Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2
Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic CCC (connexion croisée de circuit de couche 2) (family ccc
).
Les restrictions suivantes s’appliquent aux filtres de pare-feu pour le trafic CCC de couche 2 :
Les
input-list filter-names
instructions et pour les filtres de pare-feu de laccc
famille de protocoles sont prises en charge sur toutes les interfaces, à l’exception des interfaces de gestion et des interfaces Ethernet internes ( ouem0
), des interfaces de bouclage () etoutput-list filter-names
des interfaces de modem USB (lo0
fxp
umd
).Uniquement sur les routeurs MX Series et les commutateurs EX Series, vous ne pouvez pas appliquer un filtre de pare-feu sans état CCC de couche 2 (un filtre de pare-feu configuré au niveau de la
[edit firewall filter family ccc]
hiérarchie) comme filtre de sortie. Sur les routeurs MX Series et les commutateurs EX Series, les filtres de pare-feu configurés pour l’instruction peuvent être appliqués uniquement en tant que filtres d’entréefamily ccc
.
Tableau 1 décrit ce que match-conditions
vous pouvez configurer au niveau de la [edit firewall family ccc filter filter-name term term-name from]
hiérarchie.
Condition de correspondance |
Description |
|
---|---|---|
|
Spécifiez les groupes dont vous souhaitez hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe sont prioritaires sur les données des groupes suivants. |
|
|
Spécifiez les groupes dont vous ne souhaitez pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe. |
|
|
(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre l’adresse MAC (Media Access Control) de destination d’un paquet VPLS (Virtual Private LAN Service). Pour que les paquets soient correctement évalués par cette condition de correspondance lorsqu’elle est appliquée au trafic sortant circulant sur un circuit CCC à partir d’une interface logique sur un DPC à puce I dans une instance de routage VPN (réseau privé virtuel (VPN) de couche 2, vous devez apporter une modification de configuration à l’instance de routage VPN de couche 2. Vous devez désactiver explicitement l’utilisation d’un mot de contrôle pour le trafic circulant sur un circuit de couche 2. L’utilisation d’un mot de contrôle est activée par défaut pour les instances de routage VPN de couche 2 afin de prendre en charge l’encapsulation de circuit virtuel (VC) émulé pour les circuits de couche 2. Pour désactiver explicitement l’utilisation d’un mot de contrôle pour les VPN de couche 2, incluez l’instruction à l’un
REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, consultez Désactivation du mot de contrôle pour les VPN de couche 2. |
|
|
|
Longueur des données à mettre en correspondance en bits, non nécessaire pour l’entrée de chaîne (0..128) |
|
Décalage binaire après le décalage (match-start + octet) (0..7) |
|
|
Décalage d’octets après le point de départ de la correspondance |
|
|
Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini |
|
|
Masquer les bits dans les données de paquet à mettre en correspondance |
|
|
Point de départ à faire correspondre dans le paquet |
|
|
Données/chaîne de valeur à mettre en correspondance |
|
|
|
Longueur des données à apparier en bits (0..32) |
|
Décalage binaire après le décalage (match-start + octet) (0..7) |
|
|
Décalage d’octets après le point de départ de la correspondance |
|
|
Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini |
|
|
Point de départ à faire correspondre dans le paquet |
|
|
Plage de valeurs à faire correspondre |
|
|
Ne correspond pas à cette plage de valeurs |
|
|
Classe de transfert. Spécifiez |
|
|
Ne pas correspondre sur la classe de transfert. Spécifiez |
|
|
Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces spécifié ou à l’ensemble de groupes d’interfaces. Pour Pour affecter une interface logique à un groupe REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, reportez-vous à la section Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces. |
|
|
Ne faites pas correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, voir la condition de REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. |
|
|
(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN fournisseur (la seule balise dans une trame à balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers Comparer avec la condition de REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE :
Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320. |
|
|
(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité VLAN appris IEEE 802.1p. Pour plus de détails, voir la condition de REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE :
Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320. |
|
|
Niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et les routeurs et commutateurs EX Series et MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) Enhanced II et des commutateurs EX Series, vous devez inclure l’instruction au niveau de la Pour plus d’informations sur l’instruction, reportez-vous à la |
|
|
Ne correspond pas au niveau de priorité de perte de paquets. Spécifiez un ou plusieurs niveaux : REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance. |
|
|
(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité utilisateur IEEE 802.1p dans la balise VLAN client (la balise interne dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers Comparer avec la condition de REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE :
Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320. |
|
|
(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité utilisateur IEEE 802.1p. Pour plus de détails, voir la condition de REMARQUE :
Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE :
Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320. |