Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ações de terminação de filtros de firewall

Os filtros de firewall oferecem suporte a um conjunto de ações de terminação para cada família de protocolo. Uma ação de terminação de filtro interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada e nenhum termo adicional é analisado.

Nota:

Você não pode configurar a ação next term com uma ação terminante no mesmo termo do filtro. No entanto, você pode configurar a ação next term com outra ação sem geração no mesmo termo do filtro.

No Junos OS e Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

Para roteadores da Série MX com MPCs, você precisa inicializar o contador de filtros para filtros de correspondência somente de Trio, andando pelo SNMP MIB correspondente, por exemplo, show snmp mib walk name ascii. Isso força o Junos a aprender os contadores de filtro e garantir que as estatísticas do filtro sejam exibidas. Essa orientação se aplica a todos os filtros de firewall de modo aprimorado, filtros com condições flexíveis e filtros com determinadas ações terminais. Veja esses tópicos, listados em Documentação relacionada, para obter mais detalhes.

Tabela 1 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall.

Tabela 1: Terminando ações para filtros de firewall

Ação de encerramento

Descrição

Protocolos

accept

Aceite o pacote.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (apenas para switches da Série EX)

decapsulate gre [ routing-instance instance-name ]

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, permite o des encapsulamento de pacotes de encapsulamento de roteamento genérico (GRE) transportados por um túnel GRE baseado em filtro.

Você pode configurar um termo de filtro que emparelha esta ação com uma condição de correspondência que inclui uma correspondência de cabeçalho de pacote para o protocolo GRE. Para um filtro IPv4, inclua a protocol gre (ou protocol 47) condição de correspondência. Conecte o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador modular de portas (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de des encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro.

Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes executam as seguintes operações:

  • Remova o cabeçalho GRE externo.

  • Encaminhe o pacote de carga interna para o seu destino original, realizando uma busca de destino.

Por padrão, o Mecanismo de encaminhamento de pacotes usa a instância de roteamento padrão para encaminhar pacotes de carga para a rede de destino. Se a carga for MPLS, o Mecanismo de encaminhamento de pacotes realizará uma pesquisa de rota na tabela de roteamento de caminho MPLS usando o rótulo de rota no cabeçalho MPLS.

Se você especificar a ação decapsulate com um nome de instância de roteamento opcional, o Mecanismo de encaminhamento de pacotes realiza uma pesquisa de rota na instância de roteamento, e a instância deve ser configurada.

Nota:

Nos roteadores MX960, a ação decapsulate des encapsula GRE, IP-in-IP e pacotes de tunelamento IPv6 em IP. Você configura essa ação no nível de [edit firewall family inet filter filter-name term term-name] hierarquia.

Para obter mais informações, veja Entendendo o tunelamento baseado em filtros em redes IPv4 e Componentes do tunelamento baseado em filtros em redes IPv4.

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, permita o des encapsulamento de pacotes de protocolo de tunelamento de Camada 2 (L2TP) transportados por um túnel L2TP baseado em filtro.

Você pode configurar um termo de filtro que combina essa ação com uma condição de correspondência que inclui uma correspondência de cabeçalho de pacote para o protocolo L2TP. Para o tráfego IPv4, um filtro $junos-input-filter de firewall de entrada e um filtro $junos-output-filter de firewall de saída são anexados à interface. Conecte o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador modular de portas (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de des encapsulamento a uma interface que não oferece suporte ao tunelamento L2TP baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro.

O endpoint remoto do túnel envia um pacote de túnel IP que contém um endereço MAC Ethernet na carga. Se o endereço MAC de destino do pacote de carga contém o endereço MAC do roteador, o pacote Ethernet é enviado na direção de saída em direção à rede, e é processado e encaminhado como se fosse recebido na porta do cliente. Se o endereço MAC de origem do pacote de carga conter o endereço MAC do roteador, o pacote Ethernet será transmitido na direção de saída em direção à porta do cliente. Se o túnel não conter o cookie de recebimento configurado, a injeção de pacotes não acontece. Nesse caso, qualquer pacote de túnel recebido é contado e descartado da mesma maneira em que os pacotes que chegam com um cookie errado são contados e descartados.

Os seguintes parâmetros podem ser especificados com a ação decapsulate l2tp :

  • routing-instance instance-name— Por padrão, o Mecanismo de encaminhamento de pacotes usa a instância de roteamento padrão para encaminhar pacotes de carga para a rede de destino. Se a carga for MPLS, o Mecanismo de encaminhamento de pacotes realizará uma pesquisa de rota na tabela de roteamento de caminho MPLS usando o rótulo de rota no cabeçalho MPLS. Se você especificar a ação decapsulate com um nome de instância de roteamento opcional, o Mecanismo de encaminhamento de pacotes realiza uma pesquisa de rota na instância de roteamento, e a instância deve ser configurada.

  • forwarding-class class-name—(Opcional) Classifique os pacotes l2TP para a classe de encaminhamento especificada.

  • output-interface interface-name— (Opcional) Para túneis L2TP, permita que o pacote seja duplicado e enviado para o cliente ou para a rede (com base no endereço MAC na carga Ethernet).

  • cookie l2tpv3-cookie— (Opcional) Para túneis L2TP, especifique o cookie L2TP para os pacotes duplicados. Se o túnel não conter o cookie de recebimento configurado, a injeção de pacotes não acontece. Nesse caso, qualquer pacote de túnel recebido é contado e descartado da mesma maneira em que os pacotes que chegam com um cookie errado são contados e descartados.

  • sample— (Opcional) Amostra do pacote. O Junos OS não amostra pacotes originados do roteador. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface serão amostrados. Os pacotes enviados do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes não são amostrados.

Nota:

A decapsulate l2tp ação que você configura no nível de hierarquia não processa o [edit firewall family inet filter filter-name term term-name] tráfego com opções IPv4 e IPv6. Como resultado, o tráfego com essas opções é descartado pela des encapsulamento da funcionalidade de pacotes L2TP.

family inet

discard

Descarte um pacote silenciosamente, sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). Os pacotes descartados estão disponíveis para registro e amostragem.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (apenas para switches da Série EX)

encapsulate template-name

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, habilite o encapsulamento de roteamento genérico (GRE) baseado em filtro usando o modelo de túnel especificado.

Você pode configurar um termo de filtro que emparelha essa ação com as condições de correspondência apropriadas e, em seguida, anexar o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador de portas modulares (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro.

Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes usam informações no modelo de túnel especificado para executar as seguintes operações:

  1. Conecte um cabeçalho GRE (com ou sem um valor de chave de túnel, conforme especificado no modelo do túnel.

  2. Conecte um cabeçalho para o protocolo de transporte IPv4.

  3. Encaminhe o pacote GRE resultante da interface de origem do túnel para o destino do túnel (o roteador PE remoto).

O modelo de túnel especificado deve ser configurado usando a tunnel-end-point declaração no nível ou [edit firewall][edit logical-systems logical-system-name firewall] hierarquia. Para obter mais informações, veja Entendendo o tunelamento baseado em filtros em redes IPv4.

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (para túneis L2TP)

Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, habilite o tunelamento L2TP baseado em filtro usando o modelo de túnel especificado. Você pode configurar um termo de filtro que emparelha essa ação com as condições de correspondência apropriadas e, em seguida, anexar o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador de portas modulares (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro. Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes usam informações no modelo de túnel especificado para executar as seguintes operações:

  1. Conecte um cabeçalho L2TP (com ou sem um valor de chave de túnel, conforme especificado no modelo do túnel).

  2. Conecte um cabeçalho para o protocolo de transporte IPv4.

  3. Encaminhe o pacote L2TP resultante da interface de origem do túnel para o destino do túnel (o roteador PE remoto). O modelo de túnel especificado deve ser configurado usando a tunnel-end-point declaração sob a [edit firewall] hierarquia de declaração ou [edit logical-systems logical-system-name firewall] declaração.

  • family inet

exclude-accounting

Exclua o pacote de ser incluído em estatísticas contábeis precisas para assinantes em túnel em um LAC L2TP. Normalmente usado em filtros que combinam com o tráfego de controle DHCPv6 ou ICMPv6 A falha em excluir esses pacotes resulta no mecanismo de detecção de tempo inativo considerando esses pacotes como tráfego de dados, fazendo com que o tempo limite nunca expire. (O tempo limite ocioso está configurado com as declarações e client-idle-timeout-ingress-only as client-idle-timeout opções de sessão de perfil de acesso.)

O termo exclui a inclusão de pacotes em contagens para contabilidade precisa da família e contabilidade precisa de serviços. Os pacotes ainda estão incluídos nas estatísticas da interface de sessão.

O termo está disponível para ambos inet e inet6 famílias, mas é usado apenas para inet6.

  • family inet

  • family inet6

logical-system logical-system-name

Direcione o pacote para o sistema lógico especificado.

Nota:

Esta ação não é suportada em roteadores de transporte de pacotes da Série PTX.

  • family inet

  • family inet6

reject message-type

Rejeitar o pacote e devolver uma mensagem ICMPv4 ou ICMPv6:

  • Se não message-type for especificado, uma destination unreachable mensagem é devolvida por padrão.

  • Se tcp-reset for especificado como o message-type, tcp-reset só será devolvido se o pacote for um pacote TCP. Caso contrário, a administratively-prohibited mensagem, que tem um valor de 13, é devolvida.

  • Se alguma outra message-type for especificada, essa mensagem será devolvida.

Nota:

Os pacotes rejeitados podem ser amostrados ou conectados se você configurar a ação ou syslog açãosample. Para MX2K-MPC11E, o ICMP rejeita mensagens que atravessam filtros de saída, policiais e configurações de classe de serviço (CoS), por isso estão incluídos nessas estatísticas. O mesmo acontece com destination unreachable as mensagens.

Esse message-type pode ser um dos seguintes valores: address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tos, , beyond-scope, host-prohibitedfragmentation-neededhost-unknown, network-prohibitedhost-unreachable, , network-unknown, , network-unreachable, no-route, port-unreachable, , precedence-cutoff, , source-host-isolatedprotocol-unreachablesource-route-failedtcp-resetprecedence-violation

Em PTX1000 roteadores, a ação de rejeição é apoiada apenas em interfaces de entrada.

  • family inet

  • family inet6

routing-instance instance-name

Direcione o pacote para a instância de roteamento especificada.

  • family inet

  • family inet6

topology topology-name

Direcione o pacote para a topologia especificada.

Nota:

Esta ação não é suportada em roteadores de transporte de pacotes da Série PTX.

Cada instância de roteamento (roteador primário ou virtual) oferece suporte a uma topologia padrão à qual todas as classes de encaminhamento são encaminhadas. Para o roteamento multitopologia, você pode configurar um filtro de firewall na interface de entrada para combinar com uma classe de encaminhamento específica, como o encaminhamento acelerado, com uma topologia específica. O tráfego que corresponde à classe de encaminhamento especificada é então adicionado à tabela de roteamento para essa topologia.

  • family inet

  • family inet6

Nota:

Nos modelos de switches QFX5120-48Y e QFX5120-32C, configure discard ações explicitamente para derrubar uma sessão de BFD. No entanto, observe que se houver uma port-mirror ação configurada antes da ação discard , a sessão de BFD não será derrubada.