방화벽 필터 종료 동작
방화벽 필터는 각 프로토콜 제품군에 대한 일련의 종료 동작을 지원합니다. 필터 종료 동작은 특정 패킷에 대한 방화벽 필터의 모든 평가를 중단합니다. 라우터는 지정된 작업을 수행하며 추가 용어는 검사되지 않습니다.
동일한 필터 용어에서 next term종료 작업으로 작업을 구성할 수 없습니다. 그러나 동일한 필터 용어에서 next term종료되지 않는 다른 작업으로 작업을 구성할 수 있습니다.
Junos OS 및 Junos OS Evolvednext term
에서는 작업의 마지막 용어로 표시될 수 없습니다. next term
이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.
MPC가 있는 MX 시리즈 라우터의 경우, 해당 SNMP 관리 정보 베이스(MIB)를 살펴봄으로써 트리오 전용 일치 필터에 대한 필터 카운터를 초기화해야 합니다(예: show snmp mib walk name ascii
). 이는 Junos가 필터 카운터를 학습하고 필터 통계가 표시되도록 합니다. 이 지침은 모든 고급 모드 방화벽 필터, 유연한 조건을 가진 필터 및 특정 종료 동작을 가진 필터에 적용됩니다. 자세한 내용은 관련 문서에 나열된 주제를 참조하십시오.
표 1 방화벽 필터 용어에 지정할 수 있는 종료 동작을 설명합니다.
종료 동작 |
설명 |
프로토콜 |
---|---|---|
accept |
패킷을 수락합니다. |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 GRE 터널을 통해 전송되는 GRE(Generic Routing Encapsulation) 패킷의 캡슐화 해제를 활성화합니다. 이 작업을 GRE 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 연결하는 필터 용어를 구성할 수 있습니다. IPv4 필터의 경우 (또는 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진에서 실행되는 프로세스는 다음 작업을 수행합니다.
기본적으로 패킷 전달 엔진은 기본 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크로 전달합니다. 페이로드가 MPLS인 경우 패킷 전달 엔진은 MPLS 헤더의 경로 레이블을 사용하여 MPLS 경로 라우팅 테이블에서 경로 조회를 수행합니다. 선택 사항인 라우팅 인스턴스 이름으로 작업을 지정하는 decapsulate 경우, 패킷 전달 엔진이 라우팅 인스턴스에서 경로 조회를 수행하며 인스턴스를 구성해야 합니다. 주:
MX960 라우터 자세한 내용은 및 IPv4 네트워크에서 필터 기반 터널링의 구성 요소을 참조하십시오IPv4 네트워크 전반의 필터 기반 터널링 이해. |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 L2TP 터널을 통해 전송되는 L2TP(Layer 2 Tunneling Protocol) 패킷의 캡슐화 해제를 활성화합니다. 이 작업을 L2TP 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 연결하는 필터 용어를 구성할 수 있습니다. IPv4 트래픽의 경우, 입력 방화벽 필터 원격 터널 엔드포인트는 페이로드에 이더넷 MAC 주소가 포함된 IP 터널 패킷을 보냅니다. 페이로드 패킷의 대상 MAC 주소에 라우터의 MAC 주소가 포함되어 있는 경우, 이더넷 패킷은 네트워크를 향해 나가는 방향으로 전송되며, 고객 포트에서 수신되는 것처럼 처리 및 전달됩니다. 페이로드 패킷의 소스 MAC 주소에 라우터의 MAC 주소가 포함된 경우, 이더넷 패킷은 고객 포트를 향해 나가는 방향으로 전송됩니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 삽입이 발생하지 않습니다. 이 경우 수신된 터널 패킷은 잘못된 쿠키와 함께 도착한 패킷이 계산 및 삭제되는 것과 동일한 방식으로 계산되고 삭제됩니다. 다음 매개 변수를 작업으로 지정할 수 있습니다.
주:
|
|
|
인터넷 제어 메시지 프로토콜(ICMP) 메시지를 보내지 않고 조용히 패킷을 버립니다. 폐기된 패킷은 로깅 및 샘플링에 사용할 수 있습니다. |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 GRE(Generic Routing Encapsulation) 터널링을 활성화합니다. 이 작업을 적절한 일치 조건과 연결하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)의 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하는 경우, 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다. 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진에서 실행되는 프로세스는 지정된 터널 템플릿의 정보를 사용하여 다음 작업을 수행합니다.
지정된 터널 템플릿은 또는 |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 L2TP 터널링을 활성화합니다. 이 작업을 적절한 일치 조건과 연결하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)의 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하는 경우, 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다. 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진에서 실행되는 프로세스는 지정된 터널 템플릿의 정보를 사용하여 다음 작업을 수행합니다.
|
|
|
L2TP LAC에서 터널링된 가입자에 대한 정확한 어카운팅 통계에 패킷이 포함되지 않도록 제외합니다. 일반적으로 DHCPv6 또는 ICMPv6 제어 트래픽과 일치하는 필터에 사용됩니다. 이러한 패킷을 제외하지 못하면 유휴 시간 초과 감지 메커니즘이 이러한 패킷을 데이터 트래픽으로 간주하여 시간 제한이 만료되지 않습니다. (유휴 시간 제한은 액세스 프로필 세션 옵션의 이 용어는 패킷이 제품군에 정확한 회계 및 서비스에 대한 정확한 회계 계산에 대한 카운트에 포함되지 않도록 제외합니다. 패킷은 여전히 세션 인터페이스 통계에 포함됩니다. 이 용어는 패 |
|
|
패킷을 지정된 논리적 시스템으로 보냅니다. 주:
이 작업은 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다. |
|
|
패킷을 거부하고 ICMPv4 또는 ICMPv6 메시지를 반환합니다.
주:
또는 은(는 PTX1000 라우터에서 거부 작업은 수신 인터페이스에서만 지원됩니다. |
|
|
패킷을 지정된 라우팅 인스턴스로 보냅니다. |
|
|
패킷을 지정된 토폴로지로 보냅니다. 주:
이 작업은 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다. 각 라우팅 인스턴스(기본 또는 가상 라우터)는 모든 포워딩 클래스가 전달되는 하나의 기본 토폴로지를 지원합니다. 다중 토폴로지 라우팅의 경우, 수신 인터페이스에서 방화벽 필터를 구성하여 특정 포워딩 클래스(예: 신속 포워딩)를 특정 토폴로지와 일치시킬 수 있습니다. 그러면 지정된 포워딩 클래스와 일치하는 트래픽이 해당 토폴로지의 라우팅 테이블에 추가됩니다. |
|
QFX5120-48Y 및 QFX5120-32C 스위치 모델에서는 BFD 세션을 중단하기 위한 작업을 명시적으로 구성합니다 discard
. 그러나 작업 전에 discard
구성된 작업이 있는 경우 port-mirror
BFD 세션은 중단되지 않습니다.