Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器终止操作

防火墙过滤器支持每个协议系列的一组终止操作。过滤器终止操作将停止对特定数据包的防火墙过滤器的所有评估。路由器执行指定的操作,不会检查其他术语。

注:

您不能使用next term相同过滤器术语中的终止动作来配置操作。但是,您可以将next term操作配置为同一过滤器术语中的另一个nonterminating操作。

在 Junos OS 演变时next term ,不能显示为操作的最后一项。指定为操作但next term不支持任何未配置任何匹配条件的过滤器术语。

对于具有 MPC 的 MX 系列路由器,您需要为仅 Trio 匹配过滤器初始化过滤器计数器,例如,通过向相应的 SNMP show snmp mib walk name ascii MIB,。这会强制 Junos 了解过滤器计数器并确保显示过滤器统计信息。本指南适用于所有增强模式防火墙过滤器、具有灵活条件的过滤器,以及使用特定终止操作的过滤器。有关详细信息,请参阅相关文档下列出的主题。

表 1介绍了可在防火墙过滤器术语中指定的终止操作。

表 1: 终止防火墙过滤器操作

终止操作

Description

协议

accept

接受数据包。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching(仅适用于 EX 系列交换机)

decapsulate gre [ routing-instance instance-name ]

在 IPv4 传输网络的提供商边缘(PE)上安装的 MX 系列路由器上面向客户的接口时,可启用通过基于过滤器的 GRE 通道传输的通用路由封装(GRE)数据包的封装。

您可以配置一个过滤器术语,将此操作与包含 GRE 协议数据包标头匹配的匹配条件进行配对。对于 IPv4 过滤器,请包含protocol gre (或protocol 47)匹配条件。将过滤器连接到路由器中模块化接口卡(MIC)或模块化端口集中器(MPC)上的以太网逻辑接口或聚合以太网接口的输入。如果提交将反封装过滤器附加到不支持基于过滤器的 GRE 通道的接口的配置,系统将写入一个 syslog 警告消息,指示接口不支持该过滤器。

当接口接收到匹配的数据包时,在数据包转发引擎上运行的进程将执行以下操作:

  • 卸下外部 GRE 标头。

  • 通过执行目标查找,将内部负载数据包转发至其原始目的地。

默认情况下,数据包转发引擎使用默认路由实例将负载数据包转发到目标网络。如果负载 MPLS,数据包转发引擎将使用 MPLS 标头中的路由标签对 MPLS 路径路由表执行路由查找。

如果使用可选路由decapsulate实例名称指定操作,则数据包转发引擎在路由实例上执行路由查找,并且必须配置实例。

注:

在 MX960 路由器上, decapsulate操作消除了 GRE、ip ip 内和 IPv6 ip 通道数据包。您可以在[edit firewall family inet filter filter-name term term-name]层次结构级别上配置此操作。

有关详细信息,请参阅 了解 IPv4 网络的基于筛选器的隧道通过 IPv4 网络的基于过滤器的隧道组件

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

在 IPv4 传输网络的提供商边缘(PE)上安装的 MX 系列路由器上面向客户的接口时,可启用通过基于过滤器的 L2TP 通道传输的第2层隧道协议(L2TP)数据包的封装。

您可以配置一个过滤器术语,将此操作与一个包含 L2TP 协议数据包标头匹配的匹配条件进行配对。对于 IPv4 流量,输入防火墙过滤器$junos-input-filter和输出防火墙过滤器$junos-output-filter将连接到接口。将过滤器连接到路由器中模块化接口卡(MIC)或模块化端口集中器(MPC)上的以太网逻辑接口或聚合以太网接口的输入。如果提交将反封装过滤器附加到不支持基于过滤器的 L2TP 通道的接口的配置,系统将写入一个 syslog 警告消息,指示接口不支持该过滤器。

远程隧道端点在有效负载中发送包含以太网 MAC 地址的 IP 通道数据包。如果有效负载数据包的目标 MAC 地址包含路由器的 MAC 地址,则以太网数据包将按照传出的方向发送至网络,并处理和转发,如同在客户端口上接收的一样。如果有效负载数据包的源 MAC 地址包含路由器的 MAC 地址,则以太网数据包将以传出方向传给客户端口。如果隧道未包含配置的接收 cookie,数据包注入就不会发生。在此类情况下,将计算并丢弃任何收到的隧道数据包并丢弃与错误 cookie 相同的数据包。

以下参数可随decapsulate l2tp操作一起指定:

  • routing-instance instance-name—默认情况下,数据包转发引擎使用默认路由实例将有效负载数据包转发至目标网络。如果负载 MPLS,数据包转发引擎将使用 MPLS 标头中的路由标签对 MPLS 路径路由表执行路由查找。如果使用可选路由decapsulate实例名称指定操作,则数据包转发引擎在路由实例上执行路由查找,并且必须配置实例。

  • forwarding-class class-name—(可选)将 l2TP 数据包分类至指定的转发类。

  • output-interface interface-name—(可选)对于 L2TP 隧道,允许数据包被复制并发送至客户或网络(基于以太网负荷MAC 地址的数据)。

  • cookie l2tpv3-cookie—(可选)对于 L2TP 隧道,请为重复的数据包指定 L2TP Cookie。如果隧道未包含配置的接收 cookie,数据包注入就不会发生。在此类情况下,将计算并丢弃任何收到的隧道数据包并丢弃与错误 cookie 相同的数据包。

  • sample—(可选)对数据包进行取样。Junos OS 不会从路由器发起数据包样本。如果您配置过滤器并将其应用到接口的输出端,则只会对流经该接口的传输数据包进行采样。从路由引擎发送到数据包转发引擎的数据包不会进行采样。

注:

decapsulate l2tp[edit firewall family inet filter filter-name term term-name]层次结构级别配置的操作不会处理具有 IPv4 和 IPv6 选项的流量。因此,具有此类选项的流量将被 L2TP 数据包功能的反封装丢弃。

family inet

discard

无需发送互联网控制消息协议(ICMP)消息就能以静默方式丢弃数据包。丢弃的数据包可用于日志记录和取样。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching(仅适用于 EX 系列交换机)

encapsulate template-name

在 IPv4 传输网络的提供商边缘(PE)上安装的 MX 系列路由器面向客户的接口上,使用指定的隧道模板启用基于筛选的通用路由封装(GRE)通道。

您可以配置过滤器术语,将此操作与相应的匹配条件配对,然后将过滤器连接到模块化接口卡(MIC)或模块化端口集中器(MPC)上的以太网逻辑接口或聚合以太网接口的输入。)。如果提交将封装式过滤器连接到不支持基于过滤器的 GRE 通道的接口的配置,系统将写入一个 syslog 警告消息,指示接口不支持该过滤器。

当接口收到匹配的数据包时,在数据包转发引擎上运行的进程将使用指定隧道模板中的信息执行以下操作:

  1. 将 GRE 标头(带或不带通道键值,如通道模板中指定)连接。

  2. 为 IPv4 传输协议附加标头。

  3. 将产生的 GRE 数据包从隧道源接口转发至隧道目标(远程 PE 路由器)。

必须使用tunnel-end-point[edit firewall]或层次结构级别下的语句配置指定的[edit logical-systems logical-system-name firewall]隧道模板。有关更多详细信息,请参阅了解 IPv4 网络的基于筛选器的隧道

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (对于 L2TP 隧道)

在 IPv4 传输网络的提供商边缘(PE)上安装的 MX 系列路由器面向客户的接口上,使用指定的隧道模板启用基于过滤器的 L2TP 通道。您可以配置过滤器术语,将此操作与相应的匹配条件配对,然后将过滤器连接到模块化接口卡(MIC)或模块化端口集中器(MPC)上的以太网逻辑接口或聚合以太网接口的输入。)。如果提交将封装式过滤器连接到不支持基于过滤器的 GRE 通道的接口的配置,系统将写入一个 syslog 警告消息,指示接口不支持该过滤器。当接口收到匹配的数据包时,在数据包转发引擎上运行的进程将使用指定隧道模板中的信息执行以下操作:

  1. 连接 L2TP 报头(带有或不带通道密钥值,如在通道模板中指定)。

  2. 为 IPv4 传输协议附加标头。

  3. 将生成的 L2TP 数据包从隧道源接口转发至隧道目标(远程 PE 路由器)。必须使用tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall]语句层次结构下的语句配置指定的隧道模板。

  • family inet

exclude-accounting

将数据包排除在 L2TP LAC 上的隧道订阅者的准确会计统计中。通常用于与 DHCPv6 或 ICMPv6 控制流量不能排除这些数据包的过滤器中,导致闲置超时检测机制将这些数据包视为数据流量,导致超时永不过期。(空闲超时使用访问配置文件会话client-idle-timeout选项client-idle-timeout-ingress-only中的 and 语句进行配置。)

此术语排除数据包不被包括在系列准确核算和服务准确计费的计数中。这些数据包仍包含在会话接口统计信息中。

inet一术语适用于和inet6系列,但仅用于。 inet6

  • family inet

  • family inet6

logical-system logical-system-name

将数据包定向到指定的逻辑系统。

注:

PTX 系列数据包传输路由器上不支持此操作。

  • family inet

  • family inet6

reject message-type

拒绝数据包并返回 ICMPv4 或 ICMPv6 消息:

  • 如果未message-type指定,则默认destination unreachable返回消息。

  • 如果tcp-reset指定为message-typetcp-reset则仅当数据包为 TCP 数据包时才会返回。否则, administratively-prohibited 将返回值为 13 的消息。

  • 如果指定任何message-type其他信息,则返回该消息。

注:

如果配置samplesyslog操作,可对被拒绝的数据包进行抽样或记录。对于 MX2K-MPC11E,ICMP 拒绝消息遍历出口过滤器、管理程序以及 服务等级 (CoS) 配置,因此包含在这些统计信息中。消息的情况也是如此 destination unreachable

message-type可为以下值之一:address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachableport-unreachableprecedence-cutoffprecedence-violationtcp-reset、、 source-host-isolated、、、、、 source-route-failed、、、、或。 protocol-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-route

在 PTX1000 路由器上,拒绝操作仅在入口接口上受支持。

  • family inet

  • family inet6

routing-instance instance-name

将数据包定向到指定的路由实例。

  • family inet

  • family inet6

topology topology-name

将数据包定向到指定的拓扑。

注:

PTX 系列数据包传输路由器上不支持此操作。

每个路由实例(主路由器或虚拟路由器)都支持一个将所有转发类转发至的默认拓扑。对于 multitopology 路由,您可以在入口接口上配置防火墙过滤器,以便将特定转发类(如加速转发)与特定拓扑匹配。然后,与指定转发类匹配的流量随后将添加到该拓扑的路由表中。

  • family inet

  • family inet6