Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr
Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr konfigurieren (family ccc
).
Die folgenden Einschränkungen gelten für Firewall-Filter für Layer 2 CCC-Datenverkehr:
-
Die
input-list filter-names
and-Anweisungenoutput-list filter-names
für Firewall-Filter für dieccc
Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen (fxp
oderem0
), Loopback-Schnittstellen (lo0
) und USB-Modemschnittstellen (umd
). -
Nur auf Routern der MX- Serie und Switches der EX-Serie können Sie keinen zustandslosen Layer- 2-CCC-Firewall-Filter (einen auf Hierarchieebene
[edit firewall filter family ccc]
konfigurierten Firewall-Filter) als Ausgabefilter anwenden. Auf Routern der MX -Serie und Switches der EX-Serie können für diefamily ccc
Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.
Tabelle 1 Beschreibt die match-conditions
Konfigurationen, die Sie auf Hierarchieebene [edit firewall family ccc filter filter-name term term-name from]
konfigurieren können.
Übereinstimmungsbedingung |
Beschreibung |
|
---|---|---|
|
Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen. |
|
|
Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. |
|
|
(Nur Router der MX-Serie und Switches der EX-Serie) Stimmt mit der MAC-Adresse (Media Access Control) des Ziels eines VPLS-Pakets (Virtual Private LAN Service) überein. Damit Pakete anhand dieser Übereinstimmungsbedingung korrekt ausgewertet werden, wenn sie auf ausgehenden Datenverkehr angewendet werden, der über eine CCC-Verbindung von einer logischen Schnittstelle auf einem I-Chip-DPC in einer Layer-2-VPN-Routing-Instanz (Virtual Private Network) fließt, müssen Sie eine Konfigurationsänderung an der Layer-2-VPN-Routing-Instanz vornehmen. Sie müssen die Verwendung eines Steuerworts für Datenverkehr, der über eine Layer-2-Verbindung fließt, explizit deaktivieren. Die Verwendung eines Steuerworts ist für Layer-2-VPN-Routing-Instanzen standardmäßig aktiviert, um die emulierte VC-Kapselung (Virtual Circuit) für Layer-2-Verbindungen zu unterstützen. Um die Verwendung eines Steuerworts für Layer- 2-VPNs explizit zu deaktivieren, fügen Sie die
HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Deaktivieren des Steuerworts für Layer-2-VPNs. |
|
|
|
Länge der abzugleichenden Daten in Bits, nicht benötigt für String-Eingabe (0..128) |
|
Bit-Offset nach dem (Match-Start + Byte) Offset (0..7) |
|
|
Byte-Offset nach dem Startpunkt des Spiels |
|
|
Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus |
|
|
Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen |
|
|
Startpunkt für den Abgleich im Paket |
|
|
Abzugleichende Wertdaten/Zeichenfolge |
|
|
|
Länge der abzugleichenden Daten in Bit (0..32) |
|
Bit-Offset nach dem (Match-Start + Byte) Offset (0..7) |
|
|
Byte-Offset nach dem Startpunkt des Spiels |
|
|
Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus |
|
|
Startpunkt für den Abgleich im Paket |
|
|
Wertebereich, der abgeglichen werden soll |
|
|
Übereinstimmung mit diesem Wertebereich nicht |
|
|
Weiterleitungsklasse. Geben Sie , |
|
|
Keine Übereinstimmung mit der Weiterleitungsklasse. Geben Sie , |
|
|
Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Geben Sie für Um einer Schnittstellengruppe HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Filtern von Paketen, die auf einer Gruppe von Schnittstellengruppen empfangen wurden Übersicht. |
|
|
Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Weitere Informationen finden Sie in der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits im VLAN-Tag des Anbieters (das einzige Tag in einem Single-Tag-Frame mit 802.1Q-VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von Vergleichen Sie mit der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen Sie nicht mit den IEEE 802.1p-gelernten VLAN-Prioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |
|
|
Paketverlust-Prioritätsstufe (PLP). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie. Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die Weitere Informationen zu dieser |
|
|
Nicht übereinstimmen mit der Prioritätsstufe Paketverlust. Geben Sie eine einzelne Ebene oder mehrere Ebenen an: HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zur Priorisierung von vertrauenswürdigem Datenverkehr durch verhaltensaggregierte Klassifizierer. |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q-VLAN-Tags). Geben Sie einen oder mehrere Werte von Vergleichen Sie mit der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |
|
|
(Nur Router der MX-Serie, M320-Router und Switches der EX-Serie) Stimmen nicht mit den IEEE 802.1p-Benutzerprioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für Router der MX-Serie und M320. |
Bei Übereinstimmungen flexible-match-mask
und flexible-match-range
Match-Start-Layer-4, die für den Abgleich über IPV6 verwendet wird, funktioniert der Header nicht für Filter der L2-Familie wie "Bridge, CCC, VPLS". Verwenden Sie stattdessen Layer-3 mit entsprechendem Offset, um über IPV6-Nutzlastfelder abzugleichen.