Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Nichtterminierende Aktionen für Firewall-Filter

Firewall-Filter unterstützen verschiedene Sätze nichtterminierender Aktionen für jede Protokollfamilie, die eine implizite Accept-Aktion enthalten. In diesem Kontext bedeutet die Nicht-Endung, dass andere Aktionen diesen Aktionen folgen können, während keine anderen Aktionen eine beendende Aktion durchführen können. Daher können Sie die Aktion nicht mit einer next termTerminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können die Aktion jedoch mit einer anderen next termnichtterminierenden Aktion im gleichen Filterbegriff konfigurieren.

Anmerkung:

Auf Junos OS Weiterentwickelt, next term kann nicht als letzter Ausdruck der Aktion erscheinen. Ein Filterbegriff, der als Aktion festgelegt wird, aber ohne die Konfiguration von Übereinstimmungsbedingungen next term wird nicht unterstützt.

Tabelle 1 beschreiben die nicht deaktivierten Aktionen, die Sie für einen Begriff für den Firewall-Filter konfigurieren können.

Tabelle 1: Nicht deaktivierte Aktionen für Firewallfilter

Nichtterminierende Aktion

Beschreibung

Protokollfamilien

bgp-output-queue-priority priority (expedited | (1-16))

Weisen Sie das Paket einer der 17 priorisierten Datenwarteschlangen BGP zu.

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

Zählen Sie das Paket auf den benannten Zähler.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

Konfigurieren Sie den Wert des Nicht-Fragment-Bit (Flag) im IPv4-Header, um anzugeben, ob das Datagramm fragmentiert werden kann:

  • set— Ändern Sie den Flag-Wert in einen Wert, um eine Fragmentierung zu verhindern.

  • clear— Ändern Sie den Flag-Wert in Null, um eine Fragmentierung zu ermöglichen.

Anmerkung:

Die dont-fragment (set | clear) Aktionen werden nur auf MPCs unterstützt.

family inet

dscp value

Legen Sie das IPv4-DSCP-Bit (Differentiated Services Code Point) fest. Sie können einen Mehrwert spezifizieren 0 von durch 63 . Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Der DSCP-Standardwert be ist (bester Aufwand) oder 0 .

Sie können auch eines der folgenden Texts synonyme angeben:

  • af11— Gesicherte Weiterleitungsklasse 1, Low-Drop-Rangfolge (1)

  • af12— Gesicherte Weiterleitungsklasse 1, Medium Drop Precedence (2)

  • af13— Gesicherte Weiterleitungsklasse 1, Hohe Drop-Rangfolge (3); Und so weiter – af43 Gesicherte Weiterleitungsklasse 4, High-Drop-Precedence

  • be— Best Effort

  • cs0– Class-Selektor 0; Und so weiter über cs7 , Class-Selektor 0

  • ef— Beschleunigte Weiterleitung

Anmerkung:

Diese Aktion wird auf Routern der PTX-Serie nicht unterstützt.

Anmerkung:

MPC-Linekarten, die auf Routern der MX-Serie ausgeführt werden, unterstützen jeden Wert (von 0 bis 63) in Verbindung mit der Aktion zum set dscp Firewall-Filter.

Anmerkung:

Die Aktionen werden nur auf dscp 0dscp be T320-, T640-, T1600-, TX Matrix-, TX Matrix Plus- und M320-Routern und auf 10-Gigabit Ethernet Modular Port Concentrators (MPC) unterstützt. Diese Aktionen werden jedoch auf Enhanced III Flexible PIC Concentrators (FPCs) auf Routern M320 nicht unterstützt. Auf T4000 Routern wird die Aktion während der Verbindung zwischen einer T1600 FPC für höhere Skalierung und einer Typ dscp 0 5-FPC T4000 unterstützt.

family inet

force-premium

Standardmäßig verarbeitet ein hierarchischer Policer den empfangenen Datenverkehr entsprechend der Weiterleitungsklasse des Datenverkehrs. Premium, der beschleunigte Weiterleitungsverkehr, hat Priorität für die Bandbreite gegenüber dem aggregierten Best-Effort-Datenverkehr. Der Filter stellt sicher, dass der dem Begriff entsprechende Datenverkehr von einem nachfolgenden hierarchischen Policer als Premium-Datenverkehr behandelt wird, unabhängig force-premium von der Weiterleitungsklasse. Dieser Datenverkehr wird bevorzugt für jeglichen aggregierten Datenverkehr, der von diesem Policer empfangen wird.

Anmerkung:

Die force-premium Filteroption wird nur auf MPCs unterstützt.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

Klassifizieren Sie das Paket der benannten Weiterleitungsklasse:

  • Forwarding Class Name

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

Policen des Pakets mithilfe des angegebenen hierarchischen Policers

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

Verwenden Sie die angegebene IPsec-Sicherheitsgemeinschaft.

Anmerkung:

Diese Aktion wird auf Routern der MX-Serie, Typ 5 FPCs auf routern der T4000 und PtX-Serie-Paketübertragungs-Router.

family inet

load-balance group-name

Verwenden Sie die angegebene Load-Balancing-Gruppe.

Anmerkung:

Diese Aktion wird auf Routern der MX-Serie oder PtX-Serie nicht Paketübertragungs-Router.

family inet

log

Protokollieren Sie die Informationen zum Paket-Header in einem Puffer innerhalb Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den show firewall log Befehl am Befehlszeilenschnittstelle (CLI) (CLI).

Anmerkung:

Protokollmaßnahmen zur Layer 2-Familie (L2) sind nur für Router der MX-Serie mit MPCs (MPC-Modus) verfügbar, wenn der Router nur MPCs verwendet, oder im Mix-Modus über MPCs und DCPs. Bei Routern der MX-Serie mit DPCs wird die Protokollaktion für L2-Familien bei Konfiguration ignoriert.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

Leitet Pakete an ein bestimmtes logisches System weiter.

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

Legen Sie die Paketverlustprioritätsebene (PLP) fest.

Sie können auch nicht die three-color-policer nicht deaktivierte Aktion für den gleichen Firewall-Filterbegriff konfigurieren. Diese beiden nicht-endlosen Aktionen schließen sich gegenseitig aus.

Diese Aktion wird auf Routern M120 routern M320 unterstützt. M7i- M10i mit Enhanced CFEB (CFEB-E); routern der MX-Serie.

Für den IP-Datenverkehr auf Routern der M320-, MX-Serie und T-Serie-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) muss die Anweisung auf der Hierarchieebene enthalten sein, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen tri-color[edit class-of-service] festzulegen. Wenn die tri-color Aussage nicht aktiviert ist, können Sie nur die Ebenen highlow konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur Anweisung und zum Verwenden von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter tri-color Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic(So priorisieren die aggregierten Classifier den vertrauenswürdigen Datenverkehr).

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

Verwenden Sie die angegebene Next-Hop-Gruppe.

Wir empfehlen Ihnen, die Aktion nicht mit demselben Firewall-Filter oder der next-hop-group Aktion zu port-mirror-instanceport-mirror verwenden.

  • family any

  • family inet

next-interface interface-name

(MX-Serie) Leitet Pakete an die angegebene ausgehende Schnittstelle weiter.

  • family inet

  • family inet6

next-ip ip-address

(MX-Serie) Leitet Pakete an die angegebene IPv4-Zieladresse weiter.

family inet

next-ip6 ipv6-address

(MX-Serie) Leitet Pakete an die angegebene IPv6-Zieladresse weiter.

family inet6

packet-mode

Aktualisiert ein Bitfeld im Paketschlüsselpuffer, wodurch der Datenverkehr angibt, der die flussbasierte Weiterleitung umgehen soll. Pakete mit der packet-mode Aktionsmodfizierer folgen dem paketbasierten Weiterleitungspfad und umgehen die flussbasierte Weiterleitung vollständig. Gilt nur SRX100, SRX210, SRX220, SRX240 und SRX650 Geräten. Weitere Informationen zu selektiven zustandslosen paketbasierten Diensten finden Sie im Leitfaden Junos OS Sicherheitskonfiguration.

family any

policer policer-name

Name des Policers zur Verwendung zur Begrenzung des Datenverkehrsraten.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(MX-Serie) Name der Richtlinienzuordnung, die verwendet wird, um einem bestimmten Kunden spezifische Rewrite-Regeln zu zuweisen.

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

Spiegelung des Pakets basierend auf der angegebenen Familie. Diese Aktion wird auf Routern M120 Routern, M320 mit Enhanced III FPCs, Routern der MX-Serie und nur Paketübertragungs-Router PTX-Serie unterstützt.

Wir empfehlen, dass Sie sowohl die Aktionen next-hop-group als auch die Aktionen im selben port-mirror Firewall-Filter nicht verwenden.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

Port-Spiegelung eines Pakets für eine Instanz. Diese Aktion wird nur auf den Routern der MX-Serie unterstützt.

Wir empfehlen, dass Sie sowohl die Aktionen next-hop-group als auch die Aktionen im selben port-mirror-instance Firewall-Filter nicht verwenden.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

Zählen oder Police-Pakete basierend auf dem angegebenen Aktionsnamen.

Anmerkung:

Diese Aktion wird auf den Daten der PTX-Serie Paketübertragungs-Router.

family inet

routing-instance routing-instance-name

Leitet Pakete an die angegebene Routing-Instanz weiter.

  • family inet

  • family inet6

sample

Das Paket mustern.

Anmerkung:

Junos OS nicht für Vom Router ausgehende Pakete. Wenn Sie einen Filter konfigurieren und auf die Ausgabeseite einer Schnittstelle anwenden, dann werden nur die Transitpakete, die diese Schnittstelle durchgangen, ins Beispiel gesendet. Pakete, die vom Paket-Routing-Engine an den Packet Forwarding Engine gesendet werden, werden nicht mustermustert.

  • family inet

  • family inet6

  • family mpls

service-accounting

Verwenden Sie den Inline-Zählermechanismus bei der Erfassung von Abonnentenstatistiken pro Service.

Das Paket für Service-Accounting zählen. Die Anz. wird auf einen bestimmten benannten Zähler ( ) angewendet, der RADIUS __junos-dyn-service-counter erlangen kann.

Sowohl die Suchbegriffe als auch die Keywords enthalten service-accountingservice-accounting-deferred keine bestimmten Begriffe.

Anmerkung:

Diese Aktion wird auf den Typ 5 FPCs T4000 PTX-Serie und den PTX-Serien-Paketübertragungs-Router.

  • family any

  • family inet

  • family inet6

service-accounting- deferred

Verwenden Sie den Deferred Counting-Mechanismus bei der Erfassung von Abonnentenstatistiken pro Service. Die Anz. wird auf einen bestimmten benannten Zähler ( ) angewendet, der RADIUS __junos-dyn-service-counter erlangen kann.

Sowohl die Suchbegriffe als auch die Keywords enthalten service-accountingservice-accounting-deferred keine bestimmten Begriffe.

Anmerkung:

Diese Aktion wird auf den Typ 5 FPCs T4000 PTX-Serie und den PTX-Serien-Paketübertragungs-Router.

  • family any

  • family inet

  • family inet6

service-filter-hit

(Nur, wenn der Flag von einem vorherigen Filter im aktuellen Filtertyp von verketteten Filtern markiert wurde) Leitet das Paket zum service-filter-hit nächsten Filtertyp an.

Geben Sie die nachfolgenden Filter in der Kette an, dass das Paket bereits verarbeitet wurde. Diese Aktion in Kombination mit der service-filter-hit Bedingungen in Empfangsfiltern hilft bei der Optimierung der Filterverarbeitung.

Anmerkung:

Diese Aktion wird auf den Typ 5 FPCs T4000 PTX-Serie und den PTX-Serien-Paketübertragungs-Router.

  • family any

  • family inet

  • family inet6

syslog

Protokollieren Sie das Paket in der Systemprotokolldatei.

Die Syslog-Firewall-Aktion für vorhandene und Familien, und die Aktion in L2-Familienfiltern inet umfasst die folgenden inet6syslog L2-Informationen:

Eingabeschnittstelle, Aktion, VLAN ID1, VLAN-ID2, Ethernet-Typ, Quell- und Ziel-MAC-Adressen, Protokoll, Quell- und Ziel-IP-Adressen, Quell- und Ziel-Ports und die Anzahl der Pakete.

Anmerkung:

Das Syslog der L2-Familien ist nur für Router der MX-Serie mit MPCs (MPC-Modus, wenn der Router nur MPCs verwendet, oder den Mix-Modus mit MPCs und DCPs) verfügbar. Bei Routern der MX-Serie mit DPCs wird die Syslog-Aktion für L2-Familien bei Konfiguration ignoriert.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

Policen des Pakets mithilfe des angegebenen Single-Rate- oder Two-Rate Three-Color-Policer.

Anmerkung:

Sie können die Aktion für den gleichen loss-priority Begriff des Firewall-Filter nicht konfigurieren. Beide Aktionen schließen sich gegenseitig aus.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

Geben Sie den Codepunkt der Datenverkehrsklasse an. Sie können einen Mehrwert spezifizieren 0 von durch 63 . Um den Wert in Hexadezimalform anzugeben, geben Sie 0x als Präfix ein. Um den Wert in binärer Form anzugeben, geben Sie b als Präfix ein.

Der standardmäßige Wert der Datenverkehrsklasse ist der beste Versuch, oder be0 .

Sie können an der Stelle des numerischen Werts eines der folgenden Text synonyme angeben:

  • af11— Gesicherte Weiterleitungsklasse 1, Low-Drop-Rangfolge

  • af12— Gesicherte Weiterleitungsklasse 1, Medium Drop Precedence

  • af13— Gesicherte Weiterleitungsklasse 1, Hohe Drop-Rangfolge

  • af21— Gesicherte Weiterleitungsklasse 2, Low-Drop-Rangfolge

  • af22— Gesicherte Weiterleitungsklasse 2, Medium Drop Precedence

  • af23— Gesicherte Weiterleitungsklasse 2, Hohe Drop-Rangfolge

  • af31— Gesicherte Weiterleitungsklasse 3, Low-Drop-Rangfolge

  • af32— Gesicherte Weiterleitungsklasse 3, Medium-Drop-Rangfolge

  • af33— Gesicherte Weiterleitungsklasse 3, High-Drop-Rangfolge

  • af41— Gesicherte Weiterleitungsklasse 4, Low-Drop-Rangfolge

  • af42— Gesicherte Weiterleitungsklasse 4, Medium Drop Precedence

  • af43— Gesicherte Weiterleitungsklasse 4, Hohe Drop-Rangfolge

  • be— Best Effort

  • cs0— Class-Selektor 0

  • cs1– Class-Selektor 1

  • cs2— Class-Selektor 2

  • cs3– Class-Selektor 3

  • cs4– Klassen-Selektor 4

  • cs5— Class-Selektor 5

  • cs6— Class-Selektor 6

  • cs7— Klassen-Selektor 7

  • ef— Beschleunigte Weiterleitung

Anmerkung:

Die Aktionen werden nur auf T-Serie- und M320-Routern und auf dem traffic-class 0traffic-class be 10-Gigabit Ethernet Modular Port Concentrator (MPC), 60-Gigabit Ethernet MPC, 60-Gigabit Ethernet Queuing MPC und 60-Gigabit Ethernet Enhanced MPC auf Routern der MX-Serie unterstützt. Diese Aktionen werden jedoch auf Enhanced III Flexible PIC Concentrators (FPCs) auf Routern M320 nicht unterstützt.

family inet6