Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia de filtro de firewall para tráfico de puente de capa 2

Solo en enrutadores serie MX y conmutadores de la serie EX, puede configurar un filtro de firewall sin estado estándar con condiciones de coincidencia para el tráfico de puente de capa 2 (family bridge). Describe el match-conditions nivel de jerarquía que puede configurar [edit firewall family bridge filter filter-name term term-name from]Tabla 1.

Tabla 1: Condiciones estándar de coincidencia de filtros de firewall para puentes de capa 2 (solo enrutadores serie MX y conmutadores de la serie EX)

Condición de coincidencia

Descripción

destination-mac-address address

Dirección de control de acceso de medios de destino (MAC) de un paquete de capa 2 en un entorno de puente.

destination-port number

Campo de puerto de destino TCP o UDP. No puede especificar las condiciones de coincidencia y destination-port de port coincidencia en el mismo término.

destination-port-except

No coincida con el puerto de destino TCP/UDP.

destination-prefix-list lista de nombres

Haga coincidir los prefijos de destino IP en una lista con nombre.

dscp number

Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza.

Puede especificar un valor numérico desde 0 hasta 63. Para especificar el valor en formato hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • RFC 3246, un PHB de reenvío acelerado (comportamiento por salto), define un punto de código: ef(46).

  • RFC 2597, Grupo PHB de reenvío garantizado, define 4 clases, con 3 prioridades de caída en cada clase, para un total de 12 puntos de código:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

No haga coincidir el número DSCP. Para obtener más información, consulte la condición de dscp-except coincidencia.

ether-type value

Haga coincidir el campo IEEE 802.3 Length/EtherType de 2 octetos con el valor especificado o la lista de valores.

Puede especificar valores decimales o hexadecimales del 0 al 65535 (0xFFFF). Un valor del 0 al 1500 (0x05DC) especifica la longitud de una trama Ethernet versión 1. Un valor de 1536 (0x0600) a 65535 especifica el EtherType (naturaleza del protocolo de cliente MAC) de una trama Ethernet versión 2.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores hexadecimales): aarp(0x80F3), appletalk (0x809B), arp (0x0806), ipv4 (0x0800), ipv6 (0x86DD), mpls-multicast (0x8848), mpls-unicast (0x8847), oam (0x8902), ppp (0x880B), pppoe-discovery (0x8863), pppoe-session (0x8864) sna (0x80D5).

Nota:

Cuando se hace coincidir en la dirección IP o la dirección ipv6, el ipv4 o ipv6 de tipo ether, respectivamente, también se debe especificar para limitar las coincidencias solo al tráfico IP.

ether-type-except value

No haga coincidir el campo IEEE 802.3 Length/EtherType de 2 octetos con el valor o la lista de valores especificados.

Para obtener más información acerca de cómo especificar el values, consulte la condición de ether-type coincidencia.

flexible-match-mask Valor

bit-length

Longitud de los datos que se deben hacer coincidir en bits, no es necesario para la entrada de cadena (0..128)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desfase de bytes después del punto de inicio de la coincidencia

flexible-mask-name

Seleccione una coincidencia flexible en el campo de plantilla predefinido

mask-in-hex

Enmascarar bits en los datos del paquete para que coincidan

match-start

Punto de inicio para coincidir en paquete

prefix

Datos/cadena de valor que se deben hacer coincidir

 

flexible-match-range Valor

bit-length

Longitud de los datos que se van a coincidir en bits (0..32)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desfase de bytes después del punto de inicio de la coincidencia

flexible-range-name

Seleccione una coincidencia flexible en el campo de plantilla predefinido

match-start

Punto de inicio para coincidir en paquete

range

Rango de valores que se deben hacer coincidir

range-except

No coincida con este rango de valores

 

forwarding class class

Clase de reenvío. Especifique assured-forwarding, best-effort, , expedited-forwardingo network-control.

forwarding-class-except class

Campo de tipo Ethernet de un entorno de paquete de capa 2. Especifique assured-forwarding, best-effort, , expedited-forwardingo network-control.

icmp-code message-code

Haga coincidir el campo de código de mensaje ICMP.

Si configura esta condición de coincidencia, recomendamos que también configure la ip-protocol icmpcondición , ip-protocol icmp6o ip-protocol icmpv6 la condición de coincidencia en el mismo término.

Si configura esta condición de coincidencia, también debe configurar la condición de icmp-type message-type coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

  • problema de parámetros: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • tiempo superado: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • destino inalcanzable: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

No coincida con el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de icmp-code coincidencia.

icmp-type message-type

Haga coincidir el campo de tipo de mensaje ICMP.

Si configura esta condición de coincidencia, recomendamos que también configure la ip-protocol icmpcondición , ip-protocol icmp6o ip-protocol icmpv6 la condición de coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): destination-unreachable(1), echo-reply (129), echo-request (128), membership-query (130), membership-report (131), membership-termination (132), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) o time-exceeded (3).

icmp-type-except message-type

No coincida con el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de icmp-type coincidencia.

interface interface-name

Interfaz en la que se recibió el paquete. Puede configurar una condición de coincidencia que coincida con paquetes según la interfaz en la que se recibieron.

Nota:

Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.

interface-group group-number

Haga coincidir la interfaz lógica en la que se recibió el paquete al grupo de interfaces especificado o al conjunto de grupos de interfaces. Para group-number, especifique un valor único o un intervalo de valores desde 0 hasta 255.

Para asignar una interfaz lógica a un grupo de interfaces group-number, especifique la group-number en el [interfaces interface-name unit number family family filter group] nivel jerárquico.

Para obtener más información, consulte Filtrado de paquetes recibidos en un conjunto de descripción general de grupos de interfaces.

interface-group-except number

No coincida con la interfaz lógica en la que se recibió el paquete al grupo de interfaces especificado o al conjunto de grupos de interfaces. Para obtener más información, consulte la condición de interface-group coincidencia.

interface-set interface-set-name

Haga coincidir la interfaz en la que se recibió el paquete al conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la interface-set instrucción en el [edit firewall] nivel de jerarquía. Para obtener más información, consulte Descripción general de paquetes de filtrado recibidos en un conjunto de interfaces.

ip-address address

Dirección de 32 bits que admite la sintaxis estándar para direcciones IPv4.

Nota:

Para limitar las coincidencias solo al tráfico IPv4, el ipv4 de tipo ether también se debe especificar en el mismo término.

ip-destination-address address

Dirección de 32 bits que es la dirección del nodo de destino final del paquete.

ip-precedence ip-precedence-field

Campo de prioridad IP. En lugar del valor numérico del campo, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00).

ip-precedence-except ip-precedence-field

No haga coincidir en el campo de prioridad IP.

ip-protocol number

Campo de protocolo IP.

ip-protocol-except

No coincida con el tipo de protocolo IP.

ip-source-address address

Dirección IP del nodo de origen que envía el paquete.

ipv6-address Dirección

(Solo la serie MX) Dirección de 128 bits que admite la sintaxis estándar para direcciones IPv6.

Nota:

Para limitar las coincidencias solo al tráfico IPv6, el ipv6 tipo ether también se debe especificar en el mismo término.

ipv6-destination-address Dirección

(Solo serie MX) Dirección de 128 bits que es la dirección del nodo de destino final para este paquete.

ipv6-destination-prefix-list lista de nombres

(solo serie MX) Haga coincidir las direcciones de destino IPv6 en una lista con nombre.

ipv6-next-header Protocolo

(solo serie MX) Haga coincidir el siguiente tipo de protocolo de encabezado IPv6.

En la siguiente lista se muestran los valores admitidos para el protocolo:

  • ah— Encabezado de autenticación de seguridad IP

  • dstopts— Opciones de destino IPv6

  • egp—Protocolo de puerta de enlace exterior

  • esp—Carga de seguridad de encapsulación IPSec

  • fragment— Encabezado de fragmento de IPv6

  • gre— Encapsulación de enrutamiento genérico

  • hop-by-hop— Opciones de salto a salto IPv6

  • icmp—Protocolo de mensaje de control de Internet

  • icmp6— Protocolo de mensaje de control de Internet versión 6

  • igmp—Protocolo de administración de grupos de Internet

  • ipip—IP en IP

  • ipv6— IPv6 en IP

  • no-next-header— IPv6 no es el siguiente encabezado

  • ospf— Abrir la ruta más corta primero

  • pim— Multidifusión independiente de protocolo

  • routing— Encabezado de enrutamiento IPv6

  • rsvp—Protocolo de reserva de recursos

  • sctp—Protocolo de transmisión de control de secuencia

  • tcp—Protocolo de control de transmisión

  • udp— Protocolo de datagrama del usuario

  • vrrp— Protocolo de redundancia de enrutador virtual

ipv6-next-header-except Protocolo

(solo serie MX) No coincida con el tipo de protocolo de encabezado siguiente IPv6.

ipv6-payload-protocol Protocolo

(solo serie MX) Haga coincidir el tipo de protocolo de carga IPv6.

En la siguiente lista se muestran los valores admitidos para el protocolo:

  • ah— Encabezado de autenticación de seguridad IP

  • dstopts— Opciones de destino IPv6

  • egp—Protocolo de puerta de enlace exterior

  • esp—Carga de seguridad de encapsulación IPSec

  • fragment— Encabezado de fragmento de IPv6

  • gre— Encapsulación de enrutamiento genérico

  • hop-by-hop— Opciones de salto a salto IPv6

  • icmp—Protocolo de mensaje de control de Internet

  • icmp6— Protocolo de mensaje de control de Internet versión 6

  • igmp—Protocolo de administración de grupos de Internet

  • ipip—IP en IP

  • ipv6— IPv6 en IP

  • no-next-header— IPv6 no es el siguiente encabezado

  • ospf— Abrir la ruta más corta primero

  • pim— Multidifusión independiente de protocolo

  • routing— Encabezado de enrutamiento IPv6

  • rsvp—Protocolo de reserva de recursos

  • sctp—Protocolo de transmisión de control de secuencia

  • tcp—Protocolo de control de transmisión

  • udp— Protocolo de datagrama del usuario

  • vrrp— Protocolo de redundancia de enrutador virtual

ipv6-payload-protocol-except Protocolo

(solo serie MX) No coincida con el protocolo de carga IPv6.

ipv6-prefix-list lista de nombres

(solo serie MX) Haga coincidir la dirección IPv6 en una lista con nombre.

ipv6-source-address Dirección

(Solo serie MX) Dirección de 128 bits que es la dirección del nodo de origen de origen para este paquete.

ipv6-source-prefix-list lista de nombres

(solo serie MX) Haga coincidir la dirección de origen IPv6 en una lista con nombre.

ipv6-traffic-class Número

(solo serie MX) Punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el bytes de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza.

Puede especificar un valor numérico desde 0 hasta 63. Para especificar el valor en formato hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):

  • RFC 3246, un PHB de reenvío acelerado (comportamiento por salto), define un punto de código: ef(46).

  • RFC 2597, Grupo PHB de reenvío garantizado, define 4 clases, con 3 prioridades de caída en cada clase, para un total de 12 puntos de código:

af11(10), af12 (12), af13 (14),

af21(18), af22 (20), af23 (22),

af31(26), af32 (28), af33 (30),

af41(34), af42 (36), af43 (38)

ipv6-traffic-class-except Número

No haga coincidir el DSCP number.

isid number

(Compatible con puente troncal del proveedor [PBB]) Haga coincidir el identificador de servicio de Internet.

isid-dei number

(Compatible con PBB) Haga coincidir el bit del indicador de elegibilidad de caída del identificador de servicio de Internet (DEI).

isid-dei-except number

(Compatible con PBB) No coincida con el bit DEI del identificador de servicio de Internet.

isid-priority-code-point number

(Compatible con PBB) Haga coincidir el punto de código de prioridad del identificador de servicio de Internet.

isid-priority-code-point-except number

(Compatible con PBB) No coincida con el punto de código de prioridad del identificador de servicio de Internet.

learn-vlan-1p-priority value

(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir en los bits de prioridad vlan aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de etiqueta doble con etiquetas VLAN 802.1Q). Especifique un valor único o varios valores desde 0 hasta 7.

Compare con la condición de user-vlan-1p-priority coincidencia.

learn-vlan-1p-priority-except value

(Solo enrutadores serie MX y conmutadores serie EX) No haga coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p. Para obtener más información, consulte la condición de learn-vlan-1p-priority coincidencia.

learn-vlan-dei number

(Compatible con puentes) Haga coincidir el bit DEI del identificador DEN virtual (VLAN) del usuario.

learn-vlan-dei-except number

(Compatible con puentes) No coincida con el bit DEI del identificador de VLAN del usuario.

learn-vlan-id number

Identificador de VLAN utilizado para el aprendizaje MAC.

learn-vlan-id-except number

No haga coincidir en el identificador de VLAN utilizado para el aprendizaje MAC.

loss-priority level

Nivel de prioridad de pérdida de paquetes (PLP). Especifique un solo nivel o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con cfeb mejorado (CFEB-E); y enrutadores serie MX y conmutadores de la serie EX.

Para el tráfico IP en enrutadores de las series M320, MX y T con concentradores de PIC flexibles (FPC) mejorados II y conmutadores serie EX, debe incluir la tri-color instrucción en el [edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la tri-color instrucción, consulte Configurar y aplicar policías de marcado tricolor. Para obtener información sobre el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

loss-priority-except level

No coincida en el nivel de prioridad de pérdida de paquetes. Especifique un solo nivel o varios niveles: low, medium-low, medium-high, o high.

Para obtener información sobre el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.

port number

Puerto de origen o destino TCP o UDP. No puede especificar tanto la condición de port coincidencia como las destination-port condiciones de coincidencia en source-port el mismo término.

source-mac-address address

Dirección MAC de origen de un paquete de capa 2.

source-port number

Campo de puerto de origen TCP o UDP. No puede especificar las port condiciones de coincidencia y source-port en el mismo término.

source-port-except

No coincida con el puerto de origen TCP/UDP.

tcp-flags flags

Haga coincidir uno o más de los 6 bits de orden bajo en el campo de indicadores TCP de 8 bits en el encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

En una sesión TCP, la marca SYN solo se establece en el paquete inicial enviado, mientras que la marca ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede unir varias marcas mediante los operadores lógicos de campo de bits.

Configurar la tcp-flags condición de coincidencia requiere que configure la condición de next-header-tcp coincidencia.

traffic-type type

Tipo de tráfico. Especifique broadcast, multicast, , unknown-unicasto known-unicast.

traffic-type-except type

No coincida con el tipo de tráfico.

user-vlan-1p-priority value

(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir los bits de prioridad del usuario IEEE 802.1p en la etiqueta VLAN del cliente (la etiqueta interna en una trama de etiqueta dual con etiquetas VLAN 802.1Q). Especifique un valor único o varios valores desde 0 hasta 7.

Compare con la condición de learn-vlan-1p-priority coincidencia.

user-vlan-1p-priority-except value

(Solo enrutadores serie MX y conmutadores serie EX) No haga coincidir en los bits de prioridad del usuario IEEE 802.1p. Para obtener más información, consulte la condición de user-vlan-1p-priority coincidencia.

user-vlan-id number

(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir el primer identificador de VLAN que forma parte de la carga.

user-vlan-id-except number

(Solo enrutadores serie MX y conmutadores serie EX) No haga coincidir en el primer identificador de VLAN que forma parte de la carga.

vlan-ether-type value

Campo de tipo Ethernet vlan de un paquete de puente de capa 2.

vlan-ether-type-except value

No haga coincidir en el campo de tipo Ethernet de VLAN de un paquete de puente de capa 2.