Firewall-Filter passen bedingungen für Layer-2-CCC-Datenverkehr an
Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr konfigurieren (family ccc
).
Die folgenden Einschränkungen gelten für Firewall-Filter für Layer-2-CCC-Datenverkehr:
Die
input-list filter-names
Anweisungen füroutput-list filter-names
Firewall-Filter für dieccc
Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen (fxp
oderem0
), Loopback-Schnittstellen (lo0
) und USB-Modemschnittstellen (umd
).Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie einen zustandslosen Layer 2 CCC-Firewall-Filter (ein Firewall-Filter, der
[edit firewall filter family ccc]
auf Hierarchieebene konfiguriert ist) als Ausgabefilter anwenden. Auf Routern der MX-Serie und Switches der EX-Serie können für diefamily ccc
Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.
Tabelle 1 beschreibt die match-conditions
Konfiguration auf [edit firewall family ccc filter filter-name term term-name from]
Hierarchieebene.
Übereinstimmungsbedingung |
Beschreibung |
|
---|---|---|
|
Geben Sie an, von welchen Gruppen Konfigurationsdaten erben sollen. Sie können mehr als einen Gruppennamen angeben. Sie müssen sie in der Reihenfolge der Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen. |
|
|
Geben Sie an, von welchen Gruppen Konfigurationsdaten nicht übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben. |
|
|
(Nur Router der MX-Serie und Switches der EX-Serie) Passen Sie die MAC-Adresse (Destination Media Access Control) eines VPLS-Pakets (Virtual Private LAN Service) an. Damit Pakete nach dieser Übereinstimmungsbedingung korrekt bewertet werden, wenn sie auf ausgehenden Datenverkehr angewendet werden, der über eine logische Schnittstelle auf einem I-Chip-DPC in einer Layer-2-Vpn-Routing-Instanz (Virtual Private Network) fließt, müssen Sie eine Konfigurationsänderung an der Layer-2-VPN-Routing-Instanz vornehmen. Sie müssen explizit die Verwendung eines Steuerworts für den Datenverkehr deaktivieren, der über eine Layer-2-Verbindung fließt. Die Verwendung eines Steuerwortes ist standardmäßig für Layer-2-VPN-Routing-Instanzen aktiviert, um die emulierte VC-Kapselung für Layer-2-Verbindungen zu unterstützen. Um die Verwendung eines Steuerelementworts für Layer-2-VPNs explizit zu deaktivieren, fügen Sie die
HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Deaktivieren des Control Word für Layer 2-VPNs. |
|
|
|
Länge der daten, die in Bits abgeglichen werden müssen, nicht erforderlich für String-Eingabe (0..128) |
|
Bit-Offset nach dem Offset (Match-Start + Byte) (0..7) |
|
|
Byte-Offset nach dem Spielbeginn |
|
|
Wählen Sie eine flexible Übereinstimmung aus dem vordefinierten Vorlagenfeld aus. |
|
|
Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen |
|
|
Startpunkt zum Abgleich in Paket |
|
|
Wertdaten/Strings, die abgeglichen werden sollen |
|
|
|
Länge der abzugleichenden Daten in Bits (0..32) |
|
Bit-Offset nach dem Offset (Match-Start + Byte) (0..7) |
|
|
Byte-Offset nach dem Spielbeginn |
|
|
Wählen Sie eine flexible Übereinstimmung aus dem vordefinierten Vorlagenfeld aus. |
|
|
Startpunkt zum Abgleich in Paket |
|
|
Bereich von Werten, die abgeglichen werden müssen |
|
|
Diesen Wertebereich darf nicht übereinstimmen |
|
|
Forwarding-Klasse. Angeben |
|
|
In der Weiterleitungsklasse nicht abgleichen. Angeben |
|
|
Passen Sie die logische Schnittstelle, über die das Paket empfangen wurde, an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen ab. Für Um einer Schnittstellengruppe HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Filtern von Paketen, die über eine Reihe von Schnittstellengruppen empfangen werden – Übersicht. |
|
|
Passen Sie nicht die logische Schnittstelle an, über die das Paket an die angegebene Schnittstellengruppe oder Gruppe von Schnittstellengruppen empfangen wurde. Weitere Informationen finden Sie in der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. |
|
|
(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p gelernten VLAN-Prioritätsbits im Provider-VLAN-Tag (das einzige Tag in einem Single-Tag-Frame mit 802.1Q VLAN-Tags oder das äußere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von Vergleichen Sie mit der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router. |
|
|
(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Passen Sie nicht auf den IEEE 802.1p gelernten VLAN-Prioritätsbits ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router. |
|
|
Paketverlustpriorität (PLP)-Ebene. Geben Sie eine einzelne oder mehrere Ebenen an: Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit erweitertem CFEB (CFEB-E); und Routern der MX-Serie und Switches der EX-Serie. Für IP-Datenverkehr auf Routern der M320, MX- und T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die Informationen zur |
|
|
Nicht auf der Prioritätsebene für Paketverlust abgleichen. Geben Sie eine einzelne oder mehrere Ebenen an: HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Informationen zur Verwendung von Verhaltensaggregaten (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Behavior Aggregates Classifier Priorisieren des vertrauenswürdigen Datenverkehrs. |
|
|
(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Übereinstimmung auf den IEEE 802.1p-Benutzerprioritätsbits im Kunden-VLAN-Tag (das innere Tag in einem Dual-Tag-Frame mit 802.1Q VLAN-Tags). Geben Sie einen einzelnen Wert oder mehrere Werte von Vergleichen Sie mit der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router. |
|
|
(Nur Router der MX-Serie, router M320 und Switches der EX-Serie) Stimmen Sie nicht auf den IEEE 802.1p-Benutzerprioritätsbits ab. Weitere Informationen finden Sie in der Übereinstimmungsbedingung HINWEIS:
Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. HINWEIS:
Diese Übereinstimmungsbedingung unterstützt das Vorhandensein eines Steuerworts für die MX-Serie und M320 Router. |