Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

动态服务配置文件中与协议无关的流量的防火墙过滤器终止和非终止操作

动态服务配置文件中的防火墙过滤器支持一组终止操作,这些操作会停止对特定数据包的防火墙过滤器的所有评估。路由器执行指定的操作,并且不检查其他术语。 表 1 介绍了动态服务配置文件中的过滤器的与协议无关的流量(即在下 family any配置)支持的终止操作条件。

注意:

不能 next 在同一筛选器术语中使用 终止 操作配置操作。但是,您可以使用 next 同一筛选术语中的另一个 非终止 操作配置操作。

注意:

动态服务配置文件中与协议无关的防火墙过滤器仅在带有 MPC 的 MX 系列路由器上受支持。

表 1:动态服务配置文件中与协议无关的流量的防火墙过滤器终止操作

终止操作

描述

accept

接受数据包。

discard

以静默方式丢弃数据包,而不发送互联网控制消息协议 (ICMP) 消息。丢弃的数据包可用于日志记录和采样。

动态服务配置文件中的防火墙过滤器还支持一组非终止操作,这些操作在数据包传递给术语中的任何后续操作之前对特定数据包执行。 表 1 介绍了动态服务配置文件中的过滤器的与协议无关的流量(即在下 family any配置)支持的终止操作条件。

表 2:动态服务配置文件中与协议无关的流量的防火墙过滤器的非终止操作

非终止操作

描述

count counter-name

对命名计数器中的数据包进行计数。

force-premium

默认情况下,分层监管器根据流量的转发类处理它收到的流量。高级、加速转发流量的带宽优先于聚合的尽力而为流量。过滤器可确保 force-premium 后续分层监管器将匹配的流量视为高级流量,无论其转发类如何。此流量优先于该监管器接收的任何聚合流量。

注意:

force-premium筛选器选项仅在 MPC 上受支持。

forwarding-class class-name

将数据包分类为指定的转发类:

  • forwarding-class-name

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

注意:

此操作仅在入口上受支持。

hierarchical-policer

使用指定的分层监管器监管数据包。

loss-priority (high | medium-high | medium-low | low)

设置丢包优先级 (PLP) 级别。

您也不能为同一防火墙过滤器术语配置 three-color-policer 非终止操作。这两个非终止操作是互斥的。

您必须在[edit class-of-service]层次结构级别包含该tri-color语句,才能使用指定的四个级别中的任何一个提交 PLP 配置。如果未启用该tri-color语句,则只能配置 和 high low 级别。这适用于所有协议家族。

有关该 tri-color 语句的信息,请参阅 配置和应用 Tricolor 标记监管器。有关使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息,请参阅 了解转发类如何将类分配给输出队列

有关语句和使用行为聚合 (BA) 分类器设置传入数据包的 PLP 级别的信息 tri-color ,请参阅 了解行为聚合分类器如何确定可信流量的优先级

注意:

此操作仅在入口上受支持。

next

继续下一个筛选术语。

policer policer-name

用于对流量进行速率限制的监管器的名称。

port-mirror

instance-name

根据指定的系列对数据包进行端口镜像。

注意:

此操作仅在入口上受支持。

service-accounting

捕获订阅者每个服务的统计信息时,请使用内联计数机制。

对数据包进行计数以进行服务核算。计数应用于 RADIUS 可以获得的特定命名计数器 (__junos-dyn-service-counter)。

service-accountingservice-accounting-deferred关键字是互斥的,包括每个术语和每个筛选器。

注意:

T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。

service-accounting- deferred

捕获订阅者每个服务的统计信息时使用延迟计数机制。计数应用于 RADIUS 可以获得的特定命名计数器 (__junos-dyn-service-counter)。

service-accountingservice-accounting-deferred关键字是互斥的,包括每个术语和每个筛选器。

注意:

T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。

service-filter-hit

(仅当标志由当前类型的链式过滤器中的前一个过滤器标记时 service-filter-hit )将数据包定向到下一种类型的过滤器。

向链中的后续过滤器指示数据包已处理。此操作与接收滤波器中的匹配条件相结合 service-filter-hit ,有助于简化滤波器处理。

注意:

T4000 5 类 FPC 和 PTX 系列数据包传输路由器不支持此操作。

three-color-policer (single-rate | two-rate) policer-name

使用指定的单速率或双速率三色监管器对数据包进行监管。

注意:

您也不能为同一防火墙过滤器术语配置 loss-priority 操作。这两个操作是互斥的。