Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic CCC (circuit cross-connect) de couche 2 (family ccc).

Les restrictions suivantes s’appliquent aux filtres de pare-feu pour le trafic CCC de couche 2 :

Les input-list filter-names déclarations et output-list filter-names les déclarations des filtres de pare-feu pour la ccc famille de protocoles sont prises en charge sur toutes les interfaces, à l’exception des interfaces de gestion et des interfaces Ethernet internes (fxp ou em0), des interfaces de bouclage (lo0) et des interfaces modem USB (umd).
Uniquement sur les routeurs MX Series et les commutateurs EX Series, vous ne pouvez pas appliquer un filtre de pare-feu sans état CCC de couche 2 (un filtre de pare-feu configuré au niveau de la [edit firewall filter family ccc] hiérarchie) en tant que filtre de sortie. Sur les routeurs MX Series et les commutateurs EX Series, les filtres de pare-feu configurés pour l’instruction family ccc ne peuvent être appliqués qu’en tant que filtres d’entrée.

Tableau 1 décrit les match-conditions paramètres que vous pouvez configurer au niveau de la [edit firewall family ccc filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2
Condition de correspondance	Description
`apply-groups`	Spécifiez les groupes dont les données de configuration doivent être héritées. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe ont la priorité sur les données des groupes suivants.
`apply-groups-except`	Spécifiez les groupes dont les données de configuration ne doivent pas hériter. Vous pouvez spécifier plusieurs noms de groupe.
`destination-mac-address address`	(routeurs MX Series et commutateurs EX Series uniquement) Correspond à l’adresse MAC (Destination Media Access Control) d’un paquet VPLS (Virtual Private LAN Service). Pour que les paquets soient correctement évalués par cette condition de correspondance lorsqu’ils sont appliqués au trafic sortant sur un circuit CCC à partir d’une interface logique sur une DPC I-chip dans une instance de routage VPN de couche 2, vous devez modifier la configuration de l’instance de routage VPN de couche 2. Vous devez désactiver explicitement l’utilisation d’un mot de contrôle pour le trafic circulant sur un circuit de couche 2. L’utilisation d’un mot de contrôle est activée par défaut pour les instances de routage VPN de couche 2 afin de prendre en charge l’encapsulation de circuit virtuel émulé (VC) pour les circuits de couche 2. Pour désactiver explicitement l’utilisation d’un mot de contrôle pour les VPN de couche 2, incluez l’instruction à l’un `no-control-word` des niveaux hiérarchiques suivants : `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, voir Désactiver control word pour les VPN de couche 2.
`flexible-match-mask` `value`	`bit-length`	Longueur des données à correspondre en bits, non nécessaire pour l’entrée de chaîne (0..128)
	`bit-offset`	Bit offset après le décalage (match-start + octet) offset (0..7)
	`byte-offset`	Décalage d’octet après le point de départ de la correspondance
	`flexible-mask-name`	Sélectionnez une correspondance flexible dans le champ de modèle prédéfini
	`mask-in-hex`	Masquer les bits dans les données de paquets à correspondre
	`match-start`	Point de départ correspondant dans le paquet
	`prefix`	Données de valeur/chaîne à apparier
`flexible-match-range` `value`	`bit-length`	Longueur des données à apparier en bits (0..32)
	`bit-offset`	Bit offset après le décalage (match-start + octet) offset (0..7)
	`byte-offset`	Décalage d’octet après le point de départ de la correspondance
	`flexible-range-name`	Sélectionnez une correspondance flexible dans le champ de modèle prédéfini
	`match-start`	Point de départ correspondant dans le paquet
	`range`	Plage de valeurs à correspondre
	`range-except`	Ne pas correspondre à cette plage de valeurs
`forwarding-class class`	Classe de transfert. Spécifiez `assured-forwarding`, `best-effort`ou `expedited-forwardingnetwork-control`.
`forwarding-class-except class`	Ne correspondez pas à la classe de transfert. Spécifiez `assured-forwarding`, `best-effort`ou `expedited-forwardingnetwork-control`.
`interface-group group-number`	Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour `group-number`, spécifiez une seule valeur ou une plage de valeurs de `0` jusqu’à `255`. Pour attribuer une interface logique à un groupe `group-number`d’interfaces , spécifiez le `group-number` au niveau de la `[interfaces interface-name unit number family family filter group]` hiérarchie. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, reportez-vous à la section Présentation des paquets de filtrage reçus sur un ensemble de groupes d’interface.
`interface-group-except number`	Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, consultez l’état des `interface-group` correspondances. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.
`learn-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondez sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN du fournisseur (la seule balise dans une trame de balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec les balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs à partir de `0` .`7` Comparez avec la condition de `user-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.
`learn-vlan-1p-priority-except number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne correspondez pas aux bits de priorité VLAN appris IEEE 802.1p. Pour plus de détails, consultez l’état des `learn-vlan-1p-priority` correspondances. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.
`loss-priority level`	Niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, `medium-low`, `medium-high`ou `high`. Compatible avec les routeurs M120 et M320 ; M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E) ; et les routeurs MX Series et les commutateurs EX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series équipés de concentrateurs PIC flexibles (FPC) et de commutateurs EX Series, vous devez inclure l’instruction `tri-color` au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction `tri-color` n’est pas activée, vous pouvez uniquement configurer les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction `tri-color` , voir Configuration et application de polices de marquage tricolore. Pour plus d’informations sur l’utilisation de classificateurs BA (Behavior Aggregate) pour définir le niveau PLP des paquets entrants, consultez la section Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie.
`loss-priority-except level`	Ne correspondez pas au niveau de priorité de perte de paquets. Spécifiez un ou plusieurs niveaux : `low`, `medium-low`, `medium-high`ou `high`. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez la section Comprendre comment les classificateurs agrégés de comportement hiérarchisent le trafic fiable.
`user-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité utilisateur IEEE 802.1p dans la balise VLAN client (balise interne dans une trame à double balise avec balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs à partir de `0` .`7` Comparez avec la condition de `learn-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.
`user-vlan-1p-priority-except number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne correspondez pas aux bits de priorité utilisateur IEEE 802.1p. Pour plus de détails, consultez l’état des `user-vlan-1p-priority` correspondances. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.

Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2

Rubriques connexes