Terminierungsaktionen für Firewall-Filter
Firewall-Filter unterstützen eine Reihe von Terminierungsaktionen für jede Protokollfamilie. Eine Aktion zur Filterbeendung stoppt die gesamte Bewertung eines Firewall-Filters für ein bestimmtes Paket. Der Router führt die angegebene Aktion aus, und es werden keine zusätzlichen Bedingungen untersucht.
Sie können die next term Aktion nicht mit einer Terminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können die next term Aktion jedoch mit einer anderen nichtterminierenden Aktion mit demselben Filterbegriff konfigurieren.
Unter Junos OS Evolved next term
kann nicht als letzter Begriff der Aktion angezeigt werden. Ein Filterbegriff, bei dem next term
als Aktion angegeben wird, aber ohne Konfiguration der Übereinstimmungsbedingungen, wird nicht unterstützt.
Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Nur-Trio-Übereinstimmungsfilter initialisieren, indem Sie z. B. die entsprechende SNMP-MIB laufen lassen show snmp mib walk name ascii
. Dadurch muss Junos die Filterzähler kennen lernen und sicherstellen, dass die Filterstatistiken angezeigt werden. Diese Anleitung gilt für alle Firewall-Filter mit erweitertem Modus, Filter mit flexiblen Bedingungen und Filter mit bestimmten Terminierungsaktionen. Weitere Informationen finden Sie in diesen Themen, die unter Zugehörige Dokumentation aufgeführt sind.
Tabelle 1 beschreibt die Terminierungsaktionen, die Sie in einem Firewall-Filterbegriff angeben können.
Terminierung der Aktion |
Beschreibung |
Protokolle |
---|---|---|
accept |
Akzeptieren Sie das Paket. |
|
|
Ermöglichen Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von generic Routing Encapsulation (GRE)-Paketen, die durch einen filterbasierten GRE-Tunnel transportiert werden. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung kombiniert, die eine Paket-Header-Übereinstimmung für das GRE-Protokoll enthält. Fügen Sie für einen IPv4-Filter die Übereinstimmungsbedingung Wenn die Schnittstelle ein passendes Paket empfängt, führen Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, die folgenden Vorgänge aus:
Standardmäßig verwendet die Packet Forwarding Engine die Standard-Routing-Instanz, um Nutzpakete an das Zielnetzwerk weiterzuleiten. Wenn es sich bei der Nutzdaten um MPLS handelt, führt die Packet Forwarding Engine eine Routensuche in der MPLS-Pfad-Routing-Tabelle mithilfe des Routenetiketts im MPLS-Header durch. Wenn Sie die decapsulate Aktion mit einem optionalen Namen der Routing-Instanz angeben, führt die Packet Forwarding Engine eine Routensuche in der Routing-Instanz durch, und die Instanz muss konfiguriert werden. HINWEIS:
Auf MX960-Routern entkapselt die Weitere Informationen finden Sie unter Verständnis des filterbasierten Tunnelings in IPv4-Netzwerken und Komponenten des filterbasierten Tunnelings in IPv4-Netzwerken. |
|
|
Ermöglichen Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von Layer 2 Tunneling Protocol (L2TP)-Paketen, die durch einen filterbasierten L2TP-Tunnel transportiert werden. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung kombiniert, die eine Paket-Header-Übereinstimmung für das L2TP-Protokoll enthält. Für IPv4-Datenverkehr sind ein Input-Firewall-Filter Das Remote-Tunnelendpunkt sendet ein IP-Tunnelpaket, das eine Ethernet-MAC-Adresse in der Nutzdaten enthält. Wenn die MAC-Adresse des Nutzpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung zum Netzwerk gesendet und so verarbeitet und weitergeleitet, als ob es auf dem Kundenport empfangen würde. Wenn die Quell-MAC-Adresse des Nutzpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung zum Kunden-Port übertragen. Wenn der Tunnel den Empfang-Cookie nicht enthält, erfolgt keine Paketinjektion. In einem solchen Fall wird jedes empfangene Tunnelpaket auf dieselbe Weise gezählt und gelöscht, wie Pakete, die mit einem falschen Cookie ankommen, gezählt und gelöscht werden. Die folgenden Parameter können mit der
HINWEIS:
Die |
|
|
Verwerfen Sie ein Paket unbemerkt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete stehen zur Protokollierung und Sampling zur Verfügung. |
|
|
Aktivieren Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes generic Routing Encapsulation (GRE)-Tunneling mithilfe der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen kombiniert, und dann den Filter an den Eingang einer logischen Ethernet- oder aggregierten Ethernet-Schnittstelle auf einem Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen Kapselungsfilter an eine Schnittstelle anfügen, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt. Wenn die Schnittstelle ein abgeglichenes Paket empfängt, verwenden Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:
Die angegebene Tunnelvorlage muss mit der |
|
|
Aktivieren Sie an einer kundenorientierten Schnittstelle eines Routers der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes L2TP-Tunneling mithilfe der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen kombiniert, und dann den Filter an den Eingang einer logischen Ethernet- oder aggregierten Ethernet-Schnittstelle auf einem Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen Kapselungsfilter an eine Schnittstelle anfügen, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnmeldung, dass die Schnittstelle den Filter nicht unterstützt. Wenn die Schnittstelle ein abgeglichenes Paket empfängt, verwenden Prozesse, die auf der Packet Forwarding Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:
|
|
|
Schließen Sie das Paket von der Aufnahme in die genaue Buchhaltungsstatistik für tunnelte Abonnenten auf einem L2TP-LAC aus. In der Regel in Filtern verwendet, die dem DHCPv6- oder ICMPv6-Steuerungsverkehr entsprechen Der Fehler, diese Pakete auszuschließen, führt dazu, dass der Mechanismus zur Erkennung von Leerlaufzeiten diese Pakete als Datenverkehr betrachtet, sodass der Timeout nie abläuft. (Der Leerlauf-Timeout wird mit den Der Begriff schließt die Einbeziehung von Paketen in die Zähler sowohl für die genaue Buchhaltung der Familie als auch für die dienstgenaue Buchhaltung aus. Die Pakete sind nach wie vor in den Sitzungsschnittstellenstatistiken enthalten. Der Begriff ist sowohl für Familien als auch |
|
|
Leiten Sie das Paket an das angegebene logische System. HINWEIS:
Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Das Paket ablehnen und eine ICMPv4- oder ICMPv6-Nachricht zurücksenden:
HINWEIS:
Abgelehnte Pakete können abgetastet oder protokolliert werden, wenn Sie die Der Auf PTX1000-Routern wird die Ablehnungsaktion nur auf Eingangsschnittstellen unterstützt. |
|
|
Leiten Sie das Paket an die angegebene Routing-Instanz. |
|
|
Leiten Sie das Paket an die angegebene Topologie. HINWEIS:
Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Jede Routing-Instanz (primär oder virtueller Router) unterstützt eine Standardtopologie, an die alle Weiterleitungsklassen weitergeleitet werden. Für multitopologisches Routing können Sie einen Firewall-Filter auf der Eingangsschnittstelle so konfigurieren, dass er einer bestimmten Weiterleitungsklasse, wie z. B. beschleunigter Weiterleitung, mit einer bestimmten Topologie übereinstimmt. Der Datenverkehr, der der angegebenen Weiterleitungsklasse entspricht, wird dann der Routingtabelle für diese Topologie hinzugefügt. |
|
Konfigurieren Sie discard
die Aktion auf den Switch-Modellen QFX5120-48Y und QFX5120-32C explizit, um eine BFD-Sitzung zu reduzieren. Beachten Sie jedoch, dass die BFD-Sitzung nicht heruntergefahren wird, wenn vor der discard
Aktion eine port-mirror
Aktion konfiguriert wird.