Filtre paramétré Actions et modificateurs de non-terminaison et de terminaison
Les actions et modificateurs de terminaison et de terminaison des filtres paramétrés sont un sous-ensemble de ceux disponibles pour les filtres de pare-feu statiques.
Vous ne pouvez pas configurer l’action next term de non-terminaison avec une action de fin dans le même terme de filtre. Toutefois, vous pouvez configurer l’action next term avec une autre action qui ne se termine pas dans le même terme de filtre.
Les actions qui ne se terminent pas entraînent une action d’acceptation implicite. Dans ce contexte, la non-terminaison signifie que d’autres actions peuvent suivre ces actions, alors qu’aucune autre action ne peut suivre une action d’arrêt .
Le Tableau 1 décrit les actions et les modificateurs de non-terminaison que vous pouvez configurer pour un terme de filtre paramétré.
Action non interrompue |
Descriptif |
Familles de protocoles |
|---|---|---|
|
Comptez le paquet dans le compteur nommé. |
|
|
Définissez le bit DSCP (IPv4 Differentiated Services Code Point). Vous pouvez spécifier une valeur numérique comprise entre La valeur DSCP par défaut est best effort, Vous pouvez également spécifier l’un des synonymes de texte suivants :
|
|
|
Classez le paquet dans la classe de transfert nommée :
|
|
|
Contrôle le paquet à l’aide du mécanisme de contrôle hiérarchique spécifié. |
|
|
Consignez les informations d’en-tête des paquets dans une mémoire tampon du moteur de transfert de paquets. Vous pouvez accéder à ces informations en lançant la
Remarque :
L’action de journalisation des familles de couche 2 (L2) est disponible uniquement pour les routeurs MX Series avec MPC (mode MPC si le routeur n’a que des MPC, ou mode mixte s’il a MPC et DCP). Pour les routeurs MX Series avec DPC, l’action de journalisation pour les familles L2 est ignorée si elle est configurée. |
|
|
Définissez le niveau de priorité de perte de paquets (PLP). Vous ne pouvez pas non plus configurer l’action Pour le trafic IP sur les routeurs MX Series équipés de concentrateurs PIC flexibles (FPC) Enhanced II, vous devez inclure l’instruction Pour plus d’informations sur l’instruction et l’utilisation de classificateurs BA (behavior aggregate) pour définir le niveau PLP des paquets entrants, consultez Présentation de la |
|
|
Passez au terme de filtre suivant. |
|
|
(MX Series) Diriger les paquets vers l’adresse IPv4 de destination spécifiée. Vous pouvez éventuellement spécifier une instance de routage pour l’adresse. Dans l’exemple suivant, les variables $IP-address et $RT-name seraient définies dans [edit dynamic-profiles service-profile-name firewall family inet filter $nextip] user@host# set term t1 then next-ip $IP-address routing-instance $RT-name Pris en charge à partir de la version 18.2R1 de Junos OS. |
|
|
(MX Series) Diriger les paquets vers l’adresse IPv6 de destination spécifiée. Vous pouvez éventuellement spécifier une instance de routage pour l’adresse. Dans l’exemple suivant, les variables $IPv 6-address et $RT-name sont définies dans [edit dynamic-profiles service-profile-name firewall family inet filter $nextip6] user@host# set term t1 then next-ip6 $IPv6-address routing-instance $RT-name Pris en charge à partir de la version 18.2R1 de Junos OS. |
|
|
Nom du régulateur à utiliser pour limiter le débit du trafic. |
|
|
Mettez le paquet en miroir de port en fonction de la famille spécifiée. Nous vous recommandons de ne pas utiliser à la fois les actions et les |
|
|
Mise en miroir du port d’un paquet pour une instance. Cette action n’est prise en charge que sur les routeurs MX Series. Nous vous recommandons de ne pas utiliser à la fois les actions et les |
|
|
Diriger les paquets vers l’instance de routage spécifiée. |
|
|
Échantillonnez le paquet.
Remarque :
Junos OS n’échantillonne pas les paquets provenant du routeur. Si vous configurez un filtre et que vous l’appliquez au côté sortie d’une interface, seuls les paquets de transit passant par cette interface sont échantillonnés. Les paquets envoyés du moteur de routage au moteur de transfert de paquets ne sont pas échantillonnés. |
|
|
Utilisez le mécanisme de comptage en ligne lors de la capture de statistiques par service d’abonnés. Comptez le paquet pour la comptabilité des services. Le nombre est appliqué à un compteur nommé spécifique ( Les |
|
|
Utilisez le mécanisme de comptage différé lors de la capture des statistiques par service d’abonnés. Le nombre est appliqué à un compteur nommé spécifique ( Les |
|
|
(Seulement si l’indicateur Indiquez aux filtres suivants de la chaîne que le paquet a déjà été traité. Cette action, associée à la condition de correspondance lors de la réception des filtres, permet de rationaliser le |
|
|
Contrôle le paquet à l’aide du mécanisme de contrôle à un seul débit ou à deux débits et trois couleurs spécifié.
Remarque :
Vous ne pouvez pas non plus configurer l’action |
|
|
Spécifiez le point de code de la classe de trafic. Vous pouvez spécifier une valeur numérique comprise entre La valeur par défaut de la classe de trafic est best effort, c’est-à-dire À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants :
|
|
Le Tableau 2 décrit les actions d’arrêt et les modificateurs que vous pouvez configurer pour un terme de filtre paramétré.
Mettre fin à l’action |
Descriptif |
Familles de protocoles |
|---|---|---|
accept |
Acceptez le paquet. |
|
|
Supprimez un paquet en mode silencieux, sans envoyer de message ICMP (Internet Control Message Protocol). Les paquets rejetés sont disponibles pour la journalisation et l’échantillonnage. |
|
|
Rejetez le paquet et renvoyez un message ICMPv4 ou ICMPv6 :
Remarque :
Les paquets rejetés peuvent être échantillonnés ou consignés si vous configurez l’action Il |
|