Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie ACX)
En los enrutadores metropolitanos universales serie ACX, puede configurar filtros de firewall para filtrar paquetes y realizar una acción en paquetes que coincidan con el filtro. Las condiciones de coincidencia especificadas para filtrar los paquetes son específicas del tipo de tráfico que se filtra.
Los filtros de firewall con IPv6 coinciden con condiciones no admitidas en el nivel jerárquico en enrutadores ACX6360-OR en Junos OS versión 19.1R1.firewall family inet6 filter name
En los enrutadores de la serie ACX, el filtro para el tráfico saliente (filtro de salida) solo se puede aplicar a instancias específicas de la interfaz del filtro de firewall.
En los enrutadores de la serie ACX, se observan errores de TCAM cuando se modifica un prefijo o un término en los filtros de firewall aplicados. Para modificar un prefijo o un término en el filtro de firewall, debe quitar el filtro de firewall existente y, a continuación, aplicar el filtro modificado.
En los enrutadores de la serie ACX, no puede aplicar un filtro de firewall en la dirección de salida en las interfaces IRB.
Descripción general de las condiciones y acciones de coincidencia de filtro de firewall en enrutadores de la serie ACX
Tabla 1 Describe los tipos de tráfico para los que puede configurar filtros de firewall sin estado estándar.
Tipo de tráfico |
Nivel de jerarquía en el que se especifican las condiciones de coincidencia |
---|---|
Independiente del protocolo |
No se admiten condiciones de coincidencia para este tipo de tráfico en los enrutadores de la serie ACX. |
IPv4 |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia para tráfico IPv4 (enrutadores de la serie ACX). |
MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia para tráfico MPLS (enrutadores de la serie ACX).Condiciones de coincidencia para el tráfico MPLS (enrutadores de la serie ACX) |
CCC de capa 2 |
No se admiten condiciones de coincidencia para este tipo de tráfico en los enrutadores de la serie ACX. |
Puente |
|
En ACX5448 enrutador, los siguientes filtros de familia de entrada se pueden escalar según la disponibilidad de ccam externo:
Familia
ethernet-switching
Familia
ccc
Familia
inet
Familia
inet6
Familia
mpls
Familia
vpls
En la instrucción para un término de filtro de firewall sin estado estándar, puede especificar las acciones que se deben realizar en un paquete que coincida con el término.then
Tabla 2 Resume los tipos de acciones que puede especificar en un término estándar de filtro de firewall sin estado.
Tipo de acción |
Description |
Comentario |
---|---|---|
Terminación |
Detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador realiza la acción especificada y no se utilizan términos adicionales para examinar el paquete. Solo puede especificar una acción de terminación en un filtro de firewall estándar. Sin embargo, puede especificar una acción de terminación con una o más acciones de no terminación en un solo término. Por ejemplo, dentro de un término, puede especificar con y . |
Consulte Acciones de terminación (enrutadores de la serie ACX).Acciones de terminación (enrutadores de la serie ACX) |
No terminación |
Realiza otras funciones en un paquete (como incriminar a un contador, registrar información sobre el encabezado del paquete, muestrear los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan términos adicionales para examinar el paquete. |
Consulte Acciones de no terminación (enrutadores de la serie ACX).Acciones de no terminación (enrutadores de la serie ACX) |
Condiciones de coincidencia para los filtros de firewall de la familia Bridge (enrutadores de la serie ACX)
Filtros de firewall de la familia Bridge en enrutadores de la serie ACX
Los filtros de firewall de la familia de puentes se pueden configurar a nivel de familia IFL en enrutadores de la serie ACX. Los filtros de familia de puentes se utilizan para hacer coincidir los flujos de puente L2 según los campos admitidos Layer2/Layer3 y realizar acciones de firewall. El número máximo de términos admitidos para los filtros de firewall de puente en los enrutadores de la serie ACX es 124.
En los enrutadores de las series ACX5448 y ACX7000, debe aplicar los filtros de firewall de capa 2 solo en los paquetes conmutados de capa 2, incluso si el dominio de puente tiene IRB adjunto al dominio de puente. Si el paquete se reenvía de capa 3, se deben aplicar filtros de capa 3 en el IRB.
En los enrutadores de la serie ACX, no puede aplicar un filtro de firewall en la dirección de salida en las interfaces IRB.
Tabla 3 muestra las condiciones de coincidencia admitidas por los filtros de familia de puente.
Condición de coincidencia |
Description |
---|---|
grupos de aplicación |
Establecer los grupos de los que heredar los datos de configuración |
aplicar-grupos-excepto |
Establecer qué grupos no difundirán datos de configuración |
dirección-MAC de destino |
Establecer la dirección MAC de destino |
puerto de destino |
Hacer coincidir el puerto de destino TCP/UDP |
|
Hacer coincidir los prefijos de destino IP en la lista con nombre. |
Dscp |
Hacer coincidir el punto de código de los servicios diferenciados (DiffServ) |
tipo éter |
Coincidir con el tipo de Ethernet |
código icmp |
Hacer coincidir un código de mensaje ICMP |
Tipo ICMP |
Coincidir con un tipo de mensaje ICMP |
grupo de interfaz |
Hacer coincidir un grupo de interfaces |
dirección ip-destino |
Hacer coincidir una dirección IP de destino |
Precedencia de IP |
Hacer coincidir un valor de prioridad IP |
protocolo ip |
Hacer coincidir un tipo de protocolo IP |
dirección de origen IP |
Hacer coincidir una dirección IP de origen |
learn-vlan-1p-priority |
Haga coincidir la prioridad de VLAN 802.1p aprendida |
learn-vlan-dei |
Coincidir el bit DEI del ID de VLAN de usuario |
learn-vlan-id |
Hacer coincidir un ID de VLAN aprendido |
dirección-MAC de origen |
Establecer la dirección MAC de origen |
|
Hacer coincidir los prefijos de origen IP en la lista con nombre. |
puerto de origen |
Hacer coincidir un puerto de origen TCP/UDP |
user-vlan-1p-priority |
Coincidencia de prioridad VLAN 802.1p de usuario |
usuario-vlan-id |
Hacer coincidir un ID de VLAN de usuario |
Tipo de VLAN-ETHER |
Coincidir con un tipo de Ethernet VLAN |
Tabla 4 muestra los campos de acción admitidos.
Campo de acción |
Description |
---|---|
Aceptar |
Aceptar el paquete |
cuenta |
Contar el paquete en el contador con nombre |
Deseche |
Descartar el paquete |
clase de reenvío |
Clasificar el paquete a la clase de reenvío |
prioridad a la pérdida |
Prioridad de pérdida de paquetes |
Registro |
Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Para acceder a esta información, ejecute el comando show firewall log en la interfaz de línea de comandos (CLI). |
Policíar |
Nombre del agente de policía que se va a utilizar para limitar la velocidad del tráfico |
Syslog |
Registre el paquete en el archivo de registro del sistema. |
Poligrafiador de tres colores |
Vigile el paquete usando un policía de tres colos |
Los filtros de firewall de la familia Bridge se pueden aplicar como filtro de salida en interfaces de capa 2. Cuando la interfaz de capa 2 se encuentra en un dominio de puente configurado con la instrucción, los enrutadores de la serie ACX pueden hacer coincidir la VLAN externa del paquete mediante la coincidencia de ID de VLAN de usuario especificada en el filtro de firewall de familia de puentes.vlan-id
Condiciones de coincidencia para los filtros de la familia de firewall CCC (enrutadores de la serie ACX)
Condiciones de coincidencia para los filtros de firewall de la familia CCC
En los enrutadores de la serie ACX, puede configurar un filtro de firewall estándar con condiciones de coincidencia para el tráfico de conexión cruzada de circuito (CCC) (familia CCC).
Tabla 5 Describe las condiciones de coincidencia que puede configurar en el nivel jerárquico .[edit firewall family ccc filter filter-name term term-name]
Campo |
Description |
---|---|
|
Dirección MAC de destino |
|
Hace coincidir el puerto de destino TCP/UDP |
|
Hace coincidir el punto de código de los servicios diferenciados (DiffServ) |
|
Coincide con el código de mensaje ICMP |
|
Coincide con el tipo de mensaje ICMP |
|
Coincide con la dirección IP de destino |
|
Coincide con el valor de prioridad de IP |
|
Coincide con el tipo de protocolo IP |
|
Coincide con la dirección IP de origen |
|
Coincidencias aprendidas Prioridad VLAN 802.1p |
|
Dirección MAC de origen |
|
Hace coincidir el puerto de origen TCP/UDP |
|
Coincide con la prioridad VLAN 802.1p del usuario |
Condiciones de coincidencia para el tráfico IPv4 (enrutadores de la serie ACX)
En los enrutadores de la serie ACX, puede configurar un filtro de firewall sin estado estándar con condiciones de coincidencia para el tráfico IP versión 4 (IPv4) (). family inet describe las condiciones de coincidencia que puede configurar en el nivel de jerarquía.Tabla 6
[edit firewall family inet filter filter-name term term-name from]
Condición de coincidencia |
Description |
---|---|
|
Haga coincidir el campo Dirección de destino IPv4. Nota:
En los enrutadores de la serie ACX, sólo puede especificar una dirección de destino. No se admite una lista de direcciones de destino IPv4. |
|
Haga coincidir el campo Puerto de destino UDP o TCP. Si configura esta condición de coincidencia, se recomienda configurar también la instrucción o coincidencia en el mismo término para especificar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) o (177). |
|
Hacer coincidir los prefijos de destino IP en la lista con nombre. |
|
Hacer coincidir el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores agregados de comportamiento priorizan el tráfico de confianza.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic Puede especificar un valor numérico del 0 al 63. Para especificar el valor en formato hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):
|
|
(Solo entrada) Haga coincidir el campo de indicadores de fragmentación de IP de tres bits en el encabezado de IP. En lugar del valor numérico del campo, puede especificar una de las siguientes palabras clave (también se enumeran los valores de campo): (0x4), (0x2) o (0x8). |
|
Haga coincidir el campo de código del mensaje ICMP. Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia en el mismo término. Si configura esta condición de coincidencia, también debe configurar la condición de coincidencia en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:
|
|
Haga coincidir el campo de tipo de mensaje ICMP. Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (0), (8), (16), (15), (17), (18), (12), (5), (9), (10), (4), (11), (13), (14) o (3). |
|
Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado. Los enrutadores de la serie ACX solo admiten la condición de coincidencia, lo que garantiza que los paquetes se envíen al motor de reenvío de paquetes para su procesamiento. Nota:
En los enrutadores de la serie ACX, sólo puede especificar un valor de opción IP. No se admite la configuración de varios valores. |
|
Haga coincidir el campo de prioridad de IP. En lugar del valor de campo numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) o (0x00). |
|
Haga coincidir el campo Tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), , (89), (103), , (46), (132), (6), (17) o (112). |
|
Haga coincidir la dirección IPv4 del nodo de origen que envía el paquete. |
|
Haga coincidir el campo Puerto de origen UDP o TCP. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la condición de coincidencia. |
|
Hacer coincidir los prefijos de origen IP en la lista con nombre. |
|
Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP. Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:
En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial. Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits. Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de coincidencia. Si configura esta condición de coincidencia, se recomienda configurar también la instrucción de coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto. |
|
Hacer coincidir el paquete inicial de una conexión TCP. Este es un alias para . Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia en el mismo término. |
|
Haga coincidir el número de tiempo de vida IPv4. Especifique un valor TTL o un rango de valores TTL. Para , puede especificar uno o varios valores del 2 al 255. |
Condiciones de coincidencia para el tráfico IPv6 (enrutadores de la serie ACX)
Puede configurar un filtro de firewall con condiciones de coincidencia para el tráfico del Protocolo de Internet versión 6 (IPv6) (). family inet6 describe las condiciones de coincidencia que puede configurar en el nivel de jerarquía.Tabla 7
[edit firewall family inet6 filter filter-name term term-name from]
Condición de coincidencia |
Description |
|
---|---|---|
|
Haga coincidir el campo Dirección de destino IPv6. |
|
|
Haga coincidir el campo Puerto de destino UDP o TCP. No puede especificar las condiciones de coincidencia y en el mismo término. Si configura esta condición de coincidencia, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) o (177). |
|
|
Hacer coincidir los prefijos de destino IP en la lista con nombre. |
|
|
Haga coincidir un tipo de encabezado de extensión contenido en el paquete identificando un valor de encabezado siguiente. En el primer fragmento de un paquete, el filtro busca una coincidencia en cualquiera de los tipos de encabezado de extensión. Cuando se encuentra un paquete con un encabezado de fragmento (un fragmento posterior), el filtro sólo busca una coincidencia del siguiente tipo de encabezado de extensión porque la ubicación de otros encabezados de extensión es impredecible. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (51), (60), (50), (44), (0), (135) o (43). Para hacer coincidir cualquier valor de la opción de encabezado de extensión, utilice el sinónimo de texto . Nota:
Sólo se puede hacer coincidir el primer encabezado de extensión del paquete IPv6. El encabezado L4 más allá de un encabezado de extensión IPv6 coincidirá. |
|
|
Haga coincidir el límite de salto con el límite de salto especificado o con un conjunto de límites de saltos. Para , especifique un único valor o un intervalo de valores del 0 al 255. |
|
|
Haga coincidir el campo de código del mensaje ICMP. Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia o en el mismo término. Si configura esta condición de coincidencia, también debe configurar la condición de coincidencia en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:
|
|
|
Haga coincidir el campo de tipo de mensaje ICMP. Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia o en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133) o (3). Para (201), también puede especificar un rango de valores entre corchetes. |
|
|
Haga coincidir el primer campo Encabezado siguiente de 8 bits del paquete. La compatibilidad con la condición de coincidencia de firewall está disponible en Junos OS versión 13.3R6 y posteriores. Para IPv6, se recomienda utilizar el término en lugar del término al configurar un filtro de firewall con condiciones coincidentes . En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), (17) o (112). Nota:
y las condiciones de coincidencia realizan la misma función. es la opción preferida. está oculto en la CLI de Junos OS. |
|
|
Haga coincidir la dirección IPv6 del nodo de origen que envía el paquete. |
|
|
Haga coincidir el campo Puerto de origen UDP o TCP. No puede especificar las condiciones y coincidir en el mismo término. Si configura esta condición de coincidencia, se recomienda configurar también la condición de coincidencia o en el mismo término para especificar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la condición de coincidencia. |
|
|
Hacer coincidir los prefijos de origen IP en la lista con nombre. |
|
|
Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP. Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:
En una sesión TCP, el indicador SYN se establece sólo en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial. Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits. Para conocer las condiciones combinadas de coincidencia de campo de bits, consulte las condiciones de coincidencia y . Si configura esta condición de coincidencia, se recomienda que también configure la condición de coincidencia en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto. |
|
|
Hacer coincidir el paquete inicial de una conexión TCP. Este es un sinónimo de texto para . Esta condición no comprueba implícitamente que el protocolo es TCP. Si configura esta condición de coincidencia, le recomendamos que también configure la condición de coincidencia en el mismo término. |
|
|
Haga coincidir el campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. Este campo se usaba anteriormente como el campo de tipo de servicio (ToS) en IPv4. Puede especificar un valor numérico desde . En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los valores de campo):
|
Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o de coincidencia), use la sintaxis para las representaciones de texto descritas en RFC 4291, Arquitectura de direccionamiento IP versión 6.address
destination-address
source-address
Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y Estándares IPv6 compatibles.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
A continuación se muestra un ejemplo de configuración de inet6 de la familia de firewalls:
user@host# show firewall family inet6 filter ipv6-filter { term t1 { from { source-address { 2001:0000:0020:0020:0000:0000:0000:0150/128; } destination-address { 2001:0000:0040:0040:0000:0000:0000:0150/128; } next-header tcp; source-port 1000; destination-port 2000; extension-header dstopts; traffic-class ef; tcp-flags 0x20; hop-limit 254; } then count ipv6-t1-count; } term t2 { from { icmp-type neighbor-solicit; } then count ipv6-t2-count; } }
Condiciones de coincidencia para el tráfico MPLS (enrutadores de la serie ACX)
En los enrutadores de la serie ACX, puede configurar un filtro de firewall sin estado estándar con condiciones coincidentes para el tráfico MPLS ().family mpls
Las instrucciones y de los filtros de firewall de la familia de protocolos se admiten en todas las interfaces, excepto en las interfaces de administración y las interfaces Ethernet internas ( o ), las interfaces de circuito cerrado () y las interfaces de módem USB ().input-list filter-names
output-list filter-names
mpls
fxp
em0
lo0
umd
Describe las condiciones de coincidencia que puede configurar en el nivel jerárquico .Tabla 8[edit firewall family mpls filter filter-name term term-name from]
Condición de coincidencia | Description |
---|---|
|
Número de bits experimental (EXP) o intervalo de números de bits en el encabezado MPLS. Para , puede especificar uno o varios valores del 0 al 7 en formato decimal, binario o hexadecimal. |
Acciones de no terminación (enrutadores de la serie ACX)
Los filtros estándar de firewall sin estado admiten diferentes conjuntos de acciones de no terminación para cada familia de protocolos.
Los enrutadores de la serie ACX no admiten la acción.next term
Los enrutadores de la serie ACX admiten acciones de registro y syslog en las direcciones de entrada y salida para la familia y la familia .inetbridge
ACX5448, los enrutadores serie ACX710 y ACX7100 no admiten , , , ni en la dirección de salida.logsyslogrejectforwarding-classloss-priority En la dirección de entrada y salida, los enrutadores solo admiten semántica específica de la interfaz.
Tabla 9 Describe las acciones de no terminación que puede configurar para un término de filtro de firewall estándar.
Acción de no terminación |
Description |
Familias de protocolos |
---|---|---|
|
Cuente el paquete en el contador con nombre. |
|
|
Clasifique el paquete según la clase de reenvío especificada:
Nota:
Esta acción solo se admite en la entrada. |
|
|
Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede acceder a esta información emitiendo el comando en la interfaz de línea de comandos (CLI). Nota:
Esta acción se admite en la entrada y salida. La acción de salida no se admite para la familia inet6. |
|
|
Establezca el nivel de prioridad de pérdida de paquetes (PLP). Tampoco puede configurar la acción de no terminación para el mismo período de filtro de firewall. Debe incluir la instrucción en el nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Para obtener información acerca de la instrucción, vea Configurar y aplicar políticas de marcado tricolor. Nota:
Esta acción solo se admite en la entrada. |
|
|
Nombre del agente de policía que se va a utilizar para limitar la velocidad del tráfico. |
|
|
Espejo de puerto del paquete según la familia especificada. Nota:
Esta acción solo se admite en la entrada. ACX5048 y ACX5096 enrutadores no admiten .port-mirror |
|
|
Registre el paquete en el archivo de registro del sistema. Nota:
Esta acción se admite en la entrada y salida. La acción de salida no se admite para la familia inet6. |
|
|
Vigile el paquete utilizando el controlador de tres colores de velocidad única o de dos velocidades especificado. Tampoco puede configurar la acción para el mismo período de filtro de firewall. |
|
traffic-class |
Establecer punto de código de clase de tráfico Nota:
Esta acción solo se admite en la entrada. |
|
Acciones de terminación (enrutadores de la serie ACX)
Los filtros estándar de firewall sin estado admiten diferentes conjuntos de acciones de terminación para cada familia de protocolos.
Los enrutadores de la serie ACX no admiten la acción.next term
Tabla 10 Describe las acciones de terminación que puede especificar en un término de filtro de firewall estándar.
Acción de terminación |
Description |
Protocolos |
---|---|---|
|
Acepte el paquete. |
|
|
Descarte un paquete silenciosamente, sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP). Los paquetes desechados están disponibles para su registro y muestreo. |
|
|
Rechazar el paquete y devolver un mensaje ICMPv4 o ICMPv6:
Nota:
La opción puede tener uno de los siguientes valores: |
|
|
Dirija el paquete a la instancia de enrutamiento especificada. |
|