Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr

Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr konfigurieren (family ccc).

Die folgenden Einschränkungen gelten für Firewall-Filter für Layer 2 CCC-Datenverkehr:

  • Die input-list filter-names and-Anweisungen output-list filter-names für Firewall-Filter für die ccc Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen (fxp oder em0), Loopback-Schnittstellen (lo0) und USB-Modemschnittstellen (umd).

  • Nur auf Routern der MX- Serie und Switches der EX-Serie können Sie keinen zustandslosen Layer- 2-CCC-Firewall-Filter (einen auf Hierarchieebene [edit firewall filter family ccc] konfigurierten Firewall-Filter) als Ausgabefilter anwenden. Auf Routern der MX -Serie und Switches der EX-Serie können für die family ccc Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.

Tabelle 1 Beschreibt die match-conditions Konfigurationen, die Sie auf Hierarchieebene [edit firewall family ccc filter filter-name term term-name from] konfigurieren können.

Tabelle 1: Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr

Übereinstimmungsbedingung

Beschreibung

apply-groups

Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen.

apply-groups-except

Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben.

destination-mac-address address

(Nur Router der MX-Serie und Switches der EX-Serie) Stimmt mit der MAC-Adresse (Media Access Control) des Ziels eines VPLS-Pakets (Virtual Private LAN Service) überein.

Damit Pakete anhand dieser Übereinstimmungsbedingung korrekt ausgewertet werden, wenn sie auf ausgehenden Datenverkehr angewendet werden, der über eine CCC-Verbindung von einer logischen Schnittstelle auf einem I-Chip-DPC in einer Layer-2-VPN-Routing-Instanz (Virtual Private Network) fließt, müssen Sie eine Konfigurationsänderung an der Layer-2-VPN-Routing-Instanz vornehmen. Sie müssen die Verwendung eines Steuerworts für Datenverkehr, der über eine Layer-2-Verbindung fließt, explizit deaktivieren. Die Verwendung eines Steuerworts ist für Layer-2-VPN-Routing-Instanzen standardmäßig aktiviert, um die emulierte VC-Kapselung (Virtual Circuit) für Layer-2-Verbindungen zu unterstützen.

Um die Verwendung eines Steuerworts für Layer- 2-VPNs explizit zu deaktivieren, fügen Sie die no-control-word Anweisung auf einer der folgenden Hierarchieebenen ein:

  • [edit routing-instances routing-instance-name protocols l2vpn]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

Weitere Informationen finden Sie unter Deaktivieren des Steuerworts für Layer-2-VPNs.

flexible-match-mask value

bit-length

Länge der abzugleichenden Daten in Bits, nicht benötigt für String-Eingabe (0..128)

bit-offset

Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)

byte-offset

Byte-Offset nach dem Startpunkt des Spiels

flexible-mask-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

mask-in-hex

Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen

match-start

Startpunkt für den Abgleich im Paket

prefix

Abzugleichende Wertdaten/Zeichenfolge

flexible-match-range value

bit-length

Länge der abzugleichenden Daten in Bit (0..32)

bit-offset

Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)

byte-offset

Byte-Offset nach dem Startpunkt des Spiels

flexible-range-name

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

match-start

Startpunkt für den Abgleich im Paket

range

Wertebereich, der abgeglichen werden soll

range-except

Übereinstimmung mit diesem Wertebereich nicht

forwarding-class class

Weiterleitungsklasse. Geben Sie , best-effort, expedited-forwardingoder network-control.assured-forwarding

forwarding-class-except class

Keine Übereinstimmung mit der Weiterleitungsklasse. Geben Sie , best-effort, expedited-forwardingoder network-control.assured-forwarding

interface-group group-number

Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Geben Sie für group-numbereinen einzelnen Wert oder einen Wertebereich von 0 bis an 255.

Um einer Schnittstellengruppe group-numbereine logische Schnittstelle zuzuordnen, geben Sie die auf Hierarchieebene [interfaces interface-name unit number family family filter group] angroup-number .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

Weitere Informationen finden Sie unter Filtern von Paketen, die auf einer Gruppe von Schnittstellengruppen empfangen wurden Übersicht.

interface-group-except number

Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Weitere Informationen finden Sie in der Übereinstimmungsbedingung interface-group .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

learn-vlan-1p-priority number

(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von 0 bis 7an.

Vergleichen Sie mit der Übereinstimmungsbedingung user-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.

learn-vlan-1p-priority-except number

(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen Sie nicht mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung learn-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.

loss-priority level

Paketverlust-Prioritätsstufe (PLP). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: low, medium-low, medium-highoder high.

Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie.

Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die tri-color Anweisung auf Hierarchieebene [edit class-of-service] einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die high Ebenen und low konfigurieren. Dies gilt für alle Protokollfamilien.

Weitere Informationen zu dieser tri-color Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.

loss-priority-except level

Nicht übereinstimmen mit der Prioritätsstufe Paketverlust. Geben Sie eine einzelne Ebene oder mehrere Ebenen an: low, medium-low, medium-highoder high.

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zur Priorisierung von vertrauenswürdigem Datenverkehr durch verhaltensaggregierte Klassifizierer.

user-vlan-1p-priority number

(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von 0 bis 7an.

Vergleichen Sie mit der Übereinstimmungsbedingung learn-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.

user-vlan-1p-priority-except number

(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen nicht mit den IEEE 802.1p-Benutzerprioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung user-vlan-1p-priority .

HINWEIS:

Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.

HINWEIS:

Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.

HINWEIS:

Bei Übereinstimmungen flexible-match-mask und flexible-match-range Match-Start-Layer-4, die für den Abgleich über IPV6 verwendet wird, funktioniert der Header nicht für Filter der L2-Familie wie "Bridge, CCC, VPLS". Verwenden Sie stattdessen Layer-3 mit entsprechendem Offset, um über IPV6-Nutzlastfelder abzugleichen.