Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter Nichtbestimmte Aktionen

Firewall-Filter unterstützen unterschiedliche Gruppen von nichtterminierenden Aktionen für jede Protokollfamilie, die eine implizite Akzeptierungsaktion umfassen. In diesem Kontext bedeutet Nichtbestimmung , dass andere Aktionen diesen Aktionen folgen können, während keine anderen Aktionen einer Terminierungsaktion folgen können. Daher können Sie die next term Aktion nicht mit einer Terminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können die next term Aktion jedoch mit einer anderen nichtterminierenden Aktion mit demselben Filterbegriff konfigurieren.

HINWEIS:

Unter Junos OS Evolved next term kann nicht als letzter Begriff der Aktion angezeigt werden. Ein Filterbegriff, bei dem next term als Aktion angegeben wird, aber ohne Konfiguration der Übereinstimmungsbedingungen, wird nicht unterstützt.

Tabelle 1 beschreibt die nicht bestimmten Aktionen, die Sie für einen Firewall-Filterbegriff konfigurieren können.

Tabelle 1: Nichtbestimmte Aktionen für Firewall-Filter

Nichtbestimmte Aktion

Beschreibung

Protokollfamilien

bgp-output-queue-priority priority (expedited | (1-16))

Weisen Sie das Paket einer der 17 priorisierten BGP-Ausgabewarteschlangen zu.

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

Zählen Sie das Paket im benannten Zähler.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

Konfigurieren Sie den Wert des Don't Fragment Bit (Flag) im IPv4-Header, um anzugeben, ob das Datagramm fragmentiert werden kann:

  • set— Ändern Sie den Flag-Wert in einen, um fragmentierung zu verhindern.

  • clear— Ändern Sie den Flag-Wert auf Null und ermöglichen Eine Fragmentierung.

HINWEIS:

Die dont-fragment (set | clear) Aktionen werden nur auf MPCs unterstützt.

family inet

dscp value

Legen Sie das DSCP-Bit (IPv4 Differenzierte Services) fest. Sie können einen numerischen Wert von 0 bis 63. Um den Wert in hexadezimaler Form anzugeben, schließen Sie 0x als Prefix ein. Um den Wert in binärer Form anzugeben, schließen Sie sie b als Prefix ein.

Der DSCP-Standardwert ist be (best effort) oder 0.

Sie können auch eines der folgenden Text-Synonyme angeben:

  • af11— Gesicherte Weiterleitungsklasse 1, Rangfolge mit niedriger Drop-Folge (1)

  • af12— Gesicherte Weiterleitungsklasse 1, Rangfolge mittlerer Drop (2)

  • af13— Gesicherte Weiterleitungsklasse 1, High-Drop-Precedence (3); und so weiter, af43Gesicherte Weiterleitungsklasse 4, High-Drop-Precedence

  • be— Beste Anstrengung

  • cs0— Klassenauswahl 0; und so weiter, cs7Klassenauswahl 0

  • ef— Beschleunigte Weiterleitung

HINWEIS:

Diese Aktion wird auf Routern der PTX-Serie nicht unterstützt.

HINWEIS:

MPC-Linecards, die auf Routern der MX-Serie ausgeführt werden, unterstützen jeden Wert (von 0 bis 63) in Verbindung mit der set dscp Firewall-Filteraktion.

HINWEIS:

Die Aktionen dscp 0 werden dscp be nur auf T320-, T640-, T1600-, TX Matrix-, TX Matrix Plus- und M320-Routern sowie auf modularen 10-Gigabit Ethernet-Portkonzentratoren (MPC) unterstützt. Diese Aktionen werden jedoch auf Enhanced III Flexible PIC Concentrators (FPCs) auf M320-Routern nicht unterstützt. Auf T4000-Routern wird die dscp 0 Aktion während des Betriebs zwischen einer T1600 Enhanced Scaling Typ 4 FPC und einer T4000 Typ 5 FPC nicht unterstützt.

family inet

force-premium

Standardmäßig verarbeitet ein hierarchischer Policer den empfangenen Datenverkehr entsprechend der Weiterleitungsklasse des Datenverkehrs. Premium-, beschleunigter Weiterleitungsverkehr hat Priorität für Bandbreite gegenüber aggregiertem Datenverkehr mit bestmöglicher Leistung. Der force-premium Filter stellt sicher, dass Datenverkehr, der dem Begriff entspricht, von einem nachfolgenden hierarchischen Policer unabhängig von seiner Weiterleitungsklasse als Premium-Datenverkehr behandelt wird. Dieser Datenverkehr wird vor allen aggregierten Datenverkehr, der von diesem Policer empfangen wird, bevorzugt.

HINWEIS:

Die force-premium Filteroption wird nur auf MPCs unterstützt.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

Klassifizieren Sie das Paket in die benannte Weiterleitungsklasse:

  • forwarding-class-name

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

Überwachung des Pakets mithilfe des angegebenen hierarchischen Policers

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

Verwenden Sie die angegebene IPsec-Sicherheitszuordnung.

HINWEIS:

Diese Aktion wird auf Routern der MX-Serie, Typ 5 FPCs auf T4000-Routern und Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

family inet

load-balance group-name

Verwenden Sie die angegebene Load-Balancing-Gruppe.

HINWEIS:

Diese Aktion wird auf Routern der MX-Serie oder Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

family inet

log

Protokollieren Sie die Paket-Header-Informationen in einem Puffer in der Packet Forwarding Engine. Sie können auf diese Informationen zugreifen, indem Sie den show firewall log Befehl über die Befehlszeilenschnittstelle (CLI) ausstellen.

HINWEIS:

Die Protokollaktion der Layer 2 (L2)-Familien ist nur für Router der MX-Serie mit MPCs verfügbar (MPC-Modus, wenn der Router nur MPCs hat, oder Mischmodus, wenn er MPCs und DCPs hat). Bei Routern der MX-Serie mit DPCs wird die Protokollaktion für L2-Familien ignoriert, wenn sie konfiguriert wird.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

Leiten Sie Pakete an ein bestimmtes logisches System.

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

Legen Sie die PlP-Ebene (Packet Loss Priority) fest.

Sie können auch die three-color-policer nichtterminierende Aktion für denselben Firewall-Filterbegriff konfigurieren. Diese beiden nicht bestimmenden Aktionen schließen sich gegenseitig aus.

Diese Aktion wird auf M120- und M320-Routern unterstützt. M7i- und M10i-Router mit erweitertem CFEB (CFEB-E); und Router der MX-Serie.

Für IP-Datenverkehr auf Routern der M320-, MX- und T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die tri-color Anweisung auf [edit class-of-service] Hierarchieebene angeben, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die Und-Ebenen lowhigh konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur Anweisung und zur tri-color Verwendung von Verhaltensaggregaten (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Verstehen, wie Verhaltensklassifizierer vertrauenswürdigen Datenverkehr priorisieren.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

Verwenden Sie die angegebene Next-Hop-Gruppe.

Wir empfehlen, die Aktion nicht mit dem oder port-mirror der next-hop-groupport-mirror-instance Aktion im selben Firewall-Filter zu verwenden.

  • family any

  • family inet

next-interface interface-name

(MX-Serie) Leiten Sie Pakete an die angegebene ausgehende Schnittstelle.

  • family inet

  • family inet6

next-ip ip-address

(MX-Serie) Leiten Sie Pakete an die angegebene Ziel-IPv4-Adresse.

family inet

next-ip6 ipv6-address

(MX-Serie) Leiten Sie Pakete an die angegebene Ziel-IPv6-Adresse.

family inet6

packet-mode

Aktualisiert ein Bitfeld im Paketschlüsselpuffer, das den Datenverkehr angibt, der die ablaufbasierte Weiterleitung umgehen wird. Pakete mit dem packet-mode Aktionsmodifizierer folgen dem paketbasierten Weiterleitungspfad und umgehen die ablaufbasierte Weiterleitung vollständig. Gilt nur für SRX100-, SRX210-, SRX220-, SRX240- und SRX650-Geräte. Weitere Informationen zu selektiven, zustandslosen paketbasierten Services finden Sie im Junos OS Security Configuration Guide.

family any

policer policer-name

Name des Policer zur Geschwindigkeitsbegrenzung des Datenverkehrs.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(MX-Serie) Name der Richtlinienübersicht, die zum Zuweisen spezifischer Rewrite-Regeln zu einem bestimmten Kunden verwendet wird.

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

Port-Spiegelung des Pakets basierend auf der angegebenen Familie. Diese Aktion wird nur auf M120 Routern unterstützt, M320 Routern, die mit Enhanced III FPCs konfiguriert sind, Routern der MX-Serie und Paketübertragungs-Routern der PTX-Serie.

Wir empfehlen, dass Sie nicht sowohl den als auch die next-hop-groupport-mirror Aktionen im selben Firewall-Filter verwenden.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

Port spiegele ein Paket für eine Instanz. Diese Aktion wird nur auf den Routern der MX-Serie unterstützt.

Wir empfehlen, dass Sie nicht sowohl den als auch die next-hop-groupport-mirror-instance Aktionen im selben Firewall-Filter verwenden.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

Anzahl oder Polizeipakete basierend auf dem angegebenen Aktionsnamen.

HINWEIS:

Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

family inet

routing-instance routing-instance-name

Leiten Sie Pakete an die angegebene Routing-Instanz.

  • family inet

  • family inet6

sample

Testen Sie das Paket.

HINWEIS:

Junos OS gibt keine Stichprobenpakete, die vom Router stammen. Wenn Sie einen Filter konfigurieren und auf die Ausgabeseite einer Schnittstelle anwenden, werden nur die Transitpakete erfasst, die diese Schnittstelle durchlaufen. Pakete, die von der Routing-Engine an die Packet Forwarding Engine gesendet werden, werden nicht abgetastet.

  • family inet

  • family inet6

  • family mpls

service-accounting

Verwenden Sie den Inline-Zählmechanismus für die Erfassung von Abonnentenstatistiken pro Service.

Zählen Sie das Paket für die Dienstbuchhaltung. Die Anzahl wird auf einen bestimmten benannten Zähler (__junos-dyn-service-counter) angewendet, den RADIUS abrufen kann.

Die service-accounting Keywords und service-accounting-deferred Keywords schließen sich gegenseitig aus, sowohl pro Term als auch pro Filter.

HINWEIS:

Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

  • family any

  • family inet

  • family inet6

service-accounting- deferred

Verwenden Sie den Mechanismus für die verzögerte Zählung bei der Erfassung von Abonnentenstatistiken pro Service. Die Anzahl wird auf einen bestimmten benannten Zähler (__junos-dyn-service-counter) angewendet, den RADIUS abrufen kann.

Die service-accounting Keywords und service-accounting-deferred Keywords schließen sich gegenseitig aus, sowohl pro Term als auch pro Filter.

HINWEIS:

Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

  • family any

  • family inet

  • family inet6

service-filter-hit

(Nur wenn das service-filter-hit Flag durch einen vorherigen Filter in der aktuellen Art der verketteten Filter gekennzeichnet ist) Leiten Sie das Paket zum nächsten Typ von Filtern.

Geben Sie den nachfolgenden Filtern in der Kette an, dass das Paket bereits verarbeitet wurde. Diese Aktion in Verbindung mit der Übereinstimmungsbedingung service-filter-hit beim Empfangen von Filtern trägt dazu bei, die Filterverarbeitung zu optimieren.

HINWEIS:

Diese Aktion wird auf T4000 Typ 5 FPCs und Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

  • family any

  • family inet

  • family inet6

syslog

Protokollieren Sie das Paket in der Systemprotokolldatei.

Die Syslog-Firewall-Aktion für vorhandene inet und inet6 Familien sowie die Aktion in den Filtern der syslog L2-Familie umfasst die folgenden L2-Informationen:

Eingabeschnittstelle, Aktion, VLAN ID1, VLAN ID2, Ethernet-Typ, Quell- und Ziel-MAC-Adressen, Protokoll, Quell- und Ziel-IP-Adressen, Quell- und Ziel-Ports und die Anzahl der Pakete.

HINWEIS:

Die Syslog-Aktion der L2-Familien ist nur für Router der MX-Serie mit MPCs verfügbar (MPC-Modus, wenn der Router nur MPCs hat, oder Mischmodus, wenn er MPCs und DCPs hat). Bei Routern der MX-Serie mit DPCs wird die Syslog-Aktion für L2-Familien ignoriert, wenn sie konfiguriert ist.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

Polizeien Sie das Paket mit dem angegebenen Single-Rate- oder Zwei-Rate-Three-Color-Policer.

HINWEIS:

Sie können die loss-priority Aktion auch nicht für denselben Firewall-Filterbegriff konfigurieren. Diese beiden Handlungen schließen sich gegenseitig aus.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

Geben Sie den Codepunkt der Datenverkehrsklasse an. Sie können einen numerischen Wert von 0 bis 63. Um den Wert in hexadezimaler Form anzugeben, schließen Sie 0x als Prefix ein. Um den Wert in binärer Form anzugeben, schließen Sie sie b als Prefix ein.

Der Standardwert der Datenverkehrsklasse ist die beste Anstrengung, be0das heißt.

Anstelle des numerischen Wertes können Sie eines der folgenden Text-Synonyme angeben:

  • af11— Gesicherte Weiterleitungsklasse 1, Rangfolge mit niedriger Drop-Folge

  • af12— Gesicherte Weiterleitungsklasse 1, Rangfolge mittlerer Drop

  • af13— Gesicherte Weiterleitungsklasse 1, High-Drop-Rangfolge

  • af21— Gesicherte Weiterleitungsklasse 2, Low-Drop-Precedence

  • af22— Gesicherte Weiterleitungsklasse 2, Rangfolge mittlerer Drop

  • af23— Gesicherte Weiterleitungsklasse 2, High-Drop-Rangfolge

  • af31— Gesicherte Weiterleitungsklasse 3, Rangfolge mit niedriger Drop-Folge

  • af32— Gesicherte Weiterleitungsklasse 3, Rangfolge mittlerer Drop

  • af33— Gesicherte Weiterleitungsklasse 3, High-Drop-Rangfolge

  • af41— Gesicherte Weiterleitungsklasse 4 mit niedriger Drop-Rangfolge

  • af42— Gesicherte Weiterleitungsklasse 4, Rangfolge mittlerer Drop

  • af43— Gesicherte Weiterleitungsklasse 4, High-Drop-Rangfolge

  • be— Beste Anstrengung

  • cs0—Klassenauswahl 0

  • cs1— Klassenauswahl 1

  • cs2—Klassenauswahl 2

  • cs3—Klassenauswahl 3

  • cs4— Klassenauswahl 4

  • cs5— Klassenauswahl 5

  • cs6— Klassenauswahl 6

  • cs7— Klassenauswahl 7

  • ef— Beschleunigte Weiterleitung

HINWEIS:

Die Aktionen traffic-class 0werden traffic-class be nur auf Routern der T-Serie und M320 sowie am 10-Gigabit Ethernet Modular Port Concentrator (MPC), 60-Gigabit Ethernet MPC, 60-Gigabit Ethernet Queuing MPC und 60-Gigabit Ethernet Enhanced Queuing MPC auf Routern der MX-Serie unterstützt. Diese Aktionen werden jedoch auf Enhanced III Flexible PIC Concentrators (FPCs) auf M320-Routern nicht unterstützt.

family inet6