Filtre de pare-feu Actions non-déterminés

Les filtres de pare-feu permettent la prise en charge de différents ensembles d’actions non-spécifiques pour chaque famille de protocoles, qui incluent une action accepter implicitement. Dans ce contexte, la non-résiliation signifie que d’autres actions peuvent suivre ces actions alors qu’aucune autre action ne peut suivre une action de terminaison. Ainsi, vous ne pouvez pas configurer l’action avec une action de next term terminaison dans le même terme de filtre. Vous pouvez toutefois configurer l’action avec une autre next term action nonterminante dans le même terme de filtre.

Remarque :

Sur Junos OS évoluée, ne peut pas apparaître comme le next term dernier terme de l’action. Un terme de filtre dans lequel next term une action est spécifiée, mais sans conditions de correspondance configurées, n’est pas pris en charge.

Tableau 1 décrit les actions que vous pouvez configurer pour un terme filtre de pare-feu.

Tableau 1 : Non-termination des actions pour les filtres de pare-feu
Action non-indéterminé	Description	Familles de protocoles
`bgp-output-queue-priority priority (expedited \| (1-16))`	Attribuez le paquet à l’une des 17 files d’attente de sortie hiérarchisées BGP données.	`family evpn` `family inet` `family inet-mdt` `family inet-mvpn` `family inet-vpn` `family inet6` `family inet6-mvpn` `family inet6-vpn` `family iso-vpn` `family l2vpn` `family route-target` `family traffic-engineering`
`count counter-name`	Comptez le paquet dans le compteur nommé.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`dont-fragment (set \| clear)`	Configurez la valeur du bit Don’t Fragment (flag) dans l’en-tête IPv4 pour spécifier si le datagramme peut être fragmenté: `set`—Faire évoluer la valeur de l’indicateur sur une seule et même valeur, pour éviter la fragmentation. `clear`—Réduire la valeur de l’indicateur à zéro pour permettre la fragmentation. Remarque : Les `dont-fragment (set \| clear)` actions sont prises en charge uniquement sur les MPC.	`family inet`
`dscp value`	Définissez le bit DSCP (Differentiated Services Code Point) IPv4. Vous pouvez spécifier une valeur intrinsèque de `0` l’ordre du `63` . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure `0x` comme préfixe. Pour spécifier la valeur dans un format binaire, inclure `b` comme préfixe. La valeur DSCP par défaut `be` est (effort le plus important) ou `0` . Vous pouvez également spécifier l’une des synonymes de texte suivantes: `af11`—Assuré de la classe 1 pour un avance sur les faibles baisses (1) `af12`—Assuré de la classe 1 pour le préséance sur les chutes de taille moyenne (2) `af13`—Assure le transport de classe 1, priorité aux chutes élevées (3) ; et ainsi de `af43` suite: forwarding assuré classe 4, préséance sur les baisses élevées `be`— Meilleur effort `cs0`— Classe Sélecteur 0 ; et ainsi de `cs7` suite, Classe Sélecteur 0 `ef`— forwarding expédié Remarque : Cette action n’est pas prise en charge sur les routeurs PTX Series. Remarque : Les cartes de ligne MPC s’exécutant sur les routeurs MX Series supportent toute valeur (de 0 à 63) en conjonction avec l’action de filtre `set dscp` de pare-feu. Remarque : Les actions sont prises en charge uniquement sur les routeurs T320, T640, T1600, TX Matrix, TX Matrix Plus et M320, ainsi que sur les concentrateurs de ports `dscp 0dscp be` modulaires (MPC) 10 Gigabit Ethernet. Toutefois, ces actions ne sont pas prises en charge sur les concentrateurs PIC flexibles (FPC) M320 routeurs flexibles. Sur T4000 routeurs, l’action n’est pas prise en charge lors de l’inter-opération entre un T1600 FPC de type 4 et un FPC de `dscp 0` T4000 type 5.	`family inet`
`force-premium`	Par défaut, un mécanismes de contrôle hiérarchique traite le trafic qu’il reçoit en fonction de la classe de forwarding du trafic. Le trafic premium et accéléré a la priorité pour l’agrégation de la bande passante et le meilleur effort du trafic. Le filtre garantit que le trafic correspondant à ce terme est traité comme un trafic premium par un contrôle hiérarchique subséquent, indépendamment de sa classe `force-premium` de passation. Ce trafic a une préférence par rapport à tout trafic agrégé reçu par ce policer. Remarque : `force-premium`L’option de filtre est prise en charge uniquement sur les MPC.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family VPLS`
`forwarding-class class-name`	Catégoriser le paquet dans la classe de forwarding nommée: `nom de classe de forwarding` `assured-forwarding` `best-effort` `expedited-forwarding` `network-control`	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`hierarchical-policer`	Policer le paquet à l’aide du policer hiérarchique spécifié	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`ipsec-sa ipsec-sa`	Utiliser l’association de sécurité IPsec spécifiée. Remarque : Cette action n’est pas prise en charge MX Series sur les routeurs d’MX Series, les FPC de type 5 T4000 routeurs et PTX Series Routeurs de transport de paquets.	`family inet`
`load-balance group-name`	Utilisez le groupe d’équilibrage de charge spécifié. Remarque : Cette action n’est pas prise en charge MX Series routeurs ou PTX Series Routeurs de transport de paquets.	`family inet`
`log`	Connectez les informations d’en-tête des paquets dans une mise en mémoire tampon dans moteur de transfert de paquets. Pour accéder à ces informations, vous pouvez émettre la commande à `show firewall log` l’interface de ligne de commande (CLI). Remarque : L’action de journal des familles de couche 2 (L2) n’est disponible que pour les routeurs MX Series avec MPC (mode MPC) si le routeur ne dispose que de MPC ou d’un mode mixte s’il dispose de MPC et de MPC. Si MX Series routeurs avec DPC, l’action de journal des familles L2 est ignorée si elle est configurée.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`logical-system logical-system-name`	Dirigez les paquets vers un système logique spécifique.	`family inet` `family inet6`
`loss-priority (high \| medium-high \| medium-low \| low)`	Définissez le niveau de priorité de perte de paquets (PLP). Vous ne pouvez pas non plus configurer `three-color-policer` l’action de nonterminating pour le même terme de filtre de pare-feu. Ces deux actions non-terminés sont mutuellement exclusives. Cette action est prise en charge sur les routeurs M120 et M320, M7i et M10i de liaisons avec le CFEB amélioré (CFEB-E) ; et MX Series routeurs. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec les concentrateurs PIC flexibles (FPPC) enhanced II, vous devez inclure l’instruction au niveau de la hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux `tri-color[edit class-of-service]` spécifiés. Si `tri-color` l’instruction n’est pas activée, vous pouvez uniquement configurer les `high` niveaux et les `low` Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’énoncé et l’utilisation de classificateurs d’agrégation de comportements (BA) pour définir le niveau de PLP des `tri-color` paquets entrants, consultez understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`next-hop-group group-name`	Utilisez le groupe de sauts suivants spécifié. Il est recommandé de ne pas utiliser l’action avec ou dans le même filtre `next-hop-groupport-mirror-instance` de `port-mirror` pare-feu.	`family any` `family inet`
`next-interface interface-name`	(MX Series) Dirigez les paquets vers l’interface sortante spécifiée.	`family inet` `family inet6`
`next-ip ip-address`	(MX Series) Dirigez les paquets vers l’adresse IPv4 de destination spécifiée.	`family inet`
`next-ip6 ipv6-address`	(MX Series) Dirigez les paquets vers l’adresse IPv6 de destination spécifiée.	`family inet6`
`packet-mode`	Met à jour un champ de bit dans la mise en mémoire tampon de la clé de paquets, qui spécifie le trafic qui contournera le trafic basé sur le flux. Les paquets avec le modifier l’action suivent entièrement le chemin de forwarding basé sur les paquets et contournent `packet-mode` totalement le flux. S’applique aux SRX100, SRX210, SRX220, SRX240 et SRX650 uniquement. Pour plus d’informations sur les services de paquets sans état sélectifs, consultez le Junos OS Security Configuration Guide.	`family any`
`policer policer-name`	Nom du policer à utiliser pour limiter le trafic.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`policy-map policy-map-name`	(MX Series) Nom d’une carte de stratégie utilisée pour attribuer des règles de réécriture spécifiques à un client spécifique.	`family any` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`port-mirror instance-name`	Miroir de port du paquet en fonction de la famille spécifiée. Cette action est prise en charge sur les routeurs M120, les routeurs M320 configurés avec les FPC Enhanced III, les routeurs MX Series et les PTX Series Routeurs de transport de paquets uniquement. Nous vous recommandons de ne pas utiliser les actions et les actions `next-hop-group` dans le même filtre de `port-mirror` pare-feu.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`port-mirror-instance instance-name`	un paquet en miroir pour une instance. Cette action n’est prise en charge que sur MX Series routeurs d’MX Series. Nous vous recommandons de ne pas utiliser les actions et les actions `next-hop-group` dans le même filtre de `port-mirror-instance` pare-feu.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`prefix-action action-name`	Comptez ou policez les paquets en fonction du nom de l’action spécifié. Remarque : Cette action n’est pas prise en charge par PTX Series Routeurs de transport de paquets.	`family inet`
`routing-instance routing-instance-name`	Dirigez les paquets vers l’instance de routage spécifiée.	`family inet` `family inet6`
`sample`	Échantillon du paquet. Remarque : Junos OS n’extrait pas de paquets provenant du routeur. Si vous configurez un filtre et l’appliquez au côté sortie d’une interface, seuls les paquets de transit qui traversent cette interface sont échantillonés. Les paquets envoyés de l’moteur de routage au moteur de transfert de paquets ne sont pas échantillonés.	`family inet` `family inet6` `family mpls`
`service-accounting`	Utilisez le mécanisme de compte en ligne lors de la capture des statistiques par service de l’abonné. Comptez les paquets pour la comptabilisation des services. Le nombre est appliqué à un compteur spécifique nommé ( ) que vous RADIUS `__junos-dyn-service-counter` obtenir. Les `service-accountingservice-accounting-deferred` mots-clés et les mots-clés sont mutuellement exclusifs, à la fois par terme et par filtre. Remarque : Cette action n’est pas prise en charge T4000 FPC de type 5 PTX Series Routeurs de transport de paquets.	`family any` `family inet` `family inet6`
`service-accounting- deferred`	Utilisez le mécanisme de compte différé lors de la capture des statistiques par service de l’abonné. Le nombre est appliqué à un compteur spécifique nommé ( ) que vous RADIUS `__junos-dyn-service-counter` obtenir. Les `service-accountingservice-accounting-deferred` mots-clés et les mots-clés sont mutuellement exclusifs, à la fois par terme et par filtre. Remarque : Cette action n’est pas prise en charge T4000 FPC de type 5 PTX Series Routeurs de transport de paquets.	`family any` `family inet` `family inet6`
`service-filter-hit`	(Seulement si l’indicateur est marqué par un filtre précédent dans le type de filtres en chaîne actuels) Dirigez le paquet `service-filter-hit` vers le type de filtre suivant. Indiquez aux filtres suivants dans la chaîne que le paquet a déjà été traitée. Cette mesure, associée à la condition de correspondance dans les filtres `service-filter-hit` de réception, contribue à rationaliser le traitement des filtres. Remarque : Cette action n’est pas prise en charge T4000 FPC de type 5 PTX Series Routeurs de transport de paquets.	`family any` `family inet` `family inet6`
`syslog`	Connectez le paquet au fichier journal système. L’action du pare-feu syslog pour les familles et les existantes, et l’action dans les filtres de la famille L2 comprend les informations `inetinet6syslog` L2 suivantes: Interface d’entrée, action, ID1 VLAN, ID2 VLAN, type Ethernet, adresses MAC source/de destination, protocole, adresses IP source/de destination, ports source et de destination, et nombre de paquets. Remarque : L’action syslog des familles L2 est disponible uniquement pour les routeurs MX Series avec MPC (mode MPC si le routeur ne dispose que de MPC ou si le mode est mixte s’il dispose de MPC et de MPC). Si MX Series routeurs avec DPC, l’action syslog pour les familles de L2 est ignorée si elle est configurée.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`three-color-policer (single-rate \| two-rate) policer-name`	Policer le paquet à l’aide du policer à vitesse unique ou à deux vitesses trois couleurs spécifié. Remarque : Vous ne pouvez pas non plus configurer `loss-priority` l’action pour le même terme de filtre de pare-feu. Ces deux actions sont mutuellement exclusives.	`family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`traffic-class value`	Indiquez le point de code de classe trafic. Vous pouvez spécifier une valeur intrinsèque de `0` l’ordre du `63` . Pour spécifier la valeur dans le formulaire hexadécimaux, inclure `0x` comme préfixe. Pour spécifier la valeur dans un format binaire, inclure `b` comme préfixe. La valeur par défaut de la classe de trafic est le meilleur effort, c’est-à-dire, `be` ou `0` . Au lieu de la valeur numérique, vous pouvez spécifier l’une des synonymes de texte suivantes: `af11`—Assuré de la classe 1 pour un préséance sur les faibles baisses `af12`—Priorité de priorité aux abandons moyens pour le forwarding de catégorie 1 `af13`—Assuré de la classe 1 pour un préséance sur les chutes élevées `af21`—Assuré de la classe 2 pour un préséance sur les baisses de baisse `af22`—Préséance assurée de la classe 2 pour un abandon moyen `af23`—Assuré de la classe 2 pour un préséance sur les chutes élevées `af31`—Assuré de la classe 3 pour un préséance sur les baisses de baisse `af32`—Priorité au abandon moyen, niveau de priorité assuré de classe 3 et de niveau 3 `af33`—Assuré de la classe 3 pour un préséance sur les chutes élevées `af41`—Assuré de la classe 4 pour un préséance sur les faibles baisses `af42`—Assuré de la classe 4 pour un préséance sur les chutes de taille moyenne `af43`—Assuré de la classe 4 pour un préséance sur les chutes élevées `be`— Meilleur effort `cs0`— Classe Sélecteur 0 `cs1`—Classe sélecteur 1 `cs2`— Classe Sélecteur 2 `cs3`— Classe Sélecteur 3 `cs4`— Classe Sélecteur 4 `cs5`— Classe Sélecteur 5 `cs6`— Classe sélecteur 6 `cs7`— Classe sélecteur 7 `ef`— forwarding expédié Remarque : Les actions et sont prises en charge uniquement sur les routeurs T Series et M320 et sur les concentrateurs de ports `traffic-class 0traffic-class be` modulaires (MPC) 10 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC de 60 Gigabit Ethernet Ethernet et MPC de 60 Gigabit Ethernet sur les routeurs MX Series. Toutefois, ces actions ne sont pas prises en charge sur les concentrateurs PIC flexibles (FPC) M320 routeurs flexibles.	`family inet6`

Filtre de pare-feu Actions non-déterminés

Rubriques connexes