Ações de terminação de filtros de firewall

accept

Aceite o pacote.

decapsulate gre [ routing-instance instance-name ]

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, permite o des encapsulamento de pacotes de encapsulamento de roteamento genérico (GRE) transportados por um túnel GRE baseado em filtro.

Você pode configurar um termo de filtro que emparelha esta ação com uma condição de correspondência que inclui uma correspondência de cabeçalho de pacote para o protocolo GRE. Para um filtro IPv4, inclua a (ou ) condição de correspondência.protocol greprotocol 47 Conecte o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador modular de portas (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de des encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro.

Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes executam as seguintes operações:

• Remova o cabeçalho GRE externo.

• Encaminhe o pacote de carga interna para o seu destino original, realizando uma busca de destino.

Por padrão, o Mecanismo de encaminhamento de pacotes usa a instância de roteamento padrão para encaminhar pacotes de carga para a rede de destino. Se a carga for MPLS, o Mecanismo de encaminhamento de pacotes realizará uma pesquisa de rota na tabela de roteamento de caminho MPLS usando o rótulo de rota no cabeçalho MPLS.

Se você especificar a ação com um nome de instância de roteamento opcional, o Mecanismo de encaminhamento de pacotes realiza uma pesquisa de rota na instância de roteamento, e a instância deve ser configurada.decapsulate

Para obter mais informações, veja e .Entendendo o tunelamento baseado em filtros em redes IPv4Componentes do tunelamento baseado em filtros em redes IPv4

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, permita o des encapsulamento de pacotes de protocolo de tunelamento de Camada 2 (L2TP) transportados por um túnel L2TP baseado em filtro.

Você pode configurar um termo de filtro que combina essa ação com uma condição de correspondência que inclui uma correspondência de cabeçalho de pacote para o protocolo L2TP. Para o tráfego IPv4, um filtro de firewall de entrada e um filtro de firewall de saída são anexados à interface.$junos-input-filter$junos-output-filter Conecte o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador modular de portas (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de des encapsulamento a uma interface que não oferece suporte ao tunelamento L2TP baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro.

O endpoint remoto do túnel envia um pacote de túnel IP que contém um endereço MAC Ethernet na carga. Se o endereço MAC de destino do pacote de carga contém o endereço MAC do roteador, o pacote Ethernet é enviado na direção de saída em direção à rede, e é processado e encaminhado como se fosse recebido na porta do cliente. Se o endereço MAC de origem do pacote de carga conter o endereço MAC do roteador, o pacote Ethernet será transmitido na direção de saída em direção à porta do cliente. Se o túnel não conter o cookie de recebimento configurado, a injeção de pacotes não acontece. Nesse caso, qualquer pacote de túnel recebido é contado e descartado da mesma maneira em que os pacotes que chegam com um cookie errado são contados e descartados.

Os seguintes parâmetros podem ser especificados com a ação :decapsulate l2tp

• routing-instance instance-name— Por padrão, o Mecanismo de encaminhamento de pacotes usa a instância de roteamento padrão para encaminhar pacotes de carga para a rede de destino. Se a carga for MPLS, o Mecanismo de encaminhamento de pacotes realizará uma pesquisa de rota na tabela de roteamento de caminho MPLS usando o rótulo de rota no cabeçalho MPLS. Se você especificar a ação com um nome de instância de roteamento opcional, o Mecanismo de encaminhamento de pacotes realiza uma pesquisa de rota na instância de roteamento, e a instância deve ser configurada.decapsulate

• forwarding-class class-name—(Opcional) Classifique os pacotes l2TP para a classe de encaminhamento especificada.

• output-interface interface-name— (Opcional) Para túneis L2TP, permita que o pacote seja duplicado e enviado para o cliente ou para a rede (com base no endereço MAC na carga Ethernet).

• cookie l2tpv3-cookie— (Opcional) Para túneis L2TP, especifique o cookie L2TP para os pacotes duplicados. Se o túnel não conter o cookie de recebimento configurado, a injeção de pacotes não acontece. Nesse caso, qualquer pacote de túnel recebido é contado e descartado da mesma maneira em que os pacotes que chegam com um cookie errado são contados e descartados.

• sample— (Opcional) Amostra do pacote. O Junos OS não amostra pacotes originados do roteador. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface serão amostrados. Os pacotes enviados do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes não são amostrados.

discard

Descarte um pacote silenciosamente, sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). Os pacotes descartados estão disponíveis para registro e amostragem.

encapsulate template-name

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, habilite o encapsulamento de roteamento genérico (GRE) baseado em filtro usando o modelo de túnel especificado.

Você pode configurar um termo de filtro que emparelha essa ação com as condições de correspondência apropriadas e, em seguida, anexar o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador de portas modulares (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro.

Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes usam informações no modelo de túnel especificado para executar as seguintes operações:

1. Conecte um cabeçalho GRE (com ou sem um valor de chave de túnel, conforme especificado no modelo do túnel.

2. Conecte um cabeçalho para o protocolo de transporte IPv4.

3. Encaminhe o pacote GRE resultante da interface de origem do túnel para o destino do túnel (o roteador PE remoto).

O modelo de túnel especificado deve ser configurado usando a declaração no nível ou hierarquia.tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall] Para obter mais informações, veja .Entendendo o tunelamento baseado em filtros em redes IPv4

encapsulate template-name (para túneis L2TP)

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, habilite o tunelamento L2TP baseado em filtro usando o modelo de túnel especificado. Você pode configurar um termo de filtro que emparelha essa ação com as condições de correspondência apropriadas e, em seguida, anexar o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador de portas modulares (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro. Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes usam informações no modelo de túnel especificado para executar as seguintes operações:

1. Conecte um cabeçalho L2TP (com ou sem um valor de chave de túnel, conforme especificado no modelo do túnel).

2. Conecte um cabeçalho para o protocolo de transporte IPv4.

3. Encaminhe o pacote L2TP resultante da interface de origem do túnel para o destino do túnel (o roteador PE remoto). O modelo de túnel especificado deve ser configurado usando a declaração sob a hierarquia de declaração ou declaração.tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall]

exclude-accounting

Exclua o pacote de ser incluído em estatísticas contábeis precisas para assinantes em túnel em um LAC L2TP. Normalmente usado em filtros que combinam com o tráfego de controle DHCPv6 ou ICMPv6 A falha em excluir esses pacotes resulta no mecanismo de detecção de tempo inativo considerando esses pacotes como tráfego de dados, fazendo com que o tempo limite nunca expire. (O tempo limite ocioso está configurado com as declarações e as opções de sessão de perfil de acesso.)client-idle-timeoutclient-idle-timeout-ingress-only

O termo exclui a inclusão de pacotes em contagens para contabilidade precisa da família e contabilidade precisa de serviços. Os pacotes ainda estão incluídos nas estatísticas da interface de sessão.

O termo está disponível para ambos e famílias, mas é usado apenas para .inetinet6inet6

logical-system logical-system-name

Direcione o pacote para o sistema lógico especificado.

reject message-type

Rejeitar o pacote e devolver uma mensagem ICMPv4 ou ICMPv6:

• Se não for especificado, uma mensagem é devolvida por padrão.message-typedestination unreachable

• Se for especificado como o , só será devolvido se o pacote for um pacote TCP.tcp-resetmessage-typetcp-reset Caso contrário, a mensagem, que tem um valor de 13, é devolvida.administratively-prohibited

• Se alguma outra for especificada, essa mensagem será devolvida.message-type

Esse pode ser um dos seguintes valores:message-type , , , , , , , , , , , , , , , , , address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

Em PTX1000 roteadores, a ação de rejeição é apoiada apenas em interfaces de entrada.

routing-instance instance-name

Direcione o pacote para a instância de roteamento especificada.

topology topology-name

Direcione o pacote para a topologia especificada.