ファイアウォールフィルター終了アクション

accept

パケットを受け取ります。

decapsulate gre [ routing-instance instance-name ]

IPv4トランスポートネットワークのプロバイダエッジ(PE)にインストールされたMXシリーズルーターの顧客向けインターフェイスで、フィルターベースのGREトンネルを介して伝送されるGRE(汎用ルーティングカプセル化)パケットのカプセル化解除トンネルを有効にします。

このアクションを、GREプロトコルのパケットヘッダー一致を含む一致条件とペアにするフィルター条件を設定できます。IPv4フィルターの場合は、 protocol gre (または protocol 47)一致条件を含めます。ルーターのモジュラーインターフェイスカード(MIC)またはモジュラーポートコンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネットインターフェイスの入力にフィルターを取り付けます。フィルターベースのGREトンネリングをサポートしていないインターフェイスにカプセル化解除フィルターをアタッチする設定をコミットすると、システムはインターフェイスがフィルターをサポートしていないことを示すsyslog警告メッセージを書き込みます。

インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは以下の操作を実行します。

• 外側のGREヘッダーを削除します。

• 宛先ルックアップを実行して、内部ペイロードパケットを元の宛先に転送します。

デフォルトでは、パケット転送エンジンはデフォルトのルーティングインスタンスを使用してペイロードパケットを宛先ネットワークに転送します。ペイロードが MPLS の場合、パケット転送エンジンは、MPLS ヘッダーのルートラベルを使用して、MPLS パス ルーティングテーブルでルート ルックアップを実行します。

オプションのルーティングインスタンス名で decapsulate アクションを指定すると、パケット転送エンジンはルーティングインスタンスでルート検索を実行し、インスタンスを設定する必要があります。

詳細については、「 IPv4 ネットワーク全体にわたるフィルターベーストンネリングについて 」および 「IPv4 ネットワーク全体にわたるフィルターベーストンネリングのコンポーネント」を参照してください。

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

IPv4トランスポートネットワークのプロバイダエッジ(PE)にインストールされたMXシリーズルーターの顧客向けインターフェイスで、フィルターベースのL2TPトンネルを介して伝送されるレイヤー2トンネリングプロトコル(L2TP)パケットのカプセル化解除トンネルを有効にします。

このアクションを、L2TPプロトコルのパケットヘッダー一致を含む一致条件とペアにするフィルター条件を設定できます。IPv4トラフィックの場合、入力ファイアウォールフィルター $junos-input-filter と出力ファイアウォールフィルター $junos-output-filter がインターフェイスにアタッチされています。ルーターのモジュラーインターフェイスカード(MIC)またはモジュラーポートコンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネットインターフェイスの入力にフィルターを取り付けます。フィルターベースのL2TPトンネリングをサポートしていないインターフェイスにカプセル化解除フィルターをアタッチする設定をコミットすると、システムはインターフェイスがフィルターをサポートしていないことを示すsyslog警告メッセージを書き込みます。

リモートトンネルエンドポイントは、ペイロードにイーサネットMACアドレスを含むIPトンネルパケットを送信します。ペイロードパケットの宛先MACアドレスにルーターのMACアドレスが含まれている場合、イーサネットパケットはネットワークに向かって発信方向に送信され、カスタマーポートで受信したかのように処理および転送されます。ペイロードパケットの送信元MACアドレスにルーターのMACアドレスが含まれている場合、イーサネットパケットは発信方向にカスタマーポートに向かって送信されます。トンネルにreceive-cookieが設定されていない場合、パケットインジェクションは行われません。この場合、受信したトンネルパケットは、間違ったCookieとともに到着したパケットがカウントおよびドロップされるのと同じ方法でカウントおよびドロップされます。

decapsulate l2tpアクションでは、以下のパラメーターを指定できます。

• routing-instance instance-name—デフォルトでは、パケット転送エンジンはデフォルトのルーティングインスタンスを使用してペイロードパケットを宛先ネットワークに転送します。ペイロードが MPLS の場合、パケット転送エンジンは、MPLS ヘッダーのルートラベルを使用して、MPLS パス ルーティングテーブルでルート ルックアップを実行します。オプションのルーティングインスタンス名で decapsulate アクションを指定すると、パケット転送エンジンはルーティングインスタンスでルート検索を実行し、インスタンスを設定する必要があります。

• forwarding-class class-name—(オプション)l2TPパケットを指定された転送クラスに分類します。

• output-interface interface-name—(オプション)L2TPトンネルの場合、パケットを複製して顧客またはネットワークに送信できるようにします(イーサネットペイロードのMACアドレスに基づいて)。

• cookie l2tpv3-cookie—(オプション)L2TPトンネルの場合、重複したパケットのL2TP Cookieを指定します。トンネルにreceive-cookieが設定されていない場合、パケットインジェクションは行われません。この場合、受信したトンネルパケットは、間違ったCookieとともに到着したパケットがカウントおよびドロップされるのと同じ方法でカウントおよびドロップされます。

• sample—(オプション)パケットをサンプリングします。Junos OSは、ルーターから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティングエンジンからパケット転送エンジンに送信されたパケットは、サンプリングされません。

discard

インターネット制御メッセージプロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。破棄されたパケットは、ロギングとサンプリングに利用できます。

encapsulate template-name

IPv4トランスポートネットワークのプロバイダエッジ(PE)にインストールされたMXシリーズルーター上の顧客向けインターフェイスで、指定されたトンネルテンプレートを使用して、フィルターベースのトンネルベースGRE(汎用ルーティングカプセル化)トンネリングを有効にします。

このアクションを適切な一致条件とペアにするフィルター条件を設定し、ルーターのモジュラーインターフェイスカード(MIC)またはモジュラーポートコンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネットインターフェイスの入力にフィルターをアタッチできます。フィルターベースのGREトンネリングをサポートしていないインターフェイスにカプセル化フィルターをアタッチする設定をコミットすると、システムはインターフェイスがフィルターをサポートしていないことを示すsyslog警告メッセージを書き込みます。

インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは、指定されたトンネルテンプレート内の情報を使用して、以下の操作を実行します。

1. GREヘッダーを添付します(トンネルテンプレートで指定されたとおり、トンネルキー値の有無にかかわらず。

2. IPv4トランスポートプロトコルのヘッダーを添付します。

3. 結果の GRE パケットをトンネル ソース インターフェイスからトンネル宛先(リモート PE ルーター)に転送します。

指定されたトンネルテンプレートは、[edit firewall]または[edit logical-systems logical-system-name firewall]階層レベルでtunnel-end-pointステートメントを使用して設定する必要があります。詳細については、「IPv4 ネットワーク全体のフィルターベーストンネリングを理解する」を参照してください。

encapsulate template-name (L2TPトンネルの場合)

IPv4トランスポートネットワークのプロバイダエッジ(PE)にインストールされたMXシリーズルーター上の顧客向けインターフェイスで、指定されたトンネルテンプレートを使用してフィルターベースのトンネルを有効にします。このアクションを適切な一致条件とペアにするフィルター条件を設定し、ルーターのモジュラーインターフェイスカード(MIC)またはモジュラーポートコンセントレータ(MPC)上のイーサネット論理インターフェイスまたは集合型イーサネットインターフェイスの入力にフィルターをアタッチできます。フィルターベースのGREトンネリングをサポートしていないインターフェイスにカプセル化フィルターをアタッチする設定をコミットすると、システムはインターフェイスがフィルターをサポートしていないことを示すsyslog警告メッセージを書き込みます。インターフェイスが一致したパケットを受信すると、パケット転送エンジンで実行されるプロセスは、指定されたトンネルテンプレート内の情報を使用して、以下の操作を実行します。

1. L2TPヘッダーを添付します(トンネルテンプレートで指定されたトンネルキー値の有無にかかわらず)。

2. IPv4トランスポートプロトコルのヘッダーを添付します。

3. 結果のL2TPパケットをトンネル送信元インターフェイスからトンネル宛先(リモートPEルーター)に転送します。指定されたトンネルテンプレートは、[edit firewall]または[edit logical-systems logical-system-name firewall]ステートメント階層にあるtunnel-end-pointステートメントを使用して設定する必要があります。

exclude-accounting

L2TP LAC上のトンネル化された加入者の正確なアカウンティング統計からパケットを除外します。通常、DHCPv6 または ICMPv6 制御トラフィックに一致するフィルターで使用されます。 これらのパケットを除外しないと、アイドルタイムアウト検出メカニズムがこれらのパケットをデータトラフィックとみなし、タイムアウトが期限切れになることはありません。(アイドルタイムアウトは、アクセスプロファイルセッションオプションの client-idle-timeout および client-idle-timeout-ingress-only ステートメントで設定されます。)

この用語は、パケットをファミリーの正確なアカウンティングとサービスの正確なアカウンティングの両方のカウントから除外します。パケットは、引き続きセッション インターフェイスの統計情報に含まれます。

この用語は、 inet ファミリーと inet6 ファミリーの両方で使用できますが、 inet6にのみ使用されます。

logical-system logical-system-name

指定された論理システムにパケットを送信します。

reject message-type

パケットを拒否し、ICMPv4 または ICMPv6 メッセージを返します。

• message-typeが指定されていない場合、デフォルトでdestination unreachableメッセージが返されます。

• message-typeとしてtcp-resetが指定されている場合、パケットがTCPパケットである場合にのみtcp-resetが返されます。それ以外の場合は、値 13 の administratively-prohibited メッセージが返されます。

• 他の message-type が指定されている場合は、そのメッセージが返されます。

message-type値は、address-unreachable、administratively-prohibited、bad-host-tos、bad-network-tos、beyond-scope、fragmentation-needed、host-prohibited、host-unknown、host-unreachable、network-prohibited、network-unknown、network-unreachable、no-route、port-unreachable、precedence-cutoff、precedence-violation、protocol-unreachable、source-host-isolated、source-route-failed、またはtcp-resetのいずれかです。

PTX1000ルーターでは、拒否アクションはイングレスインターフェイスでのみサポートされます。

routing-instance instance-name

指定されたルーティングインスタンスにパケットを送信します。

topology topology-name

指定されたトポロジーにパケットを誘導します。