防火墙过滤器非终止操作
防火墙过滤器支持每个协议家族的不同非终止操作集,其中包括隐式接受操作。在此上下文中, 非终止 意味着其他操作可以跟随这些操作,而其他操作不能跟随 终止 操作。因此,不能 在同一筛选器术语中使用 终止 操作配置操作。next term 但是, 您可以使用同一筛选条件中的另一个 非终止 操作配置操作。next term
在 Junos OS 和 Junos OS 演化版上, 不能显示为操作的最后一个术语。next term 不支持指定为操作但未配置任何匹配条件的筛选词 。next term
表 1 描述可以为防火墙过滤器术语配置的非终止操作。
非终止操作 |
Description |
协议族 |
|---|---|---|
|
|
将数据包分配给 17 个优先级化的 BGP 输出队列之一。 |
|
|
|
对命名计数器中的数据包进行计数。 |
|
|
|
配置 IPv4 标头中不分段位(标志)的值,以指定是否可以对数据报进行分段:
注:
这些 操作仅在 MPC 上受支持。 |
|
|
|
设置 IPv4 差异服务代码点 (DSCP) 位。可以从 到 指定数值。 默认 DSCP 值为(尽力而为)或 。 您还可以指定以下文本同义词之一:
注:
PTX 系列路由器不支持此操作。 注:
在 MX 系列路由器上运行的 MPC 线卡支持任何值(从 0 到 63) 以及防火墙过滤器操作。 注:
这些操作 仅在 T320、T640、T1600、TX Matrix、TX Matrix Plus 和 M320 路由器以及 10 千兆以太网模块化端口集中器 (MPC) 上受支持。 |
|
|
|
使用指定的增强型分层监管器监管流量优先级的数据包。 |
|
|
|
默认情况下,分层监管器根据流量的转发类处理它收到的流量。高级、加速转发流量的带宽优先于聚合的尽力而为流量。过滤器可确保 后续分层监管器将匹配的流量视为高级流量,无论其转发类如何。 注:
筛选器选项仅在 MPC 上受支持。 |
|
|
|
将数据包分类为指定的转发类:
|
|
|
|
使用指定的分层监管器对数据包进行监管 |
|
|
|
使用指定的 IPsec 安全关联。 注:
MX 系列路由器、T4000 路由器上的 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。 |
|
|
|
使用指定的负载平衡组。 注:
MX 系列路由器或 PTX 系列数据包传输路由器不支持此操作。 |
|
|
|
将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面 (CLI) 发出命令来 访问此信息。 注:
第 2 层 (L2) 系列日志操作仅适用于具有 MPC 的 MX 系列路由器(如果路由器只有 MPC,则为 MPC 模式;如果路由器具有 MPC 和 DCP,则为 MPC 模式)。对于带有 DPC 的 MX 系列路由器,如果配置了 L2 系列的日志操作,则会被忽略。 |
|
|
|
将数据包定向到特定逻辑系统。 |
|
|
|
设置丢包优先级 (PLP) 级别。 您也不能为同一防火墙过滤器术语配置 非终止操作。 M120 和 M320 路由器支持此操作;采用增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器;和 MX 系列路由器。 对于配备增强型 II 灵活 PIC 集中器 (FPC) 的 M320、MX 系列和 T 系列路由器上的 IP 流量,必须在层次结构级别包含语句,才能提交具有指定四个级别中的任何一个的 PLP 配置。 有关语句和使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息 ,请参阅 了解行为聚合分类器如何确定可信流量的优先级。 |
|
|
|
使用指定的下一跃点组。 我们建议您不要将操作与同一防火墙过滤器中的或操作一起使用。 |
|
|
|
(MX 系列)将数据包定向到指定的传出接口。 |
|
|
|
(MX 系列)将数据包定向到指定的目标 IPv4 地址。 |
|
|
|
(MX 系列)将数据包定向到指定的目标 IPv6 地址。 |
|
|
|
更新数据包密钥缓冲区中的位字段,该字段指定将绕过基于流的转发的流量。带有操作修饰符的数据包遵循基于数据包的转发路径,并完全绕过基于流的 转发。 |
|
|
|
用于对流量进行速率限制的监管器的名称。 |
|
|
|
(MX 系列)用于将特定重写规则分配给特定客户的策略映射的名称。 |
|
|
|
根据指定的系列对数据包进行端口镜像。此操作仅在 M120 路由器、配置了增强型 III FPC 的 M320 路由器、MX 系列路由器和 PTX 系列数据包传输路由器上受支持。 我们建议您不要在同一防火墙过滤器中同时使用 和 操作。 |
|
|
|
端口镜像实例的数据包。此操作仅在 MX 系列路由器上受支持。 我们建议您不要在同一防火墙过滤器中同时使用 和 操作。 |
|
|
|
根据指定的操作名称对数据包进行计数或监管。 注:
PTX 系列数据包传输路由器不支持此操作。 |
|
|
|
将数据包定向到指定的路由实例。 |
|
|
|
对数据包进行采样。 注:
Junos OS 不会对源自路由器的数据包进行采样。如果配置过滤器并将其应用于接口的输出端,则只会对通过该接口的传输数据包进行采样。不会对从路由引擎发送到数据包转发引擎的数据包进行采样。 |
|
|
|
捕获订阅者每个服务的统计信息时,请使用内联计数机制。 对数据包进行计数以进行服务核算。计数应用于 RADIUS 可以获得的特定命名计数器 ()。 和关键字是互斥的,包括每个术语和每个筛选器。 注:
T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。 |
|
|
|
捕获订阅者每个服务的统计信息时使用延迟计数机制。计数应用于 RADIUS 可以获得的特定命名计数器 ()。 和关键字是互斥的,包括每个术语和每个筛选器。 注:
T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。 |
|
|
|
(仅当标志由当前类型的链式过滤器中的前一个过滤器标记时 )将数据包定向到下一种类型的过滤器。 向链中的后续过滤器指示数据包已处理。此操作与接收滤波器中的匹配条件相结合 ,有助于简化滤波器处理。 注:
T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。 |
|
|
|
使用与服务网络切片配置对应的切片标识符标记通过规则匹配条件的数据包。请参见切片(防火墙过滤器操作)。https://www.juniper.net/documentation/us/en/software/junos/cos-hierarchical/cos/topics/ref/statement/slice(firewallfilteraction).html |
|
|
|
将数据包记录到系统日志文件中。 针对现有 和 家族的系统日志防火墙操作以及 L2 系列过滤器中的操作包括以下 L2 信息: 输入接口、操作、VLAN ID1、VLAN ID2、以太网类型、源和目标 MAC 地址、协议、源和目标 IP 地址、源和目标端口以及数据包数。 注:
L2 系列系统日志操作仅适用于具有 MPC 的 MX 系列路由器(如果路由器只有 MPC,则为 MPC 模式;如果路由器具有 MPC 和 DCP,则为混合模式)。对于带有 DPC 的 MX 系列路由器,如果配置了 L2 系列的系统日志操作,则会被忽略。 |
|
|
|
使用指定的单速率或双速率三色监管器对数据包进行监管。 注:
您也不能为同一防火墙过滤器术语配置 操作。 |
|
|
|
指定流量类代码点。可以从 到 指定数值。 默认流量类值为尽力而为,即或 。 要代替数值,可以指定以下文本同义词之一:
注:
这些操作 仅在 T 系列和 M320 路由器以及 MX 系列路由器上的 10 千兆以太网模块化端口集中器 (MPC)、60 千兆以太网 MPC、60 千兆以太网队列 MPC 和 60 千兆以太网增强型排队 MPC 上受支持。 |
|