Condições de correspondência do filtro de firewall para tráfego CCC de Camada 2

Você pode configurar um filtro de firewall com condições de correspondência para o tráfegofamily ccc cruzado de circuito de Camada 2 (CCC).

As seguintes restrições se aplicam a filtros de firewall para tráfego CCC de Camada 2:

As input-list filter-names declarações e output-list filter-names declarações para filtros de firewall para a ccc família de protocolo são suportadas em todas as interfaces, com exceção de interfaces de gerenciamento e interfaces internas de Ethernet (fxp ou em0), interfaces de loopback (lo0) e interfaces de modem USB (umd).
Somente em roteadores da Série MX e switches da Série EX, você não pode aplicar um filtro de firewall stateless de Camada 2 CCC (um filtro de firewall configurado no nível de [edit firewall filter family ccc] hierarquia) como um filtro de saída. Em roteadores da Série MX e switches da Série EX, os filtros de firewall configurados para a family ccc declaração só podem ser aplicados como filtros de entrada.

Tabela 1 descreve o que match-conditions você pode configurar no nível de [edit firewall family ccc filter filter-name term term-name from] hierarquia.

Tabela 1: Condições de correspondência do filtro de firewall para tráfego CCC de Camada 2
Condição da partida	Descrição
`apply-groups`	Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.
`apply-groups-except`	Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.
`destination-mac-address address`	(Apenas roteadores da Série MX e switches da Série EX) Combine com o endereço de controle de acesso de mídia de destino (MAC) de um pacote de serviço de LAN privada virtual (VPLS). Para ter pacotes avaliados corretamente por essa condição de correspondência quando aplicados à saída do tráfego fluindo em um circuito de CCC a partir de uma interface lógica em um DPC de chip I em uma instância de roteamento de rede virtual privada (VPN) de Camada 2, você deve fazer uma mudança de configuração para a instância de roteamento VPN de Camada 2. Você deve desabilitar explicitamente o uso de uma palavra de controle para o tráfego fluindo por um circuito de Camada 2. O uso de uma palavra de controle é habilitado por padrão para instâncias de roteamento VPN de Camada 2 para oferecer suporte ao encapsulamento de circuito virtual emulado (VC) para circuitos de Camada 2. Para desabilitar explicitamente o uso de uma palavra de controle para VPNs de Camada 2, inclua a `no-control-word` declaração em qualquer um dos seguintes níveis de hierarquia: `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter mais informações, veja Desativar a palavra de controle para VPNs de camada 2.
`flexible-match-mask` `value`	`bit-length`	Comprimento dos dados a serem combinados em bits, não necessário para entrada de string (0.128)
	`bit-offset`	Compensação de bits após a compensação (match-start + byte) (0,7)
	`byte-offset`	Byte offset após o ponto de partida da partida
	`flexible-mask-name`	Selecione uma combinação flexível no campo de modelo predefinido
	`mask-in-hex`	Mascarar bits nos dados do pacote a serem combinados
	`match-start`	Ponto de partida para combinar em pacote
	`prefix`	Valorize dados/string a serem combinados
`flexible-match-range` `value`	`bit-length`	Comprimento dos dados a serem combinados em bits (0,32)
	`bit-offset`	Compensação de bits após a compensação (match-start + byte) (0,7)
	`byte-offset`	Byte offset após o ponto de partida da partida
	`flexible-range-name`	Selecione uma combinação flexível no campo de modelo predefinido
	`match-start`	Ponto de partida para combinar em pacote
	`range`	Gama de valores a serem combinados
	`range-except`	Não corresponda a essa gama de valores
`forwarding-class class`	Aula de encaminhamento. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`.
`forwarding-class-except class`	Não corresponda à classe de encaminhamento. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`.
`interface-group group-number`	Combine com a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para `group-number`, especifique um único valor ou uma variedade de valores de `0` até `255`. Para atribuir uma interface lógica a um grupo `group-number`de interface, especifique o nível de `group-number[interfaces interface-name unit number family family filter group]` hierarquia. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter mais informações, veja Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral.
`interface-group-except number`	Não corresponda à interface lógica na qual o pacote foi recebido ao grupo de interface especificado ou ao conjunto de grupos de interface. Para obter mais informações, veja a condição da `interface-group` partida. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.
`learn-vlan-1p-priority number`	(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Combine com os bits de prioridade de VLAN aprendidos do IEEE 802.1p na tag VLAN do provedor (a única tag em um quadro de tag única com tags VLAN de 802.1Q ou a tag externa em um quadro de tag dupla com tags VLAN 802.1Q). Especifique um único valor ou vários valores de `0` até `7`. Compare com a condição do `user-vlan-1p-priority` jogo. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota: Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320.
`learn-vlan-1p-priority-except number`	(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Não corresponda aos bits de prioridade VLAN aprendidos do IEEE 802.1p. Para obter mais informações, veja a condição da `learn-vlan-1p-priority` partida. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota: Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320.
`loss-priority level`	Nível de prioridade de perda de pacotes (PLP). Especifique um único nível ou vários níveis: `low`ou`medium-lowmedium-highhigh`... Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX. Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) Aprimorados II e switches da Série EX, você deve incluir a `tri-color` declaração no `[edit class-of-service]` nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver habilitada, você só poderá configurar os níveis e `low` os `high` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída.
`loss-priority-except level`	Não corresponda ao nível de prioridade de perda de pacotes. Especifique um único nível ou vários níveis: `low`ou`medium-lowmedium-highhigh`... Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.
`user-vlan-1p-priority number`	(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Combine com os bits de prioridade do usuário IEEE 802.1p na tag VLAN do cliente (a tag interna em um quadro de tag dupla com tags VLAN de 802.1Q). Especifique um único valor ou vários valores de `0` até `7`. Compare com a condição do `learn-vlan-1p-priority` jogo. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota: Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320.
`user-vlan-1p-priority-except number`	(Apenas roteadores da Série MX, roteador M320 e switches da Série EX) Não corresponda aos bits de prioridade do usuário IEEE 802.1p. Para obter mais informações, veja a condição da `user-vlan-1p-priority` partida. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Nota: Essa condição de correspondência oferece suporte à presença de uma palavra de controle para roteadores MX Series e M320.

Nota:

Para partidas flexible-match-mask e flexible-match-range match-start da camada 4 usada para combinar com o cabeçalho IPV6 não funcionará para filtros da família L2, como "bridge, CCC, VPLS". Em vez disso, use a camada 3 com compensação apropriada para combinar com os campos de carga IPV6.

Condições de correspondência do filtro de firewall para tráfego CCC de Camada 2

Tópicos relacionados