Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr
Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr konfigurieren ().family ccc
Die folgenden Einschränkungen gelten für Firewall-Filter für Layer 2 CCC-Datenverkehr:
Die and-Anweisungen für Firewall-Filter für die Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen ( oder ), Loopback-Schnittstellen () und USB-Modemschnittstellen ().
input-list filter-names
output-list filter-names
ccc
fxp
em0
lo0
umd
Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie keinen zustandslosen Layer-2-CCC-Firewall-Filter (einen auf Hierarchieebene konfigurierten Firewall-Filter) als Ausgabefilter anwenden.
[edit firewall filter family ccc]
Auf Routern der MX-Serie und Switches der EX-Serie können für die Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.family ccc
Beschreibt die Konfigurationen, die Sie auf Hierarchieebene konfigurieren können.Tabelle 1match-conditions
[edit firewall family ccc filter filter-name term term-name from]
Übereinstimmungsbedingung |
Beschreibung |
|
---|---|---|
|
Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen. |
|
|
Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. |
|
|
(Nur Router der MX-Serie und Switches der EX-Serie) Stimmt mit der MAC-Adresse (Media Access Control) des Ziels eines VPLS-Pakets (Virtual Private LAN Service) überein. Damit Pakete anhand dieser Übereinstimmungsbedingung korrekt ausgewertet werden, wenn sie auf ausgehenden Datenverkehr angewendet werden, der über eine CCC-Verbindung von einer logischen Schnittstelle auf einem I-Chip-DPC in einer Layer-2-VPN-Routing-Instanz (Virtual Private Network) fließt, müssen Sie eine Konfigurationsänderung an der Layer-2-VPN-Routing-Instanz vornehmen. Sie müssen die Verwendung eines Steuerworts für Datenverkehr, der über eine Layer-2-Verbindung fließt, explizit deaktivieren. Die Verwendung eines Steuerworts ist für Layer-2-VPN-Routing-Instanzen standardmäßig aktiviert, um die emulierte VC-Kapselung (Virtual Circuit) für Layer-2-Verbindungen zu unterstützen. Um die Verwendung eines Steuerworts für Layer-2-VPNs explizit zu deaktivieren, fügen Sie die Anweisung auf einer der folgenden Hierarchieebenen ein:
HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Deaktivieren des Steuerworts für Layer-2-VPNs.Disabling the Control Word for Layer 2 VPNs |
|
|
|
Länge der abzugleichenden Daten in Bits, nicht benötigt für String-Eingabe (0..128) |
|
Bit-Offset nach dem (Match-Start + Byte) Offset (0..7) |
|
|
Byte-Offset nach dem Startpunkt des Spiels |
|
|
Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus |
|
|
Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen |
|
|
Startpunkt für den Abgleich im Paket |
|
|
Abzugleichende Wertdaten/Zeichenfolge |
|
|
|
Länge der abzugleichenden Daten in Bit (0..32) |
|
Bit-Offset nach dem (Match-Start + Byte) Offset (0..7) |
|
|
Byte-Offset nach dem Startpunkt des Spiels |
|
|
Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus |
|
|
Startpunkt für den Abgleich im Paket |
|
|
Wertebereich, der abgeglichen werden soll |
|
|
Übereinstimmung mit diesem Wertebereich nicht |
|
|
Weiterleitungsklasse. Geben Sie , , oder . |
|
|
Keine Übereinstimmung mit der Weiterleitungsklasse. Geben Sie , , oder . |
|
|
Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Geben Sie für einen einzelnen Wert oder einen Wertebereich von bis an . Um einer Schnittstellengruppe eine logische Schnittstelle zuzuordnen, geben Sie die auf Hierarchieebene an. HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter .Filtern von Paketen, die auf einer Gruppe von Schnittstellengruppen empfangen wurden Übersicht |
|
|
Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von bis an. Vergleichen Sie mit der Übereinstimmungsbedingung . HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen Sie nicht mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |
|
|
Paketverlust-Prioritätsstufe (PLP). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: , , oder . Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie. Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die Anweisung auf Hierarchieebene einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Weitere Informationen zu dieser Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. |
|
|
Nicht übereinstimmen mit der Prioritätsstufe Paketverlust. Geben Sie eine einzelne Ebene oder mehrere Ebenen an: , , oder . HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zur Priorisierung von vertrauenswürdigem Datenverkehr durch verhaltensaggregierte Klassifizierer.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von bis an. Vergleichen Sie mit der Übereinstimmungsbedingung . HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen nicht mit den IEEE 802.1p-Benutzerprioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung . HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |