Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルター終了アクション

ファイアウォールフィルターは、各プロトコルファミリーに対して一連の終了アクションをサポートします。フィルター終了アクションは、特定のパケットのファイアウォールフィルターのすべての評価を停止します。ルーターは指定されたアクションを実行し、追加の条件は調べされません。

注:

同じフィルター条件で終了アクションを持つアクションを設定next termすることはできません。ただし、同じフィルター条件で別のnext term非終了アクションでアクションを設定できます。

Junos OSおよびJunos OS Evolvedでは、 next term アクションの最後の用語として表示することはできません。設定された一致条件なしでアクションとして指定されるフィルター条件 next term はサポートされていません。

MPCを搭載したMXシリーズルーターでは、例えば show snmp mib walk name ascii、対応するSNMP MIBをウォークすることで、Trioのみの一致フィルターのフィルターカウンターを初期化する必要があります。これにより、Junos はフィルター カウンターを学習し、フィルター統計が表示されていることを確認します。このガイダンスは、すべての拡張モード ファイアウォール フィルター、柔軟な条件を持つフィルター、および特定の終了アクションを持つフィルターに適用されます。詳細については、関連ドキュメントの下に記載されているこれらのトピックを参照してください。

表 1 は、ファイアウォールフィルター条件で指定できる終了アクションについて説明します。

表 1: ファイアウォールフィルターの終了アクション

終了アクション

説明

プロトコル

accept

パケットを受け入れます。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (EXシリーズスイッチのみ)

decapsulate gre [ routing-instance instance-name ]

IPv4トランスポートネットワークのプロバイダーエッジ(PE)にインストールされたMXシリーズルーター上の顧客向けインターフェイスで、フィルターベースのGREトンネルを介して転送されるGRE(一般ルーティングカプセル化)パケットのカプセル化解除を有効にします。

このアクションを GRE プロトコルのパケット ヘッダー一致を含む一致条件と組み合わせるフィルター条件を設定できます。IPv4フィルターの場合、 (またはprotocol 47)一致条件をprotocol gre含めます。 ルーター内のモジュラー インターフェイス カード(MIC)またはモジュラー ポート コンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネット インターフェイスの入力にフィルターをアタッチします。 フィルターベースGREトンネリングをサポートしていないインターフェイスにカプセル化解除フィルターをアタッチする設定をコミットすると、インターフェイスがフィルターをサポートしないことを示すsyslog警告メッセージがシステムに書き込まれます。

インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは、以下の操作を実行します。

  • 外側の GRE ヘッダーを削除します。

  • 宛先ルックアップを実行して、内部ペイロード パケットを元の宛先に転送します。

デフォルトでは、パケット転送エンジンはデフォルトのルーティングインスタンスを使用して、ペイロードパケットを宛先ネットワークに転送します。ペイロードが MPLS の場合、パケット転送エンジンは MPLS ヘッダーのルート ラベルを使用して MPLS パス ルーティング テーブルでルート ルックアップを実行します。

オプションの decapsulate ルーティングインスタンス名でアクションを指定した場合、パケット転送エンジンはルーティングインスタンスでルート検索を実行し、インスタンスを設定する必要があります。

注:

MX960ルーターでは、このアクションは decapsulate GRE、IP-in-IP、IPv6-in-IPトンネリングパケットのカプセル化を解除します。このアクションは、 階層レベルで設定します [edit firewall family inet filter filter-name term term-name]

詳細については、 および をIPv4 ネットワーク全体のフィルターベース トンネリングのコンポーネント参照してくださいIPv4 ネットワーク全体のフィルターベーストンネリングについて

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

IPv4トランスポートネットワークのプロバイダーエッジ(PE)にインストールされたMXシリーズルーター上の顧客向けインターフェイスで、フィルターベースのL2TPトンネルを介して転送されるレイヤー2トンネリングプロトコル(L2TP)パケットのカプセル化解除を有効にします。

このアクションをL2TPプロトコルのパケットヘッダー一致を含む一致条件と組み合わせるフィルター条件を設定できます。IPv4トラフィックの場合、入力ファイアウォールフィルター $junos-input-filter と出力ファイアウォールフィルター $junos-output-filter がインターフェイスに接続されています。ルーター内のモジュラー インターフェイス カード(MIC)またはモジュラー ポート コンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネット インターフェイスの入力にフィルターをアタッチします。フィルターベース L2TP トンネリングをサポートしていないインターフェイスにカプセル化解除フィルターをアタッチする設定をコミットすると、インターフェイスがフィルターをサポートしないことを示す syslog 警告メッセージがシステムに書き込まれます。

リモート トンネル エンドポイントは、ペイロード内にイーサネット MAC アドレスを含む IP トンネル パケットを送信します。ペイロード パケットの宛先 MAC アドレスにルーターの MAC アドレスが含まれている場合、イーサネット パケットはネットワークに向けて発信方向に送信され、カスタマー ポートで受信されたかのように処理および転送されます。ペイロード パケットの送信元 MAC アドレスにルーターの MAC アドレスが含まれている場合、イーサネット パケットは顧客ポートに向けて送信方向に送信されます。設定された receive-cookie がトンネルに含まれていない場合、パケット インジェクションは発生しません。この場合、受信したトンネルパケットは、間違ったCookieに到着したパケットをカウントして破棄するのと同じ方法でカウントおよびドロップされます。

アクションでは、以下のパラメーターを decapsulate l2tp 指定できます。

  • routing-instance instance-nameデフォルトでは、パケット転送エンジンはデフォルトのルーティングインスタンスを使用して、ペイロードパケットを宛先ネットワークに転送します。ペイロードが MPLS の場合、パケット転送エンジンは MPLS ヘッダーのルート ラベルを使用して MPLS パス ルーティング テーブルでルート ルックアップを実行します。オプションの decapsulate ルーティングインスタンス名でアクションを指定した場合、パケット転送エンジンはルーティングインスタンスでルート検索を実行し、インスタンスを設定する必要があります。

  • forwarding-class class-name—(オプション)l2TPパケットを指定された転送クラスに分類します。

  • output-interface interface-name—(オプション)L2TP トンネルの場合、パケットを複製して、(イーサネット ペイロード内の MAC アドレスに基づいて)顧客またはネットワークに送信できます。

  • cookie l2tpv3-cookie—(オプション)L2TPトンネルの場合、重複したパケットに対してL2TP Cookieを指定します。設定された receive-cookie がトンネルに含まれていない場合、パケット インジェクションは発生しません。この場合、受信したトンネルパケットは、間違ったCookieに到着したパケットをカウントして破棄するのと同じ方法でカウントおよびドロップされます。

  • sample—(オプション)パケットをサンプルします。Junos OS は、ルーターから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティング エンジンからパケット転送エンジンに送信されるパケットはサンプリングされません。

注:

階層レベルで[edit firewall family inet filter filter-name term term-name]設定したアクションはdecapsulate l2tp、IPv4およびIPv6オプションを持つトラフィックを処理しません。その結果、L2TPパケット機能のカプセル化解除により、このようなオプションを持つトラフィックは破棄されます。

family inet

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。破棄されたパケットは、ロギングとサンプリングに使用できます。

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (EXシリーズスイッチのみ)

encapsulate template-name

IPv4トランスポートネットワークのプロバイダーエッジ(PE)にインストールされたMXシリーズルーター上の顧客対応インターフェイスで、指定されたトンネルテンプレートを使用して、フィルターベースの一般ルーティングカプセル化(GRE)トンネリングを有効にします。

このアクションを適切な一致条件と組み合わせるフィルター条件を設定し、ルーターのモジュラーインターフェイスカード(MIC)またはモジュラーポートコンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネットインターフェイスの入力にフィルターをアタッチすることができます。 フィルターベースGREトンネリングをサポートしていないインターフェイスにカプセル化フィルターをアタッチする設定をコミットすると、インターフェイスがフィルターをサポートしないことを示すsyslog警告メッセージが書き込まれます。

インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは、指定されたトンネルテンプレート内の情報を使用して以下の操作を実行します。

  1. GREヘッダーを添付します(トンネルキー値の有無は関係ありません。トンネルテンプレートで指定されています)。

  2. IPv4 トランスポート プロトコルのヘッダーをアタッチします。

  3. 結果として得られる GRE パケットをトンネル ソース インターフェイスからトンネル宛先(リモート PE ルーター)に転送します。

指定されたトンネルテンプレートは、 または [edit logical-systems logical-system-name firewall] 階層レベルの ステートメントをtunnel-end-point使用して設定する[edit firewall]必要があります。詳細については、 を参照してください IPv4 ネットワーク全体のフィルターベーストンネリングについて

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (L2TP トンネルの場合)

IPv4トランスポートネットワークのプロバイダーエッジ(PE)にインストールされたMXシリーズルーター上の顧客向けインターフェイスで、指定されたトンネルテンプレートを使用してフィルターベースのL2TPトンネリングを有効にします。このアクションを適切な一致条件と組み合わせるフィルター条件を設定し、ルーターのモジュラーインターフェイスカード(MIC)またはモジュラーポートコンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネットインターフェイスの入力にフィルターをアタッチすることができます。フィルターベースGREトンネリングをサポートしていないインターフェイスにカプセル化フィルターをアタッチする設定をコミットすると、インターフェイスがフィルターをサポートしないことを示すsyslog警告メッセージが書き込まれます。インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは、指定されたトンネルテンプレート内の情報を使用して以下の操作を実行します。

  1. L2TPヘッダーを添付します(トンネルキー値の有無は、トンネルテンプレートで指定されています)。

  2. IPv4 トランスポート プロトコルのヘッダーをアタッチします。

  3. 結果として得られる L2TP パケットをトンネル ソース インターフェイスからトンネル宛先(リモート PE ルーター)に転送します。指定されたトンネルテンプレートは、 または [edit logical-systems logical-system-name firewall] ステートメント階層の下の tunnel-end-point ステートメントを使用して設定する[edit firewall]必要があります。

  • family inet

exclude-accounting

L2TP LAC 上のトンネリングされた加入者の正確なアカウンティング統計に含まれていないパケットを除外します。通常、DHCPv6 または ICMPv6 制御トラフィックに一致するフィルターで使用されるこれらのパケットを除外しない場合、これらのパケットをデータ トラフィックとみなすアイドル タイムアウト検知メカニズムが発生し、タイムアウトが期限切れになることはありません。(アイドルタイムアウトは、アクセスプロファイルセッションオプションの および client-idle-timeout-ingress-only ステートメントで設定client-idle-timeoutされます。

この条件は、パケットが、ファミリーの正確なアカウンティングとサービスの正確なアカウンティングの両方のカウントに含まれていないことを除きます。パケットは、依然としてセッションインターフェイスの統計に含まれています。

この用語は、 と inet6 ファミリーの両方inetで使用可能ですが、 にinet6対してのみ使用されます。

  • family inet

  • family inet6

logical-system logical-system-name

指定された論理システムにパケットを誘導します。

注:

このアクションは、PTXシリーズパケットトランスポートルーターではサポートされていません。

  • family inet

  • family inet6

reject message-type

パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。

  • no が message-type 指定されている場合、 destination unreachable メッセージはデフォルトで返されます。

  • として指定されたmessage-typetcp-reset場合tcp-resetは、パケットが TCP パケットである場合にのみ返されます。それ以外の administratively-prohibited 場合は、値が 13 のメッセージが返されます。

  • その他 message-type のメッセージが指定された場合、そのメッセージが返されます。

注:

または syslog アクションを設定すると、拒否されたパケットをサンプリングまたはログにsample記録できます。MX2K-MPC11Eでは、ICMPリジェクトメッセージはエグレスフィルター、ポリサー、サービスクラス(CoS)設定を通過します。また、これらの統計情報にも含まれています。メッセージについても同じことが言えます destination unreachable

message-type 、以下の値のいずれかです。address-unreachableadministratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-unknownno-routeport-unreachableprecedence-cutoffnetwork-unreachablenetwork-prohibitedprotocol-unreachablesource-host-isolatedprecedence-violationsource-route-failedまたは .tcp-reset

PTX1000ルーターでは、リジェクトアクションはイングレスインターフェイスでのみサポートされています。

  • family inet

  • family inet6

routing-instance instance-name

指定されたルーティング インスタンスにパケットを誘導します。

  • family inet

  • family inet6

topology topology-name

指定したトポロジにパケットを誘導します。

注:

このアクションは、PTXシリーズパケットトランスポートルーターではサポートされていません。

各ルーティング インスタンス(プライマリまたは仮想ルーター)は、すべての転送クラスが転送される 1 つのデフォルト トポロジをサポートしています。マルチポロジールーティングでは、イングレスインターフェイス上のファイアウォールフィルターを設定して、特定のトポロジーで、促進転送などの特定の転送クラスと一致させることができます。指定された転送クラスと一致するトラフィックは、そのトポロジのルーティング テーブルに追加されます。

  • family inet

  • family inet6
注:

QFX5120-48YおよびQFX5120-32Cスイッチモデルでは、BFDセッションをダウンさせるためにアクションを明示的に設定 discard します。ただし、そのアクションの前にdiscardアクションがport-mirror設定されている場合、BFDセッションは停止しないことに注意してください。

関連項目