Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Actions de terminaison de filtre de pare-feu

Les filtres de pare-feu permettent de mettre fin à chaque famille de protocoles. Une action de terminaison de filtre suspend toutes les évaluations d’un filtre de pare-feu pour un paquet spécifique. Le routeur exécute l’action spécifiée et aucune autre modalité n’est examinée.

Remarque :

Vous ne pouvez pas configurer next term l’action avec une action de terminaison dans le même terme de filtre. Cependant, vous pouvez configurer l’action avec une autre next term action nonterminante dans le même terme de filtre.

Sur Junos OS évoluée, ne peut pas apparaître comme le next term dernier terme de l’action. Un terme de filtre dans lequel next term une action est spécifiée, mais sans conditions de correspondance configurées, n’est pas pris en charge.

Pour MX Series routeurs avec MPC, vous devez initialiser le compteur de filtres pour les filtres de correspondance Trio uniquement en s’adonnant aux MIB SNMP correspondants, par show snmp mib walk name ascii exemple. Junos est alors contraint d’apprendre les compteurs des filtres et de s’assurer que les statistiques de filtre sont affichées. Ces directives s’appliquent à tous les filtres de pare-feu en mode amélioré, aux filtres avec des conditions flexibles et aux filtres avec certaines actions de terminaison. Pour plus de détails, consultez les rubriques ci-dessous.

Tableau 1 décrit les actions de terminaison que vous pouvez spécifier dans un terme de filtre de pare-feu.

Tableau 1 : Actions de terminaison pour les filtres de pare-feu

Mesure d’arrêt

Description

Protocoles

accept

Acceptez le paquet.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (pour EX Series commutateurs uniquement)

decapsulate gre [ routing-instance instance-name ]

Sur une interface client sur un routeur MX Series installé à la périphérie du fournisseur (PE) d’un réseau de transport IPv4, permet la désencapsulation des paquets GRE (Generic Routing Encapsulation) transportés par un tunnel GRE basé sur des filtres.

Vous pouvez configurer un terme filtre qui associe cette action à une condition de correspondance comprenant une correspondance entre l’en-tête de paquet et le protocole GRE. Pour un filtre IPv4, inclure protocol gre la condition de correspondance protocol 47 (ou) la condition de correspondance. Fixez le filtre à l’entrée d’une interface logique Ethernet ou d’une interface Ethernet agrégée sur une carte d’interface modulaire (MIC) ou un concentrateur de ports modulaire (MPC) du routeur. Si vous commitez une configuration qui fixe un filtre de dés encapsulation à une interface qui ne prend pas en charge la tunneling GRE basée sur des filtres, le système écrit un message d’avertissement syslog que l’interface ne prend pas en charge le filtre.

Lorsque l’interface reçoit un paquet assorti, les processus qui s’exécutent moteur de transfert de paquets opérations suivantes:

  • Retirez l’en-tête GRE extérieur.

  • Avancez le paquet de charge utile interne vers sa destination d’origine en effectuez la recherche de destination.

Par défaut, l’moteur de transfert de paquets utilise l’instance de routage par défaut pour le transport de paquets de charge utile vers le réseau de destination. Si la charge utile MPLS, le moteur de transfert de paquets effectue une recherche de route sur la table de routage de chemin MPLS en utilisant le label de routage dans l’en-tête MPLS.

Si vous spécifiez l’action avec un nom d’instance de routage facultatif, l’moteur de transfert de paquets effectue la recherche de route sur l’instance de routage et l’instance doit decapsulate être configurée.

Remarque :

Sur MX960, l’action déencapsule les decapsulate paquets gre, IP-in-IP et IPv6-in-IP. Vous configurez cette action au niveau [edit firewall family inet filter filter-name term term-name] hiérarchique.

Pour plus d’informations, consultez Comprendre le tunneling basé sur des filtres sur les réseaux IPv4 et Composants du tunneling basé sur des filtres sur les réseaux IPv4 .

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

Sur une interface client sur un routeur MX Series installé à la périphérie du fournisseur (PE) d’un réseau de transport IPv4, permet l’encapsulation des paquets L2TP (Layer 2 tunneling protocol) transportés par un tunnel L2TP basé sur des filtres.

Vous pouvez configurer un terme filtre qui associe cette action à une condition de correspondance comprenant une correspondance de l’en-tête de paquet pour le protocole L2TP. Pour le trafic IPv4, un filtre de pare-feu d’entrée et un filtre de pare-feu de sortie $junos-input-filter$junos-output-filter sont fixés à l’interface. Fixez le filtre à l’entrée d’une interface logique Ethernet ou d’une interface Ethernet agrégée sur une carte d’interface modulaire (MIC) ou un concentrateur de ports modulaire (MPC) du routeur. Si vous commitez une configuration qui attache un filtre de dés encapsulation à une interface qui ne prend pas en charge la tunneling L2TP basée sur des filtres, le système écrit un message d’avertissement syslog que l’interface ne prend pas en charge le filtre.

Le point de terminaison du tunnel distant envoie un paquet de tunnel IP contenant une adresse MAC Ethernet dans la charge utile. Si l’adresse MAC de destination du paquet utile contient l’adresse MAC du routeur, le paquet Ethernet est envoyé dans la direction sortante vers le réseau, puis il est traitée et transmise comme s’il était reçu sur le port du client. Si l’adresse MAC source du paquet utile contient l’adresse MAC du routeur, le paquet Ethernet est transmis dans la direction sortante vers le port du client. Si le tunnel ne contient pas le cookie de réception configuré, l’injection de paquets ne se produit pas. Ainsi, chaque paquet tunnel reçu est comptabilisé et abandonné de la même manière que les paquets qui arrivent avec un cookie erronée sont comptabilisés et abandonnés.

L’action peut spécifier les paramètres decapsulate l2tp suivants:

  • routing-instance instance-name—Par défaut, l’moteur de transfert de paquets utilise l’instance de routage par défaut pour faire avancer les paquets de charge utile vers le réseau de destination. Si la charge utile MPLS, le moteur de transfert de paquets effectue une recherche de route sur la table de routage de chemin MPLS en utilisant le label de routage dans l’en-tête MPLS. Si vous spécifiez l’action avec un nom d’instance de routage facultatif, l’moteur de transfert de paquets effectue la recherche de route sur l’instance de routage et l’instance doit decapsulate être configurée.

  • forwarding-class class-name—(Facultatif) Classification des paquets l2TP dans la classe de transmission spécifiée.

  • output-interface interface-name—(Facultatif) Pour les tunnels L2TP, permettre le dupliqué et l’envoyer vers le client ou le réseau (en fonction de l’adresse MAC de la charge utile Ethernet).

  • cookie l2tpv3-cookie—(Facultatif) Pour les tunnels L2TP, spécifiez le cookie L2TP pour les paquets dupliqués. Si le tunnel ne contient pas le cookie de réception configuré, l’injection de paquets ne se produit pas. Ainsi, chaque paquet tunnel reçu est comptabilisé et abandonné de la même manière que les paquets qui arrivent avec un cookie erronée sont comptabilisés et abandonnés.

  • sample—(Facultatif) Échantillon du paquet. Junos OS n’extrait pas de paquets provenant du routeur. Si vous configurez un filtre et l’appliquez au côté sortie d’une interface, seuls les paquets de transit qui traversent cette interface sont échantillonés. Les paquets envoyés de l’moteur de routage au moteur de transfert de paquets ne sont pas échantillonés.

Remarque :

L’action que vous configurez au niveau hiérarchique ne permet pas de traiter le trafic avec les decapsulate l2tp[edit firewall family inet filter filter-name term term-name] options IPv4 et IPv6. Ainsi, le trafic encapsulé contenant de telles options est éliminé par la fonctionnalité de dés encapsulation des paquets L2TP.

family inet

discard

Discard a packet silently, without sending an Internet Control Message Protocol (ICMP). Les paquets éliminés sont disponibles pour la journalisation et l’échantillonnage.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (pour EX Series commutateurs uniquement)

encapsulate template-name

Sur une interface client sur un routeur MX Series installé à la périphérie du fournisseur (PE) d’un réseau de transport IPv4, activez la tunnelisation GRE (Generic Routing Encapsulation) basée sur des filtres à l’aide du modèle de tunnel spécifié.

Vous pouvez configurer un terme filtre qui associe cette action aux conditions de correspondance appropriées, puis fixez le filtre à l’entrée d’une interface logique Ethernet ou d’une interface Ethernet agrégée sur une carte d’interface modulaire (MIC) ou un concentrateur de ports modulaire (MPC) du routeur. Si vous commitez une configuration qui fixe un filtre d’encapsulation à une interface qui ne prend pas en charge la tunneling GRE basée sur des filtres, le système écrit un message d’avertissement syslog que l’interface ne prend pas en charge le filtre.

Lorsque l’interface reçoit un paquet assorti, les processus qui s’exécutent sur le moteur de transfert de paquets utiliser les informations du modèle de tunnel spécifié pour effectuer les opérations suivantes:

  1. Fixez un en-tête GRE (avec ou sans valeur de clé de tunnel, selon les indications du modèle de tunnel).

  2. Fixez un en-tête au protocole de transport IPv4.

  3. Avancer le paquet GRE résultant de l’interface source du tunnel vers la destination du tunnel (routeur PE distant).

Le modèle de tunnel spécifié doit être configuré à l’aide de l’instruction sous tunnel-end-point le niveau hiérarchique ou [edit firewall][edit logical-systems logical-system-name firewall] inférieur. Pour plus d’informations, consultez Comprendre le tunneling basé sur des filtres sur les réseaux IPv4 le site .

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (pour les tunnels L2TP)

Sur une interface client sur un routeur MX Series installé à la périphérie du fournisseur (PE) d’un réseau de transport IPv4, activez la tunnellité L2TP basée sur des filtres à l’aide du modèle de tunnel spécifié. Vous pouvez configurer un terme filtre qui associe cette action aux conditions de correspondance appropriées, puis fixez le filtre à l’entrée d’une interface logique Ethernet ou d’une interface Ethernet agrégée sur une carte d’interface modulaire (MIC) ou un concentrateur de ports modulaire (MPC) du routeur. Si vous commitez une configuration qui fixe un filtre d’encapsulation à une interface qui ne prend pas en charge la tunneling GRE basée sur des filtres, le système écrit un message d’avertissement syslog que l’interface ne prend pas en charge le filtre. Lorsque l’interface reçoit un paquet assorti, les processus qui s’exécutent sur le moteur de transfert de paquets utiliser les informations du modèle de tunnel spécifié pour effectuer les opérations suivantes:

  1. Fixez un en-tête L2TP (avec ou sans valeur clé de tunnel, selon les indications du modèle de tunnel).

  2. Fixez un en-tête au protocole de transport IPv4.

  3. Avancer le paquet L2TP résultant de l’interface source du tunnel vers la destination du tunnel (le routeur PE distant). Le modèle de tunnel spécifié doit être configuré à l’aide de l’instruction sous tunnel-end-point la hiérarchie de l’instruction ou de [edit firewall][edit logical-systems logical-system-name firewall] l’instruction.

  • family inet

exclude-accounting

Exclure le paquet d’être inclus dans les statistiques de comptabilisation précises des abonnés tunnelés sur un LAC L2TP. Utilisé généralement dans des filtres qui correspondent à ceux du trafic de contrôle DHCPv6 ou ICMPv6 L’incapacité d’exclure ces paquets entraîne un mécanisme de détection d’expiration d’inactivité, ces paquets étant utilisés comme trafic de données, le délai d’expiration n’est jamais important. (Le délai d’inactivité est configuré avec les instructions et les instructions des options de session de client-idle-timeout profil d’accès.) client-idle-timeout-ingress-only

Le terme n’exclut pas que les paquets soient comptabilisés pour la précision de la comptabilisation de la famille et pour la précision du service. Les paquets sont toujours inclus dans les statistiques de l’interface de session.

Le terme est disponible à la fois pour inet les inet6 familles, mais pour inet6 .

  • family inet

  • family inet6

logical-system logical-system-name

Dirigez le paquet vers le système logique spécifié.

Remarque :

Cette action n’est pas prise en charge par PTX Series Routeurs de transport de paquets.

  • family inet

  • family inet6

reject message-type

Rejeter le paquet et renvoyer un message ICMPv4 ou ICMPv6:

  • Si aucun message-type message n’est spécifié, un destination unreachable message est renvoyé par défaut.

  • Si tcp-reset l’indication est la message-type « , tcp-reset n’est renvoyée que si le paquet est un paquet TCP. Sinon, administratively-prohibited le message, d’une valeur de 13, est renvoyé.

  • Si un autre message-type est spécifié, ce message est renvoyé.

Remarque :

Les paquets rejetés peuvent être échantillonés ou enregistrés si vous configurez sample l’ou syslog l’action. Pour le MX2K-MPC11E, ICMP rejette les messages qui traversent les filtres de sortie, les policers et les configurations classe de service (CoS), de même que sont inclus dans ces statistiques. Il en va de même pour les destination unreachable messages.

Ces message-type valeurs peuvent faire partie des valeurs suivantes: address-unreachableadministratively-prohibited, bad-host-tos , , , bad-network-tos , , , , beyond-scope , , fragmentation-neededhost-prohibitedhost-unknownhost-unreachable ou network-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset .

Sur PTX1000 routeurs d’entrée, l’action de rejet n’est prise en charge que sur les interfaces d’entrée.

  • family inet

  • family inet6

routing-instance instance-name

Dirigez le paquet vers l’instance de routage spécifiée.

  • family inet

  • family inet6

topology topology-name

Dirigez le paquet vers la topologie spécifiée.

Remarque :

Cette action n’est pas prise en charge par PTX Series Routeurs de transport de paquets.

Chaque instance de routage (routeur principal ou virtuel) prend en charge une topologie par défaut vers laquelle toutes les classes de routage sont transmis. Pour le routage multitopologie, vous pouvez configurer un filtre de pare-feu sur l’interface d’entrée afin de correspondre à une classe de routage spécifique, telle qu’un forwarding expédié, avec une topologie spécifique. Le trafic qui correspond à la classe de routage spécifiée est ensuite ajouté à la table de routage pour cette topologie.

  • family inet

  • family inet6