Nesta página
Condições de correspondência para filtros de firewall da família Bridge (roteadores da Série ACX)
Condições de correspondência para filtros da família de firewall CCC (roteadores da Série ACX)
Condições de correspondência para tráfego IPv4 (roteadores da Série ACX)
Condições de correspondência para tráfego IPv6 (roteadores da Série ACX)
Condições de correspondência para tráfego MPLS (roteadores da Série ACX)
Condições e ações de correspondência do filtro de firewall (roteadores da Série ACX)
Nos roteadores metro universais da Série ACX, você pode configurar filtros de firewall para filtrar pacotes e realizar uma ação em pacotes compatíveis com o filtro. As condições de correspondência especificadas para filtrar os pacotes são específicas para o tipo de tráfego que está sendo filtrado.
Filtros de firewall com condições de correspondência IPv6 não suportadas no nível de hierarquia em roteadores ACX6360-OR no Junos OS Release 19.1R1.firewall family inet6 filter name
Nos roteadores da Série ACX, o filtro para o tráfego de saída (filtro de saída) pode ser aplicado apenas para instâncias específicas de interface do filtro de firewall.
Nos roteadores da Série ACX, erros de TCAM são vistos quando você modifica um prefixo ou um termo nos filtros de firewall aplicados. Para modificar um prefixo ou um termo no filtro de firewall, você precisa remover o filtro de firewall existente e, em seguida, aplicar o filtro modificado.
Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.
Visão geral das condições e ações de correspondência do filtro de firewall em roteadores da Série ACX
Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall sem estado padrão.
Tipo de tráfego |
Nível de hierarquia em que as condições de correspondência são especificadas |
---|---|
Independente de protocolo |
Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX. |
IPv4 |
Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego IPv4 (roteadores da Série ACX). |
MPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência para tráfego MPLS (roteadores da Série ACX).Condições de correspondência para tráfego MPLS (roteadores da Série ACX) |
CCC de camada 2 |
Nenhuma condição de correspondência é suportada para esse tipo de tráfego nos roteadores da Série ACX. |
Ponte |
|
Em ACX5448 roteador, os seguintes filtros da família de entrada podem ser dimensionados com base na disponibilidade de tcam externa:
Família
ethernet-switching
Família
ccc
Família
inet
Família
inet6
Família
mpls
Família
vpls
Sob a declaração de um termo padrão de filtro de firewall sem estado, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.then
Tabela 2 resume os tipos de ações que você pode especificar em um termo padrão de filtro de firewall sem estado.
Tipo de ação |
Descrição |
Comentário |
---|---|---|
Terminação |
Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador realiza a ação especificada e não são usados termos adicionais para examinar o pacote. Você pode especificar apenas uma ação de terminação em um filtro de firewall padrão. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar com e . |
Veja ações terminantes (roteadores da Série ACX).Ações terminais (roteadores da Série ACX) |
Sem serminante |
Executa outras funções em um pacote (como desapresentar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote. |
Veja ações sem acordo (roteadores da Série ACX).Ações sem acordo (roteadores da Série ACX) |
Condições de correspondência para filtros de firewall da família Bridge (roteadores da Série ACX)
Filtros de firewall da família Bridge em roteadores da Série ACX
Os filtros de firewall da família Bridge podem ser configurados no nível da família IFL em roteadores da série ACX. Os filtros da família Bridge são usados para combinar com os fluxos da ponte L2 com base nos campos de Camada2/Camada3 suportados e tomar medidas de firewall. O número máximo de termos suportados para filtros de firewall de ponte nos roteadores da Série ACX é de 124.
Nos roteadores da série ACX5448 e ACX7000, você precisa aplicar os filtros de firewall de camada 2 apenas nos pacotes comulados de camada 2, mesmo que o domínio da ponte tenha o IRB anexado ao domínio da ponte. Se o pacote for encaminhado para a camada 3, então os filtros de camada 3 devem ser aplicados no IRB.
Nos roteadores da Série ACX, você não pode aplicar um filtro de firewall na direção de saída em interfaces IRB.
Tabela 3 mostra as condições de correspondência suportadas para filtros da família bridge.
Condição da partida |
Descrição |
---|---|
grupos aplicáveis |
Definir os grupos dos quais herdar dados de configuração |
grupos aplicáveis, exceto |
Definir quais grupos não transmitirão dados de configuração |
endereço mac de destino |
Definir o endereço MAC de destino |
porta de destino |
Combine com a porta de destino TCP/UDP |
|
Prefixos de destino IP compatíveis na lista nomeada. |
Dscp |
Combine com o ponto de código de serviços diferenciados (DiffServ) |
tipo de ether |
Combine com o tipo de ethernet |
código de cânhamo |
Combine com um código de mensagem do ICMP |
tipo de cânhamo |
Combine com um tipo de mensagem de ICMP |
grupo de interface |
Combine com um grupo de interface |
endereço ip-destino |
Combine com um endereço de destino IP |
precedência ip |
Corresponda a um valor de precedência de IP |
protocolo ip |
Combine com um tipo de protocolo IP |
endereço ip-source |
Combine com um endereço de origem IP |
prioridade do learn-vlan-1p |
Combine com a prioridade de VLAN aprendida do 802.1p |
learn-vlan-dei |
Bit de ID de ID de VLAN do usuário compatível |
learn-vlan-id |
Combine com uma ID VLAN aprendida |
endereço source-mac |
Definir o endereço MAC de origem |
|
Prefixos de origem IP compatíveis na lista nomeada. |
porta-fonte |
Combine com uma porta de origem TCP/UDP |
prioridade do usuário vlan-1p |
Compatível com o usuário 802.1p VLAN Priority |
usuário-vlan-id |
Combine com uma ID VLAN de usuário |
tipo vlan-ether |
Combine com um tipo de Ethernet VLAN |
Tabela 4 mostra os campos de ação suportados.
Campo de ação |
Descrição |
---|---|
Aceitar |
Aceite o pacote |
Contar |
Conte o pacote no balcão nomeado |
Descartar |
Descarte o pacote |
classe de encaminhamento |
Classifique o pacote para a aula de encaminhamento |
prioridade de perda |
Prioridade de perda de pacotes |
Log |
Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o comando de log de firewall show na interface de linha de comando (CLI). |
policial |
Nome do policiador para usar para limitar a taxa de tráfego |
Syslog |
Registre o pacote no arquivo de log do sistema. |
policiador de três cores |
Policiar o pacote usando um três-colo-policer |
Os filtros de firewall da família Bridge podem ser aplicados como um filtro de saída em interfaces de Camada 2. Quando a interface de Camada 2 está em um domínio de ponte configurado com a declaração, os roteadores da série ACX podem combinar com o vlan externo do pacote usando a correspondência vlan-id do usuário especificada no filtro de firewall da família bridge.vlan-id
Condições de correspondência para filtros da família de firewall CCC (roteadores da Série ACX)
Condições de correspondência para filtros de firewall da família CCC
Nos roteadores da Série ACX, você pode configurar um filtro de firewall padrão com condições de correspondência para tráfego entre conexões de circuito (CCC) (ccc familiar).
Tabela 5 descreve as condições de correspondência que você pode configurar no nível de hierarquia.[edit firewall family ccc filter filter-name term term-name]
Campo |
Descrição |
---|---|
|
Endereço MAC de destino |
|
Corresponde à porta de destino TCP/UDP |
|
Corresponde ao ponto de código de serviços diferenciados (DiffServ) |
|
Corresponde ao código de mensagem do ICMP |
|
Corresponde ao tipo de mensagem do ICMP |
|
Correspondências de endereço IP de destino |
|
Corresponde ao valor da precedência de IP |
|
Corresponde ao tipo de protocolo IP |
|
Corresponde ao endereço IP de origem |
|
Correspondências aprendidas prioridade VLAN 802.1p |
|
Endereço MAC de origem |
|
Corresponde à porta de origem TCP/UDP |
|
Corresponde à prioridade de VLAN do usuário 802.1p |
Condições de correspondência para tráfego IPv4 (roteadores da Série ACX)
Nos roteadores da Série ACX, você pode configurar um filtro de firewall sem estado padrão com condições de correspondência para tráfego IP versão 4 (IPv4). family inet Descreve as condições de correspondência que você pode configurar no nível de hierarquia.Tabela 6
[edit firewall family inet filter filter-name term term-name from]
Condição da partida |
Descrição |
---|---|
|
Combine com o campo de endereço de destino IPv4. Nota:
Nos roteadores da Série ACX, você pode especificar apenas um endereço de destino. Uma lista de endereços de destino IPv4 não é suportada. |
|
Combine com o campo de porta de destino UDP ou TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração ou a declaração de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (2108), (25), (161), (162), (162) 444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) ou (177). |
|
Prefixos de destino IP compatíveis na lista nomeada. |
|
Combine com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic Você pode especificar um valor numérico de 0 a 63. Para especificar o valor na forma hexadácimal, inclua 0x como prefixo. Para especificar o valor em forma binária, inclua b como prefixo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
|
(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP. No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): (0x4), (0x2) ou (0x8). |
|
Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo. Se você configurar essa condição de correspondência, você também deve configurar a condição de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:
|
|
Combine com o campo do tipo de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0), (8), (16), (15), (17), (18), (12), (5), (9), (10), (4), (11), (13), (14) ou (3). |
|
Combine com o campo de opção de IP de 8 bits, se presente, com o valor especificado. Os roteadores da Série ACX oferecem suporte apenas à condição de correspondência, que garante que os pacotes sejam enviados ao Mecanismo de encaminhamento de pacotes para processamento. Nota:
Nos roteadores da Série ACX, você pode especificar apenas um valor de opção de IP. A configuração de vários valores não é suportada. |
|
Combine com o campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) ou (0x00). |
|
Combine com o campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), , (89), (103), , (46), (132), (6), (17) ou (112). |
|
Combine com o endereço IPv4 do nó de origem que envia o pacote. |
|
Combine com o campo de porta de origem UDP ou TCP. Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a declaração ou correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de correspondência. |
|
Prefixos de origem IP compatíveis na lista nomeada. |
|
Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP. Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:
Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial. Você pode reunir várias bandeiras usando os operadores lógicos de campo bit. Para condições combinadas de jogo em campo pequeno, veja as condições da partida. Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta. |
|
Combine com o pacote inicial de uma conexão TCP. Este é um apelido para . Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo. |
|
Combine com o número de tempo ao vivo IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para , você pode especificar um ou mais valores de 2 a 255. |
Condições de correspondência para tráfego IPv6 (roteadores da Série ACX)
Você pode configurar um filtro de firewall com condições de correspondência para o tráfego da versão 6 (IPv6) do Protocolo de Internet (IPv6). family inet6 descreve as condições de correspondência que você pode configurar no nível de hierarquia.Tabela 7
[edit firewall family inet6 filter filter-name term term-name from]
Condição da partida |
Descrição |
|
---|---|---|
|
Combine com o campo de endereço de destino IPv6. |
|
|
Combine com o campo de porta de destino UDP ou TCP. Você não pode especificar as condições e as condições compatíveis no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (2108), (25), (161), (162), (162) 444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) ou (177). |
|
|
Prefixos de destino IP compatíveis na lista nomeada. |
|
|
Combine com um tipo de cabeçalho de extensão contido no pacote, identificando um valor de Cabeçalho Próximo. No primeiro fragmento de um pacote, o filtro procura uma correspondência em qualquer um dos tipos de cabeçalho de extensão. Quando um pacote com um cabeçalho de fragmento é encontrado (um fragmento subseqüente), o filtro só procura uma correspondência do próximo tipo de cabeçalho de extensão porque a localização de outros cabeçalhos de extensão é imprevisível. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (50), (44), (0), (135) ou (43). Para combinar com qualquer valor para a opção de cabeçalho de extensão, use o sinônimo de texto. Nota:
Somente o primeiro cabeçalho de extensão do pacote IPv6 pode ser combinado. Cabeçalho L4 além de um cabeçalho de extensão IPv6 será combinado. |
|
|
Combine o limite de salto com o limite de salto ou conjunto de limites de salto especificados. Para , especifique um único valor ou uma gama de valores de 0 a 255. |
|
|
Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo. Se você configurar essa condição de correspondência, você também deve configurar a condição de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:
|
|
|
Combine com o campo do tipo de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (146), (131), (132), (147), (146) 136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133) ou (3). Para (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados. |
|
|
Combine com o primeiro campo next header de 8 bits no pacote. O suporte para a condição de correspondência do firewall está disponível no Junos OS Release 13.3R6 e posterior. Para O IPv6, recomendamos que você use o termo em vez do termo ao configurar um filtro de firewall com condições de correspondência. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (4) 1), (135), (59), (89), (103), (43), (46), (132), (6), (17) ou (112). Nota:
e as condições de correspondência executam a mesma função. é a opção preferida. está oculta no Junos OS CLI. |
|
|
Combine com o endereço IPv6 do nó de origem que envia o pacote. |
|
|
Combine com o campo de porta de origem UDP ou TCP. Você não pode especificar as condições e combinar no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou a condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de correspondência. |
|
|
Prefixos de origem IP compatíveis na lista nomeada. |
|
|
Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP. Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:
Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial. Você pode reunir várias bandeiras usando os operadores lógicos de campo bit. Para condições combinadas de jogo em campo pequeno, veja as condições e as condições da partida. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo para especificar que o protocolo TCP está sendo usado na porta. |
|
|
Combine com o pacote inicial de uma conexão TCP. Este é um sinônimo de texto para . Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo. |
|
|
Combine com o campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4. Você pode especificar um valor numérico de até . No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):
|
Se você especificar um endereço IPv6 em uma condição de correspondência (as condições, ou condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6.address
destination-address
source-address
Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
O seguinte é uma configuração inet6 da família de firewall de amostra:
user@host# show firewall family inet6 filter ipv6-filter { term t1 { from { source-address { 2001:0000:0020:0020:0000:0000:0000:0150/128; } destination-address { 2001:0000:0040:0040:0000:0000:0000:0150/128; } next-header tcp; source-port 1000; destination-port 2000; extension-header dstopts; traffic-class ef; tcp-flags 0x20; hop-limit 254; } then count ipv6-t1-count; } term t2 { from { icmp-type neighbor-solicit; } then count ipv6-t2-count; } }
Condições de correspondência para tráfego MPLS (roteadores da Série ACX)
Nos roteadores da Série ACX, você pode configurar um filtro de firewall stateless padrão com condições de correspondência para tráfego MPLS ().family mpls
As declarações e declarações para filtros de firewall para a família de protocolo são suportadas em todas as interfaces, com exceção de interfaces de gerenciamento e interfaces internas de Ethernet ( ou ), interfaces de loopback () e interfaces de modem USB ().input-list filter-names
output-list filter-names
mpls
fxp
em0
lo0
umd
descreve as condições de correspondência que você pode configurar no nível de hierarquia.Tabela 8[edit firewall family mpls filter filter-name term term-name from]
Condição da partida | Descrição |
---|---|
|
Número de bit experimental (EXP) ou alcance de números de bits no cabeçalho MPLS. Para , você pode especificar um ou mais valores de 0 a 7 em formato decimais, binários ou hexadecimal. |
Ações sem acordo (roteadores da Série ACX)
Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações não intermináveis para cada família de protocolo.
Os roteadores da Série ACX não suportam a ação .next term
Os roteadores da Série ACX oferecem suporte a ações de log e syslog em direções de entrada e saída para família e família .inetbridge
ACX5448, os roteadores da série ACX710 e da série ACX7100 não suportam, e na direção da saída.logsyslogrejectforwarding-classloss-priority Na direção de entrada e saída, os roteadores oferecem suporte apenas à semântica específica da interface.
Tabela 9 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall padrão.
Ação sem acordo |
Descrição |
Famílias de protocolo |
---|---|---|
|
Conte o pacote no balcão nomeado. |
|
|
Classifique o pacote com base na classe de encaminhamento especificada:
Nota:
Essa ação é apoiada apenas na entrada. |
|
|
Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o comando na interface de linha de comando (CLI). Nota:
Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar. |
|
|
Definir o nível de prioridade de perda de pacote (PLP). Você também não pode configurar a ação sem geração para o mesmo termo de filtro de firewall. Você deve incluir a declaração no nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Para obter informações sobre a declaração, veja Configuração e aplicação de policiais tricolores de marcação. Nota:
Essa ação é apoiada apenas na entrada. |
|
|
Nome do policiador para usar para limitar o tráfego. |
|
|
Espelhar a porta do pacote com base na família especificada. Nota:
Essa ação é apoiada apenas na entrada. os roteadores de ACX5048 e ACX5096 não oferecem suporte .port-mirror |
|
|
Registre o pacote no arquivo de log do sistema. Nota:
Essa ação é apoiada na entrada e saída. A ação sobre saída não é apoiada para a inet6 familiar. |
|
|
Policiar o pacote usando o policiador de taxa única ou de duas categorias de três cores. Você também não pode configurar a ação para o mesmo termo de filtro de firewall. |
|
traffic-class |
Definir ponto de código de classe de tráfego Nota:
Essa ação é apoiada apenas na entrada. |
|
Ações terminais (roteadores da Série ACX)
Os filtros de firewall sem estado padrão oferecem suporte a diferentes conjuntos de ações de terminação para cada família de protocolo.
Os roteadores da Série ACX não suportam a ação .next term
Tabela 10 descreve as ações de terminação que você pode especificar em um termo de filtro de firewall padrão.
Ação de encerramento |
Descrição |
Protocolos |
---|---|---|
|
Aceite o pacote. |
|
|
Descarte um pacote silenciosamente, sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP). Os pacotes descartados estão disponíveis para registro e amostragem. |
|
|
Rejeitar o pacote e devolver uma mensagem ICMPv4 ou ICMPv6:
Nota:
A opção pode ter um dos seguintes valores: |
|
|
Direcione o pacote para a instância de roteamento especificada. |
|