Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 종료 작업

방화벽 필터는 각 프로토콜 패밀리에 대한 종료 작업을 제공합니다. 필터 종단 조치는 특정 패킷에 대한 방화벽 필터의 모든 평가를 중단합니다. 라우터는 지정된 조치를 실행하며 추가 용어를 조사하지 않습니다.

주:

동일한 필터 용어에서 종료 작업을 사용하여 작업을 next term 구성할 수 없습니다. 그러나 동일한 필터 용어에서 또 다른 무차별 작업으로 작업을 next term 구성할 수 있습니다.

진화된 Junos OS 작업의 마지막 next term 용어로 나타나지 않습니다. 필터 용어는 조치로 지정되지만 구성된 일치 조건이 없는 경우 next term 지원되지 않습니다.

MX 시리즈 라우터의 경우, 예를 들어, 해당 SNMP 라우터를 걸어 트리오 전용 필터에 대한 필터 카운터를 초기화해야 관리 정보 베이스(MIB) show snmp mib walk name ascii 있습니다. 이에 따라 Junos는 필터 카운터를 학습하고 필터 통계가 표시되도록 합니다. 이 지침은 모든 고급 모드 방화벽 필터, 유연한 조건을 적용하는 필터, 특정 종료 작업을 적용하는 필터에 적용됩니다. 자세한 내용은 관련 문서에 나열된 해당 주제를 참조하십시오.

표 1 방화벽 필터 용어에서 지정할 수 있는 종료 작업을 설명합니다.

표 1: 방화벽 필터에 대한 작업 종료

종료 조치

설명

프로토콜

accept

패킷을 허용합니다.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (EX 시리즈 스위치만 해당)

decapsulate gre [ routing-instance instance-name ]

IPv4 전송 네트워크의 PE(Provider Edge)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 GRE 터널을 통해 전송되는 GRE(Generic Routing Encapsulation) 패킷의 캡슐화 제거를 활성화합니다.

GRE 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 이 작업을 쌍으로 하는 필터 용어를 구성할 수 있습니다. IPv4 필터의 경우( 또는) 일치 protocol greprotocol 47 조건을 포함합니다. 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 통합 이더넷 인터페이스 입력에 필터를 연결합니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 디 캡슐화(de-encapsulating) 필터를 연결한 구성을 커밋하면 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 작성합니다.

인터페이스가 매치된 패킷을 수신하면 인터페이스에서 실행되는 패킷 전달 엔진 다음과 같은 작업이 수행됩니다.

  • 외장 GRE 헤더를 제거합니다.

  • 대상 룩업을 수행하여 내부 페이로드 패킷을 원래의 목적지로 전달합니다.

기본적으로 기본 패킷 전달 엔진 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크로 전달합니다. 페이로드가 MPLS 경우 패킷 전달 엔진 헤더의 루트 레이블을 사용하여 MPLS 경로 라우팅 테이블에서 경로 룩업을 MPLS 있습니다.

선택적 라우팅 인스턴스 이름으로 작업을 지정하면 패킷 전달 엔진 인스턴스에 대한 루트 룩업을 수행하고 인스턴스를 decapsulate 구성해야 합니다.

주:

라우터에서 MX960 조치는 decapsulate GRE, IP-in-IP 및 IPv6-in-IP 터널링 패킷을 캡슐화하지 않습니다. 계층 수준에서 이 [edit firewall family inet filter filter-name term term-name] 작업을 구성합니다.

자세한 내용은 을 IPv4 네트워크 전반의 필터 기반 터널링 이해IPv4 네트워크 전반에서 필터 기반 터널링의 구성 요소 참조하십시오.

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

IPv4 전송 네트워크의 PE(Provider Edge)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 L2TP 터널을 통해 전송되는 레이어 2 터널링 프로토콜(L2TP) 패킷의 캡슐화가 제거됩니다.

L2TP 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 이 작업을 쌍으로 하는 필터 용어를 구성할 수 있습니다. IPv4 트래픽의 경우, 입력 방화벽 필터와 출력 방화벽 필터가 $junos-input-filter$junos-output-filter 인터페이스에 연결됩니다. 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 통합 이더넷 인터페이스 입력에 필터를 연결합니다. 필터 기반 L2TP 터널링을 지원하지 않는 인터페이스에 디 캡슐화(de-encapsulating) 필터를 연결한 구성을 커밋하면 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 작성합니다.

원격 터널 엔드포인트는 페이로드의 이더넷 MAC 주소가 포함된 IP 터널 패킷을 전송합니다. 페이로드 패킷의 대상 MAC 주소가 라우터의 MAC 주소를 포함하는 경우 이더넷 패킷은 네트워크 쪽으로 전송되고 고객 포트에서 수신된처럼 처리 및 포워드됩니다. 페이로드 패킷의 소스 MAC 주소가 라우터의 MAC 주소를 포함하는 경우 이더넷 패킷은 고객 포트를 향해 전송됩니다. 터널에 수신 쿠키 구성이 포함되어 있지 않다면 패킷 인젝션이 일어나지 않습니다. 이 경우, 수신된 터널 패킷은 잘못된 쿠키로 도착하는 패킷이 카운트 및 삭제되는 동일한 방식으로 계산 및 삭제됩니다.

작업을 통해 다음과 같은 매개 변수를 지정할 수 decapsulate l2tp 있습니다.

  • routing-instance instance-name—기본적으로 패킷 전달 엔진 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크에 전달합니다. 페이로드가 MPLS 경우 패킷 전달 엔진 헤더의 루트 레이블을 사용하여 MPLS 경로 라우팅 테이블에서 경로 룩업을 MPLS 있습니다. 선택적 라우팅 인스턴스 이름으로 작업을 지정하면 패킷 전달 엔진 인스턴스에 대한 루트 룩업을 수행하고 인스턴스를 decapsulate 구성해야 합니다.

  • forwarding-class class-name—(옵션) l2TP 패킷을 지정된 포우링 클래스로 분류합니다.

  • output-interface interface-name—(옵션) L2TP 터널의 경우 패킷을 복제하여 고객 또는 네트워크로 전송할 수 있습니다(이더넷 페이로드의 MAC 주소 기반).

  • cookie l2tpv3-cookie—(옵션) L2TP 터널의 경우 중복된 패킷에 대한 L2TP 쿠키를 지정합니다. 터널에 수신 쿠키 구성이 포함되어 있지 않다면 패킷 인젝션이 일어나지 않습니다. 이 경우, 수신된 터널 패킷은 잘못된 쿠키로 도착하는 패킷이 카운트 및 삭제되는 동일한 방식으로 계산 및 삭제됩니다.

  • sample—(옵션) 패킷을 샘플링합니다. Junos OS 라우터에서 시작된 패킷을 샘플링하지 않습니다. 필터를 구성하고 인터페이스의 출력 측에 적용하면 해당 인터페이스를 통과하는 전송 패킷만 샘플링됩니다. 패킷이 네트워크에서 라우팅 엔진 패킷 전달 엔진 샘플링되지 않습니다.

주:

계층 수준에서 구성하는 작업은 decapsulate l2tp IPv4 및 IPv6 옵션을 통해 트래픽을 [edit firewall family inet filter filter-name term term-name] 처리하지 않습니다. 그 결과, L2TP 패킷 기능의 캡슐화가 중단되어 이러한 옵션이 있는 트래픽을 폐기할 수 있습니다.

family inet

discard

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고도 패킷을 자동으로 폐기합니다. 폐기된 패킷은 로깅 및 샘플링에 사용할 수 있습니다.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (EX 시리즈 스위치만 해당)

encapsulate template-name

IPv4 전송 네트워크의 PE(Provider Edge)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 GRE(Generic Routing Encapsulation) 터널링을 활성화합니다.

적절한 일치 조건과 이 작업을 쌍으로 하는 필터 용어를 구성한 다음, 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 입력 또는 통합 이더넷 인터페이스 입력에 필터를 연결할 수 있습니다. 캡슐화 필터를 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결한 구성을 커밋하면 해당 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 작성합니다.

인터페이스가 매치된 패킷을 수신하면 인터페이스에서 실행되는 프로세스는 패킷 전달 엔진 터널 템플릿에서 정보를 사용하여 다음과 같은 작업을 수행합니다.

  1. 터널 템플릿에 지정된 경우 GRE 헤더(터널 키 값 유무)를 연결합니다.

  2. IPv4 전송 프로토콜의 헤더를 연결합니다.

  3. 생성된 GRE 패킷을 터널 소스 인터페이스에서 터널 대상(원격 PE 라우터)으로 전달합니다.

지정된 터널 템플릿은 명령문 또는 계층 수준에 따라 tunnel-end-point[edit firewall][edit logical-systems logical-system-name firewall] 구성되어야 합니다. 자세한 내용은 IPv4 네트워크 전반의 필터 기반 터널링 이해 를 참조하십시오.

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (L2TP 터널용)

IPv4 전송 네트워크의 PE(Provider Edge)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 L2TP 터널링을 활성화합니다. 적절한 일치 조건과 이 작업을 쌍으로 하는 필터 용어를 구성한 다음, 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 입력 또는 통합 이더넷 인터페이스 입력에 필터를 연결할 수 있습니다. 캡슐화 필터를 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결한 구성을 커밋하면 해당 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 작성합니다. 인터페이스가 매치된 패킷을 수신하면 인터페이스에서 실행되는 프로세스는 패킷 전달 엔진 터널 템플릿에서 정보를 사용하여 다음과 같은 작업을 수행합니다.

  1. L2TP 헤더를 연결합니다(터널 템플릿에 지정된 바에 따라 터널 키 값 사용 또는 유무).

  2. IPv4 전송 프로토콜의 헤더를 연결합니다.

  3. 생성된 L2TP 패킷을 터널 소스 인터페이스에서 터널 대상(원격 PE 라우터)으로 전달합니다. 지정된 터널 템플릿은 명령문 계층의 tunnel-end-point 명령문을 [edit firewall] 사용하여 [edit logical-systems logical-system-name firewall] 구성해야 합니다.

  • family inet

exclude-accounting

L2TP LAC의 터널링된 가입자에 대한 정확한 회계 통계에 패킷을 제외합니다. 일반적으로 DHCPv6 또는 ICMPv6 제어 트래픽과 일치하는 필터에서 사용되는 이러한 패킷을 제외하지 못하면 이러한 패킷을 데이터 트래픽으로 고려하여 타임아웃이 만료되지 않습니다. (유휴 타임아웃은 액세스 프로파일 세션 옵션의 명령문으로 client-idle-timeoutclient-idle-timeout-ingress-only 구성됩니다.)

이 용어는 가족의 정확한 회계와 서비스 정확한 회계에 대해 수치에 포함된 패킷을 제외합니다. 패킷은 여전히 세션 인터페이스 통계에 포함되어 있습니다.

이 용어는 가정과 가정에서 모두 inetinet6 사용할 수 있지만 에에만 inet6 사용됩니다.

  • family inet

  • family inet6

logical-system logical-system-name

패킷을 지정된 논리적 시스템으로 연결합니다.

주:

이 작업은 PTX 시리즈 및 PTX 시리즈에서 지원되지 패킷 전송 라우터.

  • family inet

  • family inet6

reject message-type

패킷을 거부하고 ICMPv4 또는 ICMPv6 메시지를 반환합니다.

  • 지정되지 message-type 않은 경우 메시지가 기본적으로 destination unreachable 반환됩니다.

  • 으로 tcp-reset 지정된 message-type 경우, 패킷이 TCP 패킷인 경우만 tcp-reset 반환됩니다. 그렇지 않으면 administratively-prohibited 13의 값이 있는 메시지가 반환됩니다.

  • 다른 메시지가 message-type 지정된 경우 해당 메시지가 반환됩니다.

주:

또는 작업을 구성하는 경우 거부된 패킷을 샘플링하거나 sample 로깅할 수 syslog 있습니다. MX2K-MPC11E의 경우, ICMP는 Egress 필터, 서비스 등급(CoS) 구성을 통해 전달되는 메시지를 거부합니다. 이러한 통계에는 포함되어 있습니다. 메시지의 경우도 destination unreachable 마찬가지입니다.

message-type 다음 값 중 하나일 수 있습니다. address-unreachable, , , 를, 또는 를(를) 또는 administratively-prohibitedbad-host-tosbad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failed 를(를) tcp-reset

라우터에서 PTX1000 거부 조치는 ingress 인터페이스에서만 지원됩니다.

  • family inet

  • family inet6

routing-instance instance-name

패킷을 지정된 라우팅 인스턴스로 연결합니다.

  • family inet

  • family inet6

topology topology-name

패킷을 지정된 토폴로지로 연결합니다.

주:

이 작업은 PTX 시리즈 및 PTX 시리즈에서 지원되지 패킷 전송 라우터.

각 라우팅 인스턴스(기본 또는 가상 라우터)는 모든 포우링 클래스가 포우링되는 하나의 기본 토폴로지 를 지원합니다. 다중 토폴로지 라우팅의 경우 ingress 인터페이스에 방화벽 필터를 구성하여 특정 토폴로지와 같은 특정 포우링(exped forwarding) 클래스와 일치하도록 구성할 수 있습니다. 그러면 지정된 포링 클래스와 일치하는 트래픽이 해당 토폴로지의 라우팅 테이블에 추가됩니다.

  • family inet

  • family inet6