flow (Security Flow)
구문
flow { advanced-options { drop-matching-link-local-address; drop-matching-reserved-ip-address; reverse-route-packet-mode-vr; } aging { early-ageout seconds; high-watermark percent; low-watermark percent; } allow-dns-reply; allow-embedded-icmp; Configuring Access Lists for SNMP Access over Routing Instances; enable-reroute-uniform-link-check { nat; } enhanced-routing-mode; ethernet-switching { block-non-ip-all; bpdu-vlan-flooding; bypass-non-ip-unicast; no-packet-flooding { no-trace-route; } } force-ip-reassembly; gre-performance-acceleration; ipsec-performance-acceleration (Security Flow); load-distribution { session-affinity { ipsec; } } mcast-buffer-enhance; multicast-nh-resolve-retry multicast-nh-resolve-retry-value; no-local-favor-ecmp; packet-log (Security Flow) { enable; packet-filter name { conn-tag conn-tag; destination-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv); destination-prefix destination-prefix; interface interface; logical-system logical-system; protocol (ah | egp | esp | gre | icmp | icmp6 | igmp | ipip | number | ospf | pim | rsvp | sctp | tcp | udp); source-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv); source-prefix source-prefix; } throttle-interval milliseconds; } pending-sess-queue-length (high | moderate | normal); power-mode-ipsec; preserve-incoming-fragment-size; route-change-timeout seconds; strict-packet-order; syn-flood-protection-mode (syn-cookie | syn-proxy); sync-icmp-session; tcp-mss (Security Flow) { all-tcp { mss mss; } gre-in { mss mss; } gre-out { mss mss; } ipsec-vpn (Security Flow) { mss mss; } } tcp-session { fin-invalidate-session; maximum-window (128K | 1M | 256K | 512K | 64K); no-sequence-check; no-syn-check; no-syn-check-in-tunnel; rst-invalidate-session; rst-sequence-check; strict-syn-check; tcp-initial-timeout seconds; time-wait-state { (session-ageout | session-timeout seconds); apply-to-half-close-state; } } traceoptions (Security Flow) { file <filename> <files files> <match match> <size size> <(world-readable | no-world-readable)>; flag name; no-remote-trace; packet-filter name { conn-tag conn-tag; destination-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv); destination-prefix destination-prefix; interface interface; logical-system logical-system; protocol (ah | egp | esp | gre | icmp | icmp6 | igmp | ipip | number | ospf | pim | rsvp | sctp | tcp | udp); source-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv); source-prefix source-prefix; } rate-limit rate-limit; trace-level { (brief | detail | error); } } }
계층 수준
[edit security]
설명
디바이스가 패킷 흐름을 관리하는 방법을 결정합니다. 디바이스는 다음과 같은 방법으로 패킷 흐름을 조절할 수 있습니다.
옵션
advanced-options | 플로우 구성 고급 옵션.
|
allow-dns-reply | 일치하지 않는 들어오는 DNS 회신 패킷을 허용합니다. |
allow-embedded-icmp | 세션과 일치하지 않는 임베디드 ICMP 패킷이 통과하도록 허용합니다. |
allow-reverse-ecmp | 역방향 ECMP 경로 조회를 허용합니다. |
enable-reroute-uniform-link-check | 균일한 링크로 경로 재지정 확인을 활성화합니다.
|
enhanced-routing-mode | 향상된 경로 크기 조정을 활성화합니다. |
force-ip-reassembly | IP 조각을 강제로 리어셈블합니다. |
gre-performance-acceleration | GRE 트래픽 성능을 가속화합니다. |
ipsec-performance-acceleration | IPSec 트래픽 성능을 가속화합니다. |
mcast-buffer-enhance | 멀티캐스트 세션을 만드는 동안 더 많은 패킷을 보유할 수 있습니다. |
multicast-nh-resolve-retry | 이 명령을 사용하여 멀티캐스트 경로 다음 홉 해결 시도를 구성할 수 있습니다. 멀티캐스트 경로 다음 홉 해결에 실패하면 SRX 시리즈 방화벽은 지정된 재시도 횟수를 기반으로 다음 홉 경로 해결을 시도합니다.
|
no-local-favor-ecmp | HA ECMP 경로 조회에서 로컬 노드를 선호하지 않습니다. |
pending-sess-queue-length | 보류 중인 세션당 대기 중인 최대 길이입니다.
|
power-mode-ipsec | 전원 모드 ipsec 처리를 활성화합니다. |
preserve-incoming-fragment-size | 송신 최대 전송 단위(MTU)를 위해 수신 조각 크기를 보존합니다. |
route-change-timeout | 존재하지 않는 경로로의 경로 변경에 대한 시간 제한 값(초)입니다.
|
strict-packet-order | 이 명령을 사용하여 멀티캐스트 트래픽 순서를 유지하고 패킷 드롭 문제를 해결할 수 있습니다. |
syn-flood-protection-mode | TCP SYN 플러드 보호 모드.
|
sync-icmp-session | icmp 세션이 피어 노드와 동기화되도록 허용합니다. |
필요한 권한 수준
security - 구성에서 이 명령문을 볼 수 있습니다.
security-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 9.5에서 수정된 명령문. 이 power-mode-ipsec
옵션은 vSRX 가상 방화벽 인스턴스용 Junos OS 릴리스 18.3R1, SRX4100 및 SRX4200 디바이스용 Junos OS 릴리스 18.4R1, SRX5400, SRX5600 및 SRX5800 디바이스용 Junos OS 릴리스 18.2R2에 추가되었습니다. multicast-nh-resolve-retry
및 옵션은 strict-packet-order
SRX345 및 SRX1500 디바이스용 Junos OS 릴리스 20.2R2에 추가되었습니다. 이 gre-performance-acceleration
옵션은 Junos OS 릴리스 21.1R1에 추가되었습니다.