Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Terminierungsaktionen für Firewall-Filter

Firewall-Filter unterstützen eine Reihe von Endpunktaktionen für jede Protokollfamilie. Eine Aktion, die den Filter beendet, stoppt alle Evaluierungen eines Firewall-Filters für ein bestimmtes Paket. Der Router führt die angegebene Aktion aus, und es werden keine weiteren Begriffe untersucht.

Anmerkung:

Sie können die next term Aktion nicht mit einer Terminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können die Aktion jedoch mit next term einer anderen nichtterminierenden Aktion im gleichen Filterbegriff konfigurieren.

Auf Junos OS Weiterentwickelt, next term kann nicht als letzter Ausdruck der Aktion erscheinen. Ein Filterbegriff, der als Aktion festgelegt wird, aber ohne die Konfiguration von Übereinstimmungsbedingungen next term wird nicht unterstützt.

Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Trio-only-Match-Filter initialisieren, indem Sie beispielsweise die entsprechende SNMP-MIB show snmp mib walk name ascii gehen. Dies zwingt Junos, die Filterzähler zu erlernen und sicherzustellen, dass die Filterstatistiken angezeigt werden. Dieser Leitfaden gilt für alle Firewall-Filter mit erweitertem Modus, Filter mit flexiblen Bedingungen und Filter mit bestimmten Terminierungsaktionen. Weitere Informationen finden Sie unter der entsprechenden Dokumentation.

Tabelle 1 beschreiben die Terminierungsaktionen, die Sie in einem Begriff für Firewall-Filter angeben können.

Tabelle 1: Terminierungsaktionen für Firewall-Filter

Terminierung der Aktion

Beschreibung

Protokolle

accept

Akzeptieren Sie das Paket.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (nur für Switches der EX-Serie)

decapsulate gre [ routing-instance instance-name ]

An einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider Edge (PE) eines IPv4-Transportnetzwerks installiert ist, ist die Entkapselung von Gre-Paketen (Generic Routing Encapsulation) möglich, die über einen filterbasierten GRE-Tunnel übertragen werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung paart, die eine Paket-Headerüberschrift für das GRE-Protokoll enthält. Geben Sie für einen IPv4-Filter die protocol gre Bedingungen (oder protocol 47 ) an. Fügen Sie den Filter an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen de-Encapsulating-Filter an eine Schnittstelle anfing, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine syslog-Warnung, die den Filter nicht unterstützt.

Wenn die Schnittstelle ein Übereinstimmungspaket empfängt, führen prozesse, die auf der Netzwerkschnittstelle ausgeführt werden Packet Forwarding Engine die folgenden Vorgänge aus:

  • Entfernen Sie den äußeren GRE-Header.

  • So können Sie das Paket mit der Zielnutzlast an das Ziel übertragen, indem Sie die Zielsuche durchführen.

Standardmäßig nutzt Packet Forwarding Engine Routing-Instanz zur Weiterleitung von Paketen an das Zielnetzwerk. Wenn die Payload MPLS ist, führt der Packet Forwarding Engine Route-Suche in der MPLS-Pfad-Routingtabelle mithilfe des Route-Labels im Header MPLS aus.

Wenn Sie die Aktion mit einem optionalen Namen einer Routinginstanz angeben, führt der Packet Forwarding Engine Routensuche auf der Routinginstanz durch, und die Instanz decapsulate muss konfiguriert werden.

Anmerkung:

Auf MX960-Routern verkapselt die Aktion decapsulate GRE-, IP-in-IP- und IPv6-in-IP-Tunneling-Pakete. Sie konfigurieren diese Aktion auf [edit firewall family inet filter filter-name term term-name] der Hierarchieebene.

Weitere Informationen finden Sie unter Grundlegende Informationen zu Filter-basiertem Tunneling in IPv4-NetzwerkenKomponenten von Filter-basiertem Tunneling in IPv4-Netzwerken und.

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

An einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider Edge (PE) eines IPv4-Transportnetzwerks installiert ist, ist die Entkapselung von Layer 2 Tunneling Protocol (L2TP)-Paketen möglich, die über einen filterbasierten L2TP-Tunnel übertragen werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung paart, die eine Paket-Headerüberschrift für das L2TP-Protokoll enthält. Für den IPv4-Datenverkehr werden an die Schnittstelle ein Eingangs-Firewall- und ein $junos-input-filter$junos-output-filter Ausgangs-Firewall-Filter angeschlossen. Fügen Sie den Filter an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen de-encapsulating-Filter an eine Schnittstelle anfing, die kein filterbasiertes L2TP-Tunneling unterstützt, schreibt das System eine syslog-Warnung, die den Filter nicht unterstützt.

Der Remote-Tunnelendpunkt sendet ein IP-Tunnelpaket, das eine Ethernet-MAC-Adresse in der Payload enthält. Wenn die MAC-Adresse des Payload-Pakets als Ziel die MAC-Adresse des Routers enthält, wird das Ethernet-Paket an die ausgehende Richtung zum Netzwerk gesendet und wie am Kundenport empfangen und verarbeitet und weitergeleitet. Wenn die MAC-Quelladresse des Payload-Pakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in die ausgehende Richtung zum Kundenport übertragen. Wenn der Tunnel den konfigurierten Receive-Cookie nicht enthält, findet die Einspeisung von Datenpaketen nicht möglich. In einem solchen Fall wird jedes empfangene Tunnelpaket gezählt und auf dieselbe Weise verworfen, wie Pakete, die mit einem falschen Cookie eintreffen, gezählt und abgeworfen werden.

Mit der Aktion können die folgenden Parameter decapsulate l2tp angegeben werden:

  • routing-instance instance-name— Standardmäßig verwendet der Packet Forwarding Engine die Standard-Routinginstanz zur Weiterleitung von Paketen an das Zielnetzwerk. Wenn die Payload MPLS ist, führt der Packet Forwarding Engine Route-Suche in der MPLS-Pfad-Routingtabelle mithilfe des Route-Labels im Header MPLS aus. Wenn Sie die Aktion mit einem optionalen Namen einer Routinginstanz angeben, führt der Packet Forwarding Engine Routensuche auf der Routinginstanz durch, und die Instanz decapsulate muss konfiguriert werden.

  • forwarding-class class-name-(Optional) Klassifizieren Sie l2TP-Pakete der angegebenen Weiterleitungsklasse.

  • output-interface interface-name—(Optional) Ermöglichen Sie für L2TP-Tunnel, dass das Paket dupliziert und an den Kunden oder das Netzwerk gesendet wird (basierend auf der MAC-Adresse in der Ethernet-Payload).

  • cookie l2tpv3-cookie—(Optional) Geben Sie für L2TP-Tunnel den L2TP-Cookie für die duplizierten Pakete an. Wenn der Tunnel den konfigurierten Receive-Cookie nicht enthält, findet die Einspeisung von Datenpaketen nicht möglich. In einem solchen Fall wird jedes empfangene Tunnelpaket gezählt und auf dieselbe Weise verworfen, wie Pakete, die mit einem falschen Cookie eintreffen, gezählt und abgeworfen werden.

  • sample—(Optional) Geben Sie das Paket an. Junos OS nicht für Vom Router ausgehende Pakete. Wenn Sie einen Filter konfigurieren und auf die Ausgabeseite einer Schnittstelle anwenden, dann werden nur die Transitpakete, die diese Schnittstelle durchgangen, ins Beispiel gesendet. Pakete, die vom Paket-Routing-Engine an den Packet Forwarding Engine gesendet werden, werden nicht mustermustert.

Anmerkung:

Die decapsulate l2tp Aktionen, die Sie auf Hierarchieebene konfigurieren, verarbeiten den Datenverkehr nicht mit [edit firewall family inet filter filter-name term term-name] IPv4- und IPv6-Optionen. Daher wird der Datenverkehr mit diesen Optionen durch die Dekapselung der L2TP-Paketfunktionen verworfen.

family inet

discard

Verwerfen Sie ein Paket unbedringt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete sind für die Protokollierung und Sampling verfügbar.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (nur für Switches der EX-Serie)

encapsulate template-name

Aktivieren Sie an einer Kundenschnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes Generic Routing Encapsulation (GRE)-Tunneling mithilfe der angegebenen Tunnelvorlage.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Bedingungen paart, und diesen dann an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen einkapselenden Filter an eine Schnittstelle anfing, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnung, die den Filter nicht unterstützt.

Wenn die Schnittstelle ein Übereinstimmungspaket empfängt, werden auf dem Server ausgeführte Prozesse Packet Forwarding Engine in der angegebenen Tunnelvorlage für die folgenden Vorgänge verwendet:

  1. Einen GRE-Header (mit oder ohne einen Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben) anfügen.

  2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

  3. Senden Sie das resultierende GRE-Paket von der Tunnel-Quellschnittstelle an das Tunnelziel (den Remote-PE-Router).

Die angegebene Tunnelvorlage muss mithilfe der Anweisung unter tunnel-end-point der oder [edit firewall] der [edit logical-systems logical-system-name firewall] Hierarchieebene konfiguriert werden. Weitere Informationen finden Sie Grundlegende Informationen zu Filter-basiertem Tunneling in IPv4-Netzwerken unter.

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (für L2TP-Tunnel)

Aktivieren Sie an einer Kundenschnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes L2TP-Tunneling mithilfe der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Bedingungen paart, und diesen dann an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen einkapselenden Filter an eine Schnittstelle anfing, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnung, die den Filter nicht unterstützt. Wenn die Schnittstelle ein Übereinstimmungspaket empfängt, werden auf dem Server ausgeführte Prozesse Packet Forwarding Engine in der angegebenen Tunnelvorlage für die folgenden Vorgänge verwendet:

  1. Fügen Sie einen L2TP-Header an (mit oder ohne einen Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben).

  2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

  3. Senden Sie das resultierende L2TP-Paket von der Tunnel-Quellschnittstelle an das Tunnelziel (den Remote-PE-Router). Die angegebene Tunnelvorlage muss mithilfe der Anweisung in der tunnel-end-point oder der [edit firewall] Anweisungshierarchie konfiguriert [edit logical-systems logical-system-name firewall] werden.

  • family inet

exclude-accounting

Schließen Sie das Paket in den genauen Buchhaltungsstatistiken für Tunneled-Abonnenten in einem L2TP-LAC aus. Die typischerweise in Filtern verwendet werden, die dem DHCPv6- oder ICMPv6-Steuerungsdatenverkehr übereinstimmen Ausfällen werden diese Pakete nicht mehr erkannt. Dies führt dazu, dass diese Pakete als Datenverkehr betrachtet werden und die Timeout-Zeit nicht abläuft. (Das Leerlauf-Timeout wird mit den Anweisungen in den Sitzungsoptionen client-idle-timeoutclient-idle-timeout-ingress-only für das Zugriffsprofil konfiguriert.)

Der Begriff schließt ein, dass Pakete nicht in die Zählerzahl aufgenommen werden, und das gilt sowohl für das genaue Accounting der Familie als auch für das dienstgenaue Accounting. Die Pakete sind weiterhin in den Sitzungsschnittstellenstatistiken enthalten.

Der Begriff ist sowohl für inet Familien inet6 verfügbar, wird aber nur für inet6 verwendet.

  • family inet

  • family inet6

logical-system logical-system-name

Leitet das Paket an das angegebene logische System weiter.

Anmerkung:

Diese Aktion wird auf den Daten der PTX-Serie Paketübertragungs-Router.

  • family inet

  • family inet6

reject message-type

Ablehnen des Pakets und Senden einer ICMPv4- oder ICMPv6-Nachricht:

  • Wenn kein message-type Angegebener angegeben ist, destination unreachable wird standardmäßig eine Nachricht zurückgegeben.

  • Wenn als angegeben, wird nur dann tcp-resetmessage-typetcp-reset zurückgegeben, wenn es sich um ein TCP-Paket handelt. Andernfalls wird die Nachricht mit administratively-prohibited einem Wert von 13 zurückgegeben.

  • Falls eine andere message-type Angabe angegeben ist, wird diese Nachricht zurückgegeben.

Anmerkung:

Wenn Sie die Konfiguration oder Aktion konfigurieren, können abgelehnte Pakete in einem Muster sample abgemustert oder syslog protokolliert werden. Für MX2K-MPC11E kann ICMP Nachrichten aus egress-Filtern, Policern und Class-of-Service (CoS)-Konfigurationen ablehnen. Daher sind sie in diesen Statistiken enthalten. Dasselbe gilt für destination unreachable Nachrichten.

Der message-type kann einer der folgenden Werte sein: address-unreachable, administratively-prohibitedbad-host-tos , , , , bad-network-tos , , , , beyond-scope , , fragmentation-needed , , , , , host-prohibitedhost-unknownhost-unreachable oder network-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset .

Auf PTX1000 Routern wird die Ablehnungsaktion nur auf Ingress-Schnittstellen unterstützt.

  • family inet

  • family inet6

routing-instance instance-name

Leitet das Paket an die angegebene Routing-Instanz weiter.

  • family inet

  • family inet6

topology topology-name

Leitet das Paket an die angegebene Topologie weiter.

Anmerkung:

Diese Aktion wird auf den Daten der PTX-Serie Paketübertragungs-Router.

Jede Routinginstanz (primär oder virtuell) unterstützt eine Standardtopologie, an die alle Weiterleitungsklassen weitergeleitet werden. Beim Routing in mehreren Topologien können Sie einen Firewall-Filter auf der Ingress-Schnittstelle konfigurieren, um einer bestimmten Weiterleitungsklasse, wie z. B. beschleunigter Weiterleitung, einer bestimmten Topologie zu übereinstimmen. Der Datenverkehr, der der angegebenen Weiterleitungsklasse entspricht, wird dann der Routingtabelle für diese Topologie hinzugefügt.

  • family inet

  • family inet6