Nicht terminierende Aktionen für Firewall-Filter
Firewallfilter unterstützen für jede Protokollfamilie unterschiedliche Sätze von nicht terminierenden Aktionen, einschließlich einer impliziten Annahmeaktion. Nicht beendend bedeutet in diesem Zusammenhang, dass auf diese Aktionen andere Aktionen folgen können, während keine anderen Aktionen auf eine beendende Aktion folgen können. Daher können Sie die Aktion nicht mit einer beendenden Aktion im selben Filterbegriff konfigurieren.next term
Sie können die Aktion jedoch mit einer anderen nicht beendenden Aktion im selben Filterbegriff konfigurieren.next term
Kann unter Junos OS und Junos OS Evolved nicht als letzter Termin der Aktion angezeigt werden.next term
Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term
Tabelle 1 Beschreibt die nicht beendenden Aktionen, die Sie für einen Firewallfilterbegriff konfigurieren können.
Nicht beendende Aktion |
Beschreibung |
Protokollfamilien |
---|---|---|
|
Weisen Sie das Paket einer der 17 priorisierten BGP-Ausgabewarteschlangen zu. |
|
|
Zählen Sie das Paket im benannten Zähler. |
|
|
Konfigurieren Sie den Wert des Don't Fragment-Bits (Flag) im IPv4-Header, um anzugeben, ob das Datagramm fragmentiert werden kann:
HINWEIS:
Die Aktionen werden nur auf MPCs unterstützt. |
|
|
Legen Sie das DSCP-Bit (IPv4 Differentiated Services Code Point) fest. Sie können einen numerischen Wert von bis angeben. Der DSCP-Standardwert ist (best effort) oder . Sie können auch eines der folgenden Textsynonyme angeben:
HINWEIS:
Diese Aktion wird auf Routern der PTX-Serie nicht unterstützt. HINWEIS:
MPC-Linecards, die auf Routern der MX-Serie ausgeführt werden, unterstützen jeden Wert (von 0 bis 63) in Verbindung mit der Firewall-Filteraktion. HINWEIS:
Die Aktionen und werden nur auf T320-, T640-, T1600-, TX Matrix-, TX Matrix Plus- und M320-Routern sowie auf modularen 10-Gigabit-Ethernet-Portkonzentratoren (MPC) unterstützt. |
|
|
Überwachen Sie die Pakete einer Datenverkehrspriorität mithilfe des angegebenen erweiterten hierarchischen Policers. |
|
|
Standardmäßig verarbeitet ein hierarchischer Policer den empfangenen Datenverkehr entsprechend der Weiterleitungsklasse des Datenverkehrs. Premium-Datenverkehr mit beschleunigter Weiterleitung hat Vorrang für die Bandbreite vor aggregiertem Datenverkehr nach bestem Bemühen. Der Filter stellt sicher, dass Datenverkehr, der dem Begriff entspricht, von einem nachfolgenden hierarchischen Policer als Premium-Datenverkehr behandelt wird, unabhängig von seiner Weiterleitungsklasse. HINWEIS:
Die Filteroption wird nur auf MPCs unterstützt. |
|
|
Klassifizieren Sie das Paket in die benannte Weiterleitungsklasse:
|
|
|
Überwachen Sie das Paket mit dem angegebenen hierarchischen Policer |
|
|
Verwenden Sie die angegebene IPsec-Sicherheitszuordnung. HINWEIS:
Diese Aktion wird auf Routern der MX-Serie, Typ-5-FPCs auf T4000-Routern und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Verwenden Sie die angegebene Lastenausgleichsgruppe. HINWEIS:
Diese Aktion wird auf Routern der MX-Serie oder Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Protokollieren Sie die Paket-Header-Informationen in einem Puffer innerhalb der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den Befehl an der Befehlszeilenschnittstelle (CLI) eingeben. HINWEIS:
Die Protokollaktion für Layer-2-Familien (L2) ist nur für Router der MX-Serie mit MPCs verfügbar (MPC-Modus, wenn der Router nur über MPCs verfügt, oder Mix-Modus, wenn MPCs und DCPs vorhanden sind). Bei Routern der MX-Serie mit DPCs wird die Protokollaktion für L2-Familien ignoriert, falls konfiguriert. |
|
|
Leiten Sie Pakete an ein bestimmtes logisches System weiter. |
|
|
Legen Sie die PLP-Stufe (Packet Loss Priority) fest. Sie können die nicht beendende Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. Diese Aktion wird auf M120- und M320-Routern unterstützt. M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie. Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die Anweisung auf Hierarchieebene einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Weitere Informationen zur Anweisung und zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Verstehen, wie verhaltensaggregierte Klassifizierer vertrauenswürdigen Datenverkehr priorisieren. |
|
|
Verwenden Sie die angegebene Next-Hop-Gruppe. Es wird empfohlen, die Aktion nicht mit der Aktion "oder " im selben Firewallfilter zu verwenden. |
|
|
(MX-Serie) Leitt Pakete an die angegebene ausgehende Schnittstelle weiter. |
|
|
(MX-Serie) Leitt Pakete an die angegebene IPv4-Zieladresse weiter. |
|
|
(MX-Serie) Leitt Pakete an die angegebene IPv6-Zieladresse weiter. |
|
|
Aktualisiert ein Bitfeld im Paketschlüsselpuffer, das den Datenverkehr angibt, der die datenstrombasierte Weiterleitung umgeht. Pakete mit dem Aktionsmodifizierer folgen dem paketbasierten Weiterleitungspfad und umgehen die flussbasierte Weiterleitung vollständig. |
|
|
Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll. |
|
|
(MX-Serie) Name der Richtlinienzuordnung, die verwendet wird, um einem bestimmten Kunden bestimmte Umschreibungsregeln zuzuweisen. |
|
|
Port-Spiegelung des Pakets basierend auf der angegebenen Familie. Diese Aktion wird nur auf M120-Routern, M320-Routern, die mit Enhanced III FPCs konfiguriert sind, Routern der MX-Serie und Paketübertragungs-Routern der PTX-Serie unterstützt. Es wird empfohlen, nicht sowohl den als auch die Aktionen im selben Firewallfilter zu verwenden. |
|
|
Port-Spiegelung eines Pakets für eine Instanz. Diese Aktion wird nur auf Routern der MX-Serie unterstützt. Es wird empfohlen, nicht sowohl den als auch die Aktionen im selben Firewallfilter zu verwenden. |
|
|
Zählen oder überwachen Sie Pakete basierend auf dem angegebenen Aktionsnamen. HINWEIS:
Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Leitt Pakete an die angegebene Routing-Instanz weiter. |
|
|
Probieren Sie die Packung. HINWEIS:
Junos OS testet keine Pakete, die vom Router stammen. Wenn Sie einen Filter konfigurieren und ihn auf die Ausgabeseite einer Schnittstelle anwenden, werden nur die Transitpakete abgetastet, die diese Schnittstelle durchlaufen. Pakete, die von der Routing-Engine an die Paketweiterleitungs-Engine gesendet werden, werden nicht abgetastet. |
|
|
Verwenden Sie den Inline-Zählmechanismus, wenn Sie Statistiken zu Abonnenten pro Dienst erfassen. Zählen Sie das Paket für die Dienstabrechnung. Die Anzahl wird auf einen bestimmten benannten Zähler () angewendet, den RADIUS abrufen kann. Die Schlüsselwörter und schließen sich gegenseitig aus, sowohl pro Begriff als auch pro Filter. HINWEIS:
Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Verwenden Sie den Mechanismus der verzögerten Zählung, wenn Sie Statistiken zu Abonnenten pro Dienst erfassen. Die Anzahl wird auf einen bestimmten benannten Zähler () angewendet, den RADIUS abrufen kann. Die Schlüsselwörter und schließen sich gegenseitig aus, sowohl pro Begriff als auch pro Filter. HINWEIS:
Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
(Nur wenn das Flag durch einen vorherigen Filter im aktuellen Typ von verketteten Filtern markiert ist) Leiten Sie das Paket an den nächsten Filtertyp weiter. Zeigen Sie nachfolgenden Filtern in der Kette an, dass das Paket bereits verarbeitet wurde. Diese Aktion, gekoppelt mit der Übereinstimmungsbedingung beim Empfangen von Filtern, trägt dazu bei, die Filterverarbeitung zu optimieren. HINWEIS:
Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Markieren Sie Pakete, die die Übereinstimmungsbedingungen der Regel erfüllen, mit der Slice-Kennung, die der Services Network-Slicing-Konfiguration entspricht. Siehe Slice (Firewall-Filteraktion).https://www.juniper.net/documentation/us/en/software/junos/cos-hierarchical/cos/topics/ref/statement/slice(firewallfilteraction).html |
|
|
Protokollieren Sie das Paket in der Systemprotokolldatei. Die Syslog-Firewallaktion für vorhandene und Familien sowie die Aktion in L2-Familienfiltern enthält die folgenden L2-Informationen: Eingabeschnittstelle, Aktion, VLAN-ID1, VLAN-ID2, Ethernet-Typ, Quell- und Ziel-MAC-Adressen, Protokoll, Quell- und Ziel-IP-Adressen, Quell- und Zielports und die Anzahl der Pakete. HINWEIS:
Die Syslog-Aktion der L2-Familien ist nur für Router der MX-Serie mit MPCs verfügbar (MPC-Modus, wenn der Router nur über MPCs verfügt, oder Mix-Modus, wenn MPCs und DCPs vorhanden sind). Bei Routern der MX-Serie mit DPCs wird die Syslog-Aktion für L2-Familien ignoriert, sofern konfiguriert. |
|
|
Überwachen Sie das Paket mit dem angegebenen Single-Rate- oder Two-Rate-Three-Color-Policer. HINWEIS:
Sie können die Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. |
|
|
Geben Sie den Codepunkt für die Datenverkehrsklasse an. Sie können einen numerischen Wert von bis angeben. Der Standardwert für die Datenverkehrsklasse ist best effort, d. h . oder . Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben:
HINWEIS:
Die Aktionen und werden nur auf Routern der T-Serie und M320 sowie auf dem 10-Gigabit Ethernet Modular Port Concentrator (MPC), 60-Gigabit Ethernet MPC, 60-Gigabit Ethernet Queuing MPC und 60-Gigabit Ethernet Enhanced Queuing MPC auf Routern der MX-Serie unterstützt. |
|