Terminierungsaktionen für Firewall-Filter

accept

Akzeptieren Sie das Paket.

decapsulate gre [ routing-instance instance-name ]

Ermöglichen Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von generic Routing Encapsulation (GRE)-Paketen, die durch einen filterbasierten GRE-Tunnel transportiert werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung kombiniert, die eine Paket-Header-Übereinstimmung für das GRE-Protokoll enthält. Fügen Sie für einen IPv4-Filter die Übereinstimmungsbedingung protocol gre (oder protocol 47) ein. Schließen Sie den Filter an den Eingang einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder einem Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen Entkapselungsfilter an eine Schnittstelle anfügen, die filterbasiertes GRE-Tunneling nicht unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt.

Wenn die Schnittstelle ein passendes Paket empfängt, führen Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, die folgenden Vorgänge aus:

• Entfernen Sie den äußeren GRE-Header.

• Leiten Sie das innere Nutzdatenpaket durch eine Zielsuche an sein ursprüngliches Ziel weiter.

Standardmäßig verwendet die Packet Forwarding Engine die Standard-Routing-Instanz, um Nutzpakete an das Zielnetzwerk weiterzuleiten. Wenn es sich bei der Nutzdaten um MPLS handelt, führt die Packet Forwarding Engine eine Routensuche in der MPLS-Pfad-Routing-Tabelle mithilfe des Routenetiketts im MPLS-Header durch.

Wenn Sie die decapsulate Aktion mit einem optionalen Namen der Routing-Instanz angeben, führt die Packet Forwarding Engine eine Routensuche in der Routing-Instanz durch, und die Instanz muss konfiguriert werden.

Weitere Informationen finden Sie unter Verständnis des filterbasierten Tunnelings in IPv4-Netzwerken und Komponenten des filterbasierten Tunnelings in IPv4-Netzwerken.

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

Ermöglichen Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von Layer 2 Tunneling Protocol (L2TP)-Paketen, die durch einen filterbasierten L2TP-Tunnel transportiert werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung kombiniert, die eine Paket-Header-Übereinstimmung für das L2TP-Protokoll enthält. Für IPv4-Datenverkehr sind ein Input-Firewall-Filter $junos-input-filter und ein Ausgabe-Firewall-Filter $junos-output-filter an die Schnittstelle angeschlossen. Schließen Sie den Filter an den Eingang einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder einem Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen Entkapselungsfilter an eine Schnittstelle anfügen, die filterbasiertes L2TP-Tunneling nicht unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt.

Das Remote-Tunnelendpunkt sendet ein IP-Tunnelpaket, das eine Ethernet-MAC-Adresse in der Nutzdaten enthält. Wenn die MAC-Adresse des Nutzpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung zum Netzwerk gesendet und so verarbeitet und weitergeleitet, als ob es auf dem Kundenport empfangen würde. Wenn die Quell-MAC-Adresse des Nutzpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung zum Kunden-Port übertragen. Wenn der Tunnel den Empfang-Cookie nicht enthält, erfolgt keine Paketinjektion. In einem solchen Fall wird jedes empfangene Tunnelpaket auf dieselbe Weise gezählt und gelöscht, wie Pakete, die mit einem falschen Cookie ankommen, gezählt und gelöscht werden.

Die folgenden Parameter können mit der decapsulate l2tp Aktion angegeben werden:

• routing-instance instance-name— Standardmäßig verwendet die Packet Forwarding Engine die Standard-Routing-Instanz, um Nutzpakete an das Zielnetzwerk weiterzuleiten. Wenn es sich bei der Nutzdaten um MPLS handelt, führt die Packet Forwarding Engine eine Routensuche in der MPLS-Pfad-Routing-Tabelle mithilfe des Routenetiketts im MPLS-Header durch. Wenn Sie die decapsulate Aktion mit einem optionalen Namen der Routing-Instanz angeben, führt die Packet Forwarding Engine eine Routensuche in der Routing-Instanz durch, und die Instanz muss konfiguriert werden.

• forwarding-class class-name—(Optional) Klassifizieren Sie l2TP-Pakete in die angegebene Weiterleitungsklasse.

• output-interface interface-name—(Optional) Ermöglichen Sie bei L2TP-Tunneln, dass das Paket dupliziert und an den Kunden oder das Netzwerk gesendet wird (basierend auf der MAC-Adresse in der Ethernet-Payload).

• cookie l2tpv3-cookie—(Optional) Geben Sie für L2TP-Tunnel den L2TP-Cookie für die duplizierten Pakete an. Wenn der Tunnel den Empfang-Cookie nicht enthält, erfolgt keine Paketinjektion. In einem solchen Fall wird jedes empfangene Tunnelpaket auf dieselbe Weise gezählt und gelöscht, wie Pakete, die mit einem falschen Cookie ankommen, gezählt und gelöscht werden.

• sample—(Optional) Beispiel für das Paket. Junos OS gibt keine Stichprobenpakete, die vom Router stammen. Wenn Sie einen Filter konfigurieren und auf die Ausgabeseite einer Schnittstelle anwenden, werden nur die Transitpakete erfasst, die diese Schnittstelle durchlaufen. Pakete, die von der Routing-Engine an die Packet Forwarding Engine gesendet werden, werden nicht abgetastet.

discard

Verwerfen Sie ein Paket unbemerkt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete stehen zur Protokollierung und Sampling zur Verfügung.

encapsulate template-name

Aktivieren Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes generic Routing Encapsulation (GRE)-Tunneling mithilfe der angegebenen Tunnelvorlage.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen kombiniert, und dann den Filter an den Eingang einer logischen Ethernet- oder aggregierten Ethernet-Schnittstelle auf einem Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen Kapselungsfilter an eine Schnittstelle anfügen, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt.

Wenn die Schnittstelle ein abgeglichenes Paket empfängt, verwenden Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:

1. Fügen Sie einen GRE-Header an (mit oder ohne Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben.

2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

3. Leiten Sie das resultierende GRE-Paket von der Tunnelquelle-Schnittstelle an das Tunnelziel (den entfernten PE-Router) weiter.

Die angegebene Tunnelvorlage muss mit der tunnel-end-point Anweisung unter der [edit firewall][edit logical-systems logical-system-name firewall] Hierarchieebene konfiguriert werden. Weitere Informationen finden Sie unter Verständnis des filterbasierten Tunnelings in IPv4-Netzwerken.

encapsulate template-name (für L2TP-Tunnel)

Aktivieren Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes L2TP-Tunneling mithilfe der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen kombiniert, und dann den Filter an den Eingang einer logischen Ethernet- oder aggregierten Ethernet-Schnittstelle auf einem Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen Kapselungsfilter an eine Schnittstelle anfügen, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt. Wenn die Schnittstelle ein abgeglichenes Paket empfängt, verwenden Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:

1. Fügen Sie einen L2TP-Header an (mit oder ohne Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben).

2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

3. Leiten Sie das resultierende L2TP-Paket von der Tunnel-Quellschnittstelle an das Tunnelziel (den entfernten PE-Router) weiter. Die angegebene Tunnelvorlage muss mit der tunnel-end-point Anweisung unter der [edit firewall] Anweisungshierarchie konfiguriert [edit logical-systems logical-system-name firewall] werden.

exclude-accounting

Schließen Sie das Paket von der Aufnahme in die genaue Buchhaltungsstatistik für tunnelte Abonnenten auf einem L2TP-LAC aus. In der Regel in Filtern verwendet, die dem DHCPv6- oder ICMPv6-Steuerungsverkehr entsprechen Der Fehler, diese Pakete auszuschließen, führt dazu, dass der Mechanismus zur Erkennung von Leerlaufzeiten diese Pakete als Datenverkehr betrachtet, sodass der Timeout nie abläuft. (Der Leerlauf-Timeout wird mit den client-idle-timeout Und client-idle-timeout-ingress-only Anweisungen in den Sitzungsoptionen für das Zugriffsprofil konfiguriert.)

Der Begriff schließt die Einbeziehung von Paketen in die Zähler sowohl für die genaue Buchhaltung der Familie als auch für die dienstgenaue Buchhaltung aus. Die Pakete sind nach wie vor in den Sitzungsschnittstellenstatistiken enthalten.

Der Begriff ist sowohl für Familien als auch inetinet6 für Familien verfügbar, wird aber nur für inet6.

logical-system logical-system-name

Leiten Sie das Paket an das angegebene logische System.

reject message-type

Das Paket ablehnen und eine ICMPv4- oder ICMPv6-Nachricht zurücksenden:

• Wenn nein message-type angegeben wird, wird standardmäßig eine destination unreachable Nachricht zurückgegeben.

• Wenn tcp-reset als der message-typeangegeben wird, tcp-reset wird nur zurückgegeben, wenn es sich bei dem Paket um ein TCP-Paket handelt. Andernfalls wird die administratively-prohibited Nachricht mit dem Wert 13 zurückgegeben.

• Wenn eine andere message-type angegeben wird, wird diese Nachricht zurückgegeben.

Der message-type kann einer der folgenden Werte sein: address-unreachable, administratively-prohibited, , bad-host-tos, bad-network-tos, beyond-scope, fragmentation-needed, host-unknownhost-prohibited, host-unreachable, network-prohibitednetwork-unreachablesource-host-isolatedsource-route-failednetwork-unknownport-unreachabletcp-resetno-routeprecedence-cutoffprecedence-violationprotocol-unreachableoder .

Auf PTX1000-Routern wird die Ablehnungsaktion nur auf Eingangsschnittstellen unterstützt.

routing-instance instance-name

Leiten Sie das Paket an die angegebene Routing-Instanz.

topology topology-name

Leiten Sie das Paket an die angegebene Topologie.