Acciones de finalización del filtro de firewall

accept

Acepte el paquete.

decapsulate gre [ routing-instance instance-name ]

En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de paquetes de encapsulación de enrutamiento genérico (GRE) transportados a través de un túnel GRE basado en filtros.

Puede configurar un término de filtro que empareje esta acción con una condición de coincidencia que incluya una coincidencia de encabezado de paquete para el protocolo GRE. Para un filtro IPv4, incluya la condición de coincidencia (o ).protocol greprotocol 47 Adjunte el filtro a la entrada de una interfaz lógica Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) del enrutador. Si confirma una configuración que adjunta un filtro de desencapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia syslog que indica que la interfaz no admite el filtro.

Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes realizan las siguientes operaciones:

• Quite el encabezado GRE exterior.

• Reenvíe el paquete de carga interna a su destino original realizando la búsqueda de destino.

De forma predeterminada, el motor de reenvío de paquetes utiliza la instancia de enrutamiento predeterminada para reenviar paquetes de carga a la red de destino. Si la carga es MPLS, el motor de reenvío de paquetes realiza la búsqueda de rutas en la tabla de enrutamiento de ruta MPLS utilizando la etiqueta de ruta del encabezado MPLS.

Si especifica la acción con un nombre de instancia de enrutamiento opcional, el motor de reenvío de paquetes realiza la búsqueda de ruta en la instancia de enrutamiento y la instancia debe estar configurada.decapsulate

Para obtener más información, consulte y .Descripción de la tunelización basada en filtros en redes IPv4Componentes de la tunelización basada en filtros en redes IPv4

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de los paquetes del protocolo de túnel de capa 2 (L2TP) transportados a través de un túnel L2TP basado en filtros.

Puede configurar un término de filtro que empareje esta acción con una condición de coincidencia que incluya una coincidencia de encabezado de paquete para el protocolo L2TP. Para el tráfico IPv4, se adjuntan a la interfaz un filtro de firewall de entrada y un filtro de firewall de salida.$junos-input-filter$junos-output-filter Adjunte el filtro a la entrada de una interfaz lógica Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) del enrutador. Si confirma una configuración que adjunta un filtro de desencapsulación a una interfaz que no admite la tunelización L2TP basada en filtros, el sistema escribe un mensaje de advertencia syslog que indica que la interfaz no admite el filtro.

El extremo del túnel remoto envía un paquete de túnel IP que contiene una dirección MAC Ethernet en la carga. Si la dirección MAC de destino del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se envía en la dirección saliente hacia la red, y se procesa y reenvía como si se recibiera en el puerto del cliente. Si la dirección MAC de origen del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se transmite en la dirección de salida hacia el puerto del cliente. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se deja caer de la misma manera en que se cuentan y descartan los paquetes que llegan con una cookie incorrecta.

Con la acción se pueden especificar los siguientes parámetros:decapsulate l2tp

• routing-instance instance-name: de forma predeterminada, el motor de reenvío de paquetes utiliza la instancia de enrutamiento predeterminada para reenviar paquetes de carga a la red de destino. Si la carga es MPLS, el motor de reenvío de paquetes realiza la búsqueda de rutas en la tabla de enrutamiento de ruta MPLS utilizando la etiqueta de ruta del encabezado MPLS. Si especifica la acción con un nombre de instancia de enrutamiento opcional, el motor de reenvío de paquetes realiza la búsqueda de ruta en la instancia de enrutamiento y la instancia debe estar configurada.decapsulate

• forwarding-class class-name—(Opcional) Clasifique los paquetes l2TP en la clase de reenvío especificada.

• output-interface interface-name—(Opcional) Para túneles L2TP, habilite el paquete para que se duplique y se envíe al cliente o a la red (según la dirección MAC de la carga Ethernet).

• cookie l2tpv3-cookie—(Opcional) Para túneles L2TP, especifique la cookie L2TP para los paquetes duplicados. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se deja caer de la misma manera en que se cuentan y descartan los paquetes que llegan con una cookie incorrecta.

• sample—(Opcional) Muestree el paquete. Junos OS no muestra paquetes que se originan en el enrutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrearán los paquetes de tránsito que pasan por esa interfaz. Los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes no se muestran.

discard

Descarte un paquete silenciosamente, sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP). Los paquetes desechados están disponibles para su registro y muestreo.

encapsulate template-name

En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la tunelización de encapsulación de enrutamiento genérico (GRE) basada en filtros mediante la plantilla de túnel especificada.

Puede configurar un término de filtro que empareje esta acción con las condiciones de coincidencia adecuadas y, a continuación, adjuntar el filtro a la entrada de una interfaz lógica Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) del enrutador. Si confirma una configuración que adjunta un filtro de encapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia syslog que indica que la interfaz no admite el filtro.

Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes utilizan la información de la plantilla de túnel especificada para realizar las siguientes operaciones:

1. Adjunte un encabezado GRE (con o sin un valor de clave de túnel, como se especifica en la plantilla de túnel.

2. Adjunte un encabezado para el protocolo de transporte IPv4.

3. Reenvíe el paquete GRE resultante desde la interfaz de origen del túnel al destino del túnel (el enrutador PE remoto).

La plantilla de túnel especificada debe configurarse mediante la instrucción bajo el nivel de jerarquía o .tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall] Para obtener más información, consulte Descripción de la tunelización basada en filtros en redes IPv4.

encapsulate template-name (para túneles L2TP)

En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la tunelización L2TP basada en filtros mediante la plantilla de túnel especificada. Puede configurar un término de filtro que empareje esta acción con las condiciones de coincidencia adecuadas y, a continuación, adjuntar el filtro a la entrada de una interfaz lógica Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) del enrutador. Si confirma una configuración que adjunta un filtro de encapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia syslog que indica que la interfaz no admite el filtro. Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes utilizan la información de la plantilla de túnel especificada para realizar las siguientes operaciones:

1. Adjunte un encabezado L2TP (con o sin un valor de clave de túnel, como se especifica en la plantilla de túnel).

2. Adjunte un encabezado para el protocolo de transporte IPv4.

3. Reenvíe el paquete L2TP resultante desde la interfaz de origen del túnel hasta el destino del túnel (el enrutador PE remoto). La plantilla de túnel especificada debe configurarse mediante la instrucción bajo la jerarquía de instrucción o .tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall]

exclude-accounting

Excluya el paquete de ser incluido en estadísticas contables precisas para suscriptores tunelizados en un LAC L2TP. Se utiliza normalmente en filtros que coinciden con el tráfico de control DHCPv6 o ICMPv6 Si no se excluyen estos paquetes, el mecanismo de detección de tiempo de espera de inactividad considera estos paquetes como tráfico de datos, lo que hace que el tiempo de espera nunca caduque. (El tiempo de espera de inactividad se configura con las instrucciones y en las opciones de sesión del perfil de acceso.)client-idle-timeoutclient-idle-timeout-ingress-only

El término excluye a los paquetes de ser incluidos en los recuentos tanto para la contabilidad exacta de la familia como para la contabilidad precisa del servicio. Los paquetes todavía se incluyen en las estadísticas de la interfaz de sesión.

El término está disponible para ambos y familias, pero se usa solo para .inetinet6inet6

logical-system logical-system-name

Dirija el paquete al sistema lógico especificado.

reject message-type

Rechazar el paquete y devolver un mensaje ICMPv4 o ICMPv6:

• Si se especifica no , se devuelve un mensaje de forma predeterminada.message-typedestination unreachable

• Si se especifica como , sólo se devuelve si el paquete es un paquete TCP.tcp-resetmessage-typetcp-reset De lo contrario, se devuelve el mensaje, que tiene un valor de 13.administratively-prohibited

• Si se especifica algún otro , se devuelve ese mensaje.message-type

El puede ser uno de los siguientes valores:message-type , , , , , , , , o .address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

En enrutadores PTX1000, la acción de rechazo solo se admite en las interfaces de entrada.

routing-instance instance-name

Dirija el paquete a la instancia de enrutamiento especificada.

topology topology-name

Dirija el paquete a la topología especificada.