Condições de correspondência do filtro de firewall para tráfego CCC de Camada 2
Você pode configurar um filtro de firewall com condições de correspondência para o tráfego cruzado de circuito de Camada 2 (CCC).family ccc
As seguintes restrições se aplicam a filtros de firewall para tráfego CCC de Camada 2:
As declarações e declarações para filtros de firewall para a família de protocolo são suportadas em todas as interfaces, com exceção de interfaces de gerenciamento e interfaces internas de Ethernet ( ou ), interfaces de loopback () e interfaces de modem USB ().
input-list filter-names
output-list filter-names
ccc
fxp
em0
lo0
umd
Somente em roteadores da Série MX e switches da Série EX, você não pode aplicar um filtro de firewall stateless de Camada 2 CCC (um filtro de firewall configurado no nível de hierarquia) como um filtro de saída.
[edit firewall filter family ccc]
Em roteadores da Série MX e switches da Série EX, os filtros de firewall configurados para a declaração só podem ser aplicados como filtros de entrada.family ccc
descreve o que você pode configurar no nível de hierarquia.Tabela 1match-conditions
[edit firewall family ccc filter filter-name term term-name from]
Condição da partida |
Descrição |
|
---|---|---|
|
Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes. |
|
|
Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo. |
|
|
(Apenas roteadores da Série MX e switches da Série EX) Combine com o endereço de controle de acesso de mídia de destino (MAC) de um pacote de serviço de LAN privada virtual (VPLS). Para ter pacotes avaliados corretamente por essa condição de correspondência quando aplicados à saída do tráfego fluindo em um circuito de CCC a partir de uma interface lógica em um DPC de chip I em uma instância de roteamento de rede virtual privada (VPN) de Camada 2, você deve fazer uma mudança de configuração para a instância de roteamento VPN de Camada 2. Você deve desabilitar explicitamente o uso de uma palavra de controle para o tráfego fluindo por um circuito de Camada 2. O uso de uma palavra de controle é habilitado por padrão para instâncias de roteamento VPN de Camada 2 para oferecer suporte ao encapsulamento de circuito virtual emulado (VC) para circuitos de Camada 2. Para desabilitar explicitamente o uso de uma palavra de controle para VPNs de Camada 2, inclua a declaração em qualquer um dos seguintes níveis de hierarquia:
Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter mais informações, veja Desativar a palavra de controle para VPNs de camada 2.Disabling the Control Word for Layer 2 VPNs |
|
|
|
Comprimento dos dados a serem combinados em bits, não necessário para entrada de string (0.128) |
|
Compensação de bits após a compensação (match-start + byte) (0,7) |
|
|
Byte offset após o ponto de partida da partida |
|
|
Selecione uma combinação flexível no campo de modelo predefinido |
|
|
Mascarar bits nos dados do pacote a serem combinados |
|
|
Ponto de partida para combinar em pacote |
|
|
Valorize dados/string a serem combinados |
|
|
|
Comprimento dos dados a serem combinados em bits (0,32) |
|
Compensação de bits após a compensação (match-start + byte) (0,7) |
|
|
Byte offset após o ponto de partida da partida |
|
|
Selecione uma combinação flexível no campo de modelo predefinido |
|
|
Ponto de partida para combinar em pacote |
|
|
Gama de valores a serem combinados |
|
|
Não corresponda a essa gama de valores |
|
|
Aula de encaminhamento. Especifique, ou . |
|
|
Não corresponda à classe de encaminhamento. Especifique, ou . |
|
|
Combine com a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para , especifique um único valor ou uma variedade de valores de até . Para atribuir uma interface lógica a um grupo de interface, especifique o nível de hierarquia. Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter mais informações, veja .Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral |
|
|
Não corresponda à interface lógica na qual o pacote foi recebido ao grupo de interface especificado ou ao conjunto de grupos de interface. Para obter mais informações, veja a condição da partida. Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. |
|
|
(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Combine com os bits de prioridade de VLAN aprendidos do IEEE 802.1p na tag VLAN do provedor (a única tag em um quadro de tag única com tags VLAN de 802.1Q ou a tag externa em um quadro de tag dupla com tags VLAN 802.1Q). Especifique um único valor ou vários valores de até . Compare com a condição do jogo. Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota:
Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320. |
|
|
(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Não corresponda aos bits de prioridade VLAN aprendidos do IEEE 802.1p. Para obter mais informações, veja a condição da partida. Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota:
Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320. |
|
|
Nível de prioridade de perda de pacotes (PLP). Especifique um único nível ou vários níveis: ou... Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX. Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) Aprimorados II e switches da Série EX, você deve incluir a declaração no nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Para obter informações sobre a declaração, veja Configuração e aplicação de policiais tricolores de marcação. |
|
|
Não corresponda ao nível de prioridade de perda de pacotes. Especifique um único nível ou vários níveis: ou... Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic |
|
|
(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Combine com os bits de prioridade do usuário IEEE 802.1p na tag VLAN do cliente (a tag interna em um quadro de tag dupla com tags VLAN de 802.1Q). Especifique um único valor ou vários valores de até . Compare com a condição do jogo. Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota:
Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320. |
|
|
(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Não corresponda aos bits de prioridade do usuário IEEE 802.1p. Para obter mais informações, veja a condição da partida. Nota:
Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota:
Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320. |