Filtre de pare-feu Actions non déterminantes

Les filtres de pare-feu prennent en charge différents ensembles d’actions non déterminantes pour chaque famille de protocoles, qui incluent une action implicite d’acceptation. Dans ce contexte, la non-détermination signifie que d’autres actions peuvent suivre ces actions alors qu’aucune autre action ne peut suivre une action de terminaison . Ainsi, vous ne pouvez pas configurer l’action next term avec une action de terminaison dans le même terme de filtre. Vous pouvez toutefois configurer l’action next term avec une autre action non déterminante dans le même terme de filtre.

Remarque :

Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié comme action, mais sans conditions de correspondance configurées, n’est pas pris en charge.

Tableau 1 décrit les actions non déterminantes que vous pouvez configurer pour un terme de filtre de pare-feu.

Tableau 1 : Actions non déterminantes pour les filtres de pare-feu
Action non déterminante	Description	Familles de protocoles
`bgp-output-queue-priority priority (expedited \| (1-16))`	Attribuez le paquet à l’une des 17 files d’attente de sortie BGP hiérarchisées.	`family evpn` `family inet` `family inet-mdt` `family inet-mvpn` `family inet-vpn` `family inet6` `family inet6-mvpn` `family inet6-vpn` `family iso-vpn` `family l2vpn` `family route-target` `family traffic-engineering`
`count counter-name`	Comptez le paquet dans le compteur nommé.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`dont-fragment (set \| clear)`	Configurez la valeur du bit Don’t Fragment (flag) dans l’en-tête IPv4 pour spécifier si le datagramme peut être fragmenté : `set`— Remplacez la valeur d’indicateur par une seule, évitant ainsi la fragmentation. `clear`— Remplacez la valeur de l’indicateur par zéro, ce qui permet la fragmentation. Remarque : Les `dont-fragment (set \| clear)` actions sont prises en charge uniquement sur les MPC.	`family inet`
`dscp value`	Définissez le bit DSCP (Differentiated Services Code Point) IPv4. Vous pouvez spécifier une valeur numérique à partir de l’adresse `063`. Pour spécifier la valeur sous forme hexadécimale, incluez `0x` un préfixe. Pour spécifier la valeur sous forme binaire, incluez `b` comme préfixe. La valeur DSCP par défaut est `be` (best effort) ou `0`. Vous pouvez également spécifier l’un des synonymes de texte suivants : `af11`— Préséance de transfert garantie de classe 1, priorité faible (1) `af12`— Priorité de classe 1, priorité aux gouttes moyennes (2) `af13`— Priorité à l’abandon élevé de classe 1 (3) ; et ainsi de suite grâce à `af43`, transfert assuré classe 4, préséance d’abandon élevé `be`— Effort sans effort `cs0`— sélecteur de classe 0 ; et ainsi de suite via `cs7`, le sélecteur de classe 0 `ef`— Transfert accéléré Remarque : Cette action n’est pas prise en charge sur les routeurs PTX Series. Remarque : Les cartes d’interface MPC exécutées sur les routeurs MX Series prennent en charge n’importe quelle valeur (de 0 à 63) conjointement avec l’action du filtre de `set dscp` pare-feu. Remarque : Ces actions `dscp 0` sont `dscp be` prises en charge uniquement sur les routeurs T320, T640, T1600, TX Matrix, TX Matrix Plus et M320, et sur les concentrateurs de ports modulaires (MPC) 10 Gigabit Ethernet. Toutefois, ces actions ne sont pas prises en charge sur les concentrateurs PIC flexibles (FPC) ENHANCED III sur les routeurs M320. Sur les routeurs T4000, l’action `dscp 0` n’est pas prise en charge lors de l’inter-fonctionnement entre un T1600 Enhanced Scaling Type 4 FPC et un T4000 Type 5 FPC.	`family inet`
`force-premium`	Par défaut, un mécanismes de contrôle hiérarchique traite le trafic qu’il reçoit en fonction de la classe de transfert du trafic. Premium, le trafic de transfert accéléré, a la priorité pour la bande passante sur le trafic agrégé best-effort. Le `force-premium` filtre garantit que le trafic correspondant au terme est traité comme du trafic premium par un mécanismes de contrôle hiérarchique ultérieur, quelle que soit sa classe de transfert. Ce trafic est préféré à tout trafic agrégé reçu par ce mécanismes de contrôle. Remarque : L’option `force-premium` de filtre est prise en charge uniquement sur les MPC.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family VPLS`
`forwarding-class class-name`	Classez le paquet dans la classe de transfert nommée : `nom de classe de transfert` `assured-forwarding` `best-effort` `expedited-forwarding` `network-control`	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`hierarchical-policer`	Contrôle du paquet à l’aide du mécanismes de contrôle hiérarchique spécifiés	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`ipsec-sa ipsec-sa`	Utilisez l’association de sécurité IPsec spécifiée. Remarque : Cette action n’est pas prise en charge sur les routeurs MX Series, les FPC de type 5 sur les routeurs T4000 et les routeurs de transport de paquets PTX Series.	`family inet`
`load-balance group-name`	Utilisez le groupe d’équilibrage de charge spécifié. Remarque : Cette action n’est pas prise en charge sur les routeurs MX Series ou les routeurs de transport de paquets PTX Series.	`family inet`
`log`	Consigner les informations d’en-tête des paquets dans une mémoire tampon dans le moteur de transfert de paquets. Vous pouvez accéder à ces informations en envoyant la `show firewall log` commande à l’interface de ligne de commande (CLI). Remarque : L’action de journalisation des familles de couche 2 (L2) est disponible uniquement pour les routeurs MX Series avec MPC (mode MPC) si le routeur ne dispose que de MPC ou d’un mode mixte s’il possède des MPC et des DPC. Pour les routeurs MX Series avec DPC, l’action de journalisation pour les familles de couche 2 est ignorée si elle est configurée.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`logical-system logical-system-name`	Dirigez les paquets vers un système logique spécifique.	`family inet` `family inet6`
`loss-priority (high \| medium-high \| medium-low \| low)`	Définissez le niveau de priorité de perte de paquets (PLP). Vous ne pouvez pas configurer l’action `three-color-policer` non déterminante pour le même terme de filtre de pare-feu. Ces deux actions non déterminantes sont mutuellement exclusives. Cette action est prise en charge sur les routeurs M120 et M320 ; routeurs M7i et M10i dotés du CFEB amélioré (CFEB-E) ; et les routeurs MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec concentrateurs PIC flexibles (FPC) Enhanced II, vous devez inclure l’instruction `tri-color` au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction `tri-color` n’est pas activée, vous pouvez uniquement configurer les niveaux et `low` les niveaux`high`. Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction `tri-color` et l’utilisation de classificateurs d’agrégation de comportements (BA) pour définir le niveau PLP des paquets entrants, consultez Understanding Behavior Aggregate Classifiers Prioritize Trusted Traffic.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`next-hop-group group-name`	Utilisez le groupe de sauts suivant spécifié. Nous vous recommandons de ne pas utiliser l’action `next-hop-group` avec le `port-mirror-instance` filtre de pare-feu ou `port-mirror` l’action correspondant.	`family any` `family inet`
`next-interface interface-name`	(MX Series) Dirigez les paquets vers l’interface sortante spécifiée.	`family inet` `family inet6`
`next-ip ip-address`	(MX Series) Dirigez les paquets vers l’adresse IPv4 de destination spécifiée.	`family inet`
`next-ip6 ipv6-address`	(MX Series) Dirigez les paquets vers l’adresse IPv6 de destination spécifiée.	`family inet6`
`packet-mode`	Met à jour un champ dans la mémoire tampon de la clé de paquet, qui spécifie le trafic qui va contourner le transfert basé sur les flux. Les paquets avec le `packet-mode` modificateur d’action suivent le chemin de transfert basé sur les paquets et contournent complètement le transfert basé sur le flux. S’applique uniquement aux équipements SRX100, SRX210, SRX220, SRX240 et SRX650. Pour plus d’informations sur les services sélectifs basés sur des paquets sans état, consultez le Junos OS Security Configuration Guide.	`family any`
`policer policer-name`	Nom du dispositif de contrôle à utiliser pour limiter le trafic.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`policy-map policy-map-name`	(MX Series) Nom de la carte de stratégie utilisée pour attribuer des règles de réécriture spécifiques à un client spécifique.	`family any` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`port-mirror instance-name`	Miroir de port du paquet en fonction de la famille spécifiée. Cette action est prise en charge sur les routeurs M120, les routeurs M320 configurés avec des FPC III améliorés, des routeurs MX Series et des routeurs de transport de paquets PTX Series uniquement. Nous vous recommandons de ne pas utiliser à la fois les `next-hop-group` actions et les `port-mirror` actions dans le même filtre de pare-feu.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`port-mirror-instance instance-name`	Un port met en miroir un paquet pour une instance. Cette action n’est prise en charge que sur les routeurs MX Series. Nous vous recommandons de ne pas utiliser à la fois les `next-hop-group` actions et les `port-mirror-instance` actions dans le même filtre de pare-feu.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`prefix-action action-name`	Comptez ou contrôlez les paquets en fonction du nom de l’action spécifié. Remarque : Cette action n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.	`family inet`
`routing-instance routing-instance-name`	Dirigez les paquets vers l’instance de routage spécifiée.	`family inet` `family inet6`
`sample`	Exemple de paquet. Remarque : Junos OS n’échantillonise pas les paquets provenant du routeur. Si vous configurez un filtre et l’appliquez au côté sortie d’une interface, seuls les paquets de transit transitant par cette interface sont échantillonnés. Les paquets envoyés par le moteur de routage au moteur de transfert de paquets ne sont pas échantillonnés.	`family inet` `family inet6` `family mpls`
`service-accounting`	Utilisez le mécanisme de comptage en ligne pour capturer les statistiques d’abonnés par service. Comptez le paquet pour la comptabilisation des services. Le nombre est appliqué à un compteur nommé spécifique (`__junos-dyn-service-counter`) que RADIUS peut obtenir. Les `service-accounting` mots-clés et `service-accounting-deferred` les mots-clés sont mutuellement exclusifs, à la fois par terme et par filtre. Remarque : Cette action n’est pas prise en charge sur les PF T4000 de type 5 et les routeurs de transport de paquets PTX Series.	`family any` `family inet` `family inet6`
`service-accounting- deferred`	Utilisez le mécanisme de comptage différé pour capturer les statistiques des abonnés par service. Le nombre est appliqué à un compteur nommé spécifique (`__junos-dyn-service-counter`) que RADIUS peut obtenir. Les `service-accounting` mots-clés et `service-accounting-deferred` les mots-clés sont mutuellement exclusifs, à la fois par terme et par filtre. Remarque : Cette action n’est pas prise en charge sur les PF T4000 de type 5 et les routeurs de transport de paquets PTX Series.	`family any` `family inet` `family inet6`
`service-filter-hit`	(Uniquement si l’indicateur `service-filter-hit` est marqué par un filtre précédent dans le type actuel de filtres enchaînés) Diriger le paquet vers le type suivant de filtres. Indiquez aux filtres suivants de la chaîne que le paquet a déjà été traité. Cette action, associée à la condition de correspondance dans les filtres de réception, permet de rationaliser le `service-filter-hit` traitement des filtres. Remarque : Cette action n’est pas prise en charge sur les PF T4000 de type 5 et les routeurs de transport de paquets PTX Series.	`family any` `family inet` `family inet6`
`syslog`	Consigner le paquet dans le fichier journal système. L’action du pare-feu syslog pour les familles et `inet6` existantes`inet`, et l’action dans les `syslog` filtres de la famille L2 incluent les informations L2 suivantes : Interface d’entrée, action, ID1 VLAN, ID2 VLAN, adresses MAC de type Ethernet, source et de destination, adresses IP de protocole, source et de destination, ports source et de destination, et nombre de paquets. Remarque : L’action syslog de la gamme L2 est disponible uniquement pour les routeurs MX Series avec MPC (mode MPC si le routeur ne comporte que des MPC, ou en mode mixte s’il dispose de MPC et de DPC). Pour les routeurs MX Series avec DPC, l’action syslog pour les familles de couche 2 est ignorée si elle est configurée.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`three-color-policer (single-rate \| two-rate) policer-name`	Contrôlez le paquet à l’aide du policer à débit unique ou à deux débits à trois couleurs spécifié. Remarque : Vous ne pouvez pas configurer l’action `loss-priority` pour le même terme de filtre de pare-feu. Ces deux actions sont mutuellement exclusives.	`family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`traffic-class value`	Indiquez le point de code de classe de trafic. Vous pouvez spécifier une valeur numérique à partir de l’adresse `063`. Pour spécifier la valeur sous forme hexadécimale, incluez `0x` un préfixe. Pour spécifier la valeur sous forme binaire, incluez `b` comme préfixe. La valeur par défaut de classe trafic est le meilleur effort, c’est-à-dire , `be` ou `0`. En lieu et place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants : `af11`— Priorité garantie au transfert de classe 1, faible perte `af12`— Priorité garantie au transfert de classe 1, priorité aux gouttes moyennes `af13`— Priorité garantie au transfert de classe 1, priorité élevée aux abandons `af21`— Priorité garantie au transfert de classe 2, faible perte de priorité `af22`— Priorité garantie au transfert de classe 2, priorité aux gouttes moyennes `af23`— Priorité garantie au transfert de classe 2, priorité élevée aux abandons `af31`— Priorité garantie au transfert de classe 3, faible perte de priorité `af32`— Priorité garantie au transfert de classe 3, priorité aux gouttes moyennes `af33`— Priorité de classe 3 au transfert élevé `af41`— Priorité garantie au transfert de classe 4, faible perte `af42`— Priorité garantie au transfert de classe 4, priorité aux gouttes moyennes `af43`— Priorité de classe 4 au transfert élevé `be`— Effort sans effort `cs0`— Sélecteur de classe 0 `cs1`— Sélecteur de classe 1 `cs2`— Sélecteur de classe 2 `cs3`— Sélecteur de classes 3 `cs4`— Sélecteur de classe 4 `cs5`— Sélecteur de classe 5 `cs6`— Sélecteur de classes 6 `cs7`— Sélecteur de classe 7 `ef`— Transfert accéléré Remarque : Les actions `traffic-class 0`et `traffic-class be` sont prises en charge uniquement sur les routeurs T Series et M320 et sur le MPC (Modular Port Concentrator) 10 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC de file d’attente 60 Gigabit Ethernet et MPC de file d’attente améliorée 60 Gigabit Ethernet sur les routeurs MX Series. Toutefois, ces actions ne sont pas prises en charge sur les concentrateurs PIC flexibles (FPC) ENHANCED III sur les routeurs M320.	`family inet6`

Filtre de pare-feu Actions non déterminantes

Rubriques connexes