Actions non résiliantes du filtre de pare-feu
Les filtres de pare-feu prennent en charge différents ensembles d’actions non finales pour chaque famille de protocoles, qui incluent une action d’acceptation implicite. Dans ce contexte, l’absence d’interruption signifie que d’autres actions peuvent suivre ces actions alors qu’aucune autre action ne peut suivre une action d’achèvement . Par conséquent, vous ne pouvez pas configurer l’action next term avec une action de fin dans le même terme de filtre. Vous pouvez toutefois configurer l’action next term avec une autre action non finale dans le même terme de filtre.
Sur Junos OS et Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié en tant qu’action mais sans aucune condition de correspondance configurée n’est pas pris en charge.
Tableau 1 Décrit les actions non résiliantes que vous pouvez configurer pour un terme de filtre de pare-feu.
Action sans résiliation |
Description |
Familles de protocoles |
|---|---|---|
|
|
Affectez le paquet à l’une des 17 files d’attente de sortie BGP classées par ordre de priorité. |
|
|
|
Comptez le paquet dans le compteur nommé. |
|
|
|
Configurez la valeur du bit Don’t Fragment (flag) dans l’en-tête IPv4 pour spécifier si le datagramme peut être fragmenté :
REMARQUE :
Les |
|
|
|
Définissez le bit DSCP (IPv4 Differentiated Services Code Point). Vous pouvez spécifier une valeur numérique de La valeur DSCP par défaut est Vous pouvez également spécifier l’un des synonymes de texte suivants :
REMARQUE :
Cette action n’est pas prise en charge sur les routeurs PTX Series. REMARQUE :
Les cartes de ligne MPC exécutées sur les routeurs MX Series prennent en charge n’importe quelle valeur (comprise entre 0 et 63) en conjonction avec l’action de filtre du REMARQUE :
Les actions |
|
|
|
Contrôle les paquets d’une priorité de trafic à l’aide du mécanisme de contrôle hiérarchique amélioré spécifié. |
|
|
|
Par défaut, un mécanisme de contrôle hiérarchique traite le trafic qu’il reçoit en fonction de la classe de transfert du trafic. Le trafic premium, à transfert accéléré, a la priorité sur la bande passante sur le trafic agrégé best effort. Le REMARQUE :
L’option |
|
|
|
Classez le paquet dans la classe de transfert nommée :
|
|
|
|
Contrôler le paquet à l’aide du mécanisme de contrôle hiérarchique spécifié |
|
|
|
Utilisez l’association de sécurité IPsec spécifiée. REMARQUE :
Cette action n’est pas prise en charge sur les routeurs MX Series, les FPC de type 5 sur les routeurs T4000, etc PTX Series Routeurs de transport de paquets. |
|
|
|
Utilisez le groupe d’équilibrage de charge spécifié. REMARQUE :
Cette action n’est pas prise en charge sur MX Series routeurs ou PTX Series Routeurs de transport de paquets. |
|
|
|
Consignez les informations d’en-tête de paquet dans une mémoire tampon du moteur de transfert de paquets. Vous pouvez accéder à ces informations en exécutant la REMARQUE :
L’action de journal des familles de couche 2 (L2) est disponible uniquement pour les routeurs MX Series avec MPC (mode MPC si le routeur n’a que des MPC, ou mode mix s’il a des MPC et DCP). Pour les routeurs MX Series avec DPC, l’action de journalisation pour les familles L2 est ignorée si elle est configurée. |
|
|
|
Diriger les paquets vers un système logique spécifique. |
|
|
|
Définissez le niveau de priorité de perte de paquets (PLP). Vous ne pouvez pas non plus configurer l’action Cette action est prise en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et routeurs MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) Enhanced II, vous devez inclure l’instruction au niveau de la Pour plus d’informations sur l’instruction et sur l’utilisation des classificateurs d’agrégation |
|
|
|
Utilisez le groupe next-hop spécifié. Nous vous recommandons de ne pas utiliser l’action avec l’action |
|
|
|
(MX Series) Diriger les paquets vers l’interface sortante spécifiée. |
|
|
|
(MX Series) Dirigez les paquets vers l’adresse IPv4 de destination spécifiée. |
|
|
|
(MX Series) Dirigez les paquets vers l’adresse IPv6 de destination spécifiée. |
|
|
|
Met à jour un champ bit dans la mémoire tampon de la clé de paquet, qui spécifie le trafic qui contourne le transfert basé sur le flux. Les paquets avec le modificateur d’action suivent le |
|
|
|
Nom de l’outil de contrôle à utiliser pour limiter le débit du trafic. |
|
|
|
(MX Series) Nom du mappage de stratégies utilisé pour attribuer des règles de réécriture spécifiques à un client spécifique. |
|
|
|
Mettez en miroir le paquet en fonction de la famille spécifiée. Cette action est prise en charge sur les routeurs M120, les routeurs M320 configurés avec des FPC Enhanced III, les routeurs MX Series et PTX Series Routeurs de transport de paquets uniquement. Nous vous recommandons de ne pas utiliser à la fois les actions et les |
|
|
|
Mise en miroir de port d’un paquet pour une instance. Cette action est prise en charge uniquement sur les routeurs MX Series. Nous vous recommandons de ne pas utiliser à la fois les actions et les |
|
|
|
Comptez ou contrôlez les paquets en fonction du nom d’action spécifié. REMARQUE :
Cette action n’est pas prise en charge sur PTX Series Routeurs de transport de paquets. |
|
|
|
Dirigez les paquets vers l’instance de routage spécifiée. |
|
|
|
Prélevez un échantillon du paquet. REMARQUE :
Junos OS néchantillonne pas les paquets provenant du routeur. Si vous configurez un filtre et que vous l’appliquez au côté sortie d’une interface, seuls les paquets de transit passant par cette interface sont échantillonnés. Les paquets envoyés du moteur de routage au moteur de transfert de paquets ne sont pas échantillonnés. |
|
|
|
Utilisez le mécanisme de comptage en ligne lors de la capture des statistiques d’abonnés par service. Comptez le paquet pour la comptabilisation des services. Le nombre est appliqué à un compteur nommé spécifique ( Les REMARQUE :
Cette action n’est pas prise en charge sur les FPC T4000 de type 5 et PTX Series Routeurs de transport de paquets. |
|
|
|
Utilisez le mécanisme de comptage différé lors de la capture des statistiques d’abonnés par service. Le nombre est appliqué à un compteur nommé spécifique ( Les REMARQUE :
Cette action n’est pas prise en charge sur les FPC T4000 de type 5 et PTX Series Routeurs de transport de paquets. |
|
|
|
(Uniquement si l’indicateur Indiquez aux filtres suivants de la chaîne que le paquet a déjà été traité. Cette action, associée à la condition de correspondance dans les filtres de réception, permet de rationaliser le REMARQUE :
Cette action n’est pas prise en charge sur les FPC T4000 de type 5 et PTX Series Routeurs de transport de paquets. |
|
|
|
Marquez les paquets qui satisfont aux conditions de correspondance de la règle avec l’identificateur de tranche correspondant à la configuration de segmentation du réseau de services. Voir tranche (action de filtre de pare-feu). |
|
|
|
Consignez le paquet dans le fichier journal système. L’action du pare-feu syslog pour les familles existantes L’interface d’entrée, l’action, l’ID de VLAN 1, l’ID de VLAN 2, le type d’Ethernet, les adresses MAC source et de destination, le protocole, les adresses IP source et de destination, les ports source et de destination et le nombre de paquets. REMARQUE :
L’action syslog des familles L2 est disponible uniquement pour les routeurs MX Series avec MPC (mode MPC si le routeur n’a que des MPC, ou mode mix s’il a des MPC et DCP). Pour les routeurs MX Series avec DPC, l’action syslog pour les familles L2 est ignorée si elle est configurée. |
|
|
|
Contrôlez le paquet à l’aide du mécanisme de contrôle à trois couleurs à débit unique ou à deux débits spécifié. REMARQUE :
Vous ne pouvez pas non plus configurer l’action |
|
|
|
Spécifiez le point de code de classe de trafic. Vous pouvez spécifier une valeur numérique de La valeur par défaut de la classe de trafic est best effort, c’est-à-dire À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants :
REMARQUE :
Les actions |
|