Nicht terminierende Aktionen für Firewall-Filter

bgp-output-queue-priority priority (expedited | (1-16))

Weisen Sie das Paket einer der 17 priorisierten BGP-Ausgabewarteschlangen zu.

count counter-name

Zählen Sie das Paket im benannten Zähler.

dont-fragment (set | clear)

Konfigurieren Sie den Wert des Don't Fragment-Bits (Flag) im IPv4-Header, um anzugeben, ob das Datagramm fragmentiert werden kann:

• set– Ändern Sie den Flag-Wert in eins, um eine Fragmentierung zu verhindern.

• clear: Ändern Sie den Flag-Wert in Null, um eine Fragmentierung zu ermöglichen.

dscp value

Legen Sie das DSCP-Bit (IPv4 Differentiated Services Code Point) fest. Sie können einen numerischen Wert von 0 bis 63angeben. Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein 0x . Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein. b

Der DSCP-Standardwert ist be (best effort) oder 0.

Sie können auch eines der folgenden Textsynonyme angeben:

• af11—Gesicherte Weiterleitung Klasse 1, geringe Drop-Priorität (1)

• af12—Gesicherte Weiterleitung Klasse 1, mittlerer Drop-Vorrang (2)

• af13—Gesicherte Weiterleitungsklasse 1, hohe Drop-Priorität (3); und so weiter durch af43, Gesicherte Weiterleitung Klasse 4, hohe Drop-Priorität

• be—Bemühen Sie sich nach besten Kräften

• cs0—Klassenauswahl 0; und so weiter bis cs7, Klassenselektor 0

• ef—Beschleunigte Weiterleitung

enhanced-hierarchical-policer

Überwachen Sie die Pakete einer Datenverkehrspriorität mithilfe des angegebenen erweiterten hierarchischen Policers.

force-premium

Standardmäßig verarbeitet ein hierarchischer Policer den empfangenen Datenverkehr entsprechend der Weiterleitungsklasse des Datenverkehrs. Premium-Datenverkehr mit beschleunigter Weiterleitung hat Vorrang für die Bandbreite vor aggregiertem Datenverkehr nach bestem Bemühen. Der force-premium Filter stellt sicher, dass Datenverkehr, der dem Begriff entspricht, von einem nachfolgenden hierarchischen Policer als Premium-Datenverkehr behandelt wird, unabhängig von seiner Weiterleitungsklasse. Dieser Datenverkehr hat Vorrang vor dem aggregierten Datenverkehr, der von diesem Policer empfangen wird.

forwarding-class class-name

Klassifizieren Sie das Paket in die benannte Weiterleitungsklasse:

• forwarding-class-name

• assured-forwarding

• best-effort

• expedited-forwarding

• network-control

hierarchical-policer

Überwachen Sie das Paket mit dem angegebenen hierarchischen Policer

ipsec-sa ipsec-sa

Verwenden Sie die angegebene IPsec-Sicherheitszuordnung.

load-balance group-name

Verwenden Sie die angegebene Lastenausgleichsgruppe.

log

Protokollieren Sie die Paket-Header-Informationen in einem Puffer innerhalb der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den show firewall log Befehl an der Befehlszeilenschnittstelle (CLI) eingeben.

logical-system logical-system-name

Leiten Sie Pakete an ein bestimmtes logisches System weiter.

loss-priority (high | medium-high | medium-low | low)

Legen Sie die PLP-Stufe (Packet Loss Priority) fest.

Sie können die three-color-policer nicht beendende Aktion nicht auch für denselben Firewallfilterbegriff konfigurieren. Diese beiden nicht beendenden Aktionen schließen sich gegenseitig aus.

Diese Aktion wird auf M120- und M320-Routern unterstützt. M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie.

Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die tri-color Anweisung auf Hierarchieebene [edit class-of-service] einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die high Ebenen und low konfigurieren. Dies gilt für alle Protokollfamilien.

Weitere Informationen zur tri-color Anweisung und zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Verstehen, wie verhaltensaggregierte Klassifizierer vertrauenswürdigen Datenverkehr priorisieren.

next-hop-group group-name

Verwenden Sie die angegebene Next-Hop-Gruppe.

Es wird empfohlen, die next-hop-group Aktion nicht mit der port-mirror-instance Aktion "oder port-mirror " im selben Firewallfilter zu verwenden.

next-interface interface-name

(MX-Serie) Leitt Pakete an die angegebene ausgehende Schnittstelle weiter.

next-ip ip-address

(MX-Serie) Leitt Pakete an die angegebene IPv4-Zieladresse weiter.

next-ip6 ipv6-address

(MX-Serie) Leitt Pakete an die angegebene IPv6-Zieladresse weiter.

packet-mode

Aktualisiert ein Bitfeld im Paketschlüsselpuffer, das den Datenverkehr angibt, der die datenstrombasierte Weiterleitung umgeht. Pakete mit dem packet-mode Aktionsmodifizierer folgen dem paketbasierten Weiterleitungspfad und umgehen die flussbasierte Weiterleitung vollständig. Gilt nur für SRX100-, SRX210-, SRX220-, SRX240- und SRX650-Geräte. Weitere Informationen zu selektiven zustandslosen paketbasierten Services finden Sie im Junos OS Security Configuration Guide.

policer policer-name

Name des Policers, der zur Begrenzung des Datenverkehrs verwendet werden soll.

policy-map policy-map-name

(MX-Serie) Name der Richtlinienzuordnung, die verwendet wird, um einem bestimmten Kunden bestimmte Umschreibungsregeln zuzuweisen.

port-mirror instance-name

Port-Spiegelung des Pakets basierend auf der angegebenen Familie. Diese Aktion wird nur auf M120-Routern, M320-Routern, die mit Enhanced III FPCs konfiguriert sind, Routern der MX-Serie und Paketübertragungs-Routern der PTX-Serie unterstützt.

Es wird empfohlen, nicht sowohl den next-hop-group als auch die port-mirror Aktionen im selben Firewallfilter zu verwenden.

port-mirror-instance instance-name

Port-Spiegelung eines Pakets für eine Instanz. Diese Aktion wird nur auf Routern der MX-Serie unterstützt.

Es wird empfohlen, nicht sowohl den next-hop-group als auch die port-mirror-instance Aktionen im selben Firewallfilter zu verwenden.

prefix-action action-name

Zählen oder überwachen Sie Pakete basierend auf dem angegebenen Aktionsnamen.

routing-instance routing-instance-name

Leitt Pakete an die angegebene Routing-Instanz weiter.

sample

Probieren Sie die Packung.

service-accounting

Verwenden Sie den Inline-Zählmechanismus, wenn Sie Statistiken zu Abonnenten pro Dienst erfassen.

Zählen Sie das Paket für die Dienstabrechnung. Die Anzahl wird auf einen bestimmten benannten Zähler (__junos-dyn-service-counter) angewendet, den RADIUS abrufen kann.

Die service-accounting Schlüsselwörter und service-accounting-deferred schließen sich gegenseitig aus, sowohl pro Begriff als auch pro Filter.

service-accounting- deferred

Verwenden Sie den Mechanismus der verzögerten Zählung, wenn Sie Statistiken zu Abonnenten pro Dienst erfassen. Die Anzahl wird auf einen bestimmten benannten Zähler (__junos-dyn-service-counter) angewendet, den RADIUS abrufen kann.

Die service-accounting Schlüsselwörter und service-accounting-deferred schließen sich gegenseitig aus, sowohl pro Begriff als auch pro Filter.

service-filter-hit

(Nur wenn das Flag service-filter-hit durch einen vorherigen Filter im aktuellen Typ von verketteten Filtern markiert ist) Leiten Sie das Paket an den nächsten Filtertyp weiter.

Zeigen Sie nachfolgenden Filtern in der Kette an, dass das Paket bereits verarbeitet wurde. Diese Aktion, gekoppelt mit der service-filter-hit Übereinstimmungsbedingung beim Empfangen von Filtern, trägt dazu bei, die Filterverarbeitung zu optimieren.

slice slice-name

Markieren Sie Pakete, die die Übereinstimmungsbedingungen der Regel erfüllen, mit der Slice-Kennung, die der Services Network-Slicing-Konfiguration entspricht. Siehe Slice (Firewall-Filteraktion).

syslog

Protokollieren Sie das Paket in der Systemprotokolldatei.

Die Syslog-Firewallaktion für vorhandene inet und inet6 Familien sowie die syslog Aktion in L2-Familienfiltern enthält die folgenden L2-Informationen:

Eingabeschnittstelle, Aktion, VLAN-ID1, VLAN-ID2, Ethernet-Typ, Quell- und Ziel-MAC-Adressen, Protokoll, Quell- und Ziel-IP-Adressen, Quell- und Zielports und die Anzahl der Pakete.

three-color-policer (single-rate | two-rate) policer-name

Überwachen Sie das Paket mit dem angegebenen Single-Rate- oder Two-Rate-Three-Color-Policer.

traffic-class value

Geben Sie den Codepunkt für die Datenverkehrsklasse an. Sie können einen numerischen Wert von 0 bis 63angeben. Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein 0x . Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein. b

Der Standardwert für die Datenverkehrsklasse ist best effort, d. h be . oder 0.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben:

• af11—Gesicherte Weiterleitungsklasse 1, geringe Drop-Priorität

• af12—Gesicherte Weiterleitungsklasse 1, mittlere Drop-Priorität

• af13—Gesicherte Weiterleitungsklasse 1, hohe Drop-Priorität

• af21—Gesicherte Weiterleitungsklasse 2, geringe Drop-Priorität

• af22—Gesicherte Weiterleitungsklasse 2, mittlere Drop-Priorität

• af23—Gesicherte Weiterleitungsklasse 2, hohe Drop-Priorität

• af31—Gesicherte Weiterleitungsklasse 3, geringe Drop-Priorität

• af32—Gesicherte Weiterleitung Klasse 3, mittlere Drop-Priorität

• af33—Gesicherte Weiterleitungsklasse 3, hohe Drop-Priorität

• af41—Gesicherte Weiterleitungsklasse 4, geringe Drop-Priorität

• af42—Gesicherte Weiterleitung Klasse 4, mittlerer Drop-Vorrang

• af43—Gesicherte Weiterleitungsklasse 4, hohe Drop-Priorität

• be—Bemühen Sie sich nach besten Kräften

• cs0—Klassenauswahl 0

• cs1—Klassenauswahl 1

• cs2—Klassenauswahl 2

• cs3—Klassenauswahl 3

• cs4—Klassenauswahl 4

• cs5—Klassenauswahl 5

• cs6—Klassenauswahl 6

• cs7—Klassenauswahl 7

• ef—Beschleunigte Weiterleitung