Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器非端点操作

防火墙过滤器为每个协议系列支持不同的非端点操作集,包括隐式接受操作。在这种情况下, 非统治 性意味着其他操作可以遵循这些操作,而其他操作无法遵循 终止 操作。因此,不能在同一过滤器术语中使用终止操作来next term配置操作。但是,您可以在同一过滤器术语中使用另一个非端点操作来配置next term操作。

注:

在 Junos OS Evolved 上, next term 不能显示为操作的最后一个术语。不支持过滤器术语,其中 next term 指定为操作,但不配置任何匹配条件。

表 1 介绍了您可以为防火墙过滤器术语配置的非端点操作。

表 1: 防火墙过滤器的非端点操作

非端点操作

说明

协议家族

bgp-output-queue-priority priority (expedited | (1-16))

将数据包分配给 17 个优先级 BGP 输出队列之一。

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

数一数指定计数器中的数据包。

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

在 IPv4 标头中配置 Don't Fragment bit(标记)的值,以指定数据报是否可以分片:

  • set—将标志值更改为一个,防止分片。

  • clear—将标志值更改为零,从而允许分片。

注:

操作 dont-fragment (set | clear) 仅在 MPC 上受支持。

family inet

dscp value

设置 IPv4 差异服务代码点 (DSCP) 位。您可以从 0 一直 63指定数字值。要以十六进制形式指定值,请作为前缀进行包括 0x 。要以二进制格式指定值,请将前缀作为前缀包括 b 在内。

默认 DSCP 值为 be (尽力而为)或 0

您还可以指定以下文本同义词之一:

  • af11— 保证转发类 1、低丢弃优先级 (1)

  • af12—有保证的转发类 1、中等丢弃优先级 (2)

  • af13— 保证转发类 1、高丢弃优先级 (3);等等 af43,保证转发类 4、高丢弃优先级

  • be—尽力而为

  • cs0— 班级选择器 0;等等,班 cs7级选择器 0

  • ef—加快转发

注:

PTX 系列路由器不支持此操作。

注:

MX 系列路由器上运行的 MPC 线卡与 set dscp 防火墙过滤器操作一起支持任何值(从 0 到 63)。

注:

dscp 0操作和dscp be仅在 T320、T640、T1600、TX Matrix、TX Matrix Plus 和 M320 路由器以及 10 千兆位以太网模块化端口集中器 (MPC) 上受支持。但是,M320 路由器上的增强型 III 灵活 PIC 集中器 (FPC) 不支持这些操作。在 T4000 路由器上, dscp 0 T1600 增强型扩展类型 4 FPC 和 T4000 5 类 FPC 之间的互操作期间不支持该操作。

family inet

force-premium

默认情况下,分层监管器会根据信息流的转发类处理接收到的流量。Premium,加速转发流量,优先处理带宽而不是聚合、尽力服务的流量。过滤 force-premium 器可确保与该术语匹配的信息流被后续分层监管器视为收费流量,而不管其转发类如何。此流量优先于该监管器接收的任何聚合流量。

注:

force-premium过滤器选项仅在 MPC 上受支持。

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

将数据包分类到指定的转发类:

  • 转发类名称

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

使用指定的层次结构监管器监管数据包

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

使用指定的 IPsec 安全关联。

注:

MX 系列路由器、T4000 路由器上的 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。

family inet

load-balance group-name

使用指定的负载平衡组。

注:

MX 系列路由器或 PTX 系列数据包传输路由器不支持此操作。

family inet

log

记录数据包转发引擎内缓冲区中的数据包标头信息。您可以通过在命令行界面 (CLI) 发出 show firewall log 命令来访问此信息。

注:

第 2 层 (L2) 系列日志操作仅适用于带 MPC 的 MX 系列路由器(如果路由器只有 MPC,则为混合模式(如果有 MPC 和 DCP)。对于带 DPC 的 MX 系列路由器,如果配置,将忽略 L2 系列的日志操作。

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

将数据包定向到特定逻辑系统。

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

设置数据包丢失优先级 (PLP) 级别。

您也无法为同一 three-color-policer 防火墙过滤器术语配置非端点操作。这两个非端点操作是相互排斥的。

M120 和 M320 路由器支持此操作;带有增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;和 MX 系列路由器

对于带有增强型 II 灵活 PIC 集中器 (FPC) 的 M320、MX 系列和 T 系列路由器上的 IP 流量,必须在层次结构级别中[edit class-of-service]包含tri-color语句,以便提交具有指定四个级别中任意一个的 PLP 配置。tri-color如果语句未启用,则只能配置highlow级别。这适用于所有协议家族。

有关语句的信息, tri-color 以及使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别,请参阅 了解行为如何 聚合分类器确定可信流量的优先级

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

使用指定的下一跳跃组。

我们建议您不要使用同一next-hop-groupport-mirror-instance防火墙过滤器中的操作或port-mirror操作。

  • family any

  • family inet

next-interface interface-name

(MX 系列)将数据包直接连接到指定的传出接口。

  • family inet

  • family inet6

next-ip ip-address

(MX 系列)将数据包定向至指定目标 IPv4 地址。

family inet

next-ip6 ipv6-address

(MX 系列)将数据包定向至指定目标 IPv6 地址。

family inet6

packet-mode

更新数据包密钥缓冲区中的位字段,指定将绕过基于流的转发的信息流。具有 packet-mode 操作修改器的数据包遵循基于数据包的转发路径,完全绕过基于流的转发。仅适用于 SRX100、SRX210、SRX220、SRX240 和 SRX650 设备。有关选择性无状态数据包服务的详细信息,请参阅 Junos OS 安全配置指南

family any

policer policer-name

用于对信息流进行速率限制的监管器名称。

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(MX 系列)策略映射的名称,用于为特定客户分配特定重写规则。

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

根据指定家族对数据包进行端口镜像。此操作仅在 M120 路由器、配置了增强型 III FPC、MX 系列路由器和 PTX 系列数据包传输路由器的 M320 路由器上受支持。

建议您不要同时使用 next-hop-group 同一防火墙过滤器中的操作和 port-mirror 操作。

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

例如,端口会镜像数据包。此操作仅在 MX 系列路由器上受支持。

建议您不要同时使用 next-hop-group 同一防火墙过滤器中的操作和 port-mirror-instance 操作。

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

根据指定的操作名称计数或监管数据包。

注:

PTX 系列数据包传输路由器不支持此操作。

family inet

routing-instance routing-instance-name

将数据包直接发送至指定的路由实例。

  • family inet

  • family inet6

sample

对数据包进行取样。

注:

Junos OS 不会对源自路由器的数据包进行取样。如果配置过滤器并将其应用到接口的输出侧,则仅对通过该接口的传输数据包进行采样。未对从路由引擎发送到数据包转发引擎的数据包进行取样。

  • family inet

  • family inet6

  • family mpls

service-accounting

在捕获订阅者/服务统计数据时,使用内联计数机制。

计算数据包以进行服务计费。该计数将应用于 RADIUS 可以获取的指定计数器 (__junos-dyn-service-counter)。

service-accounting-deferredservice-accounting关键字是相互排斥的,包括每期和每过滤器。

注:

T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。

  • family any

  • family inet

  • family inet6

service-accounting- deferred

捕获订阅者按服务统计信息时,使用递延计数机制。该计数将应用于 RADIUS 可以获取的指定计数器 (__junos-dyn-service-counter)。

service-accounting-deferredservice-accounting关键字是相互排斥的,包括每期和每过滤器。

注:

T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。

  • family any

  • family inet

  • family inet6

service-filter-hit

(仅当 service-filter-hit 标记为当前类型的链条过滤器中的前一个过滤器时)将数据包定向至下一种类型的过滤器。

向链中的后续过滤器指示数据包已处理。此操作与 service-filter-hit 接收过滤器时的匹配条件相结合,有助于简化过滤器处理。

注:

T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。

  • family any

  • family inet

  • family inet6

syslog

将数据包记录到系统日志文件。

面向现有 inetinet6 系列的 syslog 防火墙操作以及 syslog L2 系列过滤器中的操作包括以下 L2 信息:

输入接口、操作、VLAN ID1、VLAN ID2、以太网类型、源和目标 MAC 地址、协议、源和目标 IP 地址、源和目标端口以及数据包数。

注:

L2 系列系统日志操作仅适用于带 MPC 的 MX 系列路由器(如果路由器只有 MPC,则为混合模式(如果有 MPC 和 DCP)。对于带 DPC 的 MX 系列路由器,如果配置,将忽略 L2 系列的 syslog 操作。

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

使用指定的单速率或双速率三色监管器监管数据包。

注:

您也无法为同一 loss-priority 防火墙过滤器术语配置操作。这两种行为是相互排斥的。

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

指定信息流类代码点。您可以从 0 一直 63指定数字值。要以十六进制形式指定值,请作为前缀进行包括 0x 。要以二进制格式指定值,请将前缀作为前缀包括 b 在内。

默认信息流类值是尽力而为,即 be0

代替数字值时,您可以指定以下文本同义词之一:

  • af11—保证转发类 1、低丢弃优先级

  • af12—保证转发类 1、中等丢弃优先级

  • af13— 保证转发类 1、高丢弃优先级

  • af21— 保证转发类 2、低丢弃优先级

  • af22—保证转发类 2、中等丢弃优先级

  • af23—保证转发类 2、高丢弃优先级

  • af31— 保证转发类 3、低丢弃优先级

  • af32—保证转发类 3、中等丢弃优先级

  • af33—保证转发类 3、高丢弃优先级

  • af41—保证转发类 4、低丢弃优先级

  • af42—保证转发类 4、中等丢弃优先级

  • af43—保证转发类 4、高丢弃优先级

  • be—尽力而为

  • cs0— 班级选择器 0

  • cs1— 班级选择器 1

  • cs2— 班级选择器 2

  • cs3— 类选择器 3

  • cs4— 班级选择器 4

  • cs5—班级选择器 5

  • cs6— 班级选择器 6

  • cs7— 班级选择器 7

  • ef—加快转发

注:

仅在 T 系列和 M320 路由器上以及 MX 系列路由器上的 10 千兆位以太网模块化端口集中器 (MPC)、60 千兆位以太网 MPC、60 千兆位以太网排队 MPC 和 60 千兆位以太网增强型排队 MPC 上才支持这些操作traffic-class 0traffic-class be和支持。但是,M320 路由器上的增强型 III 灵活 PIC 集中器 (FPC) 不支持这些操作。

family inet6