2 层 CCC 流量的防火墙过滤器匹配条件

您可以为第 2 层电路交叉连接（CCC）流量family ccc （）配置匹配条件的防火墙过滤器。

以下限制适用于第 2 层 CCC 流量的防火墙过滤器：

input-list filter-names除管理接口和内部以太网接口（或em0）、环路接口（）和 USB 调制解调器umd接口（fxplo0）之外，所有接口均支持协议系列防火墙过滤器ccc的和output-list filter-names语句。
只有在 MX 系列路由器和 EX 系列交换机上，您才能将第 2 层 CCC 无状态防火墙过滤器（在层次结构级别上 [edit firewall filter family ccc] 配置的防火墙过滤器）应用为输出过滤器。在 MX 系列路由器和 EX 系列交换机上，为语句 family ccc 配置的防火墙过滤器只能作为输入过滤器应用。

表 1 介绍了 match-conditions 可以在层级配置 [edit firewall family ccc filter filter-name term term-name from] 的问题。

表 1： 2 层 CCC 流量的防火墙过滤器匹配条件
匹配条件	说明
`apply-groups`	指定要从哪些组继承配置数据。您可以指定多个组名。您必须按继承优先级顺序列出它们。第一个组中的配置数据优先于后续组中的数据。
`apply-groups-except`	指定不继承配置数据的组。您可以指定多个组名。
`destination-mac-address address`	（仅限 MX 系列路由器和 EX 系列交换机）匹配虚拟专用 LAN 服务（VPLS）数据包的目标媒体访问控制（MAC）地址。要在第 2 层虚拟专用网络（VPN）路由实例中 I 芯片 DPC 上的逻辑接口上通过 CCC 电路传输的出口流量时，按此匹配条件正确评估数据包，您必须对第 2 层 VPN 路由实例进行配置更改。您必须明确禁止对通过第 2 层电路流出的流量使用控制字。默认情况下，第 2 层 VPN 路由实例会使用控制字，以支持第 2 层电路的仿真虚拟电路（VC）封装。要显式禁止对第 2 层 VPN 使用控制字，请在 `no-control-word` 以下任一层级添加语句： `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` 注： PTX 系列数据包传输路由器不支持此匹配条件。有关更多信息，请参阅禁用第 2 层 VPN 的控制字。
`flexible-match-mask` `value`	`bit-length`	要以位表示的数据长度，字符串输入（0..128）
	`bit-offset`	（匹配开始 + 字节）偏移（0.7）后的位偏移量
	`byte-offset`	匹配起点后的字节偏移量
	`flexible-mask-name`	从预定义模板字段灵活选择匹配项
	`mask-in-hex`	掩盖要匹配的数据包数据中的位
	`match-start`	在数据包中匹配的起点
	`prefix`	值数据/要匹配的字符串
`flexible-match-range` `value`	`bit-length`	要以位计的匹配数据长度（0.32）
	`bit-offset`	（匹配开始 + 字节）偏移（0.7）后的位偏移量
	`byte-offset`	匹配起点后的字节偏移量
	`flexible-range-name`	从预定义模板字段灵活选择匹配项
	`match-start`	在数据包中匹配的起点
	`range`	要匹配的值范围
	`range-except`	不匹配此值范围
`forwarding-class class`	转发类。指定 `assured-forwarding`、 `best-effort`、、 `expedited-forwarding`或 `network-control`。
`forwarding-class-except class`	转发类不匹配。指定 `assured-forwarding`、 `best-effort`、、 `expedited-forwarding`或 `network-control`。
`interface-group group-number`	将接收数据包的逻辑接口与指定的接口组或接口组集匹配。对于 `group-number`，请指定单个值或一个从到`0255`的值范围。要为接口组 `group-number`分配逻辑接口，请 `group-number` 指定层级的 `[interfaces interface-name unit number family family filter group]` 逻辑接口。注： PTX 系列数据包传输路由器不支持此匹配条件。有关更多详细信息，请参阅在一组接口组上收到的过滤数据包概述。
`interface-group-except number`	不要与接收数据包的逻辑接口匹配到指定的接口组或接口组集。有关详细信息，请参阅 `interface-group` 匹配条件。注： PTX 系列数据包传输路由器不支持此匹配条件。
`learn-vlan-1p-priority number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）匹配 IEEE 802.1p 学习的提供商 VLAN 标记中的 VLAN 优先级位（具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的唯一标记）。指定从到`07`的单个值或多个值。与 `user-vlan-1p-priority` 匹配条件进行比较。注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。
`learn-vlan-1p-priority-except number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）IEEE 802.1p 学习的 VLAN 优先级位不匹配。有关详细信息，请参阅 `learn-vlan-1p-priority` 匹配条件。注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。
`loss-priority level`	数据包丢失优先级（PLP）级别。指定单个级别或多个级别：`low`、 `medium-low`、 `medium-high`或 `high`。支持 M120 和 M320 路由器;配备增强型 CFEB （CFEB-E）的 M7i 和 M10i 路由器;和 MX 系列路由器和 EX 系列交换机对于具有增强型 II 灵活 PIC 集中器（FPC）和 EX 系列交换机的 M320、MX 系列和 T 系列路由器上的 IP 流量，您必须在`[edit class-of-service]`层次结构级别中包含`tri-color`语句，以便提交具有四个指定级别中的任何一个级别的 PLP 配置。如果未启用语句 `tri-color` ，则只能配置 `high` 和 `low` 级别。这适用于所有协议家族。有关 `tri-color` 语句的信息，请参阅配置和应用 Tricolor 标记监管器。有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解转发类如何将类分配给输出队列。
`loss-priority-except level`	数据包丢失优先级级别不匹配。指定单个级别或多个级别：`low`、 `medium-low`、 `medium-high`或 `high`。注： PTX 系列数据包传输路由器不支持此匹配条件。有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅行为聚合分类器如何确定可信流量的优先级。
`user-vlan-1p-priority number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）匹配客户 VLAN 标记中的 IEEE 802.1p 用户优先级位（具有 802.1Q VLAN 标记的双标记帧中的内部标记）。指定从到`07`的单个值或多个值。与 `learn-vlan-1p-priority` 匹配条件进行比较。注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。
`user-vlan-1p-priority-except number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）IEEE 802.1p 用户优先级位不匹配。有关详细信息，请参阅 `user-vlan-1p-priority` 匹配条件。注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。

2 层 CCC 流量的防火墙过滤器匹配条件

相关主题