Nicht terminierende Aktionen für Firewall-Filter

bgp-output-queue-priority priority (expedited | (1-16))

Weisen Sie das Paket einer der 17 priorisierten BGP-Ausgabewarteschlangen zu.

count counter-name

Zählen Sie das Paket im benannten Zähler.

dont-fragment (set | clear)

Konfigurieren Sie den Wert des Don't Fragment-Bits (Flag) im IPv4-Header, um anzugeben, ob das Datagramm fragmentiert werden kann:

• set– Ändern Sie den Flag-Wert in eins, um eine Fragmentierung zu verhindern.

• clear: Ändern Sie den Flag-Wert in Null, um eine Fragmentierung zu ermöglichen.

dscp value

Legen Sie das DSCP-Bit (IPv4 Differentiated Services Code Point) fest. Sie können einen numerischen Wert von bis angeben.063 Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein .0x Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein.b

Der DSCP-Standardwert ist (best effort) oder .be0

Sie können auch eines der folgenden Textsynonyme angeben:

• af11—Gesicherte Weiterleitung Klasse 1, geringe Drop-Priorität (1)

• af12—Gesicherte Weiterleitung Klasse 1, mittlerer Drop-Vorrang (2)

• —Gesicherte Weiterleitungsklasse 1, hohe Drop-Priorität (3); und so weiter durch , Gesicherte Weiterleitung Klasse 4, hohe Drop-Prioritätaf13af43

• be—Bemühen Sie sich nach besten Kräften

• —Klassenauswahl 0; und so weiter bis , Klassenselektor 0cs0cs7

• ef—Beschleunigte Weiterleitung

enhanced-hierarchical-policer

Überwachen Sie die Pakete einer Datenverkehrspriorität mithilfe des angegebenen erweiterten hierarchischen Policers.

force-premium

Standardmäßig verarbeitet ein hierarchischer Policer den empfangenen Datenverkehr entsprechend der Weiterleitungsklasse des Datenverkehrs. Premium-Datenverkehr mit beschleunigter Weiterleitung hat Vorrang für die Bandbreite vor aggregiertem Datenverkehr nach bestem Bemühen. Der Filter stellt sicher, dass Datenverkehr, der dem Begriff entspricht, von einem nachfolgenden hierarchischen Policer als Premium-Datenverkehr behandelt wird, unabhängig von seiner Weiterleitungsklasse.force-premium Dieser Datenverkehr hat Vorrang vor dem aggregierten Datenverkehr, der von diesem Policer empfangen wird.

forwarding-class class-name

Klassifizieren Sie das Paket in die benannte Weiterleitungsklasse:

• forwarding-class-name

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

hierarchical-policer

Überwachen Sie das Paket mit dem angegebenen hierarchischen Policer

ipsec-sa ipsec-sa

Verwenden Sie die angegebene IPsec-Sicherheitszuordnung.

load-balance group-name

Verwenden Sie die angegebene Lastenausgleichsgruppe.

log

Protokollieren Sie die Paket-Header-Informationen in einem Puffer innerhalb der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den Befehl an der Befehlszeilenschnittstelle (CLI) eingeben.show firewall log

logical-system logical-system-name

Leiten Sie Pakete an ein bestimmtes logisches System weiter.

loss-priority (high | medium-high | medium-low | low)

Legen Sie die PLP-Stufe (Packet Loss Priority) fest.

Sie können die nicht beendende Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren.three-color-policer Diese beiden nicht beendenden Aktionen schließen sich gegenseitig aus.

Diese Aktion wird auf M120- und M320-Routern unterstützt. M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie.

Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die Anweisung auf Hierarchieebene einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. tri-color [edit class-of-service] Wenn die Anweisung nicht aktiviert ist, können Sie nur die Ebenen und konfigurieren.tri-colorhighlow Dies gilt für alle Protokollfamilien.

Weitere Informationen zur Anweisung und zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Verstehen, wie verhaltensaggregierte Klassifizierer vertrauenswürdigen Datenverkehr priorisieren.tri-colorUnderstanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

next-hop-group group-name

Verwenden Sie die angegebene Next-Hop-Gruppe.

Es wird empfohlen, die Aktion nicht mit der Aktion "oder " im selben Firewallfilter zu verwenden.next-hop-groupport-mirror-instanceport-mirror

next-interface interface-name

(MX-Serie) Leitt Pakete an die angegebene ausgehende Schnittstelle weiter.

next-ip ip-address

(MX-Serie) Leitt Pakete an die angegebene IPv4-Zieladresse weiter.

next-ip6 ipv6-address

(MX-Serie) Leitt Pakete an die angegebene IPv6-Zieladresse weiter.

packet-mode

Aktualisiert ein Bitfeld im Paketschlüsselpuffer, das den Datenverkehr angibt, der die datenstrombasierte Weiterleitung umgeht. Pakete mit dem Aktionsmodifizierer folgen dem paketbasierten Weiterleitungspfad und umgehen die flussbasierte Weiterleitung vollständig.packet-mode Gilt nur für SRX100-, SRX210-, SRX220-, SRX240- und SRX650-Geräte. Weitere Informationen zu selektiven zustandslosen paketbasierten Services finden Sie im Junos OS Security Configuration Guide.

policer policer-name

Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll.

policy-map policy-map-name

(MX-Serie) Name der Richtlinienzuordnung, die verwendet wird, um einem bestimmten Kunden bestimmte Umschreibungsregeln zuzuweisen.

port-mirror instance-name

Port-Spiegelung des Pakets basierend auf der angegebenen Familie. Diese Aktion wird nur auf M120-Routern, M320-Routern, die mit Enhanced III FPCs konfiguriert sind, Routern der MX-Serie und Paketübertragungs-Routern der PTX-Serie unterstützt.

Es wird empfohlen, nicht sowohl den als auch die Aktionen im selben Firewallfilter zu verwenden.next-hop-groupport-mirror

port-mirror-instance instance-name

Port-Spiegelung eines Pakets für eine Instanz. Diese Aktion wird nur auf Routern der MX-Serie unterstützt.

Es wird empfohlen, nicht sowohl den als auch die Aktionen im selben Firewallfilter zu verwenden.next-hop-groupport-mirror-instance

prefix-action action-name

Zählen oder überwachen Sie Pakete basierend auf dem angegebenen Aktionsnamen.

routing-instance routing-instance-name

Leitt Pakete an die angegebene Routing-Instanz weiter.

sample

Probieren Sie die Packung.

service-accounting

Verwenden Sie den Inline-Zählmechanismus, wenn Sie Statistiken zu Abonnenten pro Dienst erfassen.

Zählen Sie das Paket für die Dienstabrechnung. Die Anzahl wird auf einen bestimmten benannten Zähler () angewendet, den RADIUS abrufen kann.__junos-dyn-service-counter

Die Schlüsselwörter und schließen sich gegenseitig aus, sowohl pro Begriff als auch pro Filter.service-accountingservice-accounting-deferred

service-accounting- deferred

Verwenden Sie den Mechanismus der verzögerten Zählung, wenn Sie Statistiken zu Abonnenten pro Dienst erfassen. Die Anzahl wird auf einen bestimmten benannten Zähler () angewendet, den RADIUS abrufen kann.__junos-dyn-service-counter

Die Schlüsselwörter und schließen sich gegenseitig aus, sowohl pro Begriff als auch pro Filter.service-accountingservice-accounting-deferred

service-filter-hit

(Nur wenn das Flag durch einen vorherigen Filter im aktuellen Typ von verketteten Filtern markiert ist) Leiten Sie das Paket an den nächsten Filtertyp weiter.service-filter-hit

Zeigen Sie nachfolgenden Filtern in der Kette an, dass das Paket bereits verarbeitet wurde. Diese Aktion, gekoppelt mit der Übereinstimmungsbedingung beim Empfangen von Filtern, trägt dazu bei, die Filterverarbeitung zu optimieren.service-filter-hit

slice slice-name

Markieren Sie Pakete, die die Übereinstimmungsbedingungen der Regel erfüllen, mit der Slice-Kennung, die der Services Network-Slicing-Konfiguration entspricht. Siehe Slice (Firewall-Filteraktion).https://www.juniper.net/documentation/us/en/software/junos/cos-hierarchical/cos/topics/ref/statement/slice(firewallfilteraction).html

syslog

Protokollieren Sie das Paket in der Systemprotokolldatei.

Die Syslog-Firewallaktion für vorhandene und Familien sowie die Aktion in L2-Familienfiltern enthält die folgenden L2-Informationen:inetinet6syslog

Eingabeschnittstelle, Aktion, VLAN-ID1, VLAN-ID2, Ethernet-Typ, Quell- und Ziel-MAC-Adressen, Protokoll, Quell- und Ziel-IP-Adressen, Quell- und Zielports und die Anzahl der Pakete.

three-color-policer (single-rate | two-rate) policer-name

Überwachen Sie das Paket mit dem angegebenen Single-Rate- oder Two-Rate-Three-Color-Policer.

traffic-class value

Geben Sie den Codepunkt für die Datenverkehrsklasse an. Sie können einen numerischen Wert von bis angeben.063 Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein .0x Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein.b

Der Standardwert für die Datenverkehrsklasse ist best effort, d. h . oder .be0

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben:

• af11—Gesicherte Weiterleitungsklasse 1, geringe Drop-Priorität

• af12—Gesicherte Weiterleitungsklasse 1, mittlere Drop-Priorität

• af13—Gesicherte Weiterleitungsklasse 1, hohe Drop-Priorität

• af21—Gesicherte Weiterleitungsklasse 2, geringe Drop-Priorität

• af22—Gesicherte Weiterleitungsklasse 2, mittlere Drop-Priorität

• af23—Gesicherte Weiterleitungsklasse 2, hohe Drop-Priorität

• af31—Gesicherte Weiterleitungsklasse 3, geringe Drop-Priorität

• af32—Gesicherte Weiterleitung Klasse 3, mittlere Drop-Priorität

• af33—Gesicherte Weiterleitungsklasse 3, hohe Drop-Priorität

• af41—Gesicherte Weiterleitungsklasse 4, geringe Drop-Priorität

• af42—Gesicherte Weiterleitung Klasse 4, mittlerer Drop-Vorrang

• af43—Gesicherte Weiterleitungsklasse 4, hohe Drop-Priorität

• be—Bemühen Sie sich nach besten Kräften

• cs0—Klassenauswahl 0

• cs1—Klassenauswahl 1

• cs2—Klassenauswahl 2

• cs3—Klassenauswahl 3

• cs4—Klassenauswahl 4

• cs5—Klassenauswahl 5

• cs6—Klassenauswahl 6

• cs7—Klassenauswahl 7

• ef—Beschleunigte Weiterleitung