Terminierungsaktionen für Firewall-Filter

accept

Akzeptieren Sie das Paket.

decapsulate gre [ routing-instance instance-name ]

An einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider Edge (PE) eines IPv4-Transportnetzwerks installiert ist, ist die Entkapselung von Gre-Paketen (Generic Routing Encapsulation) möglich, die über einen filterbasierten GRE-Tunnel übertragen werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung paart, die eine Paket-Headerüberschrift für das GRE-Protokoll enthält. Geben Sie für einen IPv4-Filter die protocol gre Bedingungen (oder protocol 47 ) an. Fügen Sie den Filter an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen de-Encapsulating-Filter an eine Schnittstelle anfing, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine syslog-Warnung, die den Filter nicht unterstützt.

Wenn die Schnittstelle ein Übereinstimmungspaket empfängt, führen prozesse, die auf der Netzwerkschnittstelle ausgeführt werden Packet Forwarding Engine die folgenden Vorgänge aus:

• Entfernen Sie den äußeren GRE-Header.

• So können Sie das Paket mit der Zielnutzlast an das Ziel übertragen, indem Sie die Zielsuche durchführen.

Standardmäßig nutzt Packet Forwarding Engine Routing-Instanz zur Weiterleitung von Paketen an das Zielnetzwerk. Wenn die Payload MPLS ist, führt der Packet Forwarding Engine Route-Suche in der MPLS-Pfad-Routingtabelle mithilfe des Route-Labels im Header MPLS aus.

Wenn Sie die Aktion mit einem optionalen Namen einer Routinginstanz angeben, führt der Packet Forwarding Engine Routensuche auf der Routinginstanz durch, und die Instanz decapsulate muss konfiguriert werden.

Weitere Informationen finden Sie unter Grundlegende Informationen zu Filter-basiertem Tunneling in IPv4-NetzwerkenKomponenten von Filter-basiertem Tunneling in IPv4-Netzwerken und.

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

An einer kundenorientierten Schnittstelle auf einem Router der MX-Serie, der am Provider Edge (PE) eines IPv4-Transportnetzwerks installiert ist, ist die Entkapselung von Layer 2 Tunneling Protocol (L2TP)-Paketen möglich, die über einen filterbasierten L2TP-Tunnel übertragen werden.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit einer Übereinstimmungsbedingung paart, die eine Paket-Headerüberschrift für das L2TP-Protokoll enthält. Für den IPv4-Datenverkehr werden an die Schnittstelle ein Eingangs-Firewall- und ein $junos-input-filter$junos-output-filter Ausgangs-Firewall-Filter angeschlossen. Fügen Sie den Filter an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer modularen Schnittstellenkarte (MIC) oder Modular Port Concentrator (MPC) im Router an. Wenn Sie eine Konfiguration festlegen, die einen de-encapsulating-Filter an eine Schnittstelle anfing, die kein filterbasiertes L2TP-Tunneling unterstützt, schreibt das System eine syslog-Warnung, die den Filter nicht unterstützt.

Der Remote-Tunnelendpunkt sendet ein IP-Tunnelpaket, das eine Ethernet-MAC-Adresse in der Payload enthält. Wenn die MAC-Adresse des Payload-Pakets als Ziel die MAC-Adresse des Routers enthält, wird das Ethernet-Paket an die ausgehende Richtung zum Netzwerk gesendet und wie am Kundenport empfangen und verarbeitet und weitergeleitet. Wenn die MAC-Quelladresse des Payload-Pakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in die ausgehende Richtung zum Kundenport übertragen. Wenn der Tunnel den konfigurierten Receive-Cookie nicht enthält, findet die Einspeisung von Datenpaketen nicht möglich. In einem solchen Fall wird jedes empfangene Tunnelpaket gezählt und auf dieselbe Weise verworfen, wie Pakete, die mit einem falschen Cookie eintreffen, gezählt und abgeworfen werden.

Mit der Aktion können die folgenden Parameter decapsulate l2tp angegeben werden:

• routing-instance instance-name— Standardmäßig verwendet der Packet Forwarding Engine die Standard-Routinginstanz zur Weiterleitung von Paketen an das Zielnetzwerk. Wenn die Payload MPLS ist, führt der Packet Forwarding Engine Route-Suche in der MPLS-Pfad-Routingtabelle mithilfe des Route-Labels im Header MPLS aus. Wenn Sie die Aktion mit einem optionalen Namen einer Routinginstanz angeben, führt der Packet Forwarding Engine Routensuche auf der Routinginstanz durch, und die Instanz decapsulate muss konfiguriert werden.

• forwarding-class class-name-(Optional) Klassifizieren Sie l2TP-Pakete der angegebenen Weiterleitungsklasse.

• output-interface interface-name—(Optional) Ermöglichen Sie für L2TP-Tunnel, dass das Paket dupliziert und an den Kunden oder das Netzwerk gesendet wird (basierend auf der MAC-Adresse in der Ethernet-Payload).

• cookie l2tpv3-cookie—(Optional) Geben Sie für L2TP-Tunnel den L2TP-Cookie für die duplizierten Pakete an. Wenn der Tunnel den konfigurierten Receive-Cookie nicht enthält, findet die Einspeisung von Datenpaketen nicht möglich. In einem solchen Fall wird jedes empfangene Tunnelpaket gezählt und auf dieselbe Weise verworfen, wie Pakete, die mit einem falschen Cookie eintreffen, gezählt und abgeworfen werden.

• sample—(Optional) Geben Sie das Paket an. Junos OS nicht für Vom Router ausgehende Pakete. Wenn Sie einen Filter konfigurieren und auf die Ausgabeseite einer Schnittstelle anwenden, dann werden nur die Transitpakete, die diese Schnittstelle durchgangen, ins Beispiel gesendet. Pakete, die vom Paket-Routing-Engine an den Packet Forwarding Engine gesendet werden, werden nicht mustermustert.

discard

Verwerfen Sie ein Paket unbedringt, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden. Verworfene Pakete sind für die Protokollierung und Sampling verfügbar.

encapsulate template-name

Aktivieren Sie an einer Kundenschnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes Generic Routing Encapsulation (GRE)-Tunneling mithilfe der angegebenen Tunnelvorlage.

Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Bedingungen paart, und diesen dann an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen einkapselenden Filter an eine Schnittstelle anfing, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnung, die den Filter nicht unterstützt.

Wenn die Schnittstelle ein Übereinstimmungspaket empfängt, werden auf dem Server ausgeführte Prozesse Packet Forwarding Engine in der angegebenen Tunnelvorlage für die folgenden Vorgänge verwendet:

1. Einen GRE-Header (mit oder ohne einen Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben) anfügen.

2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

3. Senden Sie das resultierende GRE-Paket von der Tunnel-Quellschnittstelle an das Tunnelziel (den Remote-PE-Router).

Die angegebene Tunnelvorlage muss mithilfe der Anweisung unter tunnel-end-point der oder [edit firewall] der [edit logical-systems logical-system-name firewall] Hierarchieebene konfiguriert werden. Weitere Informationen finden Sie Grundlegende Informationen zu Filter-basiertem Tunneling in IPv4-Netzwerken unter.

encapsulate template-name (für L2TP-Tunnel)

Aktivieren Sie an einer Kundenschnittstelle auf einem Router der MX-Serie, der am Provider-Edge (PE) eines IPv4-Transportnetzwerks installiert ist, filterbasiertes L2TP-Tunneling mithilfe der angegebenen Tunnelvorlage. Sie können einen Filterbegriff konfigurieren, der diese Aktion mit den entsprechenden Bedingungen paart, und diesen dann an die Eingabe einer logischen Ethernet-Schnittstelle oder einer aggregierten Ethernet-Schnittstelle auf einer Modular Interface Card (MIC) oder Modular Port Concentrator (MPC) im Router anfügen. Wenn Sie eine Konfiguration festlegen, die einen einkapselenden Filter an eine Schnittstelle anfing, die kein filterbasiertes GRE-Tunneling unterstützt, schreibt das System eine Syslog-Warnung, die den Filter nicht unterstützt. Wenn die Schnittstelle ein Übereinstimmungspaket empfängt, werden auf dem Server ausgeführte Prozesse Packet Forwarding Engine in der angegebenen Tunnelvorlage für die folgenden Vorgänge verwendet:

1. Fügen Sie einen L2TP-Header an (mit oder ohne einen Tunnelschlüsselwert, wie in der Tunnelvorlage angegeben).

2. Fügen Sie einen Header für das IPv4-Transportprotokoll an.

3. Senden Sie das resultierende L2TP-Paket von der Tunnel-Quellschnittstelle an das Tunnelziel (den Remote-PE-Router). Die angegebene Tunnelvorlage muss mithilfe der Anweisung in der tunnel-end-point oder der [edit firewall] Anweisungshierarchie konfiguriert [edit logical-systems logical-system-name firewall] werden.

exclude-accounting

Schließen Sie das Paket in den genauen Buchhaltungsstatistiken für Tunneled-Abonnenten in einem L2TP-LAC aus. Die typischerweise in Filtern verwendet werden, die dem DHCPv6- oder ICMPv6-Steuerungsdatenverkehr übereinstimmen Ausfällen werden diese Pakete nicht mehr erkannt. Dies führt dazu, dass diese Pakete als Datenverkehr betrachtet werden und die Timeout-Zeit nicht abläuft. (Das Leerlauf-Timeout wird mit den Anweisungen in den Sitzungsoptionen client-idle-timeoutclient-idle-timeout-ingress-only für das Zugriffsprofil konfiguriert.)

Der Begriff schließt ein, dass Pakete nicht in die Zählerzahl aufgenommen werden, und das gilt sowohl für das genaue Accounting der Familie als auch für das dienstgenaue Accounting. Die Pakete sind weiterhin in den Sitzungsschnittstellenstatistiken enthalten.

Der Begriff ist sowohl für inet Familien inet6 verfügbar, wird aber nur für inet6 verwendet.

logical-system logical-system-name

Leitet das Paket an das angegebene logische System weiter.

reject message-type

Ablehnen des Pakets und Senden einer ICMPv4- oder ICMPv6-Nachricht:

• Wenn kein message-type Angegebener angegeben ist, destination unreachable wird standardmäßig eine Nachricht zurückgegeben.

• Wenn als angegeben, wird nur dann tcp-resetmessage-typetcp-reset zurückgegeben, wenn es sich um ein TCP-Paket handelt. Andernfalls wird die Nachricht mit administratively-prohibited einem Wert von 13 zurückgegeben.

• Falls eine andere message-type Angabe angegeben ist, wird diese Nachricht zurückgegeben.

Der message-type kann einer der folgenden Werte sein: address-unreachable, administratively-prohibitedbad-host-tos , , , , bad-network-tos , , , , beyond-scope , , fragmentation-needed , , , , , host-prohibitedhost-unknownhost-unreachable oder network-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset .

Auf PTX1000 Routern wird die Ablehnungsaktion nur auf Ingress-Schnittstellen unterstützt.

routing-instance instance-name

Leitet das Paket an die angegebene Routing-Instanz weiter.

topology topology-name

Leitet das Paket an die angegebene Topologie weiter.