Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2

Puede configurar un filtro de firewall con condiciones de coincidencia para el tráfico de conexión cruzada de circuitos (CCC) de capa 2 (family ccc).

Se aplican las siguientes restricciones a los filtros de firewall para el tráfico CCC de capa 2:

Las input-list filter-names instrucciones y output-list filter-names de los filtros de firewall de la ccc familia de protocolos se admiten en todas las interfaces, excepto en las interfaces de administración y las interfaces Ethernet internas (fxp o em0), las interfaces de circuito cerrado (lo0) y las interfaces de módem USB (umd).
Solo en enrutadores serie MX y conmutadores serie EX, no puede aplicar un filtro de firewall sin estado CCC de capa 2 (un filtro de firewall configurado en el nivel de [edit firewall filter family ccc] jerarquía) como filtro de salida. En los enrutadores serie MX y conmutadores serie EX, los filtros de firewall configurados para la family ccc instrucción solo se pueden aplicar como filtros de entrada.

Tabla 1 Describe cómo match-conditions se puede configurar en el nivel jerárquico [edit firewall family ccc filter filter-name term term-name from] .

Tabla 1: Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2
Condición de coincidencia	Description
`apply-groups`	Especifique de qué grupos desea heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos en orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos siguientes.
`apply-groups-except`	Especifique de qué grupos no desea heredar los datos de configuración. Puede especificar más de un nombre de grupo.
`destination-mac-address address`	(Solo enrutadores serie MX y conmutadores serie EX) Coincidir con la dirección MAC (Media Access Control) de destino de un paquete de servicio LAN privada virtual (VPLS). Para que los paquetes se evalúen correctamente mediante esta condición de coincidencia cuando se aplica al tráfico de salida que fluye a través de un circuito CCC desde una interfaz lógica en un DPC de chip I en una instancia de enrutamiento de red privada virtual (VPN) de capa 2, debe realizar un cambio de configuración en la instancia de enrutamiento VPN de capa 2. Debe deshabilitar explícitamente el uso de una palabra de control para el tráfico que fluye a través de un circuito de capa 2. El uso de una palabra de control está habilitado de forma predeterminada para las instancias de enrutamiento VPN de capa 2 para admitir la encapsulación de circuito virtual emulado (VC) para circuitos de capa 2. Para deshabilitar explícitamente el uso de una palabra de control para VPN de capa 2, incluya la `no-control-word` instrucción en cualquiera de los siguientes niveles de jerarquía: `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Para obtener más información, consulte Deshabilitar la palabra de control para VPN de capa 2.
`flexible-match-mask` `value`	`bit-length`	Longitud de los datos que deben coincidir en bits, no necesaria para la entrada de cadena (0..128)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)
	`byte-offset`	Desplazamiento de bytes después del punto de inicio de la coincidencia
	`flexible-mask-name`	Seleccione una coincidencia flexible del campo de plantilla predefinido
	`mask-in-hex`	Enmascarar bits en los datos del paquete para que coincidan
	`match-start`	Punto de inicio para que coincida en el paquete
	`prefix`	Datos de valor/cadena que deben coincidir
`flexible-match-range` `value`	`bit-length`	Longitud de los datos que deben coincidir en bits (0..32)
	`bit-offset`	Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)
	`byte-offset`	Desplazamiento de bytes después del punto de inicio de la coincidencia
	`flexible-range-name`	Seleccione una coincidencia flexible del campo de plantilla predefinido
	`match-start`	Punto de inicio para que coincida en el paquete
	`range`	Intervalo de valores que deben coincidir
	`range-except`	No coinciden con este rango de valores
`forwarding-class class`	Clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`, o `network-control`.
`forwarding-class-except class`	No coincida en la clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`, o `network-control`.
`interface-group group-number`	Haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para `group-number`, especifique un único valor o un intervalo de valores de `0` a .`255` Para asignar una interfaz lógica a un grupo `group-number`de interfaces , especifique el `group-number` en el nivel de `[interfaces interface-name unit number family family filter group]` jerarquía. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces.
`interface-group-except number`	No hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaces especificado o un conjunto de grupos de interfaz. Para obtener más información, consulte la condición de `interface-group` coincidencia. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX.
`learn-vlan-1p-priority number`	(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) Coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de doble etiqueta con etiquetas VLAN 802.1Q). Especifique uno o varios valores desde `0` .`7` Comparar con la condición de `user-vlan-1p-priority` coincidencia. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Nota: Esta condición de coincidencia admite la presencia de una palabra de control para los enrutadores serie MX y M320.
`learn-vlan-1p-priority-except number`	(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) No coincida en los bits de prioridad de VLAN aprendidos IEEE 802.1p. Para obtener más información, consulte la condición de `learn-vlan-1p-priority` coincidencia. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Nota: Esta condición de coincidencia admite la presencia de una palabra de control para los enrutadores serie MX y M320.
`loss-priority level`	Nivel de prioridad de pérdida de paquetes (PLP). Especifique uno o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores serie MX y conmutadores serie EX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) II mejorados y conmutadores serie EX, debe incluir la `tri-color` instrucción en el `[edit class-of-service]` nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la `tri-color` instrucción no está habilitada, sólo podrá configurar los `high` niveles y `low` . Esto se aplica a todas las familias de protocolos. Para obtener información acerca de la `tri-color` instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.
`loss-priority-except level`	No coincida en el nivel de prioridad de pérdida de paquetes. Especifique uno o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza.
`user-vlan-1p-priority number`	(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) Coincidir en los bits de prioridad de usuario IEEE 802.1p en la etiqueta VLAN del cliente (la etiqueta interna en una trama de etiqueta doble con etiquetas VLAN 802.1Q). Especifique uno o varios valores desde `0` .`7` Comparar con la condición de `learn-vlan-1p-priority` coincidencia. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Nota: Esta condición de coincidencia admite la presencia de una palabra de control para los enrutadores serie MX y M320.
`user-vlan-1p-priority-except number`	(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) No coincida en los bits de prioridad de usuario IEEE 802.1p. Para obtener más información, consulte la condición de `user-vlan-1p-priority` coincidencia. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Nota: Esta condición de coincidencia admite la presencia de una palabra de control para los enrutadores serie MX y M320.

Nota:

Para las coincidencias flexible-match-mask y flexible-match-range la capa 4 de inicio de coincidencia utilizada para hacer coincidir a través del encabezado IPV6 no funcionará para los filtros de la familia L2 como "puente, CCC, VPLS". En su lugar, utilice la capa 3 con el desplazamiento adecuado para que coincida con los campos de carga IPV6.

Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2

Temas relacionados