第 2 层 CCC 流量的防火墙过滤器匹配条件

您可以为第 2 层电路交叉连接（CCC）流量配置具有匹配条件的防火墙过滤器（）。family ccc

以下限制适用于第 2 层 CCC 流量的防火墙过滤器：

除管理接口和内部以太网接口（或）、环路接口（）和 USB 调制解调器接口（）外，所有接口都支持协议系列防火墙过滤器的 and 语句。input-list filter-namesoutput-list filter-namescccfxpem0lo0umd
只能在 MX 系列路由器和 EX 系列交换机上，不能将第 2 层 CCC 无状态防火墙过滤器（在层次结构级别配置的防火墙过滤器）应用为输出过滤器。[edit firewall filter family ccc] 在 MX 系列路由器和 EX 系列交换机上，为语句配置的防火墙过滤器只能用作输入过滤器。family ccc

介绍了可以在层次结构级别配置的。表 1match-conditions[edit firewall family ccc filter filter-name term term-name from]

表 1：第 2 层 CCC 流量的防火墙过滤器匹配条件
匹配条件	Description
`apply-groups`	指定要从中继承配置数据的组。可以指定多个组名。必须按继承优先级顺序列出它们。第一组中的配置数据优先于后续组中的数据。
`apply-groups-except`	指定不从中继承配置数据的组。可以指定多个组名。
`destination-mac-address address`	（仅限 MX 系列路由器和 EX 系列交换机）匹配虚拟专用 LAN 服务（VPLS）数据包的目标媒体访问控制（MAC）地址。当应用于从第 2 层虚拟专用网络（VPN）路由实例中 I-chip DPC 上的逻辑接口流经 CCC 电路的出口流量时，要通过此匹配条件正确评估数据包，必须对第 2 层 VPN 路由实例进行配置更改。您必须明确禁用对流出第 2 层电路的流量使用控制字。默认情况下，第 2 层 VPN 路由实例启用控制字，以支持第 2 层电路的模拟虚拟电路（VC）封装。要明确禁止对第 2 层 VPN 使用控制字，请在以下任一层级包含该语句：`no-control-word` `[edit routing-instances routing-instance-name protocols l2vpn]` `[edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]` 注： PTX 系列数据包传输路由器不支持此匹配条件。有关更多信息，请参阅禁用第 2 层 VPN 的控制字。Disabling the Control Word for Layer 2 VPNs
`flexible-match-mask` `value`	`bit-length`	要匹配的数据长度（以位为单位），字符串输入不需要（0..128）
	`bit-offset`	（匹配开始 + 字节）偏移量（0..7）之后的位偏移量
	`byte-offset`	比赛起点之后的字节偏移量
	`flexible-mask-name`	从预定义的模板字段中选择灵活匹配
	`mask-in-hex`	屏蔽数据包数据中要匹配的位
	`match-start`	数据包中匹配的起点
	`prefix`	要匹配的值数据/字符串
`flexible-match-range` `value`	`bit-length`	要匹配的数据长度（以位为单位）（0..32）
	`bit-offset`	（匹配开始 + 字节）偏移量（0..7）之后的位偏移量
	`byte-offset`	比赛起点之后的字节偏移量
	`flexible-range-name`	从预定义的模板字段中选择灵活匹配
	`match-start`	数据包中匹配的起点
	`range`	要匹配的值范围
	`range-except`	不匹配此值范围
`forwarding-class class`	转发类。指定、、或。`assured-forwardingbest-effortexpedited-forwardingnetwork-control`
`forwarding-class-except class`	在转发类上不匹配。指定、、或。`assured-forwardingbest-effortexpedited-forwardingnetwork-control`
`interface-group group-number`	将接收数据包的逻辑接口与指定的接口组或接口组进行匹配。对于，指定单个值或从到的值范围。`group-number0255` 要将逻辑接口分配给接口组，请在层次结构级别指定。`group-numbergroup-number[interfaces interface-name unit number family family filter group]` 注： PTX 系列数据包传输路由器不支持此匹配条件。有关更多详细信息，请参阅过滤一组接口组上收到的数据包概述。
`interface-group-except number`	不要将接收数据包的逻辑接口与指定的接口组或接口组匹配。有关详细信息，请参阅匹配条件。`interface-group` 注： PTX 系列数据包传输路由器不支持此匹配条件。
`learn-vlan-1p-priority number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）匹配提供商 VLAN 标记（具有 802.1Q VLAN 标记的单标记帧中的唯一标记或具有 802.1Q VLAN 标记的双标记帧中的外部标记）中的 IEEE 802.1p 获知的 VLAN 优先级位。指定中的单个值或多个值。`07` 与匹配条件进行比较。`user-vlan-1p-priority` 注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。
`learn-vlan-1p-priority-except number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）在 IEEE 802.1p 获知的 VLAN 优先级位上不匹配。有关详细信息，请参阅匹配条件。`learn-vlan-1p-priority` 注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。
`loss-priority level`	数据包丢失优先级（PLP）级别。指定单个级别或多个级别：、、或。`lowmedium-lowmedium-highhigh` 在 M120 和 M320 路由器上受支持;采用增强型 CFEB （CFEB-E）的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。对于配备增强型 II 灵活 PIC 集中器（FPC）和 EX 系列交换机的 M320、MX 系列和 T 系列路由器上的 IP 流量，必须在层次结构级别包含语句，才能提交具有指定四个级别中的任何一个的 PLP 配置。`tri-color[edit class-of-service]` 如果未启用该语句，则只能配置和级别。`tri-colorhighlow` 这适用于所有协议家族。有关该语句的信息，请参阅配置和应用 Tricolor 标记监管器。`tri-color`Configuring and Applying Tricolor Marking Policers 有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解转发类如何将类分配给输出队列。Understanding How Forwarding Classes Assign Classes to Output Queues
`loss-priority-except level`	在丢包优先级上不匹配。指定单个级别或多个级别：、、或。`lowmedium-lowmedium-highhigh` 注： PTX 系列数据包传输路由器不支持此匹配条件。有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解行为聚合分类器如何确定可信流量的优先级。Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic
`user-vlan-1p-priority number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）匹配客户 VLAN 标记（具有 802.1Q VLAN 标记的双标记帧中的内部标记）中的 IEEE 802.1p 用户优先级位。指定中的单个值或多个值。`07` 与匹配条件进行比较。`learn-vlan-1p-priority` 注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。
`user-vlan-1p-priority-except number`	（仅限 MX 系列路由器、M320 路由器和 EX 系列交换机）在 IEEE 802.1p 用户优先级位上不匹配。有关详细信息，请参阅匹配条件。`user-vlan-1p-priority` 注： PTX 系列数据包传输路由器不支持此匹配条件。注：此匹配条件支持 MX 系列和 M320 路由器存在控制字。

第 2 层 CCC 流量的防火墙过滤器匹配条件

相关主题