Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Condiciones de coincidencia de filtro de firewall para tráfico CCC de capa 2

Puede configurar un filtro de firewall con condiciones de coincidencia para el tráficofamily ccc de conexión cruzada de circuito de capa 2 (CCC).

Las siguientes restricciones se aplican a los filtros de firewall para el tráfico CCC de capa 2:

  • Las input-list filter-names instrucciones y output-list filter-names para los filtros de firewall de la ccc familia de protocolos se admiten en todas las interfaces, a excepción de las interfaces de administración y las interfaces Ethernet internas (fxp o em0), las interfaces de circuito cerrado (lo0) y las interfaces de módem USB (umd).

  • Solo en enrutadores serie MX y conmutadores de la serie EX, no puede aplicar un filtro de firewall sin estado CCC de capa 2 (un filtro de firewall configurado en el [edit firewall filter family ccc] nivel de jerarquía) como filtro de salida. En enrutadores serie MX y conmutadores de la serie EX, los filtros de firewall configurados para la family ccc instrucción solo se pueden aplicar como filtros de entrada.

Tabla 1 describe el match-conditions que puede configurar en el [edit firewall family ccc filter filter-name term term-name from] nivel de jerarquía.

Tabla 1: Condiciones de coincidencia de filtro de firewall para tráfico CCC de capa 2

Condición de coincidencia

Descripción

apply-groups

Especifique de qué grupos heredará los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos en orden de prioridad de la herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos en grupos posteriores.

apply-groups-except

Especifique de qué grupos no se heredan los datos de configuración. Puede especificar más de un nombre de grupo.

destination-mac-address address

(Solo enrutadores serie MX y conmutadores serie EX) Haga coincidir la dirección de control de acceso de medios de destino (MAC) de un paquete de servicio LAN privado virtual (VPLS).

Para que los paquetes se evalúen correctamente según esta condición de coincidencia cuando se apliquen al tráfico de salida que fluye a través de un circuito CCC desde una interfaz lógica en una DPC de chip I en una instancia de enrutamiento de red privada virtual (VPN) de capa 2, debe realizar un cambio de configuración en la instancia de enrutamiento VPN de capa 2. Debe deshabilitar explícitamente el uso de una palabra de control para el tráfico que fluye a través de un circuito de capa 2. El uso de una palabra de control está habilitado de forma predeterminada para las instancias de enrutamiento VPN de capa 2 para admitir la encapsulación de circuito virtual emulado (VC) para circuitos de capa 2.

Para deshabilitar explícitamente el uso de una palabra de control para VPN de capa 2, incluya la no-control-word instrucción en cualquiera de los siguientes niveles jerárquicos:

  • [edit routing-instances routing-instance-name protocols l2vpn]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

Para obtener más información, consulte Deshabilitar la palabra de control para VPN de capa 2.

flexible-match-mask value

bit-length

Longitud de los datos que se deben hacer coincidir en bits, no es necesario para la entrada de cadena (0..128)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desfase de bytes después del punto de inicio de la coincidencia

flexible-mask-name

Seleccione una coincidencia flexible en el campo de plantilla predefinido

mask-in-hex

Enmascarar bits en los datos del paquete para que coincidan

match-start

Punto de inicio para coincidir en paquete

prefix

Datos/cadena de valor que se deben hacer coincidir

flexible-match-range value

bit-length

Longitud de los datos que se van a coincidir en bits (0..32)

bit-offset

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

byte-offset

Desfase de bytes después del punto de inicio de la coincidencia

flexible-range-name

Seleccione una coincidencia flexible en el campo de plantilla predefinido

match-start

Punto de inicio para coincidir en paquete

range

Rango de valores que se deben hacer coincidir

range-except

No coincida con este rango de valores

forwarding-class class

Clase de reenvío. Especifique assured-forwarding, best-effort, , expedited-forwardingo network-control.

forwarding-class-except class

No coincida en la clase de reenvío. Especifique assured-forwarding, best-effort, , expedited-forwardingo network-control.

interface-group group-number

Haga coincidir la interfaz lógica en la que se recibió el paquete al grupo de interfaces especificado o al conjunto de grupos de interfaces. Para group-number, especifique un valor único o un intervalo de valores desde 0 hasta 255.

Para asignar una interfaz lógica a un grupo de interfaces group-number, especifique la group-number en el [interfaces interface-name unit number family family filter group] nivel jerárquico.

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

Para obtener más información, consulte Filtrado de paquetes recibidos en un conjunto de descripción general de grupos de interfaces.

interface-group-except number

No coincida con la interfaz lógica en la que se recibió el paquete al grupo de interfaces especificado o al conjunto de grupos de interfaces. Para obtener más información, consulte la condición de interface-group coincidencia.

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

learn-vlan-1p-priority number

(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) Haga coincidir en los bits de prioridad vlan aprendidos IEEE 802.1p en la etiqueta VLAN del proveedor (la única etiqueta en una trama de etiqueta única con etiquetas VLAN 802.1Q o la etiqueta externa en una trama de etiqueta doble con etiquetas VLAN 802.1Q). Especifique un valor único o varios valores desde 0 hasta 7.

Compare con la condición de user-vlan-1p-priority coincidencia.

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

Nota:

Esta condición de coincidencia admite la presencia de una palabra de control para enrutadores serie MX y M320.

learn-vlan-1p-priority-except number

(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) No haga coincidir en los bits de prioridad de VLAN aprendidos IEEE 802.1p. Para obtener más información, consulte la condición de learn-vlan-1p-priority coincidencia.

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

Nota:

Esta condición de coincidencia admite la presencia de una palabra de control para enrutadores serie MX y M320.

loss-priority level

Nivel de prioridad de pérdida de paquetes (PLP). Especifique un solo nivel o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con cfeb mejorado (CFEB-E); y enrutadores serie MX y conmutadores de la serie EX.

Para el tráfico IP en enrutadores de las series M320, MX y T con concentradores de PIC flexibles (FPC) mejorados II y conmutadores serie EX, debe incluir la tri-color instrucción en el [edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener información acerca de la tri-color instrucción, consulte Configurar y aplicar policías de marcado tricolor. Para obtener información sobre el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.

loss-priority-except level

No coincida en el nivel de prioridad de pérdida de paquetes. Especifique un solo nivel o varios niveles: low, medium-low, medium-high, o high.

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.

user-vlan-1p-priority number

(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) Haga coincidir los bits de prioridad del usuario IEEE 802.1p en la etiqueta VLAN del cliente (la etiqueta interna en una trama de etiqueta dual con etiquetas VLAN 802.1Q). Especifique un valor único o varios valores desde 0 hasta 7.

Compare con la condición de learn-vlan-1p-priority coincidencia.

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

Nota:

Esta condición de coincidencia admite la presencia de una palabra de control para enrutadores serie MX y M320.

user-vlan-1p-priority-except number

(Solo enrutadores serie MX, enrutador M320 y conmutadores serie EX) No haga coincidir en los bits de prioridad del usuario IEEE 802.1p. Para obtener más información, consulte la condición de user-vlan-1p-priority coincidencia.

Nota:

Esta condición de coincidencia no se admite en enrutadores de transporte de paquetes serie PTX.

Nota:

Esta condición de coincidencia admite la presencia de una palabra de control para enrutadores serie MX y M320.