políticas de marcado tricolor. Para obtener información acerca de cómo utilizar clasificadores agregados de comportamiento de (BA) para establecer el nivel PLP de paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.
`loss-priority-except level`	No coinciden en el nivel de prioridad de pérdida de paquetes. Especifique un único nivel o varios niveles: `lowmedium-high`, `medium-low`, o `high`. Para obtener información acerca de cómo utilizar clasificadores agregados de comportamiento de (BA) para establecer el nivel PLP de paquetes entrantes, consulte comprender cómo el comportamiento agrega los clasificadores priorizan el tráfico confiable.
`port number`	Puerto de destino o de origen TCP o UDP. No puede especificar la `port` condición coincidir y, o `destination-portsource-port` bien las condiciones de coincidencia, en el mismo término.
`source-mac-address address`	Dirección MAC de origen de un paquete de capa 2.
`source-port number`	Campo de puerto de origen TCP o UDP. No puede especificar las `port` condiciones `source-port` de coincidencia en el mismo término.
`source-port-except`	No coincide con el puerto de origen TCP/UDP.
`tcp-flags flags`	Hacer coincidir uno o más de los 6 bits de orden bajo en el campo indicadores TCP de 8 bits en el encabezado TCP. Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) En una sesión TCP, el indicador SYN sólo se establece en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial. Puede unir varias marcas utilizando los operadores lógicos de campos de bits. La configuración `tcp-flags` de la condición de coincidencia requiere que `next-header-tcp` configure la condición de coincidencia.
`traffic-type type`	Tipo de tráfico. Especifique `broadcast`, `multicast`, `unknown-unicast`o `known-unicast`.
`traffic-type-except type`	No coinciden en el tipo de tráfico.
`user-vlan-1p-priority value`	(Solo enrutadores serie MX y conmutadores de la serie EX) Hacer coincidir en IEEE bits de prioridad de usuario 802.1p en la etiqueta VLAN del cliente (la etiqueta interna en una trama de etiqueta dual con etiquetas VLAN 802.1Q). Especifique un único valor o varios valores de `0` hasta `7`. Compárese con `learn-vlan-1p-priority` la condición de coincidencia.
`user-vlan-1p-priority-except value`	(Solo enrutadores serie MX y conmutadores de la serie EX) No coincida en los bits de prioridad IEEE usuario 802.1p. Para obtener más detalles, `user-vlan-1p-priority` vea la condición coincidir.
`user-vlan-id number`	(Solamente los enrutadores de la serie MX y los conmutadores de la serie EX) Coincide con el primer identificador de VLAN que forma parte de la carga.
`user-vlan-id-except number`	(Solamente los enrutadores de la serie MX y los conmutadores de la serie EX) No coincide con el primer identificador de VLAN que forma parte de la carga.
`vlan-ether-type value`	Campo de tipo Ethernet VLAN de un paquete de puente de capa 2.
`vlan-ether-type-except value`	No coincida en el campo de tipo Ethernet VLAN de un paquete de puente de capa 2.

Condiciones de coincidencia de filtro de Firewall para tráfico de puente de capa 2

Temas relacionados