Firewall filtra ações sem administração
Os filtros de firewall oferecem suporte a diferentes conjuntos de ações não intermináveis para cada família de protocolo, que incluem uma ação implícita de aceitação. Nesse contexto, o não término significa que outras ações podem seguir essas ações, enquanto nenhuma outra ação pode seguir uma ação terminante . Como tal, você não pode configurar a ação next term
com uma ação terminante no mesmo termo do filtro. Você pode, no entanto, configurar a ação next term
com outra ação não sufocante no mesmo termo do filtro.
No Junos OS e Junos OS Evolved, next term
não pode aparecer como o último termo da ação. Um termo de filtro em que next term
é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.
Tabela 1 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall.
Ação sem acordo |
Descrição |
Famílias de protocolo |
---|---|---|
|
Atribua o pacote a uma das 17 filas de saída BGP priorizadas. |
|
|
Conte o pacote no balcão nomeado. |
|
|
Configure o valor do bit não fragmentado (bandeira) no cabeçalho IPv4 para especificar se o datagrama pode ser fragmentado:
Nota:
As |
|
|
Defina o bit de ponto de código de serviços diferenciados (DSCP) IPv4. Você pode especificar um valor numérico de O valor DSCP padrão é Você também pode especificar um dos seguintes sinônimos de texto:
Nota:
Esta ação não é suportada em roteadores da série PTX. Nota:
As placas de linha MPC em execução em roteadores da série MX oferecem suporte a qualquer valor (de 0 a 63) em conjunto com a ação do filtro de Nota:
As ações |
|
|
Policiar os pacotes de uma prioridade de tráfego usando o policial hierárquico aprimorado especificado. |
|
|
Por padrão, um policial hierárquico processa o tráfego que recebe de acordo com a classe de encaminhamento do tráfego. O tráfego premium, com encaminhamento acelerado, tem prioridade para largura de banda em tráfego agregado e de melhor esforço. O Nota:
A opção |
|
|
Classifique o pacote para a classe de encaminhamento nomeada:
|
|
|
Policiar o pacote usando o policial hierárquico especificado |
|
|
Use a associação de segurança IPsec especificada. Nota:
Essa ação não é suportada em roteadores da Série MX, FPCs Tipo 5 em roteadores T4000 e roteadores de transporte de pacotes da Série PTX. |
|
|
Use o grupo de balanceamento de carga especificado. Nota:
Esta ação não é suportada em roteadores da Série MX ou roteadores de transporte de pacotes da Série PTX. |
|
|
Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o Nota:
A ação de log das famílias de Camada 2 (L2) está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de log para famílias L2 é ignorada se configurada. |
|
|
Direcione pacotes a um sistema lógico específico. |
|
|
Definir o nível de prioridade de perda de pacote (PLP). Você também não pode configurar a ação Essa ação é apoiada em roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX. Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) aprimorados, você deve incluir a Para obter informações sobre a |
|
|
Use o grupo de próximo salto especificado. Recomendamos que você não use a ação |
|
|
(Série MX) Direcione pacotes para a interface de saída especificada. |
|
|
(Série MX) Direcione pacotes para o endereço IPv4 de destino especificado. |
|
|
(Série MX) Direcione pacotes para o endereço IPv6 de destino especificado. |
|
|
Atualiza um pouco de campo no buffer da chave de pacote, que especifica o tráfego que ignorará o encaminhamento baseado em fluxo. Os pacotes com o |
|
|
Nome do policiador para usar para limitar o tráfego. |
|
|
(Série MX) Nome do mapa de políticas usado para atribuir regras específicas de reescrita a um cliente específico. |
|
|
Espelhar a porta do pacote com base na família especificada. Essa ação é apoiada em roteadores M120, roteadores M320 configurados com FPCs III aprimorados, roteadores da Série MX e roteadores de transporte de pacotes da Série PTX. Recomendamos que você não use as ações e |
|
|
Espelhar uma porta de um pacote, por exemplo. Essa ação é suportada apenas nos roteadores da Série MX. Recomendamos que você não use as ações e |
|
|
Contagem ou pacotes policiais com base no nome de ação especificado. Nota:
Esta ação não é suportada em roteadores de transporte de pacotes da Série PTX. |
|
|
Direcione os pacotes para a instância de roteamento especificada. |
|
|
Experimente o pacote. Nota:
O Junos OS não amostra pacotes originados do roteador. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface serão amostrados. Os pacotes enviados do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes não são amostrados. |
|
|
Use o mecanismo de contagem em linha ao capturar estatísticas de assinantes por serviço. Conte o pacote para contabilidade de serviços. A contagem é aplicada a um contador de nome específico ( As Nota:
Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX. |
|
|
Use o mecanismo de contagem diferida ao capturar estatísticas de assinantes por serviço. A contagem é aplicada a um contador de nome específico ( As Nota:
Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX. |
|
|
(Somente se a Indique aos filtros subsequentes na cadeia que o pacote já foi processado. Essa ação, juntamente com a Nota:
Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX. |
|
|
Marque pacotes que passam as condições de correspondência da regra com o identificador de fatia correspondente à configuração de fatiamento de rede de serviços. Veja fatia (ação do filtro de firewall). |
|
|
Registre o pacote no arquivo de log do sistema. A ação de firewall de syslog para famílias e Interface de entrada, ação, VLAN ID1, VLAN ID2, tipo Ethernet, endereços MAC de origem e destino, protocolo, endereços IP de origem e destino, portas de origem e destino, e o número de pacotes. Nota:
A ação de syslog das famílias L2 está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de syslog para famílias L2 é ignorada se configurada. |
|
|
Policiar o pacote usando o policiador de três cores de taxa única ou de duas categorias. Nota:
Você também não pode configurar a ação |
|
|
Especifique o ponto de código da classe de tráfego. Você pode especificar um valor numérico de O valor padrão da classe de tráfego é o melhor esforço, ou seja No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto:
Nota:
As ações |
|