ファイアウォールフィルター終了アクション

accept

パケットを受け取ります。

decapsulate gre [ routing-instance instance-name ]

IPv4トランスポートネットワークのPE(プロバイダーエッジ)に設置されたMXシリーズルーター上の顧客向けインターフェイスで、フィルターベースのGREトンネルを介して転送されるGRE(一般ルーティングのカプセル化)パケットのカプセル化解除を有効にします。

このアクションと、GRE プロトコルのパケットヘッダー一致を含む一致条件を組み合わせたフィルター条件を設定できます。IPv4フィルターの場合は、 (または )一致条件を含めます。protocol greprotocol 47 ルーターのモジュラー インターフェイス カード(MIC)またはモジュラー ポート コンセントレータ(MPC)のイーサネット論理インターフェイスまたは集合型イーサネット インターフェイスの入力にフィルターを取り付けます。 フィルターベースの GRE トンネリングをサポートしないインターフェイスにカプセル化解除フィルターをアタッチする設定をコミットすると、システムはそのインターフェイスがフィルターをサポートしていないという syslog 警告メッセージを書き込みます。

インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは次の動作を実行します。

• 外側のGREヘッダーを取り外します。

• 宛先ルックアップを実行して、内部ペイロードパケットを元の宛先に転送します。

デフォルトでは、パケット転送エンジンはデフォルトのルーティングインスタンスを使用して、ペイロードパケットを宛先ネットワークに転送します。ペイロードがMPLSの場合、パケット転送エンジンは、MPLSヘッダーのルートラベルを使用して、MPLSパスルーティングテーブルでルート検索を行います。

オプションのルーティングインスタンス名を使って アクションを指定し た場合、パケット転送エンジンはルーティングインスタンスでルート検索を行い、インスタンスを設定する必要があります。decapsulate

詳細については、とを参照してください。IPv4 ネットワーク全体のフィルターベーストンネリングについてIPv4ネットワーク全体のフィルターベーストンネリングのコンポーネント

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

IPv4トランスポートネットワークのPE(プロバイダエッジ)に設置されたMXシリーズルーター上の顧客向けインターフェイスで、フィルターベースのL2TPトンネルを介して転送されるレイヤー2トンネリングプロトコル(L2TP)パケットのカプセル化解除を有効にします。

このアクションと、L2TPプロトコルのパケットヘッダー一致を含む一致条件を組み合わせたフィルター条件を設定できます。IPv4 トラフィックの場合、入力ファイアウォール フィルターと出力ファイアウォール フィルター がインターフェイスにアタッチされます。$junos-input-filter$junos-output-filter ルーターのモジュラー インターフェイス カード(MIC)またはモジュラー ポート コンセントレータ(MPC)のイーサネット論理インターフェイスまたは集合型イーサネット インターフェイスの入力にフィルターを取り付けます。フィルタベースのL2TPトンネリングをサポートしないインターフェイスにカプセル化解除フィルタをアタッチする設定をコミットすると、インターフェイスがフィルタをサポートしていないというsyslog警告メッセージが書き込まれます。

リモート トンネル エンドポイントは、ペイロード内のイーサネット MAC アドレスを含む IP トンネル パケットを送信します。ペイロード パケットの宛先 MAC アドレスにルーターの MAC アドレスが含まれている場合、イーサネット パケットはネットワークに向かって発信方向に送信され、カスタマー ポートで受信したかのように処理および転送されます。ペイロード パケットの送信元 MAC アドレスにルーターの MAC アドレスが含まれている場合、イーサネット パケットはカスタマー ポートに向かって発信方向に送信されます。トンネルに設定された受信Cookieが含まれていない場合、パケットインジェクションは行われません。この場合、間違った Cookie で到着したパケットがカウントおよびドロップされるのと同じ方法で、受信したトンネル パケットがカウントおよびドロップされます。

アクションでは 、次のパラメーターを指定できます。decapsulate l2tp

• routing-instance instance-name- デフォルトでは、パケット転送エンジンはデフォルトのルーティング インスタンスを使用してペイロード パケットを宛先ネットワークに転送します。ペイロードがMPLSの場合、パケット転送エンジンは、MPLSヘッダーのルートラベルを使用して、MPLSパスルーティングテーブルでルート検索を行います。オプションのルーティングインスタンス名を使って アクションを指定し た場合、パケット転送エンジンはルーティングインスタンスでルート検索を行い、インスタンスを設定する必要があります。decapsulate

• forwarding-class class-name—(オプション)指定された転送クラスにL2TPパケットを分類します。

• output-interface interface-name—(オプション)L2TPトンネルの場合、パケットを複製して、(イーサネットペイロードのMACアドレスに基づいて)顧客またはネットワークに向けて送信できるようにします。

• cookie l2tpv3-cookie—(オプション)L2TPトンネルの場合、複製されたパケットのL2TPクッキーを指定します。トンネルに設定された受信Cookieが含まれていない場合、パケットインジェクションは行われません。この場合、間違った Cookie で到着したパケットがカウントおよびドロップされるのと同じ方法で、受信したトンネル パケットがカウントおよびドロップされます。

• sample—(オプション)パケットをサンプルします。Junos OSは、ルーターから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティング エンジンからパケット転送エンジンに送信されるパケットはサンプル化されません。

discard

インターネット 制御メッセージ プロトコル（ICMP）メッセージを送信することなく、気付かれることなくパケットを無効にします。破棄されたパケットは、ロギングとサンプリングに使用できます。

encapsulate template-name

IPv4トランスポートネットワークのPE(プロバイダエッジ)に設置されたMXシリーズルーター上の顧客向けインターフェイスで、指定されたトンネルテンプレートを使用して、フィルターベースのGRE(一般ルーティングのカプセル化)トンネリングを有効にします。

このアクションと適切な一致条件を組み合わせたフィルター条件を設定し、ルーターのモジュラー インターフェイス カード(MIC)またはモジュラー ポート コンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネット インターフェイスの入力にフィルターをアタッチできます。 フィルターベース GRE トンネリングをサポートしないインターフェイスにカプセル化フィルターをアタッチする設定をコミットすると、インターフェイスがフィルターをサポートしていないことを示す syslog 警告メッセージが書き込まれます。

インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは、指定されたトンネルテンプレートの情報を使用して次の操作を実行します。

1. GREヘッダーを付加します(トンネルテンプレートで指定されているトンネルキー値の有無は関係ありません)。

2. IPv4トランスポートプロトコルのヘッダーを添付します。

3. 結果の GRE パケットをトンネル送信元インターフェイスからトンネル宛先(リモート PE ルーター)に転送します。

指定するトンネル テンプレートは、 または 階層レベルの ステートメントを使用して設定する必要があります。tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall] 詳細については、IPv4 ネットワーク全体のフィルターベーストンネリングについてを参照してください。

encapsulate template-name (L2TPトンネルの場合)

IPv4トランスポートネットワークのプロバイダエッジ(PE)に設置されたMXシリーズルーター上の顧客向けインターフェイスで、指定されたトンネルテンプレートを使用してフィルターベースのL2TPトンネリングを有効にします。このアクションと適切な一致条件を組み合わせたフィルター条件を設定し、ルーターのモジュラー インターフェイス カード(MIC)またはモジュラー ポート コンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネット インターフェイスの入力にフィルターをアタッチできます。フィルターベース GRE トンネリングをサポートしないインターフェイスにカプセル化フィルターをアタッチする設定をコミットすると、インターフェイスがフィルターをサポートしていないことを示す syslog 警告メッセージが書き込まれます。インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは、指定されたトンネルテンプレートの情報を使用して次の操作を実行します。

1. L2TP ヘッダーをアタッチします(トンネル テンプレートで指定されているトンネル キー値の有無は関係ありません)。

2. IPv4トランスポートプロトコルのヘッダーを添付します。

3. 結果の L2TP パケットをトンネル送信元インターフェイスからトンネル宛先(リモート PE ルーター)に転送します。指定するトンネル テンプレートは、 または ステートメント階層下の ステートメントを使用して設定する必要があります。tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall]

exclude-accounting

L2TP LACでトンネル加入者の正確なアカウンティング統計に含まれないようにパケットを除外します。通常、DHCPv6 または ICMPv6 制御トラフィックに一致するフィルターで使用されます。これらのパケットを除外しないと、アイドル タイムアウト検出メカニズムによってこれらのパケットがデータ トラフィックと見なされ、タイムアウトが期限切れになることはありません。(アイドルタイムアウトは、アクセスプロファイルセッションオプションの および ステートメントで設定されます。)client-idle-timeoutclient-idle-timeout-ingress-only

この用語は、パケットをファミリーの正確なアカウンティングとサービスの正確なアカウンティングの両方のカウントに含めることを除外します。パケットは引き続きセッションインターフェイスの統計情報に含まれます。

この用語は、 および ファミリーの両方で使用できますが、 に対してのみ使用されます。inetinet6inet6

logical-system logical-system-name

指定された論理システムにパケットを送信します。

reject message-type

パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。

• no を指定すると、 デフォルトでメッセージが返されます。message-typedestination unreachable

• を として指定した場合、パケットが TCP パケットである場合にのみ返されます。tcp-resetmessage-typetcp-reset それ以外の場合は、 値 13 のメッセージが返されます。administratively-prohibited

• その他の ものを指定すると、そのメッセージが返されます。message-type

は 、以下の値のいずれかになります。message-type 、 、 、 、 、または 。address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

PTX1000 ルーターでは、拒否アクションはイングレス インターフェイスでのみサポートされています。

routing-instance instance-name

指定されたルーティングインスタンスにパケットを送信します。

topology topology-name

指定されたトポロジーにパケットを送信します。