Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Условия совпадения фильтра межсетевых экранов для трафика с помощью межсетевых экранов 2-го уровня

Только на серия MX маршрутизаторах и коммутаторах серии EX можно настроить стандартный фильтр межсетевых экранов без сследования с условиями для трафика с помощью межсетевых экранов уровня 2 (). Описывает, что можно настроить на уровне family bridgeТабл. 1match-conditions[edit firewall family bridge filter filter-name term term-name from] иерархии.

Табл. 1: Стандартные условия совпадения фильтра межсетевых экранов для маршрутизации уровня 2 (только для серия MX маршрутизаторов и коммутаторов серии EX)

Условие совпадения

Описание

destination-mac-address address

Адрес MAC-адрес (MAC) пакета уровня 2 в среде с замещениями.

destination-port number

Поле порта назначения TCP или UDP. Нельзя указать одно и то port же время и условия destination-port совпадения.

destination-port-except

Порт назначения TCP/UDP не соответствует.

destination-prefix-list именований

Со соответствовать префиксам назначения IP в именоваемом списке.

dscp number

Код DSCP. Протокол DiffServ использует тип обслуживания (ToS) в IP-загоне. Наиболее значимые 6 битов этого byte формируют DSCP. Дополнительные сведения см. в "Понимание того, как агрегированные классификаторы поведения приоритетизируют доверенный трафик".

Цифровое значение можно указать с 0 помощью 63 through. Чтобы указать значение в hexademal форме, 0x включим в качестве префикса. Чтобы указать значение в двоичной форме, b включим в качестве префикса.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей):

  • RFC 3246. PhB срочной пересылки (поведениепри переходе) определяет одну кодовую точку: ef(46).

  • RFC 2597, гарантированная группа PHBпереадности, определяет 4 класса с 3 приоритетами сброса в каждом классе, для общего числа кодовых пунктов:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

dscp-except number

Не совпадают в номере DSCP. Дополнительные сведения см. в dscp-except условии совпадения.

ether-type value

Сообразуем поле 2-октета IEEE 802.3 Length/EtherType с указанным значением или списком значений.

Можно указать десятичной или шест из десятичных значений от 0 до 65535 (0xFFFF). Значение от 0 до 1500 (0x05DC) определяет длину кадра Ethernet версии 1. Значение от 1536 (0x0600) до 65535 определяет EtherType (тип протокола клиента MAC) кадра Ethernet версии 2.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены hexadecimal значения): aarpappletalk(0x80F3), (0x809B), arpipv4 (0x0806), (0x0800), ipv6mpls-multicast (0x86DD), mpls-unicast (0x8848), oam (0x8847), ppp (0x8902), pppoe-discovery (0x880B), pppoe-session (0x8863), sna (0x8864), (0x80D5).

Прим.:

При совпадении по IP-адресу или ipv6-адресу необходимо указать соответственно ether-type ipv4 или ipv6, чтобы ограничить количество совпадений только IP-трафиком.

ether-type-except value

Поле «2-октет» IEEE 802.3 Length/EtherType не соответствует указанному значению или списку значений.

Подробные сведения о указании values команд см. в ether-type условии совпадения.

flexible-match-mask значение

bit-length

Длина данных, которые должны быть совме в битах, не требуется для строки ввода (0.128)

bit-offset

Смещение битов после смещения (match-start + byte) (0.7)

byte-offset

Смещение byte после точки начала совпадения

flexible-mask-name

Выберите гибкое совпадение в предварительно заранее задаированном поле шаблона.

mask-in-hex

Замаскировать биты в данных пакетов, которые должны быть совме-

match-start

Точка начала, чтобы найти совпадение в пакете

prefix

Значения данных/строк, которые необходимо использовать

 

flexible-match-range значение

bit-length

Длина данных, совпадает в битах (0.32)

bit-offset

Смещение битов после смещения (match-start + byte) (0.7)

byte-offset

Смещение byte после точки начала совпадения

flexible-range-name

Выберите гибкое совпадение в предварительно заранее задаированном поле шаблона.

match-start

Точка начала, чтобы найти совпадение в пакете

range

Диапазон значений, которые необходимо найти

range-except

Не соответствует данному диапазону значений

 

forwarding class class

Класс переадваровки. assured-forwardingbest-effort Укажите, expedited-forwardingnetwork-control или.

forwarding-class-except class

Поле типа Ethernet в среде пакетов уровня 2. assured-forwardingbest-effort Укажите, expedited-forwardingnetwork-control или.

icmp-code message-code

Со соответствовать полю кода сообщения ICMP.

При настройке этого условия совпадения рекомендуется также настроить условие ip-protocol icmpip-protocol icmp6 совпадения (или совпадение) в одном и том ip-protocol icmpv6 же сроке.

При настройке условий совпадения необходимо также настроить условия icmp-type message-type совпадения в том же термине. Код сообщения ICMP предоставляет более конкретные сведения, чем тип сообщения ICMP, но значение кода сообщения ICMP зависит от связанного типа сообщения ICMP.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей). Ключевые слова группируются по типу ICMP, с которыми они связаны:

  • проблема с параметром: ip6-header-bad(0), unrecognized-next-header (1), unrecognized-option (2)

  • превышение времени: ttl-eq-zero-during-reassembly(1) ttl-eq-zero-during-transit (0)

  • пункт назначения недостижим: address-unreachable(3), administratively-prohibited (1), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

Не соответствует поле кода сообщения ICMP. Подробные сведения см. в icmp-code условии совпадения.

icmp-type message-type

Соответствует полю типа сообщения ICMP.

При настройке этого условия совпадения рекомендуется также настроить условие ip-protocol icmpip-protocol icmp6 совпадения (или совпадение) в одном и том ip-protocol icmpv6 же сроке.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей): destination-unreachableecho-replyecho-request (1), (129), (128), membership-query (130), membership-reportmembership-termination (131), neighbor-advertisement (132), neighbor-solicit (136), (135), node-information-reply (130), node-information-request (139), packet-too-bigparameter-problem (2), redirect (137), router-advertisementrouter-renumbering (134), (138) router-solicit или time-exceeded (3).

icmp-type-except message-type

Не соответствует поле типа сообщения ICMP. Подробные сведения см. в icmp-type условии совпадения.

interface interface-name

Интерфейс, на котором был получен пакет. Можно настроить условие совпадения, которое соответствует пакетам в зависимости от интерфейса, на котором они были получены.

Прим.:

Если это условие совпадения настроено для не существует интерфейса, то термин не соответствует любому пакету.

interface-group group-number

Со соответствовать логическому интерфейсу, на котором был получен пакет, указанной в группе интерфейсов или группе интерфейсов. For group-number , укажите одно значение или диапазон значений от 0 до 255 конца.

Чтобы назначить логический интерфейс группе group-number интерфейсов, укажите group-number[interfaces interface-name unit number family family filter group] иерархическую уровневую структуру.

Дополнительные сведения Обзор фильтрации пакетов, полученных на группе интерфейсов см. в .

interface-group-except number

Не соответствует логическому интерфейсу, на котором пакет был получен указанной группой интерфейсов или набором интерфейсных групп. Подробные сведения см. в interface-group условии совпадения.

interface-set interface-set-name

Со соответствовать интерфейсу, на котором был получен пакет, с указанным набором интерфейсов.

Чтобы определить набор интерфейсов, включим interface-set в себя утверждение на уровне [edit firewall] иерархии. Дополнительные сведения Обзор фильтрации пакетов, полученных на наборе интерфейсов см. в .

ip-address address

32-битный адрес, который поддерживает стандартный синтаксис для адресов IPv4.

Прим.:

Чтобы ограничить количество совпадений только трафиком IPv4, ipv4 ether-type также должен быть указан в том же термине.

ip-destination-address address

32-битный адрес , который является конечным адресом узла назначения для пакета.

ip-precedence ip-precedence-field

Поле приоритета IP-адреса. В качестве цифрового значения поля можно указать одно из следующих текстовых синонимов (также перечислены значения полей): critical-ecp(0xa0), flash (0x60), flash-overrideimmediate (0x80), internet-control (0x40), net-control (0xc0), (0xe0), priority (0x20) или routine (0x00).

ip-precedence-except ip-precedence-field

Не совпадать в поле IP precedence.

ip-protocol number

Поле протокола IP.

ip-protocol-except

Не соответствует типу протокола IP.

ip-source-address address

IP-адрес узла-источника, отправляя пакет.

ipv6-address Адрес

(серия MX) 128-битный адрес, который поддерживает стандартный синтаксис для адресов IPv6.

Прим.:

Чтобы ограничить количество совпадений только трафиком IPv6, ipv6 ether-type также должен быть указан в том же термине.

ipv6-destination-address Адрес

(серия MX) 128-битный адрес, который является конечным адресом узла назначения для этого пакета.

ipv6-destination-prefix-list именований

(только серия MX) Со соответствием адресам назначения IPv6 в именовом списке.

ipv6-next-header Протокол

(только серия MX) Соотведите тип протокола следующего заглавного протокола IPv6.

В следующем списке показаны поддерживаемые значения для протокола:

  • ah— Заглавный замер аутентификации ip Security

  • dstopts-Параметры назначения IPv6

  • egp— Протокол внешнего шлюза

  • esp- Инкапсулирующий безопасность IPSec полезная нагрузка

  • fragment- Задек фрагмента IPv6

  • gre— Общая инкапсуляция маршрутизации

  • hop-by-hop- параметры перехода IPv6 за переходом

  • icmp— Интернет-протокол управления сообщениями

  • icmp6—Internet Control Message Protocol версии 6

  • igmp— Протокол управления группой Интернет

  • ipip— IP в IP

  • ipv6-IPv6 в IP

  • no-next-header-IPv6 нет следующего загона

  • ospf—Open Shortest Path First

  • pim— Многоавтомная трансляция протокола независимо

  • routing-Задек маршрутов IPv6

  • rsvp— Протокол резервирования ресурсов

  • sctp— Протокол передачи управления потоком

  • tcp— Протокол управления передачей

  • udp— Протокол датаграмм пользователя

  • vrrp— Протокол избыточности виртуального маршрутизатора

ipv6-next-header-except Протокол

(только серия MX) Не соответствует типу протокола следующего заглавного протокола IPv6.

ipv6-payload-protocol Протокол

(только серия MX) Соответствует типу протокола полезной нагрузки IPv6.

В следующем списке показаны поддерживаемые значения для протокола:

  • ah— Заглавный замер аутентификации ip Security

  • dstopts-Параметры назначения IPv6

  • egp— Протокол внешнего шлюза

  • esp- Инкапсулирующий безопасность IPSec полезная нагрузка

  • fragment- Задек фрагмента IPv6

  • gre— Общая инкапсуляция маршрутизации

  • hop-by-hop- параметры перехода IPv6 за переходом

  • icmp— Интернет-протокол управления сообщениями

  • icmp6—Internet Control Message Protocol версии 6

  • igmp— Протокол управления группой Интернет

  • ipip— IP в IP

  • ipv6-IPv6 в IP

  • no-next-header-IPv6 нет следующего загона

  • ospf—Open Shortest Path First

  • pim— Многоавтомная трансляция протокола независимо

  • routing-Задек маршрутов IPv6

  • rsvp— Протокол резервирования ресурсов

  • sctp— Протокол передачи управления потоком

  • tcp— Протокол управления передачей

  • udp— Протокол датаграмм пользователя

  • vrrp— Протокол избыточности виртуального маршрутизатора

ipv6-payload-protocol-except Протокол

(только серия MX) Не соответствует протоколу полезной нагрузки IPv6.

ipv6-prefix-list именований

(только серия MX) Соответствует адресу IPv6 в именовом списке.

ipv6-source-address Адрес

(серия MX) 128-битный адрес, который является исходным адресом узла источника для этого пакета.

ipv6-source-prefix-list именований

(только серия MX) Со соответствием адреса источника IPv6 в именовом списке.

ipv6-traffic-class Номер

(только серия MX) Код DSCP. Протокол DiffServ использует тип обслуживания (ToS) в IP-загоне. Наиболее значимые 6 битов этого byte формируют DSCP. Дополнительные сведения см. в "Понимание того, как агрегированные классификаторы поведения приоритетизируют доверенный трафик".

Цифровое значение можно указать с 0 помощью 63 through. Чтобы указать значение в hexademal форме, 0x включим в качестве префикса. Чтобы указать значение в двоичной форме, b включим в качестве префикса.

В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также перечислены значения полей):

  • RFC 3246. PhB срочной пересылки (поведениепри переходе) определяет одну кодовую точку: ef(46).

  • RFC 2597, гарантированная группа PHBпереадности, определяет 4 класса с 3 приоритетами сброса в каждом классе, для общего числа кодовых пунктов:

af11 (10), af12 (12), af13 (14),

af21 (18), af22 (20), af23 (22),

af31 (26), af32 (28), af33 (30),

af41 (34), af42 (36), af43 (38)

ipv6-traffic-class-except Номер

Не соответствует number DSCP.

isid number

(Поддерживается с помощью магистрали сети поставщика [PBB]) Поиск совпадения с идентификатором службы Интернета.

isid-dei number

(Поддерживается PBB) Соответствует биту отпадаемой идентификации интернет-службы (DEI).

isid-dei-except number

(Поддерживается PBB) Не соответствует биту DEI идентификатора интернет-службы.

isid-priority-code-point number

(Поддерживается PBB) Match the Internet service identifier priority code point( Совпадает с кодом приоритета идентификатора интернет-службы).

isid-priority-code-point-except number

(Поддерживается PBB) Не соответствует коду приоритета идентификатора интернет-службы.

learn-vlan-1p-priority value

(серия MX только маршрутизаторы и коммутаторы серии EX) Match on the IEEE 802.1p learned VLAN priority bits in the provider VLAN tag (единственная метка в кадре с меткой 802.1Q VLAN или внешняя метка в кадре с двойной меткой с тегами VLAN 802.1Q). Укажите одно или несколько значений для 0 сквозного. 7

Сравните с user-vlan-1p-priority условием совпадения.

learn-vlan-1p-priority-except value

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадать на битах приоритета IEEE 802.1p. Подробные сведения см. в learn-vlan-1p-priority условии совпадения.

learn-vlan-dei number

(Поддерживается с помощью замещения) Match user virtual LAN (VLAN) identifier DEI bit.

learn-vlan-dei-except number

(Поддерживается с помощью замещения) Не соответствует биту DEI идентификатора VLAN пользователя.

learn-vlan-id number

Идентификатор VLAN, используемый для mac-обучения.

learn-vlan-id-except number

Идентификатор VLAN, используемый для mac-обучения, не соответствует.

loss-priority level

уровень приоритета потери пакетов (PLP). Укажите один или несколько уровней: low, medium-lowmedium-high , или high .

Поддерживается M120 и M320 маршрутизаторах; M7i и M10i с расширенным CFEB (CFEB-E); и серия MX маршрутизаторов и коммутаторов серии EX.

Для IP-трафика M320, серия MX и серия T с расширенными гибкими концентраторами PIC II (FFP) и коммутаторами серии EX необходимо включить утверждение на уровне иерархии, чтобы сфиксировать конфигурацию PLP с любым из четырех указанных tri-color[edit class-of-service] уровней. Если утверждение tri-color не включено, можно настроить только уровни high и low уровни. Это относится ко всем семействам протоколов.

Для получения сведений об tri-color этом сообщении см. "Настройка и применение трехсторонней маркировки policers". Сведения об использовании классификаторов поведения (BA) для назначения уровня PLP входящих пакетов см. в "Сведениях о назначении классов переадностики выходным очередям".

loss-priority-except level

Не совпадать на уровне приоритета потери пакетов. Укажите один или несколько уровней: low, medium-lowmedium-high , или high .

Сведения об использовании классификаторов поведения (BA) для набора уровня PLP входящих пакетов см. в "Сведениях о поведении агрегированных классификаторов по приоритету надежного трафика".

port number

TCP или UDP-порт источника или назначения. Нельзя указать и условие port совпадения, и условия destination-port совпадения в одном и source-port том же термине.

source-mac-address address

Исходный MAC-адрес пакета уровня 2.

source-port number

Поле порта источника TCP или UDP. Нельзя указать условия portsource-port совпадения в одном и том же термине.

source-port-except

Не соответствует порту источника TCP/UDP.

tcp-flags flags

Соберет один или несколько битов низкого порядка 6 в 8-битных полях флагов TCP в поле TCP-загона.

Чтобы указать отдельные поля битов, можно указать следующие текстовые синонимы или hexadecimal значения:

  • fin(0x01)

  • syn(0x02)

  • rst(0x04)

  • push(0x08)

  • ack(0x10)

  • urgent(0x20)

В сеансе TCP флаг SYN устанавливается только в исходном отправленном пакете, в то время как флаг ACK установлен во всех пакетах, отправленных после начального пакета.

Можно с помощью логических операторов бита совметь несколько флагов.

Для настройки условия tcp-flags совпадения необходимо настроить next-header-tcp условие совпадения.

traffic-type type

Тип трафика. broadcastmulticast Укажите, unknown-unicastknown-unicast или.

traffic-type-except type

Не соответствует типу трафика.

user-vlan-1p-priority value

(серия MX только маршрутизаторы и коммутаторы серии EX) Сопоставить по IEEE битах приоритета пользователя 802.1p в теге сети VLAN клиента (внутренняя метка в кадре с двумя тегами с тегами VLAN 802.1Q). Укажите одно или несколько значений для 0 сквозного. 7

Сравните с learn-vlan-1p-priority условием совпадения.

user-vlan-1p-priority-except value

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадать на IEEE битах приоритета пользователя 802.1p. Подробные сведения см. в user-vlan-1p-priority условии совпадения.

user-vlan-id number

(серия MX только маршрутизаторы и коммутаторы серии EX) Со соответствием первому идентификатору VLAN, который является частью полезной нагрузки.

user-vlan-id-except number

(серия MX только маршрутизаторы и коммутаторы серии EX) Не совпадать в идентификаторе первой сети VLAN, которая является частью полезной нагрузки.

vlan-ether-type value

Поле типа VLAN Ethernet пакетов с замещениями уровня 2.

vlan-ether-type-except value

Не должны совпадать в поле типа VLAN Ethernet пакетов с перемыканиями уровня 2.