防火墙过滤器终止操作

防火墙过滤器为每个协议家族支持一组终止操作。过滤器终止操作会停止对特定数据包的防火墙过滤器的所有评估。路由器会执行指定的操作，并且不会检查其他条款。

注：

您不能在同 next term 一过滤器术语中将操作配置为终止操作。但是，您可以在同一过滤器术语中将操作配置为 next term 另一个 非确定性 操作。

在 Junos OS 和 Junos OS Evolved 上， next term 不能显示为操作的最后一个期限。不支持指定为操作但未配置任何匹配条件的过滤器术语 next term 。

对于带有 MPC 的 MX 系列路由器，您需要通过走相应的 SNMP MIB（例如 show snmp mib walk name ascii）来初始化 Trio 匹配过滤器的过滤器计数器。这将迫使 Junos 学习过滤器计数器并确保显示过滤器统计信息。本指南适用于所有增强型模式防火墙过滤器、具有灵活条件的过滤器以及具有某些终止操作的过滤器。有关详细信息，请参阅相关文档下列出的这些主题。

表 1 介绍了可以在防火墙过滤器术语中指定的终止操作。

表 1：防火墙过滤器的终止操作
终止操作	说明	协议
`accept`	接受数据包。	`family any` `family inet` `family inet6` `family mpls` `family vpls` `family ccc` `family bridge` `family ethernet-switching` （仅适用于 EX 系列交换机）
`decapsulate gre [ routing-instance instance-name ]`	在安装在 IPv4 传输网络的提供商边缘（PE）的 MX 系列路由器上面向客户的接口上，对通过基于过滤器的 GRE 隧道传输的通用路由封装（GRE）数据包进行解封装。您可以配置一个过滤器术语，将此操作与包含 GRE 协议数据包标头匹配的匹配条件配对。对于 IPv4 过滤器，包括 `protocol gre` （或 `protocol 47`）匹配条件。将过滤器连接到路由器中模块化接口卡（MIC）或模块化端口集中器（MPC）上的以太网逻辑接口或聚合以太网接口的输入。如果提交将解封装过滤器连接到不支持基于过滤器的 GRE 隧道的接口的配置，系统将编写一条系统日志警告消息，说明该接口不支持过滤器。当接口收到匹配的数据包时，在数据包转发引擎上运行的进程将执行以下操作：移除外部 GRE 报头。通过执行目标查找，将内部有效负载数据包转发到其原始目标。默认情况下，数据包转发引擎使用默认路由实例将有效负载数据包转发到目标网络。如果有效负载为 MPLS，则数据包转发引擎将使用 MPLS 标头中的路由标签对 MPLS 路径路由表执行路由查找。如果使用可选路由实例名称指定 `decapsulate` 操作，则数据包转发引擎对路由实例执行路由查找，并且必须配置该实例。注：在 MX960 路由器上，该 `decapsulate` 操作可解封装 GRE、IP-in-IP 和 IPv6-in-IP 隧道数据包。您可以在层次结构级别配置此操作 `[edit firewall family inet filter filter-name term term-name]` 。有关更多信息，请参阅了解跨 IPv4 网络基于过滤器的隧道和跨 IPv4 网络基于过滤器的隧道的组成部分。	`family inet`
`decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]`	在安装在 IPv4 传输网络的提供商边缘（PE）的 MX 系列路由器上面向客户的接口上，对通过基于过滤器的 L2TP 隧道传输的第 2 层隧道协议（L2TP）数据包进行解封装。您可以配置一个过滤器术语，将此操作与包括 L2TP 协议数据包标头匹配的匹配条件配对。对于 IPv4 流量，接口将连接输入 `$junos-input-filter` 防火墙过滤器和输出防火墙过滤器 `$junos-output-filter` 。将过滤器连接到路由器中模块化接口卡（MIC）或模块化端口集中器（MPC）上的以太网逻辑接口或聚合以太网接口的输入。如果提交将解封装过滤器连接到不支持基于过滤器的 L2TP 隧道的接口的配置，系统将编写一条系统日志警告消息，说明接口不支持过滤器。远程隧道端点发送一个 IP 隧道数据包，该数据包在有效负载中包含以太网 MAC 地址。如果有效负载数据包的目标 MAC 地址包含路由器的 MAC 地址，则以太网数据包将按照传出方向发送到网络，并像在客户端口上接收一样进行处理和转发。如果有效负载数据包的源 MAC 地址包含路由器的 MAC 地址，则以太网数据包将按照传出方向传输到客户端口。如果隧道中没有包含配置的接收 Cookie，则不会进行数据包注入。在这种情况下，任何收到的隧道数据包的计数和丢弃方式与计数和丢弃通过错误的 Cookie 到达的数据包相同。可以使用操作指定 `decapsulate l2tp` 以下参数： `routing-instance instance-name`—默认情况下，数据包转发引擎使用默认路由实例将有效负载数据包转发至目标网络。如果有效负载为 MPLS，则数据包转发引擎将使用 MPLS 标头中的路由标签对 MPLS 路径路由表执行路由查找。如果使用可选路由实例名称指定 `decapsulate` 操作，则数据包转发引擎对路由实例执行路由查找，并且必须配置该实例。 `forwarding-class class-name`-（可选）将 l2TP 数据包分类为指定的转发类。 `output-interface interface-name`-（可选）对于 L2TP 隧道，允许复制数据包并发送到客户或网络（基于以太网有效负载中的 MAC 地址）。 `cookie l2tpv3-cookie`-（可选）对于 L2TP 隧道，请为重复的数据包指定 L2TP Cookie。如果隧道中没有包含配置的接收 Cookie，则不会进行数据包注入。在这种情况下，任何收到的隧道数据包的计数和丢弃方式与计数和丢弃通过错误的 Cookie 到达的数据包相同。 `sample`-（可选）对数据包进行采样。Junos OS 不会对源自路由器的数据包进行取样。如果配置过滤器并将其应用于接口的输出端，则只会采样通过该接口的传输数据包。不会采样从路由引擎发送到数据包转发引擎的数据包。注：您在 `decapsulate l2tp` 层次结构级别配置 `[edit firewall family inet filter filter-name term term-name]` 的操作不会使用 IPv4 和 IPv6 选项处理流量。因此，具有此类选项的流量会被 L2TP 数据包功能的解封装丢弃。	`family inet`
`discard`	不发送互联网控制消息协议（ICMP）消息，以静默方式丢弃数据包。丢弃的数据包可用于记录和采样。	`family any` `family inet` `family inet6` `family mpls` `family vpls` `family ccc` `family bridge` `family ethernet-switching` （仅适用于 EX 系列交换机）
`encapsulate template-name`	在安装在 IPv4 传输网络的提供商边缘（PE）的 MX 系列路由器上面向客户的接口上，使用指定的隧道模板启用基于过滤器的通用路由封装（GRE）隧道。您可以配置一个过滤器术语，将此操作与适当的匹配条件进行配对，然后将过滤器连接到路由器中模块化接口卡（MIC）或模块化端口集中器（MPC）上的以太网逻辑接口或聚合以太网接口的输入。如果提交将封装过滤器连接到不支持基于过滤器的 GRE 隧道的接口的配置，系统将编写一条系统日志警告消息，说明接口不支持过滤器。当接口收到匹配的数据包时，在数据包转发引擎上运行的进程将使用指定隧道模板中的信息来执行以下操作：按照隧道模板中指定附加 GRE 报头（带或不带隧道密钥值）。附加 IPv4 传输协议的报头。将生成的 GRE 数据包从隧道源接口转发到隧道目标（远程 PE 路由器）。必须使用或`[edit logical-systems logical-system-name firewall]`层级下的`[edit firewall]`语句配置`tunnel-end-point`指定的隧道模板。有关更多详细信息，请参阅了解跨 IPv4 网络基于过滤器的隧道。	`family inet` `family inet6` `family any` `family mpls`
`encapsulate template-name` （适用于 L2TP 隧道）	在 IPv4 传输网络的提供商边缘（PE）上安装的 MX 系列路由器上面向客户的接口上，使用指定的隧道模板启用基于过滤器的 L2TP 隧道。您可以配置一个过滤器术语，将此操作与适当的匹配条件进行配对，然后将过滤器连接到路由器中模块化接口卡（MIC）或模块化端口集中器（MPC）上的以太网逻辑接口或聚合以太网接口的输入。如果提交将封装过滤器连接到不支持基于过滤器的 GRE 隧道的接口的配置，系统将编写一条系统日志警告消息，说明接口不支持过滤器。当接口收到匹配的数据包时，在数据包转发引擎上运行的进程将使用指定隧道模板中的信息来执行以下操作：附加 L2TP 标头（按照隧道模板中指定，带或不带隧道密钥值）。附加 IPv4 传输协议的报头。将生成的 L2TP 数据包从隧道源接口转发到隧道目标（远程 PE 路由器）。必须使用或`[edit logical-systems logical-system-name firewall]`语句层次结构下的`[edit firewall]`语句配置`tunnel-end-point`指定的隧道模板。	`family inet`
`exclude-accounting`	将数据包排除在 L2TP LAC 上的隧道订阅者的准确计费统计信息中。通常用于与 DHCPv6 或 ICMPv6 控制流量匹配的过滤器，如果排除这些数据包失败，将导致空闲超时检测机制将这些数据包视为数据流量，从而使超时永不过期。（空闲超时配置在 `client-idle-timeout` 访问配置文件会话选项中的 and `client-idle-timeout-ingress-only` 语句。）该术语将数据包排除在家族准确核算和服务准确核算的计数中。这些数据包仍包含在会话接口统计信息中。该术语既适用于家庭`inetinet6`，也`inet6`可用于。	`family inet` `family inet6`
`logical-system logical-system-name`	将数据包定向到指定的逻辑系统。注： PTX 系列数据包传输路由器不支持此操作。	`family inet` `family inet6`
`reject message-type`	拒绝数据包并返回 ICMPv4 或 ICMPv6 消息： `message-type`如果未指定，则默认返回消息`destination unreachable`。如果`tcp-reset`指定为，`message-typetcp-reset`则仅在数据包为 TCP 数据包时才会返回。否则， `administratively-prohibited` 将返回值 13 的消息。如果指定了任何其他 `message-type` 信息，将返回该消息。注：如果配置 `sample` 或操作，则可以对被拒绝的数据包进行采样或 `syslog` 记录。对于 MX2K-MPC11E，ICMP 拒绝消息会遍历出口过滤器、监管器和服务等级（CoS）配置，因此会包含在这些统计信息中。消息也是如此 `destination unreachable` 。可以是 `message-type` 以下值之一：`address-unreachable`、 `administratively-prohibited`、、 `bad-host-tos`、 `beyond-scopebad-network-toshost-unknownfragmentation-neededhost-prohibited`、 `host-unreachable`、 `network-prohibited`、 `network-unknown`、、 `port-unreachableprecedence-cutoffno-routenetwork-unreachableprotocol-unreachablesource-host-isolatedprecedence-violationsource-route-failed`或。`tcp-reset` 在 PTX1000 路由器上，仅入口接口支持拒绝操作。	`family inet` `family inet6`
`routing-instance instance-name`	将数据包定向到指定的路由实例。	`family inet` `family inet6`
`topology topology-name`	将数据包定向到指定的拓扑。注： PTX 系列数据包传输路由器不支持此操作。每个路由实例（主路由实例或虚拟路由器）都支持一个默认拓扑，所有转发类均转发到该拓扑。对于多拓扑路由，您可以在入口接口上配置防火墙过滤器，以匹配使用特定拓扑的特定转发类，例如加速转发。然后，将与指定转发类匹配的流量添加到该拓扑的路由表中。	`family inet` `family inet6`

注：

在 QFX5120-48Y 和 QFX5120-32C 交换机型号上，显式配置 discard 操作以关闭 BFD 会话。但是，请注意，如果在操作之前discard配置了port-mirror操作，则不会关闭 BFD 会话。

防火墙过滤器终止操作

相关主题