Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrar firewalls ações sem geração

Os filtros de firewall oferecem suporte a diferentes conjuntos de ações não sufocantes para cada família de protocolo, que incluem uma ação de aceitação implícita. Nesse contexto, a não administração significa que outras ações podem seguir essas ações, enquanto nenhuma outra ação pode seguir uma ação terminante . Como tal, você não pode configurar a ação next term com uma ação terminante no mesmo termo de filtro. Você pode, no entanto, configurar a ação next term com outra ação não sufocante no mesmo termo do filtro.

Nota:

No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

Tabela 1 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall.

Tabela 1: Ações sem acordo para filtros de firewall

Ação sem acordo

Descrição

Famílias de protocolo

bgp-output-queue-priority priority (expedited | (1-16))

Atribua o pacote a uma das 17 filas de saída BGP priorizadas.

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

Conte o pacote no balcão nomeado.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

Configure o valor do bit não fragmentado (bandeira) no cabeçalho IPv4 para especificar se o programa de dados pode ser fragmentado:

  • set— Altere o valor da bandeira para um, impedindo a fragmentação.

  • clear— Altere o valor da bandeira para zero, permitindo a fragmentação.

Nota:

As dont-fragment (set | clear) ações são apoiadas apenas em MPCs.

family inet

dscp value

Defina o bit de ponto de código de serviços diferenciados (DSCP) IPv4. Você pode especificar um valor numérico de 0 até 63. Para especificar o valor na forma hexadadecimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

O valor DSCP padrão é be (o melhor esforço) ou 0.

Você também pode especificar um dos seguintes sínodos de texto:

  • af11— Encaminhamento garantido classe 1, precedência de baixa queda (1)

  • af12— Prioridade de encaminhamento garantida de classe 1, precedência de queda média (2)

  • af13— Encaminhamento garantido classe 1, precedência de alta queda (3); e assim por diante af43, encaminhamento garantido classe 4, precedência de alta queda

  • be— Melhor esforço

  • cs0— Seletor de classe 0; e assim por diante cs7, seletor de classe 0

  • ef— Encaminhamento acelerado

Nota:

Essa ação não é compatível com roteadores da série PTX.

Nota:

As placas de linha MPC em execução em roteadores da série MX oferecem suporte a qualquer valor (de 0 a 63) em conjunto com a ação do filtro de set dscp firewall.

Nota:

As ações dscp 0 são dscp be suportadas apenas em roteadores T320, T640, T1600, TX Matrix, TX Matrix Plus e M320 e em concentradores de portas modulares Ethernet (MPC) de 10 Gigabits. No entanto, essas ações não são suportadas em Concentradores PIC Flexíveis (FPCs) aprimorados em roteadores M320. Nos roteadores T4000, a ação dscp 0 não é suportada durante a inter-operação entre um FPC T1600 Enhanced Scaling Tipo 4 e um FPC T4000 Tipo 5.

family inet

force-premium

Por padrão, um policial hierárquico processa o tráfego que recebe de acordo com a classe de encaminhamento do tráfego. O tráfego premium e rápido de encaminhamento tem prioridade para a largura de banda em tráfego agregado e de melhor esforço. O force-premium filtro garante que o tráfego correspondente ao termo seja tratado como tráfego premium por um policial hierárquico subsequente, independentemente de sua classe de encaminhamento. Esse tráfego é dado preferência sobre qualquer tráfego agregado recebido por esse policial.

Nota:

A opção force-premium de filtro é compatível apenas com MPCs.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

Classifique o pacote para a classe de encaminhamento nomeada:

  • nome de classe de encaminhamento

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

Policiar o pacote usando o policial hierárquico especificado

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

Use a associação de segurança IPsec especificada.

Nota:

Essa ação não é compatível com roteadores da Série MX, FPCs Tipo 5 em roteadores T4000 e roteadores de transporte de pacotes da Série PTX.

family inet

load-balance group-name

Use o grupo de balanceamento de carga especificado.

Nota:

Esta ação não é compatível com roteadores da Série MX ou roteadores de transporte de pacotes da Série PTX.

family inet

log

Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de Encaminhamento de Pacotes. Você pode acessar essas informações emitindo o show firewall log comando na interface de linha de comando (CLI).

Nota:

A ação de log das famílias de Camada 2 (L2) está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de log para famílias L2 é ignorada se configurada.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

Direcione pacotes para um sistema lógico específico.

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

Defina o nível de prioridade de perda de pacotes (PLP).

Você também não pode configurar a ação three-color-policer não sufocante para o mesmo termo de filtro de firewall. Essas duas ações não intermináveis são mutuamente exclusivas.

Essa ação é compatível com roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX.

Para tráfego IP em roteadores M320, Série MX e T com Concentradores PIC Flexíveis (FPCs) Aprimorados II, você deve incluir a tri-color declaração no nível de [edit class-of-service] hierarquia para comprometer uma configuração PLP com qualquer um dos quatro níveis especificados. Se a tri-color declaração não estiver ativada, você só poderá configurar os níveis e low os high níveis. Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a tri-color declaração e o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes recebidos, consulte Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

Use o grupo de next-hop especificado.

Recomendamos que você não use a ação next-hop-group com o port-mirror-instance mesmo port-mirror filtro de firewall.

  • family any

  • family inet

next-interface interface-name

(Série MX) Direcione pacotes para a interface de saída especificada.

  • family inet

  • family inet6

next-ip ip-address

(Série MX) Direcione pacotes para o endereço IPv4 de destino especificado.

family inet

next-ip6 ipv6-address

(Série MX) Direcione pacotes para o endereço IPv6 de destino especificado.

family inet6

packet-mode

Atualiza um pouco o campo no buffer de chave de pacote, que especifica o tráfego que burlará o encaminhamento baseado em fluxo. Os pacotes com o packet-mode modificador de ação seguem o caminho de encaminhamento baseado em pacotes e contornam completamente o encaminhamento baseado em fluxo. Aplica-se apenas a dispositivos SRX100, SRX210, SRX220, SRX240 e SRX650. Para obter mais informações sobre serviços seletivos baseados em pacotes sem estado, consulte o Junos OS Security Configuration Guide.

family any

policer policer-name

Nome do policiador para usar para limitar o tráfego.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(Série MX) Nome do mapa de políticas usado para atribuir regras específicas de reescrita a um cliente específico.

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

Espelhar o pacote com base na família especificada. Essa ação é compatível com roteadores M120, roteadores M320 configurados apenas com FPCs Enhanced III, roteadores da Série MX e roteadores de transporte de pacotes da Série PTX.

Recomendamos que você não use as ações e port-mirror as next-hop-group ações no mesmo filtro de firewall.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

Espelhar uma porta de um pacote, por exemplo. Essa ação é compatível apenas com os roteadores da Série MX.

Recomendamos que você não use as ações e port-mirror-instance as next-hop-group ações no mesmo filtro de firewall.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

Conte ou pacotes policiais com base no nome de ação especificado.

Nota:

Esta ação não é compatível com roteadores de transporte de pacotes da Série PTX.

family inet

routing-instance routing-instance-name

Direcione pacotes para a instância de roteamento especificada.

  • family inet

  • family inet6

sample

Experimente o pacote.

Nota:

O Junos OS não amostra pacotes originados do roteador. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface são amostrados. Os pacotes enviados do Mecanismo de Roteamento ao Mecanismo de Encaminhamento de Pacotes não são amostrados.

  • family inet

  • family inet6

  • family mpls

service-accounting

Use o mecanismo de contagem em linha ao capturar estatísticas de assinantes por serviço.

Conte o pacote para contabilidade de serviços. A contagem é aplicada a um contador nomeado específico (__junos-dyn-service-counter) que o RADIUS pode obter.

service-accounting-deferred As service-accounting palavras-chave são mutuamente exclusivas, tanto por termo quanto por filtro.

Nota:

Esta ação não é compatível com OSPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.

  • family any

  • family inet

  • family inet6

service-accounting- deferred

Use o mecanismo de contagem diferida ao capturar estatísticas de assinantes por serviço. A contagem é aplicada a um contador nomeado específico (__junos-dyn-service-counter) que o RADIUS pode obter.

service-accounting-deferred As service-accounting palavras-chave são mutuamente exclusivas, tanto por termo quanto por filtro.

Nota:

Esta ação não é compatível com OSPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.

  • family any

  • family inet

  • family inet6

service-filter-hit

(Somente se a service-filter-hit bandeira for marcada por um filtro anterior no tipo atual de filtros encadeados) Direcione o pacote para o próximo tipo de filtros.

Indique aos filtros subsequentes na cadeia que o pacote já foi processado. Essa ação, juntamente com a service-filter-hit condição de correspondência no recebimento de filtros, ajuda a simplificar o processamento de filtros.

Nota:

Esta ação não é compatível com OSPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.

  • family any

  • family inet

  • family inet6

syslog

Registre o pacote no arquivo de log do sistema.

A ação de firewall de syslog para famílias e inet6 existentesinet, e a ação syslog em filtros da família L2 inclui as seguintes informações L2:

Interface de entrada, ação, VLAN ID1, VLAN ID2, tipo Ethernet, endereços MAC de origem e destino, protocolo, endereços IP de origem e destino, portas de origem e destino, e o número de pacotes.

Nota:

A ação de syslog das famílias L2 está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de syslog para famílias L2 é ignorada se configurada.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

Policiar o pacote usando o policiador de três cores especificado de taxa única ou de duas categorias.

Nota:

Você também não pode configurar a ação loss-priority para o mesmo termo de filtro de firewall. Essas duas ações são mutuamente exclusivas.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

Especifique o ponto de código da classe de tráfego. Você pode especificar um valor numérico de 0 até 63. Para especificar o valor na forma hexadadecimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo.

O valor padrão da classe de tráfego é o melhor esforço, be ou 0seja.

No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto:

  • af11— Encaminhamento garantido de classe 1, precedência de baixa queda

  • af12— Precedência de encaminhamento garantida de classe 1, precedência de queda média

  • af13— Encaminhamento garantido de classe 1, precedência de alta queda

  • af21— Encaminhamento garantido de classe 2, precedência de baixa queda

  • af22— Prioridade de encaminhamento garantida de classe 2, precedência de queda média

  • af23— Encaminhamento garantido de classe 2, precedência de alta queda

  • af31— Encaminhamento garantido classe 3, precedência de baixa queda

  • af32— Precedência de encaminhamento garantida classe 3, precedência de queda média

  • af33— Encaminhamento garantido classe 3, precedência de alta queda

  • af41— Encaminhamento garantido classe 4, precedência de baixa queda

  • af42— Precedência de encaminhamento garantida classe 4, precedência de queda média

  • af43— Encaminhamento garantido classe 4, precedência de alta queda

  • be— Melhor esforço

  • cs0— Seletor de classe 0

  • cs1— Seletor de classe 1

  • cs2— Seletor de classe 2

  • cs3— Seletor de classe 3

  • cs4— Seletor de classe 4

  • cs5— Seletor de classe 5

  • cs6— Seletor de classe 6

  • cs7— Seletor de classe 7

  • ef— Encaminhamento acelerado

Nota:

As ações traffic-class 0traffic-class be são suportadas apenas em roteadores da Série T e M320 e no Concentrador modular de portas modulares Ethernet (MPC) de 10 Gigabits, Ethernet MPC de 60 Gigabits, Ethernet Ethernet com fila de 60 Gigabits MPC e Ethernet Ethernet de 60 Gigabits com fila nos roteadores da Série MX. No entanto, essas ações não são suportadas em Concentradores PIC Flexíveis (FPCs) aprimorados em roteadores M320.

family inet6