Aktionen zum Beenden des Firewall-Filters
Firewall-Filter unterstützen eine Reihe von Aktionen zum Beenden für jede Protokollfamilie. Eine filterbeendende Aktion stoppt die gesamte Auswertung eines Firewall-Filters für ein bestimmtes Paket. Der Router führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe untersucht.
Sie können die Aktion nicht mit einer beendenden Aktion im gleichen Filterbegriff konfigurieren.next term Sie können die Aktion jedoch mit einer anderen nicht beendenden Aktion im selben Filterbegriff konfigurieren.next term
Kann unter Junos OS und Junos OS Evolved nicht als letzter Termin der Aktion angezeigt werden.next term
Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term
Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Nur-Trio-Übereinstimmungsfilter initialisieren, indem Sie die entsprechende SNMP-MIB durchlaufen, z. B . . .show snmp mib walk name ascii
Dadurch wird Junos gezwungen, die Filterzähler zu erlernen und sicherzustellen, dass die Filterstatistiken angezeigt werden. Diese Anleitung gilt für alle Firewallfilter im erweiterten Modus, Filter mit flexiblen Bedingungen und Filter mit bestimmten Beendigungsaktionen. Weitere Informationen finden Sie in den Themen, die unter "Zugehörige Dokumentation" aufgeführt sind.
Tabelle 1 Beschreibt die Beendigungsaktionen, die Sie in einem Firewallfilterbegriff angeben können.
Beenden der Aktion |
Beschreibung |
Protokolle |
---|---|---|
accept |
Akzeptieren Sie das Paket. |
|
|
Aktivieren Sie an einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von GRE-Paketen (Generic Routing Encapsulation), die über einen filterbasierten GRE-Tunnel transportiert werden. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung paart, die eine Paket-Header-Übereinstimmung für das GRE-Protokoll enthält. Fügen Sie für einen IPv4-Filter die Übereinstimmungsbedingung (oder ) hinzu. Wenn die Schnittstelle ein übereinstimmendes Paket empfängt, führen Prozesse, die auf der Paketweiterleitungs-Engine ausgeführt werden, die folgenden Vorgänge aus:
Standardmäßig verwendet die Paketweiterleitungs-Engine die Standard-Routing-Instanz, um Nutzlastpakete an das Zielnetzwerk weiterzuleiten. Wenn es sich bei der Nutzlast um MPLS handelt, führt die Paketweiterleitungs-Engine eine Routensuche in der MPLS-Pfadroutingtabelle mithilfe der Routenbezeichnung im MPLS-Header durch. Wenn Sie die Aktion mit einem optionalen Routing-Instanznamen angeben, führt die Paketweiterleitungs-Engine eine Routensuche auf der Routing-Instanz durch, und die Instanz muss konfiguriert werden.decapsulate HINWEIS:
Auf MX960-Routern werden GRE-, IP-in-IP- und IPv6-in-IP-Tunneling-Pakete entkapselt. Weitere Informationen finden Sie unter und .Grundlegendes zu filterbasiertem Tunneling in IPv4-NetzwerkenKomponenten des filterbasierten Tunnelings in IPv4-Netzwerken |
|
|
Aktivieren Sie an einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, die Entkapselung von L2TP-Paketen (Layer 2 Tunneling Protocol), die durch einen filterbasierten L2TP-Tunnel transportiert werden. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung paart, die eine Paket-Header-Übereinstimmung für das L2TP-Protokoll enthält. Für IPv4-Datenverkehr sind ein Eingabe-Firewall-Filter und ein Ausgabe-Firewall-Filter an die Schnittstelle angefügt. Der Remote-Tunnelendpunkt sendet ein IP-Tunnelpaket, das eine Ethernet-MAC-Adresse in der Nutzlast enthält. Wenn die MAC-Zieladresse des Nutzlastpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung an das Netzwerk gesendet und so verarbeitet und weitergeleitet, als ob es am Kundenport empfangen würde. Wenn die Quell-MAC-Adresse des Nutzlastpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung in Richtung des Kundenports übertragen. Wenn der Tunnel das konfigurierte Empfangscookie nicht enthält, findet keine Paketinjektion statt. In einem solchen Fall wird jedes empfangene Tunnelpaket auf die gleiche Weise gezählt und verworfen, wie Pakete, die mit einem falschen Cookie ankommen, gezählt und verworfen werden. Die folgenden Parameter können mit der Aktion angegeben werden:
HINWEIS:
Die Aktion, die Sie auf Hierarchieebene konfigurieren, verarbeitet keinen Datenverkehr mit IPv4- und IPv6-Optionen. |
|
|
Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete stehen für die Protokollierung und Stichprobenentnahme zur Verfügung. |
|
|
Aktivieren Sie an einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes GRE-Tunneling (Generic Routing Encapsulation) unter Verwendung der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen paart, und dann den Filter an den Eingang einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder einem modularen Portkonzentrator (MPC) im Router anfügen. Wenn Sie einen Commit für eine Konfiguration ausführen, die einen kapselnden Filter an eine Schnittstelle anfügt, die filterbasiertes GRE-Tunneling nicht unterstützt, gibt das System eine Syslog-Warnmeldung aus, dass die Schnittstelle den Filter nicht unterstützt. Wenn die Schnittstelle ein übereinstimmendes Paket empfängt, verwenden Prozesse, die auf der Paketweiterleitungs-Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:
Die angegebene Tunnelvorlage muss mit der Anweisung unter der Hierarchieebene or konfiguriert werden. |
|
|
Aktivieren Sie an einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes L2TP-Tunneling mithilfe der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Übereinstimmungsbedingungen paart, und dann den Filter an den Eingang einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder einem modularen Portkonzentrator (MPC) im Router anfügen. Wenn Sie einen Commit für eine Konfiguration ausführen, die einen kapselnden Filter an eine Schnittstelle anfügt, die filterbasiertes GRE-Tunneling nicht unterstützt, gibt das System eine Syslog-Warnmeldung aus, dass die Schnittstelle den Filter nicht unterstützt. Wenn die Schnittstelle ein übereinstimmendes Paket empfängt, verwenden Prozesse, die auf der Paketweiterleitungs-Engine ausgeführt werden, Informationen in der angegebenen Tunnelvorlage, um die folgenden Vorgänge auszuführen:
|
|
|
Schließen Sie das Paket von der Aufnahme in genaue Abrechnungsstatistiken für getunnelte Abonnenten auf einer L2TP-LAC aus. Wird in der Regel in Filtern verwendet, die DHCPv6- oder ICMPv6-Kontrolldatenverkehr entsprechen Wenn diese Pakete nicht ausgeschlossen werden, betrachtet der Mechanismus zur Erkennung von Leerlauf-Timeouts diese Pakete als Datenverkehr, sodass das Timeout nie abläuft. (Das Leerlauftimeout wird mit den Anweisungen und in den Sitzungsoptionen des Zugriffsprofils konfiguriert.) Der Begriff schließt aus, dass Pakete nicht in die Zählung einbezogen werden, sowohl für die familiengenaue Abrechnung als auch für die servicegenaue Abrechnung. Die Pakete sind weiterhin in den Statistiken der Sitzungsschnittstelle enthalten. Der Begriff ist sowohl für als auch für Familien verfügbar, wird jedoch nur für verwendet. |
|
|
Leiten Sie das Paket an das angegebene logische System weiter. HINWEIS:
Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. |
|
|
Lehnen Sie das Paket ab und geben Sie eine ICMPv4- oder ICMPv6-Nachricht zurück:
HINWEIS:
Abgelehnte Pakete können abgetastet oder protokolliert werden, wenn Sie die Aktion "Oder" konfigurieren. Der kann einer der folgenden Werte sein: Auf PTX1000 Routern wird die Ablehnungsaktion nur für Eingangsschnittstellen unterstützt. |
|
|
Leiten Sie das Paket an die angegebene Routinginstanz weiter. |
|
|
Leiten Sie das Paket an die angegebene Topologie weiter. HINWEIS:
Diese Aktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Jede Routinginstanz (primärer oder virtueller Router) unterstützt eine Standardtopologie, an die alle Weiterleitungsklassen weitergeleitet werden. Für Multitopologie-Routing können Sie einen Firewallfilter auf der Eingangsschnittstelle so konfigurieren, dass er eine bestimmte Weiterleitungsklasse, z. B. beschleunigte Weiterleitung, mit einer bestimmten Topologie abgleicht. Der Datenverkehr, der der angegebenen Weiterleitungsklasse entspricht, wird dann der Routingtabelle für diese Topologie hinzugefügt. |
|
Konfigurieren Sie bei den Switch-Modellen QFX5120-48Y und QFX5120-32C die Aktion explizit so, dass eine BFD-Sitzung unterbrochen wird.discard
Beachten Sie jedoch, dass die BFD-Sitzung nicht heruntergefahren wird, wenn vor der Aktion eine Aktion konfiguriert ist.port-mirror
discard