ファイアウォールフィルター非終了アクション
ファイアウォールフィルターは、暗黙的な accept アクションを含む、プロトコルファミリーごとに異なる非終了アクションのセットをサポートしています。このコンテキストでは、 非終了とは 、他のアクションがこれらのアクションに続くことができるのに対し、他のアクションは 終了 アクションの後にできないことを意味します。そのため、同じフィルター条件内の終了アクションでアクションを構成することはできません。next term
ただし、同じフィルター条件内で別の非終了アクションを使用して アクションを設定することは可能です。next term
Junos OSおよびJunos OS Evolvedでは、 はアクションの最終項として表示することは できません。next term
設定した一致条件なしで next term
がアクションとして指定されるフィルター項はサポートされていません。
表 1 ファイアウォールフィルター条件に設定できる非終了アクションについて説明します。
非終了アクション |
説明 |
プロトコルファミリー |
---|---|---|
|
17 の優先順位付けされた BGP 出力キューの 1 つにパケットを割り当てます。 |
|
|
名前付きカウンター内のパケットをカウントします。 |
|
|
IPv4 ヘッダーの Don't Fragment ビット (フラグ) の値を設定して、データグラムをフラグメント化できるかどうかを指定します。
注:
アクション は MPC でのみサポートされます。 |
|
|
IPv4 DSCP(差別化されたサービスコードポイント)ビットを設定します。から までの数値を指定できます。 デフォルトの DSCP 値は (ベスト エフォート)または です。 また、以下のテキスト同義語のいずれかを指定することもできます。
注:
このアクションは、PTXシリーズルーターではサポートされていません。 注:
MXシリーズルーターで実行されているMPCラインカードは、 ファイアウォールフィルターアクションと組み合わせて任意の値(0〜63)をサポートします。 注:
アクション と は、T320、T640、T1600、TX Matrix、TX Matrix Plus、M320ルーター、および10ギガビットイーサネットMPC(モジュラーポートコンセントレータ)でのみサポートされています。 |
|
|
指定された拡張階層ポリサーを使用して、トラフィック優先度のパケットをポリシングします。 |
|
|
デフォルトでは、階層ポリサーは受信したトラフィックをトラフィックの転送クラスに従って処理します。プレミアムな優先転送トラフィックは、集約されたベストエフォート型トラフィックよりも帯域幅が優先されます。このフィルターは 、転送クラスに関係なく、条件に一致するトラフィックが後続の階層ポリサーによってプレミアムトラフィックとして扱われるようにします。 注:
フィルター オプションは、MPC でのみサポートされています。 |
|
|
パケットを名前付き転送クラスに分類します。
|
|
|
指定された階層ポリサーを使用してパケットをポリシングする |
|
|
指定された IPsec セキュリティ アソシエーションを使用します。 注:
このアクションは、MXシリーズルーター、T4000ルーターのタイプ5 FPC、PTXシリーズパケットトランスポートルーターではサポートされていません。 |
|
|
指定された負荷分散グループを使用します。 注:
このアクションは、MXシリーズルーターまたはPTXシリーズパケットトランスポートルーターではサポートされていません。 |
|
|
パケット ヘッダー情報をパケット転送エンジン内のバッファーに記録します。この情報にアクセスするには、コマンド行インターフェース (CLI) でコマンドを発行 します。 注:
レイヤー2(L2)ファミリーのログアクションは、MPCを搭載したMXシリーズルーターでのみ使用できます(ルーターにMPCのみがある場合はMPCモード、MPCとDCPがある場合はミックスモード)。DPCを搭載したMXシリーズルーターの場合、L2ファミリーのログアクションは設定されていても無視されます。 |
|
|
パケットを特定の論理システムに送信します。 |
|
|
PLP(パケット損失の優先度)レベルを設定します。 また、 同じファイアウォールフィルター条件に対して非終了アクションを設定することもできません。 このアクションは、M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーター。 拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MXシリーズ、およびT SeriesルーターのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、 階 ステートメントの詳細 と、受信パケットのPLPレベルを設定するためのBA(動作集約)分類子の使用については、 動作集約分類子が信頼されるトラフィックをどのように優先するかの理解を参照してください。 |
|
|
指定されたネクストホップ グループを使用します。 同じファイアウォールフィルター内で、 または アクションと一緒に アクションを使用しないことをお勧めします。 |
|
|
(MXシリーズ)指定された発信インターフェイスにパケットを転送します。 |
|
|
(MXシリーズ)指定された宛先 IPv4 アドレスにパケットを送信します。 |
|
|
(MXシリーズ)指定された宛先 IPv6 アドレスにパケットを送信します。 |
|
|
フローベース転送をバイパスするトラフィックを指定するパケット キー バッファーのビット フィールドを更新します。アクション修飾子が付いた パケットは、パケットベースの転送パスに従い、フローベースの転送を完全にバイパスします。 |
|
|
トラフィックのレート制限に使用するポリサーの名前。 |
|
|
(MXシリーズ)特定のカスタマーに特定の書き換えルールを割り当てるために使用されるポリシー マップの名前。 |
|
|
指定されたファミリーに基づいてパケットをポートミラーリングします。このアクションは、M120ルーター、Enhanced III FPCで設定されたM320ルーター、MXシリーズルーター、PTXシリーズパケットトランスポートルーターでのみサポートされます。 同じファイアウォールフィルター内で と の両方のアクションを使用しないことをお勧めします。 |
|
|
ポートはインスタンスのパケットをミラーリングします。このアクションは、MX シリーズ ルーターでのみサポートされます。 同じファイアウォールフィルター内で と の両方のアクションを使用しないことをお勧めします。 |
|
|
指定されたアクション名に基づいてパケットをカウントまたはポリシングします。 注:
このアクションは、PTXシリーズパケットトランスポートルーターではサポートされていません。 |
|
|
指定されたルーティングインスタンスにパケットを送信します。 |
|
|
パケットをサンプルします。 注:
Junos OSは、ルーターから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティング エンジンからパケット転送エンジンに送信されるパケットはサンプル化されません。 |
|
|
加入者のサービスごとの統計情報をキャプチャする場合は、インライン カウント メカニズムを使用します。 サービスアカウンティングのパケットをカウントします。このカウントは、RADIUSが取得できる特定の名前付きカウンター()に適用されます。 キーワードと キーワード は、用語単位とフィルター単位の両方で相互に排他的です。 注:
このアクションは、T4000タイプ 5 FPCおよびPTXシリーズパケットトランスポートルーターではサポートされていません。 |
|
|
加入者のサービスごとの統計をキャプチャする場合は、遅延カウントメカニズムを使用します。このカウントは、RADIUSが取得できる特定の名前付きカウンター()に適用されます。 キーワードと キーワード は、用語単位とフィルター単位の両方で相互に排他的です。 注:
このアクションは、T4000タイプ 5 FPCおよびPTXシリーズパケットトランスポートルーターではサポートされていません。 |
|
|
(現在のタイプのチェーン・フィルターの前のフィルターでフラグがマークされている場合のみ )パケットを次のタイプのフィルターに転送します。 チェーン内の後続のフィルターに、パケットがすでに処理されたことを示します。このアクションは、受信フィルターの 一致条件と相まって、フィルター処理の合理化に役立ちます。 注:
このアクションは、T4000タイプ 5 FPCおよびPTXシリーズパケットトランスポートルーターではサポートされていません。 |
|
|
ルールの一致条件を通過したパケットを、サービスネットワークスライシング設定に対応するスライス識別子でマークします。スライス(ファイアウォールフィルターアクション)を参照してください。https://www.juniper.net/documentation/us/en/software/junos/cos-hierarchical/cos/topics/ref/statement/slice(firewallfilteraction).html |
|
|
パケットをシステム ログ ファイルに記録します。 既存 および ファミリの syslog ファイアウォール アクション、および L2 ファミリ フィルタのアクションには、 次の L2 情報が含まれます。 入力インターフェイス、アクション、VLAN ID1、VLAN ID2、イーサネットタイプ、送信元と宛先のMACアドレス、プロトコル、送信元と宛先のIPアドレス、送信元と宛先のポート、パケット数。 注:
L2ファミリーのsyslogアクションは、MPCを搭載したMXシリーズルーターでのみ使用できます(ルーターにMPCのみがある場合はMPCモード、MPCとDCPがある場合はミックスモード)。DPCを搭載したMXシリーズルーターの場合、L2ファミリーのsyslogアクションが設定されていても無視されます。 |
|
|
指定された1レートまたは2レート3カラーポリサーを使用してパケットをポリシングします。 注:
同じファイアウォールフィルター条件に対してアクションを設定する こともできません。 |
|
|
トラフィッククラスコードポイントを指定します。から までの数値を指定できます。 デフォルトのトラフィッククラス値は、ベストエフォート、つまり、 または です。 数値の代わりに、以下のテキスト のいずれかを指定できます。
注:
アクション と は、T SeriesルーターとM320ルーター、およびMXシリーズルーター上の10ギガビットイーサネットMPC(モジュラーポートコンセントレータ)、60ギガビットイーサネットMPC、60ギガビットイーサネットキューイングMPC、および60ギガビットイーサネット拡張キューイングMPCでのみサポートされています。 |
|