Filtrar firewalls ações sem geração

Os filtros de firewall oferecem suporte a diferentes conjuntos de ações não sufocantes para cada família de protocolo, que incluem uma ação de aceitação implícita. Nesse contexto, a não administração significa que outras ações podem seguir essas ações, enquanto nenhuma outra ação pode seguir uma ação terminante . Como tal, você não pode configurar a ação next term com uma ação terminante no mesmo termo de filtro. Você pode, no entanto, configurar a ação next term com outra ação não sufocante no mesmo termo do filtro.

Nota:

No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

Tabela 1 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall.

Tabela 1: Ações sem acordo para filtros de firewall
Ação sem acordo	Descrição	Famílias de protocolo
`bgp-output-queue-priority priority (expedited \| (1-16))`	Atribua o pacote a uma das 17 filas de saída BGP priorizadas.	`family evpn` `family inet` `family inet-mdt` `family inet-mvpn` `family inet-vpn` `family inet6` `family inet6-mvpn` `family inet6-vpn` `family iso-vpn` `family l2vpn` `family route-target` `family traffic-engineering`
`count counter-name`	Conte o pacote no balcão nomeado.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`dont-fragment (set \| clear)`	Configure o valor do bit não fragmentado (bandeira) no cabeçalho IPv4 para especificar se o programa de dados pode ser fragmentado: `set`— Altere o valor da bandeira para um, impedindo a fragmentação. `clear`— Altere o valor da bandeira para zero, permitindo a fragmentação. Nota: As `dont-fragment (set \| clear)` ações são apoiadas apenas em MPCs.	`family inet`
`dscp value`	Defina o bit de ponto de código de serviços diferenciados (DSCP) IPv4. Você pode especificar um valor numérico de `0` até `63`. Para especificar o valor na forma hexadadecimal, inclua `0x` como prefixo. Para especificar o valor em forma binária, inclua `b` como prefixo. O valor DSCP padrão é `be` (o melhor esforço) ou `0`. Você também pode especificar um dos seguintes sínodos de texto: `af11`— Encaminhamento garantido classe 1, precedência de baixa queda (1) `af12`— Prioridade de encaminhamento garantida de classe 1, precedência de queda média (2) `af13`— Encaminhamento garantido classe 1, precedência de alta queda (3); e assim por diante `af43`, encaminhamento garantido classe 4, precedência de alta queda `be`— Melhor esforço `cs0`— Seletor de classe 0; e assim por diante `cs7`, seletor de classe 0 `ef`— Encaminhamento acelerado Nota: Essa ação não é compatível com roteadores da série PTX. Nota: As placas de linha MPC em execução em roteadores da série MX oferecem suporte a qualquer valor (de 0 a 63) em conjunto com a ação do filtro de `set dscp` firewall. Nota: As ações `dscp 0` são `dscp be` suportadas apenas em roteadores T320, T640, T1600, TX Matrix, TX Matrix Plus e M320 e em concentradores de portas modulares Ethernet (MPC) de 10 Gigabits. No entanto, essas ações não são suportadas em Concentradores PIC Flexíveis (FPCs) aprimorados em roteadores M320. Nos roteadores T4000, a ação `dscp 0` não é suportada durante a inter-operação entre um FPC T1600 Enhanced Scaling Tipo 4 e um FPC T4000 Tipo 5.	`family inet`
`force-premium`	Por padrão, um policial hierárquico processa o tráfego que recebe de acordo com a classe de encaminhamento do tráfego. O tráfego premium e rápido de encaminhamento tem prioridade para a largura de banda em tráfego agregado e de melhor esforço. O `force-premium` filtro garante que o tráfego correspondente ao termo seja tratado como tráfego premium por um policial hierárquico subsequente, independentemente de sua classe de encaminhamento. Esse tráfego é dado preferência sobre qualquer tráfego agregado recebido por esse policial. Nota: A opção `force-premium` de filtro é compatível apenas com MPCs.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family VPLS`
`forwarding-class class-name`	Classifique o pacote para a classe de encaminhamento nomeada: `nome de classe de encaminhamento` `assured-forwarding` `best-effort` `expedited-forwarding` `network-control`	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`hierarchical-policer`	Policiar o pacote usando o policial hierárquico especificado	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`ipsec-sa ipsec-sa`	Use a associação de segurança IPsec especificada. Nota: Essa ação não é compatível com roteadores da Série MX, FPCs Tipo 5 em roteadores T4000 e roteadores de transporte de pacotes da Série PTX.	`family inet`
`load-balance group-name`	Use o grupo de balanceamento de carga especificado. Nota: Esta ação não é compatível com roteadores da Série MX ou roteadores de transporte de pacotes da Série PTX.	`family inet`
`log`	Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de Encaminhamento de Pacotes. Você pode acessar essas informações emitindo o `show firewall log` comando na interface de linha de comando (CLI). Nota: A ação de log das famílias de Camada 2 (L2) está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de log para famílias L2 é ignorada se configurada.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`logical-system logical-system-name`	Direcione pacotes para um sistema lógico específico.	`family inet` `family inet6`
`loss-priority (high \| medium-high \| medium-low \| low)`	Defina o nível de prioridade de perda de pacotes (PLP). Você também não pode configurar a ação `three-color-policer` não sufocante para o mesmo termo de filtro de firewall. Essas duas ações não intermináveis são mutuamente exclusivas. Essa ação é compatível com roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX. Para tráfego IP em roteadores M320, Série MX e T com Concentradores PIC Flexíveis (FPCs) Aprimorados II, você deve incluir a `tri-color` declaração no nível de `[edit class-of-service]` hierarquia para comprometer uma configuração PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver ativada, você só poderá configurar os níveis e `low` os `high` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração e o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes recebidos, consulte Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`next-hop-group group-name`	Use o grupo de next-hop especificado. Recomendamos que você não use a ação `next-hop-group` com o `port-mirror-instance` mesmo `port-mirror` filtro de firewall.	`family any` `family inet`
`next-interface interface-name`	(Série MX) Direcione pacotes para a interface de saída especificada.	`family inet` `family inet6`
`next-ip ip-address`	(Série MX) Direcione pacotes para o endereço IPv4 de destino especificado.	`family inet`
`next-ip6 ipv6-address`	(Série MX) Direcione pacotes para o endereço IPv6 de destino especificado.	`family inet6`
`packet-mode`	Atualiza um pouco o campo no buffer de chave de pacote, que especifica o tráfego que burlará o encaminhamento baseado em fluxo. Os pacotes com o `packet-mode` modificador de ação seguem o caminho de encaminhamento baseado em pacotes e contornam completamente o encaminhamento baseado em fluxo. Aplica-se apenas a dispositivos SRX100, SRX210, SRX220, SRX240 e SRX650. Para obter mais informações sobre serviços seletivos baseados em pacotes sem estado, consulte o Junos OS Security Configuration Guide.	`family any`
`policer policer-name`	Nome do policiador para usar para limitar o tráfego.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`policy-map policy-map-name`	(Série MX) Nome do mapa de políticas usado para atribuir regras específicas de reescrita a um cliente específico.	`family any` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`port-mirror instance-name`	Espelhar o pacote com base na família especificada. Essa ação é compatível com roteadores M120, roteadores M320 configurados apenas com FPCs Enhanced III, roteadores da Série MX e roteadores de transporte de pacotes da Série PTX. Recomendamos que você não use as ações e `port-mirror` as `next-hop-group` ações no mesmo filtro de firewall.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`port-mirror-instance instance-name`	Espelhar uma porta de um pacote, por exemplo. Essa ação é compatível apenas com os roteadores da Série MX. Recomendamos que você não use as ações e `port-mirror-instance` as `next-hop-group` ações no mesmo filtro de firewall.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`prefix-action action-name`	Conte ou pacotes policiais com base no nome de ação especificado. Nota: Esta ação não é compatível com roteadores de transporte de pacotes da Série PTX.	`family inet`
`routing-instance routing-instance-name`	Direcione pacotes para a instância de roteamento especificada.	`family inet` `family inet6`
`sample`	Experimente o pacote. Nota: O Junos OS não amostra pacotes originados do roteador. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface são amostrados. Os pacotes enviados do Mecanismo de Roteamento ao Mecanismo de Encaminhamento de Pacotes não são amostrados.	`family inet` `family inet6` `family mpls`
`service-accounting`	Use o mecanismo de contagem em linha ao capturar estatísticas de assinantes por serviço. Conte o pacote para contabilidade de serviços. A contagem é aplicada a um contador nomeado específico (`__junos-dyn-service-counter`) que o RADIUS pode obter. `service-accounting-deferred` As `service-accounting` palavras-chave são mutuamente exclusivas, tanto por termo quanto por filtro. Nota: Esta ação não é compatível com OSPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.	`family any` `family inet` `family inet6`
`service-accounting- deferred`	Use o mecanismo de contagem diferida ao capturar estatísticas de assinantes por serviço. A contagem é aplicada a um contador nomeado específico (`__junos-dyn-service-counter`) que o RADIUS pode obter. `service-accounting-deferred` As `service-accounting` palavras-chave são mutuamente exclusivas, tanto por termo quanto por filtro. Nota: Esta ação não é compatível com OSPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.	`family any` `family inet` `family inet6`
`service-filter-hit`	(Somente se a `service-filter-hit` bandeira for marcada por um filtro anterior no tipo atual de filtros encadeados) Direcione o pacote para o próximo tipo de filtros. Indique aos filtros subsequentes na cadeia que o pacote já foi processado. Essa ação, juntamente com a `service-filter-hit` condição de correspondência no recebimento de filtros, ajuda a simplificar o processamento de filtros. Nota: Esta ação não é compatível com OSPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.	`family any` `family inet` `family inet6`
`syslog`	Registre o pacote no arquivo de log do sistema. A ação de firewall de syslog para famílias e `inet6` existentes`inet`, e a ação `syslog` em filtros da família L2 inclui as seguintes informações L2: Interface de entrada, ação, VLAN ID1, VLAN ID2, tipo Ethernet, endereços MAC de origem e destino, protocolo, endereços IP de origem e destino, portas de origem e destino, e o número de pacotes. Nota: A ação de syslog das famílias L2 está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de syslog para famílias L2 é ignorada se configurada.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`three-color-policer (single-rate \| two-rate) policer-name`	Policiar o pacote usando o policiador de três cores especificado de taxa única ou de duas categorias. Nota: Você também não pode configurar a ação `loss-priority` para o mesmo termo de filtro de firewall. Essas duas ações são mutuamente exclusivas.	`family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`traffic-class value`	Especifique o ponto de código da classe de tráfego. Você pode especificar um valor numérico de `0` até `63`. Para especificar o valor na forma hexadadecimal, inclua `0x` como prefixo. Para especificar o valor em forma binária, inclua `b` como prefixo. O valor padrão da classe de tráfego é o melhor esforço, `be` ou `0`seja. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto: `af11`— Encaminhamento garantido de classe 1, precedência de baixa queda `af12`— Precedência de encaminhamento garantida de classe 1, precedência de queda média `af13`— Encaminhamento garantido de classe 1, precedência de alta queda `af21`— Encaminhamento garantido de classe 2, precedência de baixa queda `af22`— Prioridade de encaminhamento garantida de classe 2, precedência de queda média `af23`— Encaminhamento garantido de classe 2, precedência de alta queda `af31`— Encaminhamento garantido classe 3, precedência de baixa queda `af32`— Precedência de encaminhamento garantida classe 3, precedência de queda média `af33`— Encaminhamento garantido classe 3, precedência de alta queda `af41`— Encaminhamento garantido classe 4, precedência de baixa queda `af42`— Precedência de encaminhamento garantida classe 4, precedência de queda média `af43`— Encaminhamento garantido classe 4, precedência de alta queda `be`— Melhor esforço `cs0`— Seletor de classe 0 `cs1`— Seletor de classe 1 `cs2`— Seletor de classe 2 `cs3`— Seletor de classe 3 `cs4`— Seletor de classe 4 `cs5`— Seletor de classe 5 `cs6`— Seletor de classe 6 `cs7`— Seletor de classe 7 `ef`— Encaminhamento acelerado Nota: As ações `traffic-class 0traffic-class be` são suportadas apenas em roteadores da Série T e M320 e no Concentrador modular de portas modulares Ethernet (MPC) de 10 Gigabits, Ethernet MPC de 60 Gigabits, Ethernet Ethernet com fila de 60 Gigabits MPC e Ethernet Ethernet de 60 Gigabits com fila nos roteadores da Série MX. No entanto, essas ações não são suportadas em Concentradores PIC Flexíveis (FPCs) aprimorados em roteadores M320.	`family inet6`

Filtrar firewalls ações sem geração

Tópicos relacionados