Firewall-Filter-Übereinstimmungsbedingungen für Layer-2-CCC-Datenverkehr

Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr konfigurieren (family ccc).

Die folgenden Einschränkungen gelten für Firewall-Filter für Layer 2 CCC-Datenverkehr:

Die input-list filter-names Anweisungen output-list filter-names für Firewall-Filter für die ccc Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Managementschnittstellen und internen Ethernet-Schnittstellen (fxp oder em0), Loopback-Schnittstellen (lo0) und USB-Modemschnittstellen (umd).
Nur auf Routern der MX-Serie und Switches der [edit firewall filter family ccc] EX-Serie können Sie keinen Stateless-Firewall-Filter (ein auf Hierarchieebene konfigurierter Firewall-Filter) auf Layer 2 CCC als Ausgabefilter anwenden. Auf Routern der MX-Serie und Switches der EX-Serie können für die family ccc Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.

Tabelle 1 beschreibt die match-conditions Konfiguration auf Hierarchieebene [edit firewall family ccc filter filter-name term term-name from] .

Tabelle 1: Firewall-Filter-Übereinstimmungsbedingungen für Layer-2-CCC-Datenverkehr
Übereinstimmungsbedingung	Beschreibung
`apply-groups`	Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehr als einen Gruppennamen angeben. Sie müssen sie in der Reihenfolge der Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben in nachfolgenden Gruppen Vorrang vor den Daten.
`apply-groups-except`	Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehr als einen Gruppennamen angeben.
`destination-mac-address address`	(nur Router der MX-Serie und Switches der EX-Serie) Passen Sie die Mac-Adresse (Destination Media Access Control) eines VPLS-Pakets (Virtual Private LAN Service) an. Damit Pakete durch diese Übereinstimmungsbedingung richtig ausgewertet werden, wenn sie auf den ausgehenden Datenverkehr angewendet werden, der über eine CCC-Verbindung von einer logischen Schnittstelle auf einer I-Chip-DPC in einer Layer 2 Virtual Private Network (VPN)-Routinginstanz fließt, müssen Sie eine Konfigurationsänderung an der Layer 2 VPN-Routinginstanz vornehmen. Sie müssen die Verwendung eines Steuerworts für den Datenverkehr, der über eine Layer-2-Leitung fließt, ausdrücklich deaktivieren. Die Verwendung eines Control Word ist standardmäßig für Layer-2-VPN-Routinginstanzen aktiviert, um die emulierte virtuelle Circuit (VC)-Einkapselung für Layer-2-Circuits zu unterstützen. Um die Verwendung eines Steuerungsworts für Layer-2-VPNs explizit zu deaktivieren, fügen Sie die `no-control-word` Anweisung auf einer der folgenden Hierarchieebenen ein: `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Deaktivieren des Control Word für Layer-2-VPNs.
`flexible-match-mask` `Wert`	`bit-length`	Länge der Daten, die in Bits abgegleicht werden müssen, für String-Eingaben nicht erforderlich (0.128)
	`bit-offset`	Bit-Offset nach dem (Match-Start + Byte)-Offset (0,7)
	`byte-offset`	Byte-Offset nach dem Übereinstimmungs-Startpunkt
	`flexible-mask-name`	Flexible Übereinstimmung aus vordefiniertem Vorlagenfeld auswählen
	`mask-in-hex`	Maskieren Sie Bits in den paketzugleichenden Daten
	`match-start`	Startpunkt, der im Paket abgleicht
	`prefix`	Wertdaten/Zeichenfolge, die angepasst werden sollen
`flexible-match-range` `Wert`	`bit-length`	Länge der in Bits übereinstimmenden Daten (0..32)
	`bit-offset`	Bit-Offset nach dem (Match-Start + Byte)-Offset (0,7)
	`byte-offset`	Byte-Offset nach dem Übereinstimmungs-Startpunkt
	`flexible-range-name`	Flexible Übereinstimmung aus vordefiniertem Vorlagenfeld auswählen
	`match-start`	Startpunkt, der im Paket abgleicht
	`range`	Bereich der zu übereinstimmenden Werte
	`range-except`	Nicht mit diesem Wertebereich übereinstimmen
`forwarding-class class`	Weiterleitungsklasse. Angeben `assured-forwarding`, `best-effort`, `expedited-forwarding`oder `network-control`.
`forwarding-class-except class`	Nicht mit der Weiterleitungsklasse übereinstimmen. Angeben `assured-forwarding`, `best-effort`, `expedited-forwarding`oder `network-control`.
`interface-group group-number`	Passen Sie die logische Schnittstelle, an der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder der Gruppe von Schnittstellengruppen an. Geben `group-number`Sie für einen einzelnen Wert oder Wertebereich von bis `0255`. Um einer Schnittstellengruppe `group-number`eine logische Schnittstelle zuzuweisen, geben Sie die `group-number` auf Hierarchieebene `[interfaces interface-name unit number family family filter group]` an. Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Übersicht über das Filtern von Paketen, die auf einer Reihe von Schnittstellengruppen empfangen wurden.
`interface-group-except number`	Passen Sie die logische Schnittstelle, an der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder der Gruppe von Schnittstellengruppen an. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `interface-group` . Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt.
`learn-vlan-1p-priority number`	(Router der MX-Serie, M320-Router und nur Switches der EX-Serie) Übereinstimmung mit den erlernten VLAN-Prioritätsbits nach IEEE 802.1p im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von bis `7`an`0`. Vergleichen Sie mit der Übereinstimmungsbedingung `user-vlan-1p-priority` . Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Anmerkung: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX- und M320-Serie.
`learn-vlan-1p-priority-except number`	(Router der MX-Serie, M320-Router und nur Switches der EX-Serie) Stimmen Sie nicht mit den gelernten VLAN-Prioritätsbits nach IEEE 802.1p überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `learn-vlan-1p-priority` . Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Anmerkung: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX- und M320-Serie.
`loss-priority level`	Paketverlustprioritätsebene (PLP). Geben Sie eine einzelne oder mehrere Ebenen an: `low`, `medium-low`, `medium-high`oder `high`. Wird auf M120- und M320-Routern unterstützt; M7i- und M10i-Router mit enhanced CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie. Für IP-Datenverkehr auf Routern der M320-, MX- und T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die `tri-color` Anweisung auf Hierarchieebene `[edit class-of-service]` angeben, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die `tri-color` Anweisung nicht aktiviert ist, können Sie nur die `high` Ebenen konfigurieren `low` . Dies gilt für alle Protokollfamilien. Informationen zur `tri-color` Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungs-Policern. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues.
`loss-priority-except level`	Nicht auf der Prioritätsebene für Paketverluste übereinstimmen. Geben Sie eine einzelne oder mehrere Ebenen an: `low`, `medium-low`, `medium-high`oder `high`. Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Behavior Aggregate Classifiers Priorisieren des vertrauenswürdigen Datenverkehrs.
`user-vlan-1p-priority number`	(Router der MX-Serie, M320-Router und nur Switches der EX-Serie) Übereinstimmung mit den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von bis `7`an`0`. Vergleichen Sie mit der Übereinstimmungsbedingung `learn-vlan-1p-priority` . Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Anmerkung: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX- und M320-Serie.
`user-vlan-1p-priority-except number`	(Router der MX-Serie, M320-Router und nur Switches der EX-Serie) Stimmen Sie nicht mit den Ieee 802.1p-Benutzerprioritätsbits überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `user-vlan-1p-priority` . Anmerkung: Diese Übereinstimmungsbedingung wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Anmerkung: Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Control Word für Router der MX- und M320-Serie.

Firewall-Filter-Übereinstimmungsbedingungen für Layer-2-CCC-Datenverkehr

Verwandte Themen