Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter passen bedingungen für Layer-2-CCC-Datenverkehr an

Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr konfigurieren (family ccc).

Die folgenden Einschränkungen gelten für Firewall-Filter für Layer-2-CCC-Datenverkehr:

  • Die input-list filter-names Anweisungen für output-list filter-names Firewall-Filter für die ccc Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen (fxp oder em0), Loopback-Schnittstellen (lo0) und USB-Modemschnittstellen (umd).

  • Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie einen zustandslosen Layer 2 CCC-Firewall-Filter (ein Firewall-Filter, der [edit firewall filter family ccc] auf Hierarchieebene konfiguriert ist) als Ausgabefilter anwenden. Auf Routern der MX-Serie und Switches der EX-Serie können für die family ccc Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.

Tabelle 1 beschreibt die match-conditions Konfiguration auf [edit firewall family ccc filter filter-name term term-name from] Hierarchieebene.

Tabelle 1: Firewall-Filter passen bedingungen für Layer-2-CCC-Datenverkehr an

Übereinstimmungsbedingung

Beschreibung

apply-groups

Geben Sie an, von welchen Gruppen Konfigurationsdaten erben sollen. Sie können mehr als einen Gruppennamen angeben. Sie müssen sie in der Reihenfolge der Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen.

apply-groups-except

Geben Sie an, von welchen Gruppen Konfigurationsdaten nicht übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben.

destination-mac-address address

(Nur Router der MX-Serie und Switches der EX-Serie) Passen Sie die MAC-Adresse (Destination Media Access Control) eines VPLS-Pakets (Virtual Private LAN Service) an.

Damit Pakete nach dieser Übereinstimmungsbedingung korrekt bewertet werden, wenn sie auf ausgehenden Datenverkehr angewendet werden, der über eine logische Schnittstelle auf einem I-Chip-DPC in einer Layer-2-Vpn-Routing-Instanz (Virtual Private Network) fließt, müssen Sie eine Konfigurationsänderung an der Layer-2-VPN-Routing-Instanz vornehmen. Sie müssen explizit die Verwendung eines Steuerworts für den Datenverkehr deaktivieren, der über eine Layer-2-Verbindung fließt. Die Verwendung eines Steuerwortes ist standardmäßig für Layer-2-VPN-Routing-Instanzen aktiviert, um die emulierte VC-Kapselung für Layer-2-Verbindungen zu unterstützen.

Um die Verwendung eines Steuerelementworts für Layer-2-VPNs explizit zu deaktivieren, fügen Sie die no-control-word Anweisung auf einer der folgenden Hierarchieebenen ein:

  • [edit routing-instances routing-instance-name protocols l2vpn]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

Weitere Informationen finden Sie unter Deaktivieren des Control Word für Layer 2-VPNs.

flexible-match-mask value

bit-length

Länge der daten, die in Bits abgeglichen werden müssen, nicht erforderlich für String-Eingabe (0..128)

bit-offset

Bit-Offset nach dem Offset (Match-Start + Byte) (0..7)

byte-offset

Byte-Offset nach dem Spielbeginn

flexible-mask-name

Wählen Sie eine flexible Übereinstimmung aus dem vordefinierten Vorlagenfeld aus.

mask-in-hex

Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen

match-start

Startpunkt zum Abgleich in Paket

prefix

Wertdaten/Strings, die abgeglichen werden sollen

flexible-match-range value

bit-length

Länge der abzugleichenden Daten in Bits (0..32)

bit-offset

Bit-Offset nach dem Offset (Match-Start + Byte) (0..7)

byte-offset

Byte-Offset nach dem Spielbeginn

flexible-range-name

Wählen Sie eine flexible Übereinstimmung aus dem vordefinierten Vorlagenfeld aus.

match-start

Startpunkt zum Abgleich in Paket

range

Bereich von Werten, die abgeglichen werden müssen

range-except

Diesen Wertebereich darf nicht übereinstimmen

forwarding-class class

Forwarding-Klasse. Angebenassured-forwarding, best-effort, oder expedited-forwardingnetwork-control.

forwarding-class-except class

In der Weiterleitungsklasse nicht abgleichen. Angebenassured-forwarding, best-effort, oder expedited-forwardingnetwork-control.

interface-group group-number

Passen Sie die logische Schnittstelle, über die das Paket empfangen wurde, an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen ab. Für group-numbergeben Sie einen einzelnen Wert oder einen Bereich von Werten von bis 0 .255

Um einer Schnittstellengruppe group-numbereine logische Schnittstelle zuzuweisen, geben Sie die group-number auf [interfaces interface-name unit number family family filter group] Hierarchieebene an.

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

Weitere Informationen finden Sie unter Filtern von Paketen, die über eine Reihe von Schnittstellengruppen empfangen werden – Übersicht.

interface-group-except number

Passen Sie nicht die logische Schnittstelle an, über die das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Weitere Informationen finden Sie in der Übereinstimmungsbedingung interface-group .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

learn-vlan-1p-priority number

(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p gelernten VLAN-Prioritätsbits im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von 0 durch 7an.

Vergleichen Sie mit der Übereinstimmungsbedingung user-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router.

learn-vlan-1p-priority-except number

(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Passen Sie nicht auf den IEEE 802.1p gelernten VLAN-Prioritätsbits ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung learn-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router.

loss-priority level

Paketverlustpriorität (PLP)-Ebene. Geben Sie eine einzelne oder mehrere Ebenen an: low, medium-low, oder medium-highhigh.

Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit erweitertem CFEB (CFEB-E); und Routern der MX-Serie und Switches der EX-Serie.

Für IP-Datenverkehr auf Routern der M320, MX- und T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die tri-color Anweisung auf Hierarchieebene [edit class-of-service] angeben, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die Und-Ebenen lowhigh konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur tri-color Anweisung finden Sie unter Konfigurieren und Anwenden von Tricolor Marking Policern. Informationen zur Verwendung von Verhaltensaggregaten (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes dazu, wie Weiterleitungsklassen Klassen Ausgabewarteschlangen zuweisen.

loss-priority-except level

Nicht auf der Prioritätsebene für Paketverlust abgleichen. Geben Sie eine einzelne oder mehrere Ebenen an: low, medium-low, oder medium-highhigh.

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

Informationen zur Verwendung von Verhaltensaggregaten (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Behavior Aggregates Classifier Priorisieren des vertrauenswürdigen Datenverkehrs.

user-vlan-1p-priority number

(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von 0 durch 7an.

Vergleichen Sie mit der Übereinstimmungsbedingung learn-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router.

user-vlan-1p-priority-except number

(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Stimmen Sie nicht auf den IEEE 802.1p-Benutzerprioritätsbits ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung user-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router.