Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器终止操作

防火墙过滤器为每个协议系列支持一组终止操作。过滤器终止操作会停止对特定数据包的防火墙过滤器的所有评估。路由器执行指定的操作,不会检查其他条款。

注:

不能在同一过滤器术语中使用终止操作来next term配置操作。但是,您可以在同一过滤器术语中使用另一个非端点操作来配置next term操作。

在 Junos OS Evolved 上, next term 不能显示为操作的最后一个术语。不支持过滤器术语,其中 next term 指定为操作,但不配置任何匹配条件。

对于带有 MPC 的 MX 系列路由器,您需要通过走相应的 SNMP MIB 来初始化仅针对 Trio 匹配过滤器的过滤器计数器, show snmp mib walk name ascii例如。这迫使 Junos 学习过滤器计数器,并确保显示过滤器统计信息。本指南适用于所有增强型模式防火墙过滤器、条件灵活的过滤器以及具有某些终止操作的过滤器。有关详细信息,请参阅相关文档下列出的这些主题。

表 1 介绍了您可以在防火墙过滤器术语中指定的终止操作。

表 1: 防火墙过滤器的终止操作

终止操作

说明

协议

accept

接受数据包。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (仅适用于 EX 系列交换机)

decapsulate gre [ routing-instance instance-name ]

在 IPv4 传输网络的提供商边缘 (PE) 上安装的 MX 系列路由器上面向客户的接口上,可对通过基于过滤器的 GRE 隧道传输的通用路由封装 (GRE) 数据包进行解封装。

您可以配置一个过滤器术语,将此操作与包括 GRE 协议数据包标头匹配的匹配条件成对。对于 IPv4 过滤器,包括 protocol gre (或 protocol 47)匹配条件。 将过滤器连接到路由器的模块化接口卡 (MIC) 或模块化端口集中器 (MPC) 上的以太网逻辑接口或聚合以太网接口的输入。 如果提交配置将解封装过滤器连接到不支持基于过滤器的 GRE 隧道的接口,系统将写入一条系统日志警告消息,说明接口不支持过滤器。

当接口收到匹配的数据包时,在数据包转发引擎上运行的进程将执行以下操作:

  • 卸下外部 GRE 标头。

  • 通过执行目标查找,将内部有效负载数据包转发至其原始目标。

默认情况下,数据包转发引擎使用默认路由实例将有效负载数据包转发至目标网络。如果有效负载为 MPLS,数据包转发引擎将使用 MPLS 标头中的路由标签在 MPLS 路径路由表上执行路由查找。

如果使用可选路由实例名称指定 decapsulate 操作,则数据包转发引擎将在路由实例上执行路由查找,并且必须配置实例。

注:

在 MX960 路由器上, decapsulate 该操作可解封装 GRE、IP-in-IP 和 IPv6 in-IP 隧道数据包。您可在 [edit firewall family inet filter filter-name term term-name] 层级配置此操作。

有关更多信息,请参阅 了解跨 IPv4 网络的基于过滤器的隧道跨 IPv4 网络的基于过滤器的隧道组件

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

在 IPv4 传输网络的提供商边缘 (PE) 上安装的 MX 系列路由器上面向客户的接口上,启用通过基于过滤器的 L2TP 隧道传输的第 2 层隧道协议 (L2TP) 数据包的解封装。

您可以配置一个过滤器术语,将此操作与包括 L2TP 协议数据包标头匹配的匹配条件对比。对于 IPv4 信息流,接口上将连接一个输入防火墙过滤器 $junos-input-filter 和一个输出防火墙过滤器 $junos-output-filter 。将过滤器连接到路由器的模块化接口卡 (MIC) 或模块化端口集中器 (MPC) 上的以太网逻辑接口或聚合以太网接口的输入。如果提交一个配置,用于将解封装过滤器连接到不支持基于过滤器的 L2TP 隧道的接口,系统将写入一条系统日志警告消息,说明接口不支持过滤器。

远程通道端点将发送一个 IP 隧道数据包,该数据包在有效负载中包含一个以太网 MAC 地址。如果有效负载数据包的目标 MAC 地址包含路由器的 MAC 地址,则以太网数据包以传出方向发送至网络,并像在客户端口上接收一样进行处理和转发。如果有效负载数据包的源 MAC 地址包含路由器的 MAC 地址,则以太网数据包将以传出方向朝客户端口传输。如果隧道未包含已配置的接收 Cookie,则不会发生数据包注入。在这种情况下,任何收到的通道数据包都以相同的方式计算和丢弃,其中包含错误 Cookie 的数据包将计算并丢弃。

操作可指定 decapsulate l2tp 以下参数:

  • routing-instance instance-name—默认情况下,数据包转发引擎使用默认路由实例将有效负载数据包转发至目标网络。如果有效负载为 MPLS,数据包转发引擎将使用 MPLS 标头中的路由标签在 MPLS 路径路由表上执行路由查找。如果使用可选路由实例名称指定 decapsulate 操作,则数据包转发引擎将在路由实例上执行路由查找,并且必须配置实例。

  • forwarding-class class-name—(可选)将 l2TP 数据包分类到指定的转发类。

  • output-interface interface-name—(可选)对于 L2TP 隧道,允许数据包复制并发送至客户或网络(基于以太网有效负载中的 MAC 地址)。

  • cookie l2tpv3-cookie—(可选)对于 L2TP 隧道,请为重复的数据包指定 L2TP Cookie。如果隧道未包含已配置的接收 Cookie,则不会发生数据包注入。在这种情况下,任何收到的通道数据包都以相同的方式计算和丢弃,其中包含错误 Cookie 的数据包将计算并丢弃。

  • sample—(可选)对数据包进行取样。Junos OS 不会对源自路由器的数据包进行取样。如果配置过滤器并将其应用到接口的输出侧,则仅对通过该接口的传输数据包进行采样。未对从路由引擎发送到数据包转发引擎的数据包进行取样。

注:

decapsulate l2tp您在层次结构级别上配置的[edit firewall family inet filter filter-name term term-name]操作不会使用 IPv4 和 IPv6 选项处理流量。因此,L2TP 数据包功能的解封装会丢弃具有此类选项的信息流。

family inet

discard

在不发送互联网控制消息协议 (ICMP) 消息的情况下,静默丢弃数据包。已丢弃的数据包可用于日志记录和采样。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (仅适用于 EX 系列交换机)

encapsulate template-name

在 IPv4 传输网络的提供商边缘 (PE) 上安装的 MX 系列路由器上面向客户的接口上,使用指定的隧道模板启用基于过滤器的通用路由封装 (GRE) 隧道。

您可以配置将此操作与相应匹配条件成对的过滤器术语,然后将过滤器连接到路由器中的模块化接口卡 (MIC) 或模块化端口集中器 (MPC) 上的以太网逻辑接口或聚合以太网接口的输入。 如果提交一个配置,将封装过滤器连接到不支持基于过滤器的 GRE 隧道的接口,系统将写入一条系统日志警告消息,说明接口不支持过滤器。

当接口收到匹配的数据包时,在数据包转发引擎上运行的进程会使用指定隧道模板中的信息执行以下操作:

  1. 按隧道模板中指定的附加 GRE 标头(带或不带隧道密钥值)。

  2. 连接 IPv4 传输协议的标头。

  3. 将生成的 GRE 数据包从通道源接口转发至隧道目标(远程 PE 路由器)。

指定的通道模板必须使用tunnel-end-point[edit logical-systems logical-system-name firewall]层次结构级别下的[edit firewall]语句进行配置。有关详细信息,请参阅 了解跨 IPv4 网络的基于过滤器的隧道

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (用于 L2TP 隧道)

在 IPv4 传输网络的提供商边缘 (PE) 安装的 MX 系列路由器上面向客户的接口上,使用指定的隧道模板启用基于过滤器的 L2TP 隧道。您可以配置将此操作与相应匹配条件成对的过滤器术语,然后将过滤器连接到路由器中的模块化接口卡 (MIC) 或模块化端口集中器 (MPC) 上的以太网逻辑接口或聚合以太网接口的输入。如果提交一个配置,将封装过滤器连接到不支持基于过滤器的 GRE 隧道的接口,系统将写入一条系统日志警告消息,说明接口不支持过滤器。当接口收到匹配的数据包时,在数据包转发引擎上运行的进程会使用指定隧道模板中的信息执行以下操作:

  1. 连接 L2TP 标头(带或不带隧道密钥值,如隧道模板中指定)。

  2. 连接 IPv4 传输协议的标头。

  3. 将生成的 L2TP 数据包从通道源接口转发至隧道目标(远程 PE 路由器)。指定的通道模板必须使用tunnel-end-point[edit logical-systems logical-system-name firewall]语句层次结构下的[edit firewall]语句进行配置。

  • family inet

exclude-accounting

将数据包排除在 L2TP LAC 上隧道订户的准确计费统计信息中。通常在与 DHCPv6 或 ICMPv6 控制流量匹配的过滤器中使用 不能排除这些数据包会导致将这些数据包视为数据流量的空闲超时检测机制,导致超时永远不会过期。(使用访问配置文件会话选项中的和client-idle-timeout-ingress-only语句配置client-idle-timeout空闲超时。)

该术语将数据包排除在家族准确核算和服务准确核算的计数中。这些数据包仍包含在会话接口统计信息中。

该术语适用于两 inet 个和 inet6 家庭,但仅 inet6用于 。

  • family inet

  • family inet6

logical-system logical-system-name

将数据包定向到指定的逻辑系统。

注:

PTX 系列数据包传输路由器不支持此操作。

  • family inet

  • family inet6

reject message-type

拒绝数据包并退回 ICMPv4 或 ICMPv6 消息:

  • 如果未 message-type 指定,默认退回消息 destination unreachable

  • 如果 tcp-reset 指定为 message-typetcp-reset 则只有在数据包为 TCP 数据包时才会返回。否则, administratively-prohibited 值为 13 的消息将返回。

  • 如果指定了任何其他 message-type 消息,则该消息将返回。

注:

如果配置 sample 或操作,可对被拒绝的数据包进行取样或 syslog 记录。对于 MX2K-MPC11E,这些统计数据中包含了 ICMP 拒绝经过出口过滤器、监管器和服务等级 (CoS) 配置的消息。消息也是如此 destination unreachable

message-type可以是以下值之一:address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachable、 、 no-routeport-unreachableprecedence-violationprecedence-cutoffsource-route-failedprotocol-unreachablesource-host-isolated或 .tcp-reset

在 PTX1000 路由器上,仅在入口接口上支持拒绝操作。

  • family inet

  • family inet6

routing-instance instance-name

将数据包定向到指定的路由实例。

  • family inet

  • family inet6

topology topology-name

将数据包定向到指定的拓扑。

注:

PTX 系列数据包传输路由器不支持此操作。

每个路由实例(主路由器或虚拟路由器)都支持一个默认拓扑,所有转发类将转发至此拓扑。对于多拓扑路由,您可以在入口接口上配置防火墙过滤器,以便与特定转发类(如通过特定拓扑快速转发)匹配。然后,将匹配指定转发类的信息流添加到该拓扑的路由表中。

  • family inet

  • family inet6