Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr

Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr konfigurieren (family ccc).

Die folgenden Einschränkungen gelten für Firewall-Filter für Layer 2 CCC-Datenverkehr:

Die input-list filter-names and-Anweisungen output-list filter-names für Firewall-Filter für die ccc Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen (fxp oder em0), Loopback-Schnittstellen (lo0) und USB-Modemschnittstellen (umd).
Nur auf Routern der MX- Serie und Switches der EX-Serie können Sie keinen zustandslosen Layer- 2-CCC-Firewall-Filter (einen auf Hierarchieebene [edit firewall filter family ccc] konfigurierten Firewall-Filter) als Ausgabefilter anwenden. Auf Routern der MX -Serie und Switches der EX-Serie können für die family ccc Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.

Tabelle 1 Beschreibt die match-conditions Konfigurationen, die Sie auf Hierarchieebene [edit firewall family ccc filter filter-name term term-name from] konfigurieren können.

Tabelle 1: Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr
Übereinstimmungsbedingung	Beschreibung
`apply-groups`	Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen.
`apply-groups-except`	Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben.
`destination-mac-address address`	(Nur Router der MX-Serie und Switches der EX-Serie) Stimmt mit der MAC-Adresse (Media Access Control) des Ziels eines VPLS-Pakets (Virtual Private LAN Service) überein. Damit Pakete anhand dieser Übereinstimmungsbedingung korrekt ausgewertet werden, wenn sie auf ausgehenden Datenverkehr angewendet werden, der über eine CCC-Verbindung von einer logischen Schnittstelle auf einem I-Chip-DPC in einer Layer-2-VPN-Routing-Instanz (Virtual Private Network) fließt, müssen Sie eine Konfigurationsänderung an der Layer-2-VPN-Routing-Instanz vornehmen. Sie müssen die Verwendung eines Steuerworts für Datenverkehr, der über eine Layer-2-Verbindung fließt, explizit deaktivieren. Die Verwendung eines Steuerworts ist für Layer-2-VPN-Routing-Instanzen standardmäßig aktiviert, um die emulierte VC-Kapselung (Virtual Circuit) für Layer-2-Verbindungen zu unterstützen. Um die Verwendung eines Steuerworts für Layer- 2-VPNs explizit zu deaktivieren, fügen Sie die `no-control-word` Anweisung auf einer der folgenden Hierarchieebenen ein: `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Deaktivieren des Steuerworts für Layer-2-VPNs.
`flexible-match-mask` `value`	`bit-length`	Länge der abzugleichenden Daten in Bits, nicht benötigt für String-Eingabe (0..128)
	`bit-offset`	Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)
	`byte-offset`	Byte-Offset nach dem Startpunkt des Spiels
	`flexible-mask-name`	Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus
	`mask-in-hex`	Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen
	`match-start`	Startpunkt für den Abgleich im Paket
	`prefix`	Abzugleichende Wertdaten/Zeichenfolge
`flexible-match-range` `value`	`bit-length`	Länge der abzugleichenden Daten in Bit (0..32)
	`bit-offset`	Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)
	`byte-offset`	Byte-Offset nach dem Startpunkt des Spiels
	`flexible-range-name`	Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus
	`match-start`	Startpunkt für den Abgleich im Paket
	`range`	Wertebereich, der abgeglichen werden soll
	`range-except`	Übereinstimmung mit diesem Wertebereich nicht
`forwarding-class class`	Weiterleitungsklasse. Geben Sie , `best-effort`, `expedited-forwarding`oder `network-control`.`assured-forwarding`
`forwarding-class-except class`	Keine Übereinstimmung mit der Weiterleitungsklasse. Geben Sie , `best-effort`, `expedited-forwarding`oder `network-control`.`assured-forwarding`
`interface-group group-number`	Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Geben Sie für `group-number`einen einzelnen Wert oder einen Wertebereich von `0` bis an `255`. Um einer Schnittstellengruppe `group-number`eine logische Schnittstelle zuzuordnen, geben Sie die auf Hierarchieebene `[interfaces interface-name unit number family family filter group]` an`group-number` . HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Filtern von Paketen, die auf einer Gruppe von Schnittstellengruppen empfangen wurden Übersicht.
`interface-group-except number`	Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `interface-group` . HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.
`learn-vlan-1p-priority number`	(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von `0` bis `7`an. Vergleichen Sie mit der Übereinstimmungsbedingung `user-vlan-1p-priority` . HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.
`learn-vlan-1p-priority-except number`	(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen Sie nicht mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `learn-vlan-1p-priority` . HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.
`loss-priority level`	Paketverlust-Prioritätsstufe (PLP). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: `low`, `medium-low`, `medium-high`oder `high`. Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie. Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die `tri-color` Anweisung auf Hierarchieebene `[edit class-of-service]` einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die `tri-color` Anweisung nicht aktiviert ist, können Sie nur die `high` Ebenen und `low` konfigurieren. Dies gilt für alle Protokollfamilien. Weitere Informationen zu dieser `tri-color` Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.
`loss-priority-except level`	Nicht übereinstimmen mit der Prioritätsstufe Paketverlust. Geben Sie eine einzelne Ebene oder mehrere Ebenen an: `low`, `medium-low`, `medium-high`oder `high`. HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zur Priorisierung von vertrauenswürdigem Datenverkehr durch verhaltensaggregierte Klassifizierer.
`user-vlan-1p-priority number`	(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von `0` bis `7`an. Vergleichen Sie mit der Übereinstimmungsbedingung `learn-vlan-1p-priority` . HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.
`user-vlan-1p-priority-except number`	(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen nicht mit den IEEE 802.1p-Benutzerprioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `user-vlan-1p-priority` . HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320.

HINWEIS:

Bei Übereinstimmungen flexible-match-mask und flexible-match-range Match-Start-Layer-4, die für den Abgleich über IPV6 verwendet wird, funktioniert der Header nicht für Filter der L2-Familie wie "Bridge, CCC, VPLS". Verwenden Sie stattdessen Layer-3 mit entsprechendem Offset, um über IPV6-Nutzlastfelder abzugleichen.

Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr

Verwandte Themen