Ações de terminação de filtros de firewall
Os filtros de firewall oferecem suporte a um conjunto de ações de terminação para cada família de protocolo. Uma ação de terminação de filtro interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada e nenhum termo adicional é analisado.
Você não pode configurar a ação next term com uma ação terminante no mesmo termo do filtro. No entanto, você pode configurar a ação next term com outra ação sem geração no mesmo termo do filtro.
No Junos OS e Junos OS Evolved, next term
não pode aparecer como o último termo da ação. Um termo de filtro em que next term
é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.
Para roteadores da Série MX com MPCs, você precisa inicializar o contador de filtros para filtros de correspondência somente de Trio, andando pelo SNMP MIB correspondente, por exemplo, show snmp mib walk name ascii
. Isso força o Junos a aprender os contadores de filtro e garantir que as estatísticas do filtro sejam exibidas. Essa orientação se aplica a todos os filtros de firewall de modo aprimorado, filtros com condições flexíveis e filtros com determinadas ações terminais. Veja esses tópicos, listados em Documentação relacionada, para obter mais detalhes.
Tabela 1 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall.
Ação de encerramento |
Descrição |
Protocolos |
---|---|---|
accept |
Aceite o pacote. |
|
|
Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, permite o des encapsulamento de pacotes de encapsulamento de roteamento genérico (GRE) transportados por um túnel GRE baseado em filtro. Você pode configurar um termo de filtro que emparelha esta ação com uma condição de correspondência que inclui uma correspondência de cabeçalho de pacote para o protocolo GRE. Para um filtro IPv4, inclua a Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes executam as seguintes operações:
Por padrão, o Mecanismo de encaminhamento de pacotes usa a instância de roteamento padrão para encaminhar pacotes de carga para a rede de destino. Se a carga for MPLS, o Mecanismo de encaminhamento de pacotes realizará uma pesquisa de rota na tabela de roteamento de caminho MPLS usando o rótulo de rota no cabeçalho MPLS. Se você especificar a ação decapsulate com um nome de instância de roteamento opcional, o Mecanismo de encaminhamento de pacotes realiza uma pesquisa de rota na instância de roteamento, e a instância deve ser configurada. Nota:
Nos roteadores MX960, a ação Para obter mais informações, veja Entendendo o tunelamento baseado em filtros em redes IPv4 e Componentes do tunelamento baseado em filtros em redes IPv4. |
|
|
Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, permita o des encapsulamento de pacotes de protocolo de tunelamento de Camada 2 (L2TP) transportados por um túnel L2TP baseado em filtro. Você pode configurar um termo de filtro que combina essa ação com uma condição de correspondência que inclui uma correspondência de cabeçalho de pacote para o protocolo L2TP. Para o tráfego IPv4, um filtro O endpoint remoto do túnel envia um pacote de túnel IP que contém um endereço MAC Ethernet na carga. Se o endereço MAC de destino do pacote de carga contém o endereço MAC do roteador, o pacote Ethernet é enviado na direção de saída em direção à rede, e é processado e encaminhado como se fosse recebido na porta do cliente. Se o endereço MAC de origem do pacote de carga conter o endereço MAC do roteador, o pacote Ethernet será transmitido na direção de saída em direção à porta do cliente. Se o túnel não conter o cookie de recebimento configurado, a injeção de pacotes não acontece. Nesse caso, qualquer pacote de túnel recebido é contado e descartado da mesma maneira em que os pacotes que chegam com um cookie errado são contados e descartados. Os seguintes parâmetros podem ser especificados com a ação
Nota:
A |
|
|
Descarte um pacote silenciosamente, sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). Os pacotes descartados estão disponíveis para registro e amostragem. |
|
|
Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, habilite o encapsulamento de roteamento genérico (GRE) baseado em filtro usando o modelo de túnel especificado. Você pode configurar um termo de filtro que emparelha essa ação com as condições de correspondência apropriadas e, em seguida, anexar o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador de portas modulares (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro. Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes usam informações no modelo de túnel especificado para executar as seguintes operações:
O modelo de túnel especificado deve ser configurado usando a |
|
|
Em uma interface voltada para o cliente em um roteador da Série MX instalado na borda do provedor (PE) de uma rede de transporte IPv4, habilite o tunelamento L2TP baseado em filtro usando o modelo de túnel especificado. Você pode configurar um termo de filtro que emparelha essa ação com as condições de correspondência apropriadas e, em seguida, anexar o filtro à entrada de uma interface lógica Ethernet ou interface Ethernet agregada em uma placa de interface modular (MIC) ou concentrador de portas modulares (MPC) no roteador. Se você confirmar uma configuração que anexa um filtro de encapsulamento a uma interface que não oferece suporte ao tunelamento GRE baseado em filtro, o sistema escreve uma mensagem de aviso de syslog de que a interface não oferece suporte ao filtro. Quando a interface recebe um pacote combinado, os processos que são executados no Mecanismo de encaminhamento de pacotes usam informações no modelo de túnel especificado para executar as seguintes operações:
|
|
|
Exclua o pacote de ser incluído em estatísticas contábeis precisas para assinantes em túnel em um LAC L2TP. Normalmente usado em filtros que combinam com o tráfego de controle DHCPv6 ou ICMPv6 A falha em excluir esses pacotes resulta no mecanismo de detecção de tempo inativo considerando esses pacotes como tráfego de dados, fazendo com que o tempo limite nunca expire. (O tempo limite ocioso está configurado com as declarações e O termo exclui a inclusão de pacotes em contagens para contabilidade precisa da família e contabilidade precisa de serviços. Os pacotes ainda estão incluídos nas estatísticas da interface de sessão. O termo está disponível para ambos |
|
|
Direcione o pacote para o sistema lógico especificado. Nota:
Esta ação não é suportada em roteadores de transporte de pacotes da Série PTX. |
|
|
Rejeitar o pacote e devolver uma mensagem ICMPv4 ou ICMPv6:
Nota:
Os pacotes rejeitados podem ser amostrados ou conectados se você configurar a ação ou Esse Em PTX1000 roteadores, a ação de rejeição é apoiada apenas em interfaces de entrada. |
|
|
Direcione o pacote para a instância de roteamento especificada. |
|
|
Direcione o pacote para a topologia especificada. Nota:
Esta ação não é suportada em roteadores de transporte de pacotes da Série PTX. Cada instância de roteamento (roteador primário ou virtual) oferece suporte a uma topologia padrão à qual todas as classes de encaminhamento são encaminhadas. Para o roteamento multitopologia, você pode configurar um filtro de firewall na interface de entrada para combinar com uma classe de encaminhamento específica, como o encaminhamento acelerado, com uma topologia específica. O tráfego que corresponde à classe de encaminhamento especificada é então adicionado à tabela de roteamento para essa topologia. |
|
Nos modelos de switches QFX5120-48Y e QFX5120-32C, configure discard
ações explicitamente para derrubar uma sessão de BFD. No entanto, observe que se houver uma port-mirror
ação configurada antes da ação discard
, a sessão de BFD não será derrubada.