Firewall-Filter Nichtbestimmte Aktionen
Firewall-Filter unterstützen unterschiedliche Gruppen von nichtterminierenden Aktionen für jede Protokollfamilie, die eine implizite Akzeptierungsaktion umfassen. In diesem Kontext bedeutet Nichtbestimmung , dass andere Aktionen diesen Aktionen folgen können, während keine anderen Aktionen einer Terminierungsaktion folgen können. Daher können Sie die next term
Aktion nicht mit einer Terminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können die next term
Aktion jedoch mit einer anderen nichtterminierenden Aktion mit demselben Filterbegriff konfigurieren.
Unter Junos OS Evolved next term
kann nicht als letzter Begriff der Aktion angezeigt werden. Ein Filterbegriff, bei dem next term
als Aktion angegeben wird, aber ohne Konfiguration der Übereinstimmungsbedingungen, wird nicht unterstützt.
Tabelle 1 beschreibt die nicht bestimmten Aktionen, die Sie für einen Firewall-Filterbegriff konfigurieren können.
Nichtbestimmte Aktion |
Beschreibung |
Protokollfamilien |
---|---|---|
|
Weisen Sie das Paket einer der 17 priorisierten BGP-Ausgabewarteschlangen zu. |
|
|
Zählen Sie das Paket im benannten Zähler. |
|
|
Konfigurieren Sie den Wert des Don't Fragment Bit (Flag) im IPv4-Header, um anzugeben, ob das Datagramm fragmentiert werden kann:
HINWEIS:
Die |
|
|
Legen Sie das DSCP-Bit (IPv4 Differenzierte Services) fest. Sie können einen numerischen Wert von Der DSCP-Standardwert ist Sie können auch eines der folgenden Text-Synonyme angeben:
HINWEIS:
Diese Aktion wird auf Routern der PTX-Serie nicht unterstützt. HINWEIS:
MPC-Linecards, die auf Routern der MX-Serie ausgeführt werden, unterstützen jeden Wert (von 0 bis 63) in Verbindung mit der HINWEIS:
Die Aktionen |
|
|
Standardmäßig verarbeitet ein hierarchischer Policer den empfangenen Datenverkehr entsprechend der Weiterleitungsklasse des Datenverkehrs. Premium-, beschleunigter Weiterleitungsverkehr hat Priorität für Bandbreite gegenüber aggregiertem Datenverkehr mit bestmöglicher Leistung. Der HINWEIS:
Die |
|
|
Klassifizieren Sie das Paket in die benannte Weiterleitungsklasse:
|
|
|
Überwachung des Pakets mithilfe des angegebenen hierarchischen Policers |
|
|
Verwenden Sie die angegebene IPsec-Sicherheitszuordnung. HINWEIS:
Diese Aktion wird auf Routern der MX-Serie, Typ 5 FPCs auf T4000-Routern und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Verwenden Sie die angegebene Load-Balancing-Gruppe. HINWEIS:
Diese Aktion wird auf Routern der MX-Serie oder Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Protokollieren Sie die Paket-Header-Informationen in einem Puffer in der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den HINWEIS:
Die Protokollaktion der Layer 2 (L2)-Familien ist nur für Router der MX-Serie mit MPCs verfügbar (MPC-Modus, wenn der Router nur MPCs hat, oder Mischmodus, wenn er MPCs und DCPs hat). Bei Routern der MX-Serie mit DPCs wird die Protokollaktion für L2-Familien ignoriert, wenn sie konfiguriert wird. |
|
|
Leiten Sie Pakete an ein bestimmtes logisches System. |
|
|
Legen Sie die PlP-Ebene (Packet Loss Priority) fest. Sie können auch die Diese Aktion wird auf M120- und M320-Routern unterstützt. M7i- und M10i-Router mit erweitertem CFEB (CFEB-E); und Router der MX-Serie. Für IP-Datenverkehr auf Routern der M320-, MX- und T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die Informationen zur Anweisung und zur |
|
|
Verwenden Sie die angegebene Next-Hop-Gruppe. Wir empfehlen, die Aktion nicht mit dem oder |
|
|
(MX-Serie) Leiten Sie Pakete an die angegebene ausgehende Schnittstelle. |
|
|
(MX-Serie) Leiten Sie Pakete an die angegebene Ziel-IPv4-Adresse. |
|
|
(MX-Serie) Leiten Sie Pakete an die angegebene Ziel-IPv6-Adresse. |
|
|
Aktualisiert ein Bitfeld im Paketschlüsselpuffer, das den Datenverkehr angibt, der die ablaufbasierte Weiterleitung umgehen wird. Pakete mit dem |
|
|
Name des Policer zur Geschwindigkeitsbegrenzung des Datenverkehrs. |
|
|
(MX-Serie) Name der Richtlinienübersicht, die zum Zuweisen spezifischer Rewrite-Regeln zu einem bestimmten Kunden verwendet wird. |
|
|
Port-Spiegelung des Pakets basierend auf der angegebenen Familie. Diese Aktion wird nur auf M120 Routern unterstützt, M320 Routern, die mit Enhanced III FPCs konfiguriert sind, Routern der MX-Serie und Paketübertragungs-Routern der PTX-Serie. Wir empfehlen, dass Sie nicht sowohl den als auch die |
|
|
Port spiegele ein Paket für eine Instanz. Diese Aktion wird nur auf den Routern der MX-Serie unterstützt. Wir empfehlen, dass Sie nicht sowohl den als auch die |
|
|
Anzahl oder Polizeipakete basierend auf dem angegebenen Aktionsnamen. HINWEIS:
Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Leiten Sie Pakete an die angegebene Routing-Instanz. |
|
|
Testen Sie das Paket. HINWEIS:
Junos OS gibt keine Stichprobenpakete, die vom Router stammen. Wenn Sie einen Filter konfigurieren und auf die Ausgabeseite einer Schnittstelle anwenden, werden nur die Transitpakete erfasst, die diese Schnittstelle durchlaufen. Pakete, die von der Routing-Engine an die Packet Forwarding Engine gesendet werden, werden nicht abgetastet. |
|
|
Verwenden Sie den Inline-Zählmechanismus für die Erfassung von Abonnentenstatistiken pro Service. Zählen Sie das Paket für die Dienstbuchhaltung. Die Anzahl wird auf einen bestimmten benannten Zähler ( Die HINWEIS:
Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Verwenden Sie den Mechanismus für die verzögerte Zählung bei der Erfassung von Abonnentenstatistiken pro Service. Die Anzahl wird auf einen bestimmten benannten Zähler ( Die HINWEIS:
Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
(Nur wenn das Geben Sie den nachfolgenden Filtern in der Kette an, dass das Paket bereits verarbeitet wurde. Diese Aktion in Verbindung mit der Übereinstimmungsbedingung HINWEIS:
Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Protokollieren Sie das Paket in der Systemprotokolldatei. Die Syslog-Firewall-Aktion für vorhandene Eingabeschnittstelle, Aktion, VLAN ID1, VLAN ID2, Ethernet-Typ, Quell- und Ziel-MAC-Adressen, Protokoll, Quell- und Ziel-IP-Adressen, Quell- und Ziel-Ports und die Anzahl der Pakete. HINWEIS:
Die Syslog-Aktion der L2-Familien ist nur für Router der MX-Serie mit MPCs verfügbar (MPC-Modus, wenn der Router nur MPCs hat, oder Mischmodus, wenn er MPCs und DCPs hat). Bei Routern der MX-Serie mit DPCs wird die Syslog-Aktion für L2-Familien ignoriert, wenn sie konfiguriert ist. |
|
|
Polizeien Sie das Paket mit dem angegebenen Single-Rate- oder Zwei-Rate-Three-Color-Policer. HINWEIS:
Sie können die |
|
|
Geben Sie den Codepunkt der Datenverkehrsklasse an. Sie können einen numerischen Wert von Der Standardwert der Datenverkehrsklasse ist die beste Anstrengung, Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben:
HINWEIS:
Die Aktionen |
|