Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic CCC (connexion croisée de circuit de couche 2) (family ccc).

Les restrictions suivantes s’appliquent aux filtres de pare-feu pour le trafic CCC de couche 2 :

Les input-list filter-names instructions et pour les filtres de pare-feu de la ccc famille de protocoles sont prises en charge sur toutes les interfaces, à l’exception des interfaces de gestion et des interfaces Ethernet internes ( ou em0), des interfaces de bouclage () et output-list filter-names des interfaces de modem USB (lo0fxpumd).
Uniquement sur les routeurs MX Series et les commutateurs EX Series, vous ne pouvez pas appliquer un filtre de pare-feu sans état CCC de couche 2 (un filtre de pare-feu configuré au niveau de la [edit firewall filter family ccc] hiérarchie) comme filtre de sortie. Sur les routeurs MX Series et les commutateurs EX Series, les filtres de pare-feu configurés pour l’instruction peuvent être appliqués uniquement en tant que filtres d’entrée family ccc .

Tableau 1 décrit ce que match-conditions vous pouvez configurer au niveau de la [edit firewall family ccc filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2
Condition de correspondance	Description
`apply-groups`	Spécifiez les groupes dont vous souhaitez hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe sont prioritaires sur les données des groupes suivants.
`apply-groups-except`	Spécifiez les groupes dont vous ne souhaitez pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.
`destination-mac-address address`	(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre l’adresse MAC (Media Access Control) de destination d’un paquet VPLS (Virtual Private LAN Service). Pour que les paquets soient correctement évalués par cette condition de correspondance lorsqu’elle est appliquée au trafic sortant circulant sur un circuit CCC à partir d’une interface logique sur un DPC à puce I dans une instance de routage VPN (réseau privé virtuel (VPN) de couche 2, vous devez apporter une modification de configuration à l’instance de routage VPN de couche 2. Vous devez désactiver explicitement l’utilisation d’un mot de contrôle pour le trafic circulant sur un circuit de couche 2. L’utilisation d’un mot de contrôle est activée par défaut pour les instances de routage VPN de couche 2 afin de prendre en charge l’encapsulation de circuit virtuel (VC) émulé pour les circuits de couche 2. Pour désactiver explicitement l’utilisation d’un mot de contrôle pour les VPN de couche 2, incluez l’instruction à l’un `no-control-word` des niveaux hiérarchiques suivants : `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, consultez Désactivation du mot de contrôle pour les VPN de couche 2.
`flexible-match-mask` `value`	`bit-length`	Longueur des données à mettre en correspondance en bits, non nécessaire pour l’entrée de chaîne (0..128)
	`bit-offset`	Décalage binaire après le décalage (match-start + octet) (0..7)
	`byte-offset`	Décalage d’octets après le point de départ de la correspondance
	`flexible-mask-name`	Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini
	`mask-in-hex`	Masquer les bits dans les données de paquet à mettre en correspondance
	`match-start`	Point de départ à faire correspondre dans le paquet
	`prefix`	Données/chaîne de valeur à mettre en correspondance
`flexible-match-range` `value`	`bit-length`	Longueur des données à apparier en bits (0..32)
	`bit-offset`	Décalage binaire après le décalage (match-start + octet) (0..7)
	`byte-offset`	Décalage d’octets après le point de départ de la correspondance
	`flexible-range-name`	Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini
	`match-start`	Point de départ à faire correspondre dans le paquet
	`range`	Plage de valeurs à faire correspondre
	`range-except`	Ne correspond pas à cette plage de valeurs
`forwarding-class class`	Classe de transfert. Spécifiez `assured-forwarding`, , `expedited-forwardingbest-effort`, ou `network-control`.
`forwarding-class-except class`	Ne pas correspondre sur la classe de transfert. Spécifiez `assured-forwarding`, , `expedited-forwardingbest-effort`, ou `network-control`.
`interface-group group-number`	Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces spécifié ou à l’ensemble de groupes d’interfaces. Pour `group-number`, spécifiez une valeur unique ou une plage de valeurs comprise entre `0` .`255` Pour affecter une interface logique à un groupe `group-number`d’interfaces, spécifiez le au niveau de `group-number` la `[interfaces interface-name unit number family family filter group]` hiérarchie. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, reportez-vous à la section Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.
`interface-group-except number`	Ne faites pas correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, voir la condition de `interface-group` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.
`learn-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN fournisseur (la seule balise dans une trame à balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers `0` .`7` Comparer avec la condition de `user-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.
`learn-vlan-1p-priority-except number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité VLAN appris IEEE 802.1p. Pour plus de détails, voir la condition de `learn-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.
`loss-priority level`	Niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, , `medium-lowmedium-high`, ou `high`. Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et les routeurs et commutateurs EX Series et MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) Enhanced II et des commutateurs EX Series, vous devez inclure l’instruction au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un `tri-color` des quatre niveaux spécifiés. Si l’instruction n’est `tri-color` pas activée, vous ne pouvez configurer que les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction, reportez-vous à la `tri-color`section Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.
`loss-priority-except level`	Ne correspond pas au niveau de priorité de perte de paquets. Spécifiez un ou plusieurs niveaux : `low`, , `medium-lowmedium-high`, ou `high`. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance.
`user-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité utilisateur IEEE 802.1p dans la balise VLAN client (la balise interne dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers `0` .`7` Comparer avec la condition de `learn-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.
`user-vlan-1p-priority-except number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité utilisateur IEEE 802.1p. Pour plus de détails, voir la condition de `user-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et M320.

Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2

Rubriques connexes