Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Terminierungsaktionen für Firewall-Filter

Firewall-Filter unterstützen eine Reihe von Terminierungsaktionen für jede Protokollfamilie. Eine Aktion zur Filterbeendung stoppt die gesamte Bewertung eines Firewall-Filters für ein bestimmtes Paket. Der Router führt die angegebene Aktion aus, und es werden keine zusätzlichen Bedingungen untersucht.

HINWEIS:

Sie können die next term Aktion nicht mit einer Terminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können die next term Aktion jedoch mit einer anderen nichtterminierenden Aktion mit demselben Filterbegriff konfigurieren.

Unter Junos OS Evolved next term kann nicht als letzter Begriff der Aktion angezeigt werden. Ein Filterbegriff, bei dem next term als Aktion angegeben wird, aber ohne Konfiguration der Übereinstimmungsbedingungen, wird nicht unterstützt.

Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Nur-Trio-Übereinstimmungsfilter initialisieren, indem Sie z. B. die entsprechende SNMP-MIB laufen lassen show snmp mib walk name ascii. Dadurch muss Junos die Filterzähler kennen lernen und sicherstellen, dass die Filterstatistiken angezeigt werden. Diese Anleitung gilt für alle Firewall-Filter mit erweitertem Modus, Filter mit flexiblen Bedingungen und Filter mit bestimmten Terminierungsaktionen. Weitere Informationen finden Sie in diesen Themen, die unter Zugehörige Dokumentation aufgeführt sind.

Tabelle 1 beschreibt die Terminierungsaktionen, die Sie in einem Firewall-Filterbegriff angeben können.

Tabelle 1: Terminierungsaktionen für Firewall-Filter

Terminierung der Aktion

Beschreibung

Protokolle

accept

Akzeptieren Sie das Paket.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (nur für Switches der EX-Serie)

decapsulate gre [ routing-instance instance-name ]

Ermöglichen Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von generic Routing Encapsulation (GRE)-Paketen, die durch einen filterbasierten GRE-Tunnel transportiert werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung kombiniert, die eine Paket-Header-Übereinstimmung für das GRE-Protokoll enthält. Fügen Sie für einen IPv4-Filter die Übereinstimmungsbedingung protocol gre (oder protocol 47) ein. Schließen Sie den Filter an den Eingang einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder einem Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen Entkapselungsfilter an eine Schnittstelle anfügen, die filterbasiertes GRE-Tunneling nicht unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt.

Wenn die Schnittstelle ein passendes Paket empfängt, führen Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, die folgenden Vorgänge aus:

  • Entfernen Sie den äußeren GRE-Header.

  • Leiten Sie das innere Nutzdatenpaket durch eine Zielsuche an sein ursprüngliches Ziel weiter.

Standardmäßig verwendet die Packet Forwarding Engine die Standard-Routing-Instanz, um Nutzpakete an das Zielnetzwerk weiterzuleiten. Wenn es sich bei der Nutzdaten um MPLS handelt, führt die Packet Forwarding Engine eine Routensuche in der MPLS-Pfad-Routing-Tabelle mithilfe des Routenetiketts im MPLS-Header durch.

Wenn Sie die decapsulate Aktion mit einem optionalen Namen der Routing-Instanz angeben, führt die Packet Forwarding Engine eine Routensuche in der Routing-Instanz durch, und die Instanz muss konfiguriert werden.

HINWEIS:

Auf MX960-Routern entkapselt die decapsulate Aktion GRE-, IP-in-IP- und IPv6-in-IP-Tunneling-Pakete. Sie konfigurieren diese Aktion auf [edit firewall family inet filter filter-name term term-name] Hierarchieebene .

Weitere Informationen finden Sie unter Verständnis des filterbasierten Tunnelings in IPv4-Netzwerken und Komponenten des filterbasierten Tunnelings in IPv4-Netzwerken.

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

Ermöglichen Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von Layer 2 Tunneling Protocol (L2TP)-Paketen, die durch einen filterbasierten L2TP-Tunnel transportiert werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung kombiniert, die eine Paket-Header-Übereinstimmung für das L2TP-Protokoll enthält. Für IPv4-Datenverkehr sind ein Input-Firewall-Filter $junos-input-filter und ein Ausgabe-Firewall-Filter $junos-output-filter an die Schnittstelle angeschlossen. Schließen Sie den Filter an den Eingang einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder einem Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen Entkapselungsfilter an eine Schnittstelle anfügen, die filterbasiertes L2TP-Tunneling nicht unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt.

Das Remote-Tunnelendpunkt sendet ein IP-Tunnelpaket, das eine Ethernet-MAC-Adresse in der Nutzdaten enthält. Wenn die MAC-Adresse des Nutzpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung zum Netzwerk gesendet und so verarbeitet und weitergeleitet, als ob es auf dem Kundenport empfangen würde. Wenn die Quell-MAC-Adresse des Nutzpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung zum Kunden-Port übertragen. Wenn der Tunnel den Empfang-Cookie nicht enthält, erfolgt keine Paketinjektion. In einem solchen Fall wird jedes empfangene Tunnelpaket auf dieselbe Weise gezählt und gelöscht, wie Pakete, die mit einem falschen Cookie ankommen, gezählt und gelöscht werden.

Die folgenden Parameter können mit der decapsulate l2tp Aktion angegeben werden:

  • routing-instance instance-name— Standardmäßig verwendet die Packet Forwarding Engine die Standard-Routing-Instanz, um Nutzpakete an das Zielnetzwerk weiterzuleiten. Wenn es sich bei der Nutzdaten um MPLS handelt, führt die Packet Forwarding Engine eine Routensuche in der MPLS-Pfad-Routing-Tabelle mithilfe des Routenetiketts im MPLS-Header durch. Wenn Sie die decapsulate Aktion mit einem optionalen Namen der Routing-Instanz angeben, führt die Packet Forwarding Engine eine Routensuche in der Routing-Instanz durch, und die Instanz muss konfiguriert werden.

  • forwarding-class class-name—(Optional) Klassifizieren Sie l2TP-Pakete in die angegebene Weiterleitungsklasse.

  • output-interface interface-name—(Optional) Ermöglichen Sie bei L2TP-Tunneln, dass das Paket dupliziert und an den Kunden oder das Netzwerk gesendet wird (basierend auf der MAC-Adresse in der Ethernet-Payload).

  • cookie l2tpv3-cookie—(Optional) Geben Sie für L2TP-Tunnel den L2TP-Cookie für die duplizierten Pakete an. Wenn der Tunnel den Empfang-Cookie nicht enthält, erfolgt keine Paketinjektion. In einem solchen Fall wird jedes empfangene Tunnelpaket auf dieselbe Weise gezählt und gelöscht, wie Pakete, die mit einem falschen Cookie ankommen, gezählt und gelöscht werden.

  • sample—(Optional) Beispiel für das Paket. Junos OS gibt keine Stichprobenpakete, die vom Router stammen. Wenn Sie einen Filter konfigurieren und auf die Ausgabeseite einer Schnittstelle anwenden, werden nur die Transitpakete erfasst, die diese Schnittstelle durchlaufen. Pakete, die von der Routing-Engine an die Packet Forwarding Engine gesendet werden, werden nicht abgetastet.

HINWEIS:

Die decapsulate l2tp Aktion, die Sie auf Hierarchieebene [edit firewall family inet filter filter-name term term-name] konfigurieren, verarbeitet den Datenverkehr nicht mit IPv4- und IPv6-Optionen. Infolgedessen wird Datenverkehr mit solchen Optionen durch die Entkapselung von L2TP-Paketfunktionen verworfen.

family inet

discard

Verwerfen Sie ein Paket unbemerkt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete stehen zur Protokollierung und Sampling zur Verfügung.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (nur für Switches der EX-Serie)

encapsulate template-name

Aktivieren Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes generic Routing Encapsulation (GRE)-Tunneling mithilfe der angegebenen Tunnelvorlage.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen kombiniert, und dann den Filter an den Eingang einer logischen Ethernet- oder aggregierten Ethernet-Schnittstelle auf einem Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen Kapselungsfilter an eine Schnittstelle anfügen, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt.

Wenn die Schnittstelle ein abgeglichenes Paket empfängt, verwenden Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:

  1. Fügen Sie einen GRE-Header an (mit oder ohne Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben.

  2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

  3. Leiten Sie das resultierende GRE-Paket von der Tunnelquelle-Schnittstelle an das Tunnelziel (den entfernten PE-Router) weiter.

Die angegebene Tunnelvorlage muss mit der tunnel-end-point Anweisung unter der [edit firewall][edit logical-systems logical-system-name firewall] Hierarchieebene konfiguriert werden. Weitere Informationen finden Sie unter Verständnis des filterbasierten Tunnelings in IPv4-Netzwerken.

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (für L2TP-Tunnel)

Aktivieren Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes L2TP-Tunneling mithilfe der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen kombiniert, und dann den Filter an den Eingang einer logischen Ethernet- oder aggregierten Ethernet-Schnittstelle auf einem Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen Kapselungsfilter an eine Schnittstelle anfügen, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt. Wenn die Schnittstelle ein abgeglichenes Paket empfängt, verwenden Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:

  1. Fügen Sie einen L2TP-Header an (mit oder ohne Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben).

  2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

  3. Leiten Sie das resultierende L2TP-Paket von der Tunnel-Quellschnittstelle an das Tunnelziel (den entfernten PE-Router) weiter. Die angegebene Tunnelvorlage muss mit der tunnel-end-point Anweisung unter der [edit firewall] Anweisungshierarchie konfiguriert [edit logical-systems logical-system-name firewall] werden.

  • family inet

exclude-accounting

Schließen Sie das Paket von der Aufnahme in die genaue Buchhaltungsstatistik für tunnelte Abonnenten auf einem L2TP-LAC aus. In der Regel in Filtern verwendet, die dem DHCPv6- oder ICMPv6-Steuerungsverkehr entsprechen Der Fehler, diese Pakete auszuschließen, führt dazu, dass der Mechanismus zur Erkennung von Leerlaufzeiten diese Pakete als Datenverkehr betrachtet, sodass der Timeout nie abläuft. (Der Leerlauf-Timeout wird mit den client-idle-timeout Und client-idle-timeout-ingress-only Anweisungen in den Sitzungsoptionen für das Zugriffsprofil konfiguriert.)

Der Begriff schließt die Einbeziehung von Paketen in die Zähler sowohl für die genaue Buchhaltung der Familie als auch für die dienstgenaue Buchhaltung aus. Die Pakete sind nach wie vor in den Sitzungsschnittstellenstatistiken enthalten.

Der Begriff ist sowohl für Familien als auch inetinet6 für Familien verfügbar, wird aber nur für inet6.

  • family inet

  • family inet6

logical-system logical-system-name

Leiten Sie das Paket an das angegebene logische System.

HINWEIS:

Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

  • family inet

  • family inet6

reject message-type

Das Paket ablehnen und eine ICMPv4- oder ICMPv6-Nachricht zurücksenden:

  • Wenn nein message-type angegeben wird, wird standardmäßig eine destination unreachable Nachricht zurückgegeben.

  • Wenn tcp-reset als der message-typeangegeben wird, tcp-reset wird nur zurückgegeben, wenn es sich bei dem Paket um ein TCP-Paket handelt. Andernfalls wird die administratively-prohibited Nachricht mit dem Wert 13 zurückgegeben.

  • Wenn eine andere message-type angegeben wird, wird diese Nachricht zurückgegeben.

HINWEIS:

Abgelehnte Pakete können abgetastet oder protokolliert werden, wenn Sie die sample Aktion konfigurieren syslog . Für MX2K-MPC11E lehnt ICMP Nachrichten ab, die Ausgangsfilter, Policer und CoS-Konfigurationen durchlaufen, und so sind sie in diesen Statistiken enthalten. Dasselbe gilt für destination unreachable Nachrichten.

Der message-type kann einer der folgenden Werte sein: address-unreachable, administratively-prohibited, , bad-host-tos, bad-network-tos, beyond-scope, fragmentation-needed, host-unknownhost-prohibited, host-unreachable, network-prohibitednetwork-unreachablesource-host-isolatedsource-route-failednetwork-unknownport-unreachabletcp-resetno-routeprecedence-cutoffprecedence-violationprotocol-unreachableoder .

Auf PTX1000-Routern wird die Ablehnungsaktion nur auf Eingangsschnittstellen unterstützt.

  • family inet

  • family inet6

routing-instance instance-name

Leiten Sie das Paket an die angegebene Routing-Instanz.

  • family inet

  • family inet6

topology topology-name

Leiten Sie das Paket an die angegebene Topologie.

HINWEIS:

Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt.

Jede Routing-Instanz (primär oder virtueller Router) unterstützt eine Standardtopologie, an die alle Weiterleitungsklassen weitergeleitet werden. Für multitopologisches Routing können Sie einen Firewall-Filter auf der Eingangsschnittstelle so konfigurieren, dass er einer bestimmten Weiterleitungsklasse, wie z. B. beschleunigter Weiterleitung, mit einer bestimmten Topologie übereinstimmt. Der Datenverkehr, der der angegebenen Weiterleitungsklasse entspricht, wird dann der Routingtabelle für diese Topologie hinzugefügt.

  • family inet

  • family inet6

HINWEIS:

Konfigurieren Sie discard die Aktion auf den Switch-Modellen QFX5120-48Y und QFX5120-32C explizit, um eine BFD-Sitzung zu reduzieren. Beachten Sie jedoch, dass die BFD-Sitzung nicht heruntergefahren wird, wenn vor der discard Aktion eine port-mirror Aktion konfiguriert wird.