Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 비 종료 동작

방화벽 필터는 암시적 수락 동작을 포함하여 각 프로토콜 제품군에 대해 서로 다른 종료되지 않는 작업 집합을 지원합니다. 이 컨텍스트에서 nonterminating 은 다른 작업이 이러한 작업을 따를 수 있지만 다른 작업은 종료 작업을 따를 수 없음을 의미합니다. 따라서 동일한 필터 용어에서 종료 작업으로 작업을 구성할 수 없습니다.next term 그러나 동일한 필터 용어에서 종료되지 않는 다른 작업으로 작업을 구성할 수 있습니다.next term

주:

Junos OS 및 Junos OS Evolved 에서는 작업의 마지막 용어로 표시될 수 없습니다.next term next term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.

표 1 방화벽 필터 용어에 대해 구성할 수 있는 비종료 작업에 대해 설명합니다.

표 1: 방화벽 필터에 대한 비종료 동작

Nonterminating Action(종료되지 않는 작업)

설명

프로토콜 제품군

bgp-output-queue-priority priority (expedited | (1-16))

우선순위가 지정된 17개의 BGP 출력 대기열 중 하나에 패킷을 할당합니다.

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

명명된 카운터의 패킷을 계산합니다.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

IPv4 헤더에서 Don't Fragment 비트(플래그) 값을 구성하여 데이터그램을 단편화할 수 있는지 여부를 지정합니다.

  • set- 플래그 값을 1로 변경하여 단편화를 방지합니다.

  • clear- 플래그 값을 0으로 변경하여 단편화를 허용합니다.

주:

작업은 MPC에서만 지원됩니다.dont-fragment (set | clear)

family inet

dscp value

IPv4 DSCP(Differentiated Services Code Point) 비트를 설정합니다. 에서 까지 숫자 값을 지정할 수 있습니다.063 16진수 형식으로 값을 지정하려면 접두사로 0x을(를) 포함시켜야 합니다. 2진수 형식으로 값을 지정하려면 접두사로 b을(를) 포함시켜야 합니다.

기본 DSCP 값은 (best effort) 또는 입니다.be0

다음 텍스트 동의어 중 하나를 지정할 수도 있습니다.

  • af11- 보장된 포워딩 클래스 1, 낮은 드롭 우선 순위(1)

  • af12- 보장된 포워딩 클래스 1, 중간 드롭 우선 순위(2)

  • —보장된 포워딩 클래스 1, 높은 드롭 우선순위(3); 등을 통해 , 보장된 포워딩 클래스 4, 높은 드롭 우선 순위af13af43

  • be—최선의 노력

  • - 클래스 선택기 0; 등등 , 클래스 선택기 0cs0cs7

  • ef—신속 전달

주:

이 작업은 PTX 시리즈 라우터에서는 지원되지 않습니다.
주:

MX 시리즈 라우터에서 실행되는 MPC 라인 카드는 방화벽 필터 동작과 함께 모든 값(0에서 63까지)을 지원합니다.set dscp
주:

및 작업은 T320, T640, T1600, TX Matrix, TX Matrix Plus 및 M320 라우터와 10기가비트 이더넷 MPC(Modular Port Concentrator)에서만 지원됩니다.dscp 0dscp be 그러나 이러한 작업은 M320 라우터의 Enhanced III FPC(Flexible PIC Concentrator)에서는 지원되지 않습니다. T4000 라우터 에서는 T1600 Enhanced Scaling Type 4 FPC와 T4000 Type 5 FPC 간의 상호 운용 중에는 작업이 지원되지 않습니다.dscp 0

family inet

enhanced-hierarchical-policer

지정된 향상된 계층 폴리서를 사용하여 트래픽 우선순위의 패킷을 감시합니다.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

force-premium

기본적으로 계층적 폴리서는 트래픽의 포워딩 클래스에 따라 수신하는 트래픽을 처리합니다. 프리미엄 신속 전달 트래픽은 종합적인 최선형 트래픽보다 대역폭이 우선합니다. 필터는 용어와 일치하는 트래픽이 포워딩 클래스에 관계없이 후속 계층 폴리서에 의해 프리미엄 트래픽으로 처리되도록 합니다.force-premium 이 트래픽은 해당 폴리서가 수신한 모든 집계 트래픽보다 우선합니다.

주:

필터 옵션은 MPC에서만 지원됩니다.force-premium

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

패킷을 명명된 포워딩 클래스로 분류합니다.

  • forwarding-class-name

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

지정된 계층적 폴리서를 사용하여 패킷을 감시합니다

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

지정된 IPsec 보안 연결을 사용합니다.

주:

이 작업은 MX 시리즈 라우터, T4000 라우터의 유형 5 FPC 및 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다.

family inet

load-balance group-name

지정된 부하 분산 그룹을 사용합니다.

주:

이 작업은 MX 시리즈 라우터 또는 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다.

family inet

log

패킷 전달 엔진 내의 버퍼에 패킷 헤더 정보를 기록합니다. 명령줄 인터페이스(CLI)에서 명령을 실행하여 이 정보에 액세스할 수 있습니다.show firewall log

주:

레이어 2(L2) 제품군 로그 작업은 MPC가 있는 MX 시리즈 라우터에서만 사용할 수 있습니다(라우터에 MPC만 있는 경우 MPC 모드, MPC 및 DCP가 있는 경우 혼합 모드). DPC가 있는 MX 시리즈 라우터의 경우 구성된 경우 L2 제품군에 대한 로그 작업이 무시됩니다.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

패킷을 특정 논리적 시스템으로 보냅니다.

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

패킷 손실 우선순위(PLP) 수준을 설정합니다.

동일한 방화벽 필터 용어에 대해 종료되지 않는 작업을 구성할 수도 없습니다.three-color-policer 이 두 가지 비 종료 작업은 상호 배타적입니다.

이 작업은 M120 및 M320 라우터에서 지원됩니다. 향상된 CFEB(CFEB-E)가 있는 M7i 및 M10i 라우터; 및 MX 시리즈 라우터.

Enhanced II FPC(Flexible PIC Concentrator)가 있는 M320, MX 시리즈 및 T 시리즈의 IP 트래픽의 경우, 계층 수준에 문을 포함시켜 4개의 수준이 지정되어 tri-color 있는 PLP 구성을 [edit class-of-service]커밋해야 합니다. tri-color 문이 활성화되어 있지 않은 경우, highlow 수준만 구성할 수 있습니다. 이는 모든 프로토콜 제품군에 적용됩니다.

문에 대한 정보와 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용에 대한 자세한 내용은 행동 집계 분류자가 신뢰할 수 있는 트래픽의 우선 순위를 지정하는 방법 이해하기를 참조하십시오.tri-colorUnderstanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

지정된 다음 홉 그룹을 사용합니다.

동일한 방화벽 필터에서 또는 작업과 함께 사용하지 않는 것이 좋습니다.next-hop-groupport-mirror-instanceport-mirror

  • family any

  • family inet

next-interface interface-name

(MX 시리즈) 지정된 발신 인터페이스에 패킷을 보냅니다.

  • family inet

  • family inet6

next-ip ip-address

(MX 시리즈) 지정된 대상 IPv4 주소로 패킷을 보냅니다.

family inet

next-ip6 ipv6-address

(MX 시리즈) 지정된 대상 IPv6 주소로 패킷을 보냅니다.

family inet6

packet-mode

패킷 키 버퍼의 비트 필드를 업데이트하여 플로우 기반 포워딩을 우회하는 트래픽을 지정합니다. 작업 수정자가 있는 패킷은 패킷 기반 전달 경로를 따르고 플로우 기반 전달을 완전히 우회합니다.packet-mode SRX100, SRX210, SRX220, SRX240, SRX650 디바이스에만 적용됩니다. 선택적 상태 비저장 패킷 기반 서비스에 대한 자세한 내용은 Junos OS 보안 구성 가이드를 참조하십시오.

family any

policer policer-name

트래픽 속도 제한에 사용할 폴리서의 이름입니다.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(MX 시리즈) 특정 고객에게 특정 다시 쓰기 규칙을 할당하는 데 사용되는 정책 맵의 이름입니다.

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

지정된 패밀리를 기반으로 패킷을 포트 미러링합니다. 이 작업은 M120 라우터, Enhanced III FPC로 구성된 M320 라우터, MX 시리즈 라우터 및 PTX 시리즈 패킷 전송 라우터에서만 지원됩니다.

동일한 방화벽 필터에서 와 작업을 모두 사용하지 않는 것이 좋습니다.next-hop-groupport-mirror

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

포트는 인스턴스에 대한 패킷을 미러링합니다. 이 작업은 MX 시리즈 라우터에서만 지원됩니다.

동일한 방화벽 필터에서 와 작업을 모두 사용하지 않는 것이 좋습니다.next-hop-groupport-mirror-instance

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

지정된 작업 이름을 기준으로 패킷을 계산하거나 감시합니다.

주:

이 작업은 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다.

family inet

routing-instance routing-instance-name

지정된 라우팅 인스턴스로 패킷을 보냅니다.

  • family inet

  • family inet6

sample

패킷을 샘플링합니다.

주:

Junos OS는 라우터에서 발생하는 패킷을 샘플링하지 않습니다. 필터를 구성하고 인터페이스의 출력 측에 적용하면 해당 인터페이스를 통과하는 전송 패킷만 샘플링됩니다. 라우팅 엔진에서 패킷 전달 엔진으로 전송되는 패킷은 샘플링되지 않습니다.

  • family inet

  • family inet6

  • family mpls

service-accounting

가입자 서비스당 통계를 캡처할 때 인라인 카운팅 메커니즘을 사용합니다.

서비스 어카운팅을 위한 패킷을 계산합니다. 카운트는 RADIUS가 획득할 수 있는 특정 명명된 카운터()에 적용됩니다.__junos-dyn-service-counter

및 키워드는 용어 및 필터당 모두 상호 배타적입니다.service-accountingservice-accounting-deferred

주:

이 작업은 T4000 유형 5 FPC 및 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다.

  • family any

  • family inet

  • family inet6

service-accounting- deferred

가입자 서비스당 통계를 캡처할 때 지연된 카운팅 메커니즘을 사용합니다. 카운트는 RADIUS가 획득할 수 있는 특정 명명된 카운터()에 적용됩니다.__junos-dyn-service-counter

및 키워드는 용어 및 필터당 모두 상호 배타적입니다.service-accountingservice-accounting-deferred

주:

이 작업은 T4000 유형 5 FPC 및 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다.

  • family any

  • family inet

  • family inet6

service-filter-hit

(플래그가 현재 체인 필터 유형에서 이전 필터로 표시된 경우에만) 패킷을 다음 유형의 필터로 보냅니다.service-filter-hit

체인의 후속 필터에 패킷이 이미 처리되었음을 나타냅니다. 이 작업은 필터 수신의 일치 조건과 결합되어 필터 처리를 간소화하는 데 도움이 됩니다.service-filter-hit

주:

이 작업은 T4000 유형 5 FPC 및 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다.

  • family any

  • family inet

  • family inet6

slice slice-name

규칙의 일치 조건을 통과하는 패킷을 서비스 네트워크 슬라이싱 구성에 해당하는 슬라이스 식별자로 표시합니다. 슬라이스(방화벽 필터 동작)를 참조하십시오.https://www.juniper.net/documentation/us/en/software/junos/cos-hierarchical/cos/topics/ref/statement/slice(firewallfilteraction).html

  • family any

  • family bridge

  • family ccc

  • family evpn

  • family inet

  • family inet6

  • family mpls

  • family vpls

syslog

패킷을 시스템 로그 파일에 기록합니다.

기존 및 제품군에 대한 syslog 방화벽 작업과 L2 제품군 필터의 작업에는 다음 L2 정보가 포함됩니다.inetinet6syslog

입력 인터페이스, 작업, VLAN ID1, VLAN ID2, 이더넷 유형, 소스 및 대상 MAC 주소, 프로토콜, 소스 및 대상 IP 주소, 소스 및 대상 포트, 패킷 수.

주:

L2 제품군 syslog 작업은 MPC가 있는 MX 시리즈 라우터에서만 사용할 수 있습니다(라우터에 MPC만 있는 경우 MPC 모드, MPC 및 DCP가 있는 경우 혼합 모드). DPC가 있는 MX 시리즈 라우터의 경우 구성된 경우 L2 제품군에 대한 syslog 작업이 무시됩니다.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

지정된 단일 속도 또는 2 속도 3색 폴리서를 사용하여 패킷을 감시합니다.

주:

동일한 방화벽 필터 용어에 대한 작업도 구성할 수 없습니다.loss-priority 이 두 작업은 상호 배타적입니다.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

트래픽 클래스 코드 포인트를 지정합니다. 에서 까지 숫자 값을 지정할 수 있습니다.063 16진수 형식으로 값을 지정하려면 접두사로 0x을(를) 포함시켜야 합니다. 2진수 형식으로 값을 지정하려면 접두사로 b을(를) 포함시켜야 합니다.

기본 traffic-class 값은 최선의 노력, 즉 또는 입니다 .be0

숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다.

  • af11- 보장된 포워딩 클래스 1, 낮은 드롭 우선 순위

  • af12—보장된 포워딩 클래스 1, 중간 드롭 우선 순위

  • af13- 보장된 포워딩 클래스 1, 높은 드롭 우선 순위

  • af21—보장된 포워딩 클래스 2, 낮은 드롭 우선 순위

  • af22—보장된 포워딩 클래스 2, 중간 드롭 우선 순위

  • af23—보장된 포워딩 클래스 2, 높은 드롭 우선 순위

  • af31—보장된 포워딩 클래스 3, 낮은 드롭 우선 순위

  • af32—보장된 포워딩 클래스 3, 중간 드롭 우선 순위

  • af33—보장된 포워딩 클래스 3, 높은 드롭 우선 순위

  • af41—보장된 포워딩 클래스 4, 낮은 드롭 우선 순위

  • af42—보장된 포워딩 클래스 4, 중간 드롭 우선 순위

  • af43—보장된 포워딩 클래스 4, 높은 드롭 우선 순위

  • be—최선의 노력

  • cs0- 클래스 선택기 0

  • cs1- 클래스 선택기 1

  • cs2- 클래스 선택기 2

  • cs3- 클래스 선택기 3

  • cs4- 클래스 선택기 4

  • cs5- 클래스 선택기 5

  • cs6—클래스 선택기 6

  • cs7- 클래스 선택기 7

  • ef—신속 전달

주:

및 작업은 T 시리즈 및 M320 라우터와 MX 시리즈 라우터의 10기가비트 이더넷 MPC(Modular Port Concentrator), 60기가비트 이더넷 MPC, 60기가비트 이더넷 큐잉 MPC 및 60기가비트 이더넷 Enhanced 큐잉 MPC에서만 지원됩니다.traffic-class 0traffic-class be 그러나 이러한 작업은 M320 라우터의 Enhanced III FPC(Flexible PIC Concentrator)에서는 지원되지 않습니다.

family inet6

관련 항목